先日、税務署が同姓同名の別人にe-Taxの識別番号等を教える取り違いが起きたばかりだが、島根県安来市でも17日、同姓同名の別人の顔写真を印刷したマイナンバーカードを、1人に交付してしまったことが発表された。同市では撮影した顔写真を共有サーバーに氏名別に保存しているが、フォルダー名が同じだったため、後から保存した1人分の写真データのみが上書きされて残ってしまったというのがトラブルの原因であるそうだ。カードを受け取った人物からの連絡で判明した。誤発効されたカードでは、氏名や住所、生年月日、個人番号は正しく表記されており、顔以外の情報漏えいはなかったという（朝日新聞、読売新聞）。

nemui4 曰く、

税務署に続いてマイナカードで取り違え事案

　市は「チェック体制の強化を図り、再発防止に努める」としている。

「間違えないように確認する」チェック体制ではない事をいのります。
そもそも間違えないシステムか交付前に誤りを見つけて訂正できる仕組みを作るのは難しいかな。

情報処理推進機構（IPA）とJPCERT/CCは18日、「Oracle Java SE」に複数の脆弱性が見つかったとして、修正パッチの早期適用を呼び掛けている。脆弱性の発見された対象となる製品は「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。Oracleからは17日にパッチの提供がおこなわれている。JPCERT/CCはユーザーに対し、利用している環境に対象となる製品が含まれていないかも確認するよう促している（IPA、JPCERT/CC、Oracle Critical Patch Update Advisory - January 2023、ITmedia）。

米スタンフォード大学、米UCLA、カナダのウォータールー大学の研究者が発表した論文によると、Wi-Fi機器に偽のデータパケットを継続的に送信することで、機器のバッテリーの電気を急速に低下させる攻撃が可能になるという。この研究は、IEEE 802.11規格に存在する二つの脆弱性を活用して攻撃をおこなった（ITmedia）。

一つ目の脆弱性は、応答すべきでないときに応答する仕様。ネットワーク外の不正なWi-Fiデバイスから受信した偽のパケットに対しても、ACK（Acknowledgment、受信完了通知）で応答を返してしまうこと。二つ目はWi-Fi無線が起動してはいけない時に起動している仕組み。

Wi-Fi機器の大半では、節電のためのスリープモードを搭載しているが、Wi-Fi機器は定期的に起動して、関連するアクセスポイントから送信されるビーコンフレームを受信する仕組みになっている。しかし、これらのビーコンフレームは暗号化されておらず、ビーコンフレームを偽造して送信することで、外部からターゲットのWi-Fi機器を常に起動させておくことができるのだという。

研究チームが攻撃距離を調べる実験を行った結果、100m以内の距離でも、ほぼ全てのターゲットデバイスが応答、150m離れた場所でも73％という高い応答率だったことが分かったとしている。

headless 曰く、

Microsoft は 2025 年までに Microsoft サポート診断ツール (MSDT) を廃止する計画のようだ (Neowin の記事、 Rafael Rivera 氏のツイート)。

この情報は Microsoftが 12 日に DevチャネルでリリースしたWindows 11 Insider Preview ビルド25276に含まれており、ViVeTool のようなツールで構成 ID「42606374」を有効化すれば MSDT のダイアログボックスに追加で表示されるようになる。追加内容は日本語化されておらず、日本語環境でも英文で「Microsoft Support Diagnostic Tool (MSDT) will be retired by 2025. Learn more.」と表示される。「Learn more」のリンク先は現在のところ一般公開されていないようだ。

MSDT ではたびたび脆弱性が見つかっているが、Microsoft がセキュリティに関する問題だとすぐには認めず修正に時間がかかってきた。そのため、廃止になればセキュリティが向上するとの見方も出ている。

英国の郵便サービス Royal Mail が輸出業務に問題が生じていることを明らかにし、問題が解決するまで国外あての物品を送らないよう呼びかけている (Royal Mail のツイート、 The Telegraph の記事、 Sky News の記事、 Cyber Security Hub の記事)。

本件を Royal Mail では「サイバー インシデント」と呼んでいるが、The Telegraph によるとランサムウェアの被害にあったようだ。このランサムウェアは LockBit Black と呼ばれるもので、Royal Mail が国際小包の税関ラベルを印刷するコンピューターに感染したのだという。北アイルランドの Royal Mail ディストリビューションセンターではプリンターがランサムノートを大量に印刷し始めたとも報じられている。The Telegraph が入手したランサムノートには「LockBit Black Ransomware」と記載されている。

Royal Mail ではランサムウェア被害に関する質問への回答を拒否し、顧客には問題解決に取り組む間一時的に輸出品を送らないよう要請していると回答するにとどまったという。国家サイバーセキュリティセンター (NCSC) は本インシデントを認識し、国家犯罪対策庁とともに調査を進めているとのみ説明する声明を出している。

なお、Royal Mail では現在ロックバンド Iron Maiden の記念切手を発売しており、公式サイトはこちらがトップになっている。

昨年10月にサイバー攻撃を受け、電子カルテが閲覧できなくなったことから一時診療を取りやめていた「大阪急性期・総合医療センター」のシステムが復旧したそうだ。同院では外来診療や手術を中止するなどの問題が起きていた。その後、国の支援チームなどが復旧作業に協力。1月4日から全ての診療科の外来で新規患者の受け付けを再開。画像診断や生理検査などに関するシステムも復旧したという。1月11日からは従来どおりの診療体制に戻っているようだ（TBS NEWS DIG）。

さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている（さわださんのツイート、その2、その3）。

さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。

nemui4 曰く、

善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい？

headless 曰く、

Microsoft は日本時間 11 日、Windows 8.1 最後の更新プログラムとなる KB5022352 (月次ロールアップ) および KB5022346 (セキュリティのみの更新プログラム) を提供開始した。

これをもって Windows 8.1 の延長サポートは終了し、テクニカルアシスタンスとソフトウェア更新プログラムが提供されなくなる。Windows 8.1 では有償の拡張セキュリティ更新プログラム (ESU) が提供されないため、デバイスのセキュリティを維持するにはサービス期間内の新しいバージョンの Windows にアップグレードする必要がある。デバイスが新しいバージョンの Windows でサポートされない場合、Microsoft は Windows 11 マシンへの置き換えを推奨している (Microsoft サポートの記事)。なお、Windows Server 2012 / 2012 R2 の延長サポートは 10 月まで、以降 2026 年 10 月まで ESU が提供される。

一方、Windows 7 (Professional および Enterprise) / Server 2008 R2 では同日提供が始まった KB5022338 (月次ロールアップ) およびKB5022339 (セキュリティのみの更新プログラム)をもって ESU の 3 年目が終了 (製品ライフサイクルに関するFAQ — 拡張セキュリティ更新プログラム)。ESU は最大 3 年間となっているため、Windows 7 / Server 2008 R2 の更新プログラム提供も今回で終了となる。こちらも Windows をサービス期間内のバージョンにアップグレードするか、デバイス自体を置き換える必要がある。

headless 曰く、

10 月 10 日の Windows Server 2012 / 2012 R2 延長サポート終了に向け、顧客がとるべき対策をMicrosoftがまとめている (Microsoft Learn の記事、 Softpedia の記事、 On MSFT の記事)。

Windows Server 2012 / 2012 R2 では延長サポート終了後、有償で拡張セキュリティ更新プログラム (ESU) が 3 年間提供される。ただし、Azure に移行すれば ESU を無償で受け取ることができる。オンプレミスの場合は ESU を購入するか、Windows Server 2022 にアップグレードするかの選択となる。Azure に移行する場合もオンプレミスのまま利用する場合も ESU の提供は 2026 年 10 月 13 日で終わるため、3 年以内にアップグレードが必要だ。

Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事、 The Verge の記事、 Ghacks の記事、 Have I Been Pwned の流出サイト情報、 Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。

headless 曰く、

複数の米大学のメンバーによる研究グループがスマートフォンのモーションセンサーを用い、通話中のイヤースピーカーの振動から通話相手や内容を読み取る手法「EarSpy」の研究成果を発表している (論文アブストラクト、 HackRead の記事、 Android Police の記事)。

モーションセンサーは権限の明示的な許可を得ることなく利用できるため、さまざまなサイドチャネル攻撃手法の研究が行われている。出力の小さいイヤースピーカーの振動をモーションセンサーで読み取ることは難しいと考えられていたが、最近のステレオスピーカー搭載モデルでは イヤースピーカーを 2 つ目のラウドスピーカーと兼用できるようにしているものもある。実際にイヤースピーカーとして使用する時には出力を抑えることになるが、それでもステレオスピーカーを搭載しないモデルと比べて加速度計で読み取れる情報が多くなっているという。

研究グループでは一般公開されている発話データセットを用い、古典的な機械学習アルゴリズム、新たに開発した畳み込みニューラルネットワークに学習させて性別や話者、発話内容の検出を実行している。使用スマートフォンはいずれもステレオスピーカーを搭載する OnePlus 7T と OnePlus 9 の 2 機種だ。その結果、性別は最高 98.66 %、話者は最高 92.6 % の正確さで認識可能であり、発話内容 (0 ～ 9 の数字を英語で発音したもの) も最高 56.42 % の正確さで認識できたそうだ。Android 12 以降ではモーションセンサーのデータのリフレッシュレートがデフォルトで 200 Hz に制限されており、より高いリフレッシュレートでの読み取りには権限の許可を得る必要がある。しかし、制限された状態でも性別の検出は 90.97 % の正確さが得られたとのことだ。

米ルイジアナ州で 1 日、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効した (HB142、 Motherboard の記事、 Ars Techincia の記事、 The Verge の記事)。

この州法は未成年者に有害なポルノコンテンツが全体の 3 分の 1 以上を占める商用サイトを対象に、公的な身分証明書などを使用した適切な年齢確認プロセスの提供を義務付けるものだ。対象サイトへのアクセスにはユーザーが 18 歳以上であることを証明する必要がある。年齢確認後、対象サイトは個人を特定可能な情報を保持してはならないとの文言も含まれるが、プライバシーやセキュリティの懸念も強い。それでも議会では 3 回の採決で反対票は 1 票のみという、ほぼ全会一致で可決してきた。

年齢確認の実施状況を Motherboard や Ars Technica がルイジアナの VPN サーバーを通じて調べたところ、Pornhub はサードパーティの年齢確認サービス Allpasstrust で認証を開始していることが確認できたという。一方、まだ対応していないポルノサイトもあるようだ。

Google が安全でない (HTTP) ダウンロードをすべてブロックするフラグを Chrome でテストしている (9to5Google の記事、 Issue 1352598、 Chromium Gerrit 4126539)。

このフラグ「Block insecure downloads」 (chrome://flags/#block-insecure-downloads) は現在のところ Chrome Canary に実装されており、有効にすると HTTP 接続での直接的なダウンロードおよび安全でないリダイレクトを通じたダウンロードを実行すると「<ファイル名> は安全にダウンロードできません」というメッセージが表示されてダウンロードが中断する。ここで「破棄」をクリックすればダウンロードは中止されるが、メニューから「継続」を選択すればダウンロードを完了できる。

Chrome では混合コンテンツブロックの一環として既に HTTPS ページから実行される HTTP でのダウンロードをブロックしているが、今回のフラグは対象を拡大するものとなる。そのため、いずれは HTTPS 優先モード (HFM) に組み入れていく計画とのことだ。

LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事、 9to5Mac の記事、 The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。

• 少なくとも 12 文字、長ければ長いほどいい
• 大文字・小文字・数字・記号を使う
• 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
• 自分だけのユニークなものにする
• 個人情報は絶対に使わない
• 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 2⁷² 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。2⁷² という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

Chaos Computer Club (CCC) がオンラインオークションに出品された米軍の生体識別デバイス 6 台を入手して調査したところ、その 1 台には 2,632 人分の名前や国籍、写真とともに指紋データや虹彩スキャンデータが保存されていたそうだ (CCC のブログ記事、 The Verge の記事、 The New York Times の記事、 Ars Technica の記事)。

CCC が入手したのは 4 台の SEEK II (Secure Electronic Enrollment Kit) と 2 台の HIIDE 5 (Handheld Interagency Identity Detection Equipment)。これらのデバイスはアフガニスタンとイラクで軍人や協力者、テロリスト、指名手配者などを識別するために用いられていたものだ。CCC ではタリバンが HIIDE を入手したという報道を受けて、調査を開始した。

2,600 人分以上の生体識別データが格納されていたのは 8 月に調査を率いる CCC の Matthias Marx 氏が eBay で入手した SEEK II で、2012 年半ばにカブールとカンダハールの間で用いられたのが最後だという。データは暗号化されておらず、既知の標準パスワードを入力するだけでアクセス可能なだけでなく、データベースは標準的なものであり、データフォーマットにも変わったところはなく、分析は容易だったそうだ。

このようなデータがテロリストの手に渡れば現地の協力者などが危険にさらされる。CCC では問題を SEEK II のメーカーや米国防総省、アフガニスタンでの生体識別情報収集に協力したドイツ連邦軍に報告したが、このような情報漏洩を誰も気にしていないとのこと。報告から 2 か月半経過し、CCC ではまた別の生体識別デバイスをオンラインで注文できたといい、Marx 氏はリスクの高いデータを無責任に取り扱うことを批判している。