英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事、 The Guardian の記事、 Ars Technica の記事)。

英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。

ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいとのこと。

暗号化が児童虐待者を守るという主張に対しては、ロス・アンダーソン氏の論文(PDF)から「複雑な社会的問題を安価な技術的手段で解決できるという考えはソフトウェアセールスマンが使うセイレーンの誘惑だ」という一節を引用し、虐待の多くが行われる家庭やコミュニティでの抑止に注力すべきだと述べたとのことだ。

Security.org の調べによると、米国のアンチウイルスユーザーの 61.2 % が無料のアンチウイルスソフトウェアを使用しているそうだ (2023 Antivirus Market Annual Report、 BetaNews の記事)。

調査は 2022 年、インターネットを利用して米国在住の成人 1,003 人を対象に行われたもので、参加者は米国人のデモグラフィックに一致するよう調整されている。調査時点で 85 % の参加者がアンチウイルスソフトウェアを使用しており、2021 年の 77 % から増加している。アンチウイルス使用率が低いと感じるかもしれないが、対象デバイスは PC だけでなく携帯電話やタブレットも含まれているためとみられる。

米国人の 75 % 近くがコンピューターにはアンチウイルスが必要だと信じており、アンチウイルスユーザーの 32.4 % が有料ソフトウェアを利用しているという。有料・無料の合計が 100 % にならないので、どちらかわからないという回答が 6.4 % あるためだ。推計で 3,300 万世帯が代金を払ってアンチウイルスソフトウェアを使用しているが、有料ソフトウェアはアンチウイルスだけでなく VPN やパスワードマネージャー、セキュアブラウザーといった追加のセキュリティ機能が利用できるものが多い。回答者の 7 % が 6 か月以内にアンチウイルスソフトウェアを購入したいと回答しており、推計で米国人 1,600 万人に相当するとのこと。

無料ソフトウェアのシェアは Microsoft Defender (39 %) が最も高く、Malwarebytes (14 %) とAvast (13 %)、McAfee (10 %) が 10 % 台で続く。有料ソフトウェアは Norton (29 %) と McAfee (24 %) で半数を超え、他のソフトウェアのシェアは 1 桁またはそれ未満となっている。過去 12 か月間でウイルスの影響を受けたという回答者は全体で 8 %。うち Windows が 8 % で、macOS が 5 %、その他が 4 % となる。Windows は Mac よりもウイルスの影響を受けやすいというイメージもあるが、実際には大差ないようだ。また、有料ソフトウェアユーザーでウイルスの影響を受けたのは 10 % だったのに対し、無料ソフトウェアユーザーは 8 % となっている。

スラドの皆さんは有料のアンチウイルスソフトウェアを使用しているだろうか。有料ソフトウェアが良いよねと思った理由は何だろう。

ウェブサービスで用いられているパスワードの入力規則を集めたウェブサイト「Dumb Password Rules」が話題になっているらしい。このDumb Password Rulesで紹介されている変なパスワード入力規則の例としては、「（パスワードは）7で始まる必要があります」というもの。「大文字2文字以上、小文字2文字以上、数字2文字以上、句読点2文字以上」「aを@、iを!、oを0といったありがちな置換をした単語の使用禁止」といった細かい点にまで指摘したものまで存在するとのこと。いかにとち狂ったパスワードルールが存在しているかが一望できるとのこと。すでにウェブサイトの登録数はすでに300近くに及んでいるそうだ（INTERNET Watch）。

セキュリティ企業のPhylumは、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されているとの報告を行った。それによると、マルウェアをPython開発者のシステムに感染させる450以上の悪意のあるPyPIパッケージが公開されているという。内容は過去に見つかったものや2022年11月に同社が発見したものと同種の攻撃と分析されているが、今回はそのときの約20倍のPyPIパッケージが公開されているという（Phylum、TECH+）。

このパッケージ群は、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用する「タイポスクワッティング」を意図したサイバー攻撃とされる。例えばvyperの場合、一文字削除(yper/vper)や一文字重複(vvyper/vyyper)、二文字の転置(yvper/vpyer)など複数パターンで合計13個のPyPIパッケージが登録されていたことが分かっているとのこと。

Abnormal Security の調査によると、機械翻訳の精度が向上した結果、ビジネスメール詐欺 (BEC) が多言語で同時展開するようになっているそうだ (Abnormal Security のブログ記事、 BetaNews の記事)。

BEC は企業の CEO などになりすまして金銭を詐取することから CEO 詐欺とも呼ばれ、主に決裁権のある重役がターゲットとなる。攻撃者が母国語以外の言語で BEC を実行する場合、これまではプロの翻訳者を雇う必要があったが、機械翻訳が自然な翻訳文を出力できるようになったことで多言語での同時展開が容易になったという。

ブログ記事では少なくとも計13言語でBECキャンペーンを行う 2 つの BEC 犯罪グループ Midnight Hedgehog と Mandarin Capybara を取り上げている。Midnight Hedgehog の BEC は CEO になりすまして緊急の送金を行わせるもので、送金先の大半が英国の銀行口座であることから、本拠地は英国とみられている。

Mandarin Capybara の BEC は給与の振込先変更を要請するもので、変更先の大半は一般的な銀行口座ではなくフィンテック企業の口座が指定されるそうだ。英語圏以外の欧州企業を狙う Midnight Hedgehog とは異なり、Mandarin Capybara では欧州企業に加えて米国とオーストラリア (英語)、カナダ (フランス語) の企業も対象になっているとのこと。

BEC 攻撃で送られる電子メールはマルウェアが添付された電子メールとは異なり、セキュリティシステムでブロックされにくい。Abnormal では従業員のセキュリティトレーニングも必要だが、初めから受信しないのが最も安全だとして機械学習や AI によるふるまい検知システムの導入を推奨している。

一部の韓国車のキーレスエントリーシステムには脆弱性があり、その影響で以前、一部車種の盗難が増加しているという話題が出たことがある。これを悪用し「起亜チャレンジ」としてTikTok上でトレンドになったこともある。こうした影響により、米国では主要な自動車保険会社が、こうした脆弱性を持つ車両に関して、保険の新規申し込みを停止しているらしい。米国テレビ局の2月2日の報道によると、ルイジアナ州の保険代理店では、1月25日から起亜やヒョンデが製造している合計105車種のオーナーと取引しないことにしたという（WWL-TV、GIGAZINE）。

ソースネクストは14日、同社サイトが第三者による不正アクセスを受け、利用者のクレジットカード情報11万2132件と個人情報12万982件が漏えいした可能性があると発表した。同社が依託した調査機関によると、2022年11月15日~2023年1月17日の期間にクレジットカード情報を登録した顧客のクレジットカード情報および個人情報が漏えい、一部に関してはクレジットカード情報が不正利用された可能性があるとしている（ソースネクストリリース、ケータイ Watch、NHK）。

漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。

2022年10月に起きた那覇市立図書館でランサムウエアによる攻撃を受けて、貸し出しや検索ができないなどのシステム障害が発生している。琉球新報による最新の報道によると、この攻撃を受けた原因としてネットワークを保護するためのファイアウォールとVPN装置がランサムウエアの感染経路になった可能性が高いという（琉球新報、沖縄タイムス）。

いずれも2019年に運用を開始して以来、アップデートなどがおこなわれておらず、脆弱性が残ったままだったとしている。同館の館長によれば、「セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた」としている。

headless 曰く、

国際宇宙ステーション (ISS) にドッキングしているロスコスモスの宇宙船でまた冷却材漏れが発生したそうだ (NASA のブログ記事、 ロスコスモスの Telegram 投稿、 ロスコスモス報道官の Telegram 投稿、 Ars Technica の記事)。

ロスコスモスは 11 日に無人のプログレス 83 輸送船 (MS-22) を ISS にドッキング成功したが、その一方で昨年 10 月からドッキングしている無人のプログレス 82 輸送船 (MS-21) で冷却材の圧力低下が記録されていたという。冷却材はすべて漏出しており原因は調査中だが、ISS クルーに危険はなく、今後のフライトスケジュールにも影響はないとのこと。MS-21 は 17 日にゴミを積載して太平洋上で軌道を離脱する予定だ。

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は8日、先日話題となった「VMware ESXi」環境を狙うランサムウェア「ESXiArgs」の被害を受けた仮想マシンを復旧するためのツールをGitHubで公開した。CISAが公開した復旧ツールは、トルコYoreGroupが公開しているリソースを基に作成されたものだそうだ（CISAリリース、GIGAZINE、ZDNET Japan）。

この復旧ツールでは、ESXiArgsで暗号化されていない仮想ディスクから仮想マシンのメタデータを再構築することで、被害を受けた仮想マシンを復旧するとしている。なお復旧ツールに関しては保証なしで提供されるものであり、CISAは、このスクリプトによって引き起こされた損害について責任を負わないとする注釈も付けられている。

1Password がパスワードを作成することなく、パスキーでアカウントへのアクセスを可能にする計画を発表した (1Password のブログ記事、 解説記事、 The Verge の記事、 Neowin の記事、 Ghacks の記事)。

1Password では既に生体認証を用いたパスワードレスのアカウントアクセスが可能となっているが、アカウントの保護には依然としてパスワードが使われており、生体認証はそれを隠すだけだという。パスキー認証は 1Password が従来から使用している秘密鍵と同じく公開鍵暗号方式だが、パスワードを組み合わせることなく、生体認証とデバイスのセキュリティ機能との組み合わせでアカウントを保護する。パスキーはフィッシング攻撃に強く、秘密鍵のエントロピー (128 ビット) よりも強力な 256 ビットのエントロピーでクラッキングを防ぐとのこと。

これにより、パスワードも秘密鍵も作成することなく 1Password のアカウントを作成でき、新しいデバイスで容易にサインインできるようになる。また、ウェブを含めて 1Password を使用する場所ではどこでも組み込みの生体認証が利用でき、スマートフォンで Mac や PC、ブラウザー内の 1Password をアンロックできるという。パスキーを用いるアカウント作成やアンロックのオプションは今夏から利用可能になるとのことだ。

イタリアの国家サイバーセキュリティー庁（ACN）は3日、世界で数千のコンピューターシステムが身代金要求型ウイルス「ランサムウエア」によるサイバー攻撃の標的になったと指摘。対策を呼びかけている。ターゲットになったのは、VMwareの「ESXi」サーバー。イタリアでは数十の組織が被害に遭った模様（ACN、JPCERT/CC、ロイター、Bloomberg）。

Bloombergの報道によると、ランサムウエアの派生型である「ESXiArgs」の標的にしている脆弱性は2年前の「CVE-2021-21974」を悪用したものだという。VMware側は2021年2月時点で現在標的にされている脆弱性に対処する修正プログラムは公開済みだが、明らかに多くのサーバーがまだ保護されていないという。まだパッチを当てていない顧客にはすぐに適用するよう呼びかけているとのこと。

東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている（情報処理学会、ITmedia）。

調査の結果、64％にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16％の54社であったため、回答した組織の約80％がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42％に当たる93社がPPAPの廃止を検討中であるとしている。

PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88％は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5％にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。

INTERNET Watchの記事によると、経済産業省などは1日、クレジットカード会社などに対して、送信ドメイン認証技術（DMARC）の導入といったフィッシング対策の強化を要請したそうだ。背景には、ドメイン名をなりすまして送信されるフィッシングメールが増え、フィッシングによるクレジットカード情報の詐取が増加している点がある。送信ドメイン認証技術のうち、フィッシングメール対策に特に有効とされるDMARCの導入し、ドメイン名のなりすましを検出するとともに、自社をかたるフィッシングメールが利用者に届かないようにすることが重要だとしている（経済産業省、総務省、INTERNET Watch）。

headless 曰く、

米全国労働関係委員会(NLRB)がAppleのリーク防止ポリシーや重役の発言について、違法であるとの結論に達したそうだ (Bloomberg の記事、 Ars Technica の記事、 9to5Mac の記事、 Mac Rumors の記事)。

本件は 2021 年に Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモなどを証拠として元従業員 2 名が NLRB に訴えたものだ。これについて NLRB 法務顧問室は Apple の就業規則や機密保持規定などが従業員の共同行動を起こす権利を制限すると判断。さらに、重役の発言等は全国労働関係法に違反するという。これについて Apple が和解しなければ、NLRB が Apple を提訴することになるとのことだ。