Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ (ニュースリリース、 BetaNews の記事)。

53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。

スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。

Meta が 16 歳未満の使用するアプリについて、アプリストアが保護者の許可を得てから提供するようにすべきだと主張している (Meta のブログ記事、 The Guardian の記事、 The Register の記事)。

米国では各州がそれぞれ異なる法律を制定してアプリの年齢制限や年齢確認を義務付けており、州によって未成年者の保護範囲が異なる。年齢確認はアプリごとに異なるサインアッププロセスの中で行われ、それぞれ異なるセキュリティやプライバシープラクティスを持つアプリにセンシティブな身分証明書の情報を繰り返し送信する必要がある。

そのため、アプリストアでユーザーの年齢確認を行い、必要に応じて保護者の合意を義務付けることで、保護者の負担やセキュリティ・プライバシー上の不安を減らすことが可能になるというのが Meta の主張だ。これを実現するため、Meta では国レベルでの法制化を行うよう呼び掛けている。

Meta (Facebook と Instagram) は Google (YouTube) や ByteDance (TikTok)、Snap (Snapchat)とともに、欠陥のある設計で未成年者をソーシャルメディア依存に導いたとして30州の学区から訴えられている。被告側は米通信品位法 230 条で免責対象になるなどとして棄却を申し立てたが、カリフォルニア北部地区連邦地裁の Yvonne Gonzalez Rogers 判事が 14 日に申立を却下し、訴訟が継続することになった (Ars Technica の記事)。

あるAnonymous Coward 曰く、

プライバシーに配慮したメールサービスとして知られるTutanotaの名前がTutaと短くなった（Time to celebrate: Tutanota is now Tuta.）。

元の名前のTutanotaはラテン語で、"secure message"の意味だそうだが、電話で話すときにTutanotaといっても通じにくかったり、カジュアルな会話で覚えてもらうのが大変だったりしたそうで、覚えやすい名前にしたというのが変更した理由のようだ。Tutaのドメインはブラジルの人が所有しており、ちょうどブラジル旅行を予定していた人が持ち主とレストランで食事をしながら譲渡契約を結んだそうだ。

Tutaはメールボックス全体を暗号化していることで知られており、Eメール(件名と添付ファイル含む)、カレンダー、アドレス帳がエンドツーエンドで暗号化されている。暗号化されていないデータは、メールアドレスだけとなっている。

とはいえ、今時、対人でメールのやりとりをするのも稀だろうから、どれぐらい意味があるのか、という気もしなくもない。日本からTutaを使う場合、例えば日本のECサイトからの平文メールが、メールサーバーがあるドイツまで送られる間に、その気になれば盗み見されそうである（もちろん双方がTutaのメールアドレスの場合は、暗号化されてTutaも見ることはできない）。

そうなると復号化とドイツまでの距離の分、起動に時間がかかるメールサービスでしかない。そういう意味では、暗号化されたカレンダーの方が価値があるかもしれない。PCとAndroidのF-DroidのTutaアプリを使えば、PCとスマートフォンでカレンダーを共有できる。なお、もちろん、Google Play版もある。

8月に発覚したプライバシーマーク認証に関連する情報漏洩問題で、日本情報経済社会推進協会（JIPDEC）が13日、問題の続報を発表した。以前の記事の通り、漏洩の原因は、審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかったことから起きた（JIPDEC発表、ITmedia、日経クロステック）。

その結果、審査関連資料と審査員の個人情報が少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていた。また同期間中に、少なくとも3種類のランサムウエアによる攻撃を受けて暗号化されたファイルがあることも確認されたとのこと。最大888社の事業者の審査関連資料や審査員名簿が漏洩している可能性があるものの、現時点で不正利用の報告はないとしている。JIPDECは個人所有PCでの審査業務を全面禁止し、今後は貸与されたPCのみを利用して審査業務を行い、監視・点検を行う対策を実施するとしている。

短縮URLサービス利用時に不正サイトへの誘導がおこなわれる事例が増えているそうだ。過去に紹介されているようなQRコードのシール上書きと行った手法ではなく、短縮URLが乗っ取られた可能性が高いという。piyologでこの問題に関する記事がまとめられている（piyolog、Haruhiko Okumuraさんのポスト、shao as a serviceさんのポスト、情報通信工学科さんのポスト）。 この事例の一つであるいなげやは11月9日、一部店舗で掲示していたQRコードにアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表した。短縮URLサービス中の広告表示が原因と考えられている（いなげや：ネットスーパー入会案内における注意のお知らせ[PDF]）。

確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。

同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している（学習院大学リリース、オートバックスセブンリリース[PDF]）。

headless 曰く、

Google の検索広告を悪用し、トロイの木馬化した CPU-Z のインストーラーをダウンロードさせる不正広告攻撃キャンペーンが確認された (Malwarebytes のブログ記事、 BleepingComputer の記事)。

不正広告は CPU-Z の Google 検索結果に表示される。リンク先は普通のブログのように見えるが、リンクをクリックしたのが実際に CPU-Z をダウンロードしようとするユーザーだと判定すると偽の CPU-Z ダウンロードページにリダイレクトされる。偽ページは Windows Report の CPU-Z ダウンロードページをコピーしたものだ。

今回の不正広告攻撃との関連は不明だが、コピー元となった Windows Report の正規のページは最近削除されたようだ。11 月 6 日に保存された Google キャッシュでみると、ダウンロードリンクは CPU-Z の公式サイトにリンクしているが、ダウンロードされるファイルは CPU-Z 1.91 で、2019 年にリリースされた古いものだ。

一方、偽ページからダウンロードできるファイルはデジタル署名された MSIX インストーラーで、FakeBat として知られる悪意ある PowerShell スクリプトのローダーが含まれていたそうだ。スクリプトのペイロードは情報窃取型マルウェア Redline Stealer だという。

Google は BleepingComputer に対し、マルウェアを含む広告を許容しないと述べ、問題の広告を削除して関連するアカウントに適切な対応を行ったなどと説明したとのことだ。

NTT西日本の子会社であるNTTマーケティングアクトProCXで発生した個人情報流出の問題に対応するため、NTTの島田明代表取締役社長は、7日のNTT決算会見でUSBメモリの業務使用を一切禁じる方針を発表した（ケータイ Watch）。

島田社長は会見で事件について謝罪。NTTグループ内では、記録媒体の持ち込み禁止や操作を検知するソフトウェアの導入などルール化はされていたと説明。実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。

さらにUSBメモリーの業務使用に関しては、従来の「業務のなかで基本的には原則使わない」とする方針から、「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。同時に、操作検知の仕組みの徹底と抜き打ち監査も検討していると述べている。

農林水産省は、世界的な穀物不作や紛争による深刻な食料不足時に、国内の生産者に対し、高カロリー作物への転換を指示できる制度を検討する方針を決定した（NHK）。

食料安全保障の有識者会議で示された対応案によれば、極端な食料不足時には政府対策本部を設置し、さつまいもやコメといった高カロリー作物の生産者に対し増産を指示することが考えられている。同時に、野菜などほかの作物の生産者に対しても、高カロリー作物への転換を指示する可能性が検討されている。ただし、指示時には生産効率や栄養バランス、食生活への影響などを考慮する必要があるとしている。異論は出なかったとされ、今後は具体的な制度の検討が進められる予定としている。

Microsoft は 9 日、Windows Server 2012/R2 ファミリーで拡張セキュリティ更新プログラム (ESU) が利用可能になったと改めて発表した (Windows IT Pro Blog の記事、 BetaNews の記事、 BleepingComputer の記事)。

Windows Server 2012/R2 の延長サポートは 10 月 10 日に終了しているが、ESU の提供計画は以前から示されており、10 月 10 日から購入可能になっていた (Windows Server 2012 のライフサイクル)。ESU は 1 年単位で 3 年間提供され、1 年目からの連続購入が必要だ。これにより、最長で 2026 年 10 月 13 日まで重要なセキュリティ更新プログラムを受け取ることが可能となる。既に Windows Server 2012/R2 を Azure へ移行している場合、ESU は無料で自動的に適用される。なお、いずれの場合も 8 月 8 日以降のサービス スタック更新プログラムの適用が必要だ。スラドの皆さんの管理下に Windows Server 2012/R2 はどれぐらいあるだろうか。

10月に起きたガンダムメタバースの3Dデータ流出問題に関して、バンダイナムコエンターテインメントは7日、調査の結果を発表した。それによると、ガンダムメタバースの利用に必要なクライアントファイル内のデータが外部から解析され、同サービス向けに制作された3Dデータが公開されたことが確認されたとしている。運営チームは今後はセキュリティ対策を強化するなどの取り組みを行うとしている。なお流出当時、一部のデータは暗号化されていない状態で公開されていたことが指摘されている（バンダイナムコエンターテインメント、ねとらぼ）。

X（旧Twitter）で、ユーザーにスパムサイトへのリンクを誤ってクリックさせようとする手法が広がっているという。Xでは仕様変更でURLを含むポストのURLのテキストが表示されなくなり、サムネイル画像にリンクが貼られる形に変更された。サムネイルの左下にはリンク先のドメイン名が小さく記されているが非常に読みにくく気がつきにくい（警告を呼びかけるポスト、INTERNET Watch）。

悪意のあるユーザーがこの変更を利用して、スパムサイトへ誘導する新たな手法を見出したようで広が広がっているとのこと。具体的な手口としては、スパムサイトへのリンクを含む画像を4枚並べた投稿を作成し、それをサムネイルとして表示させる。この問題は10月下旬から発生しており、ユーザー自身が警戒する必要があるとされている。

headless 曰く、

Microsoft では Microsoft Authenticator に対するパスワードレスおよび多要素認証 (MFA) リクエストについて、怪しいリクエストの場合に通知のポップアップを抑制する機能のロールアウトを 9 月末までに完了したそうだ (Microsoft Entra (Azure AD) Blog の記事、 Neowin の記事、 Ghacks の記事)。

これにより 600 万件以上の怪しい通知が防がれており、その大半はハッカーによるもので、顧客にとって価値のないものだったという。これにより、大量の MFA 通知でユーザーが誤ってリクエストを承認することを狙った MFA 疲れ攻撃を阻止したとのこと。

さらに現在では、いつもと違う場所やその他の異変を示す要素を含むなど潜在的リスクのあるリクエストの通知表示抑制も開始しているそうだ。通知表示が抑制されても通知が削除されるわけではなく、Authenticator アプリを開けば通知が表示される。ユーザーはログインリクエストが送られたアプリや場所を確認し、ログイン画面で指定された数字を入力すればログインできる。

転職サイト「doda」で、法人ユーザーが本来閲覧できないはずの個人ユーザーの情報が閲覧可能になっていたことが判明したそうだ。不具合があったのは法人向けサービス「doda Request」機能。この不具合により、2018年8月7日から23年10月31日にかけて、約9万6338人の個人ユーザーの年齢、性別、居住地、学歴、資格、経験業種・職種、年収などが閲覧可能だった上、本来送信できないはずのスカウトメールの送信も可能だったとしている（パーソルキャリアリリース、ITmedia）。

問題は、過去の勤務先から情報を見られないようにするブロック機能の設計に不備があったこと。登録されている企業名の表記と個人ユーザーが登録した直近の勤務先会社名が、特定の条件（全角・半角・大文字・小文字の完全一致）を満たさないとブロック機能が動作しなかったことにある。

運営元のパーソルキャリアは現在、サービス提供を停止し、情報を閲覧された可能性のある個人ユーザーに連絡を取っているとしている。今後の再発防止策として、個人情報・機密情報の保護を強化する方針としている。

headless 曰く、

Discord では CDN で多数のマルウェアが配布されていると報告されたことを受け、ファイルのリンクを 24 時間の期限付きにするそうだ (Bleeping Computer の記事、 The Verge の記事、 Ghacks の記事)。

Trellix の調査によれば、Discord の CDN ではおよそ 10,000 件のマルウェアが見つかっているという。Discord が Bleeping Computer に語ったところによれば、年内にロールアウトするファイルリンク変更は CDN が恒久的なファイルホスティングに用いられることを避けるためのもので、Discord のサーバーにアップロードされてから 24 時間後にはファイルのリンクが無効になる。ただし、Discord 内ではリンクが自動で更新され、リンク切れになることはないとのことだ。

headless 曰く、

FIRST は 1 日、CVSS 4.0 を正式リリースした (プレスリリース、 ドキュメントとリソース、 HackRead の記事、 Bleeping Computer の記事)。

6 月に第 35 回 FIRST 年次カンファレンスでプレビュー版が公開された CVSS 4.0 では消費者向けの基本評価基準の粒状度がより細かくなり、下流の採点法からあいまいさを除いたほか、脅威の判定基準の単純化や、環境評価基準のセキュリティ要求度ならびに代替管理策の評価の有効性向上などが行われている。

また、攻撃の自動化可能性 (AU) や攻撃を受けた場合の復元可能性 (R)、1回の攻撃で支配下に置くことのできるリソースの密度 (V)、消費者による脆弱性対応の容易さ (RE)、評価提供者による緊急性評価 (U)といった補助的な脆弱性評価基準が追加されており、OT/ICS/IoT への追加の適用性が含まれるとのことだ。