NOBAX曰く、

3月1日、総務省の「国民のための情報セキュリティサイト」の内容が変更され、「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。」という内容となりました（日経新聞）。

パスワードの定期的な変更はかえって危険という事はいろいろな方面で言われており、例えば「パスワードは定期的に変更してはいけない」--米政府や実は危ない、パスワードの定期変更（日本経済新聞）などといった記事もあります。

Windowsや多くの金融機関のホームページなどでは定期的なパスワードの変更を要求してきますが、今後、どのような対応になるのでしょうか。

Microsoftは1日、IntelプロセッサーのSpectre/Meltdown脆弱性を修正するマイクロコードアップデートをMicrosoft Updateカタログで提供開始した(Windows Experience Blogの記事、 KB4090007、 Neowinの記事、 The Vergeの記事)。

当初は第6世代Coreプロセッサー Skylake H/Sおよび第6世代Core mプロセッサー Skylake U/Y/Skylake U23eが対象で、CVE-2017-5715(Spectre Variant 2)を修正するマイクロコードアップデートが含まれる。IntelからMicrosoftに提供され次第、追加のマイクロコードアップデートを随時提供する予定だという。現在のところ更新プログラムが対応するWindowsバージョンはWindows 10 バージョン1709(Fall Creators Update)とWindows Server バージョン1709(Server Core)となっているが、サポートされている他のWindowsバージョンについてもMicrosoft Updateカタログ経由で更新プログラムを提供すべく作業を進めているとのことだ。

コンサルティング企業 CyberEdgeの調査リポート2018 Cyberthreat Defense Reportによると、ランサムウェアに身代金を支払ってデータを復元できたのは半数に満たないそうだ(ニュースリリース、 The Registerの記事)。

調査対象は17か国・19業種、従業員500名以上の企業に勤務するITセキュリティプロフェッショナル1,200名。国別の内訳は米国29.2%、英国8.3%、ドイツ・フランスが6.3%、日本など10か国が4.2%、メキシコなど3か国が2.8%となっている。

2017年にランサムウェアの被害にあったという回答は55%。このうち身代金を支払わなかったのは61.3%で、53.3%(支払わなかったうちの86.9%)がオフラインバックアップなどからデータを復元しているが、8%(同13.1%)はデータを失っている。一方、身代金を支払ったのは38.7%で、データを復元できたのは19.1%(支払ったうちの49.4%)、データを失ったのは19.6%(同50.6%)だという。身代金を支払えばデータを復元できるという信頼関係により成立するともいわれるランサムウェアビジネスだが、実際にはあまり信頼できないようだ。

国別にみると、ランサムウェアの被害率が高いのはスペイン(80.0%)、中国(74.0%)、メキシコ(71.9%)、被害率が低いのはドイツ(39.2%)、日本(42.9%)、オーストラリア(46.0%)となっている。企業規模別では従業員5,000名～9,999名の企業で被害率が最も高く(63.4%)、500名～999名の企業は最も低い(49.3%)とのことだ。

Windows 7のサポート期間は2020年1月までだが、IDCの調査によるとWindows 7からの移行計画がある日本企業は55.2％だという。

2016年秋の調査ではこの数値は38.2％だったとのことで、Windows 7のサポート終了に対する備えが進んでいるとは見られるものの、まだ具体的な切り替え計画がある企業は少ないという。

コレガが2013年に発売した無線LANルーター「CG-WGR1200」に複数の脆弱性があることが公表された。すでにコレガによるサポートは終了しており、ファームウェアの修正などコレガによる対策は実施されない。そのため、利用者に対しては使用停止が推奨されている（INTERNET Watch）。

JVN#15201064によると、存在が明らかになった脆弱性はバッファオーバーフローおよびOSコマンドインジェクション、認証不備の3つで、第三者によって任意のコードやOSコマンドの実行、ログインパスワードの変更などが行われる可能性があるという。

コレガの無線LANルーターに対しては過去にもサポートが終了した機器に脆弱性が見つかり、使用中止が呼びかけられたことがあった（過去記事1、過去記事2）。

昨年、SymantecがSSL/TLS証明書関連事業をDigiCertに売却することが報じられた。これに関連して、英国のSSL/TLS証明書再販業者・TrusticoがDigiCertに対し、Trusticoが販売したSymantecの証明書が「汚染」されていると主張、無効にするよう求めたそうだ。DigiCertがその証拠を求めたところ、Trusticoは証明書の秘密鍵を暗号されていないメールで送りつけるという暴挙に出たという（mozilla.dev.security.policyグループへの投稿、register、Boing Boing、GIGAZINE）。

本来販売された証明書の秘密鍵はその所有者（購入者）のみが保有しているはずで、なぜTrusticoが秘密鍵を保有していたのかは不明。これに加えてメールで秘密鍵を送ることも、証明書を発行する認証局に対する要件を定めるBassline Requirements（BR）に違反している。そのためメールで送りつけられた秘密鍵に関連する23000件の証明書が無効化される事態になったという。

TrusticoはかつてSymantecの証明書を扱っていたがDigiCertとは取引しておらず、SymantecがDigiCertに事業を譲渡した後はComodoの証明書の再販を行っている。また、ChromeやFirefoxでは今年後半にSymantecブランドの証明書が無効化される予定。そのため、Symantec系の証明書を現時点で無効化させることで顧客を強制的にComodoの証明書に移行させることをもくろんでいるのではないかとみられている（registerの続報）。

Google Chromeで保存したパスワードをCSVファイルにエクスポートする機能が利用可能になっている(Android Policeの記事、 The Next Webの記事)。

この機能を使用するには、chrome://flagsで「Password export (chrome://flags/#PasswordExport)」を「Enabled」にしてChromeを再起動すればいい。これにより、設定画面のパスワード管理ページ(Windows版では「パスワードを管理→保存したパスワード」の右側)にメニューボタンが追加され、メニューからエクスポートが実行可能になる。

エクスポートを実行する際、Windows版ではWindowsのログインパスワード、Android版では画面ロックの解除操作を要求された。エクスポートしたファイルはCSV形式なので、扱いには注意が必要だ。このCSVファイルは他のパスワードマネージャーにインポートできるほか、chrome://flagsで「Password import (chrome://flags/#PasswordImport)」を「Enabled」にすれば、Chromeにインポートすることも可能だ。

Chrome Devではこれらの機能がデフォルトで有効になっているようだ。安定版のChrome 64ではMac/Windows/Linux/Chrome OSでフラグ設定が可能になっており、Chrome 65ではAndroidでも設定できるようになっている。

あるAnonymous Coward曰く、

三菱東京UFJ銀行は2015年にネットバンキングでの認証に使用していた乱数表を廃止し、ワンタイムパスワードへの移行を発表しているが（過去記事）、現在でも一部のサービスで乱数表が必要な状況だった。しかし2018年7月15日以降、乱数表が完全に廃止されるという（三菱東京UFJ銀行の発表）。また、同時に従来必要だった「契約番号」の代わりに、代表口座の店番・口座番号でもログインが可能になる。

これにより、同サービスが提供するすべての機能を利用するために必要な情報が一種類減り、利用者は負担が減る。同サービスは平成28年6月12日から、主要な取引でワンタイムパスワード（スマートフォンアプリまたはカード）の利用が必須となっている。

セキュリティ・プライバシ関連研究家の高木浩光氏が個人情報保護委員会の主催するイベントWebサイトに対し、個人情報保護の視点から不備が存在すると指摘している（個人情報保護委員会ゥァア゛ーッ ドガシャア）。

このサイトにはイベント参加申込のために氏名や社名、メールアドレスなどの情報を入力するページがあるのだが、ここに表示されている「個人情報の取り扱いについて」という項目においては取り扱い主体の記載が記載されていない。個人情報保護委員会は一昨年にもイベントの告知サイトで同様に個人情報の取り扱い主体をを記載しないという問題を起こしていたという。

また、このサイトで使われているドメインが.go.jpでない点についても指摘が入っている。

先日AMDのRyzenおよびEPYCプロセッサに脆弱性があるとの報告、開示プロセスを巡っては批判という話題があったが、この脆弱性開示はAMDの株価下落を狙ったものではないかという指摘が出ている（ITmedia、、CNET Japan）。

問題の脆弱性については、そもそも悪用するためには攻撃対象のマシンの管理者権限が必要であるという内容から疑問の声が出ており、たとえばLinuxの開発者であるLinus Torvalds氏はGoogle+への投稿とその返信でこの問題について「この報告それ自体がゴミで単に注目を集めるのが目的」「BIOSやCPUマイクロコードを邪悪なものに置き換えられることがセキュリティ問題と言えるのか」「セキュリティアドバイザリをよく分からないままオウム返しのように広めることこそが問題だ」などとセキュリティ業界やメディアを批判している。

さらに、問題の情報が公開されてからわずか2時間50分後に「この脆弱性によってAMDの経営に危機が訪れる」といった内容の33ページに及ぶレポートが、Viceroy Researchという調査会社によって作成されていたことも発覚。Viceroy Researchは煽動的なレポートを出して株価操作を行うことで知られており、CTS LabsとViceroy Researchが結託してAMDの株価操作を狙ったのではないかという疑惑も出ている（GIGAZINE）。