JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている。

提示されている「安全なパスワードの条件」は次の通り。

• パスワードの文字列は、長めにする（12文字以上を推奨）
• インターネットサービスで利用できる様々な文字種（大小英字、数字、記号）を組み合わせると、より強固になる
• 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
• 他のサービスで使用しているパスワードは使用しない

この理由についても説明されており、結局のところ記号を使って覚えやすさを損なうよりは、単純に文字数を増やした方がパスワード強度が高くなるということだそうだ。

「海賊版サイトをブロッキングする代わりに、権利者が海賊版サイトに直接DoS攻撃を仕掛ける」という提案が、「インターネット上の海賊版対策に関する勉強会」で出されている（ITmediaの記事1、記事2、日経xTECH）。

この提案は、日本IT団体連盟から出されたもの。海賊版サイトの対策として、権利者が自ら「権利者による海賊版サイトへのDoS攻撃」をするという提案だが、「犯罪行為だ」「正当防衛にならないのでは」「法治国家の発想ではない」という批判も出ている。

DoS攻撃はCloudflareのようなCDNサービスに対しては効果が薄いとされており、現実的ではないとういう批判もある。さらに、EDoS攻撃（相手に経済的損失を与えるDos攻撃）でも、CloudflareはDDoS攻撃を受けて生じた損害分は無料とするサービスを開始しており、有効ではないと考えられる（TechCrunch Japan）

なお、日本IT団体連盟はヤフーの川邊健太郎社長が代表理事/会長を、コンピュータソフトウェア協会や日本インターネットプロバイダー協会などの国内のIT関連組織関係者が理事を務めており、「参加企業数5000社、従業員数400万人に及ぶ国内最大のエンジニア集団を代表する団体であり、様々なノウハウを持っているため、より効果的なアクセス集中手段の実装について技術的支援を行える」などとも提案している。

Twitterで週末に「会社でWannaCryが蔓延したが自部署だけ被害なしで、会社の規定を無視して勝手にセキュリティアップデートやMS Security Essentialsをインストールしていたことがバレて大目玉」というツィートが話題になっていたようだ（Togetterまとめ）。

一連のツィートやその返信によると、ツィート者の会社ではセキュリティアップデートが放置されるなどの結果、過去3度も大規模感染事故が起こっており、酷いケースではVPN経由で顧客の環境にまで問題を引き起こしているが、その都度「気を付ける」といった対策しかとられていないという。一方で、無断でインターネットに接続することは禁じられており、個人的にセキュリティアップデートをダウンロードすることも出来なくなっているという。氏は無策な会社の方針には従わず、勝手にネットに繋いでセキュリティアップデートを当てていたということで、ウィルスで他の部署の業務が停止するなか、氏の部署は粛々と平常運転を続けたとのこと。会社からはネット無断接続を咎められたが、氏はほとぼりが冷めたらまたやるとツィートしている。

このツィートに対しては、ネット上では会社を批判して氏の行動を褒める意見がある一方、逆に自称セキュリティに詳しい人が勝手にやってやらかす事例もあるので良くないという意見も上がっている。スラドだと過去の巫女SEの一件などを思いだす感じだが、スラド読者諸氏はどう考えるだろうか？

北海道に拠点を置く北洋銀行（第二地方銀行）では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。

ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。

はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装ったサイトを作れば、口座番号も氏名も生年月日も、さらには暗証番号までも、すんなりと手に入れられてしまうだろう。

フィッシングに注意を促すべき銀行自体が、その手口を理解していないようにも思えるこの事案。あっちはダメでこっちはよいという、ダブルスタンダードを掲げる金融機関のセキュリティポリシーに疑問を感じざるを得ない。

最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが:p

米国の2019年度国防授権法（H.R.5515 — John S. McCain National Defense Authorization Act for Fiscal Year 2019）に13日、ドナルド・トランプ大統領が署名し、成立した（ホワイトハウスの発表、トランプ大統領の声明、副大統領の演説、The Verge）。

2019年度国防授権法では、Huawei製およびZTE製の通信機器について、政府機関のシステムで重要な要素として使用・調達・契約更新などを禁じている。政府機関は両社製の通信機器をシステムの重要な要素として使用する団体との契約も禁じられる。

また、HyteraやHikvision、Dahuaといった中国企業製のビデオ監視システム、国防長官や国家情報長官、FBI局長が中国政府の影響下またはつながりがあるとみなす企業の通信機器及びビデオ監視システムも同様の扱いとなる。

6月に上院で可決した国防授権法修正案ではZTEの輸出特権停止解除阻止が盛り込まれていたが、今回成立した下院の法案には含まれていない。その代わり、中国企業製の通信機器やビデオ監視システムの使用禁止条項が最終的に盛り込まれたようだ。

なお、2019年度国防授権法は現在闘病中のジョン・マケイン上院議員に敬意を払った名称となっている。トランプ氏は2015年、ベトナム戦争で捕虜になったマケイン氏を英雄とは認めないと発言し、その後英雄と認めたが、謝罪はしなかった。今回の法律に関する声明でも、マケイン氏については一切触れられていない。

サイバー攻撃の増加を背景に、経済産業省は2016年に「2020年には国内で19万3000人のセキュリティ人材が不足する」との予測を発表しているのだが、日経新聞が報じたところによると、実際の企業は人手不足にあると感じていないようだ（日経新聞）。

こうした温度差が生じたのは、経産省の予測は一般企業の各部門にもセキュリティ人材が必要、という「あるべき姿」に基づいて算出されたためだという。ところが実際には、多くの企業が自社でセキュリティ人材を揃えず外部に委託するという選択肢を選んだため、人手不足が発生していないという。またAI技術の進歩により、単純な監視業務などには人手が要らなくなったことも挙げられている。

セキュリティ予算を増やす企業も限られており、記事では、自社でセキュリティ人材を揃えたものの深刻な問題が起きないことから削減を検討している、といった例まで言及している。一方でサイバー攻撃の被害は年々深刻化しており、また今後はオリンピックに向けて攻撃が増えることも懸念されている。

なお、「情報セキュリティ人材の不足」に関しては以前より「情報セキュリティ人材」の定義が幅広すぎるのではないか、という指摘もある（デジタル・フォレンジック研究会）。

サイトにCoinhiveを設置していたサイト管理者が不正指令電磁的記録取得・保管罪で摘発された事件では、警察がどのような基準で摘発を行っていたのかが注目されており、有志が神奈川県に対し開示請求を行っていた。そしてこのたび、その結果が公開された（Togetterまとめ）。

公開された文章では、要件である「不正な指令」について「社会的に許容し得るものであるか否かという観点から判断します」とされているなど、具体例に欠けるものが多く、これだけでは利用者や提供者が個々のプログラムについて違法かどうかを判断することは難しいと思われる。

ロシアが米大統領選など他国の選挙を狙い、サイバー攻撃で盗み出した情報をリークしたり、SNSなどを使って世論の誘導を試みているという疑惑はたびたび報じられているが、中国もこういった手法を行っていると見られているそうだ（日経新聞、NHK、テレビ朝日）。

中国が介入を行った具体的な例としては、7月29日に行われたカンボジアの総選挙が挙げられている。中国は親中派のフン・セン首相を経済的に支援していることが知られているが（ニューズウィーク日本版）、選挙でもフン・セン陣営を支援するような工作が中国主導で行われていたという。

また、中国は他国もこういった工作のターゲットにしているのではないかと心配する声も出ている。その具体例として、来年のインドネシア大統領選、フィリピン中間選挙などが挙げられているほか、日本の沖縄県知事選、総裁選への影響もあるのではないかとの声もある。

第三者のIDを使ってNTTドコモのオンラインショップに不正アクセスし、他人名義でスマートフォン（iPhone X）の購入を行うという事件が発生している（共同通信、読売新聞、マイナビニュース、朝日新聞）。

piyologにて状況がまとめられているが、「約1000件」という被害件数は不正購入されたiPhone Xの台数であり、不正ログイン自体は約1800件だという。不正購入されたiPhone Xはドコモショップやコンビニなどで受け取られたとのことで、多くがすでに犯人の手に渡っているようだ。

NTTドコモはこれに対し、被害者には請求を行わない方針だという。

Intelが同社CPUの脆弱性対策のために公開した修正パッチのライセンスには、ベンチマーク結果の公表を禁止する条項が含まれているそうだ。この条項はパッチによってCPUの性能が低下することを隠す目的があるのではないかと指摘されているほか、こうしたライセンスがパッチ配布・適用の障害になるとも指摘されている（ZDNet、Linux向けマイクロコード、CNET、Slashdot）。

また、このライセンスはオープンソースライセンスとは矛盾するため、Debianではこのパッチの配布を保留したようだ（Register）。

Intelはこうした反応を受けてライセンスを修正、問題は解消されることとなった。