headless曰く、

英政府通信本部（GCHQ）の国家サイバーセキュリティセンター（NCSC）は21日、繰り返し使われているパスワード上位10万件のリスト「PwnedPasswordTop100k.txt」を公開した（NCSCのブログ記事、BetaNews、The Guardian）。

リストはTroy Hunt氏の協力の元、Have I Been Pwned?が収集した流出データから抽出したものだ。トップの「123456」は毎年のように最悪のパスワードに挙げられているが、Have I Been Pwned?のデータでは2,300万回出現するそうだ。49,562位の「oreocookie」でも3,000回以上出現するといい、リストに含まれるパスワードを使用している場合は即刻変更する必要があるとのこと。

弱いパスワードは使用者のデータが侵害される原因となるだけでなく、組織のネットワークが侵害される可能性もある。そのため、以前からGCHQでは繰り返し使われるパスワードのブラックリストを用い、システム側で設定できないようにすることを推奨している。リストの件数を100万件ではなく10万件にとどめたのは、ユーザーによる良いパスワードの選択を難しくしすぎず、弱いパスワードの選択を避けられるようにできるようバランスを考慮したものとのことだ。

自分が使用しているパスワードはリストに含まれていなかったが、スラドの皆さんが使用しているパスワードはいかがだろうか。

GoogleがAndroid標準のマルウェア防御サービスとして2017年に導入した「Google Play プロテクト」だが、ドイツの独立系ITセキュリティ機関 AV-TESTが2か月ごとに実施しているAndroid向けアンチウィルスソフトウェアのテスト結果によると、2年近く経過した現在もマルウェア検出性能は向上していないようだ(The best antivirus software for Android: March 2019、 Softpediaの記事)。

AV-TESTのAndroid向けアンチウィルスソフトウェアのテストでは、マルウェア(AV-TESTが初めて検知してから24時間以内の最新マルウェア/最近4週間に流行中のマルウェア)の検出率を評価する「Protection」と、パフォーマンスへの影響や誤検出(Google Playで公開されているアプリ/サードパーティーのアプリストアで公開されているアプリ)を評価する「Usability」にそれぞれ最大6点、追加機能を評価する「Features」に最大1点が割り当てられる。AV-TESTの認定証が授与されるのは、合計13点満点中8.5点以上取得したソフトウェアだ。

Google Play プロテクトは2017年9月分から評価対象に追加されているが、認定証は一度も獲得できていない。検出率はテスト対象の平均が最新マルウェア/流行中のマルウェアともに90%台後半なのに対し、Google Play プロテクトのスコアはいずれも40%台～70%台を推移しており、Protectionのスコアは常に0点だった。一方、Usabilityではパフォーマンスへの影響(バッテリー消費/速度低下/データ通信量)はなく、昨年7月分までは誤検出も0だったため、6点満点を獲得していた。しかし、以降は少数の誤検出がみられるようになり、スコアが低下していた。3月分ではGoogle Playで公開されているアプリの誤検知数が189(サンプル数1,867)、サードパーティアプリストアで公開されているアプリの誤検知数が26(サンプル数936)まで大幅に増加し、スコアは3点となった。Featuresのスコアは0点であり、合計のスコアも3点にとどまる。

3月分でテストされたのは合計19本。Google Play プロテクト以外はすべて検出率が99%を超えており、誤検出数は最大5。12本が誤検出0だ。13点満点を獲得した8本のうち、ESET Endpoint Security / Kaspersky Internet Security / Norton Mobile Security / Trend Micro Mobile Security の4本は検出率100%。Usabilityのスコアは誤検出による減点が大きいようで、満点を獲得した8本はすべて誤検出0となっている。