英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)は4月30日、サイバーセキュリティ用語としてこれまで使用してきた「whitelist」「blacklist」の使用をやめ、「allow list」「deny list」へ置き換えることをブログで発表した(NCSCのブログ記事、 The Registerの記事)。

現在、サイバーセキュリティの現場では「許可」「不許可」を示す用語として「whitelisting」「blacklisting」が普通に使われている。しかし、これは「white」を良い、「black」を悪いと結び付けた場合にのみ意味を成す表現であり、「allow list (許可リスト)」「deny list (不許可リスト)」と表現する方が明確だ。用語の置き換えはサイバーセキュリティから人種差別を取り除くのにも役立つという。

このような用語置き換えをする計画はないかと取引先から尋ねられたNCSCのEmma W氏は、なぜもっと前に気付かなかったかと自分の頭を叩き、すぐに変更すると喜んで回答したそうだ。W氏によれば、人種的ステレオタイプに影響を受けない人は幸運であり、悪い影響を受ける人にとっては価値ある変更とのこと。今後、NCSCはWebサイトでの用語置き換えを順次進めていく。ブログ記事が同様の変更を検討している組織を後押しすることにつながることも望んでいるとのことだ。

NCSCテクニカルディレクターのIan Levy氏は「これ(用語の置き換え)が狂ったポリティカルコレクトネスだと意見しようと思っているなら、その必要はない」と(NCSC運営委員会の全会一致による支持を受けたうえで)述べているそうだ。

Anonymous Coward曰く、

1月3日に放送された正月特番ドラマ「半沢直樹Ⅱ エピソードゼロ 狙われた半沢直樹のパスワード」でのITやセキュリティ、プログラミング関連描写が現実離れしていると、IT業界人からのツッコミが多数出ている模様（市況かぶ全力2階建、Togetterまとめ）。

『検索エンジン開発・運用を手がける新興IT企業が突然証券会社のトレーディングシステム開発のためのコンペに参加することになり、突如発生したシステムダウンのピンチを「プログラミング能力」で乗り切った新人プログラマーがプロジェクトリーダーとなって奮闘する』というあらすじからまずツッコミどころがあるが、作中ではプロジェクトの参加者が5人だったり、プロジェクトの総費用が数億円だったり、システム稼働日の朝にフィッシングが仕掛けられたりと、なかなかに現実離れしたストーリーだったようだ。

なお、現代っぽくKuberntesを使ったクラスタシステムで構築を行なうなど、出てくる単語だけは今時のトレンドワードが多く使われていた模様。

ソニーネットワークコミュニケーションズの光インターネット接続回線サービス「NURO光」で提供されているホームゲートウェイにはIPv6でのファイアウォール機能が設定されていないという話がQiitaで取り上げられている。NURO光のホームゲートウェイをデフォルトで利用している場合、利用者には複数のIPv6アドレスが提供され、家庭内で利用する各機器にグローバルIPv6アドレスが割り当てられ、さらにそれらに対し直接インターネットからのアクセスが可能になっているという。

また、NTT東西のフレッツ光でもLAN内でIPv6アドレスが割り当てられた機器に対し、フレッツのIPv6網内から直接アクセスできるという話がある（Qiitaの別記事）。こちらはフレッツ・v6オプションの仕様となっており、意図的なものとなっている。

英国防省(MOD)は8日、MODのシステムやサービスに関する脆弱性開示ポリシーを発表した(ガイダンス、 The Registerの記事、 HackerOne報告ページ)。

MODへの脆弱性報告はHackerOneを使用するが、あくまで脆弱性開示プログラムであり、報奨金は支払われない。手間暇をかけて脆弱性を報告する人を評価すると述べる一方、脆弱性開示と引き換えに金銭的補償を求めることは禁じている。

このほか、違法行為や必要以上のデータアクセス、データ改変、MODスタッフやインフラストラクチャーに対するソーシャルエンジニアリング攻撃や物理的な攻撃、DoSなどが禁じられる。また、悪用できない脆弱性やTLS構成の弱さなどに関する報告は受け付けない。データ保護のルールに従ってデータを扱い、必要のなくなったデータを破棄することなども求められる。

このようなポリシーに従って脆弱性を報告する限り、報告者が訴追されることはないとのことだ。

Anonymous Coward曰く、

ついに本日1月14日でWindows 7のサポートが終了する（INTERNET Watch）。今後は一部法人向けの有償サポート契約者向け以外にはセキュリティアップデートは提供されず、新たな脆弱性が見つかっても原則として対応は行われなくなる。

また、明日15日の12時以降は、Windows 7マシンを起動すると全画面で「お使いのWindows 7 PCはサポート対象外になっています」との案内が表示されることになるようだ。

ドコモ口座を悪用した不正引き落とし問題が大ごとになっている。当初は七十七銀行のみの問題とみられたが、全国の地方銀行でも同様の引き落としが発生していることが判明した。このため現在は35行すべてで連携が停止している。ドコモは再発防止策として本人確認を厳格化するとしている。（朝日新聞、共同通信t）。

当初ドコモ側は一部銀行の銀行口座登録などを行うことで対処していたが、最終的にはすべての提携金融機関でのサービス申込受付が停止されたなど対応が二転三転した。ただ10日の午前段階では、すでに口座連携済みのドコモ口座に関してはまだチャージが可能とされ、口座の持ち主が気がついておらず、発覚していない場合は引き落としが可能。このため被害拡大が収まったとはとても言えない状況だ。

今回の件の大きな問題は、ドコモのキャリア契約をしていなくてもドコモ口座のアカウントは作りたい放題だったこと、ドコモ口座を利用していないどころか携帯やスマホを持っていなくても、ドコモ口座の提携銀行に口座を持っていれば誰でも被害に遭う可能性がある点にある。このほか、去年の5月にもりそな銀行から同様の不正引き出しが起きていたとも報じられている（NHK、毎日新聞）。

当初の被害は地方銀行口座がほとんどだったが、今はゆうちょ銀行とイオン銀行などでも被害が報告されている（朝日新聞）。9日時点のITmediaによるドコモへの取材によると、被害にあった地方銀行に関してはいずれも『Web口振受付サービス』を使ってドコモ口座と連携していたそうだ。

このシステムの場合、ドコモ口座側から預金口座振替の新規登録が可能となっていた。つまりネットバンキング口座のないユーザーでも被害に遭う可能性がある。また、いずれも登録には口座番号と名義、4桁の暗証番号の3点を利用していたとも話しているとのこと。

これらの話や被害者などの発言などから、ネット上では4桁の暗証番号だけを固定して口座番号を総当たりするリバースブルートフォースとIPアドレスを変えて攻撃を気付かれにくくするパスワードスプレーが使われたのではないかという推測が出回っている模様。

また今回の被害について、ドコモに被害を通知しても無関係だと言われ、当初はドコモ側に信じてもらえない事例も複数発生していたようだ（NHK）。

ドコモは10日、被害者に全額補償する方向で銀行と協議を開始した模様（共同通信）。

あるAnonymous Coward 曰く、

職場でEndpointセキュリティ製品として「Symantec Endpoint Protection」を使用している。2021年度の予算検討で販売代理店からSymantec Endpoint Protectionの見積もりをとろうとしたところ、販売代理店を通じ、2019年8月にSymantec社を買収したBroadcom(以降、ブロードコム)社から以下のような通知があった（Microsoft）。

「製品販売の制度ならびに提供価格の変更」(抜粋)
1.価格表やルールの刷新
2.追加契約や更新契約の廃止。全て新規買い直しへ変更
3.これまでの継続的な特別価格提供の廃止
※上記の変更に伴い、ブロードコム社による個別の販売店さまおよびお客さまとの交渉の実施、ならびに特別価格での提供などは今後行われません。また、上記変更に関しては例外措置も一切ございません。
以上

そして、販売代理店から「Symantec Endpoint Protection」の見積をとったら2020年度に対し2021年度は3倍程度の値上げとなっていた。また、2022年度以降も約10%程度の値上りが見込まれていると言う。
価格を出すとユーザーが特定されるので詳細情報は出せないが、数千ライセンスの購入で1ライセンスあたり2020年度が約500円だったのに対し、2021年度は約1500円になっている。

Symantecのサイバーセキュリティ事業が2019年8月にブロードコムに買収され、2020年1月には、その中のサービス事業のみがAccentureに買収された(2020年3月に買収完了)。法人向けセキュリティ製品はAccentureの買収対象外となっている。ブロードコム社はどのようなビジネスを想定しているのだろうか？これではエンタープライズ向け製品においてSymantecは大幅にシェアが低下するであろう。

Microsoftの「Symantec 製品ご利用中のお客様に捧げる Microsoft セキュリティへの移行のススメ」というプレゼンにもあるように、次回のライセンス更新時は3倍の値上げになるといったタレコミにあったような告知事例が多く発生しているようだ。

Let's Encryptがルート証明書の切り替えに向け、古いバージョンのAndroidへの対策をサイトオーナーとユーザーに呼びかけている(Let's Encryptのブログ記事、 The Registerの記事)。

5年前にLet's Encryptが立ち上げられた際にはIdenTrustのクロス署名を得たルート証明書「DST Root X3」を使用することで、メジャーなソフトウェアプラットフォームすべてで信頼される証明書をすぐに発行することが可能だったという。しかし、DST Root X3は2021年9月1日に失効する(ただし、実際に証明書を見ると有効期限は日本時間2021/9/30 23:01:15となっている)。他のCAからクロス署名を得た証明書を使い続けることはリスクが高いため、Let's Encryptでは既に独自のルート証明書「ISRG Root X1」を発行している。このルート証明書はメジャーなソフトウェアプラットフォームから信頼されているが、2016年以降更新されていないソフトウェアには信頼されない。Androidではバージョン7.1.1よりも古いバージョンが該当するとのこと。

Androidは更新されない古いバージョンが多数存在することで知られるが、Android Studioのデータによると9月時点でAndroid 7.1よりも古いバージョンのシェア合計は33.8%(StatCounterの10月分Androidバージョン別シェアデータでは18.87%)だったという。DST Root X3が失効するまでにAndroidの古いバージョンが使われなくなることは期待できないため、Let's Encryptでは早めに情報を提供することでサイトオーナーと古いバージョンのAndroidユーザーに事前の対策を促している。

三菱電機を狙ったサイバー攻撃が行われ、さまざまな情報が流出したことが報じられているが（過去記事）、この攻撃にはトレンドマイクロのセキュリティソフト「ウイルスバスター」の脆弱性が悪用されていたという（共同通信）。

トレンドマイクロのセキュリティソフトに関しては、法人向け製品での脆弱性対応が遅いとの指摘も出ている。

なお、共同通信の記事タイトルでは問題のセキュリティソフトを「ウイルスソフト」と呼んでいることも話題になっている。

過去にウォルマートが独占販売していた「Jetstream」ブランドのWiFiルーター、およびAmazonやeBayで販売されている「Wavlink」ブランドのWiFiルーターに不審なバックドアが見つかったそうだ。いずれも古い製品だが、手頃な価格で入手可能であったことから当時は人気があったようだ（Cyber​​News、Mashable、GIGAZINE）。

この二つのブランドのルーターには、ルーターを通じて接続されている機器すべてのデバイスを制御可能なバックドアが仕掛けられていたとしている。このバックドアを発見したCyber​​Newsのチームは、Jetstreamの販売元であるウォルマートに状況を把握しているかどうか認識しているか確認を取ったが、現在確認中という回答があったという。製品については現在販売していないとしている。

もう一つのWavlinkルーターでは、近くのWi-Fiを一覧表示し、それらをネットワークに接続する機能を備えたスクリプトが含まれていた。これらのバックドアが積極的に悪用されているという証拠も見つかっているという。これらのルーターは、接続しているデバイスをマルウェアMiraiのボットネットに端末を追加しようとする試みるという。リモート制御された端末はボットネットの一部として被害者のルーターをリモートで制御されてしまう。実際に2016年に発生したDynDNSへのDDoS攻撃で悪用されたとしている。

この二つのブランドであるWavlinkとJetstreamは「Winstars Technology Ltd.」という深圳の企業の子会社らしいが、他に「Ematic」と言うブランドもあり、対象ブランド、製品は今回の報告に留まらない可能性が高いとしている。