headless 曰く、

Lansweeper の推計によると、企業で使われている Windows デバイスの半数以上が自動更新で Windows 11 にアップグレードできないそうだ (Lansweeper のブログ記事、 The Register の記事)。

推計値は 6 万件の組織で使われている Windows デバイス 3,000 万台のデータを元にしたものだ。ワークステーションの 91.05 % が Windows 11 の RAM 要件を満たす一方で、CPU 要件を満たすのは 44.4 %、TPM 要件を満たすのは 52.55 % に過ぎないという。ただし、TPM を搭載しているものの互換性がないか、有効になっていないワークステーションも 28.19 % あり、まったく TPM 要件を満たさないのは 19.26 % となっている。

仮想マシンのワークステーションでは 44.9 % が CPU 要件を満たす一方、RAM 要件を満たすのは 66.4 % にとどまり、99.74 % で TPM が有効になっていない。ただし、Windows ではこれまで TPM が要件になったことがなく、仮想マシンでも TPM パススルーにより TPM が利用できるもののほとんど使われていなかったため、驚くべき結果ではないとのこと。

サーバーで TPM が有効になっているものはほとんどなく、今後 Microsoft が Windows Server に Windows 11 と同じ要件を設定した場合、大半がそのままではアップグレードできないことになるとのことだ。

自治体などの行政手続きで利用されているデジタルIDサービス「xID」に、法的な問題があるとして自治体の利用停止の動きが広がっているようだ（高木浩光@自宅の日記、読売新聞、なか2656のblog）。

xIDは本人がスマホアプリにマイナンバーを入力しxIDを生成する仕組み。このxIDのシステムに関して高木浩光氏がマイナンバー法2条8項にある「裏個人番号」に該当するのではないかと指摘している。同氏によれば「裏個人番号」は、法的にはマイナンバーと同等のものになるという。マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。

マイナンバー法では、マイナンバーは税・社会保障・災害対応の3項目の利用目的以外は認められていない。また先の目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止している。xIDアプリにマイナンバーを入力させることが違法なマイナンバーの収集にあたるのではないかということになる。

xIDは加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済。しかし高木氏などの指摘を受けて利用停止する動きが出ているという。読売新聞によれば、加賀市は9月末に全申請を停止。愛媛県はこのアプリ経由の登録者のデータを削除、別方式で再登録を行った。東京都渋谷区はアプリ導入を撤回。川崎市や岐阜県も使用できないように設定変更したとしている。

日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル（いわゆるPPAP）の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている（日立リリース）。

LINEの親会社であるZホールディングは18日、3月に発覚したLINEの個人情報保護問題（その1、その2）に関して特別委員会による最終報告を発表した（Zホールディングリリース、Bloomberg、NHK）。

報告書では委託先の中国の企業がLINEのデータにアクセスしていたことに関しては、経済安全保障への配慮が不足していたと指摘。また、各種データが韓国のデータセンターに保存されていたにもかかわらず、ユーザーや中央省庁などに対して主要サーバーやユーザーデータは日本国内にあるとする事実に反する説明を一部で行っていたと認定し、それによりLINEの企業としての社会的な信頼を損なうものとなったとしている。

その上で中国企業からのアクセス問題に関しては、経済安全保障への適切な配慮ができていなかった、これを見直す体制が整備できていなかったとした。また顧客の個人データが韓国内に保存されていた件に関しては報告書の中で、

LINE 社が、LINE アプリが日本のサービスとして受け入れられることを重視し、韓国とのかかわりを正面に出さないコミュニケーションをしていたことに、本質的な問題点があったと判断しました。

としている。

三井住友銀行は終活向けサービスとして、利用している資産や葬儀の希望に関する遺言などやSNSやECサイトのID・パスワードを遺族に残すためのサービス「SMBCデジタルセーフティボックス」を10月1日から提供し始めた。利用料金は2022年2月までの利用は無料でそれ以後は月額990円（三井住友銀行リリース、SMBCデジタルセーフティボックス　商品説明書（お客さま用）[PDF]、ITmedia）。

このサービスでは、テキストベースで様々な情報を登録できる。指定したタイミングや相続発生時などに、事前に指定した受取人にのみ内容が閲覧できる仕組み。ただ現時点の機能一覧を見る限り、2月以降の正式リリースにならないと情報の登録は三井住友銀行の情報端末でしか行えない模様。受取人に関しては、PCやタブレット・スマートフォン等で情報を見ることができるようだ。24時間利用可能となっているが、毎週日曜日の21時～翌月曜日7時まではシステムメンテナンスのため利用停止になるとしている。

あるAnonymous Coward 曰く、

総務省は日本郵政が顧客のデータを企業に販売できるように法改正を目指しており、そのため個人情報保護ガイドラインを来年夏までに見直すことがわかった（産経新聞）。

日本郵政グループは郵便物の配達状況から全国各地の住所について居住実態・自動車の保有状況・店舗の開店閉店情報などを把握している。
今後、その居住者情報を災害時に自治体に提供することで安否確認に利用したり、自動車保有状況をデータベース化して自動車販売ディーラーに販売し営業に利用してもらうなどの新規事業を想定している。

郵便配達という誰しもが利用しているサービスが個人情報を吸い上げ売り物にする、というのはいささかセンシティブで議論の余地がありそうだ。せめて各顧客の同意を得てからでないとダメなのでは？

なおこうした総務省の方針に対して、高木浩光氏は郵便局員への住民の見方が変わってしまう点や住居侵入などの犯罪に当たる可能性があるといった問題提起を行っている（高木浩光氏のツイート）。

headless 曰く、

米中央情報局 (CIA) はトランプ政権下の 2017 年、ジュリアン・アサンジ氏の拉致や殺害の計画を立てていたそうだ( Yahoo! News の記事、 The Verge の記事 )。

アサンジ氏は 2010 年に英国・ロンドンで逮捕されたが、保釈中の 2012 年に政治亡命を求めて在英エクアドル大使館に入り、2019 年に保釈中の逃亡罪で逮捕されるまで滞在し続けた。その間英警察はアサンジ氏が大使館から一歩でも出れば逮捕しようと待ち構えており、拉致や殺害など現実的な話ではなかった。

しかし、当時 CIA 局長に就任したばかりのマイク・ポンペオ氏を始め、CIA 上層部は WikiLeaks が CIA のハッキングツールを公開するプロジェクト「Vault 7」 に恥をかかされて冷静さを失っていたのだという。この計画は違法なだけでなく、アサンジ氏の訴追にも影響するとの懸念もあり、ホワイトハウスの法務チームの反対もあって最終的に実行は承認されなかったとみられる。さらにロシアがアサンジ氏をモスクワに逃がそうとしているとの情報が入り、CIA は計画変更を余儀なくされる。

その結果、エクアドル大使館の周囲にはアサンジ氏を逃がそうとするロシアとそれを防ごうとする米英の情報機関が集まり、半径3ブロック以内にいるすべての人は3国いずれかの情報機関関係者ともいわれる状況になっていたという。ただしアサンジ氏が実際に大使館を抜け出すことはなく、2019 年 4 月にロンドン警視庁が大使館内でアサンジ氏を逮捕している。

あるAnonymous Coward 曰く、

ビットコインの値上がりが止まらない。何度も暴落しては最高値を更新し続けている仮想通貨ビットコインだが、２０日未明に６万6976ドルまで上昇し、史上最高値を更新したそうだ（Bloomberg）。

背景には米SECがビットコインETFを初めて承認したことで市場が好感したそうだが、実のところ、コロナ禍で各国政府が通貨を過剰供給（ばら撒いた）ことで各国通貨の信用不安が起きているのではないかと推察している。
諸兄らはどう考えるだろうか。

Amazon傘下のゲーム実況配信配信サイト「Twitch」が外部からハッキングされ、大規模な情報漏洩が発生している。犯行を行った人物は、Twitch全般に対して不満を持っていたとみられており、批判のコメントとジェフ・ベゾス氏を揶揄するような画像とともに流出したデータのリンクを「4chan」上にリンク（削除済み）したとしている（VGC、Game Spark 、ITmedia、日経新聞）。

Twitchの運営会社である米Video Games Chronicleはデータが本物であることを認めているという。今回、流出した情報の中には、Twitch自体に関連するソースコードや、動画配信者に支払われた金額、独自SDKと内部AWSサービス、Amazonが準備していたSteam対抗サービスのソースコード、セキュリティツールなどが含まれ、そのデータサイズは約125GBにも及ぶとしている。各メディアではTwitchユーザーにはパスワードの変更などを行うといった対策を推奨している。

Microsoft の WHQL で署名されたルートキット (ドライバー) 「FiveSys」が見つかり、発見者の Bitdefender が報告している (Bitdefenderのブログ記事、 ホワイトペーパー、 Neowin の記事)。

FiveSys は中国のゲームプレイヤーをターゲットにしており、1 年以上前から活動しているとみられる。ルートキットの動作としてはプロキシを使用してインターネットトラフィックをリダイレクトし、認証情報の窃取やゲーム内購入のハイジャックを狙うというものだ。

6 月にも同様のルートキット「Netfilter」が見つかっているが、Bitdefender によればこのようなルートキットは増加しているという。その理由として、x64 ベースの Windows ではカーネルモードのドライバーに Microsoft の署名が必須な点が挙げられる。FiveSys や Netfilter の作者は Microsoft のチェックを迂回して署名を取得したとみられ、署名はユーザーに正規のソフトウェアだと信じさせる効果もあるとのことだ。