ExpressVPN の調査によると、米国人の 40 % が自分の苗字がパスワードに含まれると回答したそうだ (ExpressVPN のブログ記事、 HackRead の記事)。

調査はモバイル投票サービス Pollfish を利用し、米国の成人 1,000 名にパスワードの選択について質問したものだという。調査報告書はまだ完成していないようだが、その一部が紹介されている。

パスワードに含められることが最も多い個人情報は誕生日 (43.90 %) で、ペットの名前 (43.80 %) が続く。本人の名前ではファーストネームが 42.30 % で最も多く、ラストネーム (苗字) とミドルネーム (31.60 %) の順になっている。また、子供の名前 (37.50 %) や元パートナーの名前 (26.10 %) といった自分以外の名前も多く使われているが、現パートナーの名前はリストに出現しない。このほか、電話番号 (32.20 %) や社会保障番号 (30.30 %) を使う人も多い。

その結果、5 人に 2 人はパスワードを作るときに自分の名前を少し変えたものを使うと回答し、43 % は自分の愛する人がパスワードを推測できるだろうと回答しているという。平均的な人は 6 サイト/プラットフォームで同じパスワードを使っているとのこと。それでも 81 % は現在のパスワードでセキュリティとプライバシーが十分に守られていると考えているそうだ。

日本人はキーボードの並びをパスワードで使用する人が多いといい、自分の名前をパスワードに含める人は少ないかもしれないが、スラドの皆さんはいかがだろう。なお、世界全体で最も多く使われているパスワードは相変わらず「123456」だが、日本では「159753qq」が最も多いとのことだ。

インターネットバンキング「みずほダイレクト」でのトラブルがネットで話題になっているようだ。トラブルに遭ったのは声優の民安ともえさん。同氏は10月26日にみずほダイレクトが突然利用できなくなったと投稿。みずほに問い合わせしたところ「不正利用の疑いを検知したため、緊急でインターネットバンキングのサービスを止めた」との説明を受けた。その後「不正利用はなかった」ことが確認されたものの、インターネットバンキングは使えないままになってしまったようだ（民安ともえさんのツイート、ITmedia）。

急ぎの振込が必要だったことから民安さんが食い下がると「1か月間の利用履歴が確実に本人のものであると確認ができれば再度開通できる」と返答されたという。不正利用の疑いで勝手に凍結した上、ユーザー側が書面での再利用手続きをするまでは使用できないといった、疑いが払拭された後のみずほ側の対応に疑問を感じたとしている。

なおみずほ銀行は紙の通帳のオンライン化を進めている。しかし、みずほダイレクトが使用できない場合は、オンラインでの利用履歴の確認できないと思われるため、いざというときに1か月間の利用履歴を確認できるようにするには、紙の通帳も用意しておいたほうがいいということになりそうだ。

大阪・住吉区の「大阪急性期・総合医療センター」で、10月31日に電子カルテのシステム障害が発生し、診療を停止した。原因はランサムウエア。31日午前7時ごろ、電子カルテのシステムに障害が発生し閲覧などができなくなったという（大阪急性期・総合医療センターリリース[PDF]、TBS NEWS DIG、産経新聞、NHK）。

病院のサーバーには「すべてのファイルを暗号化した。復元のためにはビットコインで支払え」などとする英文のメッセージが届いたという。同病院は31日朝から緊急以外の手術や外来診療などを停止、患者約600から1000人に影響があったとみられている。1日にリリースを出し同日の17時現在、復旧のめどが立っていないことから当面の間、休診とさせていただくとする告知をおこなっている。

カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。

研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている

実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント、ブラウザーの閲覧履歴などのほか、男女にかかわらず露出度の高い女性の写真 (非ヌード) を格納し、これに合わせた性別の実験者が合計 16 の修理サービスプロバイダー (全国規模 4、地域規模 4、地元業者 8) に修理を依頼。Windows のステップ記録ツールと監査ポリシーを用いて修理担当者の操作内容を記録している。なお、実験にあたっては修理担当者のプライバシーにも配慮したとのこと。

このうち 2 件のサービスプロバイダー (地域 1、地元 1) では実験者の目の前で修理を終わらせており、別の地元修理業者 2 件では記録したデータが取り出せなかったという。残り 12 件のうち、4 件で修理担当者が「ドキュメント」フォルダーにアクセスしており、5 件で「ピクチャ」フォルダと露出度の高い女性の写真にアクセスしたそうだ。

こういった個人ファイルへのアクセスは修理依頼者が女性の場合に多く、男性の場合はそれぞれ 1 件にとどまる。一方、ブラウザーの閲覧履歴に修理担当者がアクセスしたのは 2 件で、修理依頼者はいずれも男性だった。このほか、2 件では修理担当者が顧客のデータをコピーしており、5 件ではアクセスしたファイルの履歴などを消去したという。

このような状況を消費者も不安に感じているようだ。112 名を対象に実施したアンケート調査では、故障したデバイスを修理しなかった人の 33 % (スマートフォン/タブレット: 79 人中 26 人、PC: 70 人中 23 人)がプライバシーを理由に挙げているとのことだ。

KDDIは2日に2022年度上期（2023年3月期上期）の業績を発表した。連結売上高は前期比4.4％増の2兆7408億円を記録。その一方で連結営業利益は、通信障害への対応などの影響によりて前期比2.5％減の5585億円となったという。ケータイ Watchの記事では発表後の高橋誠代表取締役社長らによる質疑応答がおこなわれている（ケータイ Watch）。

質疑応答での主な話題はやはり通信障害に関するものだが、その中で7月の大規模障害が発生して以降、緊急時の連絡が取りやすいように幹部以上は完全にデュアルSIM化しているほか、スマートウォッチを2台つけて、24時間365日寝る間もずっとアラームが来るように設定したという。高橋氏はデュアルSIMにはauに加えてドコモのものを入れているとしている。

また緊急時のローミングの導入に関しては、代替性の確保は先の通信障害で本当に実感したとして、積極的に参加して実現を目指す立場だとしている。また先日話題となった呼び返しについても導入検討しているが、コア（ネットワーク）側の変更が必要であるため時間を要するとしている。また一つのキャリアのコアネットワークに障害が起きたときに、すべてのトラフィックが、救済事業者側に行くと、そちらのトラフィックが耐えられなくなる問題についても解決していく必要があると話している。

サンフランシスコ警察（SFPD）が容疑者を殺害するためのロボット配備の許可を市の監督委員会に請願しているという。SFPD側は一般市民や警官の命が失われる危険が差し迫っていると主張している。この提案にはすでに理事会の内外から大きな反発が出ているようだ。SFPDは現在、爆弾処理などに用いる十数台の遠隔操作ロボットを保持している。爆弾処理ユニットには、爆弾処理のために空砲のショットガンが装備されているが、これを実弾に変更すれば当然のことながら攻撃用として転用もできるとのこと（サンフランシスコ警察による方針案[PDF]、Engadget）。

経済産業省の委託事業「コンテンツ緊急電子化事業」特設サイトのドメインが第三者によって取得され、別のウェブサイトが運用されているとして経産省が注意を呼びかけている。運営されているサイトは、元のコンテンツ緊急電子化事業のページをほぼそのままのかたちで復元。その中に別のサイトへのリンクを紛れ込ませるという手法でフィッシングをおこなう手段を用いている模様（経済産業省リリース、INTERNET Watch）。

INTERNET Watchの記事によれば、該当の偽サイトでは更新履歴の最上段にさりげなくリンクを紛れ込ませるという手法が取られているという。また記事中では、当事者である経済産業省が「アクセスしないよう、御注意ください」で済ましているのがあまりにもお粗末だと指摘している。

Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した (セキュリティアドバイザリー、 ESET のツイート、 Neowin の記事、 Ars Technica の記事)。

発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。

一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。

これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。

NortonLifeLockとAvastの吸収合併が11月7日に完了した。NortonLifeLockはセキュリティソフトの「Norton」とパスワード保護システム構築企業の「LifeLock」やアンチウイルスソフトのAviraを持っており、AvastがAVGやCCleanerを2016年と2017年に買収していることから、この合併により、Norton、Avast、LifeLock、Avira、AVG、CCleaner、ReputationDefendeといったセキュリティソフトを提供する新企業が誕生した。新たな企業の名前は「Gen Digital」となり、CEOはNortonLifeLock時代のVincent Pilette氏が引き継ぐという（Gen Digital、PC Watch、ITmedia）。

headless 曰く、

フランスの学校では無料の Microsoft Office 365 Education を使用できないとの見解を国民教育・青年省が示している (国民教育・青年省の回答、 The Register の記事、 Siècle Digital の記事)。

この見解は 8 月にフィリップ・ラトンベ下院議員が示した懸念 (PDF) に答える形で出されたものだ。ラトンベ氏は無償提供がダンピングに相当し、競争を阻害する可能性があること、データが米国のサーバーに保存されてデジタル主権が損なわれる可能性があることなどを指摘していた。

国民教育・青年省では、無償のサービスが公共調達の対象にならないと説明。また、デジタル省庁間総局 (DINUM) は Microsoft Office 365 が政府のクラウド中心政策の要件を満たさないとの見解を示しており、政府の政策がEU域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した EU 司法裁判所の Schrems II 判決にも合致すること、データ保護当局 (CNIL) が米国にデータを送信しない Office スイートを使用するよう勧告していることなどを挙げ、GDPR に違反する Microsoft や Google のソリューションを展開しないよう要請しているとのこと。

ラトンベ下院議員の質問はもともと国民教育・青年大臣のパプ・エンジャイ氏にあてたものだが、エンジャイ氏も省の見解に同意しているとのことだ。