Android Police がスマートフォンを購入する際にアップデート提供を重視するかどうかという投票を実施しているのだが、60 % 近くが最も重要な要素だと回答している (Android Police の記事)。

10 日 17 時の段階で 3,049 票が投じられており、アップデート提供によるサポートが最も重要な要素だという選択肢が 1,780 票 (58 %) を獲得している。ある程度重要だという回答も 1,106 票 (36 %) を獲得しており、ある程度以上アップデートを重視している人は 95 % にのぼる。スマートフォンの購入にあたってアップデート提供によるサポートは重要ではないという回答は 134 票 (4 %) だが、意外に多い気もする。スラドの皆さんは、スマートフォン購入時にアップデート提供の頻度をどの程度気にするだろうか。

認証セキュリティをもくぐり抜ける新手の詐欺「SIMスワップ詐欺」が日本国内でも発生しているという。SIMスワップ詐欺は、「SIMハイジャック」や「SIM分割」とも呼ばれるもので、SNS上などで個人情報を集め、こうした人物の情報を元に本来の持ち主になりすましてSIMを再発行、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける手口だという（TBS NEWS DIG）。

TBS NEWS DIGによれば、このSIM再発行をアルバイトにさせるという闇バイトがSNS上で横行しているという。この報道によれば、報酬1回8万円ほどであるようだ。犯行をおこなっているグループは、貯金など現金を持っている人をリスト化してターゲットにし、端末の電話番号を乗っ取った上で2要素認証などをクリアし、ネットバンキングの口座から現金を奪うという方法を用いているとしている。

LastPass が不正アクセスに関するブログ記事を更新し、11 月に発表した 2 回目の不正アクセスでは攻撃者が顧客のパスワード保管庫のバックアップをコピー可能な状態であったことを明らかにした (LastPass のブログ記事、 The Verge の記事、 Ars Technica の記事、 The Register の記事)。

8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。

これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップをコピー可能だったという。なお、攻撃者が暗号化されていないクレジットカード情報にアクセスした痕跡はないとのこと。

保管庫はプロプライエタリなバイナリ形式でウェブサイトの URL など暗号化しないデータと、ウェブサイトのユーザー名とパスワード、フォーム入力データなどの暗号化されたデータが格納されている。暗号化されたフィールドには 256-bit AES 暗号化が用いられており、顧客だけが知るマスターパスワードでのみ復号できる。

これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。

米ニューヨーク南部地区連邦検事局は 20 日、ジョン F ケネディ国際空港 (JFK) のタクシー配車システムをハックしていた米国人の男 2 人の逮捕を発表した (プレスリリース、 The Verge の記事、 Ars Techinica の記事)。

JFKではタクシーが公平に客を乗せられるよう配車システムが導入されており、空港で客を乗せたいドライバーは待機場の駐車場で配車を待つ必要がある。しかし、待ち時間は数時間に及ぶこともあり、ドライバーの売り上げへの影響が大きい。

そこで 2 人は配車システムを悪用して料金を支払ったタクシーに優先的な配車を行うビジネスを考案。ロシアのハッカーの力を借りて配車システムのハックに成功し、2019 年 9 月から 2021 年 9 月にかけて料金 10 ドルで優先的な配車を行っていたという。

他のドライバーを勧誘することによる料金免除やグループチャットを利用したドライバーとの連絡などによりビジネス規模を拡大し、多い日は 1,000 回の詐欺的な配車を行ったとされる。2 人はそれぞれコンピューター侵入の共謀罪 2 件に問われており、最大で 10 年の実刑判決を受ける可能性があるとのことだ。

headless 曰く、

米教育出版大手マグロウヒルが Amazon S3 バケットの誤設定により、同社のオンライン学習プログラムを利用する学生 10 万人以上のデータを公開状態にしていたそうだ (vpnMentorのブログ記事、 The Register の記事、 HackRead の記事)。

発見した vpnMentor は今年 6 月 12 日、マグロウヒルのものとみられる 2 つの S3 バケットが公開状態になっているのを発見。1 つは本番用バケットでデータ量 12 TB 以上、4,700 万個以上のファイルを含む。もう 1 つは開発用バケットでデータ量 10 TB 以上、6,900 万個以上のファイルを含んでおり、合計でデータ量は 22 TB 以上、ファイルは 1 億 1,700 万個以上におよぶ。

vpnMentor では倫理的なルールに従って調査を行い、少数のサンプルのみを確認したため全容は不明だが、推定で学生 10 万人分以上の個人を特定可能な情報 (PII) が含まれていたという。データは 2015 年からアクセス可能な状態にあったが、実際に悪意ある第三者がデータにアクセスしたかどうかは不明だ。マグロウヒルは米三大教育出版社の一つで以前からオンライン学習プログラムを開発していたが、COVID-19パンデミックを受けて事業の拡大が加速したとのこと。

vpnMentor はマグロウヒルへの連絡を 6 月 13 日から 7 月 4 日までに 9 回試みたが返信はなく、US-CERT への連絡も 6 月 27 日から 7 月 4 日までに 4 回試みたが返信はなかったという。そのため、マグロウヒルのウェブサイトでライブチャットを通じてサイバーセキュリティ責任者の連絡先を入手。9 月 8 日・19 日・21 日と電子メールを送り、9 月 21 日にようやく届いた返信で個人情報を 7 月 20 日に削除したと知らされたとのことだ。

楽天グループは2023年1月17日付で「楽天会員規約」を一部改定するという（「楽天会員規約」改定のお知らせ）。改訂されるのはパスワードに関連する項目で、改定前では、

アカウントを利用するためのIDおよびパスワードは、他人に知られることがないよう定期的に変更する等

の記載があったものが、改訂後は

第三者に推測されにくい複雑なパスワードにする、ログイン状態の端末を第三者に利用させないようにする、第三者の端末を利用してログインした場合には利用後にログアウトする

といった内容に変更された。パスワードの定期的な変更はさまざまなサイトで推奨されていたが、2018年に総務省の「国民のための情報セキュリティサイト」の内容が変更され、その必要性がないことが明示されている。内閣サイバーセキュリティセンター（NISC）からも、パスワードを定期変更する必要はない旨が告知されている（インターネットの安全・安心ハンドブック - NISC）。

Microsoft は 16 日、来年 2 月 14 日に予定している Internet Explorer 11 (IE11) 完全無効化の詳細を発表した (Windows message center、 Windows IT Pro Blog の記事)。

以前の発表では 2 月の月例更新プログラム (B リリース) で IE11 を完全無効化する計画だったが、Microsoft Edge アップデートを通じた完全無効化に変更された。これに伴い、1 月 17 日に予定されていたオプションの更新プログラム (C リリース) での一足早い IE11 完全無効化はとりやめとなった。

IE11 のサポートは 6 月に終了しており、現在は IE11 から Microsoft Edge へのリダイレクトを順次増加させている段階だ。まだリダイレクトされていないデバイスに関しては、2 月 14 日以降の Microsoft Edge アップデートが適用された段階でリダイレクトが行われるようになる。そのため、IE11 を必要とする組織は 2 月 14 日までに IE モードによる Microsoft Edge への移行を済ませなければ業務に支障が出る可能性もある。

楽天では楽天のサービスにログインした際に、ログイン日時等の情報をメールで知らせるログインアラート機能を全員に提供する方針だという。ヘルプ・問い合わせトップに記載された内容によると2023年1月以降、すべての楽天会員を対象に段階的に適用を開始するとしている（楽天ヘルプ・問い合わせ）。

この新しいログインアラート機能(ベータ版)では、普段利用していない環境から天IDを使ったログインが確認された場合、登録のメールアドレスにログイン通知メールを送信するもの。内容としてはログイン日時、IPアドレス、ログインの場所:国名（英表記）となるという。なお、楽天会員情報の管理画面からの設定可能なログインアラート機能に関しては2023年1月中旬頃に廃止される予定であるとしている。

これとは別の話題となるが、楽天関係なのでまとめて。日経クロステックの記事によれば、楽天グループが自社所有環境のプライベートクラウド「One Cloud」を拡充していく方針であるという。同社ではブリッククラウドで稼働させているシステムが多数あるが、今後は原則としてOne Cloudにまとめていくとしている。グループ全社の集約を進めてコスト効率を高めるほか、IT基盤のノウハウを蓄積し安定稼働やセキュリティー強化につなげるとしている（日経クロステック）。

11月末、東京都の杉並区職員が住基ネットにログインし、個人情報を知人に漏洩した事件で、警視庁は杉並区職員とその知人を再逮捕した（産経新聞、日刊ゲンダイ、朝日新聞）。

容疑者は20人以上の個人情報を不正に閲覧していたという。容疑者は暴力団関係者からの依頼を受けて人探しをしていたと見られている。閲覧対象の中には暴力団関係者や過去に逮捕されていた人物も含まれていた模様。区職員の容疑者は静脈認証で住基ネットにログインできる権限を持っており、2018年以降、二十数人の個人情報を業務目的以外で閲覧していたとされる。

米フォーブス誌によれば、「TikTok」の運営企業である中国のIT大手「バイトダンス」の従業員が、同誌の複数の記者のデータにアクセスしていたと報じている。フォーブスでは、バイトダンス幹部による社内向けメールなどの資料を入手。これを元にTikTokと中国政府とのつながりに関連した報道をおこなっており、この記事の情報がどこから漏れたかを把握するため、記者の位置情報などにアクセスしていたという。同社は内部調査を実施したところ、23日に複数の従業員がメディアへの情報流出源を特定目的で記者の個人情報に不正にアクセスしていたことを認めた。関係者を解雇するなどの処分をしたとしているが、具体的な人数などに関しては公開されていないという（東京新聞、朝日新聞、AFPBB News）。