パスワードを忘れた? アカウント作成
2023年のセキュリティ人気記事トップ10
17406636 story
暗号

日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 135

ストーリー by headless
詐欺 部門より
あるAnonymous Coward 曰く、

技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。

問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。

このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。

これにセキュリティ専門家の徳丸氏が米大統領官邸ホワイトハウスのウェブサイト (www.whitehouse.gov) でも Let's Encrypt の証明書を使用していることや、詐欺サイトの大半が Let's Encrypt を使用しているからといって、Let's Encrypt を使用しているサイトの大半が詐欺サイトとはいえないことを指摘したのを始め、それでは判断できないという声が多々上がっている。

16401881 story
暗号

1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 76

ストーリー by headless
復号 部門より
LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事9to5Mac の記事The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。
  • 少なくとも 12 文字、長ければ長いほどいい
  • 大文字・小文字・数字・記号を使う
  • 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
  • 自分だけのユニークなものにする
  • 個人情報は絶対に使わない
  • 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 272 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。272 という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

16427776 story
情報漏洩

Twitter のユーザーデータ 2 億件以上が流出、自分が含まれているかどうか確認した? 41

ストーリー by headless
確認 部門より
Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事The Verge の記事Ghacks の記事Have I Been Pwned の流出サイト情報Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。
16536547 story
スラッシュバック

「w6!j38?pa7J」と「CanYouCelebrate?」ではどっちが強力なパスワードか? 152

ストーリー by nagazou
回答の解説が悪いのでは 部門より

しんやさんのツイートによると、とあるセキュリティ研修で

問:下記のどちらが強力なパスワードですか? という問題が出たようだ(しんやさんツイートTogetter)。

1.「w6!j38?pa7J」
2.「CanYouCelebrate?」

この問題の正解は「2」。説明によると、

1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。

とのことだったようだ。このセキュリティ研修の問題はあちこちの企業で使われているらしく、Twitter上では「全く同じ問題出てみんな間違えてた」とする声が相次いでいた模様。

一方で2で正解なのが当然だとする指摘も出ている。その理由としてエクスリさんは

2は字数長い、全角半角記号まで使っている、生体情報的な単語がない、辞書攻撃リストにはあまりない文と固さの条件整っている上で忘れにくいわかりやすさだからなぁ

と解説している。また1のような複雑過ぎるパスワードは、メモされて画面やキーボードの裏とかに貼られたりする傾向があり、ソーシャルハックに弱いとする指摘もあった。

16496409 story
ビジネス

国内企業が有害性を認識しながらもPPAPを使い続ける理由 94

ストーリー by nagazou
横並び意識 部門より
東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている(情報処理学会ITmedia)。

調査の結果、64%にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16%の54社であったため、回答した組織の約80%がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42%に当たる93社がPPAPの廃止を検討中であるとしている。

PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88%は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5%にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。
16443527 story
お金

税務署が同姓同名の別人にe-Taxの識別番号と暗証番号を教えてしまう事案 35

ストーリー by nagazou
いくらなんでもザルすぎる 部門より
さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている(さわださんのツイートその2その3)。

さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。

nemui4 曰く、

善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい?

16575185 story
Windows

Windows 10 22H2、最終バージョンとして全エディション2025年10月14日までサポート 132

ストーリー by headless
最終 部門より
Microsoft は 4 月 27 日、Windows クライアントのロードマップ更新を発表した (Windows IT Pro Blog の記事The Verge の記事Neowin の記事Ars Technica の記事)。

Windows 10 のサポート終了日は 2025 年 10 月 14 日のまま変更されないが、現在最新のバージョン 22H2 が全エディションで最終バージョンとなる。これに伴い、バージョン 22H2 のサポート期間が変更された。一般提供チャネルでのリリースとなったバージョン 21H2 以降の Windows 10 では Home / Pro / Pro Education / Pro for Workstation の各エディションで 18 か月間、Enterprise / Education / IoT Enterprise の各エディションで 30 か月間の更新プログラム提供が行われていたが、 バージョン 22H2 では全エディションに 2025 年 10 月 14 日までセキュリティ更新プログラムの提供が続けられることになる。LTSC リリースに関しては、リリースごとに指定された期間のサポートが行われるとのこと。なお、日本版のライフサイクルでは現在のところ IoT Enterprise バージョン 22H2 のサポート終了日が 2025 年 5 月 13 日のまま更新されていないが、米国版では更新済みとなっている。

Windows 10 には機能アップデートが今後提供されないため、Mirosoft では機能アップデートが引き続き提供される Windows 11 への移行を推奨している。Windows 10 を使い続ける場合はバージョン 22H2 へのアップグレードが推奨される。また、Windows 11 Enterprise LTSC / IoT Enterprise LTSC を 2024 年下半期に提供開始する計画も示された。Windows 11 LTSC リリースの導入を計画している場合は、一般提供チャネルの Windows 11 バージョン 22H2 でテストすることが推奨されている。
19031729 story
セキュリティ

パスワードレス化、進んでる? 118

ストーリー by headless
進化 部門より
Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ (ニュースリリースBetaNews の記事)。

53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。

スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。
16519322 story
Windows

Windows 11 Insider Preview、VBScriptが削除可能なオプション機能に 54

ストーリー by headless
削除 部門より
Microsoft は 2 日、Windows 11 Insider Preview ビルド 25309 を Dev チャネルでリリースした (Windows Insider Blog の記事Neowin の記事)。

Windows Insider Blog の記事ではアナウンスされていないが、本ビルドでは VBScript がオプション機能としてアンインストール可能になっている。VBScript 機能をアンインストールするには、「設定」の「アプリ>オプション機能」で「VBSCRIPT」を選択して「アンインストール」をクリックすればいい。これにより、VBS ファイルの関連付けは削除され、HTA ファイルの VBScript も機能しなくなる。アンインストール後にオプション機能として再度追加することは可能だ。

VBScript は Internet Explorer (IE) でスクリプティングエンジンの一つとして導入されたが、Microsoft Edge を含めて他のブラウザーではサポートされず2019 年には IE11 でも無効化された。現在もローカルの Windows Scripting Host スクリプトや HTML アプリケーション (HTA) などで実行可能だが、脆弱性を含む可能性があり、Microsoft では代替がない場合を除き使用を推奨していない。

このほか本ビルドでは、ビルド 25281 で発見された新しい音量ミキサーのロールアウトが始まっている。ただし、現在は一部のデバイスで有効にしてフィードバックを受け付けている段階であり、Dev チャネルの全デバイスで利用可能になるまでには少し時間がかかるようだ。
16595680 story
Windows

Windows 11で設定にかかわらずデバイスが脆弱だと表示される問題が復活 23

ストーリー by headless
後退 部門より
Windows 11 の「Windows セキュリティ」でローカルセキュリティ機関の保護機能が設定にかかわらず無効であるかのように表示される問題について、Microsoft はいったん解決済みとマークしていたが、現在は再び未解決となっている (Windows 11 バージョン 22H2、既知の問題と通知: 米国版日本版Neowin の記事)。

この問題は Windows セキュリティで「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」という警告が表示されるものだ。警告はこのオプションがオンになっていても表示され、オンにすると再起動が要求されるが、再起動後も警告と再起動の要求が表示されたままになる。警告は「無視」をクリックすれば非表示化できるが、再起動は要求され続ける。問題が導入されたのは Microsoft Defender ウイルス対策マルウェア対策プラットフォーム バージョン 1.0.2302.21002 で、4 月リリースのバージョン 1.0.2303.27001 で修正された。

しかし、バージョン 1.0.2303.27001 ではインストール後にブルースクリーンエラーの発生や、一部のゲームやアプリの実行時にシステムが再起動するといった問題が確認されたため、提供を取りやめたという。バージョン 1.0.2303.27001 インストール済みの環境で上述の問題が発生した場合、「コア分離」の「Kernel-mode Hardware-enforced Stack Protection (カーネルモードのハードウェア強制スタック保護)」をオフにする必要があるとのことだ。現在のところ、バージョン 1.0.2303.27001の問題は米国版など英語の記事にのみ記載されており、日本版など英語以外の言語の記事にはまだ反映されていない。
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...