LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事、 9to5Mac の記事、 The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。

• 少なくとも 12 文字、長ければ長いほどいい
• 大文字・小文字・数字・記号を使う
• 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
• 自分だけのユニークなものにする
• 個人情報は絶対に使わない
• 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 2⁷² 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。2⁷² という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事、 The Verge の記事、 Ghacks の記事、 Have I Been Pwned の流出サイト情報、 Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。

東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている（情報処理学会、ITmedia）。

調査の結果、64％にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16％の54社であったため、回答した組織の約80％がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42％に当たる93社がPPAPの廃止を検討中であるとしている。

PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88％は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5％にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。

しんやさんのツイートによると、とあるセキュリティ研修で

問:下記のどちらが強力なパスワードですか?　という問題が出たようだ（しんやさんツイート、Togetter）。

1.「w6!j38?pa7J」
2.「CanYouCelebrate?」

この問題の正解は「2」。説明によると、

1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。

とのことだったようだ。このセキュリティ研修の問題はあちこちの企業で使われているらしく、Twitter上では「全く同じ問題出てみんな間違えてた」とする声が相次いでいた模様。

一方で2で正解なのが当然だとする指摘も出ている。その理由としてエクスリさんは

2は字数長い、全角半角記号まで使っている、生体情報的な単語がない、辞書攻撃リストにはあまりない文と固さの条件整っている上で忘れにくいわかりやすさだからなぁ

と解説している。また1のような複雑過ぎるパスワードは、メモされて画面やキーボードの裏とかに貼られたりする傾向があり、ソーシャルハックに弱いとする指摘もあった。

さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている（さわださんのツイート、その2、その3）。

さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。

nemui4 曰く、

善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい？

先日、税務署が同姓同名の別人にe-Taxの識別番号等を教える取り違いが起きたばかりだが、島根県安来市でも17日、同姓同名の別人の顔写真を印刷したマイナンバーカードを、1人に交付してしまったことが発表された。同市では撮影した顔写真を共有サーバーに氏名別に保存しているが、フォルダー名が同じだったため、後から保存した1人分の写真データのみが上書きされて残ってしまったというのがトラブルの原因であるそうだ。カードを受け取った人物からの連絡で判明した。誤発効されたカードでは、氏名や住所、生年月日、個人番号は正しく表記されており、顔以外の情報漏えいはなかったという（朝日新聞、読売新聞）。

nemui4 曰く、

税務署に続いてマイナカードで取り違え事案

　市は「チェック体制の強化を図り、再発防止に努める」としている。

「間違えないように確認する」チェック体制ではない事をいのります。
そもそも間違えないシステムか交付前に誤りを見つけて訂正できる仕組みを作るのは難しいかな。

headless 曰く、

Microsoft は日本時間 11 日、Windows 8.1 最後の更新プログラムとなる KB5022352 (月次ロールアップ) および KB5022346 (セキュリティのみの更新プログラム) を提供開始した。

これをもって Windows 8.1 の延長サポートは終了し、テクニカルアシスタンスとソフトウェア更新プログラムが提供されなくなる。Windows 8.1 では有償の拡張セキュリティ更新プログラム (ESU) が提供されないため、デバイスのセキュリティを維持するにはサービス期間内の新しいバージョンの Windows にアップグレードする必要がある。デバイスが新しいバージョンの Windows でサポートされない場合、Microsoft は Windows 11 マシンへの置き換えを推奨している (Microsoft サポートの記事)。なお、Windows Server 2012 / 2012 R2 の延長サポートは 10 月まで、以降 2026 年 10 月まで ESU が提供される。

一方、Windows 7 (Professional および Enterprise) / Server 2008 R2 では同日提供が始まった KB5022338 (月次ロールアップ) およびKB5022339 (セキュリティのみの更新プログラム)をもって ESU の 3 年目が終了 (製品ライフサイクルに関するFAQ — 拡張セキュリティ更新プログラム)。ESU は最大 3 年間となっているため、Windows 7 / Server 2008 R2 の更新プログラム提供も今回で終了となる。こちらも Windows をサービス期間内のバージョンにアップグレードするか、デバイス自体を置き換える必要がある。

Security.org の調べによると、米国のアンチウイルスユーザーの 61.2 % が無料のアンチウイルスソフトウェアを使用しているそうだ (2023 Antivirus Market Annual Report、 BetaNews の記事)。

調査は 2022 年、インターネットを利用して米国在住の成人 1,003 人を対象に行われたもので、参加者は米国人のデモグラフィックに一致するよう調整されている。調査時点で 85 % の参加者がアンチウイルスソフトウェアを使用しており、2021 年の 77 % から増加している。アンチウイルス使用率が低いと感じるかもしれないが、対象デバイスは PC だけでなく携帯電話やタブレットも含まれているためとみられる。

米国人の 75 % 近くがコンピューターにはアンチウイルスが必要だと信じており、アンチウイルスユーザーの 32.4 % が有料ソフトウェアを利用しているという。有料・無料の合計が 100 % にならないので、どちらかわからないという回答が 6.4 % あるためだ。推計で 3,300 万世帯が代金を払ってアンチウイルスソフトウェアを使用しているが、有料ソフトウェアはアンチウイルスだけでなく VPN やパスワードマネージャー、セキュアブラウザーといった追加のセキュリティ機能が利用できるものが多い。回答者の 7 % が 6 か月以内にアンチウイルスソフトウェアを購入したいと回答しており、推計で米国人 1,600 万人に相当するとのこと。

無料ソフトウェアのシェアは Microsoft Defender (39 %) が最も高く、Malwarebytes (14 %) とAvast (13 %)、McAfee (10 %) が 10 % 台で続く。有料ソフトウェアは Norton (29 %) と McAfee (24 %) で半数を超え、他のソフトウェアのシェアは 1 桁またはそれ未満となっている。過去 12 か月間でウイルスの影響を受けたという回答者は全体で 8 %。うち Windows が 8 % で、macOS が 5 %、その他が 4 % となる。Windows は Mac よりもウイルスの影響を受けやすいというイメージもあるが、実際には大差ないようだ。また、有料ソフトウェアユーザーでウイルスの影響を受けたのは 10 % だったのに対し、無料ソフトウェアユーザーは 8 % となっている。

スラドの皆さんは有料のアンチウイルスソフトウェアを使用しているだろうか。有料ソフトウェアが良いよねと思った理由は何だろう。

米国防総省の機密文書が流出した問題では、犯行の容疑者としてマサチューセッツ州の空軍州兵が13日にFBIによって逮捕されている（BBC、その2）。

あるAnonymous Coward 曰く、

逮捕されたのはマサチューセッツ州の空軍州兵に所属するジャック・テシェイラ容疑者（21歳）。肩書はcyber defence operations journeymanのthe rank of Airman 1st Class。生涯有効な秘密保持契約を結んでいた一方、最高機密のセキュリティクリアランスを保持していたということで、下っ端IT管理者に不要に大きな権限付けてたらやらかされた的なしょうもない事件かもしれない（日経新聞）。

14日には容疑者はボストンの連邦地方裁判所に初出廷し、スパイ法違反で起訴された。被告は空軍州兵の情報部門に所属していたとされる。今回の情報流出経路とされているオンラインのゲーム・チャットグループのリーダーだったとのこと。

Microsoft は 4 月 27 日、Windows クライアントのロードマップ更新を発表した (Windows IT Pro Blog の記事、 The Verge の記事、 Neowin の記事、 Ars Technica の記事)。

Windows 10 のサポート終了日は 2025 年 10 月 14 日のまま変更されないが、現在最新のバージョン 22H2 が全エディションで最終バージョンとなる。これに伴い、バージョン 22H2 のサポート期間が変更された。一般提供チャネルでのリリースとなったバージョン 21H2 以降の Windows 10 では Home / Pro / Pro Education / Pro for Workstation の各エディションで 18 か月間、Enterprise / Education / IoT Enterprise の各エディションで 30 か月間の更新プログラム提供が行われていたが、 バージョン 22H2 では全エディションに 2025 年 10 月 14 日までセキュリティ更新プログラムの提供が続けられることになる。LTSC リリースに関しては、リリースごとに指定された期間のサポートが行われるとのこと。なお、日本版のライフサイクルでは現在のところ IoT Enterprise バージョン 22H2 のサポート終了日が 2025 年 5 月 13 日のまま更新されていないが、米国版では更新済みとなっている。

Windows 10 には機能アップデートが今後提供されないため、Mirosoft では機能アップデートが引き続き提供される Windows 11 への移行を推奨している。Windows 10 を使い続ける場合はバージョン 22H2 へのアップグレードが推奨される。また、Windows 11 Enterprise LTSC / IoT Enterprise LTSC を 2024 年下半期に提供開始する計画も示された。Windows 11 LTSC リリースの導入を計画している場合は、一般提供チャネルの Windows 11 バージョン 22H2 でテストすることが推奨されている。