あるAnonymous Coward 曰く、

技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。

問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。

このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。

これにセキュリティ専門家の徳丸氏が米大統領官邸ホワイトハウスのウェブサイト (www.whitehouse.gov) でも Let's Encrypt の証明書を使用していることや、詐欺サイトの大半が Let's Encrypt を使用しているからといって、Let's Encrypt を使用しているサイトの大半が詐欺サイトとはいえないことを指摘したのを始め、それでは判断できないという声が多々上がっている。

LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事、 9to5Mac の記事、 The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。

• 少なくとも 12 文字、長ければ長いほどいい
• 大文字・小文字・数字・記号を使う
• 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
• 自分だけのユニークなものにする
• 個人情報は絶対に使わない
• 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 2⁷² 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。2⁷² という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事、 The Verge の記事、 Ghacks の記事、 Have I Been Pwned の流出サイト情報、 Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。

しんやさんのツイートによると、とあるセキュリティ研修で

問:下記のどちらが強力なパスワードですか?　という問題が出たようだ（しんやさんツイート、Togetter）。

1.「w6!j38?pa7J」
2.「CanYouCelebrate?」

この問題の正解は「2」。説明によると、

1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。

とのことだったようだ。このセキュリティ研修の問題はあちこちの企業で使われているらしく、Twitter上では「全く同じ問題出てみんな間違えてた」とする声が相次いでいた模様。

一方で2で正解なのが当然だとする指摘も出ている。その理由としてエクスリさんは

2は字数長い、全角半角記号まで使っている、生体情報的な単語がない、辞書攻撃リストにはあまりない文と固さの条件整っている上で忘れにくいわかりやすさだからなぁ

と解説している。また1のような複雑過ぎるパスワードは、メモされて画面やキーボードの裏とかに貼られたりする傾向があり、ソーシャルハックに弱いとする指摘もあった。

東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている（情報処理学会、ITmedia）。

調査の結果、64％にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16％の54社であったため、回答した組織の約80％がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42％に当たる93社がPPAPの廃止を検討中であるとしている。

PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88％は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5％にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。

さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている（さわださんのツイート、その2、その3）。

さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。

nemui4 曰く、

善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい？

Microsoft は 4 月 27 日、Windows クライアントのロードマップ更新を発表した (Windows IT Pro Blog の記事、 The Verge の記事、 Neowin の記事、 Ars Technica の記事)。

Windows 10 のサポート終了日は 2025 年 10 月 14 日のまま変更されないが、現在最新のバージョン 22H2 が全エディションで最終バージョンとなる。これに伴い、バージョン 22H2 のサポート期間が変更された。一般提供チャネルでのリリースとなったバージョン 21H2 以降の Windows 10 では Home / Pro / Pro Education / Pro for Workstation の各エディションで 18 か月間、Enterprise / Education / IoT Enterprise の各エディションで 30 か月間の更新プログラム提供が行われていたが、 バージョン 22H2 では全エディションに 2025 年 10 月 14 日までセキュリティ更新プログラムの提供が続けられることになる。LTSC リリースに関しては、リリースごとに指定された期間のサポートが行われるとのこと。なお、日本版のライフサイクルでは現在のところ IoT Enterprise バージョン 22H2 のサポート終了日が 2025 年 5 月 13 日のまま更新されていないが、米国版では更新済みとなっている。

Windows 10 には機能アップデートが今後提供されないため、Mirosoft では機能アップデートが引き続き提供される Windows 11 への移行を推奨している。Windows 10 を使い続ける場合はバージョン 22H2 へのアップグレードが推奨される。また、Windows 11 Enterprise LTSC / IoT Enterprise LTSC を 2024 年下半期に提供開始する計画も示された。Windows 11 LTSC リリースの導入を計画している場合は、一般提供チャネルの Windows 11 バージョン 22H2 でテストすることが推奨されている。

ASCII.jpの記事によると、データセンターの見学に招待される記者らは、記事執筆においての制約が多く、とくに所在地の公開や撮影に関しては強い制限があるという。一部のデータセンター事業者は情報公開に寛容ではあるものの、条件が複雑すぎて、事実上撮影は無理なことから、広報から提供された写真を使うことも増えたという（ASCII.jp）。

とはいえ、実際には秘匿すべきデータセンターの所在地はググれば簡単に出てくる。またタクシーで「●●のデータセンターまでおねがい」と言えば、特段住所を言わなくても黙って連れて行ってくれるなんて話も普通にあるとのこと。

記者らは仕事柄データセンターを自然な存在として受け入れられるが、一般の人から見た場合、これらの設備はセキュリティの厳重な「窓のない、なぞの巨大建築物」と感じられるのではないかと指摘する。記事では知識の無い高齢者がデータセンターの設備を見た場合、不審に思うだろうとし、情報の閉鎖性が一般の人々に対するデータセンターへの認知や理解を妨げていると指摘している。

セキュリティなどの面から、将来的なデータセンターの地方分散が謳われているが、その際にはGoogleの印西データセンターのように見た目からGoogleらしさをアピールして、より理解されるために外見をわかりやすくすることが重要なのではないかとしている。

共同通信の調査によれば、マイナンバーカードの自主返納が5月以降、少なくとも318件あったことが判明しているという。都道府県庁所在地と政令指定都市の計52市区を対象に、国外転居やカードの破損などの理由ではなく、本人の希望に基づく自主返納数を調べたという（日経新聞）。

自主返納数を把握していたのは29市で、5月以降の最新データを合計した結果、計318件となった。最多は堺市の44件だった。4月時点では自主返納数を把握していた24市のうち15市はゼロで、残る9市の合計は21件だった。しかし、5月以降には誤登録などのマイナンバー関係のトラブルが相次いたことから、情報漏えいへの不安や不信感から返納数が急増したとみられている。

先日、税務署が同姓同名の別人にe-Taxの識別番号等を教える取り違いが起きたばかりだが、島根県安来市でも17日、同姓同名の別人の顔写真を印刷したマイナンバーカードを、1人に交付してしまったことが発表された。同市では撮影した顔写真を共有サーバーに氏名別に保存しているが、フォルダー名が同じだったため、後から保存した1人分の写真データのみが上書きされて残ってしまったというのがトラブルの原因であるそうだ。カードを受け取った人物からの連絡で判明した。誤発効されたカードでは、氏名や住所、生年月日、個人番号は正しく表記されており、顔以外の情報漏えいはなかったという（朝日新聞、読売新聞）。

nemui4 曰く、

税務署に続いてマイナカードで取り違え事案

　市は「チェック体制の強化を図り、再発防止に努める」としている。

「間違えないように確認する」チェック体制ではない事をいのります。
そもそも間違えないシステムか交付前に誤りを見つけて訂正できる仕組みを作るのは難しいかな。