東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている（情報処理学会、ITmedia）。

調査の結果、64％にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16％の54社であったため、回答した組織の約80％がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42％に当たる93社がPPAPの廃止を検討中であるとしている。

PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88％は認識していると回答。政府がPPAP廃止を宣言したことを知っている組織も79.5％にのぼっている。使い続けている理由として、社内で決められているからが53社と多く、続いて52社が送信先に対してセキュリティ対策を行っていることを明示的に示せると回答したとしている。

Security.org の調べによると、米国のアンチウイルスユーザーの 61.2 % が無料のアンチウイルスソフトウェアを使用しているそうだ (2023 Antivirus Market Annual Report、 BetaNews の記事)。

調査は 2022 年、インターネットを利用して米国在住の成人 1,003 人を対象に行われたもので、参加者は米国人のデモグラフィックに一致するよう調整されている。調査時点で 85 % の参加者がアンチウイルスソフトウェアを使用しており、2021 年の 77 % から増加している。アンチウイルス使用率が低いと感じるかもしれないが、対象デバイスは PC だけでなく携帯電話やタブレットも含まれているためとみられる。

米国人の 75 % 近くがコンピューターにはアンチウイルスが必要だと信じており、アンチウイルスユーザーの 32.4 % が有料ソフトウェアを利用しているという。有料・無料の合計が 100 % にならないので、どちらかわからないという回答が 6.4 % あるためだ。推計で 3,300 万世帯が代金を払ってアンチウイルスソフトウェアを使用しているが、有料ソフトウェアはアンチウイルスだけでなく VPN やパスワードマネージャー、セキュアブラウザーといった追加のセキュリティ機能が利用できるものが多い。回答者の 7 % が 6 か月以内にアンチウイルスソフトウェアを購入したいと回答しており、推計で米国人 1,600 万人に相当するとのこと。

無料ソフトウェアのシェアは Microsoft Defender (39 %) が最も高く、Malwarebytes (14 %) とAvast (13 %)、McAfee (10 %) が 10 % 台で続く。有料ソフトウェアは Norton (29 %) と McAfee (24 %) で半数を超え、他のソフトウェアのシェアは 1 桁またはそれ未満となっている。過去 12 か月間でウイルスの影響を受けたという回答者は全体で 8 %。うち Windows が 8 % で、macOS が 5 %、その他が 4 % となる。Windows は Mac よりもウイルスの影響を受けやすいというイメージもあるが、実際には大差ないようだ。また、有料ソフトウェアユーザーでウイルスの影響を受けたのは 10 % だったのに対し、無料ソフトウェアユーザーは 8 % となっている。

スラドの皆さんは有料のアンチウイルスソフトウェアを使用しているだろうか。有料ソフトウェアが良いよねと思った理由は何だろう。

1Password がパスワードを作成することなく、パスキーでアカウントへのアクセスを可能にする計画を発表した (1Password のブログ記事、 解説記事、 The Verge の記事、 Neowin の記事、 Ghacks の記事)。

1Password では既に生体認証を用いたパスワードレスのアカウントアクセスが可能となっているが、アカウントの保護には依然としてパスワードが使われており、生体認証はそれを隠すだけだという。パスキー認証は 1Password が従来から使用している秘密鍵と同じく公開鍵暗号方式だが、パスワードを組み合わせることなく、生体認証とデバイスのセキュリティ機能との組み合わせでアカウントを保護する。パスキーはフィッシング攻撃に強く、秘密鍵のエントロピー (128 ビット) よりも強力な 256 ビットのエントロピーでクラッキングを防ぐとのこと。

これにより、パスワードも秘密鍵も作成することなく 1Password のアカウントを作成でき、新しいデバイスで容易にサインインできるようになる。また、ウェブを含めて 1Password を使用する場所ではどこでも組み込みの生体認証が利用でき、スマートフォンで Mac や PC、ブラウザー内の 1Password をアンロックできるという。パスキーを用いるアカウント作成やアンロックのオプションは今夏から利用可能になるとのことだ。

ソースネクストは14日、同社サイトが第三者による不正アクセスを受け、利用者のクレジットカード情報11万2132件と個人情報12万982件が漏えいした可能性があると発表した。同社が依託した調査機関によると、2022年11月15日~2023年1月17日の期間にクレジットカード情報を登録した顧客のクレジットカード情報および個人情報が漏えい、一部に関してはクレジットカード情報が不正利用された可能性があるとしている（ソースネクストリリース、ケータイ Watch、NHK）。

漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。

富士通は1月23日、開発中の量子コンピュータのシミュレーターを使い、公開鍵暗号方式の一つであるRSA暗号の安全性を評価する実験を実施したそうだ。量子コンピュータは高速に素因数分解できることが知られており、これが登場するとRSAの安全性が大きく損なわれる可能性が懸念されていた（日経クロステック）。

同社が2048ビット合成数の素因数分解に必要な量子回路の計算リソースを見積もった結果、約1万量子ビットに加え、ゲート数が約2兆2300億、量子計算を行うために必要なステップ数が約1兆8000億の量子回路が必要なことが判明したとのこと。このため、現時点での量子コンピュータの技術ではRSAの解読はまだ困難であるとの結論になったようだ。

ウェブサービスで用いられているパスワードの入力規則を集めたウェブサイト「Dumb Password Rules」が話題になっているらしい。このDumb Password Rulesで紹介されている変なパスワード入力規則の例としては、「（パスワードは）7で始まる必要があります」というもの。「大文字2文字以上、小文字2文字以上、数字2文字以上、句読点2文字以上」「aを@、iを!、oを0といったありがちな置換をした単語の使用禁止」といった細かい点にまで指摘したものまで存在するとのこと。いかにとち狂ったパスワードルールが存在しているかが一望できるとのこと。すでにウェブサイトの登録数はすでに300近くに及んでいるそうだ（INTERNET Watch）。

英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事、 The Guardian の記事、 Ars Technica の記事)。

英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。

ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいとのこと。

暗号化が児童虐待者を守るという主張に対しては、ロス・アンダーソン氏の論文(PDF)から「複雑な社会的問題を安価な技術的手段で解決できるという考えはソフトウェアセールスマンが使うセイレーンの誘惑だ」という一節を引用し、虐待の多くが行われる家庭やコミュニティでの抑止に注力すべきだと述べたとのことだ。

漫画スラムダンクの映画「THE FIRST SLAM DUNK」用に用意されていたLINEスタンプが、準備段階で一部の暴露サイトがURLを公開してしまいツイッターなどで拡散された。その結果、準備段階のまま多くの人の目に触れたとして話題となっている。結局、同映画の公式Twitterが流出したLINEスタンプを本物だと追認するコメントを出している。なおスタンプは全8種類で、配布期間は5月23日までとのこと（THE FIRST SLAM DUNK　LINEスタンプ公式リンク）。流出の経緯などについてはひさろぐ分館の記事が詳しい（スポニチ、ITmedia、ひさろぐ分館）。

このLINEスタンプは、通常検索では検索されないよう設定をしていたとされる。そのため公式の発表段階ではLINEスタンプショップの新着には表示されないなどの問題も起きていたようだ。こうした混乱により、リークサイトや拡散したユーザーのせいで公式が予定していた企画が潰れたかもしれないなどと批判する声も出ている模様。

2022年10月に起きた那覇市立図書館でランサムウエアによる攻撃を受けて、貸し出しや検索ができないなどのシステム障害が発生している。琉球新報による最新の報道によると、この攻撃を受けた原因としてネットワークを保護するためのファイアウォールとVPN装置がランサムウエアの感染経路になった可能性が高いという（琉球新報、沖縄タイムス）。

いずれも2019年に運用を開始して以来、アップデートなどがおこなわれておらず、脆弱性が残ったままだったとしている。同館の館長によれば、「セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた」としている。

一部の韓国車のキーレスエントリーシステムには脆弱性があり、その影響で以前、一部車種の盗難が増加しているという話題が出たことがある。これを悪用し「起亜チャレンジ」としてTikTok上でトレンドになったこともある。こうした影響により、米国では主要な自動車保険会社が、こうした脆弱性を持つ車両に関して、保険の新規申し込みを停止しているらしい。米国テレビ局の2月2日の報道によると、ルイジアナ州の保険代理店では、1月25日から起亜やヒョンデが製造している合計105車種のオーナーと取引しないことにしたという（WWL-TV、GIGAZINE）。