headless曰く、

パスワードマネージャーサービスのDashlaneは12日、パスワードを正しく使用していない人・団体のランキング「Worst Password Offenders」2018年版を発表した（Dashlane Blog、BetaNews）。

ランキング1位はミュージシャンのカニエ・ウェスト。彼はホワイトハウスでトランプ大統領と会談した際、「0」を連打してiPhoneのロックを解除している。この様子を取材に集まっていたTVカメラがとらえ、パスコードが「000000」だと全世界に知られることになった。

ランキング2位は米国防総省。米会計検査院（GAO）が国防総省を監査した際、システムにさまざまな脆弱性が見つかっただけでなく、監査チームが9秒で管理者パスワードを当てたという。さらに、複数の兵器システムのソフトウェアのパスワードがデフォルトのままになっていたとのこと。国防総省は昨年の4位から2ランク上昇している。

3位～10位は以下の通り。

• （3位）暗号通貨所有者： スラドでは昨年末に話題となったが、パスワードを忘れて使用できなくなるというトラブルが相次いでいる
• （4位）Nutella：World Password Dayに投稿したツイート で、パスワードに「Nutella」を設定するよう推奨
• （5位）英法律事務所：上位500社の企業メールアドレスとパスワードの組み合わせが100万件以上ダークウェブに流出。多くは平文で保存されていたという
• （6位）米テキサス州：1,400万人以上の有権者情報を保存したサーバーにパスワードを設定せず、インターネットで公開状態になっていた
• （7位）米ホワイトハウス職員：暗号メールサービスProtonmailのメールアドレスとパスワードをホワイトハウスのメモ用紙にメモし、他の文書と一緒にバス停に置き忘れる
• （8位）Google：YouTubeの放送衛星とYouTube TVの管理者ページに空のユーザー名とパスワードでログインできる状態だったことが見つかる
• （9位）国連：TrelloやJira、Google Docsなどでパスワードを設定せずに非公開情報も含むデータを共有していたため、Googleの検索結果からアクセス可能な状態だった
• （10位）ケンブリッジ大学：Facebookアプリで収集した300万人分以上の個人情報へアクセスするためのパスワードを平文でGitHubに保存していた

あるAnonymous Coward曰く、

寡聞にして知らなかったが、パスワードなしで利用できる生体認証の標準規格「FIDO（Fast IDentity Online、ファイド）」というものがあるらしい。物理的なログインキーや生体認証などを使った認証のための標準規格で、現在さまざまな企業がアライアンスに参加しているという（Engadget Japanese）。

すでにNTTドコモやソフトバンク、Yahoo! JAPANがAndroid版のChromeブラウザでFIDOを使った生体認証によるログインがサポートされているほか、KDDIやLINEも今後サポートを行うという。

Google ChromeやFirefoxもFIDOをサポートしているほか、EdgeやOperaも対応を進めている一方でAppleはFIDOアライアンスに参加していないため動向が不明だが、Safariでサポートが実験的に行われているようだ。

今年10月、中国によって不正チップが埋め込まれたサーバーが米国に納入されているという報道があったが、問題があったと報じられている製品を製造するSuper Microが、第三者による調査結果を公表した。その結果、報じられたような不正なハードウェアの埋め込みは確認できなかったという（CNET Japan、ITmedia）。

マザーボードへの不正チップ埋め込み問題については、Super MicroだけでなくAppleやAmazonもこういった不正行為が確認された事例はないと否定していた（PC Watch）。

あるAnonymous Coward曰く、

12月11日、Firefox 64がリリースされ、以前から予告されていた通りシマンテックの証明書がついに無効になった（リリースノート）。

シマンテックが適切な確認を行わずに大量のSSL/TLS証明書を発行していたという問題に対処するもの（過去記事）。すでにGoogle Chromeではバージョン70からシマンテックが発行したSSL証明書の失効対応が開始されている。

セキュリティソフトウェアを手がけるマカフィーが、「2018年の10大セキュリティ事件ランキング」を発表した（マカフィーのプレスリリース、日経xTECH）。

このランキングは日本国内の経営層や情報システム部門などのビジネスパーソンを対象に行なった「2018年のセキュリティ事件に関する意識調査」に基づき、認知度が高かった事件をまとめたもの。発表されたトップ10は以下の通り。

1. 仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される
2. 佐川急便を騙って偽アプリをインストールさせる攻撃が急増
3. 漫画海賊版サイトで仮想通貨採掘スクリプトが見つかる、閲覧者の知らぬ間に端末で採掘が実行される
4. 性的な映像をばらまくと脅して仮想通貨を要求するスパムメール
5. Amazon.co.jpを騙り偽サイトへ誘導するフィッシング攻撃
6. Facebookユーザーの情報流出（プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響など）
7. ルーターを狙ったサイバー攻撃（ルーターのDNS設定が改ざんされる被害が相次ぐ、攻撃方法は特定できず、家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃、ルーターに感染し採掘コードを埋め込むマルウェアが流行、マンションの共有ルータへの感染が疑われる例もなど）
8. JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる
9. Twitter、偽アカウントなどの「ロックされたアカウント」をフォロワーとしてカウントしないよう仕様変更
10. 「セゾンNetアンサー」をかたるフィッシングメール

あるAnonymous Coward曰く、

12月7日にLinuxユーザー向けコミュニティサイト「Linux.org」のドメインが乗っ取られる事件が発生した（Linux.org、The Register、MOTHERBOARD、Slashdot）。

攻撃者はレジストラのアカウントを窃取し、ドメイン名に紐付けられているIPアドレスを攻撃者の所有するサーバーのものに変更することでトップページを書き換えたように見せたという。このページには「G3T 0WNED L1NUX N3RDZ」というメッセージと、尻の穴を広げている人物の写真が映し出されていたとのこと（Webアーカイブのログ）。反多様性を主旨とした内容のようだが、現在はサイト管理者であるMike McLagan氏により元通りに復元されている。

MOTHERBOARDの記事によると、Linux.org内ではセクハラやLGBTなどの多様性問題に対応するための新しい行動規範規則が設定されたという。しかし、これに反発する意見もあり、コミュニティ内で論争が起きていたという。今回の事件は新規則への抗議行動として行われたことが犯人のTwitterから判明しているとのこと

警察無線を傍受したと見られる音声がYouTubeで公開されていたという。すでに警視庁がGoogleに削除を要請、現在では閲覧できない状況になっているようだ（NHK、毎日新聞、日経新聞）。

警察無線は暗号化されており、通常は電波を傍受しても音声を聞くことはできない。そのため、警視庁は音声流出の敬意を調べているという。

なお、2004年の電波法の改正により、暗号化された通信を復号してその内容を漏らす/窃用する行為は違法とされている（過去記事）。

PETAが動物に対する残酷な行為などを含む反動物的な慣用表現を動物にやさしい表現に置き換えるべきだと主張している(PETAのツイート、 PETA.orgの記事、 プレスリリース)。

PETAは人種差別や同性愛差別、障害者差別を含む表現が許容されなくなっているのと同様、種差別的な表現も排除する必要があると主張。「Kill two birds with one stone (1つの石で2羽の鳥を殺す: 一石二鳥)」ではなく「Feed two birds with one scone (1つのスコーンで2羽の鳥を満腹にする)」のように表現するといった例を挙げている。

独自の技術でランサムウェアにより暗号化されたファイルの復号ができると称し、実際にはランサムウェア作者から購入した復号鍵にマージンを乗せて被害者に売るサービスの存在をCheck Pointの研究者が発見したそうだ(BetaNewsの記事、 The Registerの記事、 TechRadarの記事、 SC Media UKの記事)。

研究者はランサムウェアDharmaについて調査中、ロシアでランサムウェア感染マシンの復旧サービスを提供するDr. ShifroのWebサイトを発見する。しかし、まだ復号鍵の公開されていないDharmaのバリアントにも対応することを謳うなど、怪しい点がみられたという。

そこで研究者はDharmaのアルゴリズムを使用した偽の感染ファイルと偽のランサムウェア作者の電子メールアドレスを用意し、被害者を装ってDr. Shifroに連絡。2日ほどのち、偽ランサムウェア作者に仲介人を名乗るメールが届いたそうだ。送信者は2015年からクライアントに代わって復号鍵を取得していると述べ、身代金を偽ランサムウェアが要求する0.2 BTCから0.15 BTCへ値引くよう交渉してきたという。その後、被害者としてDr. Shifroに再び連絡すると、値引き前の身代金に1,000ドルほど上乗せした金額を提示されたとのこと。

研究者はこのようなサービスの提供が非倫理的なだけではなくランサムウェア被害者の支払額を増大させ、サイバー犯罪者の資金源としてランサムウェアの利用を勧める結果になると批判しているとのことだ。

興和と農研機構が、ミノムシの糸の製品化に向けた研究開発を行っているという（興和のプレスリリース）。

昆虫由来の糸としては蜘蛛の糸の強度が強いという話が有名だが、ミノムシの吐く糸は蜘蛛の糸を凌駕する性能を持っており、今回両社はミノムシから1本の長い糸を採糸する技術を考案、特許出願したという。

ミノムシの糸はタンパク質から構成されている「シルク繊維」とのことで、さまざまな用途で活用が期待できるという。さらにミノムシの繁殖や採糸に関する技術も開発しており、今後の産業化に向けた生産体制の構築を予定しているそうだ。

あるAnonymous Coward曰く、

パスワードを強化するために「大文字/小文字/数字/記号を含めてください」といったサイトはよく見られるが、文字種を制限してしまうとすべて小文字/すべて大文字といった組み合わせが無くなるため、結果的に総当たり攻撃に弱くなるという（Webroot、lifehacker）。

特に文字数が8文字のように短い場合、上記全ての文字種を含めるようにすると、組み合わせ数が41%も減ってしまうという。対策としては文字種を増やすのではなく、パスワードをより長くすべきとしている。

メッセージングアプリのLINEが11月15日、「サービス向上のための位置情報利用に関するご案内」なるものを出している。位置情報の利用に同意すると、LINEが利用者の位置情報を収集するようになる、という案内だ。これに対し危険性があるとして位置情報の提供拒否を勧める意見が出ている（Togetterまとめ）。

この同意画面はLINEアプリのアップデート後に表示されるとのことで、拒否してもLINEの利用に支障はないが、デフォルトで「同意」にチェックが入っていることへの批判もある。

なお、ASCII.npの解説記事によると、LINEは収集した位置情報を使って関連する情報をユーザーに送信するほか、「LINE Beacon」を有効にすると近くの店舗から広告などの情報が送信されるという。

あるAnonymous Coward曰く、

米国財務省・外国資産管理室（OFAC）が、犯罪で使われていたビットコインアドレスを特定し、経済制裁の対象として公表した（COINPOST、COINTELEGRAPH）。

ビットコインアドレスはビットコインの送付先を指定するために使われる情報。米当局が犯罪に利用されたアドレスを公表したのは初めてだという。合わせて、このアドレスを所有しているとされる2名の氏名なども公開された。彼らはさまざまな組織に対しサイバー攻撃を行い、身代金としてビットコインを脅し取っていたという。

今回ビットコインアドレスが経済制裁対象として指定されたことで、この口座を対象とした取引が米国において禁じられたことになる。

米国のDriveSaversという企業が11月26日、パスコードロックされたあらゆるスマートフォンをアンロックできるというコンシューマー向けサービスを発表した(プレスリリース、 サービス紹介ページ、 The Vergeの記事、 Mac Rumorsの記事)。

DriveSaversによれば、プロプライエタリな新技術を用い、すべてのメーカー・モデル・OSのスマートフォンやタブレットデバイスでパスコードロックを100%解除できるという。パスコードの長さも問わず、長い複雑なパスコードでも対応可能とのこと。

捜査機関向けにパスコード解除サービスを提供している企業は既に存在するが、DriveSaversは捜査機関にサービスを提供することはなく、デバイスの所有者、もしくは死亡した所有者の相続人限定のサービスとなる。そのため、サービスを申し込むにはデバイスのデータにアクセスする法的権利を証明する書類などの提出が必要となる。

デバイスはアンロックされた状態で所有者に返され、データを外部メディアにコピーするオプションも用意されるという。アンロックの料金は3,900ドル(約44万円)ほどとのことで、安くはない。

しかし、米捜査機関の人気ガジェットとなっていたiPhoneアンロックツールGrayKeyはAppleがiOS 12で対策をして使用できなくなったとみられており、すべてのスマートフォンのパスコードロックを100%解除可能といった主張には疑問の目も向けられている。現在一般に知られていない技術をDriveSaversが持っている可能性もあるが、詳細については不明だ。

あるAnonymous Coward曰く、

JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した（Qiitaに投稿された解説記事、event-stremパッケージに対するチケット、Register、ZDNet）。

このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。

問題のevent-streamパッケージはビットコインウォレットの「Copay」で利用されており、これを狙ってビットコインウォレットの情報を盗む攻撃を行うマルウェアが含まれていたようだ。