Checkmarx の年次アプリケーションセキュリティ報告書「Global Pulse on Application Security」によると、86% の組織が既知の脆弱性を含むコードをデプロイしたことがあるそうだ (Checkmarx のブログ記事、 BetaNews の記事)。

報告書では調査会社 Censuswide を通じて全世界 1,500 人以上の CISO や AppSec 管理者、開発者から収集したデータと、クラウドベースのアプリケーションセキュリティプラットフォーム Checkmarx One のデータをまとめたものだ。既知の脆弱性を含むコードを本番環境にデプロイする頻度に関する設問では、23% が頻繁 (Often) と回答し、45% が時々 (Sometimes)、18% がまれに (Rarely) と回答しており、合計で 86% が脆弱性を含むコードをデプロイしていることになる。なお、わからない(Not sure)という回答も 1% あり、既知の脆弱性を含むコードをデプロイしたことがない (Never) という回答は 13% となる。

既知の脆弱性を含むコードを使用する理由として AppSec 管理者とソフトウェア開発者の 40% 近くが「ビジネスや機能、セキュリティに関連した締め切りに合わせるため」といった時間不足を挙げているという。また、CISO の 3 分の 1 近くは開発者が常時ポリシーに従っているとは限らないと認識しているそうだ。

88% の組織は自ら開発したアプリケーションの脆弱性によるセキュリティ侵害を過去 12 か月間に受けており、AppSec 管理者の 41% がオープンソースソフトウェアのサプライチェーン攻撃、開発者の 40% はクラウドリソースやコード化されたインフラストラクチャ(IaC)、コンテナの誤設定をセキュリティ侵害の原因に挙げているとのことだ。

スラドの皆さんはコードに脆弱性があると知りながら使わざるを得ない場面があるだろうか。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | デベロッパー | スラドに聞け！ |

関連ストーリー：
OSSを信頼すると同時に検証せよ 2023年03月18日
最新版以外の macOS では既知の脆弱性がすべて修正されるとは限らない 2022年10月30日
Microsoftが自慢する脆弱性のあるドライバーブロック機能、ブロックリストは更新されていなかった 2022年10月19日
Microsoft 曰く、ランサムウェア攻撃の 80 % 以上が誤った構成を狙う 2022年08月31日
zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 2022年04月04日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
ミネソタ大研究者、研究のためとしてLinuxカーネルに意図的に脆弱性コードをコミット 2021年04月26日
XP以来放置され続けたWindowsの入力機構に関する脆弱性、修正される 2019年08月16日
脆弱性のあるアプリケーションと脆弱性を気にしない上司、どうすればいい？ 2013年12月07日
XSSは本当に危ないか？日本のセキュリティ意識は過剰？ 2009年03月25日
PHPは駄目な言語なのか? 2008年02月03日
自分のコードに誇りを持っていますか? 2007年12月19日
携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか？ 2007年07月11日
Web制作者の常識、開発エンジニアの常識 2006年07月26日
ウェブアプリの脆弱性にどう対応してますか? 2005年06月17日
脆弱性をなくすために、サイト管理者は何をなすべきか？ 2004年02月10日

macOS には Bitcoin のオリジナルホワイトペーパーの PDF がなぜか収録されているのだが、先日リリースされた macOS Ventura 13.4 beta 3 では削除されているそうだ (9to5Mac の記事)。

Bitcoinホワイトペーパー収録についてAppleからの説明は特になく、発見されたのも数週間前のことだが、2018年のmacOS Mojaveで追加されていたとみられる。PDFファイルはVirtualScanner.appの一部として、Image Captureアプリフォルダー以下にそのほかの雑多なファイルとともに収録されているという。VirtualScanner.appはAppleのエンジニアが実際にスキャナーを接続することなくImage Captureアプリでスキャンやエクスポート操作をシミュレートできるようにするものだ。

ファイルはおそらくジョークで追加されたものだが、特にセンシティブ情報が含まれているわけではなく、一般ユーザーが目にするような場所でもないことからそのまま放置されていたとみられる。そのため、ファイル発見の記事が注目を集めたことを受けて削除された可能性が高いようだ。

なお、最新ベータ版にアップデートしていない macOS 環境では、ターミナルで以下のコマンドを実行すれば PDF を閲覧できるとのことだ。

open /System/Library/Image\ Capture/Devices/VirtualScanner.app/Contents/Resources/simpledoc.pdf

すべて読む | アップルセクション | アップグレード | MacOSX | アップル | お金 |

関連ストーリー：
Apple、「macOS Ventura」で『ダイヤルアップ接続機能』を削除か 2022年08月18日
Apple、新 M2 チップと M2 チップを搭載する新 MacBook Air などを発表 2022年06月08日
Windows 95のInternet Mailで新たなイースターエッグが発見される 2021年03月31日
GNU man のイースターエッグが削除される 2017年11月23日
Nintendo Switchを解析したハッカー、ファミコンエミュレーターを発見 2017年09月20日
豪起業家、自分がサトシ・ナカモトだと主張 2016年05月03日
サトシ・ナカモトの正体が判明と報じたGIZMODO、「やっぱり違った？」と報じる 2015年12月18日
ビットコイン発明者のサトシ・ナカモト氏、2016年ノーベル賞に推薦されていた 2015年11月10日
イースターエッグは消えていく運命なのか 2015年04月07日
MacintoshのROMをダンプして隠されたイースターエッグを再考察する 2012年08月27日
お気に入りの「イースターエッグ」は？ 2009年04月14日
ＢＭＷに自動車初？のイースターエッグ 2002年10月06日
iPodのイースターエッグ 2001年10月30日

シンガポール政府技術庁 (GovTech) がオンラインでの詐欺を防ぐ有効な手段として広告ブロッカーの使用を推奨している (GovTech のニュース記事、 The Register の記事)。

米連邦捜査局 (FBI) では広告ブロッカーをサーチエンジンでの検索結果上部に表示される詐欺広告を防ぐ手段の一つに挙げており、検索時の使用を推奨している。一方、GovTech では詐欺広告をブロックするだけでなくデータ使用量も削減できるとして常時使用を推奨しているようだ。特定の広告ブロッカーを紹介することなく、中には IP アドレスの隠ぺいや通信の暗号化でプライバシーを向上させるものがあることを紹介する一方で、偽広告ブロッカーをインストールしないよう注意喚起もしている。

シンガポールでは 2022 年の詐欺被害総額が前年比 4% 増の 6 億 6,070 万シンガポールドル (SGD)、被害件数が 3% 増の 31,728 件となっている (PDF ダウンロードリンク)。特に被害額が大きいのは投資詐欺 (1 億 9,830 万 SGD) と求人詐欺 (1 億 1,740 万 SGD)、件数が多いのはフィッシング詐欺 (7,097 件) と求人詐欺 (6,492 件) で、求人詐欺のターゲットとなる 20 歳 ～ 39 歳が詐欺被害者全体の半数を占めるという。一方、1 件当たりの被害額では政府関係者なりすましによる詐欺 (約 126,589 SGD) が投資詐欺 (約 63,803 SGD) の約 2 倍で圧倒的に多い。

シンガポール政府は詐欺電話や SMS をブロックするアプリ ScamShield を提供(Android / iOS) しており、今年は WhatsApp でテキストのコピーやスクリーンショットを送信するとボットが詐欺かどうかを判定する ScamShield Bot の提供も予定しているそうだ。

すべて読む | ITセクション | セキュリティ | ソフトウェア | 広告 | インターネット | 政府 |

関連ストーリー：
Google、Chorme 拡張の Manifest V2 終息計画を再び先送り 2023年04月08日
Vivaldi、Manifest V3 移行後の内蔵広告ブロッカー維持計画を発表 2022年09月28日
ブラウザー、何使ってる？ 2022年09月11日
uBlock Origin の試験的な Manifest V3 対応版「uBO Minus」 2022年09月10日
AdGuard、世界初の Manifest V3 ベース広告ブロッカーを公開 2022年09月03日
PHPフレームワーク「Laravel」のドキュメント翻訳者から広告ブロック使用自粛のお願い 2022年02月18日
ドイツの連邦地裁、広告ブロックソフトウェアの使用は Web サイトの著作権を侵害しないと判断 2022年01月20日
米インテリジェンスコミュニティ、不正広告攻撃を防ぐため広告ブロックテクノロジーを導入していた 2021年09月27日
英鉄道各社のWebサイト、フィリップ公への弔意を表すグレースケール化がアクセシビリティに配慮していないと批判される 2021年04月15日
ウェブサイトに広告掲載を予定している気象庁、民間放送に広告ブロックの使用を提案 2020年09月09日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
マーケティング企業がこっそりと人気VPNアプリや広告ブロックアプリからユーザーデータを収集していたとの指摘 2020年03月14日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日
モバイル版Chromeに偽アドレスバーを表示するフィッシング手法 2019年05月02日
Google、ユーザーが特に不快に感じる広告を表示するWebパブリッシャーへの通知を開始 2017年08月12日
WIRED.com、広告ブロッカーに対してアクセス制限を行うと発表 2016年02月15日