LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事、 Bleeping Computer の記事、 The Verge の記事)。

LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。

すべて読む | セキュリティセクション | ソフトウェア | ニュース | 暗号 | 情報漏洩 |

関連ストーリー：
Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 2023年12月13日
LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 2023年09月10日
LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 2023年03月05日
1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 2023年01月03日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 2019年02月26日
LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 2016年01月21日
LogMeInがLastPassを買収 2015年10月11日
パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日
パスワード、どうやって管理している？ 2014年02月23日
Xmarks が LastPass に買収される 2010年12月15日

米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリース、 The Verge の記事)。

SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。

パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。

すべて読む | セキュリティセクション | セキュリティ | 人工知能 | 政治 | アメリカ合衆国 |

関連ストーリー：
政府、AIの安全性確保を担う組織を新設へ 2023年12月18日
EU、世界初の包括的AI規制で大筋合意 2023年12月11日
Collins Dictionary、2023年を代表する言葉に「AI」を選定 2023年11月05日
テキサス州当局、ポルノが健康に悪影響を与えるなどの警告をポルノサイトに表示させる 2023年10月15日
米カリフォルニア州の修理する権利法が成立 2023年10月13日
アイオワ州の学区、性的表現を含む書籍を学校から排除するためChatGPTを使用 2023年08月19日
狭い場所での家畜飼育を禁ずるカリフォルニア州法、豚肉価格の危機的な高騰を呼ぶ 2023年08月13日
人工知能学会、ChatGPT等への向き合い方に関する声明文を公表 2023年04月27日
GPT-4よりも強力なAIシステムの開発を停止せよとの公開書簡が提出される。ウォズやマスクらも署名 2023年03月31日
米ユタ州、18 歳未満のソーシャルメディア利用に保護者の許可を必要とする州法が成立 2023年03月25日
Microsoft、製品への AI 原則適用を確実にしていたチームが消滅 2023年03月16日
ChatGPT 開発の背後にはケニアの労働者による人力作業 2023年01月22日
米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効 2023年01月04日
Google、AI 倫理を懸念するエンジニアを守秘義務違反で休職処分に 2022年06月15日
米国防総省の有識者会議、AI倫理5原則を採択 2019年11月03日
米カリフォルニア州自動車局、人間の運転者が乗車しない自律走行車のテストを可能にする州法規改正を提案 2017年03月12日

パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。

エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。

CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。

根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | Chromium |

関連ストーリー：
宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン 2023年12月25日
米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起 2023年12月14日
偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場 2023年11月25日
Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン 2023年11月13日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
偽の「Get Windows 11」サイトでマルウェアキャンペーン 2022年02月13日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
GoogleアカウントでのWindows 10ログイン、実現なるか 2018年09月02日
Google、パスワード管理システムのコードを盗まれていた 2010年04月22日

Twitch がストリーマーに対するヌード禁止を厳格化するポリシー改正を発表した (Twitch のブログ記事、 The Verge の記事)。

Twitch では芸術・教育コンテンツなどを除いて性器や臀部の露出を含むヌードを禁じているが、新ポリシーではさらに物体や画像処理で局部を隠している場合を含めてヌードまたは部分的な露出をしていると示唆する行為も禁止となる。また、覆われていても性器の輪郭が見える状態は認められない。上述のように許容される可能性があるのは成人の場合に限られ、未成年者のヌードまたは部分的なヌードを放送する行為は以前から状況にかかわらず禁じられている。

女性の姿で出演するストリーマーには乳首を覆い、アンダーバストを露出しないことが求められる。胸の谷間は着衣の要件を満たし、ストリーマーが着衣であることが明確にされている限りは許容される。また、すべてのストリーマーに対し、腰の下から臀部および骨盤の下までの範囲を覆うよう求めている。

すべて読む | ITセクション | 映画 | 変なモノ | SNS |

関連ストーリー：
Twitch、架空のヌードを許可するコンテンツポリシー更新を翌日取り消し 2023年12月16日
Twitch、高すぎるネットワーク負担で韓国から撤退へ 2023年12月09日
Amazon、自社サービス Twitch で自社の公式アカウントを一時停止 2021年12月25日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
Twitch公式ゲーミングチャンネル、BlizzConlineに出演したMetallicaの演奏をロイヤリティーフリー音楽に差し替える 2021年02月23日
ゲーム動画配信サイトTwitch、性的コンテンツを過剰に薦めているとして利用者から訴えられる 2020年06月26日

headless 曰く、

著作権侵害 URL をインデックスから削除するよう Google に求める DMCA 削除要請では明らかに無関係な URL が混入していることも多いが、DMCA Piracy Prevention Inc がアダルトモデルの著作権が侵害されたとして 12 月に送った削除要請には NASA のアルテミス計画に関するニュース記事が混入している (TorrentFreak の記事)。

削除要請は「Artemis」名義で OnlyFans などで活動するアダルトモデルに代わって送られたもので、米国人宇宙飛行士を再び月に送る NASA のアルテミス計画とは全く関係がない。対象 URL の大半はポルノ関連サイトのようだが、英国政府や BBC、Le Monde、The Vergeなど、アダルトモデルの著作権侵害コンテンツを掲載する可能性の低い URL も数多く含まれる。アルテミス計画関連の報道のほか、TorrentFreak では Microsoft が開発したチャットでの発言内容から小児性愛者を判別する「Project Artemis」に関する記事が含まれることに注目している。

DMCA Piracy Prevention は 11 月に「La Sirena」名義で活動するモデルに代わって Star Trek 関連など無関係なコンテンツに対する削除要請を大量に Tumblr へ送り、Tumblr の親会社から「恥の殿堂」入りを宣言されている。

すべて読む | YROセクション | スター・トレック | 著作権 | NASA |

関連ストーリー：
根拠のないDMCA通知により、Google Playでたびたび公開停止になるアプリ 2023年12月02日
Google、虚偽のDMCA削除要請を大量に送ったグループを提訴 2023年11月17日
NASA、アルテミス計画の2機目の月着陸船に「Blue Moon」を選定 2023年05月23日
イーロン・マスク曰く「Starship は今年 4 ～ 5 回の軌道飛行試験を行い、1 年以内に打ち上げ成功する」 2023年05月05日
NASAのArtemis I ミッションのOrion宇宙船、無人で月を周回して地球帰還に成功 2022年12月17日
ソニー、自社サイトを著作権侵害 URL として DMCA 削除要請 2022年07月27日
海賊版対策サービス、10 年以上前に閉鎖したサイトのインデックス削除を Google に要請 2022年06月03日
アカデミー賞ノミネート作品の制作会社、アカデミー賞公式サイトのDMCA削除要請をGoogleに送る 2022年03月30日
NASA、アルテミス計画の2024年の月着陸を「2025年以降」に延期 2021年11月12日
DMCA 迂回禁止条項違反を主張する怪しい削除要請、著名サイトもターゲットに 2021年09月05日
NASA 監察総監室曰く、次世代宇宙服の開発は 2024 年中に人類を再び月へ送るアルテミス計画に間に合わない 2021年08月14日
意外と多い localhost の DMCA 削除要請、Google は1回だけ削除していた 2021年08月12日
自サイトに著作権を侵害されたと主張する DMCA 削除要請 2021年07月14日
「NASAがアルテミス計画の月面着陸の延期を検討」と報じられる 2021年04月01日
Microsoft、チャットでの発言内容から小児性愛者を検出するシステムを開発 2020年01月23日
米副大統領、2024年までに宇宙飛行士を再び月に送ると宣言 2019年03月29日