Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ (ニュースリリース、 BetaNews の記事)。

53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。

スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft Authenticator、怪しいログイン要求で通知のポップアップを抑制 2023年11月09日
1Password、パスワードを不要にする計画 2023年02月12日
AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 2022年05月08日
Microsoft アカウント、パスワードレスアカウントとして設定可能に 2021年09月18日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
米国とカナダでの調査、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が78％ 2019年12月19日
Microsoft、過去に流出したパスワードを使用するMicrosoftアカウントを多数発見 2019年12月08日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日
普及が進むパスワードなし生体認証規格「FIDO」 2018年12月14日
Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 2016年05月28日

headless 曰く、

FIRST は 1 日、CVSS 4.0 を正式リリースした (プレスリリース、 ドキュメントとリソース、 HackRead の記事、 Bleeping Computer の記事)。

6 月に第 35 回 FIRST 年次カンファレンスでプレビュー版が公開された CVSS 4.0 では消費者向けの基本評価基準の粒状度がより細かくなり、下流の採点法からあいまいさを除いたほか、脅威の判定基準の単純化や、環境評価基準のセキュリティ要求度ならびに代替管理策の評価の有効性向上などが行われている。

また、攻撃の自動化可能性 (AU) や攻撃を受けた場合の復元可能性 (R)、1回の攻撃で支配下に置くことのできるリソースの密度 (V)、消費者による脆弱性対応の容易さ (RE)、評価提供者による緊急性評価 (U)といった補助的な脆弱性評価基準が追加されており、OT/ICS/IoT への追加の適用性が含まれるとのことだ。

すべて読む | セキュリティセクション | セキュリティ |

国立研究開発法人情報通信研究機構（NICT）は9月21日、業務委託先であるTBSグロウディアが、NICTのセキュリティ人材育成プログラム「SecHack365」の2023年度受講生の情報を含むノートPCを9月16日に紛失したことが判明したと発表した。TBSグロウディアは警察署に遺失届を提出したが、現時点でノートPCは見つかっていない（NICT）。

このノートPCにはSecHack365の2023年度受講生の氏名、フリガナ、受講コース・ゼミの情報が保存されている。ただ、情報漏洩対策がされていたため、情報の不正使用の兆候は確認されていないという。情報漏洩対策としては、以下の措置が取られていたという。

・OSのディスク暗号化機能の有効化とPINによるデータの保護
・OSへのログインパスワードの長さと複雑さの確保
・OSへの2段階認証の設定（トークンなどの紛失はない）
・商用のIT資産管理ツールの導入によるログ管理
・紛失時にノートPCがシャットダウンし、OSからログオフされていたこと

以上の措置により、情報漏洩の危険性は最小限に抑えられたが、引き続き対策の強化に努めるとしている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
尼崎市、USBメモリ紛失問題で損害賠償請求へ。市のイメージダウンになった 2022年11月30日
名取市、尼崎USB紛失事件を受け、「個人情報データ持ち出しケース」を導入へ 2022年07月04日
尼崎市の個人情報USBメモリ流出事件、紛失したのは再々委託先の社員だった 2022年06月28日
リモートワーク中の置き忘れ・紛失経験52.2%、会社への報告は13%しかなく 2022年06月28日

トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8％がパスワードを複数のWebサービスで再利用しており、その中でも41.9％が2～3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8％、異なるパスワードを考えるのが面倒が48.6％を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている（日経クロステック）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
BL特化SNSのpictBLandが不正アクセス、ユーザーのパスワードも流出で被害拡大 2023年08月17日
キーボード音から9割以上の確率でパスワードを推測 2023年08月14日
社内でのパスワード管理はどうしている？ 2023年08月10日
隣接したキーを組み合わせたパスワード、欧文キーボード配列別調査結果 2023年07月22日

あるAnonymous Coward 曰く、

私は大手IT系の関連SIer会社で働いているのだが、開発用のサーバなどがいくつもありログインパスワードを覚えるのが大変だ。

社内のルールもセキュリティを意識していて「簡単に推測されない」「使い回しをしない(最後の一文字だけ変えるのもだめ)」などのルールがある。しかし、私はそんなに物覚えがいい方ではないのでパスワードをしきれない。

仕方ないのでセキュリティルールを統括する部門にパスワード管理ソフトを許可してくれないかとお願いしたところ、Emotetに感染した場合ブラウザがキャッシュしているパスワードを盗むことを理由に拒否されてしまった（日経クロステック）。

仕方ないので7ZipでAESパスワードをかけてテキストファイルにでも使おうと思うのだが、皆様はどう管理されているのか知りたい。

参考：
2009年の同様の質問
https://security.srad.jp/story/09/11/13/046214/
2002年
https://security.srad.jp/story/02/09/24/2021229/

すべて読む | セキュリティセクション | セキュリティ | スラドに聞け！ |

関連ストーリー：
隣接したキーを組み合わせたパスワード、欧文キーボード配列別調査結果 2023年07月22日
弱いパスワードを複雑なパスワードに変換できるアナログなカード 2023年06月27日
全国280の大規模病院でIDとパスワード使い回しが判明。サイバー攻撃被害の一因に 2023年03月31日
パスワード管理の秘策は？ 2009年11月13日
みんな、パスワードの管理どうやってる？ 2002年09月25日

1990年代に活発な活動をしていた伝説ハッカー、ケビン・ミトニック氏が膵臓がんとの闘病の末に亡くなったと報じられている。59歳だった。同氏はPacific Bell（現在のAT＆T）にハッキングをし、FBIの最重要指名手配犯としておよそ2年半にわたる逃亡生活を送り、そののち1995年に逮捕された。その後はFBIに協力する形でホワイトハッカーとして活動した。SecurityWeekによると、ラスベガスの葬儀場に掲示された記事で死亡が確認されたという（SecurityWeek、GIGAZINE）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
「セキュリティにおける真の問題は人間」ケビン・ミトニック氏は語る 2013年05月28日
「伝説のハッカー」ケビン・ミトニック氏、エクアドル大統領選挙でセキュリティ・コンサルティングを行う 2013年02月19日
/.Jインタビュー: アルファギーク、宮川達彦に聞け! 2006年11月19日
/.Jインタビュー: サイバー法学者、ローレンス・レッシグ教授に聞け! 2006年09月18日

headless 曰く、

Sophos の名前をかたるランサムウェア「SophosEncrypt」が見つかったそうだ (Sophos News の記事、 BleepingComputer の記事)。

Sophos が VirusTotal で発見したというこのランサムウェアはファイルの暗号化機能以外にもさまざまな機能を備えており、現代的なランサムウェアとは異なるものになっているという。また、今ではランサムウェアグループが使用しなくなった電子メールや Jabber のアドレスも含む。これにより、ランサムウェア実行ファイルというよりも、暗号化とランサムノート生成機能を備えた遠隔操作ツール (RAT) に近いものになっているとのこと。

実行ファイルは Windows コンソール上で実行され、ユーザー (ランサムウェア運用者) がトークンやパスワード、電子メールアドレス、Jabber アドレスを指定し、単一ファイルまたは全ファイルの暗号化を指定できる。Windows の壁紙を「Sophos」と入った画像に置き換える機能も備えているそうだ。このような機能により、Sophos がレッドチーム訓練用に作成したツールだと誤解したセキュリティ研究者もいるようだ。なお、ランサムウェアの内部名が「sophos_encrypt」となっていることから「SophosEncrypt」と呼ばれるが、Sophos ではこの名称を使用していない。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
名古屋港でランサムウェア攻撃。企業の物流に影響 2023年07月10日
LPガス用クラウドにサイバー攻撃。1100社の検針システムに影響 2023年06月15日
コクヨ、ランサムウェアを使った攻撃を受けたと発表 2023年06月09日
エーザイ、ランサムウェア被害に 2023年06月07日

タイトル社は、ハッキングされないとされるパスワード生成カード「PassCard」の予約販売をクラウドファンディングサイト「Makuake」で開始した。最低出資額は5800円。このカードは、「数字のみ」、「数字+英小文字」、「数字+英小文字+英大文字」、「数字+英小文字+英大文字+特殊文字」といった異なるパターンのパスワードを生成・管理することが特徴（Makuakeのクラファンページ、PC Watch）。

カードに印字された文字により、「QWERTY」や「ORANGE」などの弱いパスワードを「6D3ohT」や「Joa$r0」といった、より複雑で安全なパスワードにアナログ変換できる。本体サイズが85×54×0.8mmで重量が約10gの、アルマイト処理されたアルミニウムカードで、カードごとに固有のシリアルナンバーが刻印されている。また、印字されている文字はカードごとに異なり、同じカードは存在しないという。紛失した場合でも専用のWebサイトにてシリアルナンバーとメールアドレスを入力することで、再発行が可能だとしている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
LPガス用クラウドにサイバー攻撃。1100社の検針システムに影響 2023年06月15日
Microsoft、クラウド上でパスワード付きZIPファイルをスキャンか。Googleは公式発表 2023年05月19日
Google、2年間使用されていない個人向けのGoogleアカウントを削除へ 2023年05月18日
米国でパスコード盗み見とiPhone盗難を組み合わせ、資産を盗まれる事件が多発 2023年04月25日

headless 曰く、

Eclypsium が報告した マザーボードのバックドア様挙動について、GIGABYTE がセキュリティ強化対策を発表している (プレスリリース、 BleepingComputer の記事)。

問題の挙動はシステムのスタートアッププロセスでファームウェアが Windows のネイティブ実行ファイルを投下・実行し、この実行ファイルがセキュアでない方法で追加のペイロードをダウンロードして実行するというもの。

この実行ファイルは UEFI ファームウェアに埋め込まれており、ベンダーと OEM が UEFI レイヤーで .exe ファイル実行を可能にする Windows プラットフォームバイナリテーブル (WPBT) により実行される。しかし、実行ファイルが追加のペイロードをダウンロードするリモートサーバーは HTTP 接続、またはリモートサーバーの証明書が適切に検証されない HTTPS 接続であり、ペイロードのデジタル署名を検証する機能もファームウェアには実装されていない。そのため、攻撃者は中間者攻撃 (MITM) や Living Off the Land 手法によりシステムを永続的に感染させることが可能になるという。

GIGABYTE では対策としてリモートサーバーからダウンロードしたファイルの検証プロセスを強化し、リモートサーバー証明書の標準的な暗号化検証を有効にしたそうだ。対象となるのは「APP Center Download & Install」機能 (APP Center 後継の GIGABYTE Control Center 含む) を搭載したマザーボード製品で、順次 UEFI BIOS 更新をダウンロードページで公開しているとのこと。更新完了までの対策としては、UEFI BIOS の設定で「APP Center Download & Install」機能の無効化が推奨されている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
Windowsマシンのセキュアブートを無効化できるセキュアブートポリシーが流出、解析結果が公開される 2016年08月14日

VirusTotal は AI が PowerShell スクリプトを分析して自然言語で解説する「Code Insight」を 4 月に発表し、先日対応スクリプト形式の追加を発表しているが、それ以外にも対応するスクリプト形式があるようだ (BleepingComputer の記事、 Ghacks の記事)。

VirusTotal が 12 日に追加を発表した Code Insight の対応スクリプト形式は以下の通り。

• バッチファイル(.BAT)
• Windowsコマンドスクリプト(.CMD)
• シェルスクリプト(.SH)
• VBScriptスクリプト(.VBS)

BleepingComputer の調べによると、AutoHotKey スクリプト (.AHK) や Python スクリプト (.PY) にも対応していることが判明したとのことだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
アイコンの似たマルウェアが多い正規アプリはSkypeとAcrobat、VLCという調査結果 2022年08月10日
Windows 11 に Google Play ストアをインストールするスクリプト、マルウェアを含んでいたことが判明 2022年04月16日
2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」 2021年11月30日
Windows Subsystem for Linuxをターゲットにしたマルウェア 2021年09月20日
PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる 2021年06月26日
VirusTotalには「社外秘」のファイルが多くアップロードされている 2016年03月14日
不正サイト検出サービスで悪評価を付けることで、そのドメインをスパム認定させられる？ 2015年09月01日
Kaspersky、ライバルが誤検出するよう妨害工作をしていた？ 2015年08月15日

徳丸浩の日記の記事によると、CookieやlocalStorage等でセッションを管理しているサイトがクリックジャッキング攻撃に対する防御対策をしていないと、ほぼ全ての条件でクリックジャッキングの影響を受けるようになるという。このサイトではGoogle Chrome、Edge、Firefox、Safariで設定を変更することで防御対策を無効化し、その影響に関しての調査をおこなった。その結果自体は元記事を見ていただきたいが、

その中でもSafariに備わっているトラッキングの抑制機能「ITP」の無効化をおこなうと、セキュリティを弱くする結果になるリスクが存在する。しかし、ITPの無効化を推奨しているサイトも複数存在する。メジャーどころとしてはYahoo! JAPANがそうで、iOS 11以降に対して「サイト越えトラッキングを防ぐ」を設定してあると、サービス内の機能が限定されるなど、一部のサービスを利用できなくなるという。このためサイト上の説明で「サイト越えトラッキングを防ぐ」機能をオフにしてからYahoo! JAPANのサービスをご利用くださいとの記載も見られる。その一方で

「サイト越えトラッキングを防ぐ」機能の設定変更は、お客様ご自身の責任において変更してください。

との責任回避のための注釈もされている。徳丸浩の日記の記事では、ブラウザのトラッキング機能を解除するとクリックジャッキング攻撃の影響を受けやすくなるとした上で、サイト運営者は、ブラウザの設定変更を促さすべきではないこと、利用者側もブラウザの設定を安易に変更しないことを警告している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Appleによる広告のためのユーザー追跡禁止方針、広告市場に大きく影響を与える 2019年12月14日
Androidの「Toast」機能を使用したオーバーレイ攻撃 2017年09月14日
AdobeやNoScriptからクリックジャッキング対策発表される 2008年10月14日

米国家安全保障局 (NSA) が IPv6 移行期におけるセキュリティの問題を特定・緩和するためのガイダンスを公開している (プレスリリース、 ガイダンス: PDF、 The Register の記事)。

ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。

• プライバシーの問題がある SLAAC を使わず、DHCPv6 を使用する
• 必要な場合を除いてトンネリングを避ける
• デュアルスタックシステムの IPv6 側に IPv4 と同等または上回るサイバーセキュリティシステムを実装
• 複数の IPv6 アドレスを割り当てたホストがすべてのトラフィックをデフォルトで拒否する設定になっていることを ACL で確認し、すべてのトラフィックを記録することを確実にする
• すべてのネットワーク管理者が IPv6 ネットワーク管理に必要なトレーニングを受ける

このほか、スプリット DNS の使用や IPv6 トラフィックのフィルタリング、デュアルスタックシステムでのネットワークアドレス変換使用回避などが追加の対策として紹介されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
NSA、可能な限りメモリ安全なプログラミング言語を使うことを推奨 2022年11月13日
中国が発展途上国向けに提案している「IPv6＋」はIPv6とは似て非なるもの 2022年06月17日
IPv6基礎検定が2023年3月から実施へ 2022年03月25日
NTTドコモ回線の一部で通信障害、1日から導入したIPv6シングルスタック方式の影響かは調査中 2022年02月01日
「プロフェッショナルIPv6 第2版」の無料配布が開始される 2021年12月22日
米国国家安全保障局（NSA）、位置情報を漏らさないようにするためのガイダンスを公開 2020年08月13日
NURO光やフレッツ・v6オプションでIPv6ファイアウォールが設定されていないことが話題に 2020年06月01日
IPv4には未来がない 2019年12月19日
米連邦地裁、米政府機関でのカスペルスキー製品使用禁止は違法だとする2件の訴訟を棄却 2018年06月02日
ロシアKasperskyとロシア当局がつながっている疑惑、米国が一部政府機関での導入を禁止へ 2017年07月08日

楽天グループは2023年1月17日付で「楽天会員規約」を一部改定するという（「楽天会員規約」改定のお知らせ）。改訂されるのはパスワードに関連する項目で、改定前では、

アカウントを利用するためのIDおよびパスワードは、他人に知られることがないよう定期的に変更する等

の記載があったものが、改訂後は

第三者に推測されにくい複雑なパスワードにする、ログイン状態の端末を第三者に利用させないようにする、第三者の端末を利用してログインした場合には利用後にログアウトする

といった内容に変更された。パスワードの定期的な変更はさまざまなサイトで推奨されていたが、2018年に総務省の「国民のための情報セキュリティサイト」の内容が変更され、その必要性がないことが明示されている。内閣サイバーセキュリティセンター（NISC）からも、パスワードを定期変更する必要はない旨が告知されている（インターネットの安全・安心ハンドブック - NISC）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
freeeが包括的な障害対応訓練。顧客情報漏えいとのツイートがあると問い合わせを想定 2022年11月29日
流出パスワードトップ 200、2022 年版では「password」が 1 位に 2022年11月27日
2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る 2022年09月24日
総務省、「パスワードの定期的な変更は不要」と方針変更 2018年03月27日

クラウド型会計・人事サービスを提供するfreeeでは、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。昨年も10月に実戦的な訓練を実施していたが、このとき一番きついユーザー対応部分に踏み込めなかったことから、今年のシナリオは全体的な課題に取り組む内容になっているという（ITmedia）。

同社はfreeeには2018年10月にサービスが停止する障害を発生させ混乱したことがあるため、その反省から定期的に全社規模での障害対応訓練を実施している。2022年の演習は、freeeのサービスに含まれるWebフォームが（実際には存在しないが）脆弱性を付かれて改ざんされ、ログインしてきたユーザーIDとパスワードが盗まれてしまったという想定で行った。前回訓練で横道にそれたりした反省から、調査や対応に当たる現場のエンジニアや担当者が、集中を乱されずに作業を進められる方法も実践するといった対応も取られたという。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
freeeが実施した障害訓練、従業員はトラウマに 2022年03月22日
クラウド業務サポートのfreeeがAmazonビジネスと購買明細APIで連携。日本では初 2022年01月28日
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日

maia 曰く、

三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDF、 CVE-2022-29859 / CVE-2022-33322: PDF、 ITmedia NEWS の記事、 TECH+の記事、 日本経済新聞の記事)。

対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。

20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-29859 は 3 月に修正された amb1_sdk の脆弱性となっている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
三菱電機の不正検査問題、16拠点148件に拡大 2022年05月26日
三菱電機、宇宙空間において3Dプリンターで人工衛星アンテナを製造する技術を開発 2022年05月23日
防衛省、三菱電機への不正アクセスによる安全保障上の影響に関する調査結果 2021年12月28日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果 2019年02月09日
シャープのロボット掃除機にセッション管理不備の脆弱性 2017年11月21日
IoTが引き起こす問題は誰が責任を負うべきか 2017年09月01日
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 2017年03月31日
サムスンのスマート冷蔵庫に脆弱性、Googleサービスへのログイン情報が盗まれる恐れ 2015年08月27日
カートリッジ式コーヒーメーカー「Keurig 2.0」に脆弱性、正規カートリッジへの成り済ましが可能 2014年12月13日
スイス Jura 社製コーヒーマシンの深刻な脆弱性がようやく公開される 2012年10月17日
コーヒーメーカーの脆弱性が発覚 2008年06月20日