尼崎市 市民46万人余りの個人情報が入ったUSBメモリーの紛失

 久々に、大きなセキュリティ事故が発生しました。

尼崎市で、委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したそうです。

ITMedia

https://www.itmedia.co.jp/news/articles/2206/23/news202.html

ポイントとなるのは、5点

1. 個人情報を管理する場所につながるPCにUSBメモリが挿せる
2. データの受け渡しにUSBメモリを使っている
3. 大事な情報の入ったUSBメモリが簡単に持ち出せる
4. USBメモリをもったまま飲み会に行く
5. USBメモリのパスワードを13桁の英数と記者会見で市の担当者がばらす

１～4については、某情報番組のコメンテーターも言ってましたが、これって民間では20年近く前の管理方法で、同じように飲み会などで紛失する事故が多発しました。その影響で、民間ではUSBメモリ自体使えないところが殆どです。

（挿せない、挿しても認識しない、特別なUSBしか認識しないようになっているなど）

5に至っては、セキュリティの観点で、2つの最悪な点が

• 13桁とばらしてる。（桁数が分からないと解読はかなり難しい）

• 英数とばらしてる。（記号が入ってない＝解読がかなり簡単）

セキュリティ事故の事例に出てきそうな、ダメダメな対応でした。

まぁ、山口県阿武町の誤振込のとき、銀行にフロッピーディスクで振込依頼をだしていたのにも驚きましたが、地方行政のIT機器や情報意識は、こんなレベルなんだろうなと思った出来事でした。

1月の月例更新 Windowsセキュリティ更新を「緊急」に位置付け

Windowsでは、大体1ヵ月に1回の頻度で、セキュリティパッチがリリースされています。

今回1月にリリースされたセキュリティパッチについて、マイクロソフトは「緊急」の位置付けで直ぐに適用を求めています。

■2021 年 1 月のセキュリティ更新プログラム (月例)

https://msrc-blog.microsoft.com/2021/01/12/202101-security-updates/

理由としては、この脆弱性にを利用した手口で、すでに悪用が確認されているということです。

大抵、緊急レベルのパッチでも悪用が確認されていないケースが多い中、実際に悪用されているので、早くパッチ当ててね！ってことです。皆さんも早急にパッチの適用を進めましょう。

Windows DNSサーバーの脆弱性（CVE-2020-1350について）

 Windowsのかなり深刻なバグが、発表およびパッチの公開がされました。

https://japan.zdnet.com/article/35156911/

インフラチームは、検証を含めかなり大変な事態になってそうですね。

上記だけでは、よくわからないと思うので、簡単にＤＮＳサーバの解説をします。

DNSサーバーは、ドメイン名（住所) とネットワーク上にあるコンピュータのIPアドレス の間を翻訳する役割があります。

例えば有名なＹＡＨＯＯのＷｅｂページで考えてみます。

　ドメイン名　＝　yahoo.co.jp

　IPアドレス　＝　183.79.135.206

ドメイン名は、人間でも分かるように記載してある住所のようなものです。

ＩＰアドレスは、1台のコンピュータを特定するための物で、イメージは、マイナンバーカードのＩＤ番号です。

（マイナンバー＝個人を特定する番号：IPアドレス＝PCを特定する番号）

ＩＤ番号だけでもコンピュータは理解できます。ただし、人間が理解でません。そのため、人間でも理解できるようにドメイン名とＩＰアドレスを紐づけて、翻訳してあげる機能がＤＮＳサーバとなります。

そのため、ＤＮＳサーバの脆弱性を突かれて、ドメインに紐づけられているIPアドレスが改ざんされると、正規のＷｅｂサイトにアクセスしたつもりが、勝手に不正なＷｅｂサイトへ誘導されます。

そのため、米政府の国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁も24時間以内に対応するよう指示する緊急指令を発表しました。

これを悪用されたら、いつも見ているＷｅｂページも信用できなくなってしまうという、現在のネット社会では致命的な被害を被る可能性があります。

マイナポイント申し込み時の罠

7月1日からマイナンバーカードを持つ人に買い物などで使えるポイントを還元する「マイナポイント」の申し込み受付が始まりました。

しかし、そこに大きな罠が仕掛けられていました。
パソコンでの申し込みは、以下が条件です。

• OS：Windows8.1,10
• 対応ブラウザ：InternetExplorer11（以下IE11）

IE11！？？？　このシステム作った会社どこだよ？っと思うレベルです。

ちなみに、私は携帯開発の前に3年ほどWEB系のシステム開発をしていました。WEB系の開発で、一番ポイントになってくるのは、どのブラウザに対応させるか（動作保証するか）です。今は、昔ほど差はなくなっていると思いますが、同じプログラムでも、ブラウザによって見え方が違ったり、最悪動作が変わってしまいます。そのため、どのブラウザに対応するかは、必須要素であり要求仕様書に必ず記載があります。

そのため、リリース時にIE11のみ対応ということは、それを最初から要求してきたことになります。どこが問題かというと以下の状況があります。

• 日本国内のWebブラウザ1位はChromeで60％超えの圧倒的シェア（世界的に見ても同程度）
• IE11のシェアは10%未満の3位
• Microsoft EdgeはIE11と同程度のシェアで2位
• MicrosoftはEdgeの使用を推奨している

こういった一般的向けのシステムは、大多数に合わせるのがセオリーです。10年程度前であればIE系で60％以上のシェアを持っていたので分かります。ただ現在、IE11はシェア10%未満の実質マイナーなWebブラウザとなりました。そのため、圧倒的なシェアを獲得しているChromeやMicrosoftが使用を推奨しておりシェア2位のEdgeでもないという、普通に考えたらあり得ない選択をしたことになります。
（Web系システムだとシェア1位と2位を対応させるのが一般的。そうすると7・8割がカバーできるので、それで十分との判断。100％対応にしようとすると開発費が桁違いに上がる）

まともなシステム会社であれば、要求仕様書でIE11の対応が書いてあったとしても、Chromeを優先的に対応すべきと事情説明するのがお客様（今回で言えば総務省）への礼儀だと思います。Chromeを対応したうえでオプションでIE11をやるのは、まだよいです。ただ、先ほども記載したとおりMicrosoftはIE11を非推奨としているので「IE11には対応しない」が普通の判断となります。

昔は、IEは独自仕様が多数ありブラウザの標準仕様にも沿ってなかったのに一番シェアを持っている歪な状況だったので開発には苦労しました。今や、EdgeもChromeベースとなりChromeとEdgeに対応するのはだいぶ簡単になったはずです。
無駄にIE11 をサポートしたことで、システムメンテナンスを含めて、開発費用が上がりそうに思います。

SIMカードロック

気になる記事を発見しました。

■IT media：「世界一受けたい授業」が紹介した「SIMカードロック」でトラブル相次ぐ
<https://www.itmedia.co.jp/news/articles/2006/29/news092.html>

世界一受けたい授業は、比較的好きな番組でよく見るんですが、この回は見逃していました。しかし、まさか専門家を名乗る人が、今時、PINロックとは・・・本当に専門家？または、10年以上前の話ですよね？と言いたくなるレベルです。

ちなみに、私は10年以上前に海外向けの携帯電話（GSM）の開発に関わっていたので、SIMカードロック（以降、PINロック）については、基本知識として知っていました。

ただ、この機能は、第2、2.5世代の携帯電話（GSMなど）向けに考えられた機能です。その当時、携帯電話を買い替えると電話帳データの移行が大変でした。そのため、SIMカードに電話帳を50件登録可能にしました。
また、海外では、当時からSIMフリーは当たり前だったため、SIMを差し回すことはかなり一般的な使い方でした。そのセキュリティ対策としてPINロック機能がありました。

当時の使い方（特に海外）では、それなりの需要や重要性がありました。ただ、今の時代で考えるとはっきり言って不要な機能だと思います。SIMカードの標準規格があり、過去の遺産として残っているだけの機能です。

では、なぜ廃れてしまったのか？それは、現代で考えてみるとこの機能は、メリットのわりにデメリットが大きすぎる点にあります。

■メリット

• SIMを入れ替えてもすぐに電話が掛けられる。（ただしSIMに保存されている50件まで）

■デメリット

• 50件しか移行できない。
• 今ならクラウドを介して電話帳データのアップロード、ダウンロードが可能
• PINコードを3回間違えるとPINロックになる。PUKを正しく入力すれば、復旧可能。この状態ならキャリアショップ等で解除できると思います。
• PINロック状態で、PUKを10回間違えるとSIMロックとなる。復旧不可。SIMの交換必須！！
• そもそも論でいうと、電話を掛けなくなってきている。

上記のように、かなり怖い機能です。GSMの開発中も動作確認で海外SIMをよく使いましたが、取り扱いは要注意でした。PINロックの試験もあって、PUKで解除するんですが、間違えないようにかなり慎重にやった記憶があります。

確かに、上記機能が何なのかを解ったうえで、PINを使ったセキュリティロックを掛けるのは良いです。ただ専門家を名乗る人が、それをTVで安直に言ってしまうレベルの物でもありません。
海外でGSMの時代に、日本は、所謂ガラケー時代だったため、独自の携帯電話文化でした。そのため、SIMの関しての知識が海外の人と比べると非常に少ないため、注意して発言してもらいたいものです。

私もGSMの開発に関わっていなければ、PINロック機能なんて知らなかったと思います。専門家を名乗るなら、こんな機能でセキュリティが増しますよ！だけでなく、TVで紹介する＝基礎知識のない人も見ている事を意識して発言して欲しいものです。

それなりに知っている事だったので、少し長めに書きましたが、TVの影響力ってまだまだ大きいんだなと思った出来事でした。

最悪のパスワード2019

2019年版最悪のパスワードが発表されました。

セキュリティー・サービス会社SplashDataが、ハッカーによって共有されているパスワードを特定するべく、流出した500万以上のパスワードを評価する第9回ワースト・パスワード・オブ・ザ・イヤーを発表しました。

■GIZMODO
<https://www.gizmodo.jp/2019/12/worst-passwords-2019.html>

　01 ： 123456
　02 ： 123456789
　03 ： qwerty
　04 ： password
　05 ： 1234567
　06 ： 12345678
　07 ： 12345
　08 ： iloveyou
　09 ： 111111
　10 ： 123123

Top10は以上です。
passwordが、2ランク降下したため「123456」との連続１、２フィニッシュはできませんでした。ただ、それでも4位と普通に多く使われています。
Top10では「iloveyou」以外は、定番かつ数字のみが多いですね。皆さんここに出ているパスワードを使ってないですか？十分注意しましょう。

ファイルレスマルウェア

ファイルレスマルウェアが増えているそうです。

■NTT com
<https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_38.html>

通常のウィルスといわれるものは、メールなどに添付されてくるファイルを実行すると不正なファイルがHDDに展開されて感染するものが、殆どでした。セキュリティソフトもそれを念頭に作られているものが殆どです。

その状態を逆手にとって、ファイルレスマルウェアが増えてきています。

名前のとおりファイルがなく、メモリ上で不正コードを実行します。先に記載した通り、セキュリティソフトは、不正なファイルを検知する前提で作られているため、メモリ上だけで実行されるものについては、検知が難しい場合が多いです。
かつ、メモリ上でしか動作しないので、再起動すると消えてしまいます。そのため、どんな悪さをしたかなど痕跡を追跡することも非常に困難になります。

ただ、感染源はいまだメール等への添付ファイルが殆どであることは変わらないので「知らないメールは開かない」ことが重要な予防となります。

TikTokにセキュリティ上の懸念

若い世代に流行っており、CMもやっている「TikTok」ですが、以下のように米海軍で禁止になりました。

■CNET Japan
米海軍はサイバーセキュリティ上の懸念を理由に、政府支給のモバイルデバイスで中国製アプリ「TikTok」を使用することを禁止した。Reutersが米国時間12月21日に報じたところによると、海軍は17日に軍関係者向けのFacebookページに投稿した通達で、TikTokを削除しないデバイス利用者は、海軍および海兵隊のイントラネット（NMCI）から遮断されると伝えたという。
<https://japan.cnet.com/article/35147233/>

TikTokが中国企業のため「中国共産党が支援を求めてきた場合に、拒否する力を一切持たない」のが理由です。中国共産党がTikTokの情報を得ようと思えば、かなり簡単にできるのでは？といのが米軍の懸念です。そのため軍関係者に禁止が通達されたのがこのニュースです。

まぁ、その通りだと思うので、重要情報に関わる人たちは使わないのが一番です。

神奈川県庁のデータ流出事件

神奈川県庁のデータ流出事件が発生しました。

TVでも大々的にやっているので、細かいとことは省きます。

事件を実際に起こしたのは、ブロードリンク社の社員です。

発覚したのは、該当社員からYahooオークションで、HDDを落札した人が、HDDの中身を復旧したところ神奈川県庁のデータが見つかり、連絡してくれたとのこと。HDDのデータ普及する時点で、普通の人ではなくSE系の方だと思いますが、知らせた上に神奈川県庁へ返却したという素晴らしい人ですね。

HDDのデータは、本で例えると「目次」と「本文」に分かれて管理されています。

皆さんが、PCでデータを消すという行為は「目次」を消しているだけです。「本文」はそのまま残っているので、目次を作り直せば、データの復旧が可能です。

そのため、データ消去を確実にする場合は、専用のソフトを使って、全データ領域に0や乱数を上書きするか、物理破壊するかなどの対応が必要です。かなりの専門業者であれば、上記の消去方法でも一部復旧する余地があったりします。それくらいデータの完全消去は難しい問題です。

この事件が、何故発生したのかは、正直、ブロードリンク社の管理体制が杜撰すぎます。

以下が、ブロードリンク社のセキュリティ対策です。

1. 指紋認証ならびにカード認証によるデータ消去室の入退室管理
2. 誰がどの扉に何時何分に入退出しかたをログデータとして記録
3. 各所に設置した24時間監視のカメラ
4. 仕入れたパソコン類にバーコードを添付し、入荷からデータ消去までをトレース
5. データ消去作業室からモノを持ち出せないように手荷物検査を実施
6. データ消去作業室のドアは1分間開けっ放しになるとブザーが鳴動
7. 入室時のユニフォームはポケットを縫い付けるなどの盗難防止体制

一見、そこそこの対策をしてそうです。

ただ、大きな問題点は以下の3点です。

1. 入退出ログは記録しているが、何か問題がない限りチェックしない。
2. 手荷物検査も正社員には不定期かつ、鞄の中身を見る程度で形骸化。
3. 担当者に物品を渡すまでは管理しているが、作業後のチェックはなし。

容疑者は、朝の早い時間に消去室に入室して物品をもちだしていたようで、完全にこの3点のスキを狙って犯行をしています。

こういった重要データを管理する場所（データセンターなど）であれば、金属探知機のゲートや手荷物検査用のゲート（空港にあるようなもの）があります。また、入室目的の申請、申請作業の前後の記録、最後は入退出のログと作業記録の突合で、不審な入退出がないか整合性のチェックを第三者がしています。

まぁ、大抵ニュースになるようなセキュリティ系の事件は、内部犯ですね。外部から侵入して、データを盗むのは、そこそこハードルが高いですが、内部だとかなり簡単だったりします。社員を信用していると聞こえはいいですが、こういった重大事件になると信用だけでは難しいのでは考えさせられます。

学校のPC1人1台へ

安倍首相が、小・中学校において1人あたり1台のパソコン整備に前向きな見解を示しました。日本の子どもは諸外国と比較して圧倒的にパソコンの保有率が低いという特徴があります。2013年の調査では約3割程度にとどまっています。また、16歳～24歳の若者が職場や家庭でパソコンを利用する頻度は、OECD加盟国の中で最低水準となっています。

■THE PAGE
<https://headlines.yahoo.co.jp/hl?a=20191127-00010000-wordleaf-bus_all>

導入自体は、賛成・反対で言うと「賛成」です。しかし、運用面でいったいどうするつもりなのでしょうか。先生に機器管理させる気でしょうか。元々SEだったのである程度分かってますが、正直素人が管理できるレベルではありません。
どこかに委託するのかもしれませんが、入れたら終わりではないのがPCなので、十分検討が必要だと思います。

コンピューターウイルス「Ｅｍｏｔｅｔ」（エモテット）

コンピューターウイルス「Ｅｍｏｔｅｔ」（エモテット）の感染が拡大しているようです。大きな特徴は、次の3つです。

• 非常に高い感染力、拡散力
• さまざまなマルウェアを感染させるプラットフォーム
• 感染先にあわせてアップデートされる

詳細は、以下のサイトをご覧ください。
■サイバーセキュリティ.com
<https://cybersecurity-jp.com/cyber-terrorism/34114>

ただ、メールに添付されたファイルを開いた場合に感染するので「知らないメールは開かない」という基本中の基本さえ守れば感染しません。
また、最初の発見も2014年頃ということなので、セキュリティソフトを入れていて、アップデートおよびメールのスキャンする設定にしていれば、感染するはずがないんです。
それでも感染が拡大するというのは、一般レベルのセキュリティ教育が足りていないということでしょうか。

史上最も危険な「iPhone接続ケーブル」が発売

iPhoneに接続するLightningケーブル内にワイヤレス機能をもたせており、そのLightningケーブルを刺すとワイヤレス機能を使って、外部からアクセスが可能になるようです。
また、一般発売されるようで約1万円で購入できるみたいです。

■史上最も危険な「iPhone接続ケーブル」が発売
<https://forbesjapan.com/articles/detail/30081?cx_art=trending>

現代のハッキングは、ネットワーク経由が殆どなのでネットワークを経由した防御については、非常に強固になっています。しかし、この製品のように物理的な部分の防御が不十分（もしくは考慮されていない）になってきているようです。

元々は「個人的なハードウェアの学習プロジェクト」として作ったようで、作ってみたらハッキングできる機器が出来上がってしまったという、ある意味面白い現象ですね。

これを機にハードウェア周りのセキュリティも強化されることを期待します。

GeoIP

GeoIP：Geolocation Internet Protocol Address

IPアドレスから、どこの国に属するのか調べるための物です。
なんでこの話題に触れているかというと、以下の記事でプロバイダによって見れるサイトが変わっているとの報告があったからです。

参考URL
https://hbol.jp/201099?cx_clicks_art_mdl=1_title

記事を簡潔に説明すると以下のとおりです。

・インターネットの世界では不要なアクセスを抑制するために、外部（例えば、外国）からのアクセスを遮断する仕組みがある。
・遮断の仕組みの1つにGeoIPを使ったものがある。
・GeoIPの無償版であるGeoLiteは2019年1月に廃止された。そのため、その後更新がされていない。
・旧ドイツのIPアドレスを最近日本の企業が取得した。

・古いGeoLiteを使っているプロバイダが、ドイツからのアクセスと判断し遮断している。

上記のため、アクセスできるサイトと出来ないサイトが発生している状況のようです。

これは、世界的なルールを共通的に使用しないと適切な動作をしないという典型的な例です。正直、プロバイダ側の対応不備だと思います。

しかし、ルール変更について知らないと対処できない例でもあります。こういったものは親切に誰かが教えてくれことは少なく、自分から情報収集しないと分からないことが多いです。また、システム開発者とメンテナンス担当が別ってことも良くあり、こういった基幹的な細かいところが引き継げてない事も多々あります。

大企業だと、こういった情報を専門にウォッチしていて、何か変更があれば全社に情報を流す仕組みがあったりしますが、それなりの企業でないと対処が難しい問題でもありますね。

iPhone標的とした「無差別」ハッキング

参考URL
<https://headlines.yahoo.co.jp/hl?a=20190831-00000018-jij_afp-int>

以下、抜粋
---------------------
【AFP＝時事】米IT大手グーグル（Google）のセキュリティー対策班は29日、米電子機器大手アップル（Apple）のスマートフォン「iPhone（アイフォーン）」を標的にした「無差別」なハッキング活動が、少なくとも2年間行われていたことを明らかにした。ウェブサイトに悪意あるソフトウエアを埋め込むことで、写真や位置情報といったデータにアクセスされていたという。
---------------------

---------------------

　標的とされた脆弱性は「iOS 10」から最新の「iOS 12」に至るまでほぼすべての基本ソフト（OS）から発見され、そのほとんどがiPhoneの既定ブラウザ「サファリ（Safari）」から見つかった。

　グーグルは今年2月、この問題をアップルに報告。アップルはその後、「iOS 12.1」用のセキュリティーパッチをリリースしたという。

---------------------

あるサイトにアクセスするだけで、脆弱性を利用されて監視ソフトウエアがインストールされていたようです。
サイトにアクセスするだけで感染する手法は「Nimda」みたいですね。
Nimdaは2001年と古いウィルスですが、感染経路が複数ありました。その中でも改ざんされたHTMLにアクセスするだけで感染してしまうため、感染力が非常に高く、数百万台規模で広がりました。ニュースにもなったかなり有名なウィルスです。


一応、この問題に対してはセキュリティパッチがリリースされていますが、まだアップデートしていない人は早急にやる必要がありそうです。

Windows 7

マイクロソフトによるWindows OSの延長サポートはWindows 7は2020年1月14日までです。あと半年を切りました。ただ、以下の表のとおりWindows7は30％以上のシェアを誇っています。

順位	プロダクト	今月のシェア	先月のシェア	推移
1	Windows 10	45.73%	44.10%	↑
2	Windows 7	35.44%	36.43%	↓
3	Mac OS X 10.14	5.34%	5.23%	↑
4	Windows 8.1	3.97%	4.22%	↓
5	Windows XP	2.22%	2.46%	↓
6	Mac OS X 10.13	1.94%	2.00%	↓
7	Linux	1.37%	1.39%	↓
8	Mac OS X 10.12	0.84%	0.89%	↓
9	Windows 8	0.77%	0.82%	↓
10	Mac OS X 10.11	0.61%	0.64%	↓

※Net Applications

マイクロソフトは、だいたい当たりOSと外れOSを交互に出すので、Windows7（大当たり）、Windows8（外れ）、Windows10（当たり）って感じですよね。

サポート期限が6ヵ月切って、さすがにWindows10が1位になり移行が徐々に進んでいる感じですが、Windows7が良すぎたので、乗り換えるのも躊躇しちゃいます。ただ、サポート期限が切れると修正パッチがでなくなるので、早めの切り替えが良いと思います。

バーコード決済サービスの不正利用

某大手コンビニのバーコード決済サービスで、不正利用が発覚しました。7月1日に開始して、7月3日に不正利用が発覚という、なんというかマッハな感じの事件です。

普通、不正利用の問題は、ハッカーなどによる侵入で情報が漏洩したり内部の人が関わっている場合が殆どです。しかし、今回は設計の初歩的な話で、パスワードリセットの仕組みに問題があったようです。
パスワードリセットのメール送信先を「任意のメールアドレス」に設定できるため「生年月日」「電話番号」「メールアドレス」の3つが分かれば、第三者がパスワードリセットのメールを受信できるようになります。完全に設計ミスですね。言い分としては、携帯メール等でPCメールの受信拒否設定している人でもパスワードリセットできるようにしたらしいです。

あと、本事件はかなりニュースになっていたので、見た方も多いと思いますが、経営トップが「2段階認証」を知らいないという驚愕の事態です。なんともお粗末なセキュリティ体制だったことが伺えます。同じグループ企業の某銀行でも2段階認証しているのに、なぜ知らないのか。この人がトップで大丈夫なのか、システム的にもっと駄目なところがあるのではと疑いたくなるレベルですね。

2段階認証は既に色々なサービスで普通になってきました。

昔の「ID＋パスワード」は1段階認証（または1要素認証）です。それに加えて、現在、個人に対して最も普及している携帯電話（スマホ）のSMSを利用し認証をするのが2段階認証です。
※2段階認証については、「ID＋パスワード」＋「SMS」を使うものだけではありませんが、この形が最も普及しているので例として挙げています。

このように2つの別の方法で認証することによりセキュリティを担保するやり方です。

パスワードリセットの不備および2段階認証なしにより、冒頭のスピード不正が発生しました。流行りにのってシステムを準備したはいいけど、セキュリティ設計のミスにより大事件になった良い例です。

パターン認証

Androidで設定できるパターン認証によるセキュリティについてです。

結構使っている人を目にしますが、セキュリティ面から考えるとかなりお勧めできません。（今すぐやめた方がいいレベルです）

理由１
・簡単なパターンを使っている場合が殆どで推測されやすい。「Z」、「G」、「O」「L」など

理由2
・他人が見たらすぐに覚えられる

パターン認証と6桁数字のパスワードの入力を盗み見た場合、どちらが覚えられるかをアメリカで実験したデータがあります。
パターン認証の場合、約２m離れた場所から1回見ただけで、3人に2人はパターンを覚えられました。同じ条件で6桁の数字パスワードの場合、10人に1人でした。
結果、パターン認証は、3桁の数字パスワードレベルのセキュリティしかないことが分かっています。

ということで、パターン認証をしている人は、早々に止めることをお勧めいたします。

以上、身近なセキュリティ問題でした。

■今日の名言
昔を振り返るのはここでやめにしよう。大切なのは明日何が起きるかだ。
by　スティーブ・ジョブズ

最悪のパスワード2018

少し前ですが、2018年の最悪のパスワードランキングが発表されました。
以下、Top10です。

　1位：123456
　2位：password
　3位：123456789
　4位：12345678
　5位：12345
　6位：111111
　7位：1234567
　8位：sunshine
　9位：qwerty
　10位：iloveyou

なんと1位と2位については、6年連続だそうです。

現場を知っている身からすると、きちんとしたシステム屋に依頼すれば、ありえないパスワードですが、初期設定が上記のようになっている機器は非常に多いです。
そのため、素人が作ったシステム（一番多いのは家で使っているルータとか）は、初期設定でそのまま使っている場合が殆どだと思うので、上記に当てはまる可能性が高いです。あとは、まだパスワード管理といった概念が薄かった時代の古いシステムだとあり得そうですね。

今後、教育が進めば、こういったパスワードの危険性も知ってもらえるのでしょうか。

■今日の名言
彼を知り己を知れば、百戦して危うからず
by 孫氏の兵法