投稿者「headless」のアーカイブ

墜落したボーイング737 MAX、オプション扱いの安全機能を搭載していなかった

昨年10月29日と今年3月10日に墜落事故を起こした2機のボーイング737 MAX型機では、オプション扱いとなっていた異常発生時の安全を向上させる2つの機能がいずれも搭載されていなかったそうだ(The New York Timesの記事SlashGearの記事The Vergeの記事Ars Technicaの記事)。

搭載されていなかったオプション扱いの機能とは、2つの迎角(AOA)センサーから読み取ったデータを表示するインジケーターと、2つのAOAセンサーから読み取ったデータが一致しない場合に警告を表示するAOA Disagree alertだ。昨年10月のライオンエア610便墜落事故では、737 MAXの新型失速防止システム(MCAS)にAOAセンサーから誤ったデータが入力されたことが事故の原因とされていた。

昨年11月にボーイングが発行したOperation Manual Bulletin(OMB)では、AOAの異常を操縦士へ知らせる複数の機能のうち、AOA Disagree alertはオプションのAOAインジケーターが搭載されている場合のみ利用できることが記載されている。ただし、ライオンエア610便の737 MAXにAOAインジケーターが搭載されていたかどうかについては記載がなかった。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | ソフトウェア | スラッシュバック | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
墜落事故を起こしたボーイング737MAX8と737MAX9に対し米当局も全機運航停止命令を出す 2019年03月15日
ライオンエア610便墜落事故、ボーイングが新機能のトラブル対応手順を知らせていたかどうかで議論に 2018年11月18日
アメリカン航空、ボーイング737 MAX導入に伴ってシートピッチを縮小する計画 2017年05月07日

Microsoft、エンドポイントセキュリティソリューションをMacにも提供へ

Microsoftは21日、同社のエンドポイントセキュリティソリューションをMacコンピューター向けにも提供することを発表した(Microsoft Tech Communityの記事Neowinの記事Softpediaの記事The Registerの記事)。

MicrosoftではWindows Defender Advanced Threat Protection(ATP)を使用する顧客がWindows以外のデバイスも一括して保護できるよう、パートナー企業と作業を進めてきたという。Mac向けの提供を開始するにあたり、Windows Defender ATPはMicrosoft Defender ATPに改称された。

Mac版のMicrosoft Defender ATPは顧客がWindows 10で使用しているのと同様の操作が可能なユーザーインターフェイスを持ち、macOS Mojave/High Sierra/Sierraで実行できるとのこと。現在、Microsoft Defender ATPの顧客限定でプレビュープログラム参加を受け付けている。

すべて読む | アップルセクション | セキュリティ | マイクロソフト | MacOSX | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
MicrosoftがWindows 10の利用統計情報をFireEyeに提供するとの報道、Microsoftは否定 2016年11月27日
Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 2016年11月03日
Windows 10ではホームユーザーへの月例更新が廃止され、更新プログラムは随時配布に 2015年05月06日

植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性

Medtronicの植込み型除細動器(ICD)や心臓再同期療法除細動器(CRT-D)とプログラマーやモニターとの通信に使われるMedtronic Conexusプロトコルに存在する、患者を攻撃可能な脆弱性2件が公表された(セキュリティ情報: PDFICS-CERTのアドバイザリArs Technicaの記事The Registerの記事)。

CVE-2019-6538はプロトコルに認証の仕組みが備わっていないというものだ。この脆弱性を悪用することで、攻撃者はデバイスの設定変更が可能となる。CVSS v3スコアは9.3(Critical)。CVE-2019-6540はプロトコルに通信内容を暗号化する仕組みが備わっていないというもので、攻撃者は患者のプライバシーにかかわる情報を含むすべての通信内容を傍受できる。CVSS v3スコアは6.5(Medium)。

ただし攻撃を成功させるには、攻撃者がConexusプロトコルで通信可能な機器を持ち、通信機能がオンになったデバイスの通信可能範囲内(最大6m程度)にいる必要がある。病院での診療時にはデバイスの通信機能が必要となるが、病院外での通信機能の利用は限定的だ。Medtronicはアップデートを開発中だが、リモート監視機能による利点が脆弱性によるリスクを上回るとして、処方されたとおりに使用することを推奨している。発表時点ではこれらの脆弱性を悪用した攻撃等は確認されていないとのこと。

なお、MedtronicのプログラマーではCareLink 2090とCareLink 29901でソフトウェアアップデート機能の脆弱性が昨年発見されているが、今回の脆弱性の影響を受けるプログラマーはCareLink 2090のみとなっている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
心臓ペースメーカー1100台余りに停止のおそれ、プログラムを無線通信で修正することを検討 2019年01月23日
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
建物への落雷で医療用の植込み型パルス発生装置が停止 2018年05月10日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
2014年内に史上初の「オンライン殺人」が起こる? 2014年10月10日
総務省が「LTE端末によるペースメーカーへの特別な影響はない」と発表 2013年12月26日
チェイニー元米副大統領、テロリストからの攻撃を懸念して植え込み型除細動器の無線機能を無効化していた 2013年10月20日
電気自動車の充電器で心臓ペースメーカーが誤動作する恐れ 2013年06月28日
ペースメーカーをハッキングして過電圧を与えることができる脆弱性 2012年10月22日
通信機能を備えた心臓ペースメーカー、クラックされる可能性あり 2008年07月20日
総務省、医療器具への電波の影響調査結果を発表 2005年08月13日

カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える

Kaspersky Labは19日、App StoreにおけるAppleの反競争行為に関する訴状をロシア連邦反独占庁(FAS)へ提出したことを発表した(Kaspersky Lab公式ブログの記事Softpediaの記事Mac Rumorsの記事9to5Macの記事)。

きっかけとなったのは昨年、同社のペアレンタルコントロールアプリ「Kaspersky Safe Kids」のiOS版がApp Store Reviewガイドラインの2.5.1に違反するとAppleから通告を受けたことだ。同社はAppleの要求に従い、App Storeのポリシーに違反するという構成プロファイルを使用する機能を削除。その結果、iOS版Kaspersky Safe Kidsはアプリの使用制限および、安全な内蔵ブラウザーのみでWebページを表示するという2つの重要な機能を失うことになったそうだ。

しかし、Kaspersky Safe Kidsは3年近くにわたって特に何の問題も指摘されずにApp Storeで公開されていたという。通告がiOS 12のペアレンタルコントロール機能「Screen Time」の発表直後だったことから、同社はAppleがプラットフォームのオーナー兼監督者の立場を利用してサードパーティーの開発者に不利な条件を押し付けていると受け取ったようだ。これによりペアレンタルコントロール市場は独占に向かい、停滞していくと同社は主張する。

先日SpotifyがAppleの不当競争行為是正を欧州委員会へ訴えたように、App Storeで不利な扱いを受けているのはKaspersky Labだけではないという。同社は問題を解決しようとAppleにたびたび接触しているが、実りのある結果は得られていないとのこと。今後もAppleと良好な関係を続けていくには、App Storeで全開発者が公平な条件で健全な競争が行われる必要があるため、今回の訴えに至ったとのことだ。

すべて読む | アップルセクション | ビジネス | セキュリティ | ソフトウェア | 法廷 | アップル | iOS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Spotify、Appleの不当競争行為是正を欧州委員会に訴える 2019年03月16日
Apple、プッシュ通知で元Apple Musicユーザーに2度目の無料トライアルを提案 2019年02月13日
インド電気通信規制庁開発のiOS版スパム電話/SMS報告アプリ、ようやくApp Storeで公開 2018年12月02日
TumblrアプリがApp Storeから突然消えた理由は児童ポルノ 2018年11月23日
Kaspersky曰く、「iOS向けアンチウイルスソフト」は存在しない 2018年09月28日
開発者が持続可能なApp Storeを目指す「The Developers Union」結成 2018年05月23日
マイクロソフトがAVベンダーサポート改善を発表、カスペルスキーは独占禁止法違反の訴えを取り下げへ 2017年08月11日
カスペルスキー、セキュリティソフトに関するMicrosoftの反競争行為を欧州委員会などに訴える 2017年06月08日
開発者とAppleへの恐怖 2015年03月28日
Dropbox SDKを使用したアプリ、App Storeで軒並み却下 2012年05月05日
iOS 5のWi-Fi SyncはApp Storeで却下されたアプリそっくり 2011年06月12日

Windows Defender Application Guard、他社ブラウザー用拡張を提供開始

Microsoftは15日、Windows Defender Application Guard(Application Guard)がGoogle ChromeとMozilla Firefoxでも利用可能になったことを発表した(Windows Experience Blogの記事BetaNewsの記事)。

Application Guardは隔離したコンテナ内でMicrosoft Edgeを実行することによりブラウザーベースの攻撃を防ぐ機能だ。そのためSLATおよび、VT-xまたはAMD-V対応に対応した4コア以上の64ビットプロセッサーや8GBのRAMなどがハードウェア要件となっている。Windows 10 Insider Preview ビルド18358(19H1)のアナウンス記事内で発表されているが、Windows 10 Enterprise バージョン1709以降/Windows 10 Pro バージョン1803以降で利用可能となっており、Insiderビルドは必要ない。

現在、Chrome用拡張機能Firefox用拡張機能コンパニオンアプリが提供されており、これらをインストールしてコントロールパネルの「Windowsの機能の有効化または無効化」で「Windows Defender Application Guard」を有効にすればApplication Guardを使用できるようになる。なお、Application Guardウィンドウを開くと、コンパニオンアプリが起動して隔離環境でMicrosoft Edgeセッションを実行する。隔離環境でChromeやFirefoxが実行されるわけではない。

Application GuardにはWindows 10 Enterpriseのみで利用可能な企業管理モードと、Windows 10 Enterprise/Proともに利用可能なスタンドアロンモードという2つのモードがある。企業管理モードでは信頼されるサイトのポリシー設定に従い、コンパニオンアプリと元のブラウザーの間で自動的にリダイレクトされる。一方、スタンドアロンモードでは拡張機能のボタンから手動でコンパニオンアプリを開いて利用することになる。コンパニオンアプリは他のアプリとの間でテキストをコピー/貼り付けできないため、スタンドアロンモードでの利用は制約が大きい。

すべて読む | セキュリティセクション | Chrome | セキュリティ | Firefox | インターネット | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
MSが「IEを友人や同僚に薦める可能性」をユーザーに調査? 2019年03月14日
Microsoft、特設サイト「Microsoft Edge Insider」をオープン 2018年12月23日
Microsoft、EdgeブラウザをChromiumベースにすることを発表 2018年12月07日
Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 2018年04月21日
Windows 10の次期大型アップデートはSpring Creators Update? 2018年02月08日

HPのバッテリパック自主回収プログラム対象拡大、米政府機関一部閉鎖で2か月間話題にならず

HPが昨年から実施していたノートPCおよびモバイルワークステーション用バッテリパックの自主回収プログラムで、対象を拡大している(日本HPの告知自主回収プログラム専用サイトCPSCのリコール情報SlashGearの記事)。

対象のバッテリパックは異常過熱が報告され、HPでは昨年1月から自主回収を実施していたが、当初は回収対象外とされていたバッテリパックでも異常が報告されたため今年1月に対象を拡大したという。ただし、米政府機関の一部閉鎖の影響で米消費者製品安全委員会(CPSC)によるリコール情報公開が遅れ、3月12日付で公開されるまで話題になっていなかったらしい。日本HPでは1月18日付で告知ページを更新しており、国内販売モデルではHP Probook 4xx(G4/G5)などの修理交換したバッテリパックが新規で対象に追加されている。消費者庁のリコール情報は更新されていないようだ。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | HP | 電力 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
国境の壁をめぐる対立で予算が成立せず、米政府機関の一部が閉鎖される 2018年12月23日
富士通のノートPC約1712万台で発火の恐れ、対策のためのアップデートをWindows Updateで配信 2018年11月05日
パナソニックのバッテリ不具合対策ツール「バッテリー診断・制御プログラム」、インストール時にトラブルの可能性 2018年06月28日
Lenovo、ThinkPad X1 Carbonの一部で脱落したネジによりバッテリーが傷付き、過熱のおそれがあるとして無償点検を実施 2018年02月11日
HPもバックパック型PCを発表 2017年08月18日
HP、ノートPCのバッテリパック自主回収プログラムを実施 2016年06月26日
HPが世界最薄ノートPC「HP Spectre」を発表、厚さは10.4mm 2016年04月08日

キョードー東京のチケット販売サイト、他人の個人情報が表示されるトラブル

キョードー東京は16日、同社のチケット販売サイト「キョードー東京チケットオンライン」にアクセスした顧客の情報が別の顧客に誤って表示されるトラブルが発生していたことを発表した(大切なお知らせ読売新聞オンラインの記事)。

同サイトは15日から高負荷によりアクセスしづらい状態になっていたためシステム会社が16日4:07に改善措置を実施したとのことだが、これに不十分な点があったことが原因だという。漏洩の可能性があるのは16日4:07~8:17に同サイトへアクセスした最大1,600件分で、氏名・性別・電話番号・住所・生年月日・メールアドレス・秘密の質問と答え・ID・パスワードが含まれるとのこと。銀行口座やクレジットカード番号などは含まれない。

同サイトは現在停止しており、16日4:07~8:17に同サイトへアクセスした顧客は復旧後にメールアドレスとパスワードの変更が必要になる。今後はシステム会社との連携強化や作業内容確認の徹底といった再発防止策をとるとのことだ。

すべて読む | セキュリティセクション | バグ | 娯楽 | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
チケット販売サイト「e+」、ボット対策の導入によりチケット自動購入ボットをほぼ殲滅 2018年12月30日
米国でボットによる買い占めを禁止する法案が提出される 2018年12月01日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
ITパスポート試験から団体申込者の個人情報が漏洩、排他制御漏れが原因 2018年03月15日

Google、Chromeのゼロデイ脆弱性と組み合わせて攻撃に使われていたWindowsのゼロデイ脆弱性を公表

GoogleのThreat Analysis Groupは7日、Windowsのゼロデイ脆弱性を公表した(Google Security Blogの記事Softpediaの記事9to5Googleの記事Ars Technicaの記事)。

この脆弱性はwin32k.sysにおけるローカルでの特権昇格で、悪用するとサンドボックス迂回が可能になるというものだ。先日Chrome 72.0.3626.121で修正されたゼロデイ脆弱性(CVE-2019-5786)とともに攻撃に使われており、それぞれ2月27日に脆弱性を報告していたという。

ゼロデイ攻撃は32ビット版のWindows 7をターゲットにしたものが確認されており、より新しいバージョンのWindowsでは脆弱性の新しい緩和技術が追加されていることから、実際に影響を受けるのはWindows 7のみとみられる。Chromeの脆弱性は修正されているものの、他のブラウザーの脆弱性と組み合わせてサンドボックス迂回に使われる可能性がある。Microsoftは修正を進めているとのことだが、ゼロデイ攻撃が確認されている場合は報告から7日後に公表するというGoogleの脆弱性開示方針に基づいて脆弱性が公表された。

ブログ記事では緩和策として、古いバージョンのWindowsを使用している場合はWindows 10へのアップグレードを検討すること、Windowsのパッチが公開されたら適用することを推奨している。

すべて読む | セキュリティセクション | Google | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
GoogleのProject Zero、macOSのセキュリティに影響するカーネルの未修正バグを公表 2019年03月08日
Microsoft Edgeブラウザに新たな脆弱性、リモートコード実行が可能 2018年11月09日
Windowsのゼロデイ脆弱性が再びTwitterで公表される 2018年10月28日
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
Microsoft、Google Chromeのパッチ提供方針を批判 2017年10月21日
Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 2017年06月01日
Windowsをクラッシュさせるゼロデイ・エクスプロイトコードがGitHubで公開 2017年02月10日
Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 2016年11月03日

米国家安全保障局、リバースエンジニアリングツール「Ghidra」を予告通り公開

米国家安全保障局(NSA)が5日、リバースエンジニアリングツール「Ghidra」を公開した(特設サイトNSAの紹介ページRSA Confereneのセッション紹介The Registerの記事)。

GhidraはNSAがマルウェア解析などを目的として開発したもので、1月に公開が予告されていた。ライセンスはApache 2.0となっており、ソースコードも公開予定のようだが、GitHubのリポジトリは現在のところプレースホルダーのみとなっている。バイナリは特設サイトからダウンロード可能で、実行にはJavaが必要だ。

NSAのシニアアドバイザー、ロバート・ジョイス氏は同日、RSA Conference 2019でGhidraを紹介している。ジョイス氏はGhidraがバックドアを備えていないと主張したが、デバッグモードで実行するとローカルネットワーク上からコマンドを実行可能なバグらしきものが見つかっているとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | スラッシュバック | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国家安全保障局、WikiLeaksが存在を明らかにしたリバースエンジニアリングツールを公開へ 2019年01月13日
WikiLeaksがCIAのハッキング手口を多数公開 2017年03月11日
米NSA、オープンソースのセキュリティー管理プラットフォーム「SIMP」を公開 2015年07月19日

Windows 7延長サポート終了後の有料セキュリティアップデートオプション、4月1日から販売開始

Microsoftは4月1日からWindows 7 Extended Security Updates(ESU)を販売開始する(Microsoft 365 Blogの記事Computerworldの記事)。

Windows 7 ESUはボリュームライセンスでWindows 7 Professional/Enterpriseを利用しているユーザーを対象に、Windows 7の延長サポートが終了する来年1月14日以降も最大3年間、有料でセキュリティアップデートを提供するというものだ。

ESUはデバイス単位で販売され、1年ごとに価格が上昇する。WindowsソフトウェアアシュアランスまたはWindows 10 Enterprise/Educationサブスクリプションのユーザーに対しては値引きがある。Microsoftは価格を公表していないが、Computerworldによれば1年目は50ドル(値引きが適用される場合は25ドル)で毎年倍増していくとのこと。

昨年9月に発表されていた通り、ESUが有効なデバイスでは2023年1月までOffice 365 ProPlusを使い続けることが可能だ。また、Microsoft 365ユーザー向けのWindows Virtual DesktopではESUが2023年1月まで無料提供される。

Windows 7は延長サポート終了まで1年を切っているが、StatCounterのWindowsバージョン別シェアデータでは2月も33.89%となっている。延長サポート終了後も高いシェアを維持して話題になったWindows XPでも、同時期(2013年5月)のシェアは24.85%だった。スラドの皆さんの職場では、ESUの購入を検討しているだろうか。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2月のWindowsバージョン別シェア、ロシアでWindows 10が初の1位に 2019年03月06日
Windows 7のDLL読み込みに関する脆弱性、対策はWindows 10へのアップグレード 2019年03月04日
Windows Media Playerのメディア情報取得機能、Windows 7のみ廃止へ 2019年02月01日
サポート終了まで残り1年のWindows 7、依然として高いシェアを保つ 2019年01月14日
Microsoft、企業・教育機関向けWindows 10のサポート期間延長などを発表 2018年09月09日

Google Playのアプリセキュリティ向上プログラム、修正を助けたアプリが累計100万本を超える

Googleは2月28日、Google Playで公開されるアプリのセキュリティを向上させるApplication Security Improvement Program (アプリセキュリティ向上プログラム)により修正されたアプリが累計100万本を超えたことを明らかにした(Android Developers Blogの記事VentureBeatの記事)。

Application Security Improvement ProgramはGoogle Playに送信されたアプリをスキャンし、脆弱性が見つかった場合には開発者に通知して修正を助けるというもの。その後も定期的なスキャンが行われ、新たに脆弱性が見つかれば通知される。脆弱性の種類によっては、修正が完了するまでアップデートは公開されなくなるが、公開済みのAPKには影響しない。

Googleは5年前にプログラムを開始してから、現在までに30万人以上の開発者による100万本以上のアプリの脆弱性修正を助けており、昨年1年間だけでも3万人以上の開発者による7万5千本以上のアプリが修正されたとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | デベロッパー | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで新規公開/更新するアプリのターゲットAPI最低要件、引き上げへ 2019年02月24日
Google、AndroidのプリインストールアプリをGoogleアカウントなしでも自動更新する計画 2019年02月20日
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日
Google Playで公開するAndroidアプリの64ビット対応必須化、詳細が発表される 2019年01月19日
インド電気通信規制庁開発のiOS版スパム電話/SMS報告アプリ、ようやくApp Storeで公開 2018年12月02日
Google Playで発見されるマルウェア、インストール件数は水増しされている? 2018年11月25日
Google Playで配布されている無料アプリの約9割がサードパーティによるトラッキングを導入している 2018年10月31日
DMCA削除要請の対象になっていないアプリがDMCAに基づいてGoogle Playから削除されるトラブル 2018年10月24日
Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 2018年10月22日
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
Google Playで新規公開/更新するアプリ、最新APIをターゲットにすることが必須に 2017年12月23日

テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン

EFFは2月28日、テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう要求するキャンペーン「Fix It Already」を開始した(Deeplinks Blogの記事Mac Rumorsの記事Softpediaの記事)。

キャンペーンの対象は9社。AppleにはiCloudバックアップの暗号化、Android (Google)にはAndroidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること、Microsoft (Windows 10)には「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。

このほかの6社に対する要求は以下の通り。
  • Facbook: セキュリティ目的でユーザーが提供した連絡先情報を他の目的に使用しない
  • Slack: 無料ワークスペースの管理者にもメッセージ保持期限の設定を可能にする
  • Twitter: ダイレクトメッセージをエンドツーエンドで暗号化する
  • Venmo: 友達リストを非公開化できるようにする
  • Verizon: 端末へのスパイウェアインストールをやめる
  • WhatsApp: グループへ追加する前にユーザーの了承を受ける

すべて読む | セキュリティセクション | テクノロジー | ビジネス | セキュリティ | YRO | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米人権団体、米司法省がFacebook Messengerの暗号解除を求めた裁判の情報開示を求める 2018年12月04日
Facebook、閲覧者のマウス操作や周囲のデバイスなどを含むさまざまな情報収集を認める 2018年06月19日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日
EFF、パテントトロールに特許を売却する米大学を批判 2017年04月07日
EFF、Microsoftがユーザーの選択とプライバシーを無視していると批判 2016年08月20日
政府機関からユーザーのデータを保護する姿勢に関するEFFの年次リポート、WhatsAppが最低評価 2015年06月20日
EFF曰く、Appleの開発者規約が原因でEFFアプリのiOS版を提供できない 2015年01月11日

Google Playで新規公開/更新するアプリのターゲットAPI最低要件、引き上げへ

Googleは21日、Google Playで新規公開/更新するアプリのターゲットAPIレベル引き上げ計画を発表した(Android Developers Blogの記事9to5Googleの記事VentureBeatの記事Neowinの記事)。

Googleは2017年12月にGoogle Playで新規公開/更新するアプリについて、AndroidManifest.xmlの「targetSdkVersion」で最新APIの指定を必須とする計画を発表し、2018年にはAPI 26(Android 8.0)が最低要件となっていた。これにより、2018年中に15万本以上のアプリで実行時パーミッションのサポートが追加されるなど、ユーザーが最新APIのメリットを享受できるようになったという。

2019年には8月から新規アプリでターゲットAPIをAPI 28(Android 9)以上にすることが必須となり、11月からは既存アプリのアップデートに対しても適用される。更新されない既存アプリについては影響を受けず、「minSdkVersion」により旧バージョンのAndroidも引き続きサポートできる。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | デベロッパー | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、AndroidのプリインストールアプリをGoogleアカウントなしでも自動更新する計画 2019年02月20日
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日
Google Playで公開するAndroidアプリの64ビット対応必須化、詳細が発表される 2019年01月19日
Google Play開発者サービス、Ice Cream Sandwichのサポート終了へ 2018年12月11日
Android Q、Lollipop以前をターゲットにしたアプリの実行時に毎回警告が表示される可能性 2018年09月09日
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
AndroidのWebView、バージョン66ではSafe Browsingがデフォルト有効に 2018年04月21日
Google Playで新規公開/更新するアプリ、最新APIをターゲットにすることが必須に 2017年12月23日

英政府が5GネットワークでHuaweiを使用するリスクを対応可能なレベルと結論付けたとの報道

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)が5Gネットワークの機材調達について、Huawei製品を使用するリスクは対応可能なレベルとの結論に達した、とFinancial Timesが報じている(BetaNewsの記事The Vergeの記事Mashableの記事)。

この情報は結論に詳しい2名が語ったもので、公式発表されたものではない。ファイブアイズ5か国では米国とオーストラリアが中国製品を5G調達から排除するよう圧力をかけており、ニュージーランドが同調している。一方、カナダでは国防省サイバーセキュリティセンターの責任者が昨年、5G調達からHuaweiを排除する必要はないとの考えを示していた。Huawei CFOの拘束を発端としてカナダと中国の外交関係は悪化しているものの、現在のところHuaweiを排除する計画はないようだ。

欧州各国でも米豪に同調する動きがある一方で、ドイツではHuaweiを全面的に排除するよりも監視を厳しくして参入を認める方がいいとの考えに傾いている。英国が米国などからHuaweiを排除しない場合のリスクに関する情報を提供されたうえで、そのリスクは対応可能と判断したとすれば、各国政府の判断にも影響を与える可能性がある。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 通信 | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
携帯電話大手3社、HUAWEIやZTE製品製品を事実上排除へ? 2018年12月11日
ファーウェイのCFO、カナダで身柄を拘束される。イラン経済制裁に対する違反の疑い 2018年12月06日
2018年第3四半期のスマートフォン販売台数は548万台増の3億3,907万台、中国ブランドが支える 2018年12月06日
米トランプ政権、同盟国に対しファーウェイ製品の不使用を求める 2018年11月26日
NEC、5G携帯電話基地局の開発・販売でSamsungと業務提携へ 2018年10月24日
カナダ政府、Huaweiに不審な点があれば発見できるため、5G調達から排除する必要はないと自信を示す 2018年09月29日

Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増

Googleによれば、昨年Google Playストアへ登録申請があったアプリのうち、却下したアプリの数は前年よりも55%以上多かったそうだ(Android Developers Blogの記事VentureBeatの記事SlashGearの記事Softpediaの記事)。

現在もGoogle Playでのマルウェアを含むアプリの発見はたびたび報じられるが、昨年Googleでは新たな不正の手口からユーザーを守るほか、悪意ある開発者を発見・排除し、ストアで悪意あるアプリの増加を防ぐための新たなポリシーを導入したという。

その結果、却下したアプリが前年比55%以上増加したのに加え、公開停止したアプリも前年比66%以上増加したとのこと。さらに、Google Play Protectが毎日500億本以上のアプリをスキャンしており、Google Playで入手したアプリは他の場所で入手したアプリよりもユーザーを害する可能性が8分の1以下になっているとのこと。

2019年は不正行為で排除された開発者が別アカウントで再参入することを防ぐ技術の強化や、不正アプリを検出する技術の強化などを行うほか、ユーザーのプライバシーを保護するため、新たなポリシーの追加も行っていくとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | Android | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで発見されるマルウェア、インストール件数は水増しされている? 2018年11月25日
Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 2018年10月22日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
Google Playから2017年に削除された不正アプリは70万本以上 2018年02月03日
子供向けアプリを装ってアダルト広告を表示するマルウェア、Google Playで60本以上見つかる 2018年01月14日
Androidのセキュリティ、Google Playプロテクトのマルウェア検出性能は不十分? 2017年10月29日
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017年08月16日
Google Playでゲーム攻略アプリに偽装したマルウェアが公開される。200万台以上が被害に? 2017年05月03日
開発に使われたPCがウイルスに感染していたためにウイルスが混入したと見られるAndroidアプリ、多数見つかる 2017年03月08日

Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開

Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事GoogleアカウントヘルプThe Keywordブログの記事Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019年01月30日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日

人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果

ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクトThe Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 通信 | ソフトウェア | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
多くのIoT機器はセキュリティ対策が不十分 2019年02月07日
IPA、「情報セキュリティ10大脅威 2019」を発表 2019年02月01日
米カリフォルニア州、ネット接続機器の「デフォルトパスワード」を規制する法律 2018年09月26日
単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き 2018年01月23日
総務省、ネット上のIoT機器全調査を行うと発表 2017年09月11日
IoTが引き起こす問題は誰が責任を負うべきか 2017年09月01日
米上院でIoTデバイスのセキュリティ対策を求める法案が提出される 2017年08月10日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日
IoTマルウェア「Mirai」やその亜種による攻撃が増加中 2017年01月26日
IoTアダルトグッズのセキュリティ問題が指摘される、遠隔から第三者がバイブレーターを操作できる可能性 2016年12月22日
中国メーカー、大規模DDoS攻撃の原因機器となっているWebカメラを米国でリコールへ 2016年10月26日
IoTデバイスを乗っ取ってDDoS攻撃を行うマルウェアのソースコードが公開される 2016年10月07日
再び話題になるIoT検索サイト「Shodan」 2016年01月28日
IoTバービー人形でさまざまなセキュリティ上の問題が見つかる 2015年12月06日
サムスンのスマート冷蔵庫に脆弱性、Googleサービスへのログイン情報が盗まれる恐れ 2015年08月27日
Microsoftなどの企業団体、IoTにおける個人情報保護ガイドラインを提示 2015年08月17日
IoTはパスワードを不要にする、かもしれない 2015年06月24日

Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止

先日リリースされたFirefox 65でセキュリティソフトウェアによる問題が発生し、MozillaがWindows版の自動更新による提供を一時中止したそうだ(Bug 1523701Softpediaの記事Techdowsの記事)。

この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。

Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。

すべて読む | ITセクション | セキュリティ | Firefox | バグ | Windows | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefox 64リリース、シマンテックの証明書が無効に 2018年12月13日
Firefox 65ナイトリービルド版がWebP画像形式に対応 2018年11月23日
主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画 2018年10月18日
Mozilla、ページ読込みを遅くするトラッカーなどをFirefoxのデフォルトでブロックする計画 2018年09月02日
AvastやAVGを利用している環境でFirefoxがTLS 1.3を利用できなくなるトラブル 2018年06月29日
WindowsにDefender以外のアンチウイルスソフト不要論にカスペルスキーが反論 2017年02月14日
Googleのエンジニア曰く、行儀のいいアンチウイルスはWindows Defenderだけ 2017年02月05日
Windows 8.1/10ではサードパーティーのアンチウイルス製品を避けるべき? 2017年01月29日

ニューアーク国際空港で遅延を発生させた上空でのドローン目撃情報、実際にはドローンではなかった可能性も

ニューアーク・リバティー国際空港で22日、上空からのドローン目撃情報による遅延が発生したそうだ(ABC Newsの記事The Vergeの記事SlashGearの記事CNNの記事)。

目撃情報は2件。いずれもニューアークへ向かう旅客機からの報告で、24kmほど離れたところにある同じニュージャージー州内のテターボロ空港上空約3,500フィートで目撃されたという。機長の1人は最終着陸態勢中にドローンのようなものが右翼の30フィート以内まで接近したと述べているそうだ。これを受けて連邦航空局ではニューアークへの到着便の受け入れを一時停止した。その後さらなる目撃情報がなかったため短時間で再開されたものの、ニューアークへ向かう一部の便は出発地で一時待機することになったとのこと。

しかし、FAAでは目撃された物体がドローンかどうか確認できていないという。また、DJIのBrendan Schulman氏は風船か何かをドローンと見間違えたのではないかとの見方を示しているそうだ。ドローンは高度3,500フィートで目撃されたが、FAAでは高度400フィートを超えるドローンの飛行を許可していない。個別に許可を得れば高度400フィート以上での飛行も可能とはいえ、その可能性は非常に低いとSchulman氏は語る。ロンドン・ガトウィック空港やヒースロー空港でのドローン侵入騒ぎ以降、人々は空を飛ぶ物体をドローンと判断してしまいがちになっているとのことだ(Chicago Tribuneの記事)。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ロンドン・ガトウィック空港とヒースロー空港、ドローン対策システムを導入 2019年01月11日
英警察、ロンドン・ガトウィック空港へのドローン無許可侵入容疑で2名を逮捕 2018年12月23日
ロンドン・ヒースロー空港で旅客機に衝突した「ドローンのようなもの」はビニール袋だった? 2016年04月23日
イギリス・ヒースロー空港でドローンが乗客を乗せた旅客機とニアミスを起こす 2014年12月11日

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩

オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせYOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 2018年10月16日
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日

どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半

電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事KrebsOnSecurityの記事Ars Technicaの記事Mashableの記事)。

Have I Been Pwned?のToy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
Mozilla、個人情報が流出したWebサイトの通知機能をFirefoxに追加する計画 2017年11月26日
米Yahooで2013年に発生していた情報漏洩、全利用者のアカウント情報が流出していた可能性 2017年10月05日
米Yahoo!、今度は10億人分のユーザー情報を漏洩。以前のものとはまた別 2016年12月17日
米Yahoo、ユーザー5億人超の個人情報が流出したことを発表 2016年09月27日
Dropbox、4年以上パスワードを変更していないユーザーにパスワード変更を促す 2016年08月27日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日
ロシアのサイバー犯罪グループが12億件以上のアカウントを不正入手していた? 2014年08月12日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日
LinkedInから650万件のパスワードが漏洩か 2012年06月07日

米国家安全保障局、WikiLeaksが存在を明らかにしたリバースエンジニアリングツールを公開へ

米国家安全保障局(NSA)のシニアアドバイザー、ロバート・ジョイス氏が3月のRSA Conference 2019で、リバースエンジニアリングツール「GHIDRA」のデモを行い、同時に一般提供も行うそうだ(RSA Conferenceのセッション情報BetaNewsの記事HackReadの記事)。

GHIDRAはWikiLeaksのVault 7プロジェクト第一弾として2017年3月に存在が明らかにされた米中央情報局(CIA)のハッキングツールの1本で、NSAが開発したものだ。WindowsやMac OS、Linuxを含むさまざまなOSに対応し、各種プロセッサーの命令セットをサポートするという。GHIDRAプラットフォームには、商用のハイエンドツールに期待されるすべての機能が含まれるとのこと。Vault 7で公開された情報によれば、実行にはJavaが必須となるようだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | デベロッパー | アメリカ合衆国 | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WikiLeaksがソースコードを公開したCIAのハッキングツール、カスペルスキーの偽証明書を生成するサンプルも 2017年11月12日
WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 2017年09月03日
米政府機関をターゲットにしたCIAのハッキングツール「ExpressLane」 2017年08月26日
ターゲットPCへの物理的なアクセスの証拠を消すCIAのツール「Dumbo」 2017年08月06日
LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 2017年07月04日
特定ユーザーが共有フォルダから実行ファイルをコピーした場合のみマルウェアに置き換えるCIAのツール 2017年06月07日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日
WikiLeaksがCIAのハッキング手口を多数公開 2017年03月11日

金を払わなければ殺し屋を送る、と脅迫する詐欺メール

メール受信者を殺害するよう依頼されたが、金を払うなら見逃す、と脅迫する詐欺メールをBleeping Computerが入手し、全文を公開している(Bleeping Computerの記事HackReadの記事)。

下手な英文で書かれたメール本文は、差出人がターゲットを殺害したり、負傷させたりする仕事をダークウェブで請け負っており、今回のターゲットがメール受信者であるという説明から始まる。代金は4,000ドルだが支払いは仕事の後であり、しばしば殺し屋を消すことになるなど負担が大きいため、受信者が1,200ドルをビットコインで支払うなら殺し屋を送らず、依頼人に関する情報も提供すると述べている。

まだ実際にだまされた人はいないようで、記載されているビットコインアドレスに入金された形跡はないとのことだ。同様の詐欺メールはこれまでにも米国で出回っており、FBIが注意喚起していた。

すべて読む | セキュリティセクション | セキュリティ | spam | 変なモノ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国で殺されたくなければ金を支払えと脅迫するメールに対しFBIが注意喚起 2018年01月31日
「殺す」との脅迫メールを送った男性、メール内に書かれていた名前や住所でバレて逮捕される 2016年10月17日
海外大手出会い系サイトで性的嗜好などを含む会員情報が流出 2015年05月26日

英警察、ロンドン・ガトウィック空港へのドローン無許可侵入容疑で2名を逮捕

英サセックス警察は22日、ロンドン・ガトウィック空港にドローンが無許可で侵入した事件について、2名の逮捕を発表した(プレスリリースThe Registerの記事London Evening Standardの記事Express.co.ukの記事)。

逮捕されたのは空港に近いクローリーに住む47歳の男性と54歳の女性。男性はラジコン自動車や小型ドローンなどを趣味にしているという。しかし、男性の知人からは事件が発生した時刻に男性とお茶を飲んでいた(ドローンを操作していたはずはない)といった証言が相次いでいるようだ。

ガトウィック空港では19日、無許可のドローンが滑走路に侵入しているのが確認され、同日21時(GMT)に滑走路を閉鎖21日6時に再開されるまで、閉鎖は1日半近くにおよんだ。

これについて pongchang 曰く、

複数回の目撃情報がありクリスマスを数日後に控える中で数万人の乗客が足止めを余儀なくされている。英当局は、フェンスの周囲で猟銃を構えたり、近隣の屋上で監視をするなど、警察に加え軍隊も投入して操縦者の捜索を急いでいる。ガドウィック空港はハブ機能があるので英国のみならず欧州や世界各地にダイヤの乱れがある。乗客も離陸待機で数時間機内に閉じ込められた末、フライトがキャンセルになるなど混乱が続き、当然ながら預かり荷物の紛失などの混乱も重なっている(FlyTeamニュースの記事AFPBB Newsの記事)。

すべて読む | セキュリティセクション | 犯罪 | 英国 | セキュリティ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
英国でドローン関連の苦情が急増 2017年04月07日
ストーカーから軍事用途、テロ、刑務所内への密輸などさまざまな運用がされるドローン 2016年05月07日
ロンドン・ヒースロー空港で旅客機に衝突した「ドローンのようなもの」はビニール袋だった? 2016年04月23日
ドローンの飛行規則を定めた改正航空法が成立 2015年09月08日
イギリス・ヒースロー空港でドローンが乗客を乗せた旅客機とニアミスを起こす 2014年12月11日
無人飛行機(ドローン)の飛行禁止区域を地図上にまとめるプロジェクト 2014年07月30日

Microsoft、アプリケーションを安全に実行できるWindows Sandboxを発表

Microsoftは18日、信頼できない実行ファイルを安全に実行できるというWindows Sandboxを発表した(Windows Kernel Internalsの記事The Vergeの記事BetaNewsの記事Neowinの記事)。

Windows Sandboxは軽量のバーチャルマシンがベースになっており、ディスクイメージを動的に生成するため、専用のVHDをダウンロードする必要はない。起動すると仮想デスクトップ画面が表示され、ホストからコピーした実行ファイルをテストできる。テスト終了後にWindows Sandboxを閉じれば、インストール・実行したプログラムファイルおよび関連データはすべて削除される。

Windows Sandboxは19日にファーストリング向けの提供が始まったWindows 10 Insider Preview ビルド18305(19H1)のPro/Enterpriseエディションで利用可能となっている。システム要件としては2コア以上(4コア+HT推奨)のAMD64環境に4GB以上(8GB推奨)のRAM、1GB以上のディスク空き領域(SSD推奨)となっており、BIOSで仮想化機能を有効に設定しておく必要がある。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows Defenderウイルス対策、サンドボックス内実行が可能になる 2018年10月31日
WindowsストアでLinuxが提供されてもWindows 10 Sでは使用できない 2017年05月24日

PETA、反動物的な慣用表現の置き換えを主張

PETAが動物に対する残酷な行為などを含む反動物的な慣用表現を動物にやさしい表現に置き換えるべきだと主張している(PETAのツイートPETA.orgの記事プレスリリース)。

PETAは人種差別や同性愛差別、障害者差別を含む表現が許容されなくなっているのと同様、種差別的な表現も排除する必要があると主張。「Kill two birds with one stone (1つの石で2羽の鳥を殺す: 一石二鳥)」ではなく「Feed two birds with one scone (1つのスコーンで2羽の鳥を満腹にする)」のように表現するといった例を挙げている。

すべて読む | セキュリティセクション | 変なモノ | インターネット | idle | ワーム | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
PETA、動物型を描いたクラッカーのパッケージデザインが残酷だとして変更させる 2018年08月28日
猿が撮影した写真の著作権侵害をめぐる裁判、米控訴裁判所が棄却 2018年04月28日
PETAが英語辞書への追加を目指す料理「トーファッキン」とは? 2017年11月23日
動物愛護団体PETA、ポケモンGOに便乗してポケモンを捕まえる人間を倒すゲームを公開 2016年07月26日

ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス

独自の技術でランサムウェアにより暗号化されたファイルの復号ができると称し、実際にはランサムウェア作者から購入した復号鍵にマージンを乗せて被害者に売るサービスの存在をCheck Pointの研究者が発見したそうだ(BetaNewsの記事The Registerの記事TechRadarの記事SC Media UKの記事)。

研究者はランサムウェアDharmaについて調査中、ロシアでランサムウェア感染マシンの復旧サービスを提供するDr. ShifroのWebサイトを発見する。しかし、まだ復号鍵の公開されていないDharmaのバリアントにも対応することを謳うなど、怪しい点がみられたという。

そこで研究者はDharmaのアルゴリズムを使用した偽の感染ファイルと偽のランサムウェア作者の電子メールアドレスを用意し、被害者を装ってDr. Shifroに連絡。2日ほどのち、偽ランサムウェア作者に仲介人を名乗るメールが届いたそうだ。送信者は2015年からクライアントに代わって復号鍵を取得していると述べ、身代金を偽ランサムウェアが要求する0.2 BTCから0.15 BTCへ値引くよう交渉してきたという。その後、被害者としてDr. Shifroに再び連絡すると、値引き前の身代金に1,000ドルほど上乗せした金額を提示されたとのこと。

研究者はこのようなサービスの提供が非倫理的なだけではなくランサムウェア被害者の支払額を増大させ、サイバー犯罪者の資金源としてランサムウェアの利用を勧める結果になると批判しているとのことだ。

すべて読む | セキュリティセクション | ビジネス | 犯罪 | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日
ランサムウェアの身代金を横取りするTorプロキシサイト 2018年02月04日
「偽ランサムウェア」による攻撃が増加 2017年02月06日
身代金ではなくセキュリティ記事を読むように要求するランサムウェア「Koolova」 2017年01月09日
他のユーザーを感染させることで無料暗号化解除を提供するランサムウェアが登場 2016年12月15日
データを復元できないのに身代金を要求する新種のランサムウェア 2016年07月16日
ランサムウェア「TeslaCrypt」開発者、復号用のマスターキーを公開 2016年05月24日
トレンドマイクロが「ランサムウェア無料ご相談窓口」を開設、非ユーザーも無料相談可能 2016年05月11日

米企業、あらゆるスマートフォンのパスコードロックを100%解除できると主張

米国のDriveSaversという企業が11月26日、パスコードロックされたあらゆるスマートフォンをアンロックできるというコンシューマー向けサービスを発表した(プレスリリースサービス紹介ページThe Vergeの記事Mac Rumorsの記事)。

DriveSaversによれば、プロプライエタリな新技術を用い、すべてのメーカー・モデル・OSのスマートフォンやタブレットデバイスでパスコードロックを100%解除できるという。パスコードの長さも問わず、長い複雑なパスコードでも対応可能とのこと。

捜査機関向けにパスコード解除サービスを提供している企業は既に存在するが、DriveSaversは捜査機関にサービスを提供することはなく、デバイスの所有者、もしくは死亡した所有者の相続人限定のサービスとなる。そのため、サービスを申し込むにはデバイスのデータにアクセスする法的権利を証明する書類などの提出が必要となる。

デバイスはアンロックされた状態で所有者に返され、データを外部メディアにコピーするオプションも用意されるという。アンロックの料金は3,900ドル(約44万円)ほどとのことで、安くはない。

しかし、米捜査機関の人気ガジェットとなっていたiPhoneアンロックツールGrayKeyAppleがiOS 12で対策をして使用できなくなったとみられており、すべてのスマートフォンのパスコードロックを100%解除可能といった主張には疑問の目も向けられている。現在一般に知られていない技術をDriveSaversが持っている可能性もあるが、詳細については不明だ。

すべて読む | アップルセクション | セキュリティ | 携帯電話 | 暗号 | iPhone | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
USB制限モードを搭載したiOS 11.4.1が一般リリース 2018年07月12日
Grayshift、iOS 12に搭載予定のUSB制限モードを既に突破か 2018年06月17日
米捜査機関では遺体の指を使用したiPhoneのアンロック試行が一般的になりつつある 2018年03月25日
最新のiPhone/iOSもアンロック可能な「GrayKey」とは? 2018年03月20日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは? 2016年03月05日
ニューヨーク州議会に「暗号解読できないスマートフォンの販売に罰金を科す法案」が提出される 2016年01月18日

Google Playで発見されるマルウェア、インストール件数は水増しされている?

Google Playでマルウェアが見つかり、多数インストールされていたという話はたびたび報じられるが、実際のインストール件数は少ないという説をSlashGearが提唱している(SlashGearの記事)。

最近ではドライビングゲームを装った同一の開発者によるマルウェア13本がGoogle Playで発見された。実際にはゲームとして動作せず、起動するとバックグラウンドで別のAPKをダウンロードしてインストールするというものだが、合計56万回以上インストールされ、2本はTrendingのランキングにも入っていたという。Google Playでは星2~3.5個の評価が付けられていたようだ。

マルウェア1本あたり数万人がインストールしていたとすれば、相当数の苦情が出てもおかしくないが、特に騒ぎになる様子もない。そのため、SlashGearでは、表示されるインストール件数に対して実際のユーザー数はごくわずかである可能性を指摘している。アプリのインストール件数や評価を水増ししたり、偽のレビューを投稿したりといった行為もしばしば問題となるが、インストール件数の多いマルウェアでも水増し行為が行われている可能性があるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 2018年10月22日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
Google Playから2017年に削除された不正アプリは70万本以上 2018年02月03日
子供向けアプリを装ってアダルト広告を表示するマルウェア、Google Playで60本以上見つかる 2018年01月14日
正規アプリの署名を維持したまま内容を改変できるAndroidの脆弱性「Janus」 2017年12月12日
Google Playに偽WhatsAppが複数出現 2017年11月05日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日
Androidのセキュリティ、Google Playプロテクトのマルウェア検出性能は不十分? 2017年10月29日
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017年08月16日
Google Playでゲーム攻略アプリに偽装したマルウェアが公開される。200万台以上が被害に? 2017年05月03日
Google Playのワンクリック詐欺アプリ、一時大量に増殖 2013年04月06日
Google Playのマルウェア、数百万人分の個人情報を収集か 2012年04月17日

NASA、違法薬物の有無など職場環境の安全性評価をSpaceXとBoeingに実施する計画

NASAがSpaceXとBoeingに対し、職場環境の安全性評価を行うそうだ(The Vergeの記事Ars Technicaの記事GeekWireの記事The Washington Postの記事)。

The Washington Postに情報を提供した3名の職員によると、9月にYouTubeのライブ番組に出演したイーロン・マスク氏がカメラの前でマリファナを喫煙したことが評価実施の理由だという。番組の収録されたカリフォルニア州では娯楽用途での大麻利用は合法だが、国レベルでは禁止されている。NASAでは違法薬物のない職場環境実現のため、職員に対して大麻やコカインなど5種の薬物検査を行っている。

NASAは評価実施の理由について回答を避けているが、違法薬物のない環境を含め、職場の安全性がNASAの基準を満たしているかどうかを確認するため、企業文化の評価を民間パートナーに対して実施すると述べているとのことだ。

なお、NASAは21日、米民間宇宙船による国際宇宙ステーション(ISS)へのクルー輸送ミッションについて、SpaceXによる1回目のテストフライト(Demo-1、無人)を2019年1月7日に実施すると発表した。その他のスケジュールに関しては10月の発表から変更されていない。

すべて読む | セキュリティセクション | 国際宇宙ステーション | セキュリティ | 医療 | NASA | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米民間宇宙船によるISSへのクルー輸送ミッション、テストフライトが再延期 2018年10月12日
米証券取引委員会、証券詐欺容疑でイーロン・マスクを告発 2018年09月29日
水没したタイの洞窟で救助活動を行った英国人洞窟探検家、小児性愛者呼ばわりしたイーロン・マスクを提訴 2018年09月22日
コカ・コーラ、機能性飲料の原料として向精神作用のない大麻抽出成分に注目 2018年09月21日
Tesla Motorsイーロン・マスクCEOのツイートが原因で集団訴訟が発生 2018年08月16日
NASA、米民間宇宙船による初の有人宇宙飛行に乗務するクルー9名を発表 2018年08月05日
米民間宇宙船によるISSのクルー交代ミッション、最悪2020年8月まで遅れる可能性も 2018年07月16日
大麻合法化を行った米3州で自動車の衝突事故が増加 2017年07月05日

Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く

米国や欧州のAmazonが電子メールアドレスなどをWebサイトで誤って公開したことを謝罪する通知を顧客に送り、受信者を驚かせたようだ(BetaNewsの記事The Vergeの記事GeekWireの記事CNBCの記事)。

内容としては、技術的な問題であなたの電子メールアドレス(または名前と電子メールアドレス)をうっかりAmazonのWebサイトに表示してしまったというもの。さらに、既に問題は修正済みであること、あなたがしたこと(設定など)が原因ではなく、パスワード変更やその他の対応は不要であることが記載されている。

しかし、具体的にどのページで公開されたのか、誰がアクセスした可能性があるのか、といった情報がないうえ、お知らせするが何もすることはないという文面が混乱を招くことになる。米国版の通知のフッターに記載されたURLが「http://Amazon.com」という表記である点も指摘されている。

通知を受信したという報告は米国英国イタリアフランスの出品者向けフォーラムに投稿されているが、影響範囲が出品者だけなのかどうかは不明だ。Amazonはメディアの問い合わせに対し、問題は修正済みであり、影響を受けた可能性のある顧客に通知したとのみ回答しているという。

すべて読む | セキュリティセクション | セキュリティ | EU | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
Google、GDPRに違反しているとのBraveの主張に反論 2018年09月16日
米郵便公社、自由の女神の写真を間違えて350万ドル以上の賠償金を支払うことに 2018年07月08日
Sony、予告編と間違えて(?)映画本編をYouTubeで無料公開 2018年07月06日
GMOインターネットから漏洩した個人情報、Amazonで販売される 2017年11月07日

Microsoft、新元号に関連するOffice 2010の更新プログラム2本などを提供中止

Microsoftは16日、6日にリリースしたOffice 2010向け更新プログラム2本の提供中止を発表した(KB4461522KB2863821Ars Technicaの記事BetaNewsの記事)。

KB4461522とKB2863821はいずれも日本の新元号に備えるもので、新元号開始時に正しく元号が表示されるようにOffice 2010の和暦カレンダーを修正する。ただし、実際の新元号を表示するには新元号発表後に提供される更新プログラムが必要となるようだ。

しかし、これらの更新プログラムをインストールすると、Accessやその他のアプリケーションがクラッシュする可能性があるという。そのため、提供を中止しただけでなく、更新プログラムのアンインストールが推奨されている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 October 2018 Update再リリース、問題も増加 2018年11月17日
Microsoft Office、新規インストールでは64ビット版がデフォルトになる 2018年09月29日
Windows 10、秋リリースの大型アップデートでは新元号の仮データがレジストリから削除される 2018年09月25日
Adobe、新元号対応のため新たな文字集合規格「Adobe-Japan1-7」をリリースへ 2018年08月22日
MSやユニコード、新元号への移行は2000年問題に匹敵する大問題となると指摘 2018年07月30日
.NET Frameworkに新たな新元号対応機能が追加される 2018年06月26日
一部の国会議員が新元号公表は即位当日にすべしと主張 2018年06月08日
新元号公表は改元1か月前 2018年05月18日

Twitter曰く、著名アカウントを通じたビットコイン詐欺ツイートの原因はサードパーティーアプリ

著名Twitterアカウントを通じた詐欺ツイート投稿が続発している問題について、TwitterはThe Next WebのHard Forkに対し、サードパーティーソフトウェアプロバイダーが原因だと伝えたそうだ(The Next Webの記事)。

詐欺ツイートの内容としてはビットコインを送金するとその10倍のビットコインをプレゼントするといったものだ。最近では米小売大手TargetGoogle G Suiteなどのアカウントから詐欺ツイートが投稿されたことが報じられている。当初、Targetでは同社のアカウントが不正アクセスを受けたとの見解を示していた。しかし、Twitterと協力して調査した結果、投稿を代行するサードパーティーのマーケティングアプリが不正アクセスを受けたとの結論に達したとHard Forkに伝えたという。

TwitterはTargetだけでなく一連の詐欺投稿がサードパーティーアプリを通じたものだと認める一方、具体的なアプリの名称については回答しなかったとのこと。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | Twitter | 暗号 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
朝日新聞のTwitterアカウント、乗っ取られて詐欺の宣伝に使われる 2018年11月13日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
ウォズ、ビットコインを詐取された体験を語る 2018年03月02日
コンビニからビットコイン口座への入金を求める架空請求詐欺が増加中 2017年07月31日
Facebookで友人と「同姓同名」のアカウントが多数出現中 2013年07月11日
吉野家のTwitterアカウントが乗っ取られた可能性 2013年04月24日

米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記

米連邦検事補のミスにより、米政府が既にジュリアン・アサンジ氏を刑事告発したのではないかとの憶測が広がっている(The Guardianの記事The Washington Postの記事The Registerの記事The Telegraphの記事)。

発端となったのは、連邦検事補が作成し、連邦検事の名前でバージニア西地区連邦地裁へ8月に提出されたアサンジ氏と無関係な事件に関する文書(PDF)だ。この文書は児童虐待事件に関するもので、被疑者のKokayi氏による証拠隠滅や逃亡などを防ぐため刑事告発状や宣誓供述書、逮捕状の秘匿を申し立てている。しかし、文書の「3」と「5」では唐突に「Assange」という人物を対象とした記述が出現する。

文書には「Assange」としか書かれていないが、事件の注目度が高い点や国外からの身柄引き渡しに言及していることから、ジュリアン・アサンジ氏について書かれているようだ。アサンジ氏が実際に刑事告発されているのか、刑事告発の準備が進められている段階なのかは不明だが、この連邦検事補はWikiLeaksの事件も担当しており、今回の文書は過去の秘匿申立書を元に作成されたものとみられる。

本来はこの文書自体も秘匿の対象だが、不明な理由で秘匿が解除され、存在が明るみに出ることとなった。バージニア西地区連邦検事局の報道官は、文書が誤って作成されたものであり、(アサンジ氏の名前は)この申し立てで意図した名前ではないと述べているとのこと。なお、この件と前後して、米司法省がアサンジ氏を米国の法廷に立たせるべく起訴する準備を進めている、とWSJが報じている

すべて読む | セキュリティセクション | セキュリティ | 法廷 | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 2018年10月20日
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaksに情報を流した裏切り者を探すCIAとFBI 2017年04月28日
オバマ大統領、大統領選挙を狙ったロシアのサイバー攻撃を調査するよう命令 2016年12月16日
ウィキリークス、2回目の米大統領討論会に合わせてクリントン陣営責任者のメールとされる内容を公開 2016年10月14日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
新たなtypoスタイル「Mis-paste」 2011年11月12日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日
Wikileaks、Amazonから締め出されDNSサーバーも停止。アサンジュ氏は逮捕間近? 2010年12月03日

指紋認証デバイスで多数の指紋に一致する合成指紋「DeepMasterPrints」

ニューヨーク大学とミシガン州立大学の研究グループが機械学習を用い、スマートフォンなどの指紋認証機能で「マスターキー」のように多数の指紋と一致する「DeepMasterPrints」の生成に成功したそうだ(論文: PDFThe Guardianの記事Android Policeの記事Motherboardの記事)。

指紋認証デバイスの中でもスマートフォンなどに搭載されるものは操作性の問題で小型に作られており、指紋全体ではなく一部分だけで一致を判定する。指紋の一部分では情報エントロピーが低下するため、別の指の指紋と一致する可能性が高くなる。また認識失敗を防ぐため、エンロール時に複数の指の指紋を登録させるものもあり、さらに誤一致の可能性が高まる。

今回の研究グループ5名のうち3名は昨年、多数のユーザーの指紋に一致する合成指紋「MasterPrints」を生成する研究成果を発表している。ただし、MasterPrintsは指紋テンプレートの細部を変更することで生成するもので、画像は生成されなかったという。一方、DeepMasterPrintsは本物の指紋画像セットを敵対的生成ネットワーク(GAN)に学習させ、潜在変数進化(LVE)を用いて一致する指紋の数を最大にしたもので、外見は普通の指紋画像に似ており、より多くの指紋に一致するとのこと。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | 人工知能 | Transmeta | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
指紋認証での課金登録にご注意を 2018年06月04日
Android端末メーカー、顔認識は開発コストが高いとして指紋認証システムを強化する方針 2018年03月30日
iPhone XのFace IDは人間の目とブラックオリーブを区別できない? 2017年11月18日
Chaos Computer Club、Galaxy S8の虹彩認証を突破 2017年05月27日
ピースサインの写真から指紋情報が流出する恐れ? 2017年01月11日
指紋認証突破用の「指」を3Dプリンターで作成していたミシガン州立大学、結局2Dプリントで認証突破 2016年08月05日
ミシガン州立大の研究者、指紋認証を突破するための「指」を3Dプリンターで作成中 2016年07月24日
インクジェットプリンタで印刷した指紋でスマホの指紋認証を突破 2016年03月10日
Chaos Computer Club、iPhone 5sの指紋認証を突破 2013年09月23日

米裁判所、ベリーズでの殺人事件についてジョン・マカフィー氏の法的責任を認める

米国のフロリダ中部地区連邦地裁は14日、ベリーズで2012年に米国人男性が殺害された事件について、ジョン・マカフィー氏に法的責任があるとの判断を示した(裁判所文書: PDFThe Registerの記事)。

この事件は2012年11月、ベリーズに住んでいた米国籍の男性が頭部に銃弾を受けて死亡しているのを清掃に来たハウスキーパーが発見したというもの。男性は当時隣の家に住んでいたマカフィー氏の迷惑行為に対する訴状を提出していたこともあり、マカフィー氏は事件の重要参考人だった。しかし、地元警察による事情聴取が行われる前にマカフィー氏は出国してしまう。これにより捜査は行き詰る一方で、男性の相続人がマカフィー氏を相手取った民事訴訟を米国で提起していた。

The Registerによると、マカフィー氏は弁護士も雇わず、法廷に一切顔を見せなかったようで、原告は法的責任に関する懈怠判決と損害額に関する陪審員裁判を請求していた。審理を担当するGregory Presnell判事は懈怠判決の請求については認めたが、このような状況で連邦法は陪審員裁判を必要としないとして、来年1月10日に裁判官による審理で損害額を確定するよう命じている。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | スラッシュバック | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは? 2016年03月05日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日
John McAfee 氏、殺人容疑で指名手配 2012年11月13日

自己暗号化SSDの中にはパスワードを知らなくてもデータを復元できる製品があるという研究結果

ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事ラドバウド大学によるアドバイザリ: PDF論文ドラフト: PDFThe Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | ソフトウェア | 暗号 | ストレージ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「コールドブート攻撃」への対策機能を無効化する手法が発見される 2018年09月19日
新MacBook Pro、ロジックボードが故障するとSSDのデータを救出できない可能性 2018年07月27日
Windows 10の新たな脆弱性、アップデート時にキーを押すだけで暗号解除と管理者権限取得が可能に 2016年12月05日
ファームウェアを狙うマルウェア、攻撃者にとっての利点は 2015年03月24日
東芝、取り外すとデータが読み出せなくなる HDD を開発 2010年08月12日
暗号化ストレージに関する標準仕様が策定される 2009年01月30日
DRAMに残った情報からディスクエンクリプションを解く 2008年02月23日

StatCounterへのサイバー攻撃でビットコインを盗むコードが暗号通貨取引サイトに埋め込まれる

世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事Gate.ioの発表The Registerの記事Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterのトラッキングコードを使用するサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。悪意あるコードは既にcounter.jsから削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。

すべて読む | セキュリティセクション | セキュリティ | 統計 | インターネット | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
アジアでWindows 10のシェアがWindows 7を超える 2018年11月04日
仮想通貨取引所Zaif、不正アクセスで約67億円相当の仮想通貨を流出させる 2018年09月21日
ビットコインゴールド(BTG)で51%攻撃が行われる。約20億円の損失が発生 2018年06月04日
コインチェックの仮想通貨流出事件、犯人らによる偽アカウントは同社社員と半年以上前から交流を持っていた 2018年05月15日
コインチェックから流出したNEMの追跡打ち切り、犯人らはすでに匿名で換金済みか 2018年03月22日
仮想通貨を不正に入手するトロイの木馬を作った高校生が逮捕される 2018年02月01日
仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 2018年01月29日
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
仮想通貨マイニングプール「NiceHash」、システムが乗っ取られ約76億円相当のビットコインが盗まれる 2017年12月11日
香港のビットコイン取引所が攻撃され7200万ドル相当のビットコインが盗まれる 2016年08月09日
Mt.Goxからのビットコイン盗難、被害の報告は虚偽だった? 2014年03月31日

Windows 10のUWPアプリ、ユーザーの承認なくファイルシステムへのアクセスが許可されるバグ

Windows 10では、ユーザーの承認なくUWPアプリにファイルシステムへのアクセスを許可してしまうバグがあるそうだ(Bleeping Computerの記事On MSFTの記事)。

UWPアプリではアクセス可能なファイルシステム上の場所が制限されており、既定ではアプリのインストールフォルダーやデータフォルダー、一時フォルダー内のファイルやフォルダーにのみアクセスできる。ほかの場所にアクセスするにはファイルピッカーを使用するか、アプリのマニフェストで宣言する必要がある。

マニフェストでは「DocumentsLibrary」や「MusicLibrary」のようにライブラリフォルダーへのアクセスを指定するほか、「broadFileSystemAccess」でユーザーがアクセス権を持つすべての場所へのアクセスを指定することも可能だ。しかし、broadFileSystemAccessを宣言した場合、最初の実行時にシステムがユーザーにアクセスを許可するかどうか要求することになっているが、実際には何も表示されないままアクセスが可能になってしまうのだという。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft Store、Windows 8.xアプリの新規受付を10月末で終了 2018年08月23日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
LibreOfficeがMicrosoft Storeに登場、ただし…… 2018年07月26日
Google ChromeのインストーラをダウンロードするアプリがMicrosoft Storeに登場、その後削除される 2017年12月21日

Windowsのゼロデイ脆弱性が再びTwitterで公表される

Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事Ars Technicaの記事On MSFTの記事PoC)。

今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。

ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。

なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日

プライバシーとセキュリティを念頭に置いたFacebookの新デバイス、データはターゲティング広告に

Facebookは8日に発表したビデオコミュニケーションデバイス「Potral」について、プライバシーとセキュリティを念頭に置いて作ったと主張しているが、それでもユーザーのデータは収集してターゲティング広告に使用するという(Recodeの記事The Vergeの記事Android Policeの記事)。

Portalのマーケティングを率いるDave Kaufman氏はRecodeのKurt Wagner氏に対し、通話ログやアプリ利用状況などPortalが収集する一切のデータをターゲティング広告に使用することはない、と説明していたが、その説明は誤りだったそうだ。

後日Facebookの広報担当者がRecodeに電子メールで伝えたところによると、Portalの通話機能はMessengerのインフラストラクチャー上に構築されているため、通話ログはMessengerを実行する他のデバイスと同様に収集されるのだという。通話ログに加え、アプリ利用状況などPortalで収集されるデータは、Facebookのプラットフォーム上で広告を表示するための情報として使われるとのこと。

これについて製品担当VPでPortalの責任者を務めるRafa Camargo氏は、不正確な情報を提供したことをWagner氏に電話で謝罪。技術的にデータを広告ターゲティングに利用可能であっても、実際に使われることは知らなかったという。Portal自体は広告を表示しないため、Portalチームではデータをターゲティングに使用する計画はなく、それが混乱の原因になったとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 通信 | YRO | Facebook | 広告 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebook、アクセストークン不正取得問題で被害状況を確認可能なヘルプページを公開 2018年10月16日
WhatsAppの創設者、WhatsAppをFacebookに売ったことを後悔していると発言 2018年10月01日
Facebook、テレビCMに反応してスマホに周囲の音を録音・送信させテレビ視聴状況を分析する特許を出願 2018年07月02日
Facebook、閲覧者のマウス操作や周囲のデバイスなどを含むさまざまな情報収集を認める 2018年06月19日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
「Facebookはすべてを知っている」のか 2018年04月04日
Facebook、Androidユーザーからの通話/SMS履歴収集はオプトインによるものだと主張 2018年03月29日
Facebook、Brexitキャンペーンや米大統領選の結果に大きな影響を与えたとされる企業のアカウントを停止 2018年03月21日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日

在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む)

英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事The Gateway Punditの記事The Guardianの記事The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。

すべて読む | セキュリティセクション | 検閲 | セキュリティ | 通信 | 政治 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaks創設者のジュリアン・アサンジ氏の生存が確認される 2016年12月02日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
WikiLeaks、公式ショップオープン 2011年02月26日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
WIkileaksの創設者が投獄されるか死亡すると公開される「情報の核爆弾」 2010年12月12日
WikiLeaks問題、支持者がサイバー攻撃 2010年12月09日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日
Wikileaks、Amazonから締め出されDNSサーバーも停止。アサンジュ氏は逮捕間近? 2010年12月03日

採掘できない暗号通貨にも対応する偽採掘アプリ

採掘のできない暗号通貨を含むAndroid向けの偽採掘アプリが多数発見されたとして、Fortinetが注意喚起している(Fortinetのブログ記事Softpediaの記事)。

膨大な計算が必要となる暗号通貨取引等の検証に協力することで報酬を得る採掘(マイニング)は、消費電力増大やWebサイトへのスクリプト埋め込みなどが話題になることも多い。ただし、暗号通貨の中にはRipple(XRP)やTether(USDT)のように採掘の仕組みを用意していないものもあり、こういった暗号通貨への対応をうたう採掘アプリは確実に偽物だ。Rippleの偽採掘アプリはESETが2月にGoogle Playで公開されているのを発見・報告しているが、今回の偽採掘アプリはGoogle Play以外でAPKを配布する、いわゆる野良アプリらしい。

偽採掘アプリの画面には、採掘した暗号通貨の金額とハッシュ値の計算速度表示、「START」ボタンが配置されている。STARTを押すと現在の計算速度が表示されるのだが、数字は単に乱数を生成して表示しているだけだという。また、暗号通貨の採掘量は関数が実行されるたびに一定の数値を加算するだけのようだ。メニューには採掘した暗号通貨を引き出すオプションも用意されているが、確認画面で「Yes」を選ぶとワレットのアドレスが正しくないといったエラーメッセージが必ず表示され、決して引き出すことはできない。

このアプリの開発者「lovecoin」は暗号通貨の名前部分を入れ替えた同様のアプリを複数公開しているという。アプリには広告を表示するコードが含まれており、広告収入を得ることが目的とみられる。そのため、Fortinetではこれらのアプリについて、ユーザーをだましてアドウェアをダウンロードさせるものだと述べている。

すべて読む | セキュリティセクション | セキュリティ | spam | 広告 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
バックグラウンドで秘密裏に仮想通貨のマイニングを実行するゲームが見つかる 2018年08月03日
Google Playで暗号通貨採掘アプリが禁止される 2018年07月29日
Apple、絵文字の使用や暗号通貨採掘の規定などを明記したApp Store審査ガイドライン改定 2018年06月09日
Ubuntu向けのパッケージ配信サービスでマイニングコード入りのパッケージが配信される 2018年05月16日
プレミアム機能と引き換えに暗号通貨を採掘する無料アプリがMac App Storeで公開されていた 2018年03月16日
仮想通貨の採掘をバックグラウンドで行うツールを同梱するフリーウェアが登場 2018年03月14日
アイスランドでは仮想通貨採掘に消費される電力量が家庭の消費量を超える見込みに 2018年02月15日
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日

Windows 10 Creators Updateのサポートが終了

Windows 10 バージョン1703(Creators Update) Home/Proエディションのサポートが10月9日で終了した(WindowsライフサイクルのファクトシートComputerworldの記事Softpediaの記事Neowinの記事)。

Windows 10 バージョン1703のHome/Proエディションに対する更新プログラム提供は、9日にリリースされたKB4462937(OSビルド 15063.1387)が最後となる。一方、Enterprise/Educationエディションは2019年10月までバージョン1703のサポートが続く。また、Windows 10 Mobile バージョン1703は2019年6月までサポートされることになっている。

ただし、2016年8月にリリースされたWindows 10 Mobile バージョン1607(Anniversary Update)のサポートも10月9日で終了となっているが、こちらは4月の更新プログラムKB4093119(OSビルド 14393.2189)を最後に更新プログラムは提供されていないようだ。Home/Proエディションではバージョン1607のサポートが4月に終了しており、これに合わせて終了してしまった感じにも見える。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 MobileのInsider Programは終わるのか 2017年11月28日
Windows 10 バージョン1511のサポート期間が6か月延長 2017年11月18日
Microsoft、Windows 10のサービスモデル変更を発表 2017年07月29日
Windows 10 バージョン1507のサポートが終了 2017年05月11日
4月11日、Windows Vistaがサポート終了を迎える 2017年04月13日
Windows 10 RTMは3月26日でサービス終了 2017年01月23日
Windows 10 Anniversary UpdateがCurrent Branch for Businessに 2016年12月04日

Apple T2チップを搭載したMac、サードパーティー修理業者や個人での修理が困難になる可能性

Mac RumorsやMotherboardが入手したAppleの内部文書によると、Apple T2チップを搭載したMacコンピューターでは、特定の部品を交換した場合に専用の診断プログラムを実行しなければシステムが使用できなくなると記載されているそうだ(Mac Rumorsの記事Motherboardの記事)。

現在のところT2チップを搭載しているのはiMac Proと2018年モデルのMacBook Pro。T2チップにはセキュアブートやストレージ暗号化、Touch IDの認証に用いられるSecure Enclaveコプロセッサが搭載されているほか、従来は独立したコンポーネントだったシステム管理コントローラや画像信号プロセッサ、オーディオコントローラ、SSDコントローラなどが統合されている。

そのため、特定の部品を修理した場合、Apple Service Toolkit 2 (AST 2)と呼ばれる診断プログラムを実行して診断を行わない限り修理は完了せず、システムが使用不能になるとのこと。iMac Proの場合はロジックボードやフラッシュストレージ、2018年モデルのMacBook Proの場合はディスプレイやロジックボード、Touch ID、トップケース(キーボードやトラックパッド、バッテリーなどを含む)が該当する。

すべて読む | アップルセクション | 検閲 | ハードウェア | セキュリティ | ノートPC | ハードウェアハック | アップル | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
新MacBook Pro、ロジックボードが故障するとSSDのデータを救出できない可能性 2018年07月27日
iPhone 7/7 Plusの一部でiOS 11.3以降にアップデートするとマイクが使用できなくなる問題が確認される 2018年05月08日
iOS 11.3、非純正ディスプレイに交換したiPhone 8のタッチスクリーンが機能しなくなる問題 2018年04月14日
米FTC、指定のパーツやサービスの使用を要件とする保証規定は違法だと大手6社に警告 2018年04月13日
米国・カリフォルニア州でも「修理する権利」法制化の動き 2018年03月11日
バッテリーの取り外しを困難にすることを禁じる米ワシントン州の「修理する権利」法案 2018年01月30日
iPhoneのバッテリー問題を受け、米国で勢いを増す「修理する権利」法制化の動き 2018年01月23日
Apple、同社製品の修理をサードパーティにも認める方向で譲歩中? 2017年06月22日
トラクターの修理問題がきっかけで修理の自由問題が注目を浴びる 2017年04月15日
米国で「修理する権利」法制化の動き、複数の州に広がる 2017年02月18日
iOSのアップデートで発生するエラー53の原因は? 2016年02月06日

米シアトル市警、登録型のスワッティング対策サービスを開始

米国・シアトル市警察(SPD)が増加するスワッティング(swatting)の問題に対処するため、登録型の対策サービスを開始した(SPDのサービス紹介Ars Technicaの記事GeekWireの記事)。

スワッティングとは、発信元を偽装して凶悪事件が発生しているなどと虚偽の通報をし、ターゲットの家に警官隊を送り込むいやがらせ(犯罪)だ。スラドで初めてストーリーになった2013年の段階では西海岸から徐々に広がり始めたところだったが、現在は全米的な現象となっており、被害者が誤って警官に射殺される事件も起きている。

SPDのサービスでは、ターゲットになる可能性のある人が事前にプロフィールを作成しておき、緊急通報センターが現場に向かうファーストリスポンダーにその旨を伝える。これにより、通報された事件が本当に現場で起こっているかどうか、慎重な見極めが可能になるというもの。プロフィールはサードパーティーのSmart911によるRave Facilityサービスで登録する。Smart911は緊急出動時に配慮が必要な情報などを登録するサービスを全米で提供している。

SPDでは誰もがターゲットになる可能性があるとしつつ、特にテクノロジー業界やゲーム業界、ネット放送コミュニティーなどが特にターゲットになりやすいとして、登録を呼びかけている。SPDが公開している動画の前半は、8月に実際に発生したスワッティング事件の記録映像。警官はスワッティングを疑いながら現場に急行し、虚偽の通報だったことを確認して無事解決している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ネットゲームのトラブルが原因で偽の通報、無関係の人が警察に射殺される事態に 2018年01月02日
ネット掲示板サービスreddit、オルタナ右翼関連スレッドをアクセス禁止に 2017年02月06日
Krebs on SecurityのBrian Krebs氏、偽通報で自宅が警官隊に制圧される 2013年03月17日

米国への渡航手続きで誤って自身をテロリストだと申告してしまった英女性

米国旅行を計画している英国の女性が米国のビザ免除プログラム(VWP)を申請する際、誤って自身をテロリストだと申告してしまい、ビザ取得や予約変更に多額の費用が必要になったそうだ(BBC Newsの記事Mashableの記事)。

日本や英国などVWP対象国の渡航者は、オンラインでESTA渡航認証を取得することで、観光や商用で90日以内のビザなし滞在が可能だ。このESTA申請フォームには「テロリスト活動やスパイ、妨害行為、大量殺人にかかわるつもりがあるか、またはこれまでにかかわったことがあるか」といった内容の項目がある。

この女性は「No」を選択したつもりだったが、実際には「Yes」が選択されていたようだ。女性はフォーム送信のためにスクロールした際に変更されてしまったに違いないと主張しているが、申請は却下されてしまう。

すべて読む | idleセクション | 英国 | セキュリティ | 医療 | idle | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米税関・国境取締局はIC旅券に格納されたデータが正規のものかどうかを検証できない 2018年02月25日
米政府、「危険と思われる渡航者」のビザ審査時にSNSのハンドル名要求を開始 2017年06月15日
米政府、外国人の入国時に提示を求める情報にソーシャルメディアアカウントを追加 2016年12月25日
米税関、入国審査時にSNSのアカウント名を尋ねることを検討中 2016年06月30日

Facebook、アカウントへの不正アクセス発生を伝えるニュース記事へのリンク投稿を一時ブロック

Facebookは9月28日、「プロフィールを確認」ツールの脆弱性により、5,000万件近いアカウントのアクセストークンを攻撃者が不正に入手していたことを明らかにした(Facebookのニュース記事)。

「プロフィールを確認」は、他のユーザーが自分のプロフィール画面を見た場合の見え方を確認するツール。表示画面は閲覧のみを意図したものだが、メッセージ送信用のUIが誤って有効になっていたため、動画の投稿も可能だった。動画アップローダーにはFacebookモバイルアプリ用のアクセストークンを生成する機能が誤って搭載されており、「プロフィールを確認」画面内では見え方を確認しようとした他のユーザー用のアクセストークンを生成していたという。攻撃者はこれら一連のバグを悪用して他のユーザーのアクセストークンを入手していたとのこと。

Facebookでは脆弱性の修正および捜査機関への通報、影響を受けた5,000万近いアカウントおよび影響を受けた可能性のある4,000万アカウントについてアクセストークンをリセットしたほか、「プロフィールを確認」機能を一時的に無効化している。アクセストークンがリセットされた約9,000万アカウントはログアウト状態となり、再度ログインするとニュースフィードの先頭に通知が表示されるという。なお、パスワードが不正アクセスを受けたわけではないので、変更の必要はない。

すべて読む | ITセクション | セキュリティ | ニュース | バグ | Facebook | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
Facebookのユーザー情報漏えい問題、ザッカーバーグCEOが認める 2018年03月26日
Facebook、Brexitキャンペーンや米大統領選の結果に大きな影響を与えたとされる企業のアカウントを停止 2018年03月21日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日
取引先企業を装った詐欺事件、合計1億ドル以上を送金した被害企業はGoogleとFacebook 2017年04月30日
Facebookユーザー約600万人のコンタクト情報、バグにより誤って他のユーザーと共有される 2013年06月23日

Microsoft、ガソリンスタンドでの喫煙をAIで検出するシステムを開発

AIを使用してガソリンスタンドでの喫煙を検出するシステムをMicrosoftが開発したそうだ(The AI Blogの記事The Next Webの記事Neowinの記事)。

このシステムはガソリンスタンドに設置したカメラとMicrosoft Azure IoT Edgeを実行するデバイス、Microsoft Azureクラウドを組み合わせて使用する。まず、IoT Edgeデバイスがシンプルな機械学習アルゴリズムでカメラに映し出された行為を危険かどうか識別。危険行為の可能性が高いフレームのみクラウド上の深層学習AIモデルで判断を行う。喫煙している人が見つかった場合にはガソリンスタンドに警告が送られ、マネージャーがポンプを停止するなどの処置を行うという仕組みだ。喫煙以外の危険行為を識別するよう学習させることも可能だという。

MicrosoftはShellと提携し、現在シンガポールとタイのガソリンスタンド2軒でこのシステムのテストを行っているそうだ。Shellは店舗のカメラ映像から危険を識別するソリューションを探していたが、他社のシステムではすべての映像をクラウドに送信する必要があったという。Microsoftのシステムでは店舗側で必要なフレームのみを取り出してクラウドに送るため、効率の良い処理が可能だ。ShellではMicrosoftと協力し、AIと機械学習を用いて水平井掘削を改善するプロジェクトも進めているとのことだ。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | マイクロソフト | 人工知能 | Windows Azure | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft 365、OneDriveとSharePointで動画と音声の文字起こし提供計画 2018年09月02日
Microsoft、チャットボットとの会話中に入る「変な間」を解消 2018年04月07日
インドの農家、収穫量を増やすためにAIを導入。Microsoftが協力 2017年11月11日
人工知能が労働現場を監視するシステムのデモをMicrosoftが公開 2017年05月16日
Microsoftが新たな人工知能チャットボット「Zo」を公開 2016年12月07日
もしも〇〇が△△だったらどうなるか、写真を合成してくれるMicrosoftの新チャットボット「Murphy」 2016年07月09日
Microsoftの画像の説明文を自動生成するAI「CaptionBot」、色々な意味で話題に 2016年04月21日
Microsoft、ボットを開発・利用するための「Bot Framework」を発表 2016年04月01日
脆弱性を攻撃されて不適切な発言をするようになったMicrosoftのAIチャットボット「Tay」、修正のためオフラインに 2016年03月26日
Cortanaの妹、中国でお天気キャスターになる 2015年12月27日
Microsoft、女子高生AIを開発 2015年08月06日

米証券取引委員会、証券詐欺容疑でイーロン・マスクを告発

米証券取引委員会(SEC)は9月27日、TeslaのCEO兼会長のイーロン・マスク氏を証券詐欺容疑でニューヨーク南部地区連邦地裁に告発した(プレスリリースThe Registerの記事Mashableの記事The Vergeの記事)。

マスク氏は8月7日、Tesla株の非公開化を検討していること、当時の株価にかなりのプレミアムを付けた420ドルで買収すること、既に資金は確保したことをTwitterで公表。その後、資金提供者としてサウジアラビアの政府系ファンドを挙げていたが、8月24日には計画が取りやめになったと報告している。

SECは訴状で、可能性のある資金提供者とマスク氏の間で具体的な話し合いは持たれておらず、マスク氏は取引が不確実なことを知っていたと主張。それにもかかわらず計画を公表したことでTeslaの株価は上昇し、市場に混乱を招いたとも主張する。一連のマスク氏の行為は証券に関する連邦法の不正禁止条項に違反するとして、不正に得た利益の返還や民事制裁金の支払い、株式公開企業の役員を務めることを禁ずることなどを命じるよう求めている。

すべて読む | セキュリティセクション | ビジネス | 犯罪 | セキュリティ | 法廷 | アメリカ合衆国 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
水没したタイの洞窟で救助活動を行った英国人洞窟探検家、小児性愛者呼ばわりしたイーロン・マスクを提訴 2018年09月22日
Tesla Motorsイーロン・マスクCEOのツイートが原因で集団訴訟が発生 2018年08月16日
Tesla、株式の非公開化を検討中 2018年08月10日

カナダ政府、Huaweiに不審な点があれば発見できるため、5G調達から排除する必要はないと自信を示す

カナダ国防省サイバーセキュリティセンターの責任者スコット・ジョーンズ氏によれば、カナダではサイバーセキュリティのテスト機能が他国よりも進んでいるため、現時点で中国政府からの干渉を懸念して5G調達からHuaweiを排除する必要はないそうだ(会議音声、該当部分は16時50分以降The Globe and Mailの記事The Registerの記事)。

ジョーンズ氏の発言は、20日に開催された公共の安全と国家の安全保障に関する常任委員会で、複数の委員からの質問に回答したものだ。ジョーンズ氏によれば、カナダ政府は大手通信会社と強固な連携を保っており、次世代通信ネットワークを見据えた脅威に対する反発力強化を進めているという。ベンダーや原産国にかかわらず厳密なテストが行われるため、Huaweiだけを特に排除する必要はないとのこと。また、5Gに関してはベンダーの数が限られることから、数が減ればそれだけ脆弱性の危険性が増すとも述べている。

カナダを含むファイブアイズ5か国ではHuaweiやZTEの排除を進める米国とオーストラリアがカナダ・英国・ニュージーランドにも同調するよう圧力をかけているという。委員の質問はこの動きを受けたものだ。一方、カナダと英国では政府公認のセキュリティテスト施設をHuaweiが運営しており、ニュージーランドでも同様の施設を作る計画があるそうだ。

なお、The Globe and MailによればHuaweiはカナダ政府の入札に参加することが認められておらず、通信会社のコアネットワークで使用するルーターやスイッチなどの機器の供給や機器に対するサービスをカナダ国外で行うことが禁じられているとのことだ。

すべて読む | セキュリティセクション | カナダ | セキュリティ | 通信 | 政府 | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Huawei、シンガポールで新型iPhoneの発売前日から行列する人々をバッテリー切れから救う 2018年09月23日
ロシアもファーウェイ・ZTEの輸入禁止を検討 2018年09月05日
Huawei、ZTE製品の政府機関での利用禁止を日本政府も検討中との報道 2018年08月27日
政府機関でのHuawei製品とZTE製品の使用を禁ずる2019年度米国防授権法が成立 2018年08月17日
米商務省、ZTEに対する輸出特権停止措置を解除 2018年07月15日
中国・ ZTEのオフィスで「米輸出特権停止解除まで便器が修理できない」との掲示がされる 2018年06月26日
カナダ、少年行方不明事件で朝4時に携帯電話向け緊急警報を発して苦情殺到 2018年05月25日
Huawei、最悪の事態に備えて独自OSを開発していた 2018年04月30日
カナダ政府が導入したIBMの給与システム、不具合だらけで損害額は7億ドル以上 2018年03月06日
カナダの大手通信会社曰く、カナダは海賊版Webサイトの避難所になっている 2017年10月04日
カナダ、携帯端末のSIMロックを12月1日以降禁止へ 2017年06月19日

MicrosoftのJETデータベースエンジンにゼロデイ脆弱性

MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性をZero Day Initiative(ZDI)が公表した(ZDIのブログ記事アドバイザリーSoftpediaの記事The Registerの記事)。

この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。

ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日
Epic Games、Googleのバグ開示方針を批判 2018年08月30日
Foxit Readerに修正予定のない2件の脆弱性 2017年08月25日
Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 2016年11月03日
Google、Windowsの未修正脆弱性をさらに公表 2015年01月18日

セキュリティ製品評価企業 NSS Labs、セキュリティベンダーと業界団体を反トラスト法違反で訴える

セキュリティ製品の評価リポートを提供するNSS Labsが18日、CrowdStrikeやSymantec、ESET(以降、「3社」)などのセキュリティベンダーおよびAnti-Malware Testing Standards Organization(AMTSO)を反トラスト法違反で提訴した(NSS Labsのブログ記事訴状: PDFThe Registerの記事)。

AMTSOはアンチマルウェア評価の改善を目的とした業界団体。NSS LabsのほかAV-TESTやAV-Comparativesなどのセキュリティ製品評価企業数社も加盟しているが、メンバー企業の大半はセキュリティベンダーだ。理事会メンバーも大半がセキュリティベンダーの代表者であり、3社の代表者は理事会で主導的立場にあるという。

NSS Labsの主張によれば、3社は名称不明なまま提訴されている他のセキュリティベンダーとともに(総合して「共謀企業」)製品のライセンスを変更し、比較テストの実施を制限したそうだ。また、AMTSOが採択したアンチマルウェア製品評価方法の標準、AMTSO Testing Standardでは、セキュリティベンダーが事前にテストの実施日や実施方法を知り、有利なテスト結果が出るよう調整できるようになっているとのこと。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | 法廷 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 2018年04月21日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
AV-TESTによる家庭向けPCセキュリティ製品耐久テスト、1位はKaspersky 2017年08月25日
マイクロソフトがAVベンダーサポート改善を発表、カスペルスキーは独占禁止法違反の訴えを取り下げへ 2017年08月11日
自己防御機能の強いセキュリティソフトは? 2017年05月07日
Microsoft Edge、ソーシャルエンジニアリング型マルウェアの99%をブロックしたとのテスト結果 2016年11月05日
米国人調査員、中国ネットワークの脆弱性を指摘 2011年05月02日
主要ブラウザのフィッシング / マルウェア対策機能、IE 8 が最も優秀という結果に (ただし後援は MS) 2009年08月19日

他のボットネットを攻撃するボットネット「Fbot」

他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事The Next Webの記事)。

Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。

侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。

FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ボットネット | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WannaCryptの拡散を止めた英国のセキュリティ研究者、別のマルウェアの作者として米国で逮捕 2017年08月05日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日
Windowsに感染してマルウェア「Mirai」を拡散させるマルウェアが確認される 2017年02月21日
IoTマルウェア「Mirai」やその亜種による攻撃が増加中 2017年01月26日
新しいバンキングマルウェア「Shifu」、日本の銀行14行をターゲットに活動中 2015年09月04日

米大統領の決定により全米の携帯電話に緊急警報メッセージを送信するシステム、初のテスト実施へ

米連邦緊急事態管理庁(FEMA)は東部夏時間20日14時18分、携帯電話を通じて緊急警報メッセージを送るWireless Emergency Alerts(WEA)のテストを初めて全米規模で実施する(FEMAの告知Mashableの記事The Vergeの記事)。

WEAには異常気象発生時など地域限定で送られる警報と児童誘拐などの際に送られるAMBER Alertのほか、国家規模の非常事態発生時に大統領の決定により送られるPresidential Alertがある。地域限定の警報やAMBER Alertはこれまでも実際に送信されているが、Presidential Alertが送信されたことは一度もないという。

WEAメッセージは専用の着信音とバイブレーションとともに、通常のテキストメッセージとは異なるダイアログボックスに表示される。Presidential Alertの表示や着信音は他のWEAメッセージと同じだが、受信をオプトアウトすることはできない。今回はPresidential Alertのテストになるため、オプトアウト不可となっている。

すべて読む | セキュリティセクション | モバイル | セキュリティ | 携帯電話 | アメリカ合衆国 | 携帯通信 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
カナダ、少年行方不明事件で朝4時に携帯電話向け緊急警報を発して苦情殺到 2018年05月25日
ミサイル警報が誤報だと知りながらハワイ州知事がツイートできなかった理由 2018年01月28日
ハワイで誤ってミサイル警報が出される、原因は職員の操作ミス 2018年01月17日
米大統領は全米の携帯にいつでも強制的にメッセージを送れる 2015年02月27日
気象庁、8日の緊急地震速報は誤報だと発表 2013年08月09日
米放送局が採用している「緊急警報システム」の脆弱性により、テレビに「緊急ゾンビ警報」が流れる 2013年07月12日
米国で携帯電話に緊急警報システム搭載へ 2011年05月12日

NASAとロスコスモス、ソユーズロケットの穴にISS滞在中のクルーは関与していないことで意見が一致

NASA長官のジム・ブライデンスタイン氏とロスコスモスCEOのドミートリ・ロゴジン氏は12日、国際宇宙ステーション(ISS)にドッキング中のソユーズMS-09に開いた穴の問題について話し合うため、初めてビデオ会談を行ったそうだ(NASAのプレスリリースロスコスモスのプレスリリースGeekWireの記事)。

ブライデンスタイン氏とロゴジン氏は穴の開いた原因に関する憶測がメディアに出回っていることに触れたうえで、ロスコスモスの調査委員会による調査が完了するまでは事前に情報を出すことを控えることで合意したという。

ソユーズMS-09の軌道モジュールで見つかった2mmの穴は内側から開けられたものとみられているが、ロゴジン氏が宇宙空間で開けられた可能性を排除しないと述べたことから出所不明な情報が付け加えられ、ソユーズで地球に帰還するクルーに危害を加えようとしたNASAのクルーによる妨害工作だ、などといった陰謀論が出回ることとなった。

会談ではISS滞在クルー全員がミッション成功のため、ステーションおよびドッキングしている宇宙船の安全な運用に尽力していることを確認したという。ISSコマンダーのドリュー・フューステル宇宙飛行士もABC Newsのインタビューに対し、クルーがかかわっていないことは間違いなく、そんな話で時間を無駄にしている人がいることは残念だなどと述べている。

また、ソユーズロケットによる次のクルー輸送ミッションに先立ってブライデンスタイン氏がロシアとカザフスタンを訪れるのに合わせ、両氏は10月10日にバイコヌール宇宙基地で初の直接会談を行うとのことだ。

すべて読む | セキュリティセクション | 国際宇宙ステーション | セキュリティ | スラッシュバック | サイエンス | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
国際宇宙ステーションの空気漏れ、ソユーズロケットの穴は内側から開けられたものだった 2018年09月08日
国際宇宙ステーションで空気漏れが発生するトラブル、NASAが補修作業をリポート 2018年09月02日
米民間宇宙船によるISSのクルー交代ミッション、最悪2020年8月まで遅れる可能性も 2018年07月16日
ロシア・プログレス宇宙船、打ち上げから4時間以内での国際宇宙ステーション到着に成功 2018年07月13日

Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される

先日公表されたWindowsのタスクスケジューラに存在するゼロデイ脆弱性を狙う攻撃が確認された(WeLiveSecurityの記事BetaNewsの記事The Registerの記事)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、管理者権限がなくても「C:\Windows\Tasks」に任意のファイルのハードリンクを作成してDACLを変更し、元のファイルを置き換えることが可能になるというものだ。攻撃者は高い権限で自動実行されるファイルを置き換えることで、ローカルでの権限昇格が可能だ。

ローカルでの権限昇格なので、Webサイトから直接攻撃するといったことはできないが、メールでエクスプロイトを送り付け、ユーザーをだまして実行させれば脆弱性を悪用した攻撃が可能となる。ESETが発見した攻撃はPowerPoolというグループによるものだ。大規模なスパムキャンペーンではなく、攻撃相手を厳選しているものとみられ、被害件数は少ないようだ。攻撃対象国にはチリ、ドイツ、インド、フィリピン、ポーランド、ロシア、英国、米国、ウクライナが含まれるとのこと。

PowerPoolでは脆弱性公表者がGitHubで公開(現在は削除)していたエクスプロイトのソースコードを改造し、Google製アプリケーションの更新に使われるGoogleUpdate.exeをマルウェアに置き換えている。攻撃は被害者のPCが情報収集に値するかどうかを調べてC&Cサーバーに送るバックドア第1段と、第1段の結果によって送り込まれるバックドア第2段の二段構えになっており、バックドア第2段はさまざまなオープンソースツールを利用して被害者のPCからパスワードなどを盗み出すとのことだ。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日

国際宇宙ステーションで空気漏れが発生するトラブル、NASAが補修作業をリポート

国際宇宙ステーション(ISS)で東部夏時間8月29日夜(日本時間30日朝)に検出され、翌日補修が行われた空気漏れについて、NASAがリポートしている(NASAのブログ記事)。

ヒューストンとモスクワのフライトコントローラーは東部夏時間29日19時頃、ISSで微量の空気漏れが発生している兆候に気付く。フライトコントローラーはデータを監視した結果、危険はないとして第56次長期滞在クルーを就寝させることを決定。翌朝定時に起床したクルーとともに、ヒューストンとモスクワ郊外のミッションコントロールセンターは空気漏れの発生場所を特定する作業を開始した。

ISSコマンダーのアンドリュー・フューステル宇宙飛行士をはじめとする6人の第56次長期滞在クルーは、ISSのロシア側セクションで広範な調査を実施。ロシア側のラスベットモジュールにドッキングしているソユーズMS-09の軌道モジュール(地球には帰還しない)に開いた直径2mmほどの穴が空気漏れの原因と特定する。カプトンテープによる仮補修により、午前中には空気漏れが減少した。

すべて読む | セキュリティセクション | 国際宇宙ステーション | サイエンス | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NASA宇宙飛行士候補ロブ・キュリン氏、一身上の都合で退職。候補者が宇宙飛行士になる前に退職するのは50年ぶり 2018年08月31日
NASA、家庭で作れる火星探査車をオープンソース化 2018年08月07日
NASA、米民間宇宙船による初の有人宇宙飛行に乗務するクルー9名を発表 2018年08月05日
ロシア・プログレス宇宙船、打ち上げから4時間以内での国際宇宙ステーション到着に成功 2018年07月13日
飛び回る人工知能「CIMON」、国際宇宙ステーションに向かう 2018年07月01日
世界で最も濃いというコーヒー、国際宇宙ステーションへ 2018年06月29日
NASAは小惑星から地球を守ることができるのか 2018年06月29日
ISSの船外活動にGoProを持って出た宇宙飛行士、SDカードを入れ忘れて撮影できず 2018年05月24日

GoogleアカウントでのWindows 10ログイン、実現なるか

GoogleのChromiumチームが「Google Credential Provider for Windows」という機能を開発しているようだ(BleepingComputerの記事Android Policeの記事BetaNewsの記事Chrome Storyの記事)。

Windows Vistaで導入されたCredential Providerは、Windows XPまでのGINAに代わってログオンなどのユーザー認証を実行する仕組み。Windows 10ではローカルアカウントやMicrosoftアカウントのほか、Windows Helloなどによる認証を可能にするCredential Providerが追加されている。OEMや企業が独自のCredential Providerを追加することも可能だ。

Google Credential ProviderについてGoogle側からの情報はほとんどないようだが、BleepingComputerではChromium Gerritにコミットされたコードから、G Suite管理者が作成したGoogle Accounts and ID Administration(GAIA) IDでWindows 10へのログインを可能にするものだと推測する。

すべて読む | ITセクション | Chrome | Google | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ゲーム「Quantum Break」のWindows 10版、Microsoftアカウントにサインインしないと海賊扱いに 2016年04月10日
店頭に展示されているPCで客がMSアカウントでログイン後放置するケースは少なくない 2016年03月24日
Windows 10で高まるプライバシーへの懸念 2015年08月01日
スタートボタン関連だけじゃない、Windows 8.1プレビュー版での残念な変更点 2013年07月11日

英イングランドの都市自治体、4分の1がサポートの終了したサーバーソフトウェアを使用

英国・イングランドのロンドン自治区と都市自治区では、4分の1でMicrosoftがサポートを終了したサーバーソフトウェアを使用しているそうだ(Comparex UKのプレスリリースThe Registerの記事)。

この数字はComparex UKによる各議会への情報公開(FOI)請求により明らかになったもので、首都ロンドンでは32自治体のうち10自治体でWindows Server 2003およびMicrosoft SQL Server 2005の少なくともどちらか1本を使用しているという。ロンドン以外の都市自治区では36自治体のうち7自治体が同様の状況で、さらにロザラムとサンドウェル、シェフィールドではWindows Server 2000も使用しているそうだ。情報公開請求は27の州議会にも行われており、全体では95自治体のうち46%がWindows Server 2000/2003/Microsoft SQL Server 2005の少なくともいずれか1本を使用しているとのこと。

すべて読む | セキュリティセクション | 英国 | セキュリティ | Windows | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ロンドン警視庁、ついにWindows XPからの移行が完了へ 2018年01月26日
英国の交通取締用のカメラがWannaCryに感染、交通違反切符の取り消しを行う事態に 2017年07月01日
英国の最新型空母 HMS Queen ElizabethでもWindows XPが発見される 2017年06月29日
英政府機関曰く、セキュリティ企業は不要な製品を売りつけている 2017年03月27日
ロンドン・ハイドパークのクリスマスイベント、Windows 10のサポートエンジニアを緊急募集 2016年12月18日
英国政府、LibreOffice導入へ 2015年10月25日
英政府、Windows XPからの移行が進まない一方でMicrosoftとのカスタムサポート契約は延長せず 2015年05月02日
英自治体、サポートの切れるWindowsパソコンからChromebookに移行する計画 2014年04月05日

Microsoft、Intelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートを提供

MicrosoftがIntelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートをMicrosoft Updateカタログで提供開始した(Microsoftサポートの記事Neowinの記事)。

今回のマイクロコードアップデートでは既に提供されているSpectre Variant 2に対応する修正に加え、5月21に公表されたSpectre Variant 3a/4および8月14日に公表されたL1TF(L1 Terminal Fault)に対応する修正が含まれる。なお、Microsoftが提供しているSpectre Variant 2のマイクロコードアップデート(Windows 10 バージョン1803/ 1709/ 1703/ 1607/ 1507)は第2世代Coreプロセッサー以降に対応しているが、今回のマイクロコードアップデートは第6世代以降の対応となっている。ただし、Windows 10 バージョン1507(RTM)向けでは第6世代のみとなっており、4月にサービスが終了したバージョン1511向けには提供されないようだ。

Windows 10の各バージョンに対応するKB番号は以下の通り。なお、バージョン1803に対応するKB4346084のみ、Microsoft Updateカタログのほか、Windows UpdateとWSUSでも配布される。
  • KB4346084: Windows 10 バージョン1803/Server バージョン1803
  • KB4346085: Windows 10 バージョン1709/Server 2016 バージョン1709
  • KB4346086: Windows 10 バージョン1703
  • KB4346087: Windows 10 バージョン1607/Server 2016
  • KB4346088: Windows 10 バージョン1507(RTM)

すべて読む | セキュリティセクション | セキュリティ | Intel | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Spectre/Meltdown脆弱性の新バリアント2件が公表される 2018年05月25日
Microsoft、Sandy Bridge世代以降のIntelプロセッサーに対応するマイクロコードアップデートを提供開始 2018年05月19日
Intel、古いプロセッサーでのSpectre 2対策をあきらめる 2018年04月07日
Microsoft、3月のWindows 10向け月例更新でAVソフトウェアの互換性チェックを撤廃 2018年03月18日
Intelのマイクロコードアップデート、Microsoft Updateカタログで提供開始 2018年03月03日
Windows 10 バージョン1511のサポート期間が6か月延長 2017年11月18日

Google Play、Fortniteの検索結果に警告を表示

Google Playで「Fortnite」を検索すると、検索結果の上に警告が表示されるようになっている(Android Policeの記事9to5Googleの記事The Vergeの記事Neowinの記事)。

Google Playを経由せず、開発元のEpic Gameが直接配信することを決めた人気ゲーム「Fortnite Battle Royale」のAndroid版だが、偽物や紛らわしい名前のアプリが出現することも予想される。偽アプリがGoogle Playに登録されてしまう例は過去にもあるため、ユーザーが誤って偽アプリをインストールしないよう予防的に警告を表示しているとみられる。ただし、Googleがこのような警告を表示するのは珍しい。

警告が表示されるのは「Playストア」アプリで検索した場合のみ。現在、「fortnite」「fortnite battle royale」などの語句を検索すると「Fortnite Battle Royale (デベロッパー: Epic Games, Inc) はGoogle Playではご利用いただけません」と表示される。ただし、「fortnite beta」「fortnite battle royale game」「fortnite battle royale the real game」などの場合、警告は表示されない。

すべて読む | セキュリティセクション | Google | セキュリティ | ゲーム | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
人気ゲーム「フォートナイト」、Android版はPlayストアではなく販売元が独自に配信へ 2018年08月08日
人気オンラインゲーム「Fortnite」スイッチ版、PSNユーザーだけはアカウント共有が不可能に 2018年06月15日
ゲームのチートツールの使い方動画を公開した14歳少年がメーカーに訴えられる 2017年12月09日
Google Playに偽WhatsAppが複数出現 2017年11月05日
「ゲームジャンル」は特許で保護されない 2017年10月25日

カイコの遺伝子を置き換え、クモ糸タンパク質を高い割合で含むシルク繊維の大規模生産を可能にする研究成果

ゲノム編集したカイコガを用いることで、高い割合でクモ糸タンパク質を含むシルク繊維を得ることに中国の研究グループが成功したそうだ(論文Ars Technicaの記事)。

クモ糸は高い強度や伸展性など優れた特性を持ち、バイオ素材として注目を集めている。しかし、クモの生態上、飼育による大規模なクモ糸繊維の生産は困難だ。他の生物にクモの遺伝子を挿入してクモ糸タンパク質を生成させる場合、多くは繊維を作る工程が必要になる。カイコガを使用すれば直接繊維を採取可能となるが、トランスポゾンを用いてクモの遺伝子を挿入する従来の方法ではクモ糸タンパク質を効率よく得られなかったという。

研究グループではヌクレアーゼを用いた相同性依存的な修復(HDR)により、カイコガのフィブロインH鎖遺伝子をアメリカジョロウグモ(Nephila clavipes)の牽引糸タンパク質(MaSp1)遺伝子で置き換えた。その結果、遺伝子組み換えカイコガの繭では最大35.2%をMaSp1が占めたという。繭から得られるシルク繊維を通常のカイコガのものと比較したところ、直径が15.8%小さく、強度が17.4%低下する一方、破断ひずみは22.5%から32.2%に増加し、破壊エネルギーも22.5%増加したとのこと。

異種発現系による大規模なクモ糸生産の可能性を示す今回の研究成果は、将来のクモ糸を含む新たなバイオ素材の開発に役立つとのことだ。

すべて読む | サイエンスセクション | バイオテック | サイエンス | ボットネット | ワーム | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
国際宇宙ステーションで蜘蛛が 1 匹行方不明 2008年11月23日
スパイダーシルクで靴下作成 2007年12月11日
クモの糸に人間がぶら下がる実験に成功 2006年05月24日
スパイダーマンも真っ青?人工のクモの糸 2002年01月19日