パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

14997448 story
アメリカ合衆国

米連邦捜査局、同局になりすます偽ドメインが多数確認されているとして注意喚起 8

ストーリー by nagazou
なにを信じたら 部門より
headless 曰く、

米連邦捜査局(FBI)は23日、同局になりすます偽ドメインが多数確認されているとして注意喚起した(FBIのアナウンスSoftpediaの記事)。

FBIのアナウンスに掲載されている偽ドメインは92件。うち14件が現在解決できなくなっているという。正規のFBIのメインWebサイトはwww.fbi.gov(アナウンスが掲載されているのはwww.ic3.gov)だが、偽ドメインのトップレベルドメインは「com」が半数近くを占め、「us」を含む各国の国別コードトップレベルドメインや、汎用トップレベルドメインも多い。ドメイン名としては「fbi」に別の単語を組み合わせたものがほとんどだが、「fbi」だけのものもある。

攻撃者は容易に正規のドメインと間違えやすい偽ドメインを悪用し、虚偽の情報を広めたり個人情報を収集したりするほか、マルウェアの拡散に使用することもある。対策としてはスペルの確認やOS・セキュリティソフトウェアの更新、電子メールで受け取った文書のマクロを有効にしない、知らない人からの電子メールや添付ファイルを開かない、電子メールで個人情報を知らせない、などが挙げられている。

14997319 story
アメリカ合衆国

Appleの最高セキュリティ責任者、贈賄罪で起訴される 23

ストーリー by nagazou
お主も悪よのう 部門より
headless 曰く、

米カリフォルニア州サンタクララ郡の検事局は23日、大陪審がAppleの最高セキュリティ責任者Thomas Moyer氏を贈賄罪で起訴したことを発表した(ニュースリリースThe Vergeの記事The Registerの記事起訴状: PDF)。

Moyer氏は保留になっていたAppleの従業員の銃器携帯(CCW)許可4件と引き換えに、総額7万ドル近い200台のiPadを郡保安官事務所へ寄付すると2人の郡保安官事務所職員(保安官代理と警部)に約束したという。ただし、両者は検事局が捜査令状を執行してCCW許可関連の記録をすべて押収したことを知り、寄付は取りやめになったとのこと。2人の職員は本件の収賄罪で起訴されているほか、CCW許可に関する別件の収賄罪でも贈賄側とともに起訴されている。

本件についてMoyer氏の弁護士は、Moyer氏が保安官事務所と検事局の争いの巻き添えになったと指摘。Moyer氏は何も悪いことをしておらず、彼のキャリアは常に高い誠実さを保っており、裁判で無罪になるのは間違いないと述べているとのこと。Moyer氏は2018年にAppleが従業員にリーク防止を呼び掛けた内部メモの中で、リークが犯罪となり、その記録が一生ついて回る可能性を警告していた。

14996385 story
日本

平将門の首塚、大手町の再開発事業で一時的に消える 44

ストーリー by nagazou
本当に何事も起こりませんように 部門より
大手町の再開発事業で、平将門の首塚として知られる「将門塚」の改修工事がスタートしたそうだ。将門塚保存会によれば、今年は平将門公没後1081年にあたるという。今回の改修工事は1961年の第1次整備工事から数えて6度目になるという。工事は令和2年11月から令和3年4月末まで行われるとのこと。現場にアクセスできる菊千代さんのツイートによれば、21日頃から改修工事が始まった模様。22日にはすっかり何もない状態になっていたようだ(将門塚保存会Togetter)。
14996362 story
ボットネット

WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 71

ストーリー by nagazou
大事になりそう 部門より
過去にウォルマートが独占販売していた「Jetstream」ブランドのWiFiルーター、およびAmazonやeBayで販売されている「Wavlink」ブランドのWiFiルーターに不審なバックドアが見つかったそうだ。いずれも古い製品だが、手頃な価格で入手可能であったことから当時は人気があったようだ(Cyber​​NewsMashableGIGAZINE)。

この二つのブランドのルーターには、ルーターを通じて接続されている機器すべてのデバイスを制御可能なバックドアが仕掛けられていたとしている。このバックドアを発見したCyber​​Newsのチームは、Jetstreamの販売元であるウォルマートに状況を把握しているかどうか認識しているか確認を取ったが、現在確認中という回答があったという。製品については現在販売していないとしている。

もう一つのWavlinkルーターでは、近くのWi-Fiを一覧表示し、それらをネットワークに接続する機能を備えたスクリプトが含まれていた。これらのバックドアが積極的に悪用されているという証拠も見つかっているという。これらのルーターは、接続しているデバイスをマルウェアMiraiのボットネットに端末を追加しようとする試みるという。リモート制御された端末はボットネットの一部として被害者のルーターをリモートで制御されてしまう。実際に2016年に発生したDynDNSへのDDoS攻撃で悪用されたとしている。

この二つのブランドであるWavlinkとJetstreamは「Winstars Technology Ltd.」という深圳の企業の子会社らしいが、他に「Ematic」と言うブランドもあり、対象ブランド、製品は今回の報告に留まらない可能性が高いとしている。
14996309 story
情報漏洩

Spotifyでアカウントデータが流出。30~35万人規模 10

ストーリー by nagazou
該当者はほかのサービスでのパスワード確認を 部門より
音楽ストリーミングサービス「Spotify」で、一部顧客のユーザーアカウントデータが流出したようだ。セキュリティ企業vpnMentorの研究者であるNoamRotem氏とRanLocar氏が発見した(vpnMentorZDNetEngadgetマイナビ)。

流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、該当したユーザーはパスワードの再設定が必要となる。

ただし、ほかのサービス上で同様のユーザー名やパスワードを使用している場合、流出した資格情報を元にして不正侵入が行われるリスクがあるとしている。
14995470 story
Twitter

オランダ国防相の投稿写真から暗証番号を入手した記者がEUの機密ビデオ会議に乱入 48

ストーリー by nagazou
普段からやばいモノが映らないように注意しましょう 部門より
オランダで国防相がTwitterに投稿した情報を元にして、欧州連合(EU)の機密会議に記者が勝手にログインするというかなりまずいトラブルがあったそうだ(AFPBB News)。

ログインを行ったのはオランダの民放「RTL Nieuws」の記者Daniel Verlaan氏。同氏はオランダ国防相がTwitterに投稿した写真をもとにログイン用アドレスと暗証番号の一部を入手することに成功。これをもとにEUの国防相機密会議にログインしたのだという。元記事によれば、オランダ国防相がTwitterに投稿した写真には、テーブルの上に書類が映り込んでおり、その書類から6桁の暗証番号のうち5桁を読み取ることができたとしている。

記者が侵入した時の映像では、記者がEUの国防相らに手を振る様子が映っていたそうだ。記者が名乗ったことで、その場は案外和やかに終わったようだが、会議はセキュリティー上の理由から中止されたとのこと。
14995413 story
インターネット

大阪府知事・大阪市長は公用メールを使わない 101

ストーリー by nagazou
私用メール問題 部門より

沙和さんによると、大阪府や大阪市に何度が情報請求をかけても、知事も市長もメールが一切出てこないことから、ある考えに思い至ったという(沙和|note)。

この人たち、公用メールを使ってる?

そこで沙和さんが情報請求などを通じていろいろと問い合わせた結果、市長は公用メールを使っておらず、知事には公的なメールアドレスが存在していないことが判明したという。担当者曰く、市長の公用メールは、市長室にあるPCでしか送受信できないことから使用しておらず、職員とのやりとりは電話とLINE WORKSが使われているそうだ。

メールは公文書に当たるため、市民情報プラザで全部観閲可能になっているのに対し、LINE WORKSに関しては全文公開対象ではないという。ただし、特定の事例を定めて請求を行って、それに該当する内容であればLINE WORKSのやりとりも公開されるのだそうだ。ちなみにLINE WORKSが導入されたのは吉村前市長になってからとのこと。吉村前市長の私用メールは過去に問題になったこともある

知事に関しては知事の公用メールは一切使っていないという。基本的には口頭による指示で、緊急時には、LINE WORKSや私用メアドを使うこともあるという。こちらに関しても、行政に関わる内容であれば情報公開の対象になるそうだ。これによって生じる問題については沙和さんの元記事で触れられている。

14994740 story
Twitter

24時間で表示されなくなるTwitterのFleet、24時間過ぎても表示できるトラブル 9

ストーリー by nagazou
爆弾発言隠滅失敗 部門より
headless 曰く、

Twitterの期限付き投稿「Fleet」で期限の24時間が過ぎても引き続き表示可能となるトラブルが発生していたそうだ(Twitter Supportのツイート)。

Twitterによれば、スケーリングの問題で太平洋時間20日午前にバックエンドシステムによる期限切れFleetの処理が追い付かなくなったのだという。その結果、Twitterアプリでは24時間過ぎたFleetが表示されなくなる一方で、期限内にFleetのURLを保存していれば期限が切れても表示可能だったそうだ。その後バックログの問題は解消し、再発の可能性を減らすためにシステムの更新を行ったとのこと。

Fleetに関してはこのほか、ログインしていないユーザーが閲覧できる可能性に対する懸念や、ユーザーが既読リストに表示されずに閲覧できる可能性に関する懸念が出ているという。前者については、APIを使用すればFleetのメタデータを取得できるが、リクエスト時に認証セッションが必要となるよう変更し、APIの使用に手間がかかるようにしたとのこと。後者についてはリストが長くなった場合に上限を設けるなど、リストが完全であることは保証できないと説明しつつ、改善を検討していると述べている。

14994735 story
日本

3900トン型護衛艦FFM初進水。二番艦が先行し「くまの」と命名される 63

ストーリー by nagazou
どこぞのホワイトベースみたいな 部門より
海上自衛隊は19日、新型護衛艦「くまの」の命名・進水式を行った。2022年3月に就役する予定となっている。船体がコンパクト化されているほか、オートメーション化が進み、従来型より少ない90人ほどでの運用が可能になっている(NHK共同通信動画[乗りものチャンネル])。

この護衛艦は掃海艦艇が担当していた対機雷戦機能を持つことから、フリゲートの意味を持つFFと機雷の「Mine」、そして汎用型を意味する「Multi-purpose」を意味する「FFM」という艦種記号が与えられているという。なお「くまの」は2番艦として作られていたが、1番艦が試験中のトラブルから工事進捗に遅延が発生、2番艦が先に進水することになったそうだ。このため「くまの級」にはならない模様(航空新聞社)。

あるAnonymous Coward 曰く、

https://www.msn.com/ja-jp/news/national/e6-96-b0-e5-9e-8b-e8-ad-b7-e8-a1-9b-e8-89-a6-e3-80-8c-e3-81-8f-e3-81-be-e3-81-ae-e3-80-8d-e9-80-b2-e6-b0-b4/ar-BB1ba7x8
https://www3.nhk.or.jp/lnews/okayama/20201119/4020007115.html
https://www.47news.jp/5513853.html
https://www.47news.jp/news/5512932.html
https://www.sankei.com/politics/news/201119/plt2011190026-n1.html
ほぼ同時に建造開始した一・二番艦の二番艦が先に進水式が行われた(この後艤装を経て、一番艦とほぼ同時再来年3月就役予定)ので、このまま「くまの型」となるかは不明。
https://ja.wikipedia.org/wiki/3900%E3%83%88%E3%83%B3%E5%9E%8B%E8%AD%B7%E8%A1%9B%E8%89%A6
https://ja.wikipedia.org/wiki/%E3%81%8F%E3%81%BE%E3%81%AE_(%E8%AD%B7%E8%A1%9B%E8%89%A6%E3%83%BB2%E4%BB%A3)
同級はフリゲート級(FFMの「FF」はフリゲートを表す)で、米海軍の失敗に終わった沿海域戦闘艦程の冒険を避けたのは、実に日本人らしい。
記事中にある通り、省人化に意を尽くしており、2チーム交代で乗艦する「クルー制」を採用、併せてスタートレックに出てくる艦の様な、円形CICが特徴となっているが、常識的に公開される事は殆ど無いであろう。
https://srad.jp/submission/82681/

情報元へのリンク

14994543 story
スラッシュバック

LINE、他人のアカウントに影響を与える脆弱性の検証を行わないようセキュリティ研究者へ要請 51

ストーリー by nagazou
発見者に報奨金は払ったのだろうか 部門より
LINEは11月17日に不審なBotにより、ユーザーの同意なく強制的に友だちとして追加される事案があったと発表した。リリースによれば、このトラブルは2020年10月15日の午後5時から2020年11月03日の午前10時までの期間に発生しており、約12万を超えるユーザーが影響を受けた可能性があるとしている(LINEケータイWatch)。

原因はAIアシスタント「CLOVA Assistant」の脆弱性にあるとされるが、今回の場合は発見者のミスによりこの脆弱性が悪用された模様。経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。

これを受けてLINEは、今回の発表で「セキュリティ研究者の方へ」という以下のような告知も行っている。

今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。

報告された脆弱性が修正されるまで、お時間をいただく場合もございますが、何卒ご理解ください。当社では全ての脆弱性報告に対して真摯に対応を行っております。

脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。

当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。

14994507 story
インターネット

新Microsoft Edgeのアドオンストア、人気拡張機能の偽物が複数見つかる 20

ストーリー by nagazou
本物はどこだ 部門より
headless 曰く、

新Microsoft Edgeのアドオンストア「Microsoft Edgeアドオン」サイトで、人気拡張機能の偽物が出始めているようだ(RedditのスレッドArs Technicaの記事)。

発覚のきっかけとなったのは、新Microsoft EdgeでGoogleのWeb検索結果からリンクをクリックすると、時々別のサイトにリダイレクトされるという報告がRedditで出たことだ。Redditユーザーから情報提供を受け、Microsoftは5本の拡張機能をEdgeアドオンストアから削除したことを報告している。

削除された拡張機能は

  • NordVPN
  • Adguard VPN
  • TunnelBear VPN
  • The Great Suspender
  • Floating Player - Picture-in-Picture Mode

となっており、いずれもChromeウェブストアで人気(かつEdgeアドオンストアでは公開されていない)の拡張機能と同じ名前だ。

Microsoft Storeで限られた数が提供されている旧Edge用の拡張機能に対し、新Edge用の拡張機能は大幅に増加している。Chromeウェブストアでは拡張機能をはじめ、不正拡張機能たびたび発見されているが、今後はEdgeアドオンストアでも同様の状況になっていくのだろうか。

14994078 story
変なモノ

バチカン、ローマ教皇公式アカウントが下着姿の女性モデルに「いいね!」した問題の調査をInstagramに依頼 58

ストーリー by headless
tap-tap 部門より
ローマ教皇フランシスコの公式Instagramアカウント下着姿の女性モデルの写真(NSFW)に「いいね!」した問題について、聖座がInstagramに調査を依頼したそうだ(Catholic News Agencyの記事The Guardianの記事Daily Mail Onlineの記事 - NSFWIl Postの記事)。

ローマ教皇のソーシャルメディアカウントは聖座のスタッフによるチームが管理しており、ローマ教皇自ら運用することはないという。問題の「いいね!」は13日に確認されて幅広く報じられたが、14日には取り消されている。聖座報道室がCatholic News Agencyに語ったところによると、内部調査の結果「いいね!」が聖座から付けられた可能性が排除できたため、このような事態になった原因の調査をInstagramに依頼したとのこと。なお、Instagramでは写真をダブルタップしただけで「いいね!」したことになるが、誰かがそれを知らず「いいね!」していた可能性がないことまで確認したかどうかは不明だ。
14993616 story
Chrome

Google Chrome、Windows 7のサポートを2022年1月まで延長 15

ストーリー by headless
延長 部門より
Googleは21日、Google ChromeのWindows 7サポートを少なくとも2022年1月15日まで延長すると発表した(Google Cloud Blogの記事9to5Googleの記事)。

Googleは今年1月、MicrosoftによるWindows 7の延長サポート終了後少なくとも18か月間、2021年7月15日まではChromeでWindows 7をサポートする計画を示していた。しかし、COVID-19パンデミックによる労働環境の変化のサポートなど、ITリーダーがさまざまな困難に直面する中、Googleは現状の評価とエンタープライズ顧客からのフィードバックを元に6か月のサポート期間延長を決めたそうだ。

Windows 10への移行は多くの組織で今年のロードマップに含まれていたが、優先順位の変更により21%の組織がWindows 10への移行途中であり、1%は近く移行を始める計画だという。サポート期間延長により、エンタープライズ顧客は移行がまだ済んでいないWindows 7で引き続きChromeのセキュリティや生産性に関する利益を享受でき、エンタープライズ向け機能を活用できるとのこと。Googleでは今後も継続してエンタープライズ顧客が直面する状況の評価を行い、さらなる変更があれば発表するとのことだ。

なお、MicrosoftはChromiumベースの新Micosoft EdgeでWindows 7を2021年7月15日までサポートする計画を示している。この件が記載されたMicrosoft Docsの記事は11月16日に更新されているが、Windows 7/Server 2008 R2のサポート終了日については変更されていない。
14991921 story
情報漏洩

カプコン、採用応募者の情報を破棄していなかったことが判明 45

ストーリー by nagazou
めんどくさいから処分してなかったパターンな気も 部門より
あるAnonymous Coward 曰く、

カプコンのランサムウェア被害の絡みで流出した情報に採用応募者情報(氏名、生年月日、住所、電話番号、メールアドレス、顔写真など)が約12万5000件含まれていたが、これについて流出自体とは別に話題になっているそうだ(J-CASTニュース)。

話題になって理由としてカプコンの応募サイトには、「採用選考の結果、採用に至らなかった方、及び、採用を辞退された方の応募書類等は、選考後、当社において責任をもって破棄致します」と書かれていたためで、「(説明に反して)破棄されていなかったのでは?」という指摘が出ているようだ。

カプコン広報IR室によれば、履歴書などの書類は破棄した後も、「再応募いただける方もいらっしゃり、確認をスムーズにするため」電子化して一定期間(期間は非公表)保管しているという。流出の可能性があるのは電子データになる。」とのことだが、タレコミ人としてはそれ(電子データ)で保存していること自体、破棄していない事でしかないと思う。

そもそも、再応募事は再応募時で新しい履歴書来るのだからそれで判断すればいい話で保存する必要はないと思われ、(不採用や辞退後に)保管する必要性は見当たらない。

情報元へのリンク

14991447 story
インターネット

メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 72

ストーリー by nagazou
パスワードZip+別メールは未だに多い 部門より
政府機関や企業などでパスワード付きzipファイル廃止の動きが広がっているようだ。 平井卓也デジタル改革担当相が17日の会見で廃止について触れている(ITmedia)。政府の意見募集サイトである「デジタル改革アイデアボックス」に送られてきたアイデアを採用したものだという。マルウエア「Emotet」がパスワード付きzipファイルを使用して、セキュリティを回避していることなどが一因と思われる。

またクラウド会計ソフトなどのスモールビジネス向けの事業を手がけている「freee」も、メールによるパスワード付きファイルの受信を廃止すると発表している。こちらに関してはEmotet感染の緩和策であると明言している(freee株式会社日経新聞)。

なおプライバシーマーク付与事業を行っているJIPDECは11月18日、こうした発表を受けてメール添付のファイル送信についてという発表を行った。曰く

昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。

プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

としてそもそもパスワード付きのZipファイルなどに意味はないと強調している。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...