パスワードを忘れた? アカウント作成

今週も投票をしましたか?

15808826 story
バグ

Exchange Server に 2 件のゼロデイ脆弱性

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

Microsoft が Exchange Server 2013 / 2016 / 2019 に影響する 2 件のゼロデイ脆弱性を公表し、緩和策を紹介している (Microsoft Security Response Center の記事Neowin の記事Ars Technica の記事HackRead の記事)。

2 件の脆弱性は特権昇格の脆弱性 (SSRF 脆弱性) CVE-2022-41040 と、PowerShell を利用したリモートコード実行 (RCE) の脆弱性 CVE-2022-41082 だ。認証された攻撃者は CVE-2022-41040 を悪用することで、リモートから CVE-2022-41082 を引き起こすことができる。

攻撃者は脆弱性のある Exchange Server で認証される必要があるため影響範囲は限定的だが、実際に攻撃が確認されているという。Exchange Online のユーザーは影響を受けない。

Microsoft では脆弱性の修正を緊急に進めているが、現時点で提供時期は未定のようだ。そのため、IIS Manager の URL 書き換えルールで既知の攻撃パターンをブロック対象に指定するという緩和策を紹介しており、この緩和策を適用する PowerShell スクリプトも提供している。また、Microsoft Exchange Emergency Mitigation Serviceを有効にしている顧客の Exchange Server 2016 / 2019 環境では、緩和策が自動で有効になるとのことだ。

15808317 story
セキュリティ

三菱電機の幅広い家電製品に脆弱性 50

ストーリー by headless
脆弱 部門より
maia 曰く、

三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDFCVE-2022-29859 / CVE-2022-33322: PDFITmedia NEWS の記事TECH+の記事日本経済新聞の記事)。

対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。

20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-298593 月に修正された amb1_sdk の脆弱性となっている。

15807466 story
セキュリティ

Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった 35

ストーリー by headless
認証 部門より
あるAnonymous Coward 曰く、

先日発生した UberRockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事Yahoo! ニュースの記事)。

Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。

ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

15807301 story
日本

かっぱ寿司運営会社社長ら 3 人、はま寿司の営業秘密を不正取得した疑いで逮捕 95

ストーリー by headless
寿司 部門より
警視庁は 9 月 30 日、回転ずしチェーン「かっぱ寿司」の運営会社カッパ・クリエイト社長ら 3 人をライバルチェーンの営業秘密不正持ち出しに関連する容疑で逮捕した (東京新聞の記事NHK ニュースの記事読売新聞オンラインの記事)。

社長はライバルチェーン「はま寿司」の親会社ゼンショーホールディングスからカッパ・クリエイトに移籍。それに先立ち、はま寿司の仕入れに関するデータを不正に持ち出した疑いがもたれている。逮捕されたのは社長のほか、カッパ・クリエイト商品企画部長と、はま寿司時代の社長の部下の 3 人。

社長と商品企画部長の逮捕容疑は持ち出したデータを同社データと比較するなどして使用した不正競争防止法違反、元部下の逮捕容疑はデータを開くためのパスワードを教えるなどした不正競争防止法違反ほう助となっている。警視庁は昨年、はま寿司側からの刑事告訴を受けて捜査を進めており、食材の原価や使用料に関するデータが営業秘密に当たると判断したとのことだ。
15805852 story
インターネット

不正アクセスを受けたFast Company、わいせつで人種差別的な通知をApple Newsに送信 14

ストーリー by nagazou
あちゃー 部門より
headless 曰く、

Fast Company は 9 月 27 日夜、同社のコンテンツ管理システムが不正アクセスを受け、わいせつで人種差別的な 2 通の通知が Apple News のフォロワーに送信されたことを明らかにした(Fast Company の声明The Verge の記事Neowin の記事9to5Mac の記事)。

27 日の不正アクセスは 25 日午後に発生した FastCompany.com への不正アクセスに関連するとみられる。25 日の不正アクセスでも今回と同様のわいせつで人種差別的な表現がホームページ (Internet Archive のスナップショット) やその他のページに表示され、同社は 2 時間ほどサイトを閉鎖して復旧作業を行ったという。

Fast Company は攻撃者による表現が同社の考えに一致するものでなく、このような表現が同社プラットフォームや Apple News で表示されたことに遺憾の意を示し、取り消される前に見てしまった人に謝罪している。現在、FastCompany.com では本件に関する声明のみが表示されるようになっており、問題が解決するまでは閉鎖を続け、ソーシャルメディアチャンネルのみで記事を配信するとのこと。

Apple News は本件を受け、Fast Company のチャンネルを無効化したと発表している。攻撃者によるメッセージがソーシャルメディアや公式サイトに表示されることは多いが、Apple News を通じて表示されたのは初とみられるとのことだ。

15805821 story
スラッシュバック

Bluetoothスピーカー付き照明で外部から勝手に接続されるトラブル 59

ストーリー by nagazou
幽霊ごっこできるの怖い 部門より
アイリスオーヤマが販売するBluetoothスピーカー付きシーリングライトを購入したところ、他人に勝手にペアリングされて音楽を流されたとするトラブルがネットで話題となっている。この問題を指摘した幽らり@人形狂の狂想曲さんによると、Bluetoothにパスワードが設定されていないため、集合住宅だと隣家などから勝手に接続され音楽を流されるとしている(幽らり@人形狂の狂想曲さんのツイートJ-CASTニュースTogetter)。

アイリスオーヤマは9月28日、同製品にペアリング制御機能を実装していないことを認め、問題となっている指摘の内容は事実だと認めた。ITmediaによると今後、ペアリング制御機能の追加を検討しているという。ただし、実装の可否や方法、時期などは「コメントできない」としている。今のところ返品対応も検討していないとしている(ITmedia)。
15804733 story
Digital

デジタル庁が運用するメール中継サーバが不正アクセス、1万3000件の迷惑メールが送信 37

ストーリー by nagazou
不正アクセス 部門より
デジタル庁は26日、同庁が運用する「GビズID」のメール中継サーバーが不正アクセスを受けたと発表した。これにより「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したとしている。迷惑メールは9月24日16時30分から17時00分までの間に送信された。個人情報の漏えいは確認されていないとしている(デジタル庁時事ドットコム)。
15802395 story
ストレージ

SSDのデータ消去、TrimやSecure Eraseが早くて有効 43

ストーリー by nagazou
HDD消去は時間掛かりすぎる 部門より
SSDやHDDなどのストレージ機器を含んだPCを中古で売買する場合、そのデータ内容の扱いがよく問題になるが、PC Watchの記事では個人情報や企業の機密情報をストレージ機器の廃棄や譲渡によって露呈させないようにするにはどうすればいいのか、データ復旧事業に聞くという記事がまとめられている(PC Watch)。

基本的に他人に譲渡する場合はストレージの記憶領域全体を「別の情報で上書きする」ことが大事だが、SSDの場合は、領域情報を管理している「Trim(SATA SSDの場合)」や「UNMAP(NVMe SSDの場合)」という標準機能を利用することで、データの上書きをしなくてもデータを意味のないものにすることができるという。またSSDでは、Secure EraseやFormatNVMなどのコマンドを実行することもデータを抹消する上で有効な手段になるとしている。
15802365 story
携帯通信

警察庁、「110番映像通報システム」の試行運用開始 17

ストーリー by nagazou
アクセスコード入力焦りそう 部門より
警察庁は10月1日から「110番」の通報者がスマートフォンで交通事故などの現場の映像・画像を送信できる新システムを試験運用する。試行運用後に課題などを改善し、来年の4月から本格運用につなげる方針(110番映像通報システムの試行運用の開始についてmpress Watc)。

このシステムでは、110番通報を受けた担当者が、通報内容に応じて、通報者に映像等の送信が可能かどうかを確認。通報者が同意した場合、通報者にSMSでワンタイムURLを送信、通報者はそのURLと口頭で伝えられるアクセスコードを入力してログインする。ログイン後は、通報者のスマホのカメラが起動し、通報者がリアルタイムで映像を撮影し送信するのだという。既に撮影済みの映像や写真も送信できる。
15801211 story
Facebook

Instagram、DM で送りつけられるヌード写真の自動ブロック機能を開発中 13

ストーリー by nagazou
高度なテクノロジー 部門より
headless 曰く、

Meta が Instagram の DM で送りつけられるヌード写真を自動でブロックする機能の開発を進めているそうだ。 (The Verge の記事9to5Mac の記事Alessandro Paluzzi 氏のツイート)

見知らぬ相手に性的な嫌がらせメッセージを送りつける「cyberflashing」は大きな問題になっている。Instagram が提供するテキストベースの嫌がらせメッセージをブロックする機能は効果が低いと指摘されており、画像ベースの嫌がらせメッセージへの対策は行われていない

現在開発が進められているのは実際のメッセージを Meta が閲覧したり、外部と共有したりすることなくヌード写真を検出する機能だ。ユーザーのプライバシーを侵害することなく、受信したメッセージをユーザー自らコントロールできるよう、専門家の協力も得て開発を進めているという。より具体的な情報は今後数週間のうちにも公表できる見込みとのことだ。

15801178 story
お金

イーサリアムがマイニング不用に仕様変更、GPU暴落説でるもNVIDIAは否定 39

ストーリー by nagazou
円安相殺もあるからなあ 部門より
暗号通貨であるイーサリアムは9月中旬、大型アップグレードである「The Merge」を実施し、プルーフ・オブ・ワーク(PoW)からプルーフ・オブ・ステーク(PoS)へと歴史的な転換を完了させた(Data Center CaféCoinPostcoindesk JAPANcoindeskその2)。

PoWではマイナー(採掘者)は複雑なアルゴリズムを解いて取引を検証することで報酬としてイーサリムを手に入れ、それを定期的に現金化して運用資金に充てていた。PoSでは高価なマイニング用のコンピューターがなくてもネットワークに参加できる。Mergeでは平行して動作していた従来型のPoWからPoSへの統合が図られた。

今回おこなわれたMergeにより、イーサリアムに関連する二酸化炭素排出量が99%以上削減され、世界のエネルギー消費量が0.2%減少すると予測されているという。またMergeによって、イーサリアムの1日あたりの発行量は95%減少したとされる。coindesk JAPANの記事によれば、The Mergeにより結果としてイーサリアムのデフレ効果を生み、長期的には強気派に有利な動きを導くと考えられているという。なお一部でこの影響により、ビデオカードの価格下落などの噂が出ているが、これに関してはNVIDIAのCEOが19日に開かれたカンファレンスイベント「GTC 2022」で、「もうGPUの価格低下傾向はおわった」とする発言があったようだ(AUTOMATON)。
15800103 story
ゲーム

2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る 10

ストーリー by headless
偽者 部門より
ゲームパブリッシャー 2K は 21 日、同社の使用するヘルプデスクプラットフォームが不正アクセスを受け、一部のプレイヤーに悪意あるリンクが送信されたと発表した (The Verge の記事BleepingComputer の記事2K Support のツイート)。

BleepingComputer によると、ターゲットとなったプレイヤーにはまずサポートチケット作成を知らせる電子メールメッセージが届き、その続報としてパスワードを盗むマルウェア RedLine のリンクを含むメッセージが届いたという。

2K サポートではリンクをクリックしてしまった人に対し、念のため下記のような対応を推奨している。
  • ブラウザーに保存されているすべてのユーザーアカウントパスワードのリセット
  • 利用可能なすべてのアカウントで多要素認証を有効化。テキストメッセージによる認証は避け、認証アプリを使用すること
  • 信頼できるアンチウイルスソフトウェアのインストールと実行
  • 電子メールアカウントで転送設定が変更されていないか確認

関連会社の Rockstar Games も先日不正アクセスを受けているが、こちらとの関連は不明だ。なお、2K はサポートサイトの再開を 24 日に発表している。サイト保護強化の一環として、サポートサイトへの次回ログイン時にはすべてのユーザーにパスワードリセットが求められる。新しいパスワードに関しては、複雑さの要件が強化されているとのことだ。

15799525 story
ゲーム

米国土安全保障省、ビデオゲームを通じた過激主義拡大を防ぐプロジェクトに補助金約 70 万ドル 23

ストーリー by headless
過激 部門より
標的型暴力とテロリズムを防ぐプロジェクトに対する米国土安全保障省 (DHS) の補助金プログラムで、ビデオゲームを通じた過激主義者の活動拡大を防ぐプロジェクトに補助金 699,763 ドルが支給される (Ars Technica の記事Motherboard の記事)。

プロジェクトは Middlebury Institute of International Studies at Monterey の Center on Terrorism, Extremism, and Counterterrorism (CTEC) および、ビデオゲームにおける精神衛生を専門にする非営利組織 Take This と オンラインでの問題行動解決に取り組む Logically が共同で実施し、ゲームにおける過激主義を理解するための枠組みを開発する。

ゲームを通じた暴力的過激主義の拡大は昨年 12 月に国連が開催した専門家による円卓会議でも議題となっているが、ゲーム開発者は規模にかかわらず、過激主義者がどのようにゲームを悪用してその思想を広げていくのかについて理解が遅れているという。プロジェクトでは過激主義者を監視してゲームの悪用を防ぐためのリソースの開発や、ゲーム開発者やコミュニティマネージャーなどが過激主義を防ぐためのワークショップ開催なども行うとのことだ。
15797712 story
ゲーム

不正アクセスにより開発中のグランド・セフト・オート6の情報が流出 2

ストーリー by nagazou
流出 部門より
人気ゲーム「Grand Theft Auto(グランド・セフト・オート)」シリーズの発売予定の次回作に関して、大量の画像や映像などが出回ったそうだ。開発元であるRockstar Gamesは19日、新作の開発中映像が流出したことを認めた。画像は海外フォーラムなどで出回っていたものとされる。Rockstar Gamesの発表によると、リークは「権限のない第三者」がシステムに侵入、機密情報をダウンロードした結果だとしている。流出した映像は開発初期のものだったとしている(Rockstar Games公式TwitterAUTOMATONGame SparkIGM)。

このリークをおこなったハッカーは、先日、Uberが被害を受けた大規模なサイバー攻撃についても自分の犯行だと述べているという。UberはFBIおよび米司法省と積極的に協力して問題の解決にあたっている。Uberによるとこのハッカーは、ここ最近になってNVIDIA、マイクロソフト、Samsungを攻撃したハッカー集団Lapsus$に所属していると考えていると述べているそうだ(IGM)。
15796523 story
Debian

台風のときに「川・用水路の様子」を見に行きたくなる心理 72

ストーリー by nagazou
そこに用水路があるから 部門より
台風14号が日本を通過したばかりだが、FNNプライムオンラインで台風のときに「川の様子」を見たくなる現象についての記事が掲載されている。危険であるにもかかわらず、このような行動をとってしまう人がいるのは、一体なぜなのか(FNNプライムオンライン)。

山口大学・人文学部の高橋征仁教授によると、一般には川や用水路の様子を見に行ってしまう心理は、仕事上の責任感から見に行ってしまうとされているが、進化心理学の観点では自分の縄張りを維持するためのスカウティング(偵察・哨戒行動)の一種なのだという。

教授によると、田んぼや川の様子を見に行って亡くなるのは基本的に男性であり、「若い男性」と「初老の男性」がこうした行為をおこないやすいのだという。教授によると女性の場合は、子どもや親の救出・安否確認が関心の焦点となることから、田んぼや川の様子を見に行って死亡することは聞いたことがないとしている。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...