パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13780961 story
iPhone

米企業、あらゆるスマートフォンのパスコードロックを100%解除できると主張 22

ストーリー by headless
主張 部門より
米国のDriveSaversという企業が11月26日、パスコードロックされたあらゆるスマートフォンをアンロックできるというコンシューマー向けサービスを発表した(プレスリリースサービス紹介ページThe Vergeの記事Mac Rumorsの記事)。

DriveSaversによれば、プロプライエタリな新技術を用い、すべてのメーカー・モデル・OSのスマートフォンやタブレットデバイスでパスコードロックを100%解除できるという。パスコードの長さも問わず、長い複雑なパスコードでも対応可能とのこと。

捜査機関向けにパスコード解除サービスを提供している企業は既に存在するが、DriveSaversは捜査機関にサービスを提供することはなく、デバイスの所有者、もしくは死亡した所有者の相続人限定のサービスとなる。そのため、サービスを申し込むにはデバイスのデータにアクセスする法的権利を証明する書類などの提出が必要となる。

デバイスはアンロックされた状態で所有者に返され、データを外部メディアにコピーするオプションも用意されるという。アンロックの料金は3,900ドル(約44万円)ほどとのことで、安くはない。

しかし、米捜査機関の人気ガジェットとなっていたiPhoneアンロックツールGrayKeyAppleがiOS 12で対策をして使用できなくなったとみられており、すべてのスマートフォンのパスコードロックを100%解除可能といった主張には疑問の目も向けられている。現在一般に知られていない技術をDriveSaversが持っている可能性もあるが、詳細については不明だ。
13779644 story
オープンソース

npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 15

ストーリー by hylom
ピンポイントで狙っていたのか 部門より
あるAnonymous Coward曰く、

JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した(Qiitaに投稿された解説記事event-stremパッケージに対するチケットRegisterZDNet)。

このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。

問題のevent-streamパッケージはビットコインウォレットの「Copay」で利用されており、これを狙ってビットコインウォレットの情報を盗む攻撃を行うマルウェアが含まれていたようだ。

13779531 story
セキュリティ

ウイルス公開の疑いで起訴された「Wizard Bible」管理者が検察と争わなかった理由 41

ストーリー by hylom
なぜ、と思っていたが 部門より

先日「Wizard Bible」管理人、ウイルス公開の疑いで略式起訴。問題のプログラムは一般的なサンプルコードという話題があったが、はてな村定点観測所の齊藤氏が、起訴されたIPUSIRON氏から直接聞いたという「検察と争わなかった理由」を明らかにしている。

理由の1つとしてPCが押収されて仕事に支障が出ているというものが報じられていたが、それ以外にも氏の母親が病気療養中であり起訴前に亡くなられていたこと、氏が住む地域のコミュニティにこの話が広まって自身や家族が孤立することを恐れたこと、の2つの理由があったという。

13776469 story
インターネット

さくらインターネット、適切なセキュリティ対策無しにサーバーを運用しているユーザーに対し対策を求める 43

ストーリー by hylom
お願いしても届かなそうではある 部門より

さくらインターネットが、セキュリティ対策なしにサーバーを放置しているユーザーに対して「お願い」として対策を求めている(INTERNET Watch)。

挙げられている対策は下記のとおり。

  • パスワードはすべて適切な強度を満たすように設定してほしい
  • なるべく自動アップデートを利用してほしい
  • ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール(WAF)を活用すること
  • 持続的な運用または終了方法を考えてほしい

背景には、管理者がいなくなってしまったサーバーや、管理者がやる気をなくしてしまったサーバーが運用状態のまま放置されているという問題があるという。こういったサーバーで利用されているソフトウェアで脆弱性が見つかった場合、管理権限が奪われて攻撃の踏み台にされるおそれもある。

13775751 story
Android

Google Playで発見されるマルウェア、インストール件数は水増しされている? 15

ストーリー by headless
被害 部門より
Google Playでマルウェアが見つかり、多数インストールされていたという話はたびたび報じられるが、実際のインストール件数は少ないという説をSlashGearが提唱している(SlashGearの記事)。

最近ではドライビングゲームを装った同一の開発者によるマルウェア13本がGoogle Playで発見された。実際にはゲームとして動作せず、起動するとバックグラウンドで別のAPKをダウンロードしてインストールするというものだが、合計56万回以上インストールされ、2本はTrendingのランキングにも入っていたという。Google Playでは星2~3.5個の評価が付けられていたようだ。

マルウェア1本あたり数万人がインストールしていたとすれば、相当数の苦情が出てもおかしくないが、特に騒ぎになる様子もない。そのため、SlashGearでは、表示されるインストール件数に対して実際のユーザー数はごくわずかである可能性を指摘している。アプリのインストール件数や評価を水増ししたり、偽のレビューを投稿したりといった行為もしばしば問題となるが、インストール件数の多いマルウェアでも水増し行為が行われている可能性があるとのことだ。
13775328 story
NASA

NASA、違法薬物の有無など職場環境の安全性評価をSpaceXとBoeingに実施する計画 23

ストーリー by headless
薬物 部門より
NASAがSpaceXとBoeingに対し、職場環境の安全性評価を行うそうだ(The Vergeの記事Ars Technicaの記事GeekWireの記事The Washington Postの記事)。

The Washington Postに情報を提供した3名の職員によると、9月にYouTubeのライブ番組に出演したイーロン・マスク氏がカメラの前でマリファナを喫煙したことが評価実施の理由だという。番組の収録されたカリフォルニア州では娯楽用途での大麻利用は合法だが、国レベルでは禁止されている。NASAでは違法薬物のない職場環境実現のため、職員に対して大麻やコカインなど5種の薬物検査を行っている。

NASAは評価実施の理由について回答を避けているが、違法薬物のない環境を含め、職場の安全性がNASAの基準を満たしているかどうかを確認するため、企業文化の評価を民間パートナーに対して実施すると述べているとのことだ。

なお、NASAは21日、米民間宇宙船による国際宇宙ステーション(ISS)へのクルー輸送ミッションについて、SpaceXによる1回目のテストフライト(Demo-1、無人)を2019年1月7日に実施すると発表した。その他のスケジュールに関しては10月の発表から変更されていない。
13774950 story
情報漏洩

Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 15

ストーリー by headless
混乱 部門より
米国や欧州のAmazonが電子メールアドレスなどをWebサイトで誤って公開したことを謝罪する通知を顧客に送り、受信者を驚かせたようだ(BetaNewsの記事The Vergeの記事GeekWireの記事CNBCの記事)。

内容としては、技術的な問題であなたの電子メールアドレス(または名前と電子メールアドレス)をうっかりAmazonのWebサイトに表示してしまったというもの。さらに、既に問題は修正済みであること、あなたがしたこと(設定など)が原因ではなく、パスワード変更やその他の対応は不要であることが記載されている。

しかし、具体的にどのページで公開されたのか、誰がアクセスした可能性があるのか、といった情報がないうえ、お知らせするが何もすることはないという文面が混乱を招くことになる。米国版の通知のフッターに記載されたURLが「http://Amazon.com」という表記である点も指摘されている。

通知を受信したという報告は米国英国イタリアフランスの出品者向けフォーラムに投稿されているが、影響範囲が出品者だけなのかどうかは不明だ。Amazonはメディアの問い合わせに対し、問題は修正済みであり、影響を受けた可能性のある顧客に通知したとのみ回答しているという。
13774786 story
Windows

Microsoft、新元号に関連するOffice 2010の更新プログラム2本などを提供中止 90

ストーリー by headless
中止 部門より
Microsoftは16日、6日にリリースしたOffice 2010向け更新プログラム2本の提供中止を発表した(KB4461522KB2863821Ars Technicaの記事BetaNewsの記事)。

KB4461522とKB2863821はいずれも日本の新元号に備えるもので、新元号開始時に正しく元号が表示されるようにOffice 2010の和暦カレンダーを修正する。ただし、実際の新元号を表示するには新元号発表後に提供される更新プログラムが必要となるようだ。

しかし、これらの更新プログラムをインストールすると、Accessやその他のアプリケーションがクラッシュする可能性があるという。そのため、提供を中止しただけでなく、更新プログラムのアンインストールが推奨されている。
13773453 story
SNS

Instagram、平文パスワードが含まれたURLを生成してしまう不具合 27

ストーリー by hylom
どうしてこうなった 部門より
nemui4曰く、

Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ(GIGAZINEギズモード・ジャパンiPhone Mania)。

ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。

問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。

このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。

13772489 story
Firefox

Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 4

ストーリー by hylom
漏れてる通知 部門より
headless曰く、

Mozillaは14日、9月にサービスを開始した「Firefox Monitor」のデスクトップ版Firefox限定機能として、最近情報漏洩が判明したWebサイトへのアクセス時に通知する機能の追加を発表した(The Mozilla Blog)。

Firefox MonitorはHave I Been Pwned?のデータを使用して既知の個人情報流出の影響を通知するサービスだ。2017年の計画発表時には今回の通知機能がメインの機能だったが、9月のサービス開始時にはFirefoxに限定せず任意のブラウザーで利用可能なアカウント情報流出スキャンサービスおよび、電子メールによる登録型の通知サービスのみが提供されていた。

通知は12か月以内に情報漏洩が報告されたサイトへアクセスした際に一度だけ表示される。通知からFirefox Monitorサイトにアクセスすることや、通知を今後一切表示しないように設定することも可能だ。この機能は今後数週間かけてFirefoxユーザーに順次提供開始するとのこと。なお、Firefox Monitorサイトで日本語を含む26言語のサポートを追加したことも同時に発表されている。

13771231 story
Twitter

Twitter曰く、著名アカウントを通じたビットコイン詐欺ツイートの原因はサードパーティーアプリ 17

ストーリー by headless
入口 部門より
著名Twitterアカウントを通じた詐欺ツイート投稿が続発している問題について、TwitterはThe Next WebのHard Forkに対し、サードパーティーソフトウェアプロバイダーが原因だと伝えたそうだ(The Next Webの記事)。

詐欺ツイートの内容としてはビットコインを送金するとその10倍のビットコインをプレゼントするといったものだ。最近では米小売大手TargetGoogle G Suiteなどのアカウントから詐欺ツイートが投稿されたことが報じられている。当初、Targetでは同社のアカウントが不正アクセスを受けたとの見解を示していた。しかし、Twitterと協力して調査した結果、投稿を代行するサードパーティーのマーケティングアプリが不正アクセスを受けたとの結論に達したとHard Forkに伝えたという。

TwitterはTargetだけでなく一連の詐欺投稿がサードパーティーアプリを通じたものだと認める一方、具体的なアプリの名称については回答しなかったとのこと。
13771183 story
情報漏洩

米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2

ストーリー by headless
誤記 部門より
米連邦検事補のミスにより、米政府が既にジュリアン・アサンジ氏を刑事告発したのではないかとの憶測が広がっている(The Guardianの記事The Washington Postの記事The Registerの記事The Telegraphの記事)。

発端となったのは、連邦検事補が作成し、連邦検事の名前でバージニア西地区連邦地裁へ8月に提出されたアサンジ氏と無関係な事件に関する文書(PDF)だ。この文書は児童虐待事件に関するもので、被疑者のKokayi氏による証拠隠滅や逃亡などを防ぐため刑事告発状や宣誓供述書、逮捕状の秘匿を申し立てている。しかし、文書の「3」と「5」では唐突に「Assange」という人物を対象とした記述が出現する。

文書には「Assange」としか書かれていないが、事件の注目度が高い点や国外からの身柄引き渡しに言及していることから、ジュリアン・アサンジ氏について書かれているようだ。アサンジ氏が実際に刑事告発されているのか、刑事告発の準備が進められている段階なのかは不明だが、この連邦検事補はWikiLeaksの事件も担当しており、今回の文書は過去の秘匿申立書を元に作成されたものとみられる。

本来はこの文書自体も秘匿の対象だが、不明な理由で秘匿が解除され、存在が明るみに出ることとなった。バージニア西地区連邦検事局の報道官は、文書が誤って作成されたものであり、(アサンジ氏の名前は)この申し立てで意図した名前ではないと述べているとのこと。なお、この件と前後して、米司法省がアサンジ氏を米国の法廷に立たせるべく起訴する準備を進めている、とWSJが報じている
13770960 story
Transmeta

指紋認証デバイスで多数の指紋に一致する合成指紋「DeepMasterPrints」 29

ストーリー by headless
一致 部門より
ニューヨーク大学とミシガン州立大学の研究グループが機械学習を用い、スマートフォンなどの指紋認証機能で「マスターキー」のように多数の指紋と一致する「DeepMasterPrints」の生成に成功したそうだ(論文: PDFThe Guardianの記事Android Policeの記事Motherboardの記事)。

指紋認証デバイスの中でもスマートフォンなどに搭載されるものは操作性の問題で小型に作られており、指紋全体ではなく一部分だけで一致を判定する。指紋の一部分では情報エントロピーが低下するため、別の指の指紋と一致する可能性が高くなる。また認識失敗を防ぐため、エンロール時に複数の指の指紋を登録させるものもあり、さらに誤一致の可能性が高まる。

今回の研究グループ5名のうち3名は昨年、多数のユーザーの指紋に一致する合成指紋「MasterPrints」を生成する研究成果を発表している。ただし、MasterPrintsは指紋テンプレートの細部を変更することで生成するもので、画像は生成されなかったという。一方、DeepMasterPrintsは本物の指紋画像セットを敵対的生成ネットワーク(GAN)に学習させ、潜在変数進化(LVE)を用いて一致する指紋の数を最大にしたもので、外見は普通の指紋画像に似ており、より多くの指紋に一致するとのこと。
13770619 story
法廷

米裁判所、ベリーズでの殺人事件についてジョン・マカフィー氏の法的責任を認める 17

ストーリー by headless
責任 部門より
米国のフロリダ中部地区連邦地裁は14日、ベリーズで2012年に米国人男性が殺害された事件について、ジョン・マカフィー氏に法的責任があるとの判断を示した(裁判所文書: PDFThe Registerの記事)。

この事件は2012年11月、ベリーズに住んでいた米国籍の男性が頭部に銃弾を受けて死亡しているのを清掃に来たハウスキーパーが発見したというもの。男性は当時隣の家に住んでいたマカフィー氏の迷惑行為に対する訴状を提出していたこともあり、マカフィー氏は事件の重要参考人だった。しかし、地元警察による事情聴取が行われる前にマカフィー氏は出国してしまう。これにより捜査は行き詰る一方で、男性の相続人がマカフィー氏を相手取った民事訴訟を米国で提起していた。

The Registerによると、マカフィー氏は弁護士も雇わず、法廷に一切顔を見せなかったようで、原告は法的責任に関する懈怠判決と損害額に関する陪審員裁判を請求していた。審理を担当するGregory Presnell判事は懈怠判決の請求については認めたが、このような状況で連邦法は陪審員裁判を必要としないとして、来年1月10日に裁判官による審理で損害額を確定するよう命じている。
13769663 story
情報漏洩

TSUTAYAのアルバイト店員、Twitterに顧客の個人情報を暴露できると投稿。TSUTAYAが謝罪 83

ストーリー by hylom
まあバイト店員が身分証のコピーとか取ってますしねぇ 部門より
KAMUI曰く、

TSUTAYAが、アルバイト店員による「Twitter上での脅迫発言」について謝罪している(TSUTAYAによる謝罪文ニッカンスポーツJ-CASTニュース

件のアルバイトは原爆Tシャツなどが騒動になっていた韓国の防弾少年団(BTS)のファンだったらしく、店内で男性客がBTSに否定的な話をしていたのを聞いて「個人情報を取り扱う仕事上、名前から性癖まで暴露可能だ」とツイートしたという。これだけでも大概なのだが、他にも「大学を燃やす」や「大学の講師を殺す」といったツイートも行なっていた。しかも別のツイートでは地震のアルバイト先の店名を出していたそうで、まぁ何というか……頭悪いなぁとしか。

れはさて置き、先の謝罪文では「社員・アルバイトスタッフへの啓蒙教育を通じて、再発防止に努める」旨の内容になっているのだけど、そもそも「アルバイトが顧客の個人情報にフルアクセス可能」ならば、それはTSUTAYAの情報管理体制に問題ありと言えるんでないかぃ?

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...