パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

14951481 story
EFF

EFFのブラウザー拡張機能「Privacy Badger」を特徴付ける機能、デフォルトで無効に 14

ストーリー by headless
無効 部門より
Electronic Frontier Foundation(EFF)は7日、Webサイトによるユーザー追跡を検出・遮断するブラウザー拡張機能「Privacy Badger」で、主要機能である新しいトラッカーを学習する機能のデフォルト無効化を発表した(Deeplinks Blogの記事The Registerの記事)。

EFFは2月、トラッカー学習機能に関連するセキュリティー上の問題が複数存在するとGoogle Security Teamから報告を受けていたという。その一つは深刻な問題であったため、すぐに該当機能を削除している。もう一つは今回デフォルト無効化の選択理由となった問題で、「アクセスしたWebサイトの挙動に応じてブロックするものを選択する」という動作がフィンガープリンティングに使われる可能性や、アクセスしたページに関する情報を(ファーストパーティーストレージから)抽出される可能性が指摘されていたそうだ。

Googleが報告した内容は純粋にPoCであり、実際にこの機能が悪用されている証拠をEFFでは確認していないという。トラッカー学習機能は「長大なトラッカーリストを維持しなくても新しいトラッカーをブロックできる」というPrivacy Badgerを特徴付ける機能だが、念のためデフォルトでの無効化を決めたとのこと。新しいトラッカーを学習しなくなる代わり、これまでインストール時から変更されることのなかった既知のトラッカーリストは将来のPrivacy Badgerアップデートで更新されるようになる。

なお、学習機能自体は残されており、Privacy Badgerの設定画面で「General Settings→Advanced→Learn to block new trackers from your browsing」にチェックを入れれば有効化できる。
14949871 story
通信

FBIがホテルのWi-Fiを使ったテレワークにはリスクがあると警告 36

ストーリー by nagazou
経費じゃ無くて自費だよねホテル代 部門より
あるAnonymous Coward 曰く、

COVID-19によって増加したホテルからのテレワークにFBIが警告を出しているそうだ。アメリカでは自宅で在宅勤務していた個人が、静かな環境を求めてホテルでの在宅勤務に切り替える例が増えているという。しかし、ホテルのワイヤレスネットワーク(Wi-Fi)を使用する際は注意が必要だとFBIは警告している(Crime Complaint Center (IC3)iPhone Mania)。

ホテルのWi-Fiは認証方法や暗号化方式が古いためにセキュリティが低い可能性もある。ハッカーなどがこうしたセキュリティの甘いホテルのネットワークに目をつけ、機密情報や個人情報を盗み取る危険性があると指摘している。通信の傍受だけではなく、最悪の場合利用しているPCをリモート操作されてしまう可能性もあるとしている。

14948156 story
ワーム

日本のミミズがアメリカに進出し落ち葉を食べつくす、さらに土中の微生物群の構成を日本型に変更 78

ストーリー by nagazou
SFチックではある 部門より
日本ではおなじみのアズマフトミミズがアメリカに進出した結果、生態系に影響を与えてしまっているという(ナゾロジーScienceDirect)。

日本国内の場合、ミミズは木が落とした葉を食べてフンに変えることで、窒素やリンといった栄養素を土に供給する役割を持っている。しかし、アメリカの場合、落ち葉の絨毯が地面にしみこんだ水の蒸発など防いでおり、落葉樹の種が発芽するのに必要な湿度を維持するために使われていたという。しかし、ミミズは落ち葉をあっという間に食べ尽くしてしまうため、土壌の乾燥や病原菌の蔓延を引き起こしたり、世代交代を阻害することにつながっているとしている。

またミミズは土壌を日本型に変化させてしまうという問題も指摘されている。ウィスコンシンの森林土壌を使った実験によると、アズマフトミミズが1年以上いた環境では、土壌細菌と真菌などの微生物群の構成が全く違うものになっていたとされる。これはアズマフトミミズの腸内にいた微生物群が広がった結果だとしている。
14948095 story
Firefox

Mozilla、より安全なFirefox拡張機能を示す「アドオンバッジ」2種類を追加 8

ストーリー by nagazou
増やしすぎると目立たなくなるけど 部門より
headless 曰く、

Mozillaは5日、安全なFirefox拡張機能を選びやすくする「アドオンバッジ」を新たに2種類追加したことを発表した(Mozilla Add-ons Blogの記事Neowinの記事Ghacksの記事)。

追加されたアドオンバッジは「Verified」と「by Firefox」の2種類。おすすめ拡張機能に付けられる「おすすめ」バッジと合わせ、バッジは計3種類となる。「Verified」バッジは9月に発表された拡張機能の定期的な厳しいレビューを有料で行う「Promoted Add-ons」プログラムによる検証済み拡張機能だ。Promoted Add-onsは11月末まで最大12個の拡張機能に絞り、無料のパイロットプログラムとして実施されている。

「by Firefox」バッジは文字通りMozillaが開発した拡張機能を示す。こちらは現在ロールアウト中とのことで、Mozillaが開発した拡張機能の中にもバッジが付いていないものがある。これらのバッジはaddons.mozilla.org(AMO)で表示されるほか、Firefoxのアドオンマネージャー(about:addons)にも表示されるとのことだが、現在のところ表示されない(「おすすめ」バッジは表示される)ようだ。

14948050 story
日本

航空自衛隊にRC-2電波情報収集機配備。C-2初の派生機 55

ストーリー by nagazou
陸海空宙サ波? 部門より
航空自衛隊は10月1日、RC-2(電波情報収集機)の入間基地への配備記念式典を実施した(航空自衛隊公式Twitter)。航空自衛隊は配備記念式典のリリースで、現代の戦闘領域はこれまでの陸海空だけではなく、宇宙・サイバー・電磁波といった領域範囲にまで拡大している。RC-2はこうした新しい領域のうち、 電磁波領域の優勢を確保するために不可欠な装備品であるとしている。

RC-2は、入間基地で運用されてきたYS-11をベースとして28年近く運用されてきたYS-11EBの後継機に当たる機体で、C-2をベースとしている。航続距離は5,700キロメートルとなっており、YS-11EBの約2,200キロメートルや海上自衛隊の所有するEP-3電子情報収集機の4,400キロメートルよりも長く、行動範囲が広いとされている。2021年度、2022年度にそれぞれ1機ずつ、計3機のRC-2が入間基地に配備されるという(FlyTeam)。
14946680 story
お金

ドコモ口座の被害申告、一部が本人利用と判明し被害総額がやや減少 11

ストーリー by nagazou
誤差 部門より
NTTドコモは1日にドコモ口座の被害申告状況を更新しているが、10月1日18時時点の被害件数が11件減少して238件となっていたことが判明した。同様に被害総額も34万円減の2904万円に変更されたという(ドコモ口座 被害申告状況[PDF]Security NEXT)。

その理由としては、これらの減額分は本人が利用していたものであったと判明したため。ただSecurity NEXTによると、具体的な内訳は不明であるとしている。このため11件すべてが本人利用だったのか、それとも増加分と減少分との差し引きの結果の数字なのかについては分からないそうだ。
14946619 story
法廷

ジョン・マカフィー、スペインで逮捕 11

ストーリー by nagazou
ジョンの伝説が、また1ページ 部門より
headless 曰く、

「サイバーセキュリティのレジェンド」ことジョン・マカフィー氏がスペインで逮捕されたそうだ。米司法省が5日、マカフィー氏に対する起訴状の秘匿解除とともに発表した(プレスリリースThe Vergeの記事The Registerの記事起訴状: PDF)。

6月15日付の起訴状によれば、マカフィー氏は暗号通貨の宣伝やコンサルティング、彼の人生に関するドキュメンタリー制作権の売却などで2014年から2018年の間に数百万ドルの収入を得ており、これらの収入について脱税および意図的な申告漏れを行ったという。脱税行為については収入を他人名義の口座に振り込ませたり、他人名義で資産を購入したりといったものが挙げられている。なお、プレスリリースでは該当期間中、マカフィー氏と氏の名前を冠するアンチウイルス企業との関係がなかったことを明記している。

起訴は脱税と申告漏れそれぞれ年度ごとに1カウントで合計10カウント。有罪となった場合、脱税は1カウントごとに最高5年の実刑など、申告漏れは1カウントごとに最高1年の実刑などが科せられる。マカフィー氏は現在、スペインで米国への身柄引き渡し待ちの状態になっているとのことだ。

14945406 story
娯楽

FAXが多用される芸能界、事務所の送り状や形式がセキュアに 100

ストーリー by nagazou
元記者なら偽造できるような 部門より
河野太郎行革相がファックス廃止について発言されているが、日刊スポーツの記事によれば、芸能界では未だにファックスの利用率が高いそうだ(日刊スポーツ)。

その理由としては、ガセ情報対策としてファックスのを好むのだという。芸能事務所などは、事務所ごとに送り状の形式や書き方にクセがあり、そのクセを見分けることで本物か偽物かを見分けられる。また担当者による直筆でのコメントの筆跡などもセキュリティーとして機能しているとしている。このため、芸能界では正式なものはファクスで送付する習慣が今でも残っているのだそうだ。
14945280 story
情報漏洩

東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 38

ストーリー by nagazou
いくらなんでも情報公開が遅すぎるのでは 部門より
東映の子会社である東映ビデオは9月30日、同社が運営する「東映ビデオ オンラインショップ」で、ユーザーのクレジットカード情報(10,395件)が漏えいした可能性があると発表した(東映ビデオ)。

原因は外部からの不正アクセスとみられ、漏洩はクレジットカード会社からの指摘で判明したという。クレジットカード会社から漏洩の指摘があったのは5月11日。その段階でサービスは停止している。5月29日に第三者機関による調査が完了したとのこと。最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生、利用者のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した可能性があるとしている。

5月に判明していたにもかかわらず、9月まで発表が遅れた理由としてはカード会社と協議を重ねていたためだとしている。

Dharma-store 曰く、

クレカ情報、1万件が流出か 東映子会社DVD販売サイトから
https://news.yahoo.co.jp/articles/906c73ffff8b815b3636d475d97cfa81a29a8306

というのは、まぁありがちな話かなぁとおもったら、

> 同社によると、昨年5月から今年5月までに同サイトでカード決済した人の
> カード番号、名義人の氏名、有効期限、セキュリティーコードが漏れた可能性があるという。

とのこと。セキュリティコードが漏れるって、わざわざ保存してたんでしょうか。
決済システムの仕様が分かりませんが、そんな恐ろしいことしてて良いんですかねぇ。

可能性としては、システムいじられてて、入力データがダダ漏れになってたということも
あるかもしれませんが、それにしてもセキュリティコードもってかれたらたまりません。

実店舗でも、最近は店員にカードを渡さない感じになってきたので有り難いのですが、
昔は裏面のセキュリティコードは修正テープで隠したりしてたものです。
ああ、マイナンバーカードもそうすればいいんじゃないの。>ナンバー隠してどうする。

とりあえず、東映には、仮面ライダーやら戦隊ヒーローやら、セーラームーンやらプリキュアやら
正義の味方がたんまりいるので、あの方たちになんとかしてもらうのが宜しいかと。
ああ、ショッカーもたんまりいいるんでしたっけ。

東映太秦映画村のイーッ!ところをショッカーがご紹介!!
https://www.youtube.com/watch?v=J-OYcziq_XU

14941744 story
Windows

Windowsのインストールイメージに適用可能なMicrosoft Defenderのアップデートパッケージが公開 17

ストーリー by nagazou
弱点対策 部門より
headless 曰く、

Microsoftは3日、Windowsのインストールイメージ(WIMまたはVHD)に適用可能なMicrosoft Defenderのアップデートパッケージを公開した(Microsoftのサポート記事Softpediaの記事)。

Windowsのインストールイメージに含まれるMicrosoft Defenderは古くなっていることが多いため、Windowsのインストール直後はMicrosoft Defenderのアップデートが完了するまで保護が弱い状態になってしまう。このアップデートパッケージをインストールイメージに適用してから展開することで、この問題の緩和が可能となる。アップデートパッケージにはリリース時点で最新のマルウェア対策クライアントとエンジン、ウイルス定義が含まれ、毎月の更新プログラムがリリースされるごとに新しいバージョンがリリースされるようだ。

アップデートパッケージが対応するのはWindows 10(Enterprise/Pro/Home)およびWindows Server 2019/2016で、アップデートパッケージのZIPファイルにはパッケージファイル本体のCABファイルとアップデートツールのPS1ファイルが含まれる。アップデートパッケージは32ビット版64ビット版が提供されるが、アップデートツールの実行には64ビット環境が必要だ。また、仮想マシンで実行中のWindowsは破損の可能性があるため、適用すべきでないとのことだ。

14932693 story
Android

Google、Android OEMによるAOSP外コードのセキュリティ問題に取り組む 3

ストーリー by headless
対応 部門より
Googleは2日、Android OEM特有のセキュリティ問題に対応する「Android Partner Vulnerability Initiative (APVI)」の開始を発表した(Android Developers Blogの記事9to5Googleの記事Monorail - apvi)。

GoogleはAndroid OSやAndroidアプリに関する脆弱性報告報奨金プログラムを行っており、報告されたAndroid Open Source Project (AOSP)ベースのコードに関する問題はAndroidのセキュリティに関する公開情報(ASB)を通じて開示している。一方、個別のAndroid OEMによるAOSP外のコードで見つかった問題に対処する明確な手段は最近まで用意されていなかった。

APVIはそのギャップを埋めるものであり、Googleが発見した問題の修正をOEMパートナーに促し、ユーザーに透明性を提供するものだという。APVIの取り組みは1年以上前から進められていたようで、既に8件の問題が修正されている。
14628832 story
国際宇宙ステーション

国際宇宙ステーションの空気漏れ、ロシア側のズヴェズダサービスモジュールで発生していることが判明 55

ストーリー by nagazou
老朽化ですかね 部門より
headless 曰く、

NASAとロスコスモスは9月29日、国際宇宙ステーション(ISS)で標準よりも若干高いレートで空気漏れが発生している問題について、空気漏れしているモジュールを特定したと発表した(NASAのブログ記事ロスコスモスのニュース記事)。

ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月と9月に全ハッチを閉じて調査が行われていた。8月の調査では米国側の米国・欧州・日本のモジュールで空気漏れチェックが行われ、9月はロシア側モジュールで空気漏れチェックが行われたようだ。クルーは次々とハッチを閉じて超音波リーク検出装置によるデータ収集を行い、データは米国とロシアの専門家により分析された。

その結果、空気漏れしているのはズヴェズダサービスモジュールであることが判明する。ロスコスモスによると8時間に1㎜(ママ)の速さで気圧が低下しているが、クルーやミッションに危険がおよぶことはないとのこと。現在、空気漏れ位置を特定するための調査が行われているそうだ。なお、2回の調査はともに、第63次長期滞在クルー3名がズヴェズダサービスモジュールに滞在して行われていた。

14573842 story
テクノロジー

日本政府、セキュリティの観点から中国製ドローンを排除へ。既存品も1~2年で入れ替え 122

ストーリー by nagazou
どれくらいの数が省庁で使われているのだろう 部門より
日本政府は、2021年度から政府が購入するドローンのセキュリティ対策を強化するという(毎日新聞ビバ! ドローン)。

ドローンによって収集されたデータが、外部に盗み取られるのを防ぐため、2021年度から政府機関・全省庁、すべての独立行政法人がドローンを購入する際、内閣官房に計画書を提出した上で審査を受ける必要があるとしている。これにより、中国製ドローンの新規購入が実質的に禁止されたとしている。

安全保障に関わるもの、犯罪捜査、発電所や鉄道などの重要インフラの点検、人命救助といった分野で使用されるドローンに関しては、計画書の提出が必須になるという。また関連業務を外部に委託する場合も、セキュリティ対策を施されたドローンを使用する必要があるとしている。

ドローンに関しては現在、中国製がシェアの7割を占めているとされる。しかし、国をあげて国産ドローンの開発を進め、保有済みのドローンも1~2年内にこうした国産品などに置き換えていく方針だとしている。米国でも中国製ドローンの使用が禁止されており、日本の米国の動きに歩調を合わせたものとみられる(TechCrunch)。

あるAnonymous Coward 曰く、

「全省庁、すべての独立行政法人が対象」だそうな。

情報元へのリンク

14450012 story
国際宇宙ステーション

国際宇宙ステーションの空気漏れ、再び調査 21

ストーリー by headless
難航 部門より
国際宇宙ステーション(ISS)の空気漏れについて、再び調査が行われている(NASAのブログ記事ロスコスモスのニュース記事)。

与圧されているISSで微量の空気漏れが発生するのは異常ではないが、現在は標準よりも若干高いレートになっている。8月に全ハッチを閉じて各モジュールの気圧変化の調査が行われたものの、原因は特定できなかったようだ。現在ISSに滞在中の第63次長期滞在クルー3名は8月と同様、ロシア側の居住棟ズヴェズダサービスモジュールに金曜日夜から月曜日朝まで滞在する。今回も全ハッチを閉じてミッションコントロールが各モジュールの気圧変化を調べ、空気漏れ増加の原因となっている場所の特定を試みる。ロスコスモスの発表によれば、クルーはロシア側にドッキングしている有人宇宙船ソユーズMS-16やプログレス補給船を含め、ロシア側モジュールのほとんどにアクセスできるようだ。
14444649 story
マイクロソフト

Microsoft、Netlogon特権昇格の脆弱性に活発な攻撃が確認されていると注意喚起 14

ストーリー by headless
活発 部門より
Microsoftは24日、Netlogonの特権昇格の脆弱性(CVE-2020-1472、Zerologon脆弱性)に対する活発な攻撃が確認されているとして注意喚起した(Microsoft Security IntelligenceのツイートArs Technicaの記事The Registerの記事BetaNewsの記事)。

この脆弱性はMicrosoft Netlogon Remote Protocol(MS-NRPC)の安全なRPCを使用しないNetlogonセキュアチャネル接続に存在し、Windows Serverでは8月の月例更新で修正されている。脆弱性の深刻度を示すCVSSスコアは最も高い10.0となっており、米国土安全保障省のCybersecurity & Infrastructure Security Agency(CISA)は政府機関に対して8月の月例更新プログラムを適用するよう命じる緊急指令20-04を発出しているが、これまでMicrosoftは悪用の可能性が低いと評価していた。今回の注意喚起も一連のツイートはMicrosoft 365の宣伝のような感じになっている。

なお、Zerologon脆弱性はプロトコルレベルの脆弱性であり、MS-NRPCを実装するSambaも影響を受ける。ただし、影響を受けるのはドメインコントローラーとして使用する場合で、ファイルサーバーとしてのみ使用する場合は直接的な影響を受けない。また、2018年3月リリースのSamba 4.8以降ではデフォルトで安全なRPCの使用が強制されるため、smb.confで「server schannel = auto」または「server schannel = no」が指定されていない限り影響を受けない。一方、Samba 4.7までのバージョンはsmb.confに「server schannel = yes」を指定しなければ影響を受けるとのことだ。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...