パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

15113778 story
マイクロソフト

Microsoft、ドメインコントローラー強制モードのデフォルト有効化に向けて対応を呼びかけ 5

ストーリー by nagazou
対応してね 部門より
headless 曰く、

Microsoftは14日、Netlogonの特権昇格の脆弱性(CVE-2020-1472)対策として2月9日のセキュリティ更新プログラムでWindowsドメインコントローラー(DC)強制モードをデフォルト有効化するのに向け、対応を呼びかけた(Microsoft Security Response Centerのブログ記事)。

CVE-2020-1472は安全なRPCを使用しないNetlogonセキュアチャネル接続に存在するMicrosoft Netlogon Remote Protocol(MS-NRPC)の脆弱性だ。Microsoftでは2020年8月の月例更新で修正したが、悪用の可能性は低いと評価していた。しかし、9月には米国土安全保障省(DHS)が政府機関に更新プログラム適用を命ずる緊急指令20-04を発出し、Microsoftも活発な攻撃が確認されていると注意喚起していた。

DC強制モードではNetlogonセキュアチャネル接続を使用するすべてのデバイスで安全なRPCの使用が必要になる。これにより、アカウントを明示的に脆弱なままとする非対応デバイスリストに追加しない限り、安全なRPCを使用できないデバイスからの接続はブロックされる。Microsoftでは昨年のうちにFAQを公開し、2月からの強制モード有効化計画を示していたが、実施が近づいたことから改めて対応を呼びかけている。

対応の主なポイントとしては、ドメインコントローラーに昨年8月以降の更新プログラムを適用する、脆弱な接続を使用するデバイスをイベントログで特定する、脆弱な接続を使用する非対応デバイスの対策を行う、事前に強制モードを有効化する、といったものだ。

15111892 story
電力

スリップ検出機能を追加したレンタル向け電動スクーター、危険行為を繰り返すライダーへのレンタル取り消しも可能に 22

ストーリー by nagazou
レンタル免許取り消し 部門より
headless 曰く、

米国や欧州を中心に電動スクーターのレンタルサービスを展開するBirdは15日、タイヤのスリップ検出(Skid Detection)システムの追加を発表した(Birdのブログ記事SlashGearの記事)。

スリップはタイヤの摩耗で発生するほか、危険運転や強すぎるブレーキングで発生することもある。スリップ検出システム搭載により、早期にタイヤの摩耗を検出して整備可能になるほか、ライダーによる危険行為の検出も可能となる。Birdでは状況に応じ、危険行為を繰り返すライダーへのレンタルを取り消すことも可能とのことだ。

15110480 story
Windows

Windows 10でBSoDを引き起こすWin32デバイス名前空間パス 38

ストーリー by nagazou
さらっとやばい 部門より
headless 曰く、

Windows 10でアクセスするとBSoDが発生するというパスをBleeping Computerが紹介している(Bleeping Computerの記事BetaNewsの記事)。

問題のパスは「\\.\globalroot\device\condrv\kernelconnect」というもので、先日NTFSの脆弱性を公表して話題になったJonas Lykkegaard氏が昨年10月、BSoDを引き起こす方法としてさらっとツイートしていた。当時は特に注目されなかったが、NTFSの脆弱性公表に伴って発掘されたようだ。このパスはコンソールドライバー(condrv.sys)を示すWin32デバイス名前空間パスだが、Lykkegaard氏はカーネルモード/ユーザーモードのプロセス間通信に使うものだと考えているという。このパスを使用するには属性の付加が必要だが、属性を付加しないでアクセスした場合に適切なエラーチェックが行われず、BSoDが発生するとのこと。

Bleeping Computerの記事ではBSoDが発生する操作の例としてGoogle Chromeでのアクセスと、インターネットショートカット(.urlファイル)の保存を挙げているが、手元の環境では新Microsoft EdgeやBraveなど他のChromium系ブラウザーや、FirefoxでもBSoDの発生が確認できた。一方、エクスプローラーやInternet Explorer、レガシーEdgeの場合、このパスをアドレスボックスに入力してEnterキーを押すとファイルが見つからないなどのエラーが表示されるのみで、BSoDは発生しなかった。ただし、このパスを示すインターネットショートカットをテキストエディターで作成して保存しようとするとBSoDが発生し、保存できなかった。

なお、Windows 10 Insider Preview(ビルド21292)上で試したところ、新Microsoft EdgeでBSoDは発生しなかったが、Google Chromeを含む他のChromium系ブラウザーやFirefoxでBSoDが発生する点は変わりなかった。また、Windows 8.1では上述のいずれの操作を実行してもBSoDが発生することはなかった。

15094584 story
Android

Google、診断鍵のダウンロードに問題が発生したCOVID-19接触通知システムを修正 6

ストーリー by headless
診断 部門より
GoogleのCOVID-19接触通知システムを使用するAndroidアプリで「Loading...」という通知が表示されたままになるトラブルが発生し、Googleが修正したそうだ(The Vergeの記事The Registerの記事Neowinの記事)。

GoogleがThe Vergeに説明したところによると、問題は署名鍵の構成で発生したものだという。接触通知システムではCOVID-19陽性と診断されたユーザーが診断鍵(diagnosis key)を鍵サーバーにアップロードし、他のユーザーに情報が提供される。しかし、12日夕方から鍵サーバーからの診断鍵ダウンロードで問題が発生し、接触の通知が遅れる結果になったとのこと。

今回の問題でGoogleのCOVID-19接触通知システムを使用するアプリは全世界で影響を受けたとみられるが、英国の「NHS Covid-19」アプリオランダの「CoronaMelder」アプリドイツの「Corona-Warn」アプリで影響が報告されている。Googleでは既に問題を修正したが、復旧に問題が発生しているアプリの開発者には直接手助けを行うそうだ。また、ユーザーに対してはアプリのデータを消去しないよう求めているとのことだ。
15086466 story
情報漏洩

ソフトバンク元社員、楽天モバイル転職時に機密情報を持ち出したとして逮捕。楽天は情報利用を否定 44

ストーリー by nagazou
低度な情報戦 部門より
1月12日に元ソフトバンク社員が社内の営業秘密を不正に持ち出したとして警視庁に逮捕されたそうだ。この人物は2019年末にソフトバンクを退職し、楽天モバイルに社員として転職していたという(ケータイ WatchITmedia)。

12日のソフトバンク側の発表によれば、この人物はソフトバンクの4Gおよび5Gネットワーク用の基地局設備の情報を持ち出したとしている。顧客などの個人情報についてはアクセス権がなかったことから持ち出しはされていないとのこと(ソフトバンク)。

この発表を受けて、楽天モバイル側も同日にリリースを出している。従業員1名が、不正競争防止法違反の容疑により逮捕されたことは認めつつも、この従業員が前職により得た営業情報を業務に利用していたことはないと否定している(楽天モバイル)。

東洋経済の記事では、持ち出しの手法についての解説が行われている。これによれば、容疑者はソフトバンク在籍の最終日に社内サーバーに接続し、機密情報を自分の別メアドに送信するという単純な手法であったようだ。同記事ではソフトバンク側の情報管理体制にも問題があったと指摘している(東洋経済)。
15076597 story
情報漏洩

AirPods Max、数時間の使用でイヤーカップ内が結露すると話題に 57

ストーリー by headless
耳汗 部門より
AppleのワイヤレスヘッドフォンAirPods Maxで、数時間使用するとイヤーカップ内部に結露が発生することが話題になっている(Mac Rumorsの記事Forbesの記事9to5Macの記事iPhone in Canada Blogの記事)。

報告によれば、結露が発生するまでの使用時間は1時間~数時間で、外気温にかかわらず発生するという。耳を覆う形のヘッドフォンを気温の高いときに使用するとイヤークッションが汗で湿って不快なこともあるが、AirPods Maxのイヤークッションは湿っておらず、取り外すとアルミニウム製のイヤーカップ内部に結露がみられるとのこと。水滴が流れるほどの結露が発生することもあるようで、防水でないAirPods Maxでは故障の可能性もある。水と無関係な故障でも水没と判定されることを懸念する人もいるようだ。
15057910 story
情報漏洩

日産の社内ツールやソースコードがサーバーの設定ミスで流出 36

ストーリー by nagazou
やらかし 部門より

日産の北米法人であるNissan North Americaで、社内ツールのソースコードがネット上に流出したと報じられている。原因はGitサーバーの設定ミスで、デフォルトのユーザ名「admin」とパスワード「admin」のままとなっていたという。この情報は1月4日からTelegramのチャンネルやハッキングフォーラムで共有され始めたそうだ。日産は5日に気がつき、サーバーをオフラインにした模様(ZDNetGIGAZINE)。

この情報にアクセスしたソフトウェア・エンジニアTillie Kottmann氏は、ZDNetに対してGitリポジトリには次のようなデータがあったと回答している。

  • Nissan NA Mobile apps(日産NAモバイルアプリ)
  • some parts of the Nissan ASIST diagnostics tool(日産アシスト診断ツールの一部)
  • the Dealer Business Systems / Dealer Portal(ディーラービジネスシステム・ディーラーポータル)
  • Nissan internal core mobile library(日産の内部コアモバイルライブラリ)
  • Nissan/Infiniti NCAR/ICAR services(日産インフィニティのNCAR/ICARサービス)
  • client acquisition and retention tools(顧客獲得と保持のためのツール)
  • sale / market research tools + data(営業とマーケティング調査のツールとデータ)
  • various marketing tools(さまざまなマーケティングツール)
  • the vehicle logistics portal(車両ロジスティクスポータル)
  • vehicle connected services / Nissan connect things(自動車の接続サービス関連)
  • and various other backends and internal tools(その他のバックエンドと内部ツール)
15057903 story
Chrome

Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 45

ストーリー by nagazou
HTTPS化 部門より
headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691Ghacksの記事Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

15057025 story
情報漏洩

福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も 57

ストーリー by nagazou
謎 部門より
あるAnonymous Coward 曰く、

TBS系列のJNNによると、新型コロナウイルス陽性患者・数千人分の個人情報の記載された福岡県の内部文書が少なくとも1か月以上に渡ってインターネットに公開されていたという(TBS NEWS)。

報道されたニュース映像では、氏名、年齢、性別、市区町村レベルの住所、詳しい症状といった要配慮個人情報がGoogle スプレッドシートで管理され、適切なアクセス制限が行われていなかったことが伺える。しかし、Google スプレッドシート文書は誤ってアクセス制限を行わなずに公開したとしても、ランダムに発行される共有URLを知らなければアクセスすることはできない。

発覚のきっかけは、去年11月末に神奈川県在住の無関係の男性の元に内部文書が送られてきたことだという。この男性は福岡県に連絡したものの、第三者が内部文書にアクセスできる状態が1か月あまりも続き、(おそらくは男性からの情報提供を受けた)JNNが取材したところ、1月6日になってネット上から削除されたとのこと。

漏洩の件数や内容を考えると重篤なインシデントと言えるが、男性に文書を送ったのは何者なのか? どうして共有URLを知っていたのか? なぜ無関係の男性に文書を送ったのか? なぜ県は1ヶ月も放置したのか? など、謎が尽きない。

情報元へのリンク

15055196 story
インターネット

あいちトリエンナーレのメール配信システムに不正アクセス。なりすましメールが送信される 24

ストーリー by nagazou
忘れた頃に狙われる 部門より
過去に物議を醸したこともある愛知県の芸術祭「あいちトリエンナーレ」。同実行委員会は1月4日、運営するメール配信システムへ不正アクセスがあったと発表した。メールの登録者に対して、実行委員会を装ったなりすましのメールが送付されたとしている(あいちトリエンナーレ実行委員会NHKITmedia)。

リリースによればこのメール配信の登録者は約3,500件であるという。なりすましメールが送付された件数については現在確認中とのこと。漏洩した可能性のある個人情報は、メールアドレス及び登録された氏名だとしている。リリースによれば、現在はメール配信システムを停止したほか、登録者に注意喚起のメールを送信したとしている。
15045973 story
政府

政府、マイナンバーカードを携帯ショップで申請できるよう検討中。21年度の実現を目指す 76

ストーリー by nagazou
アメとムチ感 部門より
一部地域の郵便局では、マイナンバーカードの交付申請ができるようなっているが、同様の手続きを携帯ショップでも申請できるようにするという話があるそうだ。カードを発行している地方自治体の窓口は平日対応のみ。そこで休日も営業している携帯ショップを活用するという流れであるようだ。今年度中に方向性をまとめ、21年度中の実現を目指すとしている(SankeiBiz)。

携帯ショップが選ばれた理由として、本人確認の業務に慣れている点もあるという。政府はスマートフォンとマイナンバーカードの一体化を目指していることから、将来的には手続きの効率化も図れるという読みもあるようだ。
15043025 story
法廷

英判事、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下 6

ストーリー by nagazou
却下 部門より
headless 曰く、

英中央刑事裁判所のバネッサ・バライツァー地方判事は4日、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下した(AP Newsの記事The Guardianの記事)。

アサンジ氏は2010年に英国・ロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めて在英エクアドル大使館に入り、そのまま7年近く滞在し続けた。しかし、2019年4月に保釈中の逃亡容疑で逮捕され、米国の引渡令状により再逮捕された。米政府はWikiLeaksで数多くの機密文書を公開したアサンジ氏をスパイ活動法違反など計17件の罪で起訴しているが、身柄引渡に関する審理はCOVID-19の影響で遅れていた。なお、もともとの逮捕容疑であるスウェーデンでの性的暴行容疑はすべて時効となっている。

ジャーナリストや人権活動家などからは米国での起訴が政治的な動機によるもので、表現の自由を踏みにじるものだとして、アサンジ氏解放を求める声が強まっている。アサンジ氏側は米国で公正な裁判を受けられない可能性や、過酷な環境に拘置される可能性を主張して身柄引渡に反対したが、判事は前者を退けて後者のみを理由に身柄引渡要求を却下した。判事によれば、アサンジ氏の精神状態は過酷な拘置環境に耐えられず自殺する可能性があるうえ、米当局による自殺防止対策を迂回する知恵と決断力があるとのこと。

米政府は控訴する意思を示しているが、政権移行を間近に控えて先行きは不透明だ。アサンジ氏側の弁護士やアサンジ氏の支援者は判事の決定に満足してはいないものの歓迎しており、最終的にはアサンジ氏の解放を目指す。アサンジ氏との間に2人の息子を持つパートナーは、ドナルド・トランプ大統領が退任前にアサンジ氏を恩赦することを期待しているとのことだ。

15042513 story
著作権

米連邦地裁、CorelliumのiOS仮想化サービスはフェアユースと判断 6

ストーリー by nagazou
フェアユース 部門より
headless 曰く、

米フロリダ南部地区連邦地裁のRodney Smith判事は12月29日、セキュリティ企業Corelliumが提供するiOS仮想化サービスはフェアユースにあたり、Appleの著作権を侵害しないとの判断を示した(裁判所文書: PDFHackReadの記事Ars Technicaの記事The Vergeの記事)。

CorelliumのiOS仮想化はAppleが無償提供しているiOSのソフトウェアイメージ(IPSWファイル)をダウンロードして利用するもので、製品にAppleのコードは含まれない。製品のターゲットは脆弱性調査を行うセキュリティ研究者となっており、App Storeや音声通話、カメラといった一般ユーザー向けの機能は利用できない。アプリ開発者に有用な機能は含まれるが、アプリ開発者には訴求しない価格設定になっているという。Appleは2018年にCorellium買収について交渉を行っていたが、最終的に買収金額が折り合わず、交渉は打ち切られている。AppleがCorelliumを訴えたのは翌2019年8月のことだ。

Appleの訴えの主なポイントは、CorelliumによるiOSの著作権侵害と、デジタルミレニアム著作権法(DMCA)1201条(迂回禁止条項)違反の2点だ。Apple側はDMCA迂回禁止条項違反について略式判決を請求していた。一方、Corellium側は著作権保護の対象となるApple製品の要素の利用がフェアユースに相当し、DMCA迂回禁止条項の免除対象になるなどと主張して略式判決を請求していた。

Smith判事はまず、CorelliumによるiOSの利用がフェアユースに相当することを確認し、Corelliumの略式判決請求を一部認めた。一方、DMCA迂回禁止条項違反の有無に関しては、両者の略式判決請求を却下している。

15042495 story
マイクロソフト

Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 10

ストーリー by nagazou
悪用 部門より
nMicrosoftはブログで12月31日、SolarWinds製のソフトウェア更新を悪用した大規模攻撃により、Microsoftのソースコードリポジトリーにアクセスされた可能性があると発表した。SolarWinds問題を調査する過程で、異常なアクティビティが検出された内部アカウントのうち一つが、ソースコードを表示するために使用されていたことが判明したとしている。このアカウントにはソースコードやエンジニアリングシステムを書き換える権限は無かったことから、変更は行われていないとしている。また顧客データなどへのアクセスはされていないとしている(MicrosoftブログCNET)。
15032384 story
Google

GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 51

ストーリー by headless
公表 部門より
GoogleのProject Zeroは23日、Windows 10のプリンタードライバーホスト「splwow64.exe」に存在する未修正脆弱性を公表した(Project Zero - Issue 2096Neowinの記事HackReadの記事Bleepng Computerの記事)。

この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。

Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...