パスワードを忘れた? アカウント作成
15528193 story
情報漏洩

中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 114

ストーリー by nagazou
指示 部門より
中国籍の元留学生男性が偽名でウイルス対策ソフト購入しようとしたとして、警視庁が逮捕状を取ったそうだ。警視庁が逮捕状を取ったのは、元留学生の王建彬容疑者。同容疑者は、非実在の日本企業の名前を名乗り、日本製の企業向けセキュリティ対策ソフトを不正に購入しようとした模様。なお同容疑者はすでに中国に帰国済みとのこと(読売新聞産経新聞TBS NEWS)。

読売新聞によると、中国人民解放軍のサイバー攻撃部隊「61419部隊」に所属する妻が「国に貢献しなさい」「国が守ってくれる」などとSNSやメールなどを通じて指示を出していたそうだ。企業向けのセキュリティ対策ソフトを研究し、日本企業のシステムの脆弱性を把握することが目的だとされている。

追記 by headless: 容疑は詐欺未遂とのこと。
15526948 story
セキュリティ

ギャレットのゲート型金属探知機に 9 件の脆弱性、遠隔から検知感度を変更される可能性も 9

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

ギャレットのゲート型金属探知機で見つかった 9 件の脆弱性を発見者の Cisco Talos が解説している(Cisco Talos のブログ記事HackRead の記事)。

脆弱性が見つかったのは金属探知機本体ではなく、オプションの遠隔監視用 iC モジュールだ。もちろん金属探知機が脆弱性を発見したわけではない。このiCモジュールはゲート型金属探知機 PD6500i および Multi Zone (旧 MZ6100) に対応し、施設内のネットワーク環境に組み込むことで遠隔での設定や検知結果などの確認が可能になる。

脆弱性のうち 4 件 (CVE-2021-21901CVE-2021-21903CVE-2021-21905CVE-2021-21906) はバッファーオーバーフローの脆弱性で、リモートからコードを実行できる可能性がある。CVE-2021-21901 と CVE-2021-21902 は認証の前に発生するという。また、別の 4 件 (CVE-2021-21904CVE-2021-21907CVE-2021-21908CVE-2021-21909) はディレクトリトラバーサルの脆弱性で、認証済みの攻撃者が特定の条件でデバイス上のファイルを読み取り・書き込み・削除できる。最後の 1 件(CVE-2021-21902)は認証バイパスの脆弱性で、競合状態により認証済みユーザーのセッションを攻撃者が乗っ取ることが可能とのこと。

攻撃者はこれらの脆弱性を悪用することで、遠隔から金属探知機の動作状況を監視できるほか、金属探知機の感度を変更するなど、セキュリティを低下させる操作を実行することが可能となる。既に修正版のファームウェアが提供されており、ユーザーにはできるだけ早く更新することが推奨されている。

15526941 story
日本

防衛省、三菱電機への不正アクセスによる安全保障上の影響に関する調査結果 10

ストーリー by nagazou
指示内容が足りないような 部門より
防衛省は24日、2019年に発生した三菱電機への不正アクセスにより、安全保障へ影響を及ぼすおそれのあるデータが59件あったと発表した。当時、流出した可能性があるデータは約2万件ほどあった。防衛省内の関係部局で内容確認を行ったところ、その内59件に防衛に関わる情報が含まれていたとしている。防衛省は問題を深刻に受け止めているとし、米国の国防調達において義務化されているNIST SP800-171と同程度となる管理策を三菱電機側に求めたとしている(防衛省リリース[PDF]三菱電機リリース[PDF]ITmedia)。
15526088 story
NTT

Bluetooth を搭載して音声通話を可能にした電話機型おもちゃ、盗聴可能な問題が見つかる 27

ストーリー by nagazou
この手のはゆるゆるな気がする 部門より
headless 曰く、

昔からある電話機型おもちゃに Bluethooth 機能を搭載したフィッシャープライス (マテル) の「Chatter Telephone with Bluetooth」で、盗聴などに悪用可能なセキュリティ上の問題が見つかったそうだ (Pen Test Partners のブログ記事The Register の記事)。

Chatter Telephone with Bluetooth はスマートフォンなどに接続して使用する固定電話機型のデバイスで、フックから受話器を上げて電話を受け、受話器を置いて電話を切るほか、ダイヤルを回して電話をかけることも可能だ。しかし、安全なペアリングプロセスが用意されておらず、電源を入れると電波が届く範囲でペアリングを待っている Bluetooth デバイスに接続してしまうという。

同時に接続可能な Bluetooth デバイスは1台のみだが、Chatter Telephone の電源を入れたままでペアリングしたスマートフォンを持って出かけてしまった場合など、近所にいる攻撃者がスマートフォンやPCなど自分のBluetoothデバイスを接続することが可能になる。なお、Chatter Telephone の電源を入れたままにした場合、電池切れになるまで電源が自動で切れることはないそうだ。

そのため、攻撃者は自分のスマートフォンを Chatter Telephone とペアリングし、別の回線から電話をかければ知らずに受話器を取った子供と話をすることができる。また、受話器がフックから上がった状態で着信すると自動応答するため、ペアリングしたスマートフォンに電話をかけることで盗聴が可能になる。

問題を発見した Pen Test Partners がマテルに連絡したところ、Chatter Telephone with Bluetooth は大人向けの製品であり、子供の使用は想定していないといった回答が返ってきたという。しかし、大人が飽きたら子供のおもちゃになる可能性が高く、自動応答による盗聴の問題は使用者が大人でも子供でも発生する。

子供のおもちゃによる盗聴の問題は何年も前に My Friend Cayla で発生している。Chatter Telephone の場合は受話器を上げたりスピーカーボタンを押したりしなければ電話がつながらないものの、十分に問題を回避できるとは考えられないとのこと。

15526036 story
アメリカ合衆国

米連邦政府のネットワークにバックドア見つかる 3

ストーリー by nagazou
バックドア 部門より
セキュリティ会社Avastの16日の報告によれば、米国連邦政府のある委員会のネットワークにバックドアがあり、内部ネットワークに侵入したと報告されたという。同社は数か月にわたって委員会側にこの問題を認識させるための連絡を試みたものの無反応であったようだ。Avastの発表では該当する連邦機関の名称は明らかにされていないものの、ArsTechnicaとThe Recordの記事によれば、米国際宗教自由委員会(USCIRF)ではないかとしている(AvastレポートArsTechnicaTheRecordwakatonoさんのツイート)。

バックドアはoci.dllという名前の通常のWindowsファイルを二つの悪意のあるファイルに置き換えることで実行されるらしい。Avastによれば、この攻撃の影響や攻撃者が行った具体的な行動に関する情報はないもののファイル分析の結果、攻撃者がすべてのローカルネットワークトラフィックを傍受しており、場合によっては侵入したと結論付けるのが妥当であるとしている。
15526085 story
お金

中国の「千人計画」参加のハーバード大教授に有罪。米連邦地裁 23

ストーリー by nagazou
有罪 部門より
中国政府の人材獲得政策「千人計画」への参加および関連で発生した収入に関して米政府側に申告しなかったとして米ハーバード大学の教授に対し、連邦陪審は21日、有罪の評決を下した。被告となったのはノーベル化学賞の候補としても知られるハーバード大学のチャールズ・リーバー教授(CNN朝日新聞産経新聞MIT Tech Review)。

同教授は千人計画に参加し中国の武漢理工大学(WUT)から給料として毎月5万ドル(約550万円)の報酬と、同大学にナノテクノロジーの研究所を設立する費用として150万ドルを受け取っていたがその事実を申告していなかった。同教授らの研究チームは米国立衛生研究所(NIH)と国防総省から1500万ドル(約17億円)あまりの研究費を受け取っていたため申告する義務が存在していたとしている。
15523848 story
アメリカ合衆国

ファーウェイ製品の禁輸措置は10年前の豪大手通信会社への侵入事件が発端? Bloomberg調査 58

ストーリー by nagazou
真実はどこに 部門より
あるAnonymous Coward 曰く、

米Bloombergが報じたところによれば、今から約10年前、オーストラリアの大手通信会社でファーウェイによるソフトウエアのアップデートに悪質なコードが組み込まれ、システムに侵入される事件が起こっていたという。この未公表事件については2012年に米国家安全保障局に情報共有がされていたといい、米政府の主張を裏付ける証拠の一端だとしている(Bloomberg)。

米元当局者らによると、この悪質なコードは感染した通信設備機器を再プログラミングし全ての通信を記録し中国にデータを送信。こうしたコード自体が数日後に抹消される仕組みだったという。提供された情報を元に米情報機関が確認したところ、米国でも同様の攻撃が確認されていたという。豪情報当局はファーウェイの技術者にスパイ活動への関与があったと結論付けている。

なお、ファーウェイが企業ぐるみでスパイ活動に協力していたという証拠は見つかっていないといい、中国の情報機関が末端の技術者を買収した可能性を示唆する記事の流れとなっている。

15523692 story
中国

中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 48

ストーリー by nagazou
締め付け 部門より
あるAnonymous Coward 曰く、

中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止したという(ロイターGIGAZINEWSJ)。

注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。

15522598 story
変なモノ

ConEmuのマルチバイト文字表示問題のスレッドでとんでもない画像がサンプルに 59

ストーリー by nagazou
これはやばいな 部門より
shadowfire 曰く、

ターミナルエミュレータConEmuではマルチバイト文字の表示が上手く出来ていないのだが、GitHubでその事について論じているスレッドの1つにとんでもない画像がサンプルとして上げられている(Github)。

内容についてはセンシティブ(笑)なため各自でご覧頂きたい。スレッドの参加者達は日本語が読めないため気にしていないのだろうが、日本人だとまずこの画像が気になってしょうがないところだ。

15522584 story
スラッシュバック

商品棚や床に意味深な表示をして防犯カメラを意識させ万引き被害を減らす取り組み 61

ストーリー by nagazou
見慣れちゃうとダメだろうな 部門より
心理的な誘導を用いて防犯対策を行う試みが愛知県警などで行われているという。愛知県警が導入したのは玄関ドアの鍵の掛け忘れを防ぐ「ただいまシュート」というもの。内鍵のつまみの上にバスケットボール、施錠時の横になる部分にゴールリングが描かれており、つまみをひねるとボールがゴールに入ったように見える仕組み。子どもたちが楽しみながら施錠を習慣化できるのだという(時事ドットコム)。

このほか、愛知県警常滑署が導入したものは、黒地に白文字で「万引き防止」「実験II」とだけ記された紙片を陳列棚などに掲示する方法。1000枚ほどを5カ月間掲示したところ、万引き被害額が前年同期に比べ約3割減少したとしている。こうした方法は仕掛学と呼ばれる心理的な誘導で無意識に人の行動変容を促す技術を用いたものだとしている。
15520502 story
お金

三井住友カード、落とし物トラッカーTileを内蔵したクレカを発行 42

ストーリー by nagazou
トラッカー 部門より
三井住友カードとSB C&Sは、探し物トラッカー機能「Tile」を搭載したVisaカード「三井住友カード Tile」を共同開発したと発表した。製品案内によるとTileのスマートトラッカー機能を搭載した世界初のクレジットカードであるという。12月16日から1500枚限定で予約を受け付けているとのこと(三井住友カード TileImpress WatchITmediaマイナビニュース)。

このクレカではTile機能を実現するためカード内部にバッテリーが搭載されており、フル充電すると最大で半年間ほど利用できる。バッテリーが切れていてもクレジットカードとしては利用できる。カードを紛失した場合、スマホからの操作でカードから音を鳴らすことができるほか、接続が切れた場所をスマートフォン上のアプリの地図で確認することも可能となっている。
15519657 story
Android

シャープ製のAndroid TVに公開停止されたradikoアプリがプリインストールされている? 86

ストーリー by nagazou
どうなんでしょう 部門より
あるAnonymous Coward 曰く、

シャープ製のAndroidTV搭載テレビには、非正規のradikoアプリがプリインストールされており、不具合の原因となっていたという記事がPC Watchに出ている。

問題のアプリは「Raziko」というradikoと誤認させるような名称の個人開発のアプリで、radiko側からの苦情によりGoogle Playストアでは数年前から新規のダウンロードはできない状態となっている(AndroidTVに対応した公式のradikoアプリは現時点ではリリースされていない模様)。

記事著者はテレビの電源が勝手に入ってしまうトラブルの原因を探す中で、「Raziko」アプリをアンインストールするようにというシャープのサポート文章を発見し、このアプリをシャープが製品にプリインストールしているとし、「シャープともあろう企業が一般家庭で使われるTVのような製品に、数年前に公開が停止されているアプリをプリインストールしていること」を「お粗末な状態」だと批判している。

しかしタレコミ子としては、同様の事例が他社のAndroidTV搭載機でも発生していることや、記事内でテレビのファクトリーリセットを試みた記述がないこと、シャープのサポート文章の末尾にも但し書きがあるが、テレビのセットアップ時に使用したGoogleアカウントに紐づいていた、ほかのデバイスで利用していたアプリが意図せずインストールされたなどの可能性も考えられることから、当該のアプリがシャープによって出荷時からプリインストールされていたと断言するにはいささか検証が不足していると思うのだが、いかがであろうか。

15519248 story
ワーム

脚の数が千を超えるヤスデ、初めて見つかる 47

ストーリー by headless
千足 部門より
千本を超える脚を持つヤスデが史上初めて発見されたそうだ (論文The Register の記事)。

ヤスデの英名は millipede (千足) だが、これまで知られていたヤスデは 750 本脚が最多だった。今回発見されたヤスデは記録を大幅に塗り替える 1,306 本脚。幅 0.95 mm、長さ 95.7 mmと非常に細長く、体は 330 の節に分かれているという。

これまでの記録保持者であり、米国・カリフォルニアで発見された Illacme plenipes はギボウシヤスデ目だが、真の千足ヤスデはジヤスデ目。オーストラリア・西オーストラリア州南東部、ゴールドフィールズ・エスペランスで鉱物探査のために掘られた穴の地下 60 m で発見され、 Eumillipes persephoneと名付けられた。

Eumillipes の「eu」はギリシャ語で「真の」、「milli (mille)」はラテン語で「千」、「pes」はラテン語で「足」を意味する。persephone は地下深くで発見されたことから、ギリシャ神話の冥界の女神ペルセポネにちなんだものとのことだ。
15519101 story
Sony

PS5 脱獄、最大の難関は本体の入手? 69

ストーリー by headless
難関 部門より
PlayStation の脱獄用エクスプロイトを開発するハッカーにとって、PS5 脱獄で最大の難関は本体を入手することのようだ (Ars Technica の記事The Verge の記事Znullptr 氏のツイート)。

今週リリースされた PS4 のエクスプロイトは WebKit の脆弱性を利用し、ある Web サイトを訪れることで USB メモリーからホームブルーソフトウェアを実行できるというもの。対応ファームウェアはバージョン 9.00まで。12 月 1 日リリースのバージョン 9.03 では対策されている。PS4 のファームウェアをダウングレードする方法は判明していないものの、リリースから日が浅いため現在店頭で入手可能な本体が未対策である可能性も高いという。

このエクスプロイト自体は PS5 にも影響するそうだが、リードデベロッパーが現在のところ PS5 を所有していないため、PS5 用のエクスプロイトが近くリリースされることはないとのことだ。
15518576 story
EFF

EFF、Chrome 拡張機能プラットフォームの Manifest V3 に対する批判を強める 32

ストーリー by headless
批判 部門より
Google が 1 月から Chrome ウェブストアで Manifest V2 拡張機能の新規登録を停止するのを前に、EFF は Chrome 拡張機能プラットフォームの Manifest V3 に対する批判を強めている (Deeplinks Blog の記事 [1][2]Neowin の記事The Register の記事)。

Google は信頼できる Chrome 拡張にするための対策の一つとして Manifest V3 を 2018 年に発表した。Manifest V3 ではコンテンツブロッキング用途での Web Request API 使用が非推奨となり、Declative Net Request API がブロッキング用に追加される。

しかし、Declative Net Request APIではChromeが拡張機能からブロッキングルールを受け取って処理するため、フィルタリングの自由度が低下するなどと批判されている。また、当初はルールの数が3万件に制限されており、広く使われているEasyListのルールだけでも制限を超えると批判を受け、15万件まで拡大されることになった。

GoogleはManifest V3によりプライバシーとセキュリティ、パフォーマンスが向上すると主張するが、EFFは同意しない。EFFによれば、Manifest V3でも悪意ある拡張機能の登場を防ぐことはできず、その一方でイノベーションを阻害し、拡張機能の能力を低下させるほか、現実的なパフォーマンスを阻害するという。

EFFはリモートでホストされるコードの禁止を正しい判断だと述べる一方、Manifest V3に組み入れなくてもポリシー変更で対応できると指摘している。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...