パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

15318660 story
犯罪

富士フイルム、不正アクセスによる外部への情報流出は見当たらなかったと発表 14

ストーリー by nagazou
続報 部門より
富士フイルムは14日、2日に発表した同社サーバへのランサムウェア攻撃による不正アクセスに関する続報を発表した。同社は特別対策チームを組んで調査を実施したが、これまでに完了した調査した結果では外部への情報流出の痕跡は認められなかったとしている。不正アクセスへの対策も実施したという。安全が確認されたサーバやPCに関しては順次復旧させていき、14日までに通常業務が行えるよう復旧したとしている(富士フイルムITmediaScanNetSecurity)。
15317320 story
お金

2020年、ビットコインで利益を得た国ランキング、1位アメリカ人、2位中国、3位は日本 25

ストーリー by nagazou
民間のPC性能に左右されてる気もする 部門より
ブロックチェーン分析サービス「Chainalysis」は7日、2020年にビットコイン(Bitcoin)で利益を得た25か国のランキングを発表した。このデータによると、米国人は昨年中に他のどの国よりもビットコインを利用していたという。暗号資産の価格が1万ドル未満から2万9000ドルにまで急騰した結果、米国人は41億ドルの利益を上げたとしている(ChainalysisNew York Post)。

続いて利益を上げていたのは中国で11億ドル。3位には意外なことに日本で9億ドルの収益を上げていたという。4位は英国(0.8億ドル)、5位はロシア(0.6億ドル)、以下ドイツ、フランス、スペイン、韓国、ウクライナと続く。

Chainalysisの分析では、従来の経済指標でのランキングと比較すると、低中所得国のランキング入りが目立つという。ベトナムが好例でChainalysisが行っている告別の暗号資産の導入率を示すGlobal Cryptocurrency Adoption Index[PDF]でベトナムは10位に付けている。ベトナムは2020年のビットコインの投資利益で13位となる3億5100万ドルの収益を上げた。オーストラリア、サウジアラビア、ベルギーなどの伝統的な経済指標を持つ国を上回っている。同様の傾向はそのほかの低中所得国でも見られるとのこと。
15317143 story
Windows

Windows 11がオンラインにリーク 107

ストーリー by nagazou
イレブン 部門より
headless 曰く、

次世代Windowsとされる「Windows 11」がオンラインにリークしている(The Vergeの記事Windows Centralの記事[1][2]Baiduフォーラムの投稿)。

Windows 11は当初Baiduのフォーラムでスクリーンショットが共有され、その後ISOイメージも出回った。リークしたバージョンはWindows Insider ProgramのDevチャネルを示すバージョン「Dev」となっており、バージョン情報にははっきりと「Windows 11」と表示される。現在、DevチャネルのWindows 10 Insider Previewはビルド21390.2025なのに対し、リークしたWindows 11はビルド21996.1。ブランチはビルド21390.2025と同じCO_RELEASEとなっている。

Windows 11の外見は5月に計画中止が発表されたWindows 10Xと共通点が多く、センタリングされたタスクバーやスタートメニュー、再び角丸になったウィンドウが目立つ。スタートメニューはフローティング表示となり、ライブタイルは廃止された。「ニュースと関心事項」を置き換えるようにウィジェットが追加されている。

Microsoftは24日のデジタルイベントでWindows 11を発表するとみられている。The VergeやWindows Centralは今回のISOイメージが本物だと確認したとのことだ。

15315965 story
インターネット

公職選挙などで本格的なネット投票の準備を進める法案提出、ブロックチェーン技術で改ざん防止 74

ストーリー by nagazou
投票する側の意識も含めまだ無理がありそうな 部門より
立憲民主党は11日、「インターネット投票の導入の推進に関する法律案」を衆議院へ提出した。具体的なネット投票の準備を進める法案の提出はこれが初めてだとしている(立憲民主党リリース日経クロステックCoinPost)。

リリースではコロナ禍のような状況であっても、参政権を確保することが重要だとし、投票所及び開票所にて人々が集まることで、集団感染リスクを助長しかねないことから、インターネット投票の導入を推進する法律案を作成したとしている。

報道によれば、電子署名など本人認証の導入や罰則制度、外部干渉を受けた場合のやり直しの仕組み、紙での投票が優先される仕組み、ブロックチェーン技術などを用いた改竄防止、選挙公示・告示の翌日から投票日前日までの24時間投票を可能にするといった内容が提示されている。
15314252 story
情報漏洩

Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 35

ストーリー by headless
入口 部門より
先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事HackReadの記事Neowinの記事SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。
15313234 story
Chrome

Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ 42

ストーリー by headless
無意味 部門より
Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393Ghacksの記事Android Policeの記事9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。
15313225 story
セキュリティ

Linuxでプロセスの権限を設定するpolkit、7年以上前から存在した特権昇格の脆弱性が見つかる 38

ストーリー by headless
時間差 部門より
多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事The Registerの記事Computingの記事CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。
15309184 story
アメリカ合衆国

ジョー・バイデン米大統領、WeChatやTikTokなどを国家安全保障上の脅威と位置付ける前政権時代の大統領令3件を取り消し 26

ストーリー by nagazou
取り消し 部門より
headless 曰く、

米国のジョー・バイデン大統領は9日、米国人のセンシティブ情報を外国の敵から保護するための大統領令に署名した(大統領令ファクトシート)。

この大統領令は2019年にドナルド・トランプ大統領(当時)が署名した情報通信技術とサービスのサプライチェーンの安全を保つための大統領令13873を踏襲するもので、米政府や企業の機密情報や米市民のセンシティブ情報を扱うアプリケーションと外国の敵との結び付きをリスクベースで分析するよう監督官庁に命じている。

一方、中国のソフトウェア計10本を国家安全保障上の脅威と位置付けるトランプ大統領時代の大統領令3件は、本大統領令で取り消される。具体的には昨年8月に署名されたTikTokが対象の大統領令13942とWeChatが対象の大統領令13943、トランプ大統領退任直前の今年1月に署名された大統領令13971の3件。大統領令13971で対象となるソフトウェアはAlipayとCamScanner、QQ Wallet、SHAREit、Tencent QQ、VMate、WeChat Pay、WPS Officeの計8本だ。

15308129 story
犯罪

豪連邦警察、FBIが運営する組織犯罪専用暗号化通信アプリで犯罪組織を摘発 39

ストーリー by nagazou
日本でやったら法に引っかかりそう 部門より
headless 曰く、

オーストラリア連邦警察(AFP)は8日、組織犯罪限定で用いられる暗号化通信を読み取る特別作戦「Operation Ironside」により、224人を逮捕したと発表した(メディアリリースThe Registerの記事Neowinの記事BBC Newsの記事)。

Operation Ironsideは米連邦捜査局(FBI)との協力により3年前から行われていたという。AFPとFBIは犯罪組織が用いる暗号化通信プラットフォームを共同で摘発しており、その過程でFBIは「AN0M」と呼ばれる暗号化通信アプリを入手してひそかに運営を始めたそうだ。

AN0Mは機能を制限した携帯電話にインストールして闇市場で取引されており、摘発により競合の暗号化通信プラットフォームが減少する中、犯罪者の間で人気を博していた。しかし、犯罪者はAFPをポケットに入れているのも同然であり、AFPは2018年以降、3.7トンの麻薬や4,493万豪ドルの現金などを押収しているとのことだ。

15307078 story
お金

アップルにiPhoneを修理に出した女性、裸の写真とセックス動画を自分のSNSに投稿される 97

ストーリー by nagazou
とんでもないことが起きてた 部門より
The Telegraphの報道によると、米国オレゴン州に住む当時10代の女子大生が2016年に、Appleに自分のiPhoneの修理を依頼したところ、修理業者の手によって中にあった写真と動画が勝手に取り出され、しかも彼女本人が投稿したかのようにFacebookアカウントに投稿されたという事件が起きていたという(The Telegraphクーリエ・ジャポンАфиша Dailydetikcom)。

その後の経緯はタレコミにあるとおりで、最終的にAppleが数百万ドルの補償金を支払ったとしている。Appleが彼女に最終的に支払った金額自体は不明だが、報道によれば彼女の弁護士は500万米ドルを要求していたとのこと。Appleはこの事件のあと、セキュリティシステムを強化し、同様のリーク事件が再発しないよう対策を取ったとしている。

tamaco 曰く、

2016年アップルにiPhoneの修理に出した女子大学生、アップル公認の修理業者により、彼女のフェイスブックアカウントから、まるで彼女自身がアップしたと思われるような形で勝手に「さまざまな段階の脱衣姿の写真10枚とセックスビデオ」を投稿した。

友人から彼女に連絡が入り、これらの画像はすぐに削除された。
事件をおこした修理業者の技術者2人はすぐに解雇され、より監視体制を厳格にした

この事件による「深刻な精神的苦痛」の慰謝料として、アップルが女子学生に数百万ドルを支払ったと英紙「デイリー・テレグラフ」が報じている。

iPhoneのロックはFBIでも解除困難と聞いていたので、修理に出す前にはロックするようにしている。しかしまさか修理業者が端末のデータに簡単にアクセスできるなんて想定外だし怖い話ではある。

情報元へのリンク

15307095 story
アメリカ合衆国

米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 18

ストーリー by nagazou
沈黙の奪還 部門より
5月にサイバー攻撃を受けて操業停止に追い込まれた米パイプライン最大手コロニアル・パイプライン。ロシアに拠点を置くハッカー集団「Darkside」に身代金を支払っていたことも発表されていたが、その身代金のうち2億5000万円相当をFBIが回収することに成功したそうだ(米司法省AFPBB NewsNHKCNNBBCニューズウィーク日本版)。

米司法省が7日に発表したもので、支払われた75ビットコイン(当時の相場で440万ドル相当)のうち、FBIが63.7ビットコインを押収したとしている。この回収は最近になって新設された「ランサムウェア&デジタル恐喝タスクフォース」によって行われ、暗号通貨ウォレットへの支払いを追跡、回収に成功したとしている。

あるAnonymous Coward 曰く、

金額を見ると半分ぐらいじゃんと思ったら、ビットコインが急落した影響でそう見えるだけで、75ビットコインのうち63.7ビットコインが奪還されたそうだ。

情報元へのリンク

15307115 story
お金

メルぺイが一部加盟店で利用制限へ。フィッシングメール急増のため 11

ストーリー by nagazou
制限 部門より
メルカリは8日、同社の決済サービス「メルペイ」に関して、一部加盟店での利用制限を行うと発表した。リリースによれば、メルカリを装った不審なメール・SMSが急増しており、ユーザーのメルペイアカウントにログインされ、不正利用される事例が発覚したためであるという。現時点で再開時期は未定だとしている。利用制限となる店名や被害の件数については公開されていないとのこと(メルカリITmedia)。
15307005 story
お金

ノートン360にイーサリアムのマイニング機能「Norton Crypto」が追加へ 31

ストーリー by nagazou
追加 部門より
NortonLifeLock(旧:Symantec)は2日、同社のウイルス対策ソフトウェア「ノートン360」に専用の暗号資産マイニング機能「Norton Crypto」を追加したと発表した。このNorton Cryptoでは、暗号資産Ethereum(イーサリアム)を、PCがアイドル状態のときに自動的に採掘する機能が利用できる。新機能は今後数週間のうちにユーザーに提供される予定だという(Business WireTechCrunchZDNet)。

マイニングソフトの中には利用時にウイルス対策ソリューションを無効にすることを求められることがある。しかし無効化した状態でマイニングした場合、精査されていないコードがシステム内に侵入し、せっかく掘り出したコインの窃盗や消失につながる可能性がある。Norton Cryptoでは、ウイルス対策と暗号資産のマイニングを両立させることができる上、クラウドベースのウォレット「Norton Crypto Wallet」に転送する機能も備えているとしている。
15307059 story
情報漏洩

ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 24

ストーリー by nagazou
40万人分の流出を隠し通そうってのは 部門より
自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという(プレスリリース, ITmedia)。

ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。

ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。

あるAnonymous Coward 曰く、

金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

15305185 story
アメリカ合衆国

米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 9

ストーリー by nagazou
ランサムテロ 部門より
headless 曰く、

米国のリサ・モナコ司法副長官がすべての連邦検事に対し、ランサムウェアとデジタル恐喝対策強化のためのガイダンスを3日付で発行している(ガイダンス: PDFReutersの記事The Guardianの記事Ars Technicaの記事)。

ガイダンスの目的は内外を問わず各地で発生しているランサムウェア・デジタル恐喝に対する情報を中央に集約し、捜査の調整を可能にすることだ。ランサムウェアやデジタル恐喝スキームでしばしば使われるカウンターアンチウイルスサービスやオンラインフォーラム・マーケットプレース、暗号通貨取引所、防弾ホスティングサービス、ボットネット、オンライン資金洗浄サービスなども対象としている。

連邦地方検事補など関連事件の捜査に割り当てられた担当者は大きな進展があるたび、司法省のコンピューター犯罪および知的財産セクション(CCIPS)と連邦検事事務局の国家安全保障およびサイバー犯罪コーディネーターへの報告が求められる。CCIPSは個別に捜査されている事件が関連すると判明した場合に各当局間の調整などの役割も担う。

これにより、ランサムウェア・デジタル恐喝対策をテロ対策と同様の優先度で行うようになるとのことだ。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...