パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

15407949 story
スラッシュバック

Apple、デバイス上での児童性的虐待素材スキャンなどの計画を延期 22

ストーリー by headless
延期 部門より
Appleは 3 日、子供を性的虐待から守る取り組みの強化計画を延期すると発表した(Apple - Child SafetyThe Guardian の記事The Verge の記事9to5Mac の記事)。

Apple が 8 月初めに発表した計画では、子供が「メッセージ」アプリで性的に露骨な写真を送受信しようとすると警告したり、iCloud 写真へ写真を保存する際に既知の CSAM 画像のハッシュと照合したりといった児童性的虐待素材 (CSAM) の拡散防止を取り組みの中心としていた。

写真のスキャンはデバイス上で行われるが、誤検知や悪用を懸念する声が数多く出ている。そのため Apple では今後数か月かけ、子供を守るための非常に重要な機能をリリースする前にさらなる情報収集と改善を行うとのことだ。
15407374 story
セキュリティ

CISA、単一要素認証をサイバーセキュリティの「バッドプラクティス」リストに追加 43

ストーリー by headless
単一 部門より
headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

  1. サポートされないソフトウェアの使用
  2. 既知/固定/デフォルトパスワードの使用
  3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

15405553 story
アナウンス

ゆうちょ銀行、クラウド保存したパスワードを第三者が盗み取る事例増加から注意喚起へ 30

ストーリー by nagazou
注意 部門より
ゆうちょ銀行は8月27日、クラウドサービスを利用したメモアプリ上の暗証番号等を盗み取る手口の犯罪が多発していることから、注意喚起を促すリリースを出した(ゆうちょ銀行)。

クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。
15404301 story
Windows

Microsoft、Windows 11 上の Windows Insider Program から非対応環境の締め出しを開始 41

ストーリー by nagazou
最小ハードウェア要件を満たしていません 部門より
headless 曰く、

Microsoft が Windows 11 上の Windows Insider Program から Windows 11 のハードウェア要件を満たさない非対応環境の締め出しを開始したようだ (The Verge の記事Neowin の記事Ars Technica の記事Windows Central の記事)。

Dev チャネルで Windows 11 Insider Preview をインストールしていた非対応環境では「設定 → Windows Update → Windows Insider Program」に「ハードウェア要件を満たさないのでWindows 11 上でWindows Insider Programに参加できない。Windows 10をインストールしてリリースプレビューチャネルのWindows Insider Programに参加するように」といった趣旨のメッセージが表示され、Windows Insider Programを有効にしていない状態となる。

一方、リリースプレビューチャネルを選択していた (本来は選択できないはずだが一時選択可能だった) 非対応環境では「お使いの PC は、Windows 11 の最小ハードウェア要件を満たしていません。チャネル オプションは制限されます。」と表示され、リリースプレビューチャネルのままになる。

ただし、現在のところ Windows 11 Insider Preview をインストールした環境では、Windows Insider Programに参加していない場合や、(まだビルドが提供されていないはずの) リリースプレビューチャネルを選択している場合でも、新しいビルド (累積更新プログラム) は提供されている。いつまで提供されるだろうか。

15403150 story
情報漏洩

ProjectWEB不正アクセスで中国系ハッカー関与の疑い。暴露サイトに新たなデータ掲載との報道も 11

ストーリー by nagazou
疑惑 部門より
以前話題となった富士通の情報流出に関する報道が複数行われている。朝日新聞の記事によれば、ProjectWEBにアクセスしたハッカーが東京五輪や原発に関する情報を検索した履歴があることが判明したという。犯行を行った人物等が政府や重要インフラのネットワークに侵入する狙いがあった可能性があるとしている。この人物が中国系ではないかともしている(朝日新聞その1朝日新聞その2)。

これとは別に、日経クロステックの記事によれば、富士通から流出したとみられるデータが暴露サイトに複数掲載されていることが分かったという。25日ごろから流出情報が掲載されたとしており、圧縮ファイルサイズで4GBほどあったという。データベース設計書などのシステム関連データが含まれており、東レなどの名前が含まれていたとのこと。流出経路などは分かっていない。東レ広報からは回答はなかった模様。ただし、富士通側は証拠はなく関連ないものと考えていると回答しているとのこと(日経クロステック)。
15400335 story
サイエンス

冷蔵庫の製氷機にミネラルウォーターをいれると雑菌が繁殖するリスク 59

ストーリー by nagazou
水道水が無難 部門より
冷蔵庫の製氷用のタンクに入れる水は水道水以外はダメというある話があるそうだ。そこでウェザーニュースが浄水器開発メーカーのイーテックに確認したそうだ。イーテックによると、以前は製氷機のタンクに入れる水は水道水以外はNGのものがあったのは事実だそうだ。理由としては、ミネラルウォーターや井戸水などの消毒されていない水を使用した場合、メンテナンスできないパイプなどに雑菌が繁殖する可能性があったためだという(ウェザーニュース)。

しかし最近の冷蔵庫では、給水タンクや浄水フィルタを掃除できるようになっていることから、きちんとメンテナンスできるのであれば、ミネラルウォーター使用可能な製品もあるようだ。ただし、浄水器の水はOKなものの、水の硬度が高すぎるミネラルウォーターはNGという場合もあるとしている。なお清掃可能な製品の場合でも、清掃時には水道水と布巾を使用、タワシや研磨スポンジの使用はしないように求めている。なおガンコな汚れのときは中性洗剤を使用すべしとのこと。
15400292 story
テクノロジー

JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 189

ストーリー by nagazou
これはさすがにまずいんでは 部門より
あるAnonymous Coward 曰く、

読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。

4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?

15399756 story
Windows

Microsoft 曰く、非サポート CPU でも Windows 11 はインストール可能だが、更新プログラムが提供されるとは限らない 80

ストーリー by headless
可能 部門より
比較的新しい世代の CPU のみをサポートする Windows 11 だが、Microsoft は ISO ファイルを使用すれば非サポート CPU にもインストールできると述べる一方で、このような環境にはセキュリティパッチやドライバーを含む更新プログラムが提供されない可能性があると述べているそうだ (The Verge の記事 [1][2][3]The Register の記事Windows Cental の記事)。

Microsoft が Windows 11 正式発表時に公開したシステム要件では Intel の Kaby Lake Refresh (第8世代) 以降および AMD の 第1世代 Zen の一部と Zen+ 以降のみがサポートされ、5 年前の CPU がサポート外となる事態が衝撃を与えた。リストは 8 月 27 日に更新されたが(AMDIntel)、追加された CPU の大半は新しいものであり、古い CPU で追加されたのは Intel の Kaby Lake (第7世代) Core プロセッサーの一部とSkylake (第6世代) のXeon W プロセッサーにとどまる。AMD の第 1 世代 Zen の追加も検討したが見送ったとのこと。

Windows Insider 向けの提供が 8 月 27 日に再開された「PC正常性チェック」アプリでは、Windows 11 の互換性チェックで CPU のサポート状況も確認できるようになっているが、Windows 11 Insider Preview を ISO イメージでインストールする場合に CPU のチェックは行われていないようだ。Windows 7 ~ 10 でサポートされる CPU のリストでも Intel は Broadwell (第5世代) 以降のみが掲載されており、Windows セットアップが CPU をチェックしているとは思えない。

Microsoft は Windows 11 の要件を満たす PC を使用するメリットとして、信頼性とセキュリティ、互換性の向上を挙げている。その一方で要件を満たさない PC にもインストール可能だと明言し、セキュリティ更新プログラムを提供しないというのもちぐはぐな気がする。Windows 7 / 8.1 を実行する Skylake 搭載 PC は特定メーカー製品を除いて Windows Update が利用できないという話もあったが、実際にはどうだったのだろうか。
15399504 story
iOS

App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 24

ストーリー by headless
年齢 部門より
Apple の App Store の抜け穴が子供を危険にさらすと Tech Transparency Project (TTP) が指摘している (TTP の記事Mac Rumors の記事The Guardian の記事)。

TTP では年齢を 14 歳に設定した架空のユーザーの Apple ID を作成し、App Store で「17+」にレーティングされているアプリ 75 本のインストールを試みた。しかし、アプリのインストールが年齢制限でブロックされることはなく、17 歳以上であることの確認ダイアログで「OK」をタップすれば 14 歳でもインストールできてしまったとのこと。

また、Apple ID でのユーザー登録に対応した 37 本のアダルトアプリでは、14 歳の Apple ID でも問題なく登録できてしまったという。初回起動時に年齢確認しないアダルトアプリも多く、いきなりポルノコンテンツが表示されるものもあったそうだ。一方、Facebook アカウントでのユーザー登録に対応した 31 本のアダルトアプリでは、14 歳のFacebookユーザーによる登録は 21 本でブロックされたという。ブロックされなかった 10 本のうち 7 本はアプリ側でブロックされたが、うち 6 本は年齢の再設定が可能だったようだ。

ギャンブルアプリでは法的な問題もあって年齢チェックが厳しくなるが、中には 14 歳の架空のユーザーにプレイや出入金を許可するものがあり、14 歳の架空のユーザーが使用する年齢制限のないアプリに 17+ のカジノアプリの広告が表示されるところも数回確認したとのこと。

Apple はこの調査結果について、ペアレンタルコントロールにより子供がダウンロード可能なアプリを制限できると Mac Romors に述べている。しかし、TTP は今回の調査でペアレンタルコントロールを有効にしていない。TTP ではペアレンタルコントロールを利用する保護者が少ないという 2016 年発表の米調査2018 年の英調査を (有効化しなかった理由として) 挙げているが、AppleがiOSのペアレンタルコントロール機能「Screen Time」を発表したのは 2018 年のことだ。
15396212 story
日本

高木浩光氏、日本版ePrivacy立法を目指すのであれば、通信の秘密の概念そのものを見直すべき 53

ストーリー by nagazou
指摘 部門より
おなじみの高木浩光氏が、総務省がパプコメを募集していた「プラットフォームサービスに関する研究会 中間とりまとめ(案)[PDF]」(以下中間とりまとめ案)についての意見を上げている。中間とりまとめ案では、インターネット上の誹謗中傷への対応を念頭、インターネット上の違法有害情報への対応や利用者情報の取扱いに関して意見公募を行ったもの(高木浩光@自宅の日記)。

同氏によれば、現時点のとりまとめ案はEUで今年合意されたeプライバシー規則(案)を参考にして作られている部分があるという。日本の現行案が参考にしているのは、Cookie規制など表面的な扱いに参考にしただけだと指摘している。同氏は日本版ePrivacy立法を目指すのであれば、通信の秘密には機械的処理によって介入されることがあるといった部分を明確にするなど「通信の秘密」概念の再構成まで含めて検討するべきだと指摘している。
15396063 story
プライバシ

Microsoft Power Apps で個人情報を含む計 3,800 万件のレコードが流出、その原因は仕様? 21

ストーリー by nagazou
しようがない 部門より
headless 曰く、

Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事The Verge の記事The Register の記事)。

Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。

個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。

UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。

Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

15394757 story
ワーム

愛知県でエキノコックス定着か 40

ストーリー by nagazou
早めに手を打っていただきたいところ 部門より
愛知県の知多半島周辺でエキノコックス症の原因となる多包条虫の検出が複数見つかっている。多包条虫はイヌやキツネに寄生することから、北海道近辺での発見例が多く、これまで本州での発見例はごく少数だった。愛知県衛生研究所の記事によれば、愛知県での初めての検出は2014年3月とされ、それ以降の2017年から2021年にかけて8例の感染例が分かっているそうだ(まとめまとめ愛知県衛生研究所)。

このことに関連したツイートをしているnakanetakashiさんによれば、エキノコックスは 多包条虫のイヌ・キツネ体内での寿命は半年以内。しかし、中間宿主である野ねずみなどのげっ歯類の体内では長期に生存することができるという。同氏は知多半島で複数の感染例が長期に渡り見つかっていることから、同地域に住むげっ歯類の間で感染環が成立している恐れがあると指摘する。調査や薬剤散布などの対策をする必要があるほか、飼い犬の放し飼いや拾い食いに注意するよう警告している。
15391866 story
入力デバイス

Razer のマウスドライバー、インストーラーにローカルでの特権昇格の脆弱性 25

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

Razerのゲーミングマウスやドングルで、ドライバーインストーラーに存在するローカルでの特権昇格の脆弱性が公表された(発見者のツイートNeowin の記事BetaNews の記事Windows Central の記事)。

この問題は、インストール先を選択するフォルダーピッカーから Windows PowerShell が起動できるというもの。インストーラーは SYSTEM の権限で実行されるため、ピッカーから起動した PowerShell も SYSTEM 権限となる。

つまり、標準ユーザーの権限でログインしている攻撃者が SYSTEM 権限を得るには、Razer のマウスやドングルを接続すればいい。Windows Update が自動でドライバーをダウンロードして SYSTEM 権限でインストーラーを実行してくれる。

また、「デスクトップ」などユーザーが自由に変更できるフォルダーをインストール先に指定すれば、サービスバイナリのハイジャックも可能だ。いずれも物理的なアクセスが必要となるが悪用は容易だ。

発見者の Jon Hat 氏は Razer に連絡したものの、反応がなかったため脆弱性を公表することにしたという。公表後に Razer から連絡があり、修正を進めていると伝えられたとのことだ。

15390760 story
Android

偽の暗号通貨採掘アプリ、Google Playに多数存在か 12

ストーリー by nagazou
見つけきれない 部門より
headless 曰く、

Google Play で見つかった偽の暗号通貨採掘アプリ 8 本について、発見した Trend Micro が解説している (Trend Micro のブログ記事Softpedia の記事)。

偽アプリはクラウド上での暗号通貨採掘をうたい、演算能力強化への貢献に応じて暗号通貨を提供するなどとしてユーザーに広告をクリックさせたり、サブスクリプション登録させたりする。アプリ自体が有料のものもあったという。

しかし、実際の暗号通貨採掘機能が搭載されているわけではなく、乱数とカウンターを使用して採掘が行われているかのように表示するだけだ。中には利用規約にゲーム/シミュレーションだと記載しているものもあったそうだ。画面上では暗号通貨がたまっていくようにみえるが、もちろん引き出すことはできない。友人に同アプリをインストールさせるなど、引き出し機能の有効化に必要とされる操作を実行しても有効化されることはない。

既に 8 本すべてが Google Play から削除されているが、Google Play で「cloud mining」を検索すると多数の怪しいアプリがヒットする。Trend Micro では偽アプリの見分け方として、低評価レビューに注目することや、無効な暗号通貨ワレットアドレスを入力してみること (何でも受け付けるなら偽物)、採掘処理中にアプリや端末を再起動してみること (カウンターがリセットされるなら偽物)、引き出し料金が設定されているかどうか確認すること (引き出し無料なら偽物) を挙げている。ただし、本物を見分けることは困難だと思われる。

15390764 story
プライバシ

米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 8

ストーリー by nagazou
DHS:ちゃんと読んでね 部門より
headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は 19 日、ランサムウェア攻撃からセンシティブ情報と個人情報を守るための対策に関するファクトシートを公開した(CISA のツイートファクトシート: PDFSoftpedia の記事)。

対策は「ランサムウェア攻撃に対する防御」「センシティブ情報と個人情報の保護」「ランサムウェア被害発生時の対応」に大きく分けられている。防御としてはバックアップ作成と維持、サイバー攻撃対応計画の確立、インターネット側からの攻撃の入り口となる脆弱性や誤設定への対策、フィッシングメールのブロックとトレーニング、サイバー衛生の実践といったものが挙げられている。

情報保護としては、どのような情報が保存され、誰がアクセスできるかの把握と物理的セキュリティ・サイバーセキュリティのベストプラクティス適用、サイバー攻撃対応計画にデータ侵害対策を含めることといったものだ。

ランサムウェア被害が発生した場合の対応としては、影響を受けたシステムの特定と隔離、隔離できない場合に限って影響を受けたデバイスの電源を切るなどの被害拡大を防ぐ対策や、情報の収集、影響を受けた人・団体への通知、CISA を含む当局への報告などが挙げられている。なお、CISA ではランサムウェア被害発生時にデータ復元のための身代金を支払うことは推奨していない。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...