パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

15414895 story
プライバシ

暗号メールサービス ProtonMail、IP アドレスのログを保存しないとの記述を公式サイトトップページから削除 14

ストーリー by headless
記録 部門より
暗号メールサービス ProtonMail では匿名性の高さをセールスポイントの一つにしており、IP アドレスのログを保存しないと説明していたが、これらの記述が公式サイトトップページから最近削除された (ProtonMail のブログ記事6日時点のInternet Archive スナップショットThe Register の記事HackRead の記事)。

ProtonMailは先日、フランスで逮捕されたYouth for Climateの環境活動家のIPアドレスなどの情報を警察に渡していたとして批判を浴びた。

スイスにサーバーを置き、スイスの厳しい個人情報保護法でプライバシーが守られるとする ProtonMail だが、スイス当局が犯罪捜査のために情報提出を命じた場合は異議を申し立てる余地がなく、従うしかないのだという。ProtonMail は外国政府に情報を渡すことはないと説明しているが、この件ではフランス警察がユーロポールを通じてスイス当局に依頼したものだそうだ。

ProtonMail はユーザーの IP アドレスをデフォルトで記録しないが、当局から命じられれば記録して提出する必要がある。そのため ProtonMail は IP アドレスのログを記録しないことを含め、サービス自体の匿名性が高いという記述を削除する一方で、匿名性を重視する場合は ProtonMail と Tor を組み合わせて使用するべきだと述べている。

なお、現在のスイスの法律では電子メールと VPN は異なる扱いになるため、ProtonVPN がユーザーデータの記録を強制されることはないという。また、ProtonMail はその厳しいプライバシーにより、捜査対象が環境活動家であることも知らなかったとのことだ。
15413489 story
インターネット

Microsoft Outlookがアドレス帳に登録された正規ドメインと似た字形の文字を使ったフィッシングドメインを区別しないという報告 40

ストーリー by nagazou
差別も区別もしないYO 部門より
headless 曰く、

Microsoft Outlook が IDN ホモグラフ攻撃によるフィッシングドメインを正規ドメインと区別しないという 2 件の報告が相次いで公開されている (報告 1報告 2Ars Technica の記事Windows Central の記事)。

IDN ホモグラフ攻撃は国際化ドメイン名 (IDN) で利用可能な ASCII 外の文字でラテン文字と似た字形の文字をドメイン名に用い、(なりすましの対象となる) 正規ドメインに偽装するものだ。フォントによっては全く同じ字形で表示されるため、人の目で識別することは困難なこともある。ただし、ソフトウェアが騙されることはないと考えられていた。

しかし 2 件の報告によれば、Outlook ではホモグラフ攻撃によるフィッシングドメインからの電子メールを受信した場合かつ、その正規ドメインで同じユーザー名の連絡先がアドレス帳に登録されている場合、フィッシングメールを既知の正規ドメインから送られたものとして表示するのだという。つまり、アドレス帳に登録されている連絡先の写真などがフィッシングメールに表示されることになる。

Microsoftはいずれの報告に対しても「なりすましが発生する可能性があるにしてもデジタル署名なしに送信者を信頼することはできない」「修正を行えば別の問題を引き起こす可能性が高い」などとし、修正は行わないと回答したという。ただし、8 月 24 日の時点で最新版の Outlook バージョン 16.0.14228.20216 では問題が発生しなくなっていたようだが、Microsoft は修正の有無を回答しなかったとのことだ。

15412075 story
バグ

着陸直後のエアバス A330 型機でフライトコントロールコンピューターが 3 台すべて停止したトラブル、最終報告書が公開される 66

ストーリー by nagazou
公開 部門より
headless 曰く、

昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース報告書: PDFThe Register の記事The Aviation Herald の記事)。

このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。

FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

15410692 story
EU

ドイツ政府がスマートフォンメーカーに 7 年間のサポートを義務付ける計画との報道 82

ストーリー by nagazou
新陳代謝に影響でそう 部門より
headless 曰く、

ドイツ政府は現在欧州委員会が検討しているスマートフォン・タブレットメーカーに対するサポート期間義務付けについて、より長い期間を設定すべく交渉しているそうだ (heise online の記事Android Police の記事The Next Web の記事9to5Google の記事)。

欧州委員会の計画はスマートフォン・タブレットメーカーに 5 年間のセキュリティアップデート提供を義務付け、修理用部品はスマートフォンで 5 年間、タブレットで 6 年間の提供を義務付けるというものだという。一方、ドイツ政府は 7 年間のセキュリティアップデートおよび修理用部品の提供義務付けを求めている。また、欧州委員会案では 5 営業日以内の修理用部品配送を義務付けるが、ドイツ政府ではさらに短くしたいとのこと。

これに対し Apple や Samsung、Huawei などが加盟するテクノロジー企業の業界団体 DigitalEurope では、2 年間の機能アップデートと 3 年間のセキュリティアップデートで十分ではないかとの見方を示しているそうだ。修理用部品についても、ディスプレイとバッテリーのみの義務付けにすべきだという。また、欧州委員会案ではユーザーが交換できない内蔵バッテリーについて、1,000 回の充電サイクル後に新品の 80 % の容量が維持されるよう義務付ける計画だが、DigitalEurope では移行期間は 800 回とするよう提案しているとのことだ。

15409631 story
テクノロジー

みずほリサーチ&テクノロジーズ、受託先のシステム文書消失が判明 37

ストーリー by nagazou
消失 部門より
みずほリサーチ&テクノロジーズ(MHRT)が2016年に起きたシステム障害が原因で、受託先から預かったシステム開発に関連するデータを喪失していたことが分かった。MHRTはみずほフィナンシャルグループ(FG)の子会社でシステムの運用管理を業務にしている(日経新聞)。

日経新聞の報道によれば、受託先の日本カストディ銀行から預かっていた「要件定義書」と呼ばれる文書の電子データを、5年前にMHRTで発生した障害が原因となって喪失していたという。このときも先日のみずほ銀行のシステム障害のようにバックアップも機能しなかったとしている。

この問題は、日本カストディ銀行からの指摘で発覚し、MHRT側で調査していたという。その結果、MHRTは消失を認め、データの完全復旧はできないと判断した模様。日本カストディ銀行側は金融庁に報告したとのこと。
15409587 story
アニメ・マンガ

KADOKAWAの小説投稿サイト「カクヨム」を模倣したフィッシングサイト 16

ストーリー by nagazou
こんなジャンルまで 部門より
KADOKAWAのは9月3日、小説投稿サイト「カクヨム」の偽者が登場しているそうだ。ユーザーのアカウントやパスワードを盗み出すことが目的とみられている。この偽サイト上では、一部の作品がコピーされて掲載されているほか、外観上はかなりそっくりに作られている模様。ただし、作者名などを削除された形で表示されるような変更が行われているとされる(カクヨムからのお知らせ(3日)同6日リリースITmedia)。

KADOKAWA側は関連して3日と6日に分けてリリースを公開している。3日のリリースによれば、コピーサイトが使用していたとみられるIPアドレスからのアクセスを遮断したほか、ホスティング企業に対し、削除要請の手続きを行っているとしている。6日のリリースでは、マルウェアやコンピューターウィルスに感染可能性があるといったコピーサイトにアクセスした場合の問題点などをまとめている。
15408573 story
セキュリティ

USB Type-C コネクターのシェルに Wi-Fi やペイロード実行機能を実現するチップを組み込んだケーブル 36

ストーリー by nagazou
別のケーブルでも似た構想があったような 部門より
headless 曰く、

Wi-Fi ホットスポットや Web サーバー、ペイロード実行機能などを実現するチップを組み込んだ USB ケーブル「O.MG Cable」に USB Type-C 版が登場した (Motherboard の記事Mac Rumors の記事)。

このケーブルは USB Type-C コネクターのシェル内にチップが組み込まれているが大きさは通常のケーブルと変わらず、通常のケーブルとしても動作する。USB Type-C - Type-C 版 (C-to-C) と USB Type-C - Lightning 版の 2 種類があり、C-to-C では 一方のコネクター (シェルに USB ロゴ入り) にのみチップが組み込まれている。チップの組み込まれた側をホストに接続すると稼働を開始し、Ducky Script によるキーストローク送信などを実行できる。

内蔵機能の動作は Wi-Fi 接続によりリモートからコントロールできるほか、ジオフェンシングにより特定の場所以外で動作を停止させることも可能だ。また、ケーブル外付けタイプのキーボードとホストの接続に使用することで最大 65 万キーストロークを記録可能なキーロガーエディションも用意されている。価格は通常版が 139.99 ドル、キーロガーエディションが 179.99 ドル、USB Type-A / Type-C に対応するプログラマーが 24.99 ドルとなっている。

USB Type-A 版は既に発売されていたが、USB Type-C コネクターはチップを組み込むのに十分なスペースがないから安全だと考える人もいた。開発者のセキュリティリサーチャー MG 氏はそれが間違いであることを証明するために USB Type-C 版を開発したという。USB Type-C 版は Wi-Fi 機能が強化されており、2 km 以上離れた場所からペイロードのトリガーが可能とのことだ。

15407949 story
スラッシュバック

Apple、デバイス上での児童性的虐待素材スキャンなどの計画を延期 22

ストーリー by headless
延期 部門より
Appleは 3 日、子供を性的虐待から守る取り組みの強化計画を延期すると発表した(Apple - Child SafetyThe Guardian の記事The Verge の記事9to5Mac の記事)。

Apple が 8 月初めに発表した計画では、子供が「メッセージ」アプリで性的に露骨な写真を送受信しようとすると警告したり、iCloud 写真へ写真を保存する際に既知の CSAM 画像のハッシュと照合したりといった児童性的虐待素材 (CSAM) の拡散防止を取り組みの中心としていた。

写真のスキャンはデバイス上で行われるが、誤検知や悪用を懸念する声が数多く出ている。そのため Apple では今後数か月かけ、子供を守るための非常に重要な機能をリリースする前にさらなる情報収集と改善を行うとのことだ。
15407374 story
セキュリティ

CISA、単一要素認証をサイバーセキュリティの「バッドプラクティス」リストに追加 43

ストーリー by headless
単一 部門より
headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

  1. サポートされないソフトウェアの使用
  2. 既知/固定/デフォルトパスワードの使用
  3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

15405553 story
アナウンス

ゆうちょ銀行、クラウド保存したパスワードを第三者が盗み取る事例増加から注意喚起へ 30

ストーリー by nagazou
注意 部門より
ゆうちょ銀行は8月27日、クラウドサービスを利用したメモアプリ上の暗証番号等を盗み取る手口の犯罪が多発していることから、注意喚起を促すリリースを出した(ゆうちょ銀行)。

クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。
15404301 story
Windows

Microsoft、Windows 11 上の Windows Insider Program から非対応環境の締め出しを開始 41

ストーリー by nagazou
最小ハードウェア要件を満たしていません 部門より
headless 曰く、

Microsoft が Windows 11 上の Windows Insider Program から Windows 11 のハードウェア要件を満たさない非対応環境の締め出しを開始したようだ (The Verge の記事Neowin の記事Ars Technica の記事Windows Central の記事)。

Dev チャネルで Windows 11 Insider Preview をインストールしていた非対応環境では「設定 → Windows Update → Windows Insider Program」に「ハードウェア要件を満たさないのでWindows 11 上でWindows Insider Programに参加できない。Windows 10をインストールしてリリースプレビューチャネルのWindows Insider Programに参加するように」といった趣旨のメッセージが表示され、Windows Insider Programを有効にしていない状態となる。

一方、リリースプレビューチャネルを選択していた (本来は選択できないはずだが一時選択可能だった) 非対応環境では「お使いの PC は、Windows 11 の最小ハードウェア要件を満たしていません。チャネル オプションは制限されます。」と表示され、リリースプレビューチャネルのままになる。

ただし、現在のところ Windows 11 Insider Preview をインストールした環境では、Windows Insider Programに参加していない場合や、(まだビルドが提供されていないはずの) リリースプレビューチャネルを選択している場合でも、新しいビルド (累積更新プログラム) は提供されている。いつまで提供されるだろうか。

15403150 story
情報漏洩

ProjectWEB不正アクセスで中国系ハッカー関与の疑い。暴露サイトに新たなデータ掲載との報道も 11

ストーリー by nagazou
疑惑 部門より
以前話題となった富士通の情報流出に関する報道が複数行われている。朝日新聞の記事によれば、ProjectWEBにアクセスしたハッカーが東京五輪や原発に関する情報を検索した履歴があることが判明したという。犯行を行った人物等が政府や重要インフラのネットワークに侵入する狙いがあった可能性があるとしている。この人物が中国系ではないかともしている(朝日新聞その1朝日新聞その2)。

これとは別に、日経クロステックの記事によれば、富士通から流出したとみられるデータが暴露サイトに複数掲載されていることが分かったという。25日ごろから流出情報が掲載されたとしており、圧縮ファイルサイズで4GBほどあったという。データベース設計書などのシステム関連データが含まれており、東レなどの名前が含まれていたとのこと。流出経路などは分かっていない。東レ広報からは回答はなかった模様。ただし、富士通側は証拠はなく関連ないものと考えていると回答しているとのこと(日経クロステック)。
15400335 story
サイエンス

冷蔵庫の製氷機にミネラルウォーターをいれると雑菌が繁殖するリスク 59

ストーリー by nagazou
水道水が無難 部門より
冷蔵庫の製氷用のタンクに入れる水は水道水以外はダメというある話があるそうだ。そこでウェザーニュースが浄水器開発メーカーのイーテックに確認したそうだ。イーテックによると、以前は製氷機のタンクに入れる水は水道水以外はNGのものがあったのは事実だそうだ。理由としては、ミネラルウォーターや井戸水などの消毒されていない水を使用した場合、メンテナンスできないパイプなどに雑菌が繁殖する可能性があったためだという(ウェザーニュース)。

しかし最近の冷蔵庫では、給水タンクや浄水フィルタを掃除できるようになっていることから、きちんとメンテナンスできるのであれば、ミネラルウォーター使用可能な製品もあるようだ。ただし、浄水器の水はOKなものの、水の硬度が高すぎるミネラルウォーターはNGという場合もあるとしている。なお清掃可能な製品の場合でも、清掃時には水道水と布巾を使用、タワシや研磨スポンジの使用はしないように求めている。なおガンコな汚れのときは中性洗剤を使用すべしとのこと。
15400292 story
テクノロジー

JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 189

ストーリー by nagazou
これはさすがにまずいんでは 部門より
あるAnonymous Coward 曰く、

読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。

4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?

15399756 story
Windows

Microsoft 曰く、非サポート CPU でも Windows 11 はインストール可能だが、更新プログラムが提供されるとは限らない 80

ストーリー by headless
可能 部門より
比較的新しい世代の CPU のみをサポートする Windows 11 だが、Microsoft は ISO ファイルを使用すれば非サポート CPU にもインストールできると述べる一方で、このような環境にはセキュリティパッチやドライバーを含む更新プログラムが提供されない可能性があると述べているそうだ (The Verge の記事 [1][2][3]The Register の記事Windows Cental の記事)。

Microsoft が Windows 11 正式発表時に公開したシステム要件では Intel の Kaby Lake Refresh (第8世代) 以降および AMD の 第1世代 Zen の一部と Zen+ 以降のみがサポートされ、5 年前の CPU がサポート外となる事態が衝撃を与えた。リストは 8 月 27 日に更新されたが(AMDIntel)、追加された CPU の大半は新しいものであり、古い CPU で追加されたのは Intel の Kaby Lake (第7世代) Core プロセッサーの一部とSkylake (第6世代) のXeon W プロセッサーにとどまる。AMD の第 1 世代 Zen の追加も検討したが見送ったとのこと。

Windows Insider 向けの提供が 8 月 27 日に再開された「PC正常性チェック」アプリでは、Windows 11 の互換性チェックで CPU のサポート状況も確認できるようになっているが、Windows 11 Insider Preview を ISO イメージでインストールする場合に CPU のチェックは行われていないようだ。Windows 7 ~ 10 でサポートされる CPU のリストでも Intel は Broadwell (第5世代) 以降のみが掲載されており、Windows セットアップが CPU をチェックしているとは思えない。

Microsoft は Windows 11 の要件を満たす PC を使用するメリットとして、信頼性とセキュリティ、互換性の向上を挙げている。その一方で要件を満たさない PC にもインストール可能だと明言し、セキュリティ更新プログラムを提供しないというのもちぐはぐな気がする。Windows 7 / 8.1 を実行する Skylake 搭載 PC は特定メーカー製品を除いて Windows Update が利用できないという話もあったが、実際にはどうだったのだろうか。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...