パスワードを忘れた? アカウント作成
15444769 story
spam

Apple、App Storeでアプリの問題を容易に報告可能にする 12

ストーリー by headless
報告 部門より
Apple は 6 日、App Store でアプリの問題を容易に報告できるようにするリンクのロールアウトを開発者向け更新情報で発表した (News and Updates9to5Mac の記事)。

リンクが表示されるのは iOS 15 / iPadOS 15 / macOS Monterey 上の App Store で、アプリの情報ページから直接問題を報告できるようになる。この機能は現在のところオーストラリア・カナダ・ニュージーランド・米国のユーザーに提供されており、いずれは他の地域でも利用可能にする計画だという。

また、reportaproblem.apple.com から報告する問題の種類として詐欺的なアプリや侮蔑的・違法なコンテンツを選択可能になっており、アプリ内購入を提供しない無料アプリでも問題を報告できるようになったとのこと。この変更は全世界のユーザーに適用される。

問題が報告された場合は Apple が調査を行い、App Store Review ガイドライン違反が確認された場合には開発者に修正を求める。故意の違反が疑われる場合には開発者に通知し、アプリの削除やガイドライン 5.6 に従った開発者アカウントの停止などの措置を行うとのこと。

また、6 月のガイドライン改訂では 5.1.1 (v) に「アカウントの作成に対応したAppの場合は、App内でアカウントの削除もできるようにする必要があります」という文言が追加されており、2022 年 1 月 31 日以降に提出されるアプリに義務付けを適用開始することも同日発表された (News and Updates [2]Mac Rumors の記事)。
15442707 story
情報漏洩

動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 11

ストーリー by nagazou
流出 部門より
Amazon傘下のゲーム実況配信配信サイト「Twitch」が外部からハッキングされ、大規模な情報漏洩が発生している。犯行を行った人物は、Twitch全般に対して不満を持っていたとみられており、批判のコメントとジェフ・ベゾス氏を揶揄するような画像とともに流出したデータのリンクを「4chan」上にリンク(削除済み)したとしている(VGCGame Spark ITmedia日経新聞)。

Twitchの運営会社である米Video Games Chronicleはデータが本物であることを認めているという。今回、流出した情報の中には、Twitch自体に関連するソースコードや、動画配信者に支払われた金額、独自SDKと内部AWSサービス、Amazonが準備していたSteam対抗サービスのソースコード、セキュリティツールなどが含まれ、そのデータサイズは約125GBにも及ぶとしている。各メディアではTwitchユーザーにはパスワードの変更などを行うといった対策を推奨している。
15441711 story
インターネット

Let's Encryptの9月末のルートCA証明書期限切れ、複数サイトで影響発生 27

ストーリー by nagazou
やはり発生 部門より

以前から問題となっているLet's Encryptのルート証明書「DST Root CA X3」問題だが、ZDNetの記事によると、この証明書が9月30日に期限切れになったことにより、多くのウェブサイトやサービスに問題が起きているそうだ。Security Headersの創業者Scott Helme氏の調査によると以下のサイトで影響があったとしている(ZDNetTECH+)。

Palo Alto、Bluecoat、Cisco Umbrella、Catchpoint、Guardian Firewall、Monday.com、PFsense、Google Cloud Monitoring、Azure Application Gateway、OVH、Auth0、Shopify、Xero、QuickBooks、Fortinet、Heroku、Rocket League、InstaPage、Ledger、Netlify、Cloudflare Pages

15437694 story
統計

企業で使われている Windows デバイスの半数以上が Windows 11 のシステム要件を満たさない 107

ストーリー by nagazou
問題はWin10のサポート終了後 部門より
headless 曰く、

Lansweeper の推計によると、企業で使われている Windows デバイスの半数以上が自動更新で Windows 11 にアップグレードできないそうだ (Lansweeper のブログ記事The Register の記事)。

推計値は 6 万件の組織で使われている Windows デバイス 3,000 万台のデータを元にしたものだ。ワークステーションの 91.05 % が Windows 11 の RAM 要件を満たす一方で、CPU 要件を満たすのは 44.4 %、TPM 要件を満たすのは 52.55 % に過ぎないという。ただし、TPM を搭載しているものの互換性がないか、有効になっていないワークステーションも 28.19 % あり、まったく TPM 要件を満たさないのは 19.26 % となっている。

仮想マシンのワークステーションでは 44.9 % が CPU 要件を満たす一方、RAM 要件を満たすのは 66.4 % にとどまり、99.74 % で TPM が有効になっていない。ただし、Windows ではこれまで TPM が要件になったことがなく、仮想マシンでも TPM パススルーにより TPM が利用できるもののほとんど使われていなかったため、驚くべき結果ではないとのこと。

サーバーで TPM が有効になっているものはほとんどなく、今後 Microsoft が Windows Server に Windows 11 と同じ要件を設定した場合、大半がそのままではアップグレードできないことになるとのことだ。

15437710 story
お金

三井住友銀行、死後時などに指定した親族らにSNSなど各種ID・パスワードを遺せるサービス 56

ストーリー by nagazou
SNS側の規約に引っかかる可能性はありそう 部門より
三井住友銀行は終活向けサービスとして、利用している資産や葬儀の希望に関する遺言などやSNSやECサイトのID・パスワードを遺族に残すためのサービス「SMBCデジタルセーフティボックス」を10月1日から提供し始めた。利用料金は2022年2月までの利用は無料でそれ以後は月額990円(三井住友銀行リリースSMBCデジタルセーフティボックス 商品説明書(お客さま用)[PDF]ITmedia)。

このサービスでは、テキストベースで様々な情報を登録できる。指定したタイミングや相続発生時などに、事前に指定した受取人にのみ内容が閲覧できる仕組み。ただ現時点の機能一覧を見る限り、2月以降の正式リリースにならないと情報の登録は三井住友銀行の情報端末でしか行えない模様。受取人に関しては、PCやタブレット・スマートフォン等で情報を見ることができるようだ。24時間利用可能となっているが、毎週日曜日の21時~翌月曜日7時まではシステムメンテナンスのため利用停止になるとしている。
15437684 story
アップル

AirTagの紛失モードには悪意あるサイトへ誘導する脆弱性がある 14

ストーリー by nagazou
割に合わないとは思うが 部門より
紛失防止タグ「AirTag」には、落としたときのために紛失モードという機能が用意されているが、この機能をフィッシング詐欺に悪用される可能性が指摘されている。AirTagを紛失モードに設定すると、専用のURLが生成され、AirTagの持ち主は連絡先として電話番号またはメールアドレスを登録できる。落としたAirTagを拾った人がNFC対応のスマートフォンで読み取ると、は持ち主の連絡先が分かるURLに誘導される仕組み。このとき、ログインしたり個人情報を入力するといった必要はない(Krebs on SecurityEngadget)。

しかし、米セキュリティ情報サイトの「Krebs on Security」によると、この登録可能な連絡先の電話番号フィールドには、任意のコンピュータコードを挿入できる。このため拾った人が偽のiCloudログインページや悪意のあるWebサイトにリダイレクトされてしまう可能性があるそうだ。偽サイトなどに誘導し、AirTagを拾った人のが個人情報を抜かれてしまう可能性があるらしい。
15437201 story
お金

Apple Pay の交通系 IC カード決済機能を悪用し、ロックされた状態の iPhone で不正に決済を行う手法 28

ストーリー by headless
不正 部門より
英バーミンガム大学とサリー大学の研究チームが Apple Pay と Visa の脆弱性を組み合わせ、iPhone のロックを解除しないまま不正な非接触決済を実行する手法を発表している (バーミンガム大学のニュース記事研究成果9to5Mac の記事The Telegraph の記事)。

この手法は iPhone や Apple Watch を交通系 IC カードとして運賃支払いに使用するエクスプレスカード (英国では Express Travel) 機能を悪用するものだ。通常の Apple Pay 決済では端末のロック解除などユーザーの操作が必要だが、エクスプレスカードによる決済では必要ない。そのため、中間者攻撃により iPhone と交通系 IC カード決済端末との通信内容を一部改変し、一般の店舗で使用する EMV 非接触決済端末に中継することで、 iPhone をロックしたまま店舗での支払いを実行させることが可能になる。

具体的には偽の交通系 IC カード決済端末でターゲットの iPhone に接続し、カードエミュレーターを実行するスマートフォンに通信内容を中継する。あとは EMV 非接触決済端末にスマートフォンのカードエミュレーターを近付ければ、決済が行われて店舗の口座に入金されるという仕組みだ。

この攻撃は Apple Pay と Visa の組み合わせのみで成立し、Apple Pay と Mastercard の組み合わせや、Samsung Pay と Visa の組み合わせでは成立しないとのこと。しかし、Visa と Apple はこの攻撃が現実的なものではなく、不正利用の被害は Visa が補償するため、安全性に問題はないと述べているとのことだ。
15434867 story
犯罪

CIA、ジュリアン・アサンジ氏の拉致や殺害を計画していた 45

ストーリー by nagazou
やってたらテロ扱いされてただろうな 部門より
headless 曰く、

米中央情報局 (CIA) はトランプ政権下の 2017 年、ジュリアン・アサンジ氏の拉致や殺害の計画を立てていたそうだ( Yahoo! News の記事The Verge の記事 )。

アサンジ氏は 2010 年に英国・ロンドンで逮捕されたが、保釈中の 2012 年に政治亡命を求めて在英エクアドル大使館に入り、2019 年に保釈中の逃亡罪で逮捕されるまで滞在し続けた。その間英警察はアサンジ氏が大使館から一歩でも出れば逮捕しようと待ち構えており、拉致や殺害など現実的な話ではなかった。

しかし、当時 CIA 局長に就任したばかりのマイク・ポンペオ氏を始め、CIA 上層部は WikiLeaks が CIA のハッキングツールを公開するプロジェクト「Vault 7」 に恥をかかされて冷静さを失っていたのだという。この計画は違法なだけでなく、アサンジ氏の訴追にも影響するとの懸念もあり、ホワイトハウスの法務チームの反対もあって最終的に実行は承認されなかったとみられる。さらにロシアがアサンジ氏をモスクワに逃がそうとしているとの情報が入り、CIA は計画変更を余儀なくされる。

その結果、エクアドル大使館の周囲にはアサンジ氏を逃がそうとするロシアとそれを防ごうとする米英の情報機関が集まり、半径3ブロック以内にいるすべての人は3国いずれかの情報機関関係者ともいわれる状況になっていたという。ただしアサンジ氏が実際に大使館を抜け出すことはなく、2019 年 4 月にロンドン警視庁が大使館内でアサンジ氏を逮捕している。

15432637 story
地球

日本で塩素消毒が開始されて百年 51

ストーリー by nagazou
百式 部門より
pongchang 曰く、

大正10年に後藤新平が水道に塩素消毒を加えて2021年で100年目になる。2021年10月4日(月)に標記公開シンポジウムが国立保健医療科学院生活環境研究部と東大水フォーラムの共催で開催される(飲料水安全対策情報)。

東京では、1900年頃からろ過した水道が給水されていたが、全国で年間10万人程度の水系感染症の患者発生があり、世の中が大きな不安に陥れられていた。1921年に民生用として水道水の殺菌に転用されこの頃を境に東京の乳幼児死亡率が改善した(浅見真理氏のnote)

15432497 story
交通

デルタ航空、航空会社間での搭乗拒否リスト共有を提案 54

ストーリー by nagazou
共有 部門より
headless 曰く、

デルタ航空が他の航空会社に搭乗拒否リストの共有を呼び掛けているそうだ (プレスリリースThe Verge の記事)。

デルタが公開した 2 通の内部メモによると、同社はスタッフに対する乗客の暴力を許容することなく、物理的な危害を加えようとした乗客を搭乗拒否リストに追加しているそうだ。搭乗拒否リストには 1,600 人以上が掲載されており、今年はそのうち 600 人以上の名前を米連邦航空局 (FAA) の特別重点執行プログラムに送信しているとのこと。

しかし、現状では航空会社が個別に搭乗拒否リストを維持しており、禁止された乗客が他の航空会社を利用すれば効果が薄れる。そのため、デルタでは業界全体でスタッフを守る取り組みとして搭乗拒否リストの共有を提案しているとのことだ。

15431327 story
スラッシュバック

Apple、iTunes for Windows 12.12 を再リリース 11

ストーリー by nagazou
復活 部門より
headless 曰く、

Apple が iTunes for Windows 12.12 を再リリースしている。

先日リリースされた iTunes for Windows 12.12.0.6 では環境によって起動しない問題が発生した。そのため、Apple は Webサイトで提供するインストーラーを旧バージョンに差し替え、Microsoft Store での公開を停止していた。

現在 Apple の Web サイトではバージョン 12.12.1.1 のインストーラーが提供されており、旧バージョンを起動するとバージョン 12.12.1.1 への更新が提案される。Microsoft Store でも復活した。

なお、iTunes for Windows 12.12 では ImageIO の任意コード実行脆弱性 2 件 (CVE-2021-30835 / CVE-2021-30847) と WebKit の任意コード実行脆弱性 1 件 (CVE-2021-30849) が修正されている(リリースノート)。

15431316 story
インターネット

政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 31

ストーリー by nagazou
脅威 部門より
政府は27日、サイバーセキュリティ戦略本部の会合で今後3年間の「次期サイバーセキュリティ戦略」の方向性を決定した。今回初めてサイバー攻撃の脅威として中国、ロシア、北朝鮮の国名を明記した。その上で米国やオーストラリア、インド各国との連携方針を示した。今後は重要インフラへの攻撃も想定されることから、自衛隊のサイバー関連部隊を強化する方針だとしている(サイバーセキュリティ戦略本部読売新聞産経新聞時事ドットコム)。

なお、サイバーセキュリティ 2021(案)[PDF]の資料によると、政府機関等に対する攻撃の高度化・巧妙化が深刻化しているという。2020年度の政府への不審メールはマルウェアEmotetの影響 によりファイル添付型が大幅に増えた。フィッシングも例年以上に増加傾向にあるという。警戒を要する攻撃等の検知件数のうち、マルウェア感染の疑いとされるものは2018年度が111件、2019年度が55件だったのに対して、2020年度は245件に増加している。反対に標的型攻撃に関しては2018年度71件、19年度35件、20年度15件と減少する傾向にあるようだ。
15430476 story
インターネット

富士通、ProjectWEBの情報流出を受けて専任セキュリティー責任者を置く 50

ストーリー by nagazou
責任を明確化 部門より
富士通は24日、ProjectWEBの情報流出問題を受けて、専任の情報セキュリティー責任者を10月1日から置くことを決めた。従来は法務担当の役員が兼務していたが、情報セキュリティに関する体制を見直し、再発防止や初動対応の迅速化を行うようにするという。新たに置かれる最高情報セキュリティー責任者(CISO)には太田雅浩理事が就任するとしている(日経新聞)。
15430406 story
アメリカ合衆国

米インテリジェンスコミュニティ、不正広告攻撃を防ぐため広告ブロックテクノロジーを導入していた 10

ストーリー by nagazou
広告ブロック 部門より
headless 曰く、

米国の連邦捜査局 (FBI) や中央情報局 (CIA)、国家安全保障局 (NSA) を含む米インテリジェンスコミュニティ (IC) ではネットワークベースの広告ブロックテクノロジーを導入しているそうだ。ロン・ワイデン上院議員が米行政予算管理局 (OMB) に宛てた書簡を Motherboard が入手したことで明らかになった (書簡Motherboard の記事Neowin の記事)。

NSA では 2018 年に不正広告攻撃 (malvertising) を防ぐため不要な広告のブロッキングを組織に勧告 (PDF) しており、米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) も COVID-19 パンデミックによるテレワーク増加を受けた同様の勧告 (PDF) を行っている。

これらの勧告は現在のところ米連邦機関に広告ブロックの実施を義務付けてはいないが、ワイデン上院議員が問い合わせたところ、IC の CIO から DNS を含む複数の階層でネットワークベースの広告ブロッキングテクノロジーを導入しているとの回答があったとのこと。ワイデン上院議員は OMB に対し、同様のテクノロジーを導入するよう求めている。

15429833 story
情報漏洩

ティム・クック氏がリーカーへの不快感を共有する Apple の内部メモがリーク 37

ストーリー by headless
極秘 部門より
Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモがリークしている (The Verge の記事Mac Rumors の記事Neowin の記事)。

この内部メモは先週開催された Apple 従業員全員会議の内容がメディアにリークしたことを受けたものだ。クック氏は新製品情報のリークにも触れ、多くの従業員が感じるフラストレーションを自身も共有していると語る。

クック氏は人々をチームとして結びつける非常に重要な機会だと全員会議を位置付ける一方で、その機会は会議の内容が Apple 社内にとどまってこそ機能すると指摘。知っての通り Apple は社外秘の情報をリークした人物を決して許さず、その特定に惜しまず力を注ぐと述べている。

リーカーが少数の人々で構成されていることはわかっており、社外秘の情報をリークする人々がここに所属していないこともわかっているとのことだ。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...