Bluetoothスピーカー付き照明で外部から勝手に接続されるトラブル 59
幽霊ごっこできるの怖い 部門より
アイリスオーヤマは9月28日、同製品にペアリング制御機能を実装していないことを認め、問題となっている指摘の内容は事実だと認めた。ITmediaによると今後、ペアリング制御機能の追加を検討しているという。ただし、実装の可否や方法、時期などは「コメントできない」としている。今のところ返品対応も検討していないとしている(ITmedia)。
アナウンス:スラドとOSDNは受け入れ先を募集中です。
Meta が Instagram の DM で送りつけられるヌード写真を自動でブロックする機能の開発を進めているそうだ。 (The Verge の記事、 9to5Mac の記事、 Alessandro Paluzzi 氏のツイート)
見知らぬ相手に性的な嫌がらせメッセージを送りつける「cyberflashing」は大きな問題になっている。Instagram が提供するテキストベースの嫌がらせメッセージをブロックする機能は効果が低いと指摘されており、画像ベースの嫌がらせメッセージへの対策は行われていない。
現在開発が進められているのは実際のメッセージを Meta が閲覧したり、外部と共有したりすることなくヌード写真を検出する機能だ。ユーザーのプライバシーを侵害することなく、受信したメッセージをユーザー自らコントロールできるよう、専門家の協力も得て開発を進めているという。より具体的な情報は今後数週間のうちにも公表できる見込みとのことだ。
関連会社の Rockstar Games も先日不正アクセスを受けているが、こちらとの関連は不明だ。なお、2K はサポートサイトの再開を 24 日に発表している。サイト保護強化の一環として、サポートサイトへの次回ログイン時にはすべてのユーザーにパスワードリセットが求められる。新しいパスワードに関しては、複雑さの要件が強化されているとのことだ。
Microsoft Edge の新しいタブページで、ニュースフィードに表示される広告を悪用した不正広告攻撃が確認されたそうだ (Malwarebytes Labs の記事、 Neowin の記事)。
不正広告は広告ネットワーク Taboola を通じて配信され、ユーザーの興味を引き付けそうな奇妙なストーリーへのリンクとして表示される。広告がクリックされるとユーザー環境のチェックが行われ、不正広告のターゲットにならないと判定した場合は広告に表示されていた通りの無害なページを表示する。一方、ターゲットと判定した場合はテクニカルサポート詐欺のページにリダイレクトするとのこと。Malwarebytes によれば、このような活動が少なくとも 2 か月間は行われていたとのことだ。
LastPass が 8 月に発生した不正アクセスの調査について続報を発表している (The LastPass Blog の記事、 Ghacks の記事)。
不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。
LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。
また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。
朝日新聞の記事によると、米Uber Technologiesがハッキング攻撃を受けたそうだ。>配車サービス等への影響は不明のようだ。Uberは、2017年にもハッキング攻撃を受け個人情報を盗まれたが、1年以上隠蔽していたらしい。
攻撃を受けたのは15日で、ニューヨーク・タイムズが接触した攻撃者を名乗る人物によれば、この攻撃者は自分は18歳のハッカーだと話しているという。Slackのアカウントをを乗っ取り、従業員らにシステム侵害を宣言、Uberの運転手に対してもっと高い報酬を払うべき的な主張していたらしい。各種アプリやサービスはすべて稼働を続けているとのこと。16日午前の段階では機密データにアクセスした形跡はないとしている(日経新聞)。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー