パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

15711916 story
Windows

Windows 8.1 の延長サポート終了まで 200 日 42

ストーリー by headless
Windows 10のサポート終了まで約3年3か月3週間 部門より
Microsoft がサポートドキュメントなどでの告知を開始しているが、Windows 8.1 の延長サポート終了まで 200 日となった (Microsoft のサポート記事Microsoft コミュニティでの告知Neowin の記事ZDNet の記事)。

Windows 8.1 のサポートは 2023 年 1 月 10 日 (日本時間 11 日) の月例更新を最後に終了し、以降は更新プログラムが提供されなくなる。Windows 7 の時とは異なり、拡張セキュリティ更新プログラム (ESU) も提供されない。StatCounter の 5 月分 Windows バージョン別シェアデータで Windows 8.1 は 3.06 % となっており、数千万台の Windows 8.1 マシンが存在する計算になるが、企業ユーザーは大幅に少ないとみられる。

それでも ZDNet によると、7 月には Windows 7 と同様のサポート終了に向けた通知の開始が予定されているそうだ。事実とすれば Windows 7 と比べて大幅に遅い通知開始となる。スラドの皆さんの周囲に Windows 8.1 は残っているだろうか。
15711731 story
セキュリティ

マカフィー忌、遺体は今も冷凍保存 36

ストーリー by headless
伝説 部門より
6 月 23 日はジョン・マカフィー氏の一周忌にあたるが、遺体は現在もバルセロナで冷凍保存されているそうだ (elDiario.es の記事BetaNews の記事Reuters の記事Sky News の記事)。

米司法省に脱税行為で起訴されたマカフィー氏は 2020 年にスペインで逮捕され、その後暗号通貨関連の詐欺行為でも起訴されていた。しかし、裁判所が米国への身柄引渡を認めた昨年 6 月 23 日に独房で首を吊っているのが見つかり、死亡が確認された。死因は自殺と判断され、今年 2 月 13 日にはカタルーニャ法医学研究所 (IMLCFC) による司法解剖の結果を裁判所が承認した。

しかし遺族はマカフィー氏が自殺などするわけがないと異議を唱えて上訴しており、遺体は現在も司法機関の集中するバルセロナの司法地区 Ciutat de la Justícia で IMLCFC が保管しているとのことだ。
15710093 story
犯罪

米シカゴ市警察、危険な追跡を禁ずる新ポリシーを発表 26

ストーリー by nagazou
これは厳しい 部門より
headless 曰く、

米シカゴ市警察 (CPD) は 21 日、対象者を拘束すべき正当な理由がない限り警察官が徒歩 (走って) や自転車で追跡することを禁ずる新ポリシーを発表した (プレスリリース新ポリシーABC News の記事NPR の記事)。

正当な理由としては、対象者が重罪または A 級軽罪、他人に危害を及ぼす交通違反を実行している (しようとしている・した) 場合、もしくは誰かに危害が及ぶことが明白な逮捕理由となる違法行為を実行している (しようとしている) 場合が挙げられている。警察官との接触を避けたことを理由とする追跡は禁じられる。さらに追跡の安全性への配慮も必要となり、拘束しないことによる脅威が追跡による危険を上回る、と警察官や上司が判断した場合にのみ追跡が認められる。一般市民だけでなく対象者や警察官の安全は追跡開始・継続の判断を行う際に最も配慮すべき点とされている。

このほか、警察官が負傷して安全に追跡できなくなった場合や第三者の負傷者を救護できる人が他にいない場合、現在地が不明な場合や応援を要請する地点を報告できない場合、危機管理・通信室 (OEMC) や他の署員と連絡が取れなくなった場合、署で支給された無線機や火器その他の装備を紛失し、何者かが手にすれば警察官や一般人を危険にさらす可能性がある場合、対象者に追い付いても取り押さえることができないと合理的に考えられる場合には追跡開始や継続が禁じられる。

安全性に少しでも疑いがある場合は区域の封鎖や捜査員の増員といった別の方法をとるべきであり、追跡を行わないと判断したことに対して警察官や上司が批判されたり処罰されたりすることはないとのこと。シカゴでは昨春、新ポリシーでは禁じられる追跡の末に追跡対象者を警察官が射殺する事件が 2 件発生している。プレスリリースやポリシーに直接的な言及はないものの、この事件が強く影響しているようだ。

15710090 story
プライバシ

尼崎全市民の個人情報USBメモリが流出。設定されたパスワードの桁数を会見で公表→発見される 180

ストーリー by nagazou
やらかし 部門より

6月23日、兵庫県尼崎市は全市民の住民基本台帳などのデータが入ったUSBメモリを紛失したと発表した。USBメモリの中には住民基本台帳に記載されてる情報のほか、生活保護や児童手当を受けている世帯の口座情報なども保存されていたとされる。発表ではUSBのファイルはパスワードをかけて暗号化処理されていたことから、23日11時時点では漏えいは確認されていないとされている(神戸新聞NEXTNHK日経新聞TBS NEWS DIG)。

ところが尼崎市による記者会見の際、USBメモリに設定されたパスワードの桁数に関して職員がバラしてしまうという大失敗を犯している。ネット上ではその公開された桁数を元に、地名や日付を組み合わせてパスワードを推測する行為などもおこなわれていたようだ(ITmedia)。

この騒動に合わせて、「尼崎のUSB」なるものがメルカリに出品されていたことも報じられている。おそらくイタズラだと思われるが商品の説明では、

先日から尼崎で使用しているUSBメモリです。パスワードを書けたまま忘れてしまい、中を開くことができないのでお譲りします。諸事情により、中のデータはそのままで出品いたしますので、新しく使用したい場合は、お手数ですがそちらで初期化の手順を踏んでください。

といった内容が書かれていた。価格は尼崎市の人口に合わせて45万2600円に設定されていた。なおこの出品は現在削除されているとのこと(FNNプライムオンライン[動画])。この出品物に関しては、尼崎側が偽物であると判定したとのこと。なお紛失した従業員は当日、居酒屋で酒を飲み泥酔、午後10時半に店を出ると、午前3時ごろまで路上に寝ていたことが新たに報じられている(FNNプライムオンライン)。

追記:尼崎市は24日、紛失したとされていた市はUSBメモリーが発見されたと発表した。市は委託業者から電話連絡があり、鞄とともに発見されたとしている。発見された経緯などについては不明(読売テレビニュースYahoo!ニュース)。

15708842 story
オープンソース

オープンソースプロジェクトの脆弱性修正にかかる時間が 3 年間で倍以上に増加したとの調査結果 15

ストーリー by nagazou
大幅増 部門より
headless 曰く、

Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリースBetaNews の記事)。

オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ~ 20 が推移的依存関係から発生することになる。

その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 % 長い時間を要するとのことだ。

15708851 story
Windows

Microsoft Storeの偽物対策、どうする? 47

ストーリー by nagazou
どのアプリストアでも起きる問題 部門より
あるAnonymous Coward 曰く、

GIMP for windowsがMicrosoft Storeで公開されたが、これは偽物対策ということのようだ。(公式窓の杜)

少し前には、CrystalDiskInfo及びCrystalDiskMarkの開発者であるhiyohiyo氏が、Microsoft Storeに登録された偽物への対応を行った一連の流れをTwitter上で報告している。(5/30のツイート当該スレッド)

Microsoft Store上で公式/非公式の判断がつけばよいのだが、現状ではStore外で公式からの情報を得なければ難しいように思われる。ユーザーとしてどのような点に注意をしているか等、スラド諸氏の意見を求めたい。

15706157 story
お金

徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった 116

ストーリー by nagazou
防御力ゼロ 部門より
徳島県のつるぎ町立半田病院は、2021年10月にランサムウェアに感染し、院内のカルテが閲覧できなくなるなどの被害を受けた。この問題に関して同病院は調査報告書を町議会に提出した。それによれば、感染経路は米Fortinet製のVPN装置経由である可能性が高いという(つるぎ町立半田病院リリース有識者会議調査報告書[PDF]日経クロステック)。

過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。

あるAnonymous Coward 曰く、

「パスワードは最小桁数が 5 桁であったこと、一定回数以上、ログオンに失敗した際に一定時間ログオンを制限するロックアウトの設定は無かったことなど「総当たり攻撃」を容易に行えてしまう状況であった。また、半田病院としてはウイルス対策ソフトを導入していたが、電子カルテシステムの導入時に不具合が生じたため、同セキュリティ対策ソフトは動作させていなかった」

主張(予算が無いし予算を要求できる空気でも無いからベンダーに無料で頼るしか無かったけどそうしてもらえなかった)含めこれは困った事ですね。

15705156 story
Android

Microsoft Defender、個人向けに提供開始 50

ストーリー by nagazou
開始 部門より
headless 曰く、

Microsoft は 16 日、Microsoft Defender の個人向け提供を発表した (Microsoft Security Blog の記事製品情報Neowin の記事Ars Technica の記事)。

Windows 標準の「Windows セキュリティ」ではマルウェア対策に「Microsoft Defender ウイルス対策」を使用しているが、今回提供が始まった Microsoft Defender は別のアプリだ。Microsoft Defender は Windows のほか、AndroidiOSmacOS (このリンクのみダウンロードリンクなので注意) デバイスの保護にも対応するクロスデバイスアプリであり、デバイスを一か所で管理可能なユーザーインターフェイスが提供される。日本で Microsoft Defender を使用するには Microsoft 365 Personal のサブスクリプションが必要だ。

15705153 story
ビジネス

コンサル会社がイオンの秘密情報をセブン&アイHDの会議で提出、雑誌にも掲載されてしまう 71

ストーリー by nagazou
大失態 部門より
あるAnonymous Coward 曰く、

イオンでコンサル契約の元に仕事した際のDX戦略に関する内部資料を、競合企業のセブン&アイHDでの会議の際に、イオンの社名すらも付いたまま会議資料として出してしまったという。この資料はさらに雑誌「週刊ダイヤモンド」にて『特集 セブン DX敗戦』の中で一般公開もされてしまった。競合他社にそのまま資料を持っていくのは、さすがに杜撰過ぎるだろう…(イオンリリース[PDF]ITmediaJ-CAST ニュース)。

15704670 story
情報漏洩

英内務大臣、ジュリアン・アサンジ氏の米国への身柄引渡命令に署名 19

ストーリー by headless
署名 部門より
英内務省は 17 日、プリティ・パテル内務大臣がジュリアン・アサンジ氏の米国への身柄引渡命令に署名したことを明らかにした (ニュースリリースThe Register の記事The Verge の記事BBC News の記事)。

2003 年身柄引渡法によれば、内務大臣は身柄引渡を裁判所が認めた人物について、身柄引渡先で死刑になる危険がないこと、要求理由以外の罪を裁かれることがないこと、他の国から身柄引渡または国際刑事裁判所 (ICC) から送致された人物であって、元の国や ICC が合意していること、といった要件を満たす場合に身柄引渡を命ずる必要がある。アサンジ氏は 14 日以内の異議申立が可能だ。

WikiLeaks で数多くの機密文書を公開したアサンジ氏について、米政府は国家安全保障法に違反してスパイや外交官を危険にさらした犯罪者とみなしているが、アサンジ氏の支持者は調査報道ジャーナリストかつ告発者とみなしている。アサンジ氏との間に2人の息子がいるパートナーのステラ・モリス氏は声明で、パテル氏が調査報道ジャーナリズムを犯罪扱いした米国の共犯者として永遠に記憶されるだろうと批判し、今後もアサンジ氏解放に向けた闘いを続ける意思を示している。
15703860 story
Firefox

Mozilla 曰く、最もプライベートでセキュアなメジャーブラウザーは Firefox 46

ストーリー by headless
自信 部門より
Mozilla は 14 日、Firefox の Total Cookie Protection デフォルト有効化を全世界でロールアウトすると発表した (The Mozilla Blog の記事Neowin の記事Softpedia の記事Android Police の記事)。

Firefox 86 で利用可能になった Total Cookie Protection はサイトごとに独立した「クッキージャー」に cookie を格納し、クロスサイト cookie によるユーザー追跡からの保護を強化する仕組みだ。これにより、Firefox は Windows と Mac、Linux で利用可能な最もプライベートでセキュアなメジャーブラウザーになるという。Total Cookie Protection は既にプライベートブラウジングモードで有効化されており、通常ブラウジングモードでも Firefox の設定画面で「プライバシーとセキュリティ→強化型トラッキング防止機能」に「厳格」を選べば手動でも有効化できるが、今後は「標準」を選択した場合にも有効化されていくとのことだ (Firefox ヘルプ)。
15702258 story
インターネット

「アカウント作成前にアカウントを乗っ取る」プリハイジャック攻撃が発見される 14

ストーリー by nagazou
生まれる前から 部門より
ユーザー「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような攻撃手法が発見されたそうだ。Avinash Sudhodanan氏とAndrew Paverd氏の二人のセキュリティ研究者が見つけたもので、二人はこの攻撃手法を「Pre-hijacking Attack」(プリハイジャック攻撃)」と呼んでいるそうだ(MalwarebytesTECH+)。

この攻撃方法は5種類の方法に分類されており、一つはメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する「Classic-Federated Merge (CFM)攻撃」。二つ目は先の攻撃手法のサイバー犯罪者とユーザの立場が逆になった「Non-Verifying Identity Provider (NV)攻撃」。三つ目はユーザーによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した「Unexpired Email Change (UEC)攻撃」。

四つ目は認証されたユーザーがパスワードリセット後に、アクティブなアカウントからサインアウトされないという欠陥を悪用する「Unexpired Session (US)攻撃」。最後はCFM攻撃とUS攻撃を組み合わせた「Trojan Identifier (TID)攻撃」となっている。研究者らが人気の高いWebサイト75か所を調査したところ、35以上のWebサイトが少なくとも1手法のプリハイジャック攻撃に対して脆弱な状態だったとしている。

あるAnonymous Coward 曰く、

5種類の攻撃方法が例示されているが、全体的に、同じメールアドレスで先にアカウントを登録しておいて正規アカウントが紐づけられたら乗っ取るみたいな方法のようだ?

15702261 story
ソフトウェア

RealPlayerに複数の深刻な脆弱性、修正状況や回避策などは不明 24

ストーリー by nagazou
利用者がどれくらい残ってるのか 部門より
Security NEXTの記事によれば、RealNetworksが開発する「RealPlayer」で複数の深刻な脆弱性が発覚したそうだ。バージョン「20.0.8.310」や「20.0.7.309」では、任意の場所に配置できるディレクトリトラバーサルの脆弱性「CVE-2022-32270」があり、これを突かれると端末の起動時に実行ファイルを実行させたり、DLLインジェクションなどに悪用されるおそれがあるとしている。このほか「20.0.8.310」では、脆弱性「CVE-2022-32269」や脆弱性「CVE-2022-32271」が存在していることも判明したとしている。
15702293 story
アナウンス

Bingの検索結果で自治体の偽サイトが表示される事例が頻発 20

ストーリー by nagazou
ご注意 部門より
先日、楽天トラベルのフィッシングサイト広告の記事を取り上げたが、それとは別に検索エンジンの「Bing」をターゲットにした市公式サイトの偽サイトが乱立していることが話題になっている。横浜市、徳島市、青森市、長野市、藤沢市などの偽サイトの事例が紹介されている。名前の挙がった市の名前をBing上で検索すると、現在は公式サイトも殆ど表示されない模様(ITmedia朝日新聞カナロコ)。

また内閣官房内閣サイバーセキュリティセンター(NISC)も15日に警告を発表した。偽サイトの中には悪質なサイトへのリンクに置き換えられているものがあるとしている。上に上がった各自治体だけでなく、金融庁や文部科学省、総務省、デジタル庁などの省庁も関連サイトの偽サイトに注意を促す発表を行なっている(内閣官房内閣サイバーセキュリティセンター[PDF]神奈川県警告デジタル庁注意喚起金融庁注意喚起文部科学省注意喚起消費者庁注意喚起 Impress Watch)。
15701170 story
クラウド

ウクライナ政府のデータはAWSで保全されていた。4か月で1万TB超 83

ストーリー by nagazou
戸籍データとか重要 部門より
実質的な戦争状態にあるロシアとウクライナ。そのロシアの攻撃直後から、ウクライナ政府が国家の活動継続に必要となるデータのクラウド移行を進めていたことが判明した。AWSが10日に公開したブログに経緯等が紹介されている(AWSのブログITmedia)。

それによると、攻撃が開始された2月24日から米AWSと協力してデータの移転を始めていたという。6月10日までに移転されたデータは27省庁、18大学などのデータ計10PB(1万TB)以上に及ぶという。今後も増加する予定であるとしている。ウクライナでは政府などの所有する重要なデータは、国内サーバーに保存するよう法律で定めていた。しかし、ロシア側の攻撃が始まる約1週間ほど前に法律を改正。国家のデータ保全に向けて、クラウド移行を可能にしていたとしている。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...