パスワードを忘れた? アカウント作成
16158116 story
暗号

(自分を含む) 誰かの名前、パスワードに含めたことある? 73

ストーリー by headless
名前 部門より
ExpressVPN の調査によると、米国人の 40 % が自分の苗字がパスワードに含まれると回答したそうだ (ExpressVPN のブログ記事HackRead の記事)。

調査はモバイル投票サービス Pollfish を利用し、米国の成人 1,000 名にパスワードの選択について質問したものだという。調査報告書はまだ完成していないようだが、その一部が紹介されている。

パスワードに含められることが最も多い個人情報は誕生日 (43.90 %) で、ペットの名前 (43.80 %) が続く。本人の名前ではファーストネームが 42.30 % で最も多く、ラストネーム (苗字) とミドルネーム (31.60 %) の順になっている。また、子供の名前 (37.50 %) や元パートナーの名前 (26.10 %) といった自分以外の名前も多く使われているが、現パートナーの名前はリストに出現しない。このほか、電話番号 (32.20 %) や社会保障番号 (30.30 %) を使う人も多い。

その結果、5 人に 2 人はパスワードを作るときに自分の名前を少し変えたものを使うと回答し、43 % は自分の愛する人がパスワードを推測できるだろうと回答しているという。平均的な人は 6 サイト/プラットフォームで同じパスワードを使っているとのこと。それでも 81 % は現在のパスワードでセキュリティとプライバシーが十分に守られていると考えているそうだ。

日本人はキーボードの並びをパスワードで使用する人が多いといい、自分の名前をパスワードに含める人は少ないかもしれないが、スラドの皆さんはいかがだろう。なお、世界全体で最も多く使われているパスワードは相変わらず「123456」だが、日本では「159753qq」が最も多いとのことだ。
16156466 story
Firefox

Mozilla、21 日から Manifest V3 拡張機能への署名を開始 16

ストーリー by headless
署名 部門より
Mozilla は 17 日、addons.mozilla.org で 11 月 21 日から Manifest V3 (MV3) 拡張機能の受付を開始し、Firefox Nightly でテストできるよう署名すると発表した (Mozilla Add-ons Community Blog の記事The Register の記事)。

MV3 拡張機能は来年 1 月 17 日リリースの Firefox 109 で一般に利用可能となり、以降のリリースで段階的に MV3 サポート機能を追加していくが、Firefox は MV2 拡張機能サポートを当面継続する。Mozilla では MV2 から MV3 へのシームレスな移行を目指しており、2023 年末に向けて MV3 のロールアウトを評価して MV2 廃止スケジュールを決めるとのこと。

Firefox の MV3 ではシンプルで統合された API や強化されたセキュリティとプライバシーのメカニズム、よりよいモバイルプラットフォームサポート機能を提供する。Mozilla は他のブラウザーベンダーや開発者コミュニティと協力してブラウザー間の互換性維持に努めるが、以下の 2 点については他社と異なるアプローチになるという。
  1. MV3 では Web Request API が非推奨となり、Declarative Net Request (DNR) がブロッキング用に追加される。Firefox の MV3 では互換性のため DNR をサポートするとともに、より柔軟でクリエイティブな処理が可能な Web Request のサポートも継続
  2. MV3 ではバックグラウンドスクリプト実行にサービスワーカーを使用するが、Firefox の MV3 では Event Pages の使用を継続する。将来的にはサービスワーカーサポートも追加する計画
16146067 story
アメリカ合衆国

数千本のスマートフォンアプリが使用するロシア企業のコード、3月まで米陸軍も使用していた 6

ストーリー by nagazou
米国でも気がつかないとは 部門より
headless 曰く、

米企業のふりをしたロシア企業 Pushwoosh のユーザープロファイリングコードを数千本のスマートフォンアプリ (Android / iOS) が使用しており、米陸軍の iOS アプリでも 3 月まで使われていたそうだ (Reuters の記事The Register の記事9to5Mac の記事)。

同社はロシアでデータ処理も行うソフトウェア企業として登録されており、シベリア・ノボシビルスクに本社があるという。同社の設立者 Max Konev 氏は 9 月に Reuters のインタビューに答え、ロシア人であることを隠したことはないと述べているが、ソーシャルメディアや米国での登録情報によると、カリフォルニアやメリーランド、首都ワシントンなどを本拠とする米企業になっているとのこと。

Konev 氏はロシア政府とのつながりはなく、データは米国やドイツに保存しているとも述べており、Reuters は同社によるユーザーデータ不正使用の形跡を見つけられなかったそうだが、ロシア当局からデータの強制提出を命じられる可能性は否定できない。そのため、米陸軍による使用は国家安全保障上のリスクも懸念される。

陸軍は Reuters に対し、問題のアプリがナショナルトレーニングセンター (NTC) で使われていたが、3 月にセキュリティ上の懸念から削除したと述べたという。The Register に対しては、問題のアプリが 2016 年に開発されたもので、無料版の Pushwoosh を使用していたと説明している。また、現在では2016 年当時と比べて規定が厳格化しており、有料版のソフトウェアが利用可能な場合は無料版の使用が禁じられているとのことだ。

16137929 story
プログラミング

NSA、可能な限りメモリ安全なプログラミング言語を使うことを推奨 105

ストーリー by headless
安全 部門より
米国家安全保障局 (NSA) は 10 日、メモリ安全性の問題に対応するためのガイダンスを公開し、可能な限りメモリ安全なプログラミング言語を使用するよう推奨した (プレスリリースThe Register の記事ガイダンス: PDF)。

Microsoft は 2019 年、過去 12 年間の Microsoft 製品の脆弱性は 70 % がメモリ安全性に起因すると述べており、Google も 2020 年に Chromium の重大な脆弱性の 70 % がメモリ安全性に起因すると述べていた。

広く使われているCやC++などの言語はメモリ管理の自由度が高い一方で、必要なメモリ参照の確認はプログラマーに強く依存する。ソフトウェア解析ツールを使用すればある程度の保護は可能になるが、メモリ安全な言語はそれ自体がメモリ管理の問題の多くに対応可能な保護機能を提供する。そのため、可能な場面ではメモリ安全な言語の使用が推奨されるとのこと。メモリ安全な言語の例としては、C#・Go・Java・Ruby・Rust・Swift が挙げられている。
16137832 story
バグ

Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 22

ストーリー by headless
裏口 部門より
Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した (セキュリティアドバイザリーESET のツイートNeowin の記事Ars Technica の記事)。

発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。

一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。

これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。
16136325 story
Android

PIN ロックした SIM で Android のスクリーンロックをバイパス可能な脆弱性 14

ストーリー by headless
解除 部門より
Android の 2022-11-01 セキュリティパッチレベルでは、PIN ロックした SIM を使用してスクリーンロックをバイパス可能な脆弱性 CVE-2022-20465 が修正されている (9to5Google の記事Android Police の記事発見者のブログ記事Google Git)。

この脆弱性は PIN ロックされた SIM の PUK を入力して PIN を再設定し、端末のロックを解除するとスクリーンロックも解除されてしまうというものだ。攻撃者は PIN ロックした SIM を用意し、スクリーンロック解除失敗によりロックされた端末の SIM と交換する。端末再起動後、SIM の PIN を入力を 3 回間違えると PUK による PIN 変更が可能になるので、PUK を入力して新しい PIN を設定する。脆弱性のある状態ではこの段階でスクリーンロックが解除されるのだという。

発見者は Pixel 6 で脆弱性を確認しているが、AOSP では Android 13 ブランチのほか Android 10 ~ 12L ブランチにも修正がバックポートされており、他の機種やフォークした OS にも影響する可能性がある。Android Police によれば Lineage OS で脆弱性が報告されている一方、GrapheneOS では既に修正済みだという。また、Samsung の端末は影響を受けないという報告もみられるとのこと。手元のシャープ製端末 (Android 12、パッチレベルは 10 月) で試してみたが、PUK を入力して SIM の PIN を再設定するとスクリーンロック画面になった。操作を間違ったのでなければ影響を受けないようだ。
16126171 story
アメリカ合衆国

米選挙への干渉認める。ロシア民間軍事会社ワグネル創設者プリゴジン氏 23

ストーリー by nagazou
はったりの確率も高いけど 部門より
最近、ロシア国内での発言力を増している民間軍事会社ワグネルの創設者エブゲニー・プリゴジン氏は7日、8日におこなわれた米中間選挙を含む米国の選挙に介入してきたと話しているという。自身が関係しているとされる通信アプリで、メディアの取材への回答として出てきた話なのだそうだ。メディアの米中間選挙に干渉しているのは事実かとの質問に「われわれは干渉してきたし、干渉しているし、今後も干渉する。外科医のように正確に、入念にだ」などと答えたという。こうした発言をした背景には、同氏はロシア国内での政治的影響力の増大を狙っているという見方があるようだ(共同通信時事ドットコム)。
16125324 story
セキュリティ

アイホンの2機種に脆弱性、玄関のオートロックが不正解錠される可能性 20

ストーリー by nagazou
こっちか 部門より

アイホンが提供するインターホンシステムに情報漏えいの脆弱性があることが報告されている。影響が出るのは同社のテナントビル用インターホン集合玄関機「GT-DMB-N」と「GT-DMB」の下記のバージョン(アイホンリリースJPCERT)。

  • GT-DMB-N Ver3.00 より前のバージョン
  • GT-DMB Ver3.00 より前のバージョン
  • GT-DMB-LVN Ver3.00 より前のバージョン
  • GT-DB-VN Ver2.00 より前のバージョン

外部からの攻撃を受けた際、設定情報の流出や商品機能の一部が失われるなどの脆弱性があることが判明したという。設定情報の不正な取得や改ざんによって、共用部玄関のオートロックの解錠が不正におこなわれる可能性があるとしている。2021年12月7日以降に出荷されたモデルではファームウェアで対策済み。それ以前の製品に関してはメーカー側への問い合わせが必要だとしている。

16112579 story
Digital

赤十字国際委員会、サイバー攻撃を禁ずる赤十字・赤新月・赤水晶のデジタル版エンブレム制定を目指す 30

ストーリー by nagazou
守るつもりのない国が…… 部門より
headless 曰く、

赤十字国際委員会 (ICRC) は 3 日、赤十字・赤新月・赤水晶のデジタル版エンブレム制定に向けた調査報告書を発表し、支持を呼びかけた (ニュースリリース報告書概要The Register の記事)。

実世界の赤十字・赤新月・赤水晶エンブレムは、それを装着する者や施設、物資を武力紛争下において危害が加えられないよう保護する必要があることを示し、国際人道法で攻撃が禁じられている。一方、デジタル版エンブレムはシステムが医療施設や赤十字のオフィスであることを明確にし、侵入した軍やその他のハッカーにサイバー攻撃を中止すべきシステムであることを示すもので、国際人道法の枠組みによる保護の対象とすることを目指す。

近年はサイバー戦の能力を開発する国が増加しており、脆弱な医療関係施設や人道支援組織が攻撃の対象になっている。そのため、ICRC ではデジタルエンブレム制定の可能性について 2020 年から調査を行ってきた。報告書にはデジタルエンブレム制定に関する主な利益やリスク、困難がまとめられており、各国や利害関係者との対話や協議を始める第一歩になるとのことだ。

16112400 story
バグ

中国政府、ソフトウェア脆弱性情報を悪用か。Microsoft指摘 24

ストーリー by nagazou
悪用厳禁 部門より
中国政府は2021年に制定した法律で、企業がセキュリティー上の脆弱性を公表前に報告することをが義務づけているがこれを悪用しているらしいとの指摘が出ている。以前、アリババ・グループのクラウドサービス部門がlog4jの脆弱性を政府よりも先にApache Software Foundationに報告したことで処罰を受けたこともある。Microsoftが11月4日に硬化したリポートによれば、中国政府はこうした法律でで脆弱性に関する情報を収集、脆弱性を武器にすることで、ソフトウェアのパッチ未適用の穴を発見し、情報収集する能力の向上を計っているという(Microsoft Digital Defense Report 2022[PDF] News Center JapanGIGAZINE)。

中国は米国からの圧力に対抗するため、スパイ行為や情報窃盗のサイバー攻撃を強化。今年の2月から3月には東南アジアの政府間組織が米国政府と地域の指導者の会合を開催すると発表をおこなったタイミングで、関連アカウント100個を標的に攻撃をしたとしている。また、ソロモン諸島と中国が軍事協定を締結した際も、ソロモン諸島政府のシステムやパプアニューギニアの通信ネットワークに情報収集目的で侵入したとされている。
16096281 story
インターネット

ノートンやAvast、Avira、AVGなどを扱う企業が統合。社名は「Gen Digital」に 40

ストーリー by nagazou
ブランド多すぎ 部門より

NortonLifeLockとAvastの吸収合併が11月7日に完了した。NortonLifeLockはセキュリティソフトの「Norton」とパスワード保護システム構築企業の「LifeLock」やアンチウイルスソフトのAviraを持っており、AvastがAVGやCCleanerを2016年と2017年に買収していることから、この合併により、Norton、Avast、LifeLock、Avira、AVG、CCleaner、ReputationDefendeといったセキュリティソフトを提供する新企業が誕生した。新たな企業の名前は「Gen Digital」となり、CEOはNortonLifeLock時代のVincent Pilette氏が引き継ぐという(Gen DigitalPC WatchITmedia)。

16059535 story
携帯通信

KDDI7月の通信障害以降、幹部以上は全員デュアルSIM。社長は今はauとドコモ 58

ストーリー by nagazou
セーフティ 部門より
KDDIは2日に2022年度上期(2023年3月期上期)の業績を発表した。連結売上高は前期比4.4%増の2兆7408億円を記録。その一方で連結営業利益は、通信障害への対応などの影響によりて前期比2.5%減の5585億円となったという。ケータイ Watchの記事では発表後の高橋誠代表取締役社長らによる質疑応答がおこなわれている(ケータイ Watch)。

質疑応答での主な話題はやはり通信障害に関するものだが、その中で7月の大規模障害が発生して以降、緊急時の連絡が取りやすいように幹部以上は完全にデュアルSIM化しているほか、スマートウォッチを2台つけて、24時間365日寝る間もずっとアラームが来るように設定したという。高橋氏はデュアルSIMにはauに加えてドコモのものを入れているとしている。

また緊急時のローミングの導入に関しては、代替性の確保は先の通信障害で本当に実感したとして、積極的に参加して実現を目指す立場だとしている。また先日話題となった呼び返しについても導入検討しているが、コア(ネットワーク)側の変更が必要であるため時間を要するとしている。また一つのキャリアのコアネットワークに障害が起きたときに、すべてのトラフィックが、救済事業者側に行くと、そちらのトラフィックが耐えられなくなる問題についても解決していく必要があると話している。
16058817 story
YouTube

テイラー・スウィフトの偽アカウント、YouTube の偽ライブ配信で暗号通貨詐欺を宣伝

ストーリー by nagazou
あの手この手 部門より
headless 曰く、

テイラー・スウィフトの古いインタビュー映像を使用した YouTube の偽アカウントによる「ライブ」配信で、暗号通貨詐欺の宣伝が行われたそうだ (BetaNews の記事)。

このライブストリームには最新アルバム「Midnights」に関連するインタビュー映像のようなタイトルが付けられていたが、実際には 2 年前のインタビュー映像だという。表示される QR コードをスキャンすると、少額の Bitcoin や Ethereum をスウィフトに送ることで倍額を受け取ることができるといった明らかな詐欺ページに転送される仕組みになっていたとのこと。

既に削除された偽アカウントは「Taylor Swift」という表示名で本物のテイラー・スウィフトの公式アーティストチャンネルと同じアカウント画像を使い、本物の再生リストを「ホーム」タブに表示しているため一見本物のようだが、元はまったく異なるアカウントだったようだ。「コミュニティ」タブには以前「RS PRODUÇÕES」という表示名を使用していた時 (Internet Archive のスナップショット) にアップロードしたとみられる画像が残っていた。問題のライブストリームは削除前も「ライブ」タブに表示されず、「再生リスト」タブも空だったほか、「動画」はタブ自体表示されなかった。

偽アカウントのチャンネル登録者数は本物と比べ物にならないぐらい少ないが、11 月 6 日に削除される前には 16,600 人が登録していた。 BetaNews の記事作成時点では 14,200 人だったとのことで、削除されるまでの数日で 2,000 人以上が騙された可能性もある。一方、本物は BetaNews の記事作成時点の 4,930 万人から 10万人増加して 4,940 万人となっていた。

15988395 story
NTT

NTT、量子計算機で古典計算機より高速に解くための新たなアルゴリズムを考案 25

ストーリー by nagazou
考案 部門より
NTTは10月31日、量子計算機が古典計算機よりも高速に解けることを示す新たなアルゴリズムを世界で初めて考案したと発表した。この新たな量子アルゴリズムは、出力が周期性のような「構造」を持たない関数を用いた問題に対し、検証可能な量子計算機の優位性(量子優位性)を示すものだという。1994年のShorの素因数分解アルゴリズム以来の約30年ぶりの本質的に新しいアイディアに基づいたものだという。これまで量子計算機による高速なアルゴリズムが知られていなかった種類の問題に対しても、高速な量子アルゴリズムが発見されることが期待できるとしている(NTTリリースTECH+)。
15987401 story
お金

不正利用検知でネットバンキング利用停止になると即時再開は1か月分のログイン日時が必要 87

ストーリー by nagazou
ほかの銀行でもあるんじゃないかな 部門より
インターネットバンキング「みずほダイレクト」でのトラブルがネットで話題になっているようだ。トラブルに遭ったのは声優の民安ともえさん。同氏は10月26日にみずほダイレクトが突然利用できなくなったと投稿。みずほに問い合わせしたところ「不正利用の疑いを検知したため、緊急でインターネットバンキングのサービスを止めた」との説明を受けた。その後「不正利用はなかった」ことが確認されたものの、インターネットバンキングは使えないままになってしまったようだ(民安ともえさんのツイートITmedia)。

急ぎの振込が必要だったことから民安さんが食い下がると「1か月間の利用履歴が確実に本人のものであると確認ができれば再度開通できる」と返答されたという。不正利用の疑いで勝手に凍結した上、ユーザー側が書面での再利用手続きをするまでは使用できないといった、疑いが払拭された後のみずほ側の対応に疑問を感じたとしている。

なおみずほ銀行は紙の通帳のオンライン化を進めている。しかし、みずほダイレクトが使用できない場合は、オンラインでの利用履歴の確認できないと思われるため、いざというときに1か月間の利用履歴を確認できるようにするには、紙の通帳も用意しておいたほうがいいということになりそうだ。
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...