パスワードを忘れた? アカウント作成
17357722 story
ワーム

線虫が癌を検査するN-NOSE、信頼性に乏しいとの研究も 40

ストーリー by headless
信頼 部門より
ugoo 曰く、

N-NOSE は尿サンプルから線虫が癌を判断する世界初のサービスである。開発会社によれば、線虫にはがん患者の尿の匂いを好む性質があり、患者尿には近づき、健常者の尿からは逆に離れていくという。その論文は Cancers や Oncotarget などに掲載された (論文一覧)。

しかし第 31 回日本がん検診・診断学会総会における「PET 検診と線虫検査」の研究発表によれば、信頼性に乏しいという。がんと診断されたばかりの 10 人の患者について、それぞれの患者尿で N-NOSE を受けたところ陽性判定はゼロ、全員が低リスク(陰性) の A または B 判定だったという (Newspicks の記事)。

なお、開発会社では N-NOSE の感度を 86.3% としている。

この手法はスラドでもたびたび取り上げられていた。

17356666 story
Linux

LTS版Linuxカーネル、サポート期間が2年に戻ることに 30

ストーリー by headless
負担 部門より
LTS 版 Linux カーネルのサポート期間が現在の 6 年間から 2 年間に戻されるそうだ (ZDNET の記事Ars Technica の記事Linuxiac の記事Linux Journal の記事)。

スペイン・ビルバオで開催された Open Source Summit Europe で Linux Weekly News の Jonathan Corbet 氏が明らかにしたもので、メインテナーに大きな負担をかけて誰も使わなくなった古いバージョンを更新する意味がないなどと説明したという。LTS 版カーネルのサポート期間は 2017 年に 2 年間から現在の 6 年間に延長されていた。現在サポートされている LTS 版カーネル 4.14 / 5.4 / 5.10 / 5.15 / 6.1 のサポート期間に変更はないが、今後の LTS 版カーネルのサポート期間は 2 年間となる。
17344575 story
アナウンス

検温で撮影した顔画像は「個人情報」。個人情報保護委員会が注意喚起へ 27

ストーリー by nagazou
注意 部門より
個人情報保護委員会は13日、サーマルカメラの使用について注意喚起をおこなった。サーマルカメラを使用する場合、顔画像などの特定の個人情報を含む情報は「個人情報」に該当するとし、事業者に対して、サーマルカメラの使用や製造・販売において、個人情報保護法に関する留意点を示している(個人情報保護委員会ScanNetSecurity朝日新聞)。

主な注意点として挙げられている内容としては、サーマルカメラで取得したデータが特定の個人情報を検索できるように体系的に構成されている場合、それは「個人情報データベース等」とみなされる。サーマルカメラで個人情報を扱う場合、具体的な利用目的を本人に伝わるように告知することなどを案内している。

こうした告知をおこなうようになった背景には、コロナ禍で「サーマルカメラ」の利用が増加したものの、状況が一段落した後に使われなくなったサーマルカメラに、個人情報が入ったまま転売される事例が相次いだためとみられている(過去記事その2)。
17328220 story
プライバシ

情報が漏れた経緯を調査するため明石市庁舎内の盗聴器の有無調査へ 94

ストーリー by nagazou
見つかったらすごいことになるが 部門より
旧明石市立図書館の跡地利用に関する斎藤元彦知事と丸谷聡子市長の電話会話について、盗聴された疑惑が浮上しているという。会話内容を前市長の泉房穂氏がXでポストしたためだ。この問題について市は15日、情報漏洩の経緯を調査するため、庁舎内で盗聴器の有無を調べることを発表した(神戸新聞NEXT)。

市の説明によれば、丸谷市長は11日午後、庁舎内の応接室で斎藤知事からの電話を受け、受話器で会話をした。このとき部屋には高橋啓介政策局長のみがいたが、高橋局長は「知事との電話の件は話さなかった」と説明。丸谷市長も本会議で「泉氏とは話していない」と述べていた。

このため委員会は、2人でなければ盗聴器の可能性もあるとして、市は「業者を入れて盗聴器の有無を調査し、他に知り得た者がいるか聞き取り調査し、その結果を報告するとの方針を示しているという。
17328231 story
人工知能

ナイジェリア詐欺にもAIパワー 20

ストーリー by nagazou
最先端 部門より
headless 曰く、

Abnormal Security の調査によると、ナイジェリア詐欺でも生成 AI が活用されるようになっているそうだ (Abnormal Security のブログ記事Beta News の記事)。

ナイジェリア詐欺は主にナイジェリアを舞台とし、当局に凍結された大きな資金の移動への協力を求める電子メールなどによる詐欺の手口だ。Abnormal Security によると、これまでのナイジェリア詐欺メールではスペルミスや文法ミスが多くみられたが、最近では生成 AI を使用したとみられるミスのない文面がみられるようになったという。

また、ナイジェリアや周辺のアフリカ諸国にとどまらず、国連やウクライナ、スイス、米国などの人になりすました同様の内容の詐欺メールも増えているとのこと。その一方で従来のスペルミスや文法ミスを含む詐欺メールも並行して送られており、犯罪組織がテクノロジーをテストしている様子がうかがえるとのことだ。

17328136 story
宇宙

人工衛星のセキュリティ対策は不十分?プロトコルの隠蔽のみや脆弱なファームウェアも 22

ストーリー by nagazou
ソ連時代は自爆装置とかはあった気が 部門より
AC0x01 曰く、

ドイツの研究者が人工衛星のサイバーセキュリティの現状を分析したところによると、現役の衛星の中にも適切なセキュリティ対策が施されていないとみられるものがあることが明らかになったという(UchuBizの記事)。

人工衛星のセキュリティ対策はもともと、そもそも人工衛星と通信することは難しく、そのアクセス手段なども知られていない、ということを前提とした「隠蔽によるセキュリティ」に頼ってきた傾向があるという。しかし今日では、超小型衛星やキューブサットを中心にオープン化したコンポーネントが用いられ、また教育機関などで衛星開発についてかかわった人も増えてきていることから、こうした過去の常識が通用しなくなっているとのこと。

今回の調査ではキューブサットに提供されている既存のファームウェアの脆弱性をエミュレータで調査。結果は任意コードの実行が可能で、外部から制御を奪うことが可能だったという。また衛星エンジニアへのアンケート調査では、セキュリティ対策をしているとの回答は約半数(17機中9機)に留まり、その他は対策されていないや分からないといった回答が寄せられたとのこと。また実施しているセキュリティ対策も、「プロトコルの隠蔽」と「プロトコルの暗号化」が半々で、隠蔽に頼った対策が現在でも多く取られているようだ。

17327804 story
Google

Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 47

ストーリー by headless
拡大 部門より
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事Ars Technica の記事Bleeping Computer の記事)。

複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。

OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。

Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。
17256453 story
お金

Amazonで不正アクセス多発か? 69

ストーリー by nagazou
何が起きているのか 部門より
14日頃からSNS上で多くのユーザーが「Amazon.co.jpを不正利用された」との報告が出ているという。一部の被害者は「Amazonギフトカードを大量購入された」または「二段階認証を設定していたにもかかわらず、それを突破された」と話している。中でも注文履歴が非表示にされ、被害者が不正利用に気付かないままクレジットカードの請求が届いたという報告もあったことが注目されている(ITmediaTogetter)。

この被害者がAmazonのサポートに問い合わせたところ、似たような事例が多発していると説明されたという。最終的に被害額は全額返金されたと報告されている。Amazonはセキュリティ対策の一環として二段階認証機能を提供しているが、何らかの手段を使って二段階認証を突破されるケースが相次いでいる模様。また、不正利用分の購入履歴が非表示になることも共通しており、攻撃者はこれを利用して被害の発覚を遅らせている可能性があるとしている。
17233827 story
ニュース

「体臭対策ドットコム」でカード情報流出 29

ストーリー by nagazou
あらら 部門より
福井市に拠点を置く体臭対策関連サービス「ベネフィット-イオン」は9月4日、自社のECサイト「体臭対策ドットコム」が不正アクセスを受け、顧客のクレジットカード情報244件が漏えいした可能性があると発表した。漏えいした情報には、カードの有効期限とセキュリティコードも含まれている可能性があるという(ベネフィット-イオンリリースITmedia)。

2023年3月17日、一部のクレジットカード会社から、クレジットカード情報の漏洩懸念について連絡を受け、同日に「体臭対策ドットコム」でのカード決済を停止した。第三者調査機関による調査が5月19日に完了。その結果、2022年11月5日から2023年3月17日までの期間においてクレジットカード情報が漏洩、顧客情報が不正利用された可能性があることが確認されたとしている。
17223326 story
お金

Raspberry Piを使ってATMのセキュリティを無効化、金を盗んだ3人組を逮捕 25

ストーリー by nagazou
ラズパイでできるんかい 部門より
米テキサス州ルボックで、電子デバイスを使用して地域全体のATMから現金を盗んでいたとして2023年8月3日、3人の男が逮捕された。逮捕されたのはAbel Valdes(38歳)、Yordanesz Sanchez(41歳)、およびCarlos Jordano Herrera-Ruiz(33歳)(Nexstar)。

裁判所の文書によれば、彼らは西テキサス地域のATMを狙う窃盗グループとして知られていたという。裁判所の記録によれば、3人は犯行にRaspberry Piを使用、ラズパイをATMに接続してセキュリティシステムを無効にし、キャッシュドロアと呼ばれる現金の保管ブロックを取り外すことに成功していた。容疑者には逮捕される直前、50番街のATMから5700ドル以上を盗んでいたとされている。
17221538 story
暗号

LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 26

ストーリー by headless
共通 部門より
昨年発生した LastPass の不正アクセス攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事The Verge の記事)。

ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。

そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。

暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。

Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。
17209818 story
ニュース

企業サイトが「破産手続きを開始しました」 などと改ざんされる被害広がる 24

ストーリー by nagazou
被害 部門より
企業の公式サイトなどが改ざんされ、「破産手続きを開始しました」といったう虚偽の情報が表示される被害が相次いでいるという。鹿児島県で中華料理チェーン「餃子の王将」を運営する鹿児島王将は1日、不正アクセスによりホームページが改ざんされたと発表。破産手続きの情報はまったくの事実無根であると説明して警察に被害届を提出したとしている(ねとらぼ)。

ねとらぼの記事によれば、同様の被害が全国で報告されており、映像教材を提供する新宿スタジオや精肉店・ミートプラザニシジマ、多目的施設「湘南国際村センター」なども同様の改ざん被害を受けたとされる。改ざんされたページには実在する弁護士の名前が代理人として記載されているケースもあるが、そのような業務を受任したという事実はございませんと関係を否定している。
17092348 story
アナウンス

JR東日本が共通IDサービス「My JR-EAST」のサービスを終了へ 30

ストーリー by nagazou
終了 部門より
JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される(My JR-EAST公式の新規会員登録の停止について)。

終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。

あるAnonymous Coward 曰く、

JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログインのみに戻すとのこと。
えきねっと、モバイルSuica、JREポイント、ビューカード、各種MaaSアプリなど、JR東日本グループは大量のネットサービスを抱えているが、共通IDの構築は失敗して乱立は解消できなかったようだ。

情報元へのリンク

17005943 story
セキュリティ

数種類のパスワードで大半のウェブサービスを利用するユーザーは8割、トレンドマイクロ調査 62

ストーリー by nagazou
相変わらず 部門より
トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8%がパスワードを複数のWebサービスで再利用しており、その中でも41.9%が2~3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8%、異なるパスワードを考えるのが面倒が48.6%を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている(日経クロステック)。
17005677 story
プライバシ

渋谷に監視カメラを設置し顔認証で通行人を追跡するプロジェクト 107

ストーリー by nagazou
特定の表記を消しただけなのか 部門より
あるAnonymous Coward 曰く、

インテリジェンスデザイン株式会社は渋谷駅周辺に100台のAIカメラを設置してリアルタイムで人流データを取得・解析するプロジェクトを発表しているが、そのホームページで紹介されている事例が「ヤバい」と評判になっている。

「オフライン顧客の見える化」として紹介されているのが「性別・年代・同席者の性別・年代・着用している衣服のブランド・渋谷までの交通機関・昼食を取った場所・移動ルート・今月何回目の渋谷訪問か・前回の訪問日時・今年何度目の渋谷訪問か・商業ビルへの来店回数・前回の買い物履歴」などという実に生々しいもの。

「通年の行動データがリアルタイムで蓄積」とうたわれているだけあり、渋谷の公道を移動してるだけでこれだけの粒度で個人情報が保存されて前回訪問や同行者もデータ化されるというのは恐ろしい。

なおこの記述は高木弘光氏が
https://twitter.com/HiromitsuTakagi/status/1697213910267642105
と、問題視したことを受けたのか

https://idea.i-d.ai/shibuya-project/
「当サイト内にて誤解を招く表現がある箇所について内容を一部修正致しました。」と削除されている。

過去のヤバイ記述はこちら。
https://web.archive.org/web/20230804024613/https://idea.i-d.ai/shibuya-project/

ニュースとして報道されたときにはイベント警備の問題解決が主目的のように報じられていたが、詳細な通行人のデータを企業に売ることが目的だったとはビックリだ。
https://www.excite.co.jp/news/article/Techable_210770/
「渋谷駅周辺にAIカメラ100台設置!人流データを解析し、イベント混雑時の警備問題の解決へ」

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...