パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2021年8月のセキュリティ人気記事トップ10
15400292 story
テクノロジー

JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 191

ストーリー by nagazou
これはさすがにまずいんでは 部門より
あるAnonymous Coward 曰く、

読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。

4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?

15369065 story
スラッシュバック

玄関ドアのスマートロックにまつわるトラブル。インターホン経由で屋外から解錠へ 77

ストーリー by nagazou
セキュリティ的にはだめなのでは 部門より
ケータイ Watchにスマートロックに関するトラブルが報告されている。その記事によると、著者は玄関ドアのスマートロック「Qrio Lock」を導入、Apple Watchからの操作で便利に使っていたという。そんな中、スマートロックを導入したが故に家に入れないトラブルに遭遇したそうだ(ケータイ Watch)。

原因は玄関側に取り付けるスマートロックの電池切れ。市販されているスマートロックの多くは後付けで、鍵を回すモーターは内蔵された電池で駆動させるため、電池切れを起こすとスマートロックとしての機能は使えない。物理キーを持っていれば問題なかったが、著者が遭遇したトラブルでは、郵便物を受け取りにちょっと出ただけのため、Apple Watchしか持っておらず結果として家から閉め出されてしまったようだ。そのときは子どもの帰宅時間が近く、子どもに持たせていた物理キーで入ることができた。

同氏はさらに翌日も解錠操作に失敗するトラブルが発生したという。このときはApple Watchのアプリから自宅の鍵情報が消えてしまったとしている。同氏はスマートスピーカーとスマートロックの連携をしていたことを思い出し、玄関の外からインターホン経由で解錠の指示を何回か出した結果、解錠に成功し家に入ることができたとしている。

同様のスマートロック関連のトラブルがネット上でも報告されている。こちらはスクートフォンアプリで鍵の開閉を行う方式のレンターカーで、車種はヤリスだったそうだ。被害に遭ったのはKenn Ejimaさん。Togetterのまとめ記事によれば、飛騨の山奥でBluetoothの接続ができなくなり、仕方なく業者を呼んで鍵を開けてもらったはいいが、今度はセキュリティ機能が働きエンジンが掛からなかったことから、諦める結果となったようだ。車両はレッカー輸送となり、本人はその場に放置されることになったとのこと(Kenn EjimaさんのツイートTogetter)。
15384986 story
インターネット

ニップン(旧・日本製粉)、バックアップを含む大量のデータが暗号化され復旧困難。決算発表は延期 72

ストーリー by nagazou
大攻撃 部門より
製粉大手のニップンは8月16日、サイバー攻撃を受けて2021年4~6月期決算を延期した。当初決算は8月5日に発表予定だったが、約3カ月延期して11月15日に行う予定であるとしている(ニップンリリースITmediaNHK)。

同社は7月7日にランサムウェアによるサイバー攻撃を7月7日に受けたという。攻撃はグループ会社を含むサーバのほとんどに対して同時に行われ、バックアップデータを含む大量のデータが暗号化されたとしている。同社は外部専門家に「前例のない規模」と報告を受けたとしている。
15377710 story
スラッシュバック

アプリで開閉するレンタカーから山奥で締め出し、再検証でも原因は不明 99

ストーリー by nagazou
Bluetoothを阻害する電波が山から出ていた? 部門より
先日、スマートロックに関する話題で山奥でレンターカーのドアが開かなくなり、閉め出されてしまうというトラブルに遭ったという内容を少し紹介したが、その続報がITmediaに記事として掲載されている。被害に遭った江島健太郎(@kenn)さんが行ったポッドキャスト番組などで経緯が紹介されたのだという(ITmedia)。

もう少し詳しく触れておくと、江島氏が使用したのはトヨタ自動車の無人レンタカーサービス「チョクノリ!」に関するトラブル。飛騨の山奥に付いたときに、スマートフォンからレンタカーのドアのロックが制御できなくなった。ピッキングで解錠してドアを開けても、自動車自体は堅牢なセキュリティでロックされてしまい、エンジンをかけることができず、結局レッカーされてしまう結果になった。そのときトヨタ側は代替の移動手段を用意せず、同氏は飛騨山脈のど真ん中で放り出れた状態になった。詳細については、当時の同氏のツイートをまとめたTogetterやそのフラブルを紹介しているITmediaの記事を見ていただきたい(TogetterTmedia/a>)。

前置きが長くなったがその後、トヨタの担当者が江島さんのもとに問題となった車両と菓子折りを持って現れたという。謝罪と検証のためだそうで、その場で実車を開けてみるテストを行ったしたところ、トラブルは全くなかったという。Bluetoothのローカル処理だけで行っているため、本来山中であっても動作するはずとされ、再検証を行っても原因は分からなかったとしている。
15384875 story
アメリカ合衆国

米国家運輸安全委員会、停止している緊急車両に Tesla 車が衝突した 11 件の事故に関する正式な調査を開始 47

ストーリー by nagazou
調査 部門より
headless 曰く、

米国家運輸安全委員会 (NHTSA) 欠陥調査室 (ODI) は 13 日、Tesla 車が緊急車両に衝突した複数の事故に関する正式な調査の開始を発表した (調査概要: PDFThe Verge の記事The Guardian の記事)。

事故は 2018 年 1 月にカリフォルニア州で Tesla Model S が消防車に衝突した事故をはじめ、今年 7 月までに計 11 件発生している。いずれも緊急車両が出動した現場付近をさまざまな構成・モデルの Tesla 車が通りかかり、路上に停止している緊急車両に衝突したというもの。Tesla 車はすべてオートパイロットまたはトラフィックアウェアクルーズコントロールが有効になっていたことが確認されている。

多くの事故が発生したのは日没後の時間帯であり、事故現場では緊急車両が緊急灯を点灯していたほか、発光式矢印版やパイロンの設置などが行われていたという。事故では計 17 名の負傷者と 1 名の死者が出ている。

ODI では 2014 年式 ~ 2021 年式の Model Y / X / S / 3 でオートパイロット (レベル2の先進運転補助機能) の初期評価を開始しており、オートパイロット中にドライバーがすべき操作を監視・強制する方法や技術の評価などを行うとのことだ。

15387789 story
アメリカ合衆国

タリバン、米軍生体認証デバイスを入手か。米英の協力者あぶり出しに悪用される可能性 45

ストーリー by nagazou
リモートで消したりできないんですかね 部門より
The Interceptの記事によると、アフガニスタンを掌握したタリバンは米軍が利用していた生体認証装置を押収したそうた。押収された機器は「HIIDE」と呼ばれるもので、虹彩や指紋・顔で個人を認識し生体認証を行う装置。内蔵データベースもしくは外部のデータベースに接続することで、個人を照合することができるらしい(The InterceptGIGAZINE)。

米国はアフガニスタン内外の協力者だけでなく、外交努力を支援するアフガニスタン人などからもデータ収集をしてきた。米国大使館や領事館での就職を希望する地元のアフガニスタン人を精査するために使用されたのだという。すぐにデータを参照できるわけではないようだが、そうした個人情報が含まれているHIIDEがタリバン側に渡ってしまったことで、米国や英国などに協力してきたアフガニスタン人を特定するために悪用される危険性があるようだ。
15373189 story
EU

Chaos Computer Club、独キリスト教民主同盟には2度と脆弱性を知らせない 73

ストーリー by headless
責任 部門より
Chaos Computer Club (CCC) は 4 日、独キリスト教民主同盟 (CDU) のソフトウェアに脆弱性があっても今後知らせることはないと宣言した (CCC のブログ記事The Register の記事heise online の記事 [1][2])。

発端は 5 月、CCC の活動家 Lilith Wittmann 氏が CDU のキャンペーンアプリ「CDU-connect」のデータベースに格納された大量の個人情報がインターネットで公開状態になっていることを発見したことだ。個人情報には選挙スタッフ18,500人と支持者1,350人のほか、戸別訪問した数十万人の反応を記録したデータも含まれる。Wittmann氏はCDUと当局に責任ある開示を行い、データベースはオフラインとなった。

しかしWittmann氏は3日、CDU-connectアプリに関して容疑者リストに含まれるので住所を連絡するようにとの通知を捜査当局から受け取ったことを明らかにする。CDUのStefan Hennewig氏は被害届がWittmann氏を対象にしたものではないと主張しつつ、Wittmann氏の名前を記載したのは誤りだったと謝罪した。

それでもCCCは将来的な法的問題を回避するため、CDUのシステムに関連する脆弱性の報告は回避せざるを得ないとし、匿名での無責任な脆弱性開示が増えてもCCCの責任ではないと述べている。
15368940 story
Windows

Windows 10、望ましくない可能性のあるアプリケーションを既定でブロックへ 45

ストーリー by nagazou
ブロック 部門より
headless 曰く、

Microsoft が Windows 10 の望ましくない可能性のあるアプリケーション(PUA) 対策に関するサポート記事を更新し、8 月からコンシューマー向け環境で PUA のブロックを既定で有効にする計画を明らかにした(Microsoft のサポート記事[1][2]BetaNews の記事Softpedia の記事)。

PUAのブロックは Windows 10 May 2020 Update (バージョン 2004) で「Windows セキュリティ」に追加された。エンタープライズ向けの環境では既定で有効になっているものもあったそうだが、コンシューマー向けの環境では有効化が推奨されるのみで既定では無効となっていた。

既定値の変更後に PUA のブロックを無効化したい場合は、Windows セキュリティの「アプリとブラウザーコントロール→評価ベースの保護→評価ベースの保護設定」で設定を変更すればいい。

手元の環境では 1 台のみ有効化されていたが、これは自分で有効化したように記憶している。スラドの皆さんの環境はいかがだろうか。

15400335 story
サイエンス

冷蔵庫の製氷機にミネラルウォーターをいれると雑菌が繁殖するリスク 59

ストーリー by nagazou
水道水が無難 部門より
冷蔵庫の製氷用のタンクに入れる水は水道水以外はダメというある話があるそうだ。そこでウェザーニュースが浄水器開発メーカーのイーテックに確認したそうだ。イーテックによると、以前は製氷機のタンクに入れる水は水道水以外はNGのものがあったのは事実だそうだ。理由としては、ミネラルウォーターや井戸水などの消毒されていない水を使用した場合、メンテナンスできないパイプなどに雑菌が繁殖する可能性があったためだという(ウェザーニュース)。

しかし最近の冷蔵庫では、給水タンクや浄水フィルタを掃除できるようになっていることから、きちんとメンテナンスできるのであれば、ミネラルウォーター使用可能な製品もあるようだ。ただし、浄水器の水はOKなものの、水の硬度が高すぎるミネラルウォーターはNGという場合もあるとしている。なお清掃可能な製品の場合でも、清掃時には水道水と布巾を使用、タワシや研磨スポンジの使用はしないように求めている。なおガンコな汚れのときは中性洗剤を使用すべしとのこと。
15368959 story
バグ

北米で主要な病院の 80 % が使用する気送管システムに脆弱性 25

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

北米では主要な病院の 80 % が使用しているという Swisslog Healthcare の気送管システム TransLogic Pneumatic Tube System (PTS) で見つかった一連の脆弱性「PwnedPiper」について、発見者の Armis が解説している(Armis のリポートSwisslog Healthcare のアドバイザリーThe Register の記事Softpedia の記事)。

日本ではエアシュートなどとも呼ばれる気送管システムは、空気圧をかけたパイプのネットワークで物品を格納したパケットを送る仕組み。かつては人力によるルーティングが行われていたが、現代的なシステムは IP ネットワークに接続され、コンピューターにより制御が行われる。

TransLogic PTS の脆弱性は制御用の Linux デバイス Nexus Control Panel に存在し、検証なしのファームウェア更新 (CVE-2021-37160) や、リモートからのコード実行または DoS が可能となるメモリ破損の脆弱性 (CVE-2021-37161 / 37162 / 37164 / 37165 / 37166)、ハードコードされた Telnet パスワード (CVE-2021-37163)、特権昇格の脆弱性 (CVE-2021-37167) といったもの。Armis は 9 件の脆弱性と述べているが、CVE-ID が割り当てられた脆弱性は 8 件となっている。全ての脆弱性は認証されていないネットワークパケットを送るだけで引き起こすことが可能で、ユーザーの操作は必要ないとのこと。

これらの脆弱性を悪用することで、攻撃者は送り先の変更や速度の変更といった攻撃が可能だ。血液製剤など低速で送るべき物品を高速で送ってしまうと、患者に被害が及ぶ可能性もある。また、PTSのユーザー認証システム WhoTube に登録されたスタッフの認証情報取得や病院のコミュニケーションソリューションに統合された PTS のアラートシステム悪用による業務妨害、ランサムウェア攻撃なども可能になる。

脆弱性のほとんどはファームウェアバージョン 7.2.5.7 で修正されているが、CVE-2021-37160 だけは修正されていないという。Armis ではパッチの適用のほか、Telnet のブロックや ACL のデプロイ、Snort による攻撃検知といった対策を推奨している。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...