パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2021年11月のセキュリティ人気記事トップ10
15482946 story
Transmeta

スマートフォンの指紋認証、快適に利用できてる? 83

ストーリー by headless
指紋 部門より
Google Pixel 6 / 6 Pro はディスプレイに指紋センサーを内蔵しているが、さまざまな問題が報告されているようだ。

指紋認証の遅さについて Google は強化されたセキュリティアルゴリズムにより時間がかかると説明する一方、Reddit では他の人の指紋で認証されたとの報告もみられる。また、バッテリー切れで電源が落ちた後に再起動すると指紋センサーが機能しなくなり、端末を初期化するしか復旧の方法がないとの報告も出ている。

個人的には1か月ほど前に塩素系漂白剤を素手で触ってしまって以来、主に使用しているシャープとソニーの端末で指紋認証がごくまれにしか通らない状況が続いている。スラドの皆さんはスマートフォンの指紋認証を快適に使用しているだろうか。
15480045 story
教育

学習向けタブレット等を使用してのいじめ、全国の小中学校で増加 89

ストーリー by nagazou
導入前の検証が甘かったのかも 部門より
GIGAスクール構想で配布されたタブレットなどが原因となって、教育機関でいじめなどが発生している件で、読売新聞が全国74市区を対象に調査を行ったという。この調査によると14市区が同様のトラブルを把握していることが判明したそうだ。さらに四つの自治体はいじめと認知していたとしている。トラブルの多くは以前取り上げた内容と類似したものが多く、アプリを使用した誹謗中傷や友人の端末をフィルタリング解除し、その上で猥褻動画の視聴といったトラブルなどとなっているようだ(読売新聞全文掲載のYahoo!ニュース記事)。

先の過去記事のときは一部の学校の体制による問題とも取れる内容だったが、この調査によれば全国的な問題となっていることが分かる。タレコミによれば、小学校低学年の場合、アルファベットの入ったパスワードの入力が困難なことから、覚えられない子供のためにパスワードを端末に貼っている教員などもいるとのこと。

katu256 曰く、

また文科省の2020年度問題行動・不登校調査によると、いじめの認知件数は小中高、特別支援学校を合わせて51万7163件と前年比15.6%だが、ネットいじめは5.3%増、特に小学校は32.1%増の1万8870件と急増している。

記事を読む限り、学習端末のトラブルは現場に一任しているようで、関係者の方々は苦労されているだろうと思う。特にパスワードの漏洩などについては、指紋認証の導入で大幅に抑止できるのではと思うが如何だろうか。

スラドには教育関係の職種について方もいる多いと思うので、ご意見をお伺いしたい。また、現場にしかわからない苦労があれば、それも併せて教えてほしい。

15498255 story
暗号

Collins Dictionary が選ぶ 2021 年を代表する言葉は「NFT」 40

ストーリー by headless
代表 部門より
Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事Neowin の記事Mashable の記事Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。
  • double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した
  • hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
  • pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
  • climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
  • neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
  • Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811~1820) の上流階級の衣服をイメージした服装
  • cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの
15477871 story
情報漏洩

AVの無修正動画が中国に大量流出、不正アクセスによる被害か? 73

ストーリー by nagazou
あらあら 部門より
あるAnonymous Coward 曰く、

週刊文春が今月報じたところによると、10月中旬ごろから中国のサイトに日本メーカーのアダルトビデオ (AV) の無修正動画が大量流出し、不正に販売される事態が起きているという(文春オンライン, MAG2NEWS)。

報道によると、流出したのは業界最大手のソフト・オン・デマンド (SOD) の作品約50本を始め、プレステージなどの人気メーカーも含め計約120本。過去に関係者がマスターテープを持ち出した事件などもあったが、これほどの本数が流出したことはなく、不正アクセスなどによるものではないかと言われているという。また、動画の中にはタイトルに「仮」と入っているなど編集途中のデータであることを伺わせるものもあったという。

こうした動画は、中国サイトでは1本50~100ドルでダウンロード販売されており、人気トップ女優の作品も多数含まれているとのこと。中国ということでサーバー運営者への削除依頼や法的措置も難しく、また出演者の中には本数が多いことからメーカーが組織的に流したのではないかと疑う声もあるとのことで、今後AV業界で大きな問題になるかもしれない。

15491016 story
情報漏洩

2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 109

ストーリー by headless
人気 部門より
パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事HackRead の記事Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。
15476744 story
ネットワーク

ホテルが特定メーカーのWi-Fiルーターの使用禁止に。ネットでは理由の推理が行われる 88

ストーリー by nagazou
名指しされるのは珍しい 部門より

ホテルに次のような張り紙が貼ってあったとする「ぽんず」さんのツイートが話題となっている(ぽんずさんのツイートTogetter)。

エレコム製wifiルーターのご使用はお控えください。 ※全館でのインターネットの使用ができなくなります。

この張り紙になぜ・どうしてという疑問がたくさん出ていたが、Twitter上のコメントではDHCP関係の処理のせいでこうした張り紙が貼られているのではないかとする推測が出ている。その中で最もまとまっているツキコウさんのツイートを引用させていただくと、

一部のルーターで、ホテル側のIPアドレスと重複した物が割り当てられることがあり、ネットワーク制御に不具合が生じる場合があるようです。 ブリッジモードに設定できれば良いのですが、簡易的な物だと非対応の場合もあるので、全面的に禁止にしていると思われます。

とのことだが実際の理由は不明だ。皆さんはどうお考えだろうか

15470732 story
情報漏洩

「社食がまずい」は業務上知り得た秘密になるのか? 136

ストーリー by nagazou
誰か訴えられてみてくれないと 部門より
izmさんの「社食がまずい、は業務上知り得た秘密に入るかどうか」というツイートが議論を呼んでいたようだ。これに対して様々なレスが行われているが、業務時間に社食を利用していたならば業務、バレると会社のイメージダウンにつながる、社員の士気に関わるなどといったものが多く、業務上の秘密に該当するとする見方が多いようだ。なお、外部の企業が社食を運用しているの場合は秘密に該当しないといった指摘もある。中には社食の値段からどの会社か特定されてしまったとする社食警察に捕まってしまった人もいた模様(izmさんのツイートTogetter)。
15499481 story
セキュリティ

2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」 22

ストーリー by nagazou
マルウェア 部門より
headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

15500935 story
クラウド

スマートロックサービス「Qrio」でネットワーク障害。発生から4日が経過 115

ストーリー by nagazou
障害 部門より
ソニー子会社の「Qrio」が提供するスマートロックサービスで11月27日から障害が発生しているそうだ。このシステムはドアに設置し、モーターでカギを物理的に回して解施錠を行う「Qrio Lock」を用いたサービス。Qrio Lockは登録したスマートフォンを持って近づくと自動的に解錠し、ドアが閉まればオートロックをおこなうスマートロックシステム(QrioリリースITmediaQrio Lockの公式動画Qrio Lockのハンズフリー解錠って実際どういう仕組みで動いてるの?)。

同社ではQrio Lockをインターネット経由やスマートスピーカー経由で遠隔操作するためのユニット「Qrio Hub」をオプションとして提供していている。今回のシステム障害はこの「Qrio Hub」側で起きているという。リリースによればQrio Hubとサーバー間の通信エラーが発生し、Qrio Hubに対してネットからのリモート操作による解施錠とQrio Hubによる解施錠履歴更新ができない状態であるとしている。Qrio Lock単体で使える解施錠機能は従来通り利用できる。同社では調査及び復旧に向けた対応を行なっていくとしている(参考:「Qrio Smart Lock」は「Qrio Hub」を以て完成する!)。
15472459 story
Android

Google、Pixel 3 / 3 XL 最後のアップデートを 2022 年第 1 四半期に提供する計画 46

ストーリー by headless
最終 部門より
Google が 2022 年第 1 四半期に Pixel 3 / 3 XL 最後のアップデート提供を計画しているそうだ (9to5Googleの記事)。

Pixel 3 / 3 XL は 2018 年 10 月発売。バージョンアップデート・セキュリティアップデートともに提供保証期限は 2021 年 10 月となっており、Android 12 は提供されたものの 11 月のセキュリティアップデートは提供されなかった。そのため、9to5Google がサポート終了の確認を求めたところ、もう 1 回アップデート提供を計画しているという回答があったとのことだ。
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...