パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2022年4月22日のセキュリティ記事一覧(全3件)
15632077 story
アメリカ合衆国

米連邦控訴裁判所、一般公開されているデータのスクレイピングは不正アクセスにあたらないと判断 19

ストーリー by nagazou
まともな判断 部門より
headless 曰く、

米連邦巡回区第 9 控訴裁判所は 18 日、hiQ Labs が LinkedIn を訴えた裁判の差し戻し審で、LinkedIn 公開プロフィールへのスクレイピングをブロックしないよう LinkedIn に命じた連邦地裁の判断を再び支持した (Neowin の記事The Register の記事CyberScoopの記事裁判所文書: PDF)。

この裁判は LinkedIn が hiQ による LinkedIn 公開プロフィールのスクレイピングをコンピューター詐欺と濫用に関する法律 (CFAA) などに違反すると主張してアクセスをブロックしたため、hiQ 側が違法でないことの確認を求めて提起したものだ。 一審の連邦地裁では 2017 年、アクセスブロックの即時中止とスクレイピング中止を求めた通告の即時取り下げを命ずる事前差止命令を出し、2019 年には控訴裁判所がこの判断を支持していた。

その後、業務と無関係なナンバープレート照会を実行した警察官 (当時) を米政府が訴えた裁判で、アクセスが認められている範囲内であれば目的外の使用も CFAA が定めるコンピューターの不正使用にあたらないとの判断を連邦最高裁が示して (Van Buren 判決) おり、LinkedIn 側がこれを踏まえて判断し直すよう最高裁に請求(PDF)。最高裁は請求を認めて控訴裁判所の判断を取り消し、Van Buren 判決を踏まえた再審理を控訴裁判所に命じた (PDF)。

控訴裁判所は 2019 年、CFAA の定める「許可のない」アクセスが許諾の有無なのか、認証の有無なのかという重要な問題をhiQが提起したと指摘していた。今回はさらに踏み込み、「許可のない」アクセスとなるのはパスワード認証などによるアクセス許可が必要なデータに対する認証を経ないアクセスであって、そもそもアクセスに認証を必要としないデータには適用されないと判断した。

Van Buren 裁判では「許可された」アクセスの範囲が争点だったが、これを踏まえたことで「許可のない」アクセスに対する解釈が補強されたという。その結果、事前差止命令が適切だったとの結論に再び達し、審理を継続するよう連邦地裁へ差し戻した。

15632932 story
ネットワーク

Windows 11 Insider Preview Home、SMB1 がデフォルト無効に 21

ストーリー by nagazou
どれくらい影響が出るかな 部門より
headless 曰く、

Microsoft は 19 日、Windows 11 Insider Preview Home エディションで新規インストール時に SMB1 クライアントがインストールされなくなったと発表した (Storage at Microsoft の記事Neowin の記事The Register の記事On MSFT の記事)。

Microsoft は段階的に SMB1 の廃止計画を進めている。Windows 10 バージョン 1709 (Fall Creators Update) 以降では Home / Pro エディションで SMB1 サーバー、Enterprise / Education /Pro for Workstation では SMB1 サーバー・クライアントの両方がデフォルトでインストールされなくなり、バージョン 1809 (October 2018 Update) 以降では Pro エディションのデフォルトで SMB1 クライアントがインストールされなくなった。Home エディションでは引き続き SMB1 クライアントがデフォルトでインストールされていたが、延べ 15 日以上の稼働期間に一度も SMB1 クライアントが使われない場合は自動でアンインストールされるようになっていた。

今回の変更により、Windows 11 Insider Preview で SMB1 クライアントがデフォルトでインストールされるエディションはなくなった。必要な場合はコントロールパネルの「Windows の機能の有効化または無効化」で SMB1 クライアントを有効化することもできるが、将来のリリースで SMB1 のバイナリを削除する計画も同時に発表された。これに伴って非サポートの SMB1 インストールパッケージを別途提供する計画もあるといい、より詳しい情報は数か月のうちに発表できるとのこと。

Microsoft のNed Pyle 氏によれば、Home エディションのユーザーの中には非常に古い NAS を使い続け、それに新しい Windows 11 PC が接続できない理由を理解するのが難しい人もいるため、SMB1 クライアントを最後まで残しておく必要があったという。そのため、このようなユーザーへの周知に協力を求めている。

15632934 story
情報漏洩

GitHubから非公開リポジトリなどのデータが流出 13

ストーリー by nagazou
流出 部門より

GitHubは15日、OAuthインテグレーターであるHerokuとTravis-CIからに発行されたOAuthユーザートークンが盗まれ、リポジトリのコンテンツを不正にダウンロードされたと発表した。GitHub側は影響を受けたアプリケーションに対し、関連するすべてのOAuthユーザートークンを失効させ、加えてユーザーへ通知する措置を講じたとしている(GitHubブログ窓の杜)。

同社は13日から14日にかけてHerokuとTravis-CIに調査結果を開示した。これらのアプリを使用していた数十の組織が被害に遭った可能性があるという。4月15日段階で影響を受けるOAuthアプリケーションは以下の通りとなっている。

  • Heroku Dashboard(ID: 145909)
  • Heroku Dashboard(ID: 628778)
  • Heroku Dashboard - Preview(ID: 313468)
  • Heroku Dashboard - Classic(ID: 363831)
  • Travis CI(ID: 9216)
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...