パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2023年7月のセキュリティ人気記事トップ10
16681213 story
ニュース

マイナカードの自主返納が急増。誤登録が起きた5月以降に 170

ストーリー by nagazou
自主返納はあまり意味が無いような 部門より
共同通信の調査によれば、マイナンバーカードの自主返納が5月以降、少なくとも318件あったことが判明しているという。都道府県庁所在地と政令指定都市の計52市区を対象に、国外転居やカードの破損などの理由ではなく、本人の希望に基づく自主返納数を調べたという(日経新聞)。

自主返納数を把握していたのは29市で、5月以降の最新データを合計した結果、計318件となった。最多は堺市の44件だった。4月時点では自主返納数を把握していた24市のうち15市はゼロで、残る9市の合計は21件だった。しかし、5月以降には誤登録などのマイナンバー関係のトラブルが相次いたことから、情報漏えいへの不安や不信感から返納数が急増したとみられている。
16702999 story
日本

相模原市のマクドナルド、特定の学校の生徒を出入り禁止にする張り紙を掲示 136

ストーリー by nagazou
そんなに治安が悪いのか 部門より
あるAnonymous Coward 曰く、

朝日新聞の記事によると、神奈川県相模原市内のマクドナルドのある店舗が、地元の特定の中学校の生徒を出入り禁止にしたそうだ。

同店では、この中学校の生徒による迷惑行為が頻発していて、店は、学校側にも改善を複数回求め、警察にも相談していたそうだ。その後も行為が止まなかったため、店は同校の全生徒を出入り禁止にする張り紙を掲示したようだ。この張り紙の写真がSNSで拡散した後、店は学校名を消した貼り紙に直したらしい。

皆様が子供だった頃、同様の事例はあっただろうか。現在住んでいる地域でこうした問題はあるだろうか。

16705757 story
クラウド

名古屋港のシステム停止、VPNの脆弱性を突かれたか 45

ストーリー by nagazou
VPNリスク 部門より
名古屋港運協会は26日、7月4日に発生したNUTS(名古屋港統一ターミナルシステム)がランサムウエア被害を受けた件に関する調査報告を発表した。障害の要因に関してはランサムウェアへの感染と確定している。現段階で判明している状況としては、リモート接続機器の脆弱性が確認されており、そこから不正なアクセスを受けたと考えられているという。これにより、データセンター内にある NUTS の全サーバーが暗号化された。脅迫文に身代金額の記載はなかったとされる。外部への情報漏洩の形跡は確認されていない(名古屋港運協会リリース[PDF]日経クロステック)。

読売新聞の記事によると、ウイルスはVPNを経由して送り込まれた可能性が高いことがわかったという。システムに使われていたVPNは、不正アクセスに対する脆弱性が指摘されていたが、対策はされていなかった。被害にあった名古屋港運協会のシステムは、米フォーティネット社製のVPN機器「フォーティゲート」を使用していたとされる。フォーティネットは6月、この機器に新たな脆弱性が発見されたことを公表し、修正プログラムを提供していたが、名古屋港運協会は今年4月以降は修正プログラム適用をおこなっていなかったという(読売新聞)。
16704833 story
AMD

AMD製CPUに脆弱性見つかる 36

ストーリー by nagazou
脆弱 部門より
AMD製のZen 2コアを採用したCPUに「Zenbleed」という脆弱性 (CVE-2023-20593) が存在していることが判明したそうだ。Zenbleedを発見したのはGoogleのセキュリティ研究者であるタビス・オーマンディ氏で、CPUのレジスタに正しく0が書き込まれない不具合があり、攻撃者が別のプロセスやスレッドからYMMレジスタに保存された機密情報などを読み出せるという(AMDリリースZenbleedPC WatchGIGAZINE)。

このZenbleedはOSに関係なく影響を及ぼす。また仮想マシンやサンドボックス、コンテナなどの保護機構を回避することができるとされる。AMDはZenbleedの深刻度を「中(Medium)」と評価している。AMDはBIOSアップデートを通したAGESAファームウェアの更新で対処する方針。データセンター向けの第2世代EPYCプロセッサはμコード0x0830107A、AGESA RomePI 1.0.0.Hで修正を行なうほか、デスクトップやハイエンドデスクトップは10月以降の配布を予定しているとのこと。
16704839 story
アナウンス

都内で電動アシスト自転車のバッテリー盗難増加中 49

ストーリー by nagazou
ご注意 部門より
東京都内で電動アシスト自転車のバッテリー盗難が増加しているそうだ。NHKの記事によると先月までに合計207件の被害が報告されているという。1月が18件、2月が39件、3月が30件などと毎月およそ20件から40件確認され、特に先月は78件と急増しているとのこと(NHK)。

江戸川区、豊島区、江東区といった特定の地域に被害が集中。今月に入ってからも北区や江戸川区を中心に被害は増え続けている。特に4階建て以上の集合住宅の駐輪場での被害が目立っている。警視庁はバッテリーの取り外しや二重に鍵をかけるなどの盗難対策をおこなうよう呼びかけている。この件に関して警視庁は49歳の容疑者を逮捕している。容疑者の供述によれば「盗んだバッテリーは面識のない人物に渡して一定の報酬を受け取っていた」と述べているそうで、警視庁は盗んだバッテリーを組織的に売りさばいていた可能性もあるとみているという。
16696243 story
Android

Google Play、アプリ公開に必要なデベロッパーの身元情報を拡充 18

ストーリー by headless
身元 部門より
Google が 8 月 31 日に Play Console 要件に関するポリシーを更新し、アプリの公開に必要なデベロッパーの身元情報を拡充する (Android Developers Blog の記事新ポリシーポリシー変更情報BleepingComputer の記事)。

現行ポリシーには提出の必要な身元情報が明記されておらず、「連絡先情報が最新であることを確認する」のみにとどまっている。新ポリシーでは住所・氏名・連絡先メールアドレス・電話番号のほか、組織として登録するアカウントでは D-U-N-S ナンバーが必須となる。

D-U-N-S ナンバーは米 Dun & Bradstreet が開発したユニークな 9 桁のビジネス識別番号で、日本では東京商工リサーチを通じて取得できる。Android Developers Blog の記事では無償で取得できると記載されているが、無償ではないようだ。

今回の変更は Google Play の信頼性と透明性を高めるためのものだという。なお、8 月 31 日時点では新しいデベロッパーアカウントにのみ適用され、既存のアカウントに対する変更は 10 月に詳しい情報を通知する計画とのことだ。
16704826 story
ニュース

有毒アリ対策にかっぱえびせんやピーナツバターが効く?  28

ストーリー by nagazou
どっちでしょう 部門より
岡山県倉敷市の水島港国際コンテナターミナルで7月、有毒で特定外来生物に指定されている「コカミアリ」が初めて確認された。県が約30匹のアリを駆除したが、まだ他の個体がいる可能性もあるという(朝日新聞その2毎日新聞t)。

コカミアリは体長1〜2ミリの小さなアリで中南米原産。水際対策が難しく、隠れている個体を見つけるのが困難なため、国内侵入が問題視されている。コカミアリは他の生物を捕食し、強い痛みを引き起こすことがあり、生態系に悪影響を及ぼすことも懸念されているという。

朝日新聞の記事によると、県自然環境課や港湾課の職員は、アリを1匹も逃さないようにするための対策を練っていたところ、環境省からのアドバイスとして、かっぱえびせんが効果的であると伝えられたという。県はさっそくかっぱえびせんをコンテナターミナルに置き、粘着わなを仕掛けたところ、その後の調査でコカミアリは発見されていない。専門家によれば、コカミアリは甘い菓子よりもかっぱえびせんを好む傾向があるとされる。

別の毎日新聞の記事によると、コカミアリは植物性脂肪と糖分を含むピーナツバターが好物で、環境省が水島、神戸両港で実施した調査でも使われたことがあるという。ヒアリの場合は、スナック菓子の「かっぱえびせん」が誘引効果が高く、回収もしやすいとされている。

この内容は、朝日新聞の無料記事の範囲の内容と整合性がとれていないようにも感じるが、ヒアリ対策でも使われてきたかっぱえびせんがコカミアリにも有効だった、とも読めるがどうなんだろうか。
16702273 story
セキュリティ

訃報:伝説のハッカー、ケビン・ミトニック氏 28

ストーリー by nagazou
お悔やみ申し上げます 部門より
1990年代に活発な活動をしていた伝説ハッカー、ケビン・ミトニック氏が膵臓がんとの闘病の末に亡くなったと報じられている。59歳だった。同氏はPacific Bell(現在のAT&T)にハッキングをし、FBIの最重要指名手配犯としておよそ2年半にわたる逃亡生活を送り、そののち1995年に逮捕された。その後はFBIに協力する形でホワイトハッカーとして活動した。SecurityWeekによると、ラスベガスの葬儀場に掲示された記事で死亡が確認されたという(SecurityWeekGIGAZINE)。
16688852 story
Digital

デジタル庁立ち入り検査へ、マイナ問題巡り 52

ストーリー by nagazou
検査 部門より
政府の個人情報保護委員会は、マイナンバーカードに他人の銀行口座が誤って登録された問題を受けて、デジタル庁に対して立ち入り検査を実施することを決定した。政府は6月にデジタル庁から問題に関する報告書を受け取っており、検査で事案の詳細を把握するとしている(朝日新聞日経新聞)。

個人情報保護委員会は、給付金受け取り口座の誤情報ひもづけなどの問題に対して、デジタル庁のリスク管理と対策が不十分であったと指摘。コンビニエンスストアでの誤交付や「マイナ保険証」として知られるカードへの別人情報の誤登録などのトラブルに対して行政指導を検討している。河野太郎デジタル相も7日の記者会見で、マイナンバー法に基づく立ち入り検査を受ける方針を明らかにしている。また「個人情報に関する重大な事案があった」とも述べている。
16681400 story
インターネット

Brave、ウェブサイトのローカルホストリソースアクセスをコントロール可能にする計画 31

ストーリー by nagazou
初 部門より
headless 曰く、

Brave が今後リリースするバージョン 1.5.4 以降のデスクトップ版 / Android 版 Brave ブラウザーで、ユーザーがウェブサイトによるローカルホストリソースへのアクセスをコントロール可能にする計画を示している。メジャーブラウザーにこのような機能が搭載されるのは Brave が初となる (Brave のブログ記事Ars Technica の記事Ghacks の記事BleepingComputer の記事)。

ウェブサイトによるローカルホストリソースアクセスが可能になっているのは、プライバシーが重視されていなかった時代の名残だという。ウェブインターフェイスを通じたハードウェアの設定など、ユーザーに利益をもたらす形での利用もみられるが、ポートスキャンによるユーザーのフィンガープリンティングや攻撃の入り口となる脆弱性検出など、悪意ある利用も多い。

そのため、既に Brave では悪意を持ってローカルホストリソースをスキャンすることが知られているスクリプトをブロックするフィルターや、ローカル以外でホストされたウェブサイトによるローカルホストリソースへのアクセスをブロックするフィルターを使用しているそうだ。

さらに今後は「ローカルホスト」アクセス権限を追加するほか、ユーザーに利益をもたらすローカルホストリソース利用が知られている「信頼済み」サイトのリストを同梱し、ローカルでホストされたページからのローカルホストリソースアクセスを自動で許可する機能の追加も行う計画とのこと。

当面「ローカルホスト」アクセス権限を要求するプロンプトは「信頼済み」サイトが初めてローカルホストリソースへアクセスするときにのみ表示され、その他のサイトによる要求は許可しない。これは一般ユーザーに理解できるようローカルホストリソースを説明するのが難しいためで、うまく説明できるようになったらその他のサイトにもアクセス権限の要求を許可する計画とのことだ。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...