米全国労働関係委員会、Apple のリーク防止ポリシーや重役の発言が労働者の権利を制限していると判断

14 hours 15 minutes ago
headless 曰く、米全国労働関係委員会(NLRB)がAppleのリーク防止ポリシーや重役の発言について、違法であるとの結論に達したそうだ (Bloomberg の記事、 Ars Technica の記事、 9to5Mac の記事、 Mac Rumors の記事)。 本件は 2021 年に Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモなどを証拠として元従業員 2 名が NLRB に訴えたものだ。これについて NLRB 法務顧問室は Apple の就業規則や機密保持規定などが従業員の共同行動を起こす権利を制限すると判断。さらに、重役の発言等は全国労働関係法に違反するという。これについて Apple が和解しなければ、NLRB が Apple を提訴することになるとのことだ。

すべて読む | アップルセクション | アップル | アメリカ合衆国 | 政府 | 情報漏洩 |

関連ストーリー:
iPhone SE4は発売されない? 2023年01月10日
ティム・クック氏がリーカーへの不快感を共有する Apple の内部メモがリーク 2021年09月26日

nagazou

現時点の量子コンピューターの技術ではRSA暗号の解読は困難、富士通検証

1 day 17 hours ago
富士通は1月23日、開発中の量子コンピュータのシミュレーターを使い、公開鍵暗号方式の一つであるRSA暗号の安全性を評価する実験を実施したそうだ。量子コンピュータは高速に素因数分解できることが知られており、これが登場するとRSAの安全性が大きく損なわれる可能性が懸念されていた(日経クロステック)。 同社が2048ビット合成数の素因数分解に必要な量子回路の計算リソースを見積もった結果、約1万量子ビットに加え、ゲート数が約2兆2300億、量子計算を行うために必要なステップ数が約1兆8000億の量子回路が必要なことが判明したとのこと。このため、現時点での量子コンピュータの技術ではRSAの解読はまだ困難であるとの結論になったようだ。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | 暗号 |

関連ストーリー:
ポータブルなNMR量子コンピュータが発売。2量子ビットで118万8000円から。教育などの用途を想定 2022年12月19日
凸版印刷とNICT、耐量子計算機暗号を搭載したICカードを開発し有用性を確認 2022年10月29日
福岡市がコロナ患者の搬送ルート作成に量子コンピューター活用、1日に9時間近くから5時間前後に短縮 2022年02月19日
組合せ最適化と量子コンピュータに関する怪しい言説に研究者が間違いを指摘 2021年07月09日

nagazou

英環境・食料・農村地域省、使用アプリの30%がサポート切れでも発生する問題には対応できる

5 days 13 hours ago
英環境・食料・農村地域省 (Defra) では使用するアプリケーションの 30 % がサポート切れとなっているが、発生する問題には対応できると考えているそうだ (The Register の記事)。 英会計検査院 (NAO) が昨年 12 月に公表した報告書 (PDF) によれば、Defra は最もレガシーシステムの問題に直面している英政府機関の一つであり、サポート切れのアプリケーションも 7 月時点で 30 % にのぼる。この問題について議会で答弁した Defra 事務次官の Tamara Finkelstein 氏によれば、直接サポートが受けられるアプリケーションが 20 %、ベンダーによる延長サポートを受けているアプリケーションが 50 % だという。残りの 30 % はサポートを延長することができないと説明していることから、直接サポートが無料サポート、延長サポートが有償サポートを指すとみられる。 そのため、サポート切れのアプリケーションに対しては監視の目を光らせ、問題発生時にはサポートを提供可能な他のサプライヤーに手助けしてもらえるよう手配してあるそうだ。同省では多数の傘下機関を引き継いでおり、同省で把握していないため、NAO の調査結果以上に問題が大きい可能性もあるとのこと。Defra のデジタル・情報責任者 Chris Howes 氏によれば、アプリケーションの問題発生時に対応するのは内部の技術班と Capgemini や IBM を含むサービスプロバイダーだという。「ハイパーケア」の一環として、追加でサービスの定期的な監視も行う。 根本的な解決にはアプリケーションのアップグレードが必要となり、そのための予算割り当ても受けているが、予算が足りるかどうかはまた別の話とのことだ。

すべて読む | ITセクション | 英国 | セキュリティ | ソフトウェア | IT | 政府 |

関連ストーリー:
英国、日本に石炭火力発電施設の全廃を要求へ。 過去のモントリオール議定書は効果があったとする報告 2021年08月25日
英教育省支給のノートPC、プリインストールのマルウェアで注目される 2021年01月28日
英イングランドの都市自治体、4分の1がサポートの終了したサーバーソフトウェアを使用 2018年08月26日
田舎のブロードバンドやモバイル接続環境を改善するため、英国政府と英国国教会が提携 2018年02月23日
ロンドン警視庁、ついにWindows XPからの移行が完了へ 2018年01月26日
ロンドン警視庁、現在稼働中のWindows XPマシンは27,000台 2016年08月12日
英国政府、LibreOffice導入へ 2015年10月25日
英政府、Windows XPからの移行が進まない一方でMicrosoftとのカスタムサポート契約は延長せず 2015年05月02日
英政府、Windows XPの有料サポートを550万ポンドで契約 2014年04月06日
英自治体、サポートの切れるWindowsパソコンからChromebookに移行する計画 2014年04月05日

headless

Microsoft、インターネットから取得した Excel の XLL アドインをブロックへ

5 days 18 hours ago
Microsoft が Microsoft 365 のロードマップを更新し、Excel でインターネットから取得した XLL アドインを 3 月からブロックする計画を示している (ロードマップ、 The Register の記事)。 XLL は C API を使用する高パフォーマンスな Excel アドインで、一種の Excel 専用 DLL と位置付けられる。Microsoft では最近数か月間のマルウェア攻撃増加をブロック開始の理由として挙げている。Cisco Talos によると XLL アドインを使用した攻撃は 2017 年には確認されており、散発的な発生にとどまっていたが、2021 年末から急増していたそうだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ソフトウェア |

関連ストーリー:
Microsoft、Outlook REST APIの廃止を延期 2022年11月26日
Microsoft Office、インターネットから取得したマクロのデフォルトブロック再開へ 2022年07月23日
Microsoft Office、インターネットから取得したマクロのデフォルトブロックを取りやめ 2022年07月10日
Microsoft Office、インターネットから取得したマクロをデフォルトブロックへ 2022年02月09日
Microsoft、Officeで英文編集時のデフォルトフォントを変更する計画 2021年05月02日
LibreOffice 6.3リリース、イベントハンドラーによるLibreLogoマクロの実行をブロック 2019年08月11日
LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない 2019年08月03日
MS、Office 365の仕様を変更しFlashなどのコンテンツの使用をブロックする方針を発表 2018年05月24日
PowerPointのハイパーリンクを悪用し、ホバーするだけでマルウェアをインストールする攻撃 2017年06月12日

headless

米国家安全保障局、IPv6 セキュリティガイダンスを公開

6 days 13 hours ago
米国家安全保障局 (NSA) が IPv6 移行期におけるセキュリティの問題を特定・緩和するためのガイダンスを公開している (プレスリリース、 ガイダンス: PDF、 The Register の記事)。 ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。 プライバシーの問題がある SLAAC を使わず、DHCPv6 を使用する 必要な場合を除いてトンネリングを避ける デュアルスタックシステムの IPv6 側に IPv4 と同等または上回るサイバーセキュリティシステムを実装 複数の IPv6 アドレスを割り当てたホストがすべてのトラフィックをデフォルトで拒否する設定になっていることを ACL で確認し、すべてのトラフィックを記録することを確実にする すべてのネットワーク管理者が IPv6 ネットワーク管理に必要なトレーニングを受ける このほか、スプリット DNS の使用や IPv6 トラフィックのフィルタリング、デュアルスタックシステムでのネットワークアドレス変換使用回避などが追加の対策として紹介されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
NSA、可能な限りメモリ安全なプログラミング言語を使うことを推奨 2022年11月13日
中国が発展途上国向けに提案している「IPv6+」はIPv6とは似て非なるもの 2022年06月17日
IPv6基礎検定が2023年3月から実施へ 2022年03月25日
NTTドコモ回線の一部で通信障害、1日から導入したIPv6シングルスタック方式の影響かは調査中 2022年02月01日
「プロフェッショナルIPv6 第2版」の無料配布が開始される 2021年12月22日
米国国家安全保障局(NSA)、位置情報を漏らさないようにするためのガイダンスを公開 2020年08月13日
NURO光やフレッツ・v6オプションでIPv6ファイアウォールが設定されていないことが話題に 2020年06月01日
IPv4には未来がない 2019年12月19日
米連邦地裁、米政府機関でのカスペルスキー製品使用禁止は違法だとする2件の訴訟を棄却 2018年06月02日
ロシアKasperskyとロシア当局がつながっている疑惑、米国が一部政府機関での導入を禁止へ 2017年07月08日

headless

米航空会社のサーバーからテロリストデータベースが流出した可能性

1 week 2 days ago
Daily Dotなどの報道によると、スイスのハッカー「maia arson crimew」氏は最近、あるセキュリティ保護されていないサーバーを発見したそうだ。このサーバーの中には、米国政府のテロリスト審査用データベースと飛行禁止者リスト、これに関連する何十万人もの個人のIDが含まれていたそうだ(maia blog、Daily Dot)。 maia arson crimew氏によって発見されたこのサーバーは、米航空会社CommuteAirが運営していたものでネット上に公開されたままになっていたという。このサーバーには約1000人のCommuteAirの従業員の個人情報を含む、膨大な量の企業データがあったとしている。 同氏がこのサーバーを分析した結果、「NoFly.csv」という名前のテキストファイルが発見された。これが前述のテロリスト審査用データベースなどだったようだ。このリストには全部で150万件以上の項目があり、名前や生年月日、複数の偽名も含まれていた。中には最近釈放されたロシアの武器商人Viktor Boutを含む著名人が含まれていたとされる。曰く、彼には16もの偽名の候補があったそうだ。ことの経緯に関しては発見者であるmaia arson crimew氏のブログに記載されている。 【修正しました】 米国の国営航空会社としていた部分を「米航空会社」に修正させていただきました[1月27日8時 nagazou]。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 情報漏洩 |

関連ストーリー:
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
SeagateでもCEOを装ったメールによる個人情報流出が発生していた 2016年03月09日
米国政府での大規模情報流出事件、対象の個人に流出した旨を伝えていないことが発覚 2015年09月09日

nagazou

強盗グループ、指示出しにTelegramなどを常用

1 week 2 days ago
東京都で90歳女性の殺害が起きるなど被害が広がっている強盗事件で、逮捕された主犯の男が指示に通信アプリ「Telegram」を使っている可能性が指摘されている。グループはSNS上の「闇バイト」募集で実行役を集めているとされ、こうした募集に応じた相手に対しては暗号化技術により匿名性が高いTelegramを用いて連絡を取っていたそうだ(毎日新聞、日刊スポーツ)。 Telegramにはサーバーを通さず、ユーザー間通信でメッセージを送ることができるほか、設定した時間が経過すると、メッセージが消える機能も備わっている。Telegramを用いて指示を出す手法は強盗グループの間では一般的であるとされている。警視庁などの解析によると、今回の事件ではルフィと名乗る人物からTelegram経由で強盗の日時や場所、手順などの指示を受けていたケースが複数確認されたとしている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 通信 | 暗号 | SNS |

関連ストーリー:
ロシア人、動員逃れのため森でプログラミング生活 2022年10月24日
非武装偵察用ドローン同士の世界初(?)の格闘戦 2022年10月21日
e-Gov、mixiなどで障害。ロシアハッカー集団からのサイバー攻撃が原因か 2022年09月08日
SNS投稿が原因でロシア占領地域の民間軍事会社拠点が攻撃を受ける 2022年08月18日

nagazou

マイナンバーカードに別人の顔写真、市が誤交付

1 week 6 days ago
先日、税務署が同姓同名の別人にe-Taxの識別番号等を教える取り違いが起きたばかりだが、島根県安来市でも17日、同姓同名の別人の顔写真を印刷したマイナンバーカードを、1人に交付してしまったことが発表された。同市では撮影した顔写真を共有サーバーに氏名別に保存しているが、フォルダー名が同じだったため、後から保存した1人分の写真データのみが上書きされて残ってしまったというのがトラブルの原因であるそうだ。カードを受け取った人物からの連絡で判明した。誤発効されたカードでは、氏名や住所、生年月日、個人番号は正しく表記されており、顔以外の情報漏えいはなかったという(朝日新聞、読売新聞)。 nemui4 曰く、税務署に続いてマイナカードで取り違え事案 市は「チェック体制の強化を図り、再発防止に努める」としている。 「間違えないように確認する」チェック体制ではない事をいのります。 そもそも間違えないシステムか交付前に誤りを見つけて訂正できる仕組みを作るのは難しいかな。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政治 | 変なモノ |

関連ストーリー:
税務署が同姓同名の別人にe-Taxの識別番号と暗証番号を教えてしまう事案 2023年01月12日

nagazou

Java SEに脆弱性。IPAとJPCERT/CCは修正パッチの早期適用を呼び掛け

2 weeks ago
情報処理推進機構(IPA)とJPCERT/CCは18日、「Oracle Java SE」に複数の脆弱性が見つかったとして、修正パッチの早期適用を呼び掛けている。脆弱性の発見された対象となる製品は「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。Oracleからは17日にパッチの提供がおこなわれている。JPCERT/CCはユーザーに対し、利用している環境に対象となる製品が含まれていないかも確認するよう促している(IPA、JPCERT/CC、Oracle Critical Patch Update Advisory - January 2023、ITmedia)。

すべて読む | セキュリティセクション | セキュリティ | バグ |

関連ストーリー:
「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」 2022年04月23日
米連邦最高裁、GoogleによるJava SE APIの使用はフェアユースと判断 2021年04月07日
Google、Java APIの宣言が著作権保護の対象にならないとの主張を繰り返す 2020年01月14日

nagazou

Wi-Fi機器をスリープさせないことでバッテリー残量を急速に低下させる攻撃

2 weeks 1 day ago
米スタンフォード大学、米UCLA、カナダのウォータールー大学の研究者が発表した論文によると、Wi-Fi機器に偽のデータパケットを継続的に送信することで、機器のバッテリーの電気を急速に低下させる攻撃が可能になるという。この研究は、IEEE 802.11規格に存在する二つの脆弱性を活用して攻撃をおこなった(ITmedia)。 一つ目の脆弱性は、応答すべきでないときに応答する仕様。ネットワーク外の不正なWi-Fiデバイスから受信した偽のパケットに対しても、ACK(Acknowledgment、受信完了通知)で応答を返してしまうこと。二つ目はWi-Fi無線が起動してはいけない時に起動している仕組み。 Wi-Fi機器の大半では、節電のためのスリープモードを搭載しているが、Wi-Fi機器は定期的に起動して、関連するアクセスポイントから送信されるビーコンフレームを受信する仕組みになっている。しかし、これらのビーコンフレームは暗号化されておらず、ビーコンフレームを偽造して送信することで、外部からターゲットのWi-Fi機器を常に起動させておくことができるのだという。 研究チームが攻撃距離を調べる実験を行った結果、100m以内の距離でも、ほぼ全てのターゲットデバイスが応答、150m離れた場所でも73%という高い応答率だったことが分かったとしている。

すべて読む | セキュリティセクション | セキュリティ | ネットワーク | ハードウェアハック |

関連ストーリー:
全WiFiデバイスに影響する脆弱性「FragAttack」が公開される 2021年05月15日
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
「Free」「Public」などの名前が付いている不審な無線LANに接続してはいけない 2010年11月13日
横浜市、映画館に寄り道で節電キャンペーン 2023年01月31日

nagazou

Microsoft、サポート診断ツールの廃止を計画か

2 weeks 3 days ago
headless 曰く、Microsoft は 2025 年までに Microsoft サポート診断ツール (MSDT) を廃止する計画のようだ (Neowin の記事、 Rafael Rivera 氏のツイート)。 この情報は Microsoftが 12 日に DevチャネルでリリースしたWindows 11 Insider Preview ビルド25276に含まれており、ViVeTool のようなツールで構成 ID「42606374」を有効化すれば MSDT のダイアログボックスに追加で表示されるようになる。追加内容は日本語化されておらず、日本語環境でも英文で「Microsoft Support Diagnostic Tool (MSDT) will be retired by 2025. Learn more.」と表示される。「Learn more」のリンク先は現在のところ一般公開されていないようだ。 MSDT ではたびたび脆弱性が見つかっているが、Microsoft がセキュリティに関する問題だとすぐには認めず修正に時間がかかってきた。そのため、廃止になればセキュリティが向上するとの見方も出ている。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | マイクロソフト |

関連ストーリー:
Microsoft、サポート診断ツールのゼロデイ脆弱性を認める 2022年06月03日

nagazou

英 Royal Mail、サイバーインシデントで国外あての物品が発送できなくなる

2 weeks 5 days ago
英国の郵便サービス Royal Mail が輸出業務に問題が生じていることを明らかにし、問題が解決するまで国外あての物品を送らないよう呼びかけている (Royal Mail のツイート、 The Telegraph の記事、 Sky News の記事、 Cyber Security Hub の記事)。 本件を Royal Mail では「サイバー インシデント」と呼んでいるが、The Telegraph によるとランサムウェアの被害にあったようだ。このランサムウェアは LockBit Black と呼ばれるもので、Royal Mail が国際小包の税関ラベルを印刷するコンピューターに感染したのだという。北アイルランドの Royal Mail ディストリビューションセンターではプリンターがランサムノートを大量に印刷し始めたとも報じられている。The Telegraph が入手したランサムノートには「LockBit Black Ransomware」と記載されている。 Royal Mail ではランサムウェア被害に関する質問への回答を拒否し、顧客には問題解決に取り組む間一時的に輸出品を送らないよう要請していると回答するにとどまったという。国家サイバーセキュリティセンター (NCSC) は本インシデントを認識し、国家犯罪対策庁とともに調査を進めているとのみ説明する声明を出している。 なお、Royal Mail では現在ロックバンド Iron Maiden の記念切手を発売しており、公式サイトはこちらがトップになっている。

すべて読む | セキュリティセクション | 英国 | セキュリティ |

関連ストーリー:
昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧 2023年01月13日
ランサムウェア攻撃でドイツの新聞印刷システムが停止 2022年10月27日
千葉南房総市の情シスにランサムウェア攻撃、身代金払わねば成績表公開と脅迫 2022年09月02日
サイバー攻撃、同じ企業が何度も被害に 2022年07月29日
2019 年にランサムウェア被害にあったマーストリヒト大学、身代金を取り戻せることに 2022年07月08日
徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった 2022年06月21日
ランサムウェア攻撃の被害にあった日本企業、75%が未公表 2022年05月27日
ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答 2022年05月15日
ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立 2022年02月11日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
英国家サイバーセキュリティセンター、用語「whitelist」「blacklist」を使用中止へ 2020年05月04日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
英 Royal Mail がサンダーバードの切手セットを発売 2011年01月14日
サンタクロースのライブカメラ 2002年11月19日

headless

昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧

3 weeks ago
昨年10月にサイバー攻撃を受け、電子カルテが閲覧できなくなったことから一時診療を取りやめていた「大阪急性期・総合医療センター」のシステムが復旧したそうだ。同院では外来診療や手術を中止するなどの問題が起きていた。その後、国の支援チームなどが復旧作業に協力。1月4日から全ての診療科の外来で新規患者の受け付けを再開。画像診断や生理検査などに関するシステムも復旧したという。1月11日からは従来どおりの診療体制に戻っているようだ(TBS NEWS DIG)。

すべて読む | セキュリティセクション | セキュリティ | ニュース | 医療 |

関連ストーリー:
大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止 2022年11月02日
英 Royal Mail、サイバーインシデントで国外あての物品が発送できなくなる 2023年01月15日

nagazou

税務署が同姓同名の別人にe-Taxの識別番号と暗証番号を教えてしまう事案

3 weeks 1 day ago
さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている(さわださんのツイート、その2、その3)。 さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。 nemui4 曰く、善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい?

すべて読む | セキュリティセクション | セキュリティ | 変なモノ | お金 | 情報漏洩 |

関連ストーリー:
国税庁がM1 Macで確定申告書類を提出する場合の注意ページを作成 2021年01月06日
マイナンバーカード方式によるe-Tax送信、新EdgeとChromeに対応へ。来年1月から 2020年10月22日
国税庁のe-taxは2019年よりパスワード認証となり、ICカードは不要に 2017年07月18日
マイナンバーカードに別人の顔写真、市が誤交付 2023年01月21日

nagazou

Windows 8.1 サポート終了、Windows 7 ESU 終了

3 weeks 1 day ago
headless 曰く、Microsoft は日本時間 11 日、Windows 8.1 最後の更新プログラムとなる KB5022352 (月次ロールアップ) および KB5022346 (セキュリティのみの更新プログラム) を提供開始した。 これをもって Windows 8.1 の延長サポートは終了し、テクニカルアシスタンスとソフトウェア更新プログラムが提供されなくなる。Windows 8.1 では有償の拡張セキュリティ更新プログラム (ESU) が提供されないため、デバイスのセキュリティを維持するにはサービス期間内の新しいバージョンの Windows にアップグレードする必要がある。デバイスが新しいバージョンの Windows でサポートされない場合、Microsoft は Windows 11 マシンへの置き換えを推奨している (Microsoft サポートの記事)。なお、Windows Server 2012 / 2012 R2 の延長サポートは 10 月まで、以降 2026 年 10 月まで ESU が提供される。 一方、Windows 7 (Professional および Enterprise) / Server 2008 R2 では同日提供が始まった KB5022338 (月次ロールアップ) およびKB5022339 (セキュリティのみの更新プログラム)をもって ESU の 3 年目が終了 (製品ライフサイクルに関するFAQ — 拡張セキュリティ更新プログラム)。ESU は最大 3 年間となっているため、Windows 7 / Server 2008 R2 の更新プログラム提供も今回で終了となる。こちらも Windows をサービス期間内のバージョンにアップグレードするか、デバイス自体を置き換える必要がある。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | Windows |

関連ストーリー:
Windows Server 2012/2012 R2は10月で延長サポート終了 2023年01月10日
Windows 7、Windowsバージョン別シェアで10%を超えたまま2022年を終える 2023年01月06日
Windows 11 のライセンス認証に使える Windows 7 のプロダクトキー 2022年12月10日
Chrome、Windows 7/8.1でWindows 10以降へのアップグレード推奨を開始 2022年12月09日
Windows 8.1 ユーザーには Windows 11 プリインストール PC がおすすめ 2022年11月18日
Microsoft、ダウンロード版 Windows 10 を 1 月いっぱいで販売終了 2023年01月20日
Windows 11 バージョン22H2、日本語などのテキストの変換が期待通りに機能しない可能性 2023年01月14日

nagazou

Windows Server 2012/2012 R2は10月で延長サポート終了

3 weeks 3 days ago
headless 曰く、10 月 10 日の Windows Server 2012 / 2012 R2 延長サポート終了に向け、顧客がとるべき対策をMicrosoftがまとめている (Microsoft Learn の記事、 Softpedia の記事、 On MSFT の記事)。 Windows Server 2012 / 2012 R2 では延長サポート終了後、有償で拡張セキュリティ更新プログラム (ESU) が 3 年間提供される。ただし、Azure に移行すれば ESU を無償で受け取ることができる。オンプレミスの場合は ESU を購入するか、Windows Server 2022 にアップグレードするかの選択となる。Azure に移行する場合もオンプレミスのまま利用する場合も ESU の提供は 2026 年 10 月 13 日で終わるため、3 年以内にアップグレードが必要だ。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | マイクロソフト | Windows |

関連ストーリー:
Windows 7、Windowsバージョン別シェアで10%を超えたまま2022年を終える 2023年01月06日
Windows 8.1 ユーザーには Windows 11 プリインストール PC がおすすめ 2022年11月18日
Mozilla、Firefox の Windows 7 / 8.1 サポート延長を検討 2022年11月03日
Google、Chrome 110のリリースをもってWindows 7/8.1のサポートを終了 2022年10月28日
Google、Chrome の Windows 7 サポートをさらに 1 年間延長 2021年11月20日
Microsoft、ダウンロード版 Windows 10 を 1 月いっぱいで販売終了 2023年01月20日
Windows 8.1 サポート終了、Windows 7 ESU 終了 2023年01月12日

nagazou

Twitter のユーザーデータ 2 億件以上が流出、自分が含まれているかどうか確認した?

3 weeks 5 days ago
Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事、 The Verge の記事、 Ghacks の記事、 Have I Been Pwned の流出サイト情報、 Troy Hunt 氏のツイート)。 このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | Twitter | 情報漏洩 |

関連ストーリー:
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
24時間で表示されなくなるTwitterのFleet、24時間過ぎても表示できるトラブル 2020年11月25日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
トロイ・ハント氏、自身が運営する「Have I been pwned?」の買収先を探す 2019年06月14日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
TwitterのAPIに不具合、本来非公開の投稿がサードパーティ開発者に送られていた 2018年09月28日
Twitterに、ある条件下でアカウントが破壊される不具合? 2009年12月15日
Twitter、サードパーティ製アプリ禁止を正式に発表 2023年01月20日
Twitter、サードパーティクライアントのAPIを予告なく停止。前後して仕様変更も 2023年01月17日

headless

スマートフォンのモーションセンサーでイヤースピーカーの音声の振動を読み取る攻撃手法「EarSpy」

4 weeks 1 day ago
headless 曰く、複数の米大学のメンバーによる研究グループがスマートフォンのモーションセンサーを用い、通話中のイヤースピーカーの振動から通話相手や内容を読み取る手法「EarSpy」の研究成果を発表している (論文アブストラクト、 HackRead の記事、 Android Police の記事)。 モーションセンサーは権限の明示的な許可を得ることなく利用できるため、さまざまなサイドチャネル攻撃手法の研究が行われている。出力の小さいイヤースピーカーの振動をモーションセンサーで読み取ることは難しいと考えられていたが、最近のステレオスピーカー搭載モデルでは イヤースピーカーを 2 つ目のラウドスピーカーと兼用できるようにしているものもある。実際にイヤースピーカーとして使用する時には出力を抑えることになるが、それでもステレオスピーカーを搭載しないモデルと比べて加速度計で読み取れる情報が多くなっているという。 研究グループでは一般公開されている発話データセットを用い、古典的な機械学習アルゴリズム、新たに開発した畳み込みニューラルネットワークに学習させて性別や話者、発話内容の検出を実行している。使用スマートフォンはいずれもステレオスピーカーを搭載する OnePlus 7T と OnePlus 9 の 2 機種だ。その結果、性別は最高 98.66 %、話者は最高 92.6 % の正確さで認識可能であり、発話内容 (0 ~ 9 の数字を英語で発音したもの) も最高 56.42 % の正確さで認識できたそうだ。Android 12 以降ではモーションセンサーのデータのリフレッシュレートがデフォルトで 200 Hz に制限されており、より高いリフレッシュレートでの読み取りには権限の許可を得る必要がある。しかし、制限された状態でも性別の検出は 90.97 % の正確さが得られたとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | YRO | 携帯電話 | プライバシ |

関連ストーリー:
Bluetooth を搭載して音声通話を可能にした電話機型おもちゃ、盗聴可能な問題が見つかる 2021年12月28日
米国がドイツ首相らに対してスパイ活動疑惑。仏独首脳が米国らに説明を求める 2021年06月03日
Chromeがシークレットモードでも個人情報を収集したとして集団訴訟へ。成立すれば5000億円規模の賠償の可能性も 2021年03月17日
旧ソ連のスパイグッズが競売にかけられる。現代のロシアでも形を変えて 2021年02月20日
ソニー、PS5のボイスチャット録音機能を「盗聴ではない」と説明するも米国の一部州で違法との指摘も 2020年10月20日
iPhone 7/7 Plus分解リポート、ヘッドフォンジャックの跡地にあるものは? 2016年09月19日

nagazou

米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効

4 weeks 2 days ago
米ルイジアナ州で 1 日、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効した (HB142、 Motherboard の記事、 Ars Techincia の記事、 The Verge の記事)。 この州法は未成年者に有害なポルノコンテンツが全体の 3 分の 1 以上を占める商用サイトを対象に、公的な身分証明書などを使用した適切な年齢確認プロセスの提供を義務付けるものだ。対象サイトへのアクセスにはユーザーが 18 歳以上であることを証明する必要がある。年齢確認後、対象サイトは個人を特定可能な情報を保持してはならないとの文言も含まれるが、プライバシーやセキュリティの懸念も強い。それでも議会では 3 回の採決で反対票は 1 票のみという、ほぼ全会一致で可決してきた。 年齢確認の実施状況を Motherboard や Ars Technica がルイジアナの VPN サーバーを通じて調べたところ、Pornhub はサードパーティの年齢確認サービス Allpasstrust で認証を開始していることが確認できたという。一方、まだ対応していないポルノサイトもあるようだ。

すべて読む | YROセクション | セキュリティ | 政治 | プライバシ |

関連ストーリー:
英情報通信庁曰く、成人向けビデオ共有プラットフォームは子供を有害コンテンツから守る対策が不十分 2022年10月25日
米ニューヨーク州農業・市場局、缶入りホイップクリーム販売に年齢確認が不要なことを明確化 2022年09月04日
Instagram、16 歳未満のユーザーに対する不適切なコンテンツの表示制限を強化 2022年08月28日
Instagram、セルフィ―動画を使用した年齢確認を米国でテスト 2022年06月26日
英国でポルノサイトに年齢確認義務付ける計画、再び 2022年02月10日
Siri は生年月日から年齢を正しく計算できない? 2022年01月30日
英国、オンラインでの子供のプライバシー保護を目的とする法律が施行 2021年09月05日
Instagram、ユーザーに生年月日入力を義務付けへ 2021年09月01日
App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 2021年08月29日
Tencent、中国向けモバイルゲームで顔認識技術を用いた未成年者のプレイ時間制限を正式に開始 2021年07月11日
LINEの年齢認証、楽天モバイル回線や一部MVNOが対応 2021年03月22日

headless

Google、HTTP接続でのダウンロードをブロックするフラグをChromeでテスト

4 weeks 2 days ago
Google が安全でない (HTTP) ダウンロードをすべてブロックするフラグを Chrome でテストしている (9to5Google の記事、 Issue 1352598、 Chromium Gerrit 4126539)。 このフラグ「Block insecure downloads」 (chrome://flags/#block-insecure-downloads) は現在のところ Chrome Canary に実装されており、有効にすると HTTP 接続での直接的なダウンロードおよび安全でないリダイレクトを通じたダウンロードを実行すると「<ファイル名> は安全にダウンロードできません」というメッセージが表示されてダウンロードが中断する。ここで「破棄」をクリックすればダウンロードは中止されるが、メニューから「継続」を選択すればダウンロードを完了できる。 Chrome では混合コンテンツブロックの一環として既に HTTPS ページから実行される HTTP でのダウンロードをブロックしているが、今回のフラグは対象を拡大するものとなる。そのため、いずれは HTTPS 優先モード (HFM) に組み入れていく計画とのことだ。

すべて読む | ITセクション | Chrome | Google | セキュリティ | 暗号 |

関連ストーリー:
Microsoft Update カタログのダウンロードリンク、HTTPS に変更される 2022年04月03日
Google、Chrome 94 以降で HTTPS 優先モードを導入する計画 2021年07月18日
Chrome 90、プロトコルを省略したURLが入力された場合のデフォルトがHTTPSに 2021年03月26日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Chrome 69ではHTTPS接続ページの「保護された通信」という表示が削除される 2018年05月20日
FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 2017年01月28日

headless
Checked
1 hour 18 minutes ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed