GoogleのreCAPTCHAの対抗馬「hCaptcha」、外的要因もあって市場シェア15%に

9 hours 29 minutes ago
人間とボットの識別に使われている「CAPTCHA」。中でもGoogleの「reCAPTCHA」の知名度は高い。そんな中、独立したCAPTCHAサービスを展開している「hCaptcha」がreCAPTCHAから顧客を奪うことでシェアを伸ばしているという。同社のCAPTCHAはGoogle以外のものとしては最大のシェア15%を獲得することに成功したそうだ(hCaptcha、GIGAZINE)。 同社はプライバシーに焦点を当てることで成長を遂げることができたと説明している。EU一般データ保護規則(GDPR)やカリフォルニア州の消費者プライバシー法(CCPA)などの規制により、Googleを含むオンライン広告およびマーケティング業界が、ユーザーから得たビッグデータなどをどのように利用してきたか知られるようになってきた。加えてGoogleがCloudflareなどの大手に対して「reCAPTCHA」の有料化を通告したこともシェアが伸びた一因である模様。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | ボットネット |

関連ストーリー:
CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 2020年06月25日
チケット販売サイト「e+」、ボット対策の導入によりチケット自動購入ボットをほぼ殲滅 2018年12月30日
「人間には突破できないCAPTCHA認証」を人力で突破しようと挑戦する人達 2018年02月14日
Googleが新型CAPTCHAを開発 2014年12月05日

nagazou

GoogleのreCAPTCHAの対抗馬「hCaptcha」、外的要因もあって市場シェア15%に

9 hours 29 minutes ago
人間とボットの識別に使われている「CAPTCHA」。中でもGoogleの「reCAPTCHA」の知名度は高い。そんな中、独立したCAPTCHAサービスを展開している「hCaptcha」がreCAPTCHAから顧客を奪うことでシェアを伸ばしているという。同社のCAPTCHAはGoogle以外のものとしては最大のシェア15%を獲得することに成功したそうだ(hCaptcha、GIGAZINE)。 同社はプライバシーに焦点を当てることで成長を遂げることができたと説明している。EU一般データ保護規則(GDPR)やカリフォルニア州の消費者プライバシー法(CCPA)などの規制により、Googleを含むオンライン広告およびマーケティング業界が、ユーザーから得たビッグデータなどをどのように利用してきたか知られるようになってきた。加えてGoogleがCloudflareなどの大手に対して「reCAPTCHA」の有料化を通告したこともシェアが伸びた一因である模様。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | ボットネット |

関連ストーリー:
CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 2020年06月25日
チケット販売サイト「e+」、ボット対策の導入によりチケット自動購入ボットをほぼ殲滅 2018年12月30日
「人間には突破できないCAPTCHA認証」を人力で突破しようと挑戦する人達 2018年02月14日
Googleが新型CAPTCHAを開発 2014年12月05日

nagazou

NURO光のHuawei製ONU「HG8045Q」に権限昇格の脆弱性、修正予定はなし

9 hours 56 minutes ago
あるAnonymous Coward 曰く、IT系ニュースサイトのGIGAZINEによると、NURO光加入者に貸与されるHuawei製のONU兼無線LANルータ「EchoLife HG8045Q」には権限昇格が可能な脆弱性が存在するという(NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能 — GIGAZINE)。 GIGAZINEの公開した再現手順では2つの脆弱性が利用されている。1つ目は今年9月に博士研究者であるAlex Orsholits氏が発見したマスターアカウントの資格情報がハードコードされている問題(meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q)、2つ目はGIGAZINE編集部(log1n_yi氏)が独自に発見した入力値検証の不備に起因する権限昇格の問題だ。 マスターアカウントというのは、ISPが加入者に貸与しているONUの設定を変更するために利用する特権アカウントのことで、ウェブ管理画面からマスターアカウントを用いてログインすると、通常は制限されている様々な機能が利用できる。NURO光のONUでは一体不可分のルータ機能を無効化するためこの手のハックに需要があり、Alex氏はNANDから吸い出したダンプから、マスターアカウントのIDが「admin_iksyomuac13」であること、そしてパスワードがハードコードされた文字列「iksyomuac13_admin_」に機器固有のMACアドレスのサフィックス4文字を付け足したものであることを発見していた。 更にこれを用いてSSHログインすると、Huawei製のネットワーク機器特有の「WAP」というシェルで特定のコマンドを実行できる。マスターアカウントであっても通常はごく限られたコマンドしか実行できないが、log1n_yi氏がシェルスクリプトを調査した結果、pingコマンドの後ろに「大量の文字列」「"」「> |」「実行したいBusyBoxコマンド」を入力することで、BusyBoxに実装されたコマンドをroot権限で実行できることを発見したという。 NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという。問題の機器ではWAN側のSSHポートは閉じられているため、直ちに外部から不正なアクセスをされるわけではないというのが理由のようだ。逆に言えば、内部からアクセス可能な場所――例えば公共施設や商業施設などでネットワークを訪問者に開放している場合は注意が必要になりそうだ。 GIGAZINEではNURO光がバグ報奨金プログラムを用意していない点にも触れ、「脆弱性に対する窓口対応の弱さが目立ちました」と結んでいる。 情報元へのリンク

すべて読む | ITセクション | セキュリティ | バグ |

関連ストーリー:
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
ソニーとキオクシア、米国当局に半導体の輸出許可を申請へ 2020年11月04日
ファーウェイがスマホ事業から撤退するという観測 2020年09月16日
在宅勤務が増えて自宅用回線の契約が増える。すぐに使えるホームルーター選択者も多い 2020年06月23日

nagazou

NURO光のHuawei製ONU「HG8045Q」に権限昇格の脆弱性、修正予定はなし

9 hours 56 minutes ago
あるAnonymous Coward 曰く、IT系ニュースサイトのGIGAZINEによると、NURO光加入者に貸与されるHuawei製のONU兼無線LANルータ「EchoLife HG8045Q」には権限昇格が可能な脆弱性が存在するという(NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能 — GIGAZINE)。 GIGAZINEの公開した再現手順では2つの脆弱性が利用されている。1つ目は今年9月に博士研究者であるAlex Orsholits氏が発見したマスターアカウントの資格情報がハードコードされている問題(meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q)、2つ目はGIGAZINE編集部(log1n_yi氏)が独自に発見した入力値検証の不備に起因する権限昇格の問題だ。 マスターアカウントというのは、ISPが加入者に貸与しているONUの設定を変更するために利用する特権アカウントのことで、ウェブ管理画面からマスターアカウントを用いてログインすると、通常は制限されている様々な機能が利用できる。NURO光のONUでは一体不可分のルータ機能を無効化するためこの手のハックに需要があり、Alex氏はNANDから吸い出したダンプから、マスターアカウントのIDが「admin_iksyomuac13」であること、そしてパスワードがハードコードされた文字列「iksyomuac13_admin_」に機器固有のMACアドレスのサフィックス4文字を付け足したものであることを発見していた。 更にこれを用いてSSHログインすると、Huawei製のネットワーク機器特有の「WAP」というシェルで特定のコマンドを実行できる。マスターアカウントであっても通常はごく限られたコマンドしか実行できないが、log1n_yi氏がシェルスクリプトを調査した結果、pingコマンドの後ろに「大量の文字列」「"」「> |」「実行したいBusyBoxコマンド」を入力することで、BusyBoxに実装されたコマンドをroot権限で実行できることを発見したという。 NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという。問題の機器ではWAN側のSSHポートは閉じられているため、直ちに外部から不正なアクセスをされるわけではないというのが理由のようだ。逆に言えば、内部からアクセス可能な場所――例えば公共施設や商業施設などでネットワークを訪問者に開放している場合は注意が必要になりそうだ。 GIGAZINEではNURO光がバグ報奨金プログラムを用意していない点にも触れ、「脆弱性に対する窓口対応の弱さが目立ちました」と結んでいる。 情報元へのリンク

すべて読む | ITセクション | セキュリティ | バグ |

関連ストーリー:
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
ソニーとキオクシア、米国当局に半導体の輸出許可を申請へ 2020年11月04日
ファーウェイがスマホ事業から撤退するという観測 2020年09月16日
在宅勤務が増えて自宅用回線の契約が増える。すぐに使えるホームルーター選択者も多い 2020年06月23日

nagazou

今年も「本番環境でやらかしちゃった人 Advent Calendar 2020」実施

10 hours 30 minutes ago
昨年もあった「本番環境でやらかしちゃった人」の2020年版が始まっているようだ。昨年も11月中旬の段階で12月1日から25日まですべて埋まっていたようだが、今年も同じく12月25日まで埋まっている(本番環境でやらかしちゃった人 Advent Calendar 2020、本番環境でやらかしちゃった人 Advent Calendar 2019)。 今年も「本番でTableを1つDeleteしてしまいON DELETE」「本番環境で動作している(はずの)クエリを叩」「Webサービスのデータをふっとばす管理者用初」「コントローラーが故障したraid5ディスク上のDB」「開発中プログラムを半年早く本番環境に上げち」「/etc/passwdが消えてサーバにログイン出来なく」「AWSでやらかして3桁万円請求された話」と相変わらずタイトルだけで胃が痛くなるような内容が予定されている模様。

すべて読む | ITセクション | プログラミング | アナウンス | IT |

関連ストーリー:
「PCを直す」といったみんなが、なぜかやらかしてしまうアホなこと5選 2020年02月13日
「アナ雪2」でステマ疑惑 2019年12月05日
楽天モバイル、無料サービス中にも関わらず顧客に請求メールを送る 2019年12月03日
「本番環境でやらかしちゃった人 Advent Calendar 2019」参加者募集中 2019年11月19日
「ラブライブ!」公式サイト、乗っ取られる 2019年04月05日

nagazou

Microsoft 365の生産性スコア機能に批判。社員の労働監視とデータの共有化などで

12 hours ago
Microsoft365に搭載された機能に、プライバシーと誤用のリスクがあるとして批判が出ている。大元はThe Guardianによるもので、この機能は「生産性スコア(productivity score)」とよばれ、マネージャーが個々の従業員を監視する用途で利用可能だとしている(The Guardian、9to5Mac、iPhone Mania)。 この機能は2019年に導入されており、マネージャーはメールやチャット、ネットワークへの接続時間などのデータをチェックできるのだという。この機能を活用すれば、グループチャットの会話への参加が少ない、メールの送信が少ない、または共有ドキュメントでの共同作業に失敗している従業員などを発見できる。従業員側からOFFな設定するとはできるが標準設定ではONとなっており、研究者によると、Microsoftは他社との社員の働き具合の比較のため、この機能で得られたデータをMicrosoftなどと共有することを推奨しているとしている。その結果、Microsoftは膨大な従業員データにアクセスできるとしている。 tamaco 曰く、なんというかネットワーク管理者がアラート(たいがいはウイルスメールや裏系サイトアクセスでアラート。たまにやばいアダルト系のファイルを社用PCに展開とかどうしようもないやつも・・)で使用者に忠告メール出すときのような感じを想像した。 監視する方はめんどくさいので、そこまで個々人の生産性までは見たりはしないけど、経営層には受けがよさそうで嫌な機能だな。 情報元へのリンク

すべて読む | ITセクション | マイクロソフト | ソフトウェア | プライバシ |

関連ストーリー:
Microsoft、Netlogon特権昇格の脆弱性に活発な攻撃が確認されていると注意喚起 2020年09月27日
Microsoft、来年後半にOfficeの永続ライセンス版を出すと発表 2020年09月24日
Microsoft、Web版Wordに音声からの文字起こしや音声コマンドで編集操作できる機能を追加 2020年08月27日
Microsoft 365 Personal、Amazonで特定商品との組み合わせで購入すると半額以下となる不具合? 2020年05月13日

nagazou