エレコムやロジテック製無線LANルーターで、製品発売時には存在しなかった脆弱性

3 months 2 weeks ago
あるAnonymous Coward 曰く、 エレコムの8/10の発表によると、エレコムおよびロジテック無線LANルーターなどネットワーク製品の一部に、製品発売時には存在しなかった?脆弱性があるとのこと。すでにサポートは終了しておりアップデートの配布はなく、代替製品への切り替えのお願いが出ている。個人的な見解では製品発売日には知られていなかった脆弱性なだけで、存在はしていたんじゃないかな、という気がするが、脆弱性は生まれたときにはただのバグで、人の意思が込められたときに脆弱性に変るのかもしれない。出世魚のように。 2017年2月以前に発売したエレコムやロジテック製無線LANルーターやその他のネットワーク製品の一部に、新たな脆弱性が発見されたという。対象製品のアップデートサービスは既に終了しており、このまま使用を続けると、脆弱性が悪用される可能性があるとして、代替製品への乗り換えなどを推奨している。同社では対象となる製品をサイト上で掲載しているが、エレコム製で14製品、ロジテック製で12製品の製品名が挙がっている(エレコムリリース、ITmedia)。

すべて読む | ITセクション | ハードウェア | バグ | インターネット | IT |

関連ストーリー:
iOS で VPN 使用時に一部の通信が VPN をバイパスする問題、再び注目される 2022年08月22日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
エレコム、2013年と2017年発売のルーターに脆弱性。対応予定はなく使用中止を求める 2021年07月07日
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日

nagazou

政府クラウドの選定要件を緩和へ。国内企業参入を支援

3 months 2 weeks ago
読売新聞などの報道によると、デジタル庁は個人情報などを管理する政府クラウド(ガバメントクラウド)の提供事業者の選定方法を変更する方針を決定したそうだ。政府クラウドに関しては、現時点ではAWSジャパン、グーグル・クラウド・ジャパン、日本マイクロソフト、日本オラクルの米国のIT大手のみが選定されている状況になっているが、日本企業も提供できるようにする意図があるという(読売新聞、日経新聞、関連過去記事)。 現在の政府クラウドの提供事業者は、デジタル庁が公募して選定している。この選定方式に関して、デジタル庁は8月下旬にも新たな選定方式を公表し、2023年度の公募を始めるとしている。新選定方式により、10月下旬にも提供事業者を決める見通しとしている。 選定方針の内容に関しては330ほどの要件を1社で満たす必要がある現行ルールを改定し、企業連合での参入を可能にするというものになるようだ。これまで国内企業は事業規模やサービス内容などで要件を満たせない部分があったとしている。中でもシステムの開発から運用まで支援する体制の構築や、複数のデータセンターを使ったサービス、AIが機械学習する開発環境の提供などがハードルとなっていたという。新要件は現行の項目をおおむね維持しつつ、データ管理や認証などの中核技術を自社で担っていれば他社と共同でサービス提供することを認めるとしている。

すべて読む | ITセクション | 日本 | クラウド | IT | 政府 | Digital |

関連ストーリー:
政府内にあるアナログ規制などの見直し期限を1年前倒しへ 2022年10月31日
政府、法令に指定されたフロッピーディスク使用指定などを見直しへ 2022年08月31日
富士通の政府認定クラウドの不正アクセス問題、メール本文なども盗まれていた? 2022年06月07日
富士通の政府認定クラウド”に不正アクセスが発生。認証情報など盗まれた可能性 2022年05月21日
政府、外交・防衛など国家機密の管理は国産プライベートクラウドを使用する方針へ 2022年02月10日
さくらインターネットやIIJ、富士通、Slackなどが政府認定クラウドサービスに登録される 2021年12月25日
デジタル庁はなぜ「ガバメントクラウド」に国産IaaSを選ばなかったのか 2021年11月18日

nagazou

Weekly Report: JPCERT/CCがブログ「なぜ被害公表時に原因を明示するのか/しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開

3 months 2 weeks ago
2023年8月7日、JPCERT/CCはブログ「なぜ被害公表時に原因を明示するのか/しないのか 個別被害公表と事案全体のコーディネーションの観点から 」を公開しました。複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害が公表されたことを受け、JPCERT/CCが事務局として参加し、公開した「サイバー攻撃被害に係る情報の共有 公表ガイダンス」の内容に照らしながら、個別の被害公表時の情報の扱い方と、関係する組織が複数ある場合の全体のコーディネーション等について解説する内容となっています。

[B] AIという妖怪に立ち向かえるのか 宇崎真

3 months 2 weeks ago
全く久しぶりにバンコクで映画館に入った。トム・クルーズ主演の話題作「ミッション・インポッシブルーデッドレコニング Part One」というスパイ諜報戦のアクション映画である。勿論その宣伝に一役買おうということではなく、トム・クルーズが動転境地の危険なアクションをスタントマンでなく全て彼自身が挑戦したシーンを見たかったからである。一貫して彼は自身の肉体と精神力で信じられないリスクを冒していく。そこにトム・クルーズのファンは痺れ次作を期待する。
日刊ベリタ

Android 14、正式版リリースは9月か

3 months 2 weeks ago
headless 曰く、Google は 10 日、次期 Android 14 の 5 番目のベータ版となる Android 14 Beta 5 をリリースした (Android Developers Blog の記事)。 Android 14 は Beta 3 でプラットフォーム安定版のマイルストーンに到達しており、Beta 4 がリリースされた 7 月には Google Play で Android 14 デバイス向けにアプリを公開できるようになっている。3 番目のプラットフォーム安定版となる Beta 5 では開発者 API やアプリ側から見た挙動に大きな変更はなく、最新の改善と修正が含まれている。正式版のリリースを数週間後に控え、Android アプリ開発者にはアプリの互換性テスト完了と必要な更新の公開が推奨されている。 Beta 5 は対応 Pixel デバイスでベータプログラムに参加すれば OTA 配信されるほか、ファクトリーイメージも公開されている。Android Studio の SDK Manager で Android Emulator のシステムイメージも近く配信されるとのこと。 Android 13 は 2022 年 7 月の Beta 4 がファイナルベータとなり、8 月に正式版がリリースされたが、Android 14 は早い段階から Beta 5 以降のリリースが予告されていた。Beta 5 がファイナルベータだとは宣言されていないが、数週間後に正式版がリリースされるということなので Beta 6 はなさそうだ。正式版のリリースは 9 月になるだろうか。

すべて読む | ITセクション | アップグレード | デベロッパー | IT | Android |

関連ストーリー:
Android 14 Beta 4、ベータプログラムはPixel Fold/Tabletも参加可能に 2023年07月14日
Android 14 Beta 3 リリース、プラットフォーム安定性のマイルストーンに到達 2023年06月11日
Android 13 正式リリース 2022年08月17日
Android 13 Beta 4 リリース、ファイナルベータ版に 2022年07月18日

nagazou

The Industry Discussion About Standards For Bluetooth-Enabled Physical Trackers Is Finally Getting Started

3 months 2 weeks ago

Bluetooth-enabled location trackers such as Tiles and AirTags aren’t just a helpful way to find missing luggage or a misplaced wallet—they can also be easily slipped surreptitiously into a bag or car, allowing stalkers and abusers unprecedented access to a person’s location without their knowledge. At EFF, we have been sounding the alarm about this threat to people, especially survivors of domestic abuse, for a long time.  

Now, there’s finally an industry discussion happening about the best methods of preventing unwanted trackers. The most effective way to prevent physical trackers from being used as stalking devices against most people is through tracking alerts. If a physical tracker is out of range of the phone that it is paired to, and it’s moving with you, you should get an alert about it. 

Apple rolled out AirTags with some rudimentary anti-stalking mitigations: a tracking alert that worked for iPhone users and a beep from the AirTag that was worryingly easy to muffle or disable and which did not go off until the AirTag had been out of range of the phone it was paired to for three days. Since then, Apple has improved its mitigations by cutting down the time until the beep goes off and by putting out an Android app that can be used to scan for unwanted AirTags in the vicinity. In the meantime, Tile took one step forward by adding tracker detection to its app, and then one step back by creating an “anti-theft mode” that turned that detection off. As of right now, none of the other physical trackers on the market have any anti-stalking mitigations at all. 

Recently, Google announced that it was rolling out Bluetooth tracking detection for Android. The new capability only detects AirTags at the moment, but it’s still a major step forward for people who may be followed by physical trackers. Android users will no longer have to download an app and run a scan to detect unwanted AirTags—it will all happen in the background.  

Detecting AirTags is just the beginning. What about every other Bluetooth-enabled physical tracker on the market? Google and Apple have proposed a solution: a standard for all physical tracker manufacturers to agree on which would make them detectable by default on iOS and Android phones. This standard could be great news, resulting in increased safety for an untold number of vulnerable people. But the details matter. There are some hard questions and a need to refine the companies’ new joint industry specification that dictates how a Bluetooth tracker detection can remain consistent. That is the purpose of the Internet Engineering Task Force (IETF) Draft on Detection of Unwanted Location Trackers (DULT). 

IETF Event 

The Internet Engineering Task Force (IETF) is a body that discusses, drafts, and publishes protocols that largely dictate how the internet functions. In July, the IETF convened for a week and among the many discussions was the creation of the “Detection of Unwanted Location Trackers” or the DULT draft. The event brought together phone and device manufacturers, EFF, and other technologists who had weighed in on the IETF mailing list. 

You can get the full meeting transcript here. There are a few points that we think are particularly important to keep in mind for the future of this proposed standard:

Privacy & Protection of People over Property 

It is impossible to make an anti-theft device that does not alert the thief that they are being tracked without also making a perfect tool for stalking. Apple is careful not to advertise the AirTag as an anti-theft device for this reason, but other makers of physical trackers such as Tile explicitly bring up anti-theft as a use case for their product. If physical trackers are going to have effective anti-stalking mitigations, then manufacturers need to give up on the anti-theft use case predicated on unknowingly tracking the thief and sneaking up on them. You cannot have both. EFF believes that people are more important than property, and we hope that the companies will come to agree.  In any use cases that get defined in the specification, the security of those who do not want to be unknowingly tracked should be prioritized over the ability to track the location of stolen items.  

Additionally, unwanted physical trackers should be accountable. Manufacturers should store the bare minimum of information about the phone or account that the tracker is paired to, and they should store it for a time and in a manner consistent with their data retention policies. The information should be made available to others only in response to a valid court order. 

Any standard should also protect the privacy of the owners of physical trackers. We are concerned that having physical trackers rotate their identifiers only once a day will provide insufficient defense against a sophisticated tracking network.  Weak privacy protections for a device that is frequently attached to keys and wallets could be used for location tracking by unscrupulous governments, law enforcement, and private actors.   

Fair Doesn’t Mean Free 

Apple has listed several patent disclosures that the company claims apply to this specification. That’s a way of notifying competitors, and the public, that Apple believes it owns patents that cover the use of this technology. That means Apple could, in the future, choose to charge patent royalties to anyone using this technology, or file a patent infringement lawsuit against them.  

The decision to assert patents over this specification is unnecessary and unfortunate. The public will suffer a significant loss if Apple asserts that it has patent rights to what should be an open, free repository of information meant to help companies and everyday people prevent stalking and malicious tracking.  Apple could threaten or sue people who use agreed-upon technology to prevent unwanted tracking.  

Apple stands alone in its insistence that it may use intellectual property rights to threaten people with patent lawsuits, or demand fees, for using privacy-protecting technology. The IETF convening included Samsung, Google, Mozilla, and many other patent-owning entities, all of whom chose not to engage in this type of threatening behavior.  

Apple’s decision to bring patent rights into this conversation is disappointing. The company should withdraw its patent disclosures and make a public statement that it won’t make intellectual property claims against companies or users who don’t want to be surreptitiously tracked.  

The technology required for Detecting Unwanted Location Trackers can, and should, be free to all.  

Encryption in the Light 

One of the most curious parts of the specification is the portion that addresses the “proprietary payload.” Since this involves Bluetooth, a short-range wireless technology, the draft addresses methods of communication between the Bluetooth location trackers and the networks they are attached to. Communication and interoperability of location trackers are left to individual company implementation in the proprietary payload. For example, both Apple and Google have proprietary ways to accomplish secure, encrypted communication between their network and location trackers. However, we would like to see a more open consensus on how this is accomplished and avoid industry fracture on something like secure communication for location trackers. 

As we participate in the shaping of this draft into a standard, we hope to see more thoughtful discussions like this occur before new products get introduced that could endanger people. While we can’t turn back time, everyone involved in the location tracker industry business has the responsibility to create a safeguard for people; and not just their lost keys. 

 

Alexis Hancock

[B] 昨今のマスメディアの特徴は<報じない力>  報道しないことで存在感を見せる

3 months 2 weeks ago
極めて残念ながら、昨今のマスメディアは、報じないことに自らのパワーの源泉を見つけているのではないでしょうか。マスメディアは報じないことで、その事実が「公認」ではないことになり、したがって存在しない、という風に見られていくのです。伊藤詩織さんが被害を受けた事件や木原議員の関与したとされる殺人事件の謎、与党と異なる思想・行動を取る新党をなるだけ報じないこと。安倍首相狙撃の翌日も選挙を前にしているのに、統一教会のことは報じなかったのでした。
日刊ベリタ

インテルCPUに新たな脆弱性「Downfall」。修正でパフォーマンスに最大50%の影響

3 months 2 weeks ago
Intelは8日、同社製CPUに脆弱性(CVE-2022-40982)が見つかったと発表した。この脆弱性はGoogleの研究者Daniel Moghimi氏が見つけたもので、Intelのメモリ最適化機能を悪用することで、CPU内のレジスタファイルをソフトウェア側に漏洩する可能性があるという。メモリ内に散在するデータへのアクセスを高速化する命令である「Gather」が原因とされている(Daniel Moghimi氏による解説、Intel発表、ITmedia、GIGAZINE)。 Daniel Moghimi氏によれば、この脆弱性を悪用することで、同じコンピュータを利用する他のユーザーの情報が盗まれる可能性があるとしている。Intelはこの脆弱性に対応したGather命令をブロックするアップデートを提供ずみだが、Gather命令の使用状況によって、一部の特定のワークロードにおいては最大で50%の性能低下が発生する場合もあるとしている。 この問題を受けてさくらインターネットは10日、クラウドやレンタルサーバなど自社サービスへの影響を調査中と発表した。ITmediaの記事によれば、この問題に関してクラウドベンダーでは、すでにAWSが「問題の影響はない」と対応を発表しているという(さくらインターネット、ITmedia)。 bubu-duke 曰く、影響を受けるのは主に第6~11世代のIntel CPUで、第12世代以降は対象外とのことで随分影響範囲広いですね JVNVU#99796803Intel製品に複数の脆弱性(2023年8月) https://jvn.jp/vu/JVNVU99796803/

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | Intel | ニュース |

関連ストーリー:
最新版以外の macOS では既知の脆弱性がすべて修正されるとは限らない 2022年10月30日
一部Intel製CPUのマイクロコードを抽出可能なソフトウェアが登場 2022年07月22日
x86 CPUに新たなサイドチャネル脆弱性「Hertzbleed」が見つかる。リモートでも攻撃可能 2022年06月16日
一部のデバイスでMicrosoft Storeからアプリをインストールできない問題、修正される 2022年05月23日

nagazou

テレビで使われる証言者の変声処理、もはや素人でも元の声か判別できる処理が可能

3 months 2 weeks ago
TBSの報道番組「news23」がBPO審議入りした。審議入りの原因は、同番組が今年1月12日に、農協の職員が重すぎる営業ノルマの実態を内部告発者の証言内容を放送する際、証言者の顔だけがモザイク処理されていて、首から下はそのままだったことから告発者の身元が判明したため。この結果、告発者が退職に追い込まれたとされている。この事件について4日、放送倫理・番組向上機構(BPO)が放送倫理違反の疑いを指摘し審議入りを決定した(BPOリリース、弁護士ドットコム)。 証言者の匿名性保護については、証言者の希望や状況に応じて様々なケースがあり、その程度に合ったモザイク処理や音声加工が求められる。しかし、現在は技術も進化しており、従来のテレビ放送で多用される「声変え」程度の方法では、元の音声に近い状態に戻すことは難しくないとされ、証言者の身元が特定される可能性があることも指摘されている。 この問題について、ある報道関係者は一般的に匿名証言者の保護についてあまり意識がなく、証言者の安全を最優先すべきであるにもかかわらず、生々しさやリアルさを求める傾向があると指摘しているとのこと。

すべて読む | セキュリティセクション | テレビ | セキュリティ |

関連ストーリー:
TOKYO MXの「医療ドラマ」打ち切り。「反ワクチン」描写などで 2023年02月10日
BPOが「痛みを伴うことを笑いの対象とするバラエティー」に関する見解を示す 2022年04月17日
アニメ「ぐんまちゃん」、群馬テレビのみ最新話の放送を見送り 2021年12月15日
Python 3.10リリース 2021年10月07日
流出したタクシー車内のドライブレコーダー映像のTV放映は放送倫理違反ではないとの判断 2017年01月26日

nagazou

誤りは1069件。点検データの約0.007%。閲覧された事例は5件

3 months 2 weeks ago
河野太郎デジタル大臣は8日、マイナ保険証問題に関する中間報告を発表した。この報告によると、マイナカードと健康保険証が一体化した「マイナ保険証」において、誤って別人の情報がひも付けられた事例は1069件あり、これは全体の約0.007%に相当するという。また、この誤ひも付けによる薬剤情報などが閲覧された件数は5件あったとしている(東京新聞)。 今回の厚生労働省の点検対象は全国の保険者のうち1313団体で、個人番号を地方公共団体情報システム機構(J-LIS)から取得する際、3情報(カナ氏名、性別、生年月日)で行い登録するなど、厚労省が示している留意事項とは異なる方法で事務処理をしていた団体のみを対象にしていたとのこと。 nemui4 曰く、人が介在するシステムだから誤りはありますね、誤り防止と検出とリカバリの仕組みの充実を望みますその上で、「正しくひも付けられたとしても、カードリーダーでエラーが出て保険資格確認ができないという別の問題をどう解決するのか」と、改めてマイナ保険証の運用には問題があるとの見方を示した。 運用自体の問題もあるらしい >

すべて読む | セキュリティセクション | 統計 | 変なモノ | 政府 | Digital | 情報漏洩 |

関連ストーリー:
マイナ誤登録で別人の口座に入金ミス。初の事例 2023年07月20日
デジタル庁立ち入り検査へ、マイナ問題巡り 2023年07月10日
マイナカードの自主返納が急増。誤登録が起きた5月以降に 2023年07月04日
協会けんぽ、40万人分のマイナひも付け作業に遅れ 2023年08月19日
マイナ保険証とも資格確認書とも異なるカードを配布するらしい 2023年08月24日

nagazou

[B] 気候正義の実現でシステムチェンジを 気候変動問題に取り組む若者団体に聞いてみた

3 months 2 weeks ago
連日都内の最高気温が更新され、熱中症警戒アラートが発出されるなど、地球温暖化が著しい。日本の各所に災害級の大雨が降り、これにより道路が冠水するような事態が頻発している。気候変動により発生する諸問題は、遠い未来の話ではなく、今現在の私たちが直面している目の前の課題であるといえるだろう。(岩本裕之)
日刊ベリタ