Apple は iOS と標準アプリを別々に更新できるようにすべきか

2 days 17 hours ago
Apple は iOS で標準アプリと OS を別に更新できるようにすべきではないかと 9to5Mac が指摘している (9to5Mac の記事)。 現在の iOS 標準アプリは OS と同時に更新されるため、アプリ単体で更新を提供するよりも時間がかかることになる。軽微なバグなら数日待っても影響は少ないが、深刻なバグは一刻も早く修正したいところだ。実際に Apple は最近発見された Safari 15 の深刻な脆弱性の修正を進めており、既に iOS 15.3 RC に修正が含まれているが、一般提供は数日先になるとみられる。 ちなみに、FingerprintJS が発見したこの脆弱性は IndexedDB API の同一オリジンポリシー違反により、他のタブやウィンドウでアクセスしている Web サイトのデータベース名を他の Web サイトが読み取れるというもの。これによりユーザーがアクセスした Web サイトが特定できるほか、Google アカウントにログインしている場合は Google が生成するユーザーの識別子を知ることもできるという。 iOS とアプリが個別に更新されるようになれば新機能を容易に受け取れるようになるなどユーザー側のメリットは大きいが、逆に iOS を更新する動機は弱まることになる。そのため、Apple が更新の提供方法を変える可能性は低いとみられる。スラドの皆さんのご意見はいかがだろうか。

すべて読む | アップルセクション | アップグレード | セキュリティ | ソフトウェア | バグ | Safari | アップル | iOS |

関連ストーリー:
iOS版Safariの拡張機能解放でUserscript人気の復活はあるのか? 2022年01月20日
英最高裁、Safari のプライバシー設定を迂回してユーザーを追跡していた Google に対する代表訴訟を棄却 2021年11月14日
Safariは新たなIEになりつつあるのか 2021年10月26日
iOS 12.5.5 リリース、古い iOS デバイスのゼロデイ脆弱性を修正 2021年09月25日
カスタムURIスキームを利用して異なるWebブラウザーにわたりユーザー追跡を可能にする手法 2021年05月19日
デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 2018年07月15日
Mozilla、プライバシーリスクのある4つのセンサーAPIを非推奨にする計画 2018年03月17日

headless

米フェデックス、民間貨物機にミサイル防衛システムを搭載する許可を申請

4 days 7 hours ago
物流大手フェデックス(FedEx)が米国の連邦航空局(FAA)に、ミサイルを回避するための機器を搭載した貨物機の運航許可を申請しているそうだ。CNNによると、フェデックスが申請しているのは熱追尾型のミサイルに対して、赤外線レーザーを照射することで追尾を妨害するシステムであるという(CNN)。 2003年のDHL貨物便撃墜事件のように民間機が携帯式防空ミサイルの攻撃を受ける事例が増えていることから、民間機への設置を前提としたミサイル防衛システムの開発等が複数の企業によって行われているという。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | アメリカ合衆国 |

関連ストーリー:
防衛省がレールガン開発に本腰、極超音速兵器の迎撃に 2022年01月07日
ロシアが開発しているICBMは核弾頭を搭載すれば10発でアメリカを殲滅できる 2019年02月08日
米国、中距離核戦力全廃条約の破棄を宣言 2019年02月03日
ロシア、核搭載できる原子力推進水中ドローンの海中実験を開始 2019年01月02日
ロッキード・マーティン、出力60kWのレーザー兵器を米陸軍に納入 2017年03月29日
ロシア、空軍と航空宇宙防衛軍を合体させて航空宇宙軍に改組 2015年08月06日

nagazou

個人情報保護委員会が個人情報を漏えい

5 days ago
個人情報保護委員会が個人情報を漏洩してしまったそうだ。個人情報保護委員会はマイナンバーなどの取り扱いについて監視・監督を担う政府機関。各報道によると漏洩したのは募集したパブリックコメントに意見を提出した12人分の氏名や一部所属先などであるという。政府の「e-Gov」上に先の個人情報が含まれたのPDFファイルを掲載してしまったとしている。掲載された期間は1月7日午後1時から午後1時40分までの期間だという。組織名とは裏腹な事態に対してSNS上などで突っ込みが入っていた模様(個人情報保護委員会リリース、個人情報保護委員会Twitter、ITmedia、ハフポスト)。

すべて読む | セキュリティセクション | インターネット | idle | IT | 政府 | 情報漏洩 |

関連ストーリー:
セキュリティ企業ラック、元従業員がフリマで売却した私物HDD内に取引先情報が 2022年01月19日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
年金振込通知はがきで手動両面印刷のミス、ミスに気付きにくい仕様が偶然にも個人情報流出を回避 2021年10月12日
Microsoft Power Apps で個人情報を含む計 3,800 万件のレコードが流出、その原因は仕様? 2021年08月27日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日

nagazou

シンガポール通貨監督庁、暗号通貨を一般向けに宣伝しないよう求めるガイドライン

5 days 6 hours ago
headless 曰く、シンガポール通貨監督庁 (MAS) は 17 日、DPT (デジタル支払トークン、いわゆる暗号通貨) の一般向け宣伝をしないよう求めるガイドラインを公開した (メディアリリース、 ガイドライン)。 MAS では以前から DPT の価格が投機的に乱高下するため一般向けではないと警告していたが、シンガポール国内では一部の DPT サービスプロバイダーが広告や ATM 提供を通じてサービスを宣伝しているという。そのためガイドラインでは DPT サービスプロバイダーに対し、DPT 取引のリスクを矮小化しないこと、公共の場所やその他のメディアを通じて DPT サービスを宣伝しないことを要請している。 DPT サービスの宣伝を避けるべき公共の場所は公共交通機関の乗り物や駅、公開イベント会場、放送、サードパーティの Web サイト、ソーシャルメディアプラットフォームなどオンライン・オフラインを問わず、DPT 用の ATM も含まれる。DPT サービスプロバイダーは自社の Web サイトやモバイルアプリ、公式ソーシャルメディアアカウントでサービスを宣伝できるが、ソーシャルメディアインフルエンサーなどの第三者を宣伝に参加させるべきではないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | 政府 | お金 |

関連ストーリー:
ウィキメディア財団に対し暗号通貨による寄付の受け入れ停止を求める声が上がる 2022年01月19日
Vivaldi CEO、Vivaldi ブラウザーには暗号通貨管理機能を搭載しないと明言 2022年01月18日
テスラ「Model 3」を改造、マイニングにより走行時の電気代も稼げる車に 2022年01月18日
ロシア連邦保安庁、サイバー犯罪組織 REvil を無力化 2022年01月16日
ノートン360で仮想通貨のマイニング機能が勝手についてくるとして話題に 2022年01月11日
Collins Dictionary が選ぶ 2021 年を代表する言葉は「NFT」 2021年11月28日
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
兵庫県高砂市、市職員用パソコンのログイン時に広告を出す仕組み 2022年01月25日

nagazou

通話内容をAIが解析する「特殊詐欺対策アダプタ」、アラートをきっかけに受け子逮捕に成功

5 days 7 hours ago
埼玉県草加市の14歳の少年が6日、80代の女性から現金をだまし取ろうとした疑いで逮捕された。被害に遭いそうになった女性は特殊詐欺を見破るAI機能がついた装置を電話機に取り付けており、その機能により自動アラートを受けた役所の職員が、すぐに110番通報したという。それにより女性から封筒を受け取ったところで警察が登場。現行犯逮捕されたとしている(テレ朝NEWS、スポニチ)。 このAI機能付きの装置は、NTT東日本などが開発したもので固定電話に取り付けるものだという(特殊詐欺対策サービスの提供について)。端末が音声を録音、リアルタイムで特殊詐欺解析サーバーに転送。AIが言葉を解析して本人や連絡先にメールなどで注意喚起を行う仕組みであるという。NTT東日本によるとこの装置で逮捕まで至ったのは今回が初めてであるそうだ。

すべて読む | セキュリティセクション | テクノロジー | 犯罪 | セキュリティ | ネットワーク | NTT |

関連ストーリー:
特殊詐欺の電話にだまされたふりをして犯人の検挙につながれば1万円の報奨金、愛知県 2021年07月06日
警視庁、東京都内全域のATMコーナーで携帯通話禁止を呼びかけ。特殊詐欺被害防止のため 2021年07月03日
警察庁、SMS認証の代行業者の取締まり強化を全国の警察に指示 2021年04月23日
特殊詐欺対策で転売電子ギフト券が無効化、購入後に使用不能に。救済もなし 2020年12月10日
NHK契約者名簿を使って特殊詐欺のターゲットを選んでいたNHK集金受託会社社長、逮捕される 2019年11月11日
カードの暗証番号を電話機で押して特殊詐欺被害、トーン信号から識別か 2019年04月15日
京都府警、特殊詐欺グループが使った電話番号に対しフラッド攻撃を行うシステムを導入 2017年06月15日
PSTNからIP網への移行、通話料金は最安帯への統一が正式決定、テレホーダイなどは終了 2022年01月24日

nagazou

施錠された郵便受けを勝手に開けて入らない定形外郵便を配達して問題に。埼玉

6 days ago
昨年12月に埼玉県内の郵便局で、配達員が施錠された郵便受けを勝手に開け、定形外郵便を入れていたというトラブルが起きていたという。NHKの情報提供窓口「ニュースポスト」に投稿されたもので、投稿主の女性は3回同じことが続いたとしている。この郵便受けはダイヤルを回し、数字を合わせることで開閉するタイプだったそうだ(NHK)。 NHKがこの件に関して日本郵便に問い合わせたところ、該当地域を担当する配達員が、荷物が郵便受けに入らない大きさだったことから、施錠されていた郵便受けを勝手に開けて入れていたと話しているという。日本郵便は不適切な行為であると認め、各郵便局に対して再発防止を求めたとしている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | ニュース |

関連ストーリー:
普通郵便物などの配達が一日程度遅くなるそうです。来年1月21日から 2021年11月03日
総務省、郵便局が顧客データを企業に販売できるよう法改正へ 2021年10月14日
佐世保郵便局で配達員全員がCOVID-19クラスターに。一部引き受けを停止する事態に 2021年09月13日
日本郵便、氏名の記載なしでも配達する新サービス。NHK受信料徴収など向け 2021年06月08日
日本郵便が10月からサービス変更へ。土曜日配達の休止や速達料金引き下げなど 2021年04月03日
日本郵便が自宅への再配達の電話受付にAIを導入。追跡番号や連絡先の聞き取りを担当 2020年10月29日
郵便配達を土曜日は廃止へ。総務省が改正法案を次の臨時国会に提出方針 2020年10月16日

nagazou

英国政府の資金によるソーシャルメディアのエンドツーエンド暗号化反対キャンペーン

6 days 5 hours ago
headless 曰く、英国政府の資金による No Place to Hide がソーシャルメディアメッセージのエンドツーエンド暗号化に反対するキャンペーンを開始した (キャンペーンサイト、 BetaNews の記事、 The Guardian の記事、 動画)。 キャンペーンではエンドツーエンド暗号化に反対するわけではなく、ユーザーのプライバシー保護には賛成だとする一方で、エンドツーエンド暗号化が児童性的捕食者に隠れ場所を与えることを防ぐテクノロジーを開発する必要があると主張する。 そのため、児童性的捕食者が性的な目的で子供に近寄ることや、子供の性的画像の共有や閲覧、捜査当局による検出の回避、といったことを容易にしないテクノロジーが利用可能であることを示さない限り、エンドツーエンド暗号化を実装しないようソーシャルメディア企業に要請している。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 暗号 | 政府 | プライバシ |

関連ストーリー:
スイス軍、公務では国産のインスタントメッセージングアプリのみを使用するよう指示 2022年01月10日
検閲・監視・アクセス制限、Internet Archive が考えるディストピアな未来のインターネット 2021年10月05日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
Zoom、暗号化誇張問題の訴訟で8500万ドルの和解金支払いへ 2021年08月06日
あなたをがっかりさせた2020年のテクノロジーは? 2020年12月31日

nagazou

キングジムの「テプラ」やパスワードマネージャーに脆弱性が見つかる

6 days 6 hours ago
キングジムの製品で脆弱性問題があったという。一つはラベルプリンタ「テプラ」(PRO SR5900P・PRO SR-R7900P)。もう一つは同社の提供しているパスワードマネージャー「ミルパス」(PW10・PW20)に脆弱性が存在しているという。テプラでは認証情報の保護が不十分だったとされ、ネットワーク経由でアクセスできる場合、インフラストラクチャモードでアクセスポイントに接続するための認証情報が漏洩するおそれがあるとしている。すでに対策済みのアップデータが公開されている(キングジムリリース、Security NEXT、マイナビニュース)。 ミルパスはIDやパスワードなど最大200件を端末内部に保存して管理するツール。PW10とPW20のファームウェアに機微情報を暗号化していない脆弱性が存在することが判明したとしている。第三者により端末内の保存されたパスワードを窃取されるおそれがあるとしている。これらの製品はサポートを終了しており、キングジムは製品の使用を中止するよう利用者に呼びかけている。また廃棄時はデータをすべて消去することを求めている(パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性、Security NEXT)。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | 通信 | プリンター |

関連ストーリー:
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
企業格付けにおいて、サイバーセキュリティ対策度を盛り込む動きが広がる 2022年01月11日
Authenticode 署名検証の古い脆弱性、最近のバンキングマルウェアキャンペーンで使われる 2022年01月08日
ギャレットのゲート型金属探知機に 9 件の脆弱性、遠隔から検知感度を変更される可能性も 2021年12月29日
PS5 脱獄、最大の難関は本体の入手? 2021年12月19日

nagazou

AMDのCPUには一度書き込んだら消去不能なOTPメモリが搭載されている

6 days 19 hours ago
AMDが提供している「Platform Secure Boot(PSB)」は、同社製CPUの一部を他のシステムで使用できないようにするセキュリティ機能。このPSBがLenovo製PCの一部でデフォルトで有効化されているという。具体的にはLenovoの一般ユーザー向け製品とAMD Ryzen Proの組み合わせで有効化されているそうだ。問題はこのPSBが一度でも設定されてしまうと、そのCPUは設定されたメーカー以外のPCでは動作しなくなる点。このため特定メーカーでしか動作しないベンダーロックされたCPUが中古市場に出回るようになってしまったらしい。ロックさせた製品は外観では見分けが付かないことも問題になっている模様(Serve The Home、Cloudflare、reddit、GIGAZINE)。 あるAnonymous Coward 曰く、組込屋的にオオッと思ったニュースを一つAMDのCPUにはセキュリティ関係の目的で一度書き込んだら消去不能なOTPメモリが搭載されているそうです自分が明確に意図したつもりは無いのに、勝手にデバイスに消去不能なID設定みたいなことがされるとはちょっと薄気味悪い気もします FPGAなどのデバイスにはかなり前から同様にセキュリティ用途の再書き込み・消去不能・ユーザー回路/アプリケーションからは読み出し不可能なメモリ/ヒューズが搭載されているのですが、PC用プロセッサでは初耳でした(IntelのCPUはどうなんでしょ?)通常この種のメモリには普通のCMOSプロセスで製造可能で、書き換え可能とした場合の読み書き保証回数は1000回程度のものが使われています

すべて読む | セキュリティセクション | テクノロジー | ハードウェア | セキュリティ |

関連ストーリー:
AMD、次世代CPU「Ryzen 7000」やRyzen 7 5800X3Dなどを発表 2022年01月06日
Microsoft 曰く、非サポート CPU でも Windows 11 はインストール可能だが、更新プログラムが提供されるとは限らない 2021年08月29日

nagazou

ウクライナに大規模なサイバー攻撃

6 days 23 hours ago
maia 曰く、1月13日〜14日にウクライナの政府や枢要な機関に大規模なサイバー攻撃が行われた(ZDNet、ITMedia )。マイクロソフトの分析によれば、MBR(マスターブートレコード)を上書きして正常に動作できなくさせ、身代金を要求するというもの。但し口座は架空。実際にデータが破壊された場合は復元不能らしい。まあ言うまでもないかもしれないが、ウクライナ政府は、この攻撃の背後にロシア政府がいると非難している(Gigazine )。ロシアは現在ウクライナ国境近くに大規模な部隊展開を行なっており、ハイブリッド戦争もまあ想定の範囲。悪いことに、今回の攻撃は第1波に過ぎないかもしれない(WIRED)緊迫しているウクライナ情勢だが、英国と米国は対ロシア向けとしてウクライナに兵器を提供する方針を発表した。ロイターの記事によるとウクライナを訪問している超党派の米上院議員らこうした発言があったという。議員らは「われわれがウクライナ人の命や生活を守るために必要な兵器を提供する」と明言している。最初の兵器提供は17日に供給済みだという。具体的にはジャベリンと呼ばれる対戦車ミサイルやスティンガーミサイル、そして小火器が含まれる可能性がある。英関係者による短期間の訓練も行われているとしている(ロイター)。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | ストレージ |

関連ストーリー:
欧州宇宙機関、超小型人工衛星に対するサイバー攻撃のアイディアを募集 2022年01月15日
中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 2021年12月29日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
ロシア軍100個大隊(17万人)がウクライナ国境に集結。7日の米ロ会談は平行線 2021年12月09日
ニップン、ランサムウェア被害で決算報告を再延期へ。帳票を手作業で作成中 2021年11月19日
米司法省、ランサムウェア攻撃に関わった男2人を起訴 2021年11月12日

nagazou

セキュリティ企業ラック、元従業員がフリマで売却した私物HDD内に取引先情報が

1 week ago
情報セキュリティ企業ラックで、元社員の私物HDDが第三者に売却され、社内文書や個人情報が流出しかけるというトラブルが生じていたと報じられている。HDDを購入した人物が善意で同社に通報したため情報の流出はなかったとのこと。このHDDは元社員がビジネス文書等を個人所有のハードディスクに保管、その後HDDをフリーマーケットで売却していたという。中には業務上のビジネス文書約2000件と最大約1000件の個人情報が含まれていたとしている。同社は「情報流出事案」として14日午後、情報流出の経緯と概要についての発表を行っている(ラックの発表、朝日新聞その1、朝日新聞その2)。 あるAnonymous Coward 曰く、ラック子会社のネットエージェント(現在はラックに吸収合併)がブロードリンクの事件を受けて「意外と難しいデータ消去」と題したブログを公開していたのは何とも皮肉な話である。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー:
HDD処理業者社員による神奈川県庁の使用済みHDD横流し事件、懲役2年・執行猶予5年の判決 2020年06月10日
ドスパラがHDD/SSD破壊サービスの郵送受付を開始、顧客は破壊工程を動画で閲覧可能 2020年06月05日
岡山県、今後のハードディスク破棄は職員が行う方針を決める 2019年12月23日
神奈川県庁のサーバーで使われていたHDD、廃棄業者社員が適切に処理せずに転売し情報流出 2019年12月06日
ドスパラ、中古HDDをデータを消さずに販売。回収へ 2012年06月27日
個人情報保護委員会が個人情報を漏えい 2022年01月21日

nagazou

log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催

1 week ago
米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア(OSS)組織のトップを招いてセキュリティ会議を開催したという(ITmedia、ZDNet、Engadget)。 企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta(旧Facebook)、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。 会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ | アメリカ合衆国 |

関連ストーリー:
中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 2021年12月24日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる 2021年12月11日
Googleが公開したOSS「Tsunami」の名称が議論を呼ぶ 2020年06月25日
新型コロナ接触確認アプリで発見された不具合、OSS利用をめぐる議論にまで発展 2020年06月24日
オープンソースソフトウェア開発の健全なエコシステムとは 2018年09月08日
Google、同社のMapReduce特許についてOSSで使われている場合は訴えないことを誓約 2013年04月02日
キングジムの「テプラ」やパスワードマネージャーに脆弱性が見つかる 2022年01月20日

nagazou

Vivaldi CEO、Vivaldi ブラウザーには暗号通貨管理機能を搭載しないと明言

1 week ago
headless 曰く、多機能を誇る Vivaldi ブラウザーに暗号通貨管理機能を搭載しない理由について、Vivaldi CEO の Jon von Tetzchner 氏が説明している (Vivaldi のブログ記事、 ブログ記事日本語版、 The Register の記事)。 増加する暗号通貨の種類は 8,000 を超え、全世界の法定通貨の種類を大幅に上回る。よくある暗号通貨は創始者が大きな富を得ることを確実にするためのレシピや、合法性を与えるための流通方法、他と差別化するためのストーリーなどを持ち、あまりに変動が大きいために人々は実際に使用する通貨ではなく投資とみなしている。 そのため暗号通貨をよく見ると、通貨のふりをしたマルチ商法に過ぎないことがわかるという。暗号通貨に関するもう一つの懸念はエネルギー消費だが、暗号通貨の幻想は他によい使い道のある大量のエネルギーやハードウェアを使うよう誘惑するよう作られており、平均的な人がそれにつぎ込んだ資金を失うこともしばしばだ。 選択とカスタマイズ性を重視する Vivaldi であり、暗号通貨管理機能の搭載が期待されることも理解できるが、良心に従うなら搭載することはできないとのことだ。

すべて読む | ITセクション | ソフトウェア | インターネット | 暗号 | IT | お金 |

関連ストーリー:
ロシア連邦保安庁、サイバー犯罪組織 REvil を無力化 2022年01月16日
Avira Free Antivirusでも仮想通貨マイニング機能が勝手にインストール 2022年01月12日
ノートン360で仮想通貨のマイニング機能が勝手についてくるとして話題に 2022年01月11日
Collins Dictionary が選ぶ 2021 年を代表する言葉は「NFT」 2021年11月28日
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
中国で暗号資産が全面禁止に。マイニングも決済も相場情報提供も全てNG 2021年09月27日
Microsoft StoreやSpotifyの偽ページ、広告で誘導して情報窃取マルウェアを配布 2021年04月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日
Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 2020年06月11日
シンガポール通貨監督庁、暗号通貨を一般向けに宣伝しないよう求めるガイドライン 2022年01月21日

nagazou

ロシア連邦保安庁、サイバー犯罪組織 REvil を無力化

1 week 3 days ago
ロシア連邦保安庁 (FSB) は 14 日、モスクワやサンクトペテルブルクなどでサイバー犯罪組織 REvil に対する大規模な捜査を内務省と共同で行ったことを発表した (プレスリリース、 The Verge の記事、 Reuters の記事、 Ars Technica の記事)。 捜査は米当局の要請によるもので、FSB は REvil の全容を把握してメンバー 14 人の住居 25 か所で各国通貨の資金 4 億 2,600 万ルーブル・60 万ドル・50 万ユーロを押収したほか、コンピューターや暗号通貨ワレット、高級車 20 台などを押収したという。逮捕された犯罪組織のメンバーは起訴され、サイバー犯罪に使用するインフラストラクチャーは無力化されたとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ |

関連ストーリー:
米司法省、ランサムウェア攻撃に関わった男2人を起訴 2021年11月12日
米IT管理サービス「Kaseya VSA」にランサムウェア攻撃。1000社以上が影響か 2021年07月05日
鹿島建設、サイバー攻撃を受けてデータ流出か。犯行グループは身代金要求 2021年05月01日
ロシア連邦保安庁の下請け企業、IoT機器を狙った攻撃ツールを開発していた 2020年03月25日
ランサムウェア被害にあった外貨両替サービス大手Travelex、店頭では手書きの伝票で対応 2020年01月11日
ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう 2019年09月01日
米大統領選の裏で起きている米露サイバー戦争 2016年08月04日
ロシア諜報部、Windows 7 の全ソースコードを手中に収める 2010年07月13日
Vivaldi CEO、Vivaldi ブラウザーには暗号通貨管理機能を搭載しないと明言 2022年01月18日
シンガポール通貨監督庁、暗号通貨を一般向けに宣伝しないよう求めるガイドライン 2022年01月21日

headless

欧州宇宙機関、超小型人工衛星に対するサイバー攻撃のアイディアを募集

1 week 3 days ago
欧州宇宙機関 (ESA) が超小型人工衛星 OPS-SAT に対するサイバー攻撃のアイディアを募集している (ESA の記事、 The Register の記事、 特設サイト)。 OPS-SAT はフライトコンピューターの性能向上によるミッションコントロール機能などの改善をデモするため 2019 年に打ち上げられた 3U の CubeSat で、現行の ESA の他の宇宙機よりも 10 倍以上高性能なフライトコンピューターを搭載している。強固なセキュリティを誇る OPS-SAT は倫理的ハッカーが安全かつ現実的な環境でスキルをデモするのに最適な空飛ぶプラットフォームだという。 ESA が募集しているのはフランス・パリで 4 月に開催される CYSAT で実施するデモのアイディアで、日本を含む全世界から応募可能だ。締め切りは 2 月 18 日。アイディアは攻撃のシナリオが創造的で現実的かどうか、技術的に 2 か月間で実現可能かどうか、宇宙空間におけるサイバーセキュリティの重要性を誰にでも理解できるよう伝える可能性があるかどうかといった点で審査される。 2 月 25 日にはラウンド 1 として 6 つのアイディアが選定され、選定された各チームは ESA がトラブルシュートとテストのためミッションコントロールに保持している OPS-SAT のコピー「flatsat」を用いてデモの開発とテストを行う。3 月 31 日にはラウンド 2 として CYSAT でデモを行う 3 チームが発表される。3 チームにはパリまでの旅費が全額支給され、4 月 6 日 ~ 7 日の CYSAT で各 6 分間のデモを行うことになる。

すべて読む | セキュリティセクション | セキュリティ | 宇宙 |

関連ストーリー:
NASA、月面での荷下ろしソリューションを募集 2020年11月02日
2024年の月旅行、何を持っていく? 2020年10月11日
NASA、月面の発電所から資源採取場所や処理施設に電力を供給するソリューションを募集 2020年09月30日
NASA、2024年に月面で使うトイレの設計コンテストを開始 2020年06月28日
ドイツ航空宇宙センター、長期の宇宙飛行での人工重力装置使用を想定した60日間寝たきり実験を開始 2019年03月30日
新たに発見された木星の衛星、うち5個の名称募集中 2019年02月28日
英国宇宙局、火星探査車の名前募集を開始 2018年07月21日
水循環変動観測衛星の愛称募集 2011年07月03日
ウクライナに大規模なサイバー攻撃 2022年01月19日

headless

米テキサス州、パーキングメーターに偽の支払用 QR コードを貼り付ける詐欺

1 week 4 days ago
パーキングメーターに偽の支払いサイトへリンクする QR コードを貼り付ける、という詐欺が米テキサス州の複数の市で確認されているそうだ (The Verge の記事、 Ars Technica の記事、 KXAN Austin の記事、 FOX 7 Austin の記事)。 サンアントニオ市警ではパーキングメーターで詐欺的 QR コードステッカーが見つかっていると 12 月に Twitter で注意喚起しており、オースティン市も今年に入ってプレスリリースで注意喚起した。ヒューストン市では詐欺的 QR コードはまだ確認されていないとしつつ、パーキングメーターで QR コードを使用することも、市が QR コードを通じた支払いを受けることもないと注意喚起 (Google キャッシュ) している。オースティン市の担当者はKXANの取材に答え、容易に偽物が作れ、容易に貼り付けられる点を市が QR コードを使用しない理由として挙げている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | IT | アメリカ合衆国 | お金 |

関連ストーリー:
FBI、暗号通貨 ATM と QR コードを利用する詐欺の企みに注意喚起 2021年11月10日
街頭でスマートフォンにQRコードを読ませる手口の勧誘が増加 2021年11月02日
LINEのQRコードログインに脆弱性が見つかる。556件の被害が確認 2021年09月22日
政府、QRコードを利用した濃厚接触者追跡システム構築へ 2021年07月29日
南海電鉄の自動改札機の実証実験。速度ではQRは高評価、Visaタッチは遅い? 2021年04月08日
国民年金の支払いにICカードやQRコード決済を使用可能に。若者の納付率アップを目指す 2020年11月05日
JR東日本、QRコードで利用可能な改札機の実証実験。スマホの画面や紙の券でも利用可能 2020年09月10日
PayPay、QRコード決済統一規格「JPQR」では手数料徴収、自社規格なら無料に 2020年06月22日
QRコード決済の統一規格であるJPQR、店舗提示型コード決済を全国で開始 2020年05月01日
Amazonのマーケットプレイスで購入時に謎のQRコードが付いてきたという報告 2019年10月11日

headless

新経済連盟が「待った」をかけた電気通信事業法改正案、経済界との協議の末まとまる

1 week 4 days ago
2021年3月に発覚したLINE問題(その1、その2)をきっかけにして、総務省が「利用者情報」に関する法改正を進めようとしている。産経新聞によれば、規制強化策を基に電気通信事業法改正案がまとまり、17日に召集される通常国会に提出されることになったそうだ。この改正案では、サイト運営者やアプリ提供者などに対して、インターネットの閲覧履歴を第三者に提供する場合、閲覧者の同意を得ることが義務化されるとのこと(産経新聞)。 各紙の報道によれば、この最終方針がまとまる直前、経済団体などから個人情報の保護範囲について異論が出た。そのため内容が軌道修正されたようだ。具体的には楽天の三木谷浩史氏が代表理事を務める「新経済連盟」が強く反対したとされる(電気通信事業法の改正の方向性に対する懸念について)。一方でこの新経済連盟の意見に対して、一般社団法人MyDataJapanが反論するなど議論が噴出した(新経済連盟の「懸念」に対する懸念)。このため総務省は経済界などと調整のうえで改正案の内容を修正。 産経新聞の報道によれば、第三者提供で同意を得ることに関しては全ての企業に対してではなく、スタートアップ企業など小規模な事業者を例外とすることになったという(読売新聞、朝日新聞、ケータイ Watch)。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 政府 | 情報漏洩 | プライバシ |

関連ストーリー:
LINE問題で調査員による最終報告書。韓国色を隠す意図があったなどと指摘 2021年10月19日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
LINE、トークやKeep関連のデータ移転に2024年までかかる見込みと発表 2021年06月15日
アップル日本法人、5G対応スマホを電気通信事業法の割引制限対象から除外するよう要望 2021年05月19日
KDDI、香港サーバーに保存していた国内契約者情報の一部を国内へ移転へ 2021年04月08日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 2021年03月17日
総務省、通信障害の報告基準改正を検討。クラウドやGAFAなどの海外企業も対象に 2021年03月17日
国内でも中国製アプリ制限の動き。一部議連が政府に提案 2020年07月30日

nagazou

アマゾンのEchoシリーズ、人の在室を判定して定型アクションを実行する機能を追加

1 week 4 days ago
Amazonの提供しているEchoシリーズで、人間の在室を検知したり、不在を判定可能な定型アクション機能の利用が可能になったそうだ。この機能では、Echoシリーズのデバイスが人間の在室を検知すると声で話しかけなくても、Alexaが自動的に照明や家電の電源をつけたり、天気やニュースを読み上げといった定型アクションを実行することができるそうだ。逆に人間の不在判定時に、自動的にテレビやエアコンなどの電源を切るといった定型アクションを実行することもできる。なおユーザーはデバイス毎に定型アクションを設定する必要があるとのこと(PR TIMES、Alexaの在室感知定型アクションの仕組み、ASCII.jp)。 Echo Show 10、Echo Show 8(第2世代)、Echo Show 5(第2世代)では搭載カメラが捉えた人の動きやAlexaとの会話、タッチ操作などによる信号などにより人の在室・不在を判定するという。ディスプレイなしのEcho(第4世代)、Echo Dot(第4世代)、Echo Dot with clock(第4世代)では、スピーカーから発せられる超音波の信号で人間を検知しているとのこと。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | ニュース |

関連ストーリー:
スマートロックサービス「Qrio」でネットワーク障害。発生から4日が経過 2021年12月01日
Amazon、家庭用ロボット「Astro」から15インチ「Echo Show」まで複数製品を発表 2021年10月01日
玄関ドアのスマートロックにまつわるトラブル。インターホン経由で屋外から解錠へ 2021年08月05日
Amazon Echoは工場出荷状態にリセットしても個人情報が残る 2021年07月13日
Microsoftの音声アシスタント「Cortana」、ひっそりと引退モードへ 2020年08月07日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日

nagazou

東京メトロ、1月17日からセキュリティ強化のため全駅で駅構内のゴミ箱を撤去へ

1 week 6 days ago
caret 曰く、東京地下鉄(東京メトロ)は同社管理の全駅構内に設置しているゴミ箱を16日をもって撤去する。走行中の鉄道車両内での事件が相次いでおり、「セキュリティ強化の観点から撤去することとなった」という(J-CAST ニュース、BuzzFeed, 日テレNEWS24, 日本経済新聞)。 同社では1995年の地下鉄サリン事件の際や、2004年に発生したスペインでの列車爆破事件の後にゴミ箱を撤去。2005年からは不審物対策のため中身が見えるよう前面が透明パネルとなっているゴミ箱を設置していた。また、国際会議など、要人来日時にもゴミ箱を使用できない状態にしていたが、今回は一概に特定の事件を受けて撤去するということではなく、現時点でゴミ箱を再設置する予定はないとしている。 なお、半蔵門線渋谷駅、東西線中野駅・西船橋駅などの他社管理の共同管理委託駅では引き続きゴミ箱が設置される。

すべて読む | セキュリティセクション | 日本 | セキュリティ | アナウンス | 交通 |

関連ストーリー:
オーストラリアの野生オウム、食料探しのためゴミ箱を開ける文化が広がる 2021年08月17日
バッテリーが分類せずにゴミ箱に入れられた結果、ゴミ処理所の火災が増加中。英国 2020年10月28日
Google Drive、10月13日以降ゴミ箱のファイル保持期限が30日に 2020年09月18日
国際宇宙ステーションのトイレが秋に大幅アップデート。有人火星探査船用の試験も兼ねる 2020年06月18日
WHO、マスクの使用方法についてのガイドラインを公開。一般的に健康な人はマスク不要 2020年03月03日
電子メールは地球温暖化を助長している 2020年01月30日
「オウム裁判」が終結 2018年01月22日

nagazou

東急電鉄ら、乗車客のスマホからBluetooth信号を取得、混雑状況を可視化する実証実験

1 week 6 days ago
東急電鉄と阪急電鉄、東京工業大学は11日、乗客のスマートフォンのBluetooth信号を取得し、列車内の混雑状況を可視化する実証実験を1月から実施することを発表した。東京工業大学が開発した「列車内の混雑度解析技術」の精度を検証する目的だそうだ。混雑情報を可視化して乗車前の利用客にリアルタイムで提供することで混雑の分散を図る意図があるらしい(プレスリリース、TECH+)。 このシステムでは、乗車前の客のスマートフォンが発するBluetooth信号を駅に設置した「混雑解析装置」で取得、合わせて顔を識別できない「高速度カメラ」で撮影した混雑状況などのデータを組み合わせ、これらのデータをクラウド上に置かれたAIが混雑状況を解析するとしている。

すべて読む | セキュリティセクション | セキュリティ | クラウド | IT | 交通 |

関連ストーリー:
Bluetooth を搭載して音声通話を可能にした電話機型おもちゃ、盗聴可能な問題が見つかる 2021年12月28日
Bluetooth機器の40%は製造時の信号のばらつきにより識別できる 2021年11月15日
アプリで開閉するレンタカーから山奥で締め出し、再検証でも原因は不明 2021年08月13日
玄関ドアのスマートロックにまつわるトラブル。インターホン経由で屋外から解錠へ 2021年08月05日
中学校の技術の授業で使用するラジオキット、今どきはBluetoothも搭載 2021年03月31日
HTC、90Hzディスプレイ搭載のミッドレンジャー5Gスマートフォンを発表 2021年01月17日
シンガポール政府、COVID-19接触者追跡システムを犯罪捜査にも使用すると発表 2021年01月09日

nagazou
Checked
2 hours 1 minute ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed