Aggregator

石川県能登地方を震源とする地震による被害状況等について（第22報）

　ソウル高裁は11月23日、旧日本軍「慰安婦」被害者と遺族計16人によって提訴されていた第２次損害賠償請求訴訟で、一審の棄却判決を取り消し、1人当たり約２億ウォン（約２３００万円）を賠償するよう日本政府に命じる判決を出した。　これに対して、新聞では25日の読売だけが「元慰安婦訴訟　国際法を無視した不当判決だ」と題する朝刊社説を載せた。他紙に、この件の社説はなかった。読売社説は「主権国家は他国の裁判権に服さないという『主権免除』の原則に反する判断である。断じて容認できない」と主..

LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事、 Bleeping Computer の記事、 The Verge の記事)。 LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。

すべて読む | セキュリティセクション | ソフトウェア | ニュース | 暗号 | 情報漏洩 |

関連ストーリー：
Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 2023年12月13日
LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 2023年09月10日
LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 2023年03月05日
1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 2023年01月03日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 2019年02月26日
LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 2016年01月21日
LogMeInがLastPassを買収 2015年10月11日
パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日
パスワード、どうやって管理している？ 2014年02月23日
Xmarks が LastPass に買収される 2010年12月15日

LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事、 Bleeping Computer の記事、 The Verge の記事)。 LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。

すべて読む | セキュリティセクション | ソフトウェア | ニュース | 暗号 | 情報漏洩 |

関連ストーリー：
Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 2023年12月13日
LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 2023年09月10日
LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 2023年03月05日
1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 2023年01月03日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 2019年02月26日
LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 2016年01月21日
LogMeInがLastPassを買収 2015年10月11日
パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日
パスワード、どうやって管理している？ 2014年02月23日
Xmarks が LastPass に買収される 2010年12月15日

米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリース、 The Verge の記事)。 SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。 パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。

すべて読む | セキュリティセクション | セキュリティ | 人工知能 | 政治 | アメリカ合衆国 |

関連ストーリー：
政府、AIの安全性確保を担う組織を新設へ 2023年12月18日
EU、世界初の包括的AI規制で大筋合意 2023年12月11日
Collins Dictionary、2023年を代表する言葉に「AI」を選定 2023年11月05日
テキサス州当局、ポルノが健康に悪影響を与えるなどの警告をポルノサイトに表示させる 2023年10月15日
米カリフォルニア州の修理する権利法が成立 2023年10月13日
アイオワ州の学区、性的表現を含む書籍を学校から排除するためChatGPTを使用 2023年08月19日
狭い場所での家畜飼育を禁ずるカリフォルニア州法、豚肉価格の危機的な高騰を呼ぶ 2023年08月13日
人工知能学会、ChatGPT等への向き合い方に関する声明文を公表 2023年04月27日
GPT-4よりも強力なAIシステムの開発を停止せよとの公開書簡が提出される。ウォズやマスクらも署名 2023年03月31日
米ユタ州、18 歳未満のソーシャルメディア利用に保護者の許可を必要とする州法が成立 2023年03月25日
Microsoft、製品への AI 原則適用を確実にしていたチームが消滅 2023年03月16日
ChatGPT 開発の背後にはケニアの労働者による人力作業 2023年01月22日
米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効 2023年01月04日
Google、AI 倫理を懸念するエンジニアを守秘義務違反で休職処分に 2022年06月15日
米国防総省の有識者会議、AI倫理5原則を採択 2019年11月03日
米カリフォルニア州自動車局、人間の運転者が乗車しない自律走行車のテストを可能にする州法規改正を提案 2017年03月12日

パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。 根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | Chromium |

関連ストーリー：
宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン 2023年12月25日
米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起 2023年12月14日
偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場 2023年11月25日
Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン 2023年11月13日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
偽の「Get Windows 11」サイトでマルウェアキャンペーン 2022年02月13日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
GoogleアカウントでのWindows 10ログイン、実現なるか 2018年09月02日
Google、パスワード管理システムのコードを盗まれていた 2010年04月22日

パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。 根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | Chromium |

関連ストーリー：
宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン 2023年12月25日
米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起 2023年12月14日
偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場 2023年11月25日
Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン 2023年11月13日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
偽の「Get Windows 11」サイトでマルウェアキャンペーン 2022年02月13日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
GoogleアカウントでのWindows 10ログイン、実現なるか 2018年09月02日
Google、パスワード管理システムのコードを盗まれていた 2010年04月22日

Twitch がストリーマーに対するヌード禁止を厳格化するポリシー改正を発表した (Twitch のブログ記事、 The Verge の記事)。 Twitch では芸術・教育コンテンツなどを除いて性器や臀部の露出を含むヌードを禁じているが、新ポリシーではさらに物体や画像処理で局部を隠している場合を含めてヌードまたは部分的な露出をしていると示唆する行為も禁止となる。また、覆われていても性器の輪郭が見える状態は認められない。上述のように許容される可能性があるのは成人の場合に限られ、未成年者のヌードまたは部分的なヌードを放送する行為は以前から状況にかかわらず禁じられている。 女性の姿で出演するストリーマーには乳首を覆い、アンダーバストを露出しないことが求められる。胸の谷間は着衣の要件を満たし、ストリーマーが着衣であることが明確にされている限りは許容される。また、すべてのストリーマーに対し、腰の下から臀部および骨盤の下までの範囲を覆うよう求めている。

すべて読む | ITセクション | 映画 | 変なモノ | SNS |

関連ストーリー：
Twitch、架空のヌードを許可するコンテンツポリシー更新を翌日取り消し 2023年12月16日
Twitch、高すぎるネットワーク負担で韓国から撤退へ 2023年12月09日
Amazon、自社サービス Twitch で自社の公式アカウントを一時停止 2021年12月25日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
Twitch公式ゲーミングチャンネル、BlizzConlineに出演したMetallicaの演奏をロイヤリティーフリー音楽に差し替える 2021年02月23日
ゲーム動画配信サイトTwitch、性的コンテンツを過剰に薦めているとして利用者から訴えられる 2020年06月26日

headless 曰く、現存する中で最古とみられる 86-DOS のディスクイメージが Internet Archive にアップロードされた (ダウンロードページ、 Neowin の記事、 Ars Technica の記事、 Tom's Hardware の記事)。 Microsoft は 1981 年に Seattle Computer Products から 86-DOS (QDOS) の権利を買収して MS-DOS のベースにしたことが知られているが、今回アップロードされた 86-DOS バージョン 0.1-C (シリアル #11) はその前年のものとなる。アップロード者は先にバージョン 0.34-C (シリアル #221) を最古のバージョンとしてアップロードしていた。これらのディスクイメージは SIMH エミュレーターを使用してブートできる (動画、画面にはバージョン 0.11 と表示されている) とのこと。ただし、手元の環境ではうまくいかなかった。

すべて読む | ITセクション | OS | ソフトウェア | ニュース | インターネット |

関連ストーリー：
MS-DOS誕生から30年 2011年07月28日

松本総務大臣の総務省非常災害対策本部会議後 臨時ぶら下がり記者会見の概要

石川県能登地方を震源とする地震による被害状況等について（第21報）

石川県能登地方を震源とする地震による被害状況等について（第20報）