パスワードを忘れた? アカウント作成
12651036 story
セキュリティ

ウクライナのハッキング停電、攻撃手段はマルウェアだけではなかった 2

ストーリー by hylom
電話がなければ気付かないのか 部門より
taraiok 曰く、

ウクライナでは2015年12月23日に一部地域で停電が発生した。同国政府は原因は感染力の強い破壊的なマルウェアが使用されるサイバー攻撃によるものだったと説明、犯人はロシア政府であるとして批判してきた。しかしSANS Industrial Control Systems (ICS) の調査によると、停電の原因はマルウェアだけではなかったという(ITmediaSANSCSOSlashdot)。

マルウェアはネットワークにアクセスする足場作りのため使用されたという。攻撃者は、停電期間を引き延ばすため顧客からの苦情を受け付けるための電話システムに対してサービス拒否攻撃を行い、停電が発生したことをオペレーターに気づかせないようにしていたという。

12651035 story
ニュース

カフェインを直接吸入できるカフェイン吸入器 37

ストーリー by hylom
そこまでしてカフェインを摂取したいのか 部門より
あるAnonymous Coward 曰く、

海外で電子カフェイン吸入器「ヴェイパー」が話題になっているそうだ(Gigadamu速報クーリエ・ジャポン)。

ヴェイパーはカートリッジ内に封入されたカフェインなどを含む液体をヒーターで加熱して気化させて吸入するというもの。代表的な製品とされる「Eagle Energy」の製品情報を見ると、カフェインのみを効率的に摂取できるというのがアピールポイントのようだ。

カートリッジ1本で500回の吸入が可能で、1回の吸入で約2mgのカフェインを摂取できる。1回の利用時には10~20回の吸入が推奨されており、肺から直接血中にカフェインを取り込むため95~200mg(ブラックコーヒー1杯分)と同等の効果があるという(HuffingtonPost)。

価格はカートリッジ1本あたり約9ドル、10パックで74.99ドルとのこと。

12651192 story
インターネット

Trend Microのパスワード管理ソフトにリモートから任意コード実行可能な脆弱性 42

ストーリー by hylom
セキュリティソフトのセキュリティ問題が頻発 部門より
headless 曰く、

Trend Microのパスワード管理ソフト「Password Manager」でリモートから任意のコードが実行可能な脆弱性が発見され、発見者のGoogle Security ResearchのTavis Ormandy氏から報告を受けたTrend Microが緊急アップデートを配布したそうだ(Google Security Research — Issue 693Trend MicroのブログSoftpediaArs TechnicaRegister)。

Password Managerは主にJavaScriptで書かれており、localhostでNode.jsを使ってHTTPサーバーを実行する。このコンポーネントは70近いAPIを公開しているが、最初に問題が見つかったのは「openUrlInDefaultBrowser」APIから「ShellExecute」が実行される点だ。そのため、Webサイト側がこのAPIを呼び出すことで、任意のコード実行が可能となる。さらに、localhost用の自己署名の証明書が信頼済みストアに追加されるため、セキュリティエラーなども発生しないという。

Trend Microは修正済みビルドを作成してOrmandy氏に送ったが、任意コード実行可能なAPIは他にも見つかり、Password Managerが暗号化して保存しているすべてのパスワードをWebサイトが取得し、復号できることも判明した。Webブラウザが保存しているパスワードのPassword Managerへのエクスポートはオプションだが、攻撃者は「exportBrowserPasswords」APIを使用することで、ユーザーが実際にPassword Managerを使用していなくてもパスワードを取得できる可能性がある。

指摘された問題は最終的にすべて修正され、緊急アップデートが自動更新で配布されているが、他にも問題が見つかる可能性もあるという。なお、Password Managerは単体で販売されているほか、米国では「Trend Micro Premium/Maximum Security 10」に同梱されているが、国内版の「ウイルスバスター クラウド 10」には同梱されておらず、別途提供のみとなっているようだ。

12651161 story
プライバシ

auの販売代理店従業員、顧客のメールを勝手に転送してのぞき見していたとして逮捕される 35

ストーリー by hylom
完全にアウト 部門より

auの販売代理店の元従業員が、顧客情報管理システムを悪用して顧客のメールを勝手に転送してのぞき見ていたとして私電磁的記録不正作出・供用の疑いで逮捕された(NHK日経新聞毎日新聞)。

auの情報管理システムには契約者の個人情報などが登録されているとのことで、これを利用して別の端末から携帯電話のメール転送設定を無断で行ったようだ。女性から警察に対し、転送先に知らない連絡先が登録されているという相談があって発覚したもの。

容疑者は「好みの女性のメールをのぞき見したかった」として容疑を認めているとのこと。また、容疑者のPCなどからは女性の写真6000枚が確認されているとのこと。さらに女性が使っていたネットサービスに対し不正ログインを行った可能性もあるという。

12651033 story
交通

JR東日本、黒い新幹線をお披露目 47

ストーリー by hylom
ゆったり見られるのだろうか 部門より
masakun 曰く、

1月12日、JR東日本は黒い新幹線「現美新幹線」の外装を大宮駅で公開した(朝日新聞読売新聞時事通信 Youtube)。

現美新幹線は上越新幹線の越後湯沢-新潟間を走行する特別列車で、車内で現代アートの展示を行うのが特徴。秋田新幹線で利用されていた6両編成の「E3」系車両を改造し、新潟出身の映画監督である蜷川実花氏の花火写真のアートを全体にラッピングした外観となっている。座席数を通常の3分の1に減らし、片側の窓をふさいで展示スペースを確保。今春より休日を中心に観光列車として運転される予定だという。

現代アートにはとんと興味はないけれど、黒い新幹線には一度乗ってみたいですね。

12651032 story
Android

「機能を割り切って価格を抑えた」というauの「Qua phone」、実質2万円 56

ストーリー by hylom
要らない機能を正直に削っただけの気も 部門より
あるAnonymous Coward 曰く、

auが「実質2万円台前半」という京セラ製の小型軽量スマートフォン「Qua phone」を2月上旬に発売する(ASCII.jp)。

液晶サイズは5インチ(720×1280ドット)、CPUはSnapdragon 410(1.2GHz、クアッドコア)、メモリは2GB、ストレージは16GB。OSはAndroid 5.1となる。

「機能を割り切る」ことで価格を抑えたとのことで、ワンセグ/フルセグ機能や赤外線通信は非搭載。キャリアアグリゲーションにも非対応。おサイフケータイやNFCは搭載している。

12651029 story
プリンター

エプソン、大容量インクタンクを備えるインクジェット複合機を日本でも発売へ 31

ストーリー by hylom
この値段だと使い捨てはできないね 部門より
あるAnonymous Coward 曰く、

エプソンが大容量インクタンクを備えるインクジェット複合機「EW-M660FT」を2月4日に発売する。価格は税別5万円台中盤程度になるようだ(デジカメWatch)。

本製品の特徴は大容量のインクタンクと、カートリッジ交換ではなくインクタンクへのインク注入でインクの補充ができる点。本体にはインクボトルが2セット付属しており、これだけでA4カラー文書約1万1300枚相当の印刷ができるという。インクボトル単体での価格はブラック(140ml)が1,800円前後、シアン・マゼンタ・イエロー(70ml)が各900円前後になるという。

エプソンはすでに海外で大容量インクタンクを備えるプリンタを販売していた(過去記事)。

12650970 story
ネットワーク

ヤマハルーター総選挙、開催中 36

ストーリー by hylom
どうしてこうなった 部門より

ヤマハがネットワーク機器20周年を記念して、「ヤマハルーター総選挙」というイベントを開催している。

Twitterで「#ヤマハルーター総選挙」とともに投票したい製品の型番をハッシュタグとして投稿するだけで投票できる。開催期間は1月29日まで。立候補製品には最新機器から過去の人気製品までが並んでいる。

12650907 story
セキュリティ

複数のセキュリティ問題を修正したWindows版QuickTime 7.7.9リリース 23

ストーリー by hylom
ご利用の方はアップデートを 部門より
あるAnonymous Coward 曰く、

たびたび脆弱性が発見されているWindows版QuickTimeだが、その最新版となるQuickTime 7.7.9が1月7日にリリースされている(セキュリティ通信窓の杜)。

細工された動画によって任意コードの実行が可能になるという脆弱性や、メモリ関連の不具合が修正されているほか、以下の9件の脆弱性が修正されているとのこと。

  • CVE-2015-7085 : an anonymous researcher
  • CVE-2015-7086 : an anonymous researcher
  • CVE-2015-7087 : Ryan Pentney and Richard Johnson of Cisco Talos
  • CVE-2015-7088 : Ryan Pentney and Richard Johnson of Cisco Talos
  • CVE-2015-7089 : Ryan Pentney and Richard Johnson of Cisco Talos
  • CVE-2015-7090 : Ryan Pentney and Richard Johnson of Cisco Talos
  • CVE-2015-7091 : Pedro Ribeiro (pedrib@gmail.com) of Agile Information Security
  • CVE-2015-7092 : Jaanus Kp Clarified Security working with HP's Zero Day Initiative
  • CVE-2015-7117: Ryan Pentney and Richard Johnson of Cisco Talos

なお、前回の修正は昨年8月20日で、約5か月ぶりのリリースとなる

12650965 story
Linux

Linux Kernel 4.4リリース、秒間350万のSYN攻撃に耐えるように 19

ストーリー by hylom
新版 部門より
あるAnonymous Coward 曰く、

1月10日、Linuxカーネル4.4がリリースされた(改良点一覧1改良点一覧2OSDN Magazine)。

Linuxカーネル4.4では、TCPリスナーのコードがlockless化され、秒間350万のSYN攻撃に耐えるようになった。Intel SHA Extensionsに対応し、カーネルでのSHA-1ハッシュ化とSHA-256ハッシュ化が高速化された。

ほかにもRaspberry PiのKMS(カーネルでのディスプレイ設定管理)対応、ソフトウェア無線(SDR)の送信機のサポート、DCI-P3色空間のキャプチャデバイスの対応、USB 3.1 SuperSpeed Plusへの対応、Open-Channel SSD(ソフトウェア定義SSD)の対応などが追加されている。

12650904 story
政府

海老名市のCCCによる図書館運営、返上していたPマークが資格要件となっていた 62

ストーリー by hylom
結論ありき? 部門より
あるAnonymous Coward 曰く、

神奈川県海老名市ではカルチュア・コンビニエンス・クラブ(CCC)および図書館流通センター(TRC)が共同で市立図書館の運営を行っているが、海老名市が図書館の運営を委託する指定管理者を募集する際、要件として「Pマークの取得」が設定されていたという。しかし指定管理者になってから2か月後にCCCはPマークを返上、現在「応募資格を満たしていない事業者」という状態になっているという(ビジネスジャーナル)。

いっぽうで市の担当者側はCCC側からPマーク規格に基づく対策・運用を行うこと、独自基準でセキュリティ環境を向上させるとの説明を受けたとのことで、個人情報保護に問題は無いという見解だそうだ。

12649831 story
法廷

他人の携帯端末を勝手に操作してLINEのスクリーンショットを取得することは不正アクセスか 88

ストーリー by hylom
ゲスな話 部門より

最近TVや週刊誌を騒がせている芸能人による不倫問題では、LINEによるやり取りのスクリーンショットがマスコミに流出していることも話題になった。流出したスクリーンショットは、その男性芸能人の関係者がこっそりとその男性の端末を操作して取得したものとも言われているが、このように他者の携帯端末を勝手に操作する行為は不正アクセス行為に当たる可能性があるという(セキュリティ研究家高木浩光氏のTwitterへの投稿)。

高木氏が2006年にまとめた「ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか」記事では、mixiのようなWebブラウザ経由でアクセスするSNSに対し、「他者がログインしたまま放置したブラウザ」を操作してそのユーザーとしてアクセスした場合について、その違法性を検討している。このようなSNSではユーザー認証にCookieが使用されるが、実装によっては送信されるCookieは「当該特定利用に係る識別符号」に該当する可能性があり、不正アクセスと解釈できる可能性があるという。

LINEの場合はWebブラウザではなく専用アプリを利用してアクセスすることになるが、その場合でもアプリは何らかの認証情報をサーバーに送信しているはずである。そこでどのような認証情報が送信されるかは明らかになっていないが、法的に「識別符号」に該当する情報が送信される場合、不正アクセスと解釈される可能性があるという。

なお、LINEアプリではメッセージは端末側に保存されるため、すでに端末側に保存されているメッセージを閲覧するだけであれば不正アクセスとして検挙される可能性は相当に小さいとのこと。

12649813 story
暗号

vvvウイルスの秘密鍵はSurface Pro 3程度の処理能力があれば現実的な時間で割り出せる 39

ストーリー by hylom
クラスタやGPGPUなどを使えばもっと速くなるかも 部門より

先日、ストレージ内のファイルを暗号化して読めなくしたうえで金銭を要求する通称「vvvウイルス」が話題になったが(過去記事)、これによって暗号化されたファイルを復号するツールが登場しているそうだ(TeslaCrypt(vvvウイルス)によって暗号化されたファイルの復号手順メモ)。

復号には秘密鍵を割り出すために因数分解処理が必要となり、それには一定の時間が必要だが、Surface Pro 3(Core i5、メモリ8GB)で30分以下で完了したという(記事著者によるTwitterへの投稿)。

12649800 story
お金

大洗町、ふるさと納税の返礼品にアニメとのコラボ商品を用意して人気に 50

ストーリー by hylom
バブルにならなければ良いが 部門より

茨城県大洗町がふるさと納税の返礼品として人気アニメ「ガールズ&パンツァー」とのコラボ商品を用意して人気を博しているという(ITmedia)。

大洗町は同アニメの舞台となっており、アニメファンが多く訪れることでも知られている。昨年度のふるさと納税による寄付金額は合計約763万円、申込件数は202件だったそうだが、昨年12月にコラボ商品230品目を返礼品に追加したところ、1か月間で1億6000万円以上、約500件の申込みが寄せられたそうだ。

12650063 story
サイエンス

岡山大学で論文不正告発を行った教授2名が解雇される、裁判沙汰に 60

ストーリー by hylom
論文不正に対し風当たりが強くなっているこのご時世に 部門より
あるAnonymous Coward 曰く、

岡山大学薬学部の元学部長を含む教授2名が解雇されるという事件が起きている。この2名の教授は同大学医学部の論文に不正があったとして告発を行ったのだが、これに対し大学側が適性を欠いているとして解雇するという流れだという(NHK)。解雇された教授らは解雇の無効を求め岡山地方裁判所に提訴を行っている。

背景については榎木英介氏によるYahoo!ニュースの記事「炎上岡山大学~研究不正疑義申し立てた教授が解雇される」が詳しい。告発された論文不正については同大学は内部調査を行い「問題は無い」という結論を出したようだが、この調査についても内容がずさんであるという指摘が出ている。

病院経営者向け専門誌「集中」の記事では、岡山大学では「実際に研究を行うことがないまま研究論文を提出している院生が複数いた」「院生たちの論文は既出の論文をコピーしてつぎはぎしただけの代物」として両教授らが告発を行った発端が述べられている。また、不正を告発された教授らは岡山大学を代表する有名教授であり、さらに学長は不正について黙殺するような発言をしたという。この記事は2014年7月の記事だが、その後8月9月10月11月と続報も掲載されており、経緯を確認できる。

なお、岡山大学では2005年にソフトウェアの違法コピーを行っているとして岡山地裁から証拠保全手続きが取られていることが過去に話題になっている

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...