パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

12896235 story
iOS

Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 11

ストーリー by headless
修正 部門より
Appleは25日、iOS 9.3.5をリリースした。このバージョンで修正された3件のゼロデイ脆弱性は、連携させることでリモート脱獄が可能となるものだ(Appleサポートの記事Lookout Blogの記事The Citizen Labの記事Ars Technicaの記事)。

脆弱性はカーネル関連2件とWebKit関連1件で、それぞれアプリケーションによるカーネルメモリー漏洩(CVE-2016-4655)、アプリケーションによるカーネル特権での任意コード実行(CVE-2016-4656)、Webサイトを訪問することによる任意コード実行(CVE-2016-4657)となっている。これらの脆弱性はイスラエルのNSOグループによる「Pegasus」スパイウェアで使われており、脆弱性を確認したCitizen LabとSophosでは3件の脆弱性をまとめて「Trident」と呼んでいる。

NSOグループは「合法的な傍受」を可能にするスパイウェア製品を政府機関専門に販売するサイバー戦争企業だという。Pegasusはターゲットを攻撃用のWebサイトに誘導してiOSデバイスにスパイウェアをインストールすることで、メッセージや通話、電子メール、アプリのデータなどへのアクセスを可能にする。

(続く...)
12893115 story
Twitter

米国税関・国境警備局はあなたがTwitter上ではどんな人物なのかを知りたがっている 18

ストーリー by hylom
意味はあるのか 部門より
taraiok 曰く、

米国税関・国境警備局は、テロ対策の一環としてビザの免除対象となっている国外からの旅行者たちに対し、FacebookやTwitterといったSNSのアカウント情報の記入を求める提案を行っている過去記事)。しかし、電子フロンティア財団(EFF)は、この計画は欠陥品で旅行者のプライバシーを侵害するだけの結果になると主張、この提案に反対している(EFFCDTSlashdot)。

EFFによると、アカウント情報の記入は米国政府から疑われないよう無難なことしか書かなくなる自己検閲状態に陥る可能性があり、無実の旅行者のプライバシーを不当に侵害することになるとしている。またオンラインの権利団体Center for Democracy & Technology(CDT)も声明を出しており、SNSアカウント収拾は非常に侵襲的で諜報活動の大幅な拡大につながる、ソーシャルメディアの分析はコストがかかるといった計画の問題点について触れている。

12890693 story
プライバシ

Tor開発者の性的暴行疑惑を受けネットで9月1日にTorノードを24時間停止させようという運動が広まる 55

ストーリー by hylom
どうしてこうなった 部門より
あるAnonymous Coward曰く、

Torの開発者であり、ウィキリークス米国代表などのインターネット活動家としても知られてるJacob Appelbaumだが、氏は仲間の活動家複数に対して性的暴行をしたとされ、5月にTorプロジェクトからの辞任に追い込まれた。Torプロジェクトは内部調査の結果を7月に公開、この問題が実在することを認めた。これを受けてネットではTorノードの24時間運用停止という抗議活動が広がっている。Twitterハッシュタグは#torstrike(SOFTPEDIABuzzFeedNEWSSlashdot

彼ら曰く「Torはもはや信頼に値せずCIAの手先に成り下がった」としている。信頼を取り戻すためには16の提案を受け入れるべきだとしている。この提案にはAppelbaumに対する調査および懲罰的プロセスの詳細が公開されるべきといったものや政府、軍、または諜報機関と関係しているメンバーの追放などを訴えている(抗議関連その1その2)。

12889121 story
プライバシ

ドイツ・デメジエール内相、テロ対策として空港や駅での顔認識ソフトウェアの導入を求める 37

ストーリー by hylom
本当に効果的なのか 部門より
taraiok曰く、

ドイツのトマス・デメジエール内相は、7月に発生したIS主導とされるテロ事件2件を受けテロ対策を強化している。そのうちの一つが駅や空港に顔認識ソフトウェアを導入する計画だ。これは新たなテロ容疑者を国内に入れないためのものだ(RTENEWSSlashdot)。

ドイツではナチスのゲシュタポや東ドイツ時代のシュタージによる民間人への監視が存在したことから、こうした監視は人現侵害に繋がるとして批判的な意見が強い。しかし、デメジエール氏はインタビューで、「私たちは、個人のエントリーカードの厳密なチェックと言ったセキュリティ強化対策に慣れる必要がある。これは退屈かつ不快なものではあるが個人の自由を制限するものではない」と語った。

なお、同氏はスラム教徒女性の顔と全身を覆う衣服であるブルカの一部禁止を求めることや過激派戦闘員からドイツ国籍を剥奪するといったことも提案している(AFPの記事1AFPの記事2)。

12886607 story
プライバシ

スノーデン氏曰く、米当局は日本でもネット監視を行っている 32

ストーリー by hylom
元記事が色々曖昧でなんとも 部門より
あるAnonymous Coward 曰く、

米国家安全保障局(NSA)によるネット監視を告発したエドワード・スノーデン氏が、米当局による日本でのネット監視について答えたインタビュー記事が現代ビジネスに掲載されている。

スノーデン氏は米空軍横田基地内にある日本のNSA本部に勤務していた経験があるという。日本では横須賀基地や三沢基地、横田基地、キャンプ・ハンセン、嘉手納基地といった米軍基地や米大使館において約1000人が信号諜報に当たっているそうで、スノーデン氏によると主に国際海底ケーブルを通過する情報を記録してNSAのデータベースに転送する活動が行われていたという。また、スノーデン氏の勤務先には日本側の「パートナー企業」がたびたび訪れていたという。

また、スノーデン氏は「日本で近年成立した(特定)秘密保護法は、実はアメリカがデザインしたものです」といった発言も行っている。

とはいえ、発言には憶測によるものも多いため、どこまで信憑性があるかは判断が難しいところである。

12884017 story
EFF

EFF、Microsoftがユーザーの選択とプライバシーを無視していると批判 70

ストーリー by headless
要求 部門より
Electronic Frontier Foundationは17日、Windows 10に関連してMicrosoftがユーザーの選択とプライバシーを露骨に無視していることを批判するブログ記事を掲載した(Deeplinks Blogの記事Neowinの記事BetaNewsの記事The Registerの記事)。

「ユーザーの選択を無視」というのは、7月29日に終了したWindows 10の無償アップグレードキャンペーンに関するものだ。Microsoftは更新プログラムとして「Windows 10を入手」アプリをWindows 7/8.1に提供し、Windows 10への無償アップグレード1年以上にわたって勧め続けた。このほかにも、アップグレード推奨にはさまざま方法が使われている。 2月にはWindows 10へのアップグレードが「推奨される更新プログラム」となり、Windows Updateを実行すると設定によっては自動的にアップグレードが開始されるようになった。5月には強制アップグレードが開始され、中央アフリカで密猟者から攻撃されているレンジャーに指示を出せなくなるというトラブルも発生した。

(続く...)
12883344 story
アメリカ合衆国

ハッカー集団が米国家安全保障局のサイバー攻撃ソフトを奪取、競売で売る計画 14

ストーリー by hylom
売るのか 部門より
あるAnonymous Coward曰く、

以前、米国家安全保障局(NSA)がネット監視を行っていたことが話題になったが、このNSAが使用していたと見られるサイバー攻撃ツールが流出した模様。これを入手したハッカー集団はオークション形式でこのツールを売却するという(Business Insider日本経済新聞Slashdot)。

このツールはルーターの脆弱性を使ってシステムに侵入するものと見られており、NSAが外国機関のシステムから情報を収集するために使っていたという。ハッカー集団は「Shadow Brokers」と名乗っているが、ロシア政府と関連がある可能性もあり、FBIが捜査を進めているという。なお、Business Insiderによると、このツールは本物だろうと元NSA関係者が発言しているそうだ。

12880838 story
クラウド

クラウドベンダーが政府と協力する必要はあるのか 15

ストーリー by hylom
ない 部門より
あるAnonymous Coward曰く、

米国では銃乱射事件が発生し、FBIがAppleに容疑者のiPhoneの暗号化を解除するようAppleに要請する事件があった。この件は第3者の解析により解決に至ったが、ほかのサービス、例えばクラウド・ベンダーなどでも今後、同様の問題は起きていく可能性は高い。この問題に対し米国では専門家の考えも分かれているようだ。

クラウドサービスへのデータ保護サービスを提供しているBitglassのIT専門家のうち反対者は55%。一方で35%の人は要求があればクラウド・ベンダーは復号化したデータを政府に渡す必要があるとしている。INFOSECのヨーロッパ、中東、アフリカ(EMEA)の担当専門家では反対者は42%、さらに米国担当専門家の64%が政府への協力に反対したという(Help Net SecuritySlashdot)。

一方、FBIのジェームズ・コミー長官は8月5日、過去10カ月間にFBIの捜査対象となった電子デバイス5000台のうち650台にアクセスできなかったことを明らかにした。「暗号化技術について議論しなければ、この問題は悪化する一方だ」と発言している(ITmedia)。

12877135 story
変なモノ

ヒルトンホテル、ポイントプログラム会員にフィッシングメールそっくりの電子メールを送る 12

ストーリー by headless
真偽 部門より
やや旧聞になるが、ヒルトンホテルが7月下旬、ポイントプログラム「Hilton HHonors」の会員あてにフィッシングメールにしか見えない文面の電子メールを送信し、HHonorsのITサポート担当までフィッシングメールだと判断する事態になっていたそうだ(Lenny Zeltser氏のブログ記事The Registerの記事)。

この電子メールは「重要なメッセージ」のような件名で、冒頭のあいさつは会員のファーストネームのみ。本文は、あなたのアカウント情報が正しいかどうか確認したいので、Hilton HHonorsアカウントにログインして電子メールアドレスや住所、電話番号、受信する電子メールの選択を確認してほしいという内容だ。このほか、アカウントレベルやポイント数が記載されており、「ACCOUNT LOGIN」「UPDATE NOW」といったリンクも用意されている。

このメッセージを受け取った会員が正規のものかどうかHilton HHonorsのTwitterアカウントに質問したところ、HHonorsチームが送ったものではないので、アカウント情報を入力しないように警告されている。米NCRのLenny Zeltser氏はブログ記事で企業から送られた電子メールの良い例と悪い例を挙げ、フィッシングメールそっくりの正規のメールが増えると顧客の判断が鈍るので避けるべきだと述べている。

なお、元記事は正規の電子メールだった前提で書かれているが、そう判断した理由には触れられていない。Twitterでは別のユーザーが電子メールヘッダーのスクリーンショットを投稿し、Hiltonから送られたものかHiltonがハックされたのかどちらかだとコメントしているが、この件に関するHHonorsからの続報は出ていない。
12862635 story
ネットワーク

アラブ首長国連邦でVPNを使用すると最大54万5000ドルの罰金が科せられる 18

ストーリー by hylom
専用線の時代に逆戻り? 部門より
taraiok曰く、

アラブ首長国連邦(UAE)で、仮想プライベートネットワーク(VPN)利用を禁じる新たな法律が制定されたという(Business InsiderThe Next WebSlashdot)。

この新しい法律は、不正にVPNやプロキシサーパー使用したことが判明した場合、逮捕され13万6000~54万5000ドルの範囲で罰金が課せられるというもの。以前もVPNに関連する規制はあったが、内容はインターネット犯罪に絡むものだけだった。今後は警察が管理しやすいようVPN全体を取り締まるようにしたという。

12862632 story
プライバシ

ニューヨークの地方検事、AppleやGoogleに暗号化の水準を昔に戻すように求める 63

ストーリー by hylom
暗号化を緩くしたら別の手段が使われるだけでは 部門より
あるAnonymous Coward曰く、

米ニューヨーク州のCyrus Vance Jr.マンハッタン地方検事がサイバーセキュリティに関する国際会議での講演で、スマートフォンで使われている暗号化を弱めるよう主張したという(Tom\'s GuideSlashdot)。

氏によると、スマートフォン端末の暗号化解除が進まないことで、犯罪事件における加害者の特定が難しくなり、数千件の犯罪が未解決となっているという。氏は暗号化自体は否定せず、法執行機関に向けた「バックドア」の設置も否定、「現在のメーカー自身ですら解除できない」という暗号化レベルを、「メーカー側で解除できる水準」にまで落とすことを主張している。

12857584 story
プライバシ

米政府は民間の電子メールアカウントに対し、そのユーザーに知られることなくメールを読むことができる 17

ストーリー by hylom
メールは第三者に見られていると思って使うほうがよい 部門より
taraiok 曰く、

Microsoftは米国政府が顧客の電子メール情報へのアクセスを求めた場合、顧客には読まれていることを知る権利があり、そのことを伝えるべきであると裁判で主張してきた。しかし、米国政府側は個人または調査を危険にさらすリスクがある場合、連邦法では特定令状なしに電子メールを読むことができると説明しているという(BloombergSlashdot)。

Bloombergによると、政府が民間の電子メールアカウントにアクセスする命令を出した場合、長期間もしくは無制限の伝達禁止が課せられるという。連邦裁判所はMicrosoftに対し約2600件のアクセス命令を出しており、そのうちの3分の2は伝達禁止解除の期日が設定されていない無期限状態だった。このため、政府の調査が終了した後も顧客に説明できなかったとしている。

12854338 story
プライバシ

Windows 10のデータ収集などに対し、フランスのデータ保護当局が3か月以内の是正を求める 27

ストーリー by headless
過剰 部門より
Windows 10が過剰にデータを収集しているなどとして、フランスのデータ保護当局CNIL(情報処理および自由に関する国家委員会)がMicrosoftに対し、3か月以内の是正を求める公式通知を送付したことを発表した(CNILの発表VentureBeatの記事The Vergeの記事WinBetaの記事)。

Windows 10の収集するデータのうち、CNILではサービスで必要としない過剰なデータとしてWindowsアプリやストアの使用状況を挙げている。Windows 10の設定ではMicrosoftに送信する診断データと使用状況のオプションとして「基本」「拡張」「完全」の3つのレベルがあり、「基本」はWindowsの動作に不可欠なデータとされている。しかし、Windows 10の一部のエディションのテクニカルプレビュー版には送信するデータをより限定した「セキュリティ」というレベルがあることから、「基本」でも過剰なデータが送信されると考えられるとのこと。

また、PINコードによるサインインのセキュリティが十分でない点や、広告IDやCookieに関する情報が十分ユーザーに伝えられないままデフォルトで有効になっている点などがフランスのデータ保護法に違反すると指摘。また、昨年10月に欧州司法裁判所が無効と判断したセーフハーバーフレームワークに基づいて欧州から米国に個人情報を送信している点も問題視している。

これについてMicrosoftでは、CNILと連携して問題解決に努めるとの声明を発表している。2016年1月に改定された現在のプライバシーに関する声明はセーフハーバーフレームワークに準拠した内容となっているが、新しいプライバシーシールドの規定に沿った内容の改訂版を8月に発表する予定とのことだ。
12835881 story
プライバシ

米国で鉄道やバスなどの公共交通機関が乗客の会話を録音していたことが発覚 17

ストーリー by hylom
とりあえずやっちゃった系 部門より
あるAnonymous Coward曰く、

今年の4月に米交通機関のNJトランジットが社内に設置された監視システムを使用し、乗客の様子を動画だけでなく音声でも記録していたことが発覚した

NJトランジットの関係者は犯罪対策には必要だったと主張していたが、法律上の問題も指摘されたことで6月下旬に監視システムによる音声記録は停止されたという。またこの記録データに誰がアクセス可能なのかといった管理ポリシーが不明確な点も指摘されていたとされる(NJ.comSlashdot)。

こうした録音問題は2012年にメリーランド州の一部バスへ音声録音機能が初めて搭載されたことから始まった。ニューヨーク州都市交通局(MTA)によると現在では65%のローカルバスにこの機能が搭載されているという。また地下鉄の82%の車両にも音声録音機能が搭載されているが、ソフトウェアが用意されていないため使用できないとしている。別の記事によればこうした録音機能は国土安全保障(DHS)からの資金提供によって整備されているという。

なお、大量輸送機関での音声録音を禁止する法案も提出されたことがあるが、2013~2015年はすべて廃案になっている(CSOTHE BALTIMORE SUN)。

12819696 story
Firefox

FirefoxのNightlyビルドにアカウント分離機能が実装される、SNSやWebサービスに異なるアカウントで同時にログイン可能に 24

ストーリー by hylom
便利そう 部門より
あるAnonymous Coward曰く、

Firefoxに、「複数のアイデンティティ」を切り替えて利用できる機能が搭載されるという(Tanvi Vyas氏のブログITmedia)。

この機能はFirefoxのNightlyビルドに導入されたもので、「コンテナ」という単位で分離された4つのブラウザ環境を簡単に切り替えられるというもの。これによってWebサービスやSNSに同時に異なるアカウントでログインすることが可能になる。

「Personal」「Work」「Banking」「Shopping」の4つのコンテナが用意されている。また、履歴やブックマーク等はすべてのコンテナで共有される。なお、正式版Firefoxにこの機能が追加されるかどうかは未定。

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...