パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

14581285 story
Windows

ESR曰く、WindowsはそのうちLinuxカーネルになる 201

ストーリー by nagazou
そんな雰囲気はある 部門より
headless 曰く、

WindowsはそのうちLinuxカーネルになると、オープンソース活動に関する著作で知られるESRことEric S. Raymond氏が主張している(Armed and Dangerousの記事Neowinの記事)。

その根拠としてRaymond氏が最初に上げているのはWSL(Windows Subsystem for Linux)の進化だ。Windows 10バージョン2004で導入され、バージョン1903/1909にバックポートされたWSL 2では、軽量なユーティリティー仮想マシンで完全なLinuxカーネルを実行し、完全なシステムコール互換が得られる。MicrosoftのエンジニアはWSLを改善するためにLinuxカーネルに機能を追加している。

次に挙げるのはMicrosoftの利益の中心がクラウドとなって収益構造が変化したことだ。Windowsの圧倒的な市場独占は過去のものとなり、Windows開発への投資から得られる収入は減少している。AzureではWindowsインスタンスよりもLinuxインスタンスが多く稼働していると噂されており、収益の面で考えるならMicrosoftがWindowsの開発への投資をやめるほうを選ぶに違いないとRaymond氏は予想する。

3つ目はSteamでWindowsゲームをLinux上で実行するためのエミュレーションレイヤーとして配布されているProtonの存在だ。Protonが完璧とはいいがたいものの、高負荷のゲームでパフォーマンスが実証されており、少なくとも近い将来にはWindows向けのビジネスソフトウェアをLinux上で実行するだけならProtonのようなテクノロジーで十分な日が来る。

Microsoftは既にMicrosoft EdgeがLinux上で利用できるようポートしており、Windows標準ユーティリティーもエミュレーションを使用せずにLinux上で利用できるようになっていくことが予想されるという。その結果、新しいWindowsがLinuxカーネルとなり、サードパーティーのレガシーソフトウェアを実行するためにエミュレーションレイヤーが搭載される、というのも夢物語ではないとのこと。

いずれはWindowsエミュレーションも削除されて完全なLinuxとなり、WindowsはUIデザインに面影を残すのみとなる。このようにしてLinuxはWindowsを置き換えることなく共存していき、ついにデスクトップ戦争で勝利するとのことだ。

14288365 story
テクノロジー

Microsoft、なりすまし動画などを検知するための技術を発表 9

ストーリー by nagazou
バーチャル偽物 部門より
あるAnonymous Coward 曰く、

AI技術の発展により、人間の顔を別人に入れ替えたり表情を変えることのできるディープフェイク技術が広がりつつある。米大統領選挙の実施が近づいている現在、影響力の大きな有名人などに成りすまし、世論誘導を行う被害の増加が予想されている。そこでMicrosoftは9月1日、ディープフェイクを識別するための技術を開発したそうだ(MicrosoftEngadgetGIGAZINE)。

Microsoftによると偽情報にはさまざまな形態があり、単一の技術だけで判別ができないという。そこで今回、Microsoftは複数の手段や技術を組み合わせる方法を提示している。一つは改ざんされた動画や写真を見分けるための「Video Authenticator」。これは写真や動画のなかにあるフェージングやグレースケール境界の不自然な部分を検出し、人工的な加工されているかをスコアで表示するというものだ。

もう一つは本物であると確認されたコンテンツを保証する技術。こちらは二つの方法を組み合わせて提供される。一つはオリジナルのコンテンツプロデューサーが、コンテンツにハッシュと証明書を付与するというもの。Azureに搭載されるツールとして提供される。もうひとつは登録された内容を、ブラウザー拡張機能や他の形式で確認できるリーダー機能。ハッシュと証明書を確認してユーザーに正しいコンテンツであることを示すことができるそうだ。

14264631 story
ソフトウェア

QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 7

ストーリー by nagazou
大わらわ 部門より
あるAnonymous Coward 曰く、

ESETの研究者がQualcommとMediatekのWi-FiチップでもKrØØkに似た脆弱性が存在することを公表した。

KrØØkはBroadcom及びCypressのWi-Fiチップにおいて、接続解除後にチップ内の暗号化用鍵が消去されゼロとなるににもかかわらず、チップ内の送信バッファに残ったデータが鍵の消去後も送信され続けるため、結果として000...で暗号化されたデータが送信されてしまうという脆弱性(関連ストーリー)であり、様々なスマートフォンやWi-Fiアクセスポイントが影響を受けた。

今回ESETの研究者が発見した脆弱性の内、QualcommのWi-Fiチップを対象としたものは接続の解除時に平文のデータを送信させることが出来るというもので、D-Link DCH-G020とTurris Omniaで脆弱性の存在が確認されている。記事内では具体的なチップの型番は明らかにされていないが、D-Link DCH-G020はQCA9531、Turris OmniaはAR9287とQCA9880 v2が搭載されているため、これらのWi-Fiチップを採用している他のデバイスも影響を受ける可能性がある。

この脆弱性に関してQualcommが公表した情報によれば、特別に細工されタイミングが計られたトラフィックがWi-Fiチップ内でエラーを発生させ、正常でない暗号化が行われたデータが送信されることにより情報の漏洩が発生する可能性がある(CVE-2020-3702)とのことで、以下のチップが対象となる。

APQ8053, IPQ4019, IPQ8064, MSM8909W, MSM8996AU, QCA9531, QCN5502, QCS405, SDX20, SM6150, SM7150

これらのチップのうち、QCA9531は802.11n世代のWi-Fiアクセスポイント、QCA9880・IPQ4019・IPQ8064は802.11ac世代のWi-Fiアクセスポイントに多数採用されており、特にIPQ4019に関しては大半のメッシュ対応Wi-Fiアクセスポイントが使用しているため影響は広範に及ぶと思われる。

記事では、Qualcommは7月中に脆弱性の修正を含んだプロプライエタリなドライバをリリースしたが、いくつかのデバイスはFLOSS版のドライバを使用しており、それらのドライバに修正が提供されるかは不明であるとしている。

MediatekのWi-Fiチップについては記事内の情報が少なく具体的にどのような問題があるのかは定かではないが、いくつかのチップで暗号化の不足などの脆弱性があるとしている。影響を受けるデバイスとしてはASUS RT-AC52UとMicrosoft Azure Sphereが挙げられており、Microsoft Azure Sphereが使用するMT3620及び、ASUS RT-AC52Uが使用し、安価なWi-Fiアクセスポイントに多数採用されているMT7620を使用する他のデバイスも影響を受ける可能性がある。

ESETの記事によると、Mediatekは脆弱性の修正を3~4月にリリースしておりAzure Sphere OSの20.07にはこの修正が含まれているとしている。

これらの脆弱性を修正するには更新用のファームウェアをWi-Fiアクセスポイントのメーカーが提供する必要があり、QualcommやMediatekが修正をリリースしただけでは不十分であることに注意する必要がある。

情報元へのリンク

14228959 story
テクノロジー

ローソンとファミリーマート、商品陳列にロボットを導入へ 28

ストーリー by nagazou
働く 部門より
コンビニでロボットの導入が進んでいるようだ。ロボットの導入を検討しているのはファミリーマートとローソンで、両社ともにロボティクス企業のTelexistenceと提携する(Impress WatchマイナビCNETImpress Watchその2)。

ファミリーマートは今夏から都内店舗で、商品陳列業務などを行なうTelexistence製のロボットとAugmented Workforce Platform(AWP:拡張労働基盤)を導入。2022年までに20店舗ほどにロボットを投入する計画だという。なお、AWPを支えるクラウドシステムにはMicrosoftのAzureが使われているそうだ。

ローソンは9月にロボットを使用した次世代型コンビニをオープンする。第一号店となるのは、国の特定事業としての認定を受けた「ローソン Model T 東京ポートシティ竹芝店」。同店ではロボットにより、おにぎり・弁当・パスタなどの食事系商品、チルド飲料、日配食品などの要冷蔵商品、飲料、酒類が品出しされるとのこと。
14180987 story
軍事

米国防総省のJEDI Cloudの契約をめぐり、MicrosoftとAmazonが互いを批判 20

ストーリー by headless
論争 部門より
米国防総省の軍用クラウドシステムJEDI Cloudの契約をめぐり、MicrosoftとAmazonがお互いを批判している(Microsoftのブログ記事Amazonのブログ記事GeekWireの記事[1][2])。

軍の機密データを処理するクラウドシステムを民間が構築するJEDI CloudはAmazon Web Services(AWS)が有力視される中、Microsoftが選定された。この契約についてAWSはドナルド・トランプ大統領からの不当な圧力があったとして米政府を連邦請求裁判所に提訴し、契約に対する事前差止命令を勝ち取った。米政府は事前差止命令を受けて国防総省への差し戻しの申立を行い、連邦請求裁判所が認めている。

Microsoftは表立って意見を表明していなかったが、4月に公開された国防総省監査総監のJEDI契約に関する調査報告書でMicrosoftの入札に関する情報をAWSが取得していたことを知り、高額で入札して負けたAmazonが入札情報を手にしてやり直そうとしているなどとブログ記事で批判していた。今回、MicrosoftはAmazonが国防総省にJEDI契約に関する新たな異議申立を行ったとの通知を受けたといい、非開示となっている申立内容を知らないまま以前と同じ批判をブログで繰り返した。

これにAmazonもブログで反論。Amazonは当初の契約決定に際し6つの技術的評価要素のすべてに致命的な欠陥があったと裁判で主張しており、判事は最初の要素(有効な入札に必要なストレージの定義)で深刻な欠陥を認めたそうだ。しかし、国防総省が再定義したストレージ要件も明確さに欠け、Amazonが定義を明確に示すようたびたび要請しても反応が鈍かったため異議申立を行ったとのこと。なお、判事は残り5つの要素に対する判断を示しておらず、国防総省が1つ目の要素に限って見直しを行うと述べたため、Amazonは残り5つについても見直すよう求めているという。

AmazonはMicrosoftのブログ記事を独善的で尊大だと表現し、内容は異議申し立てから気をそらせるためのノイズに過ぎないと批判する。MicrosoftがAmazonよりいい提案をしたと信じる人はおらず、COVID-19による危機が続く現在のむらのあるパフォーマンスがそれを強調しているとも述べている。
14176733 story
クラウド

Microsoft、Visual Studio OnlineをVisual Studio Codespacesに名称変更 4

ストーリー by headless
変更 部門より
Microsoftは4月30日、クラウドでホストされる開発環境「Visual Studio Online」の名称を「Visual Studio Codespaces」に変更すると発表した(Visual Studio Blogの記事Softpediaの記事VentureBeatの記事The Registerの記事)。

Visual Studio Onlineは昨年5月に発表され、11月からパブリックプレビュー版が提供されている。2013年に発表されたVisual Studio Onlineとは別のサービスだ。2013年版の方は「Visual Studio Team Services (VSTS)」への名称変更を経て現在は「Azure DevOps」という名称で提供されている。

新Visual Studio Onlineはさまざまな面でローカル環境よりもパフォーマンスに優れ、どのデバイスでも作業できる柔軟性や共同作業が容易な点などが高く評価されており、ブラウザー上でコードを書くだけでなく、すべてのコードを書きたい場所だという声も届いているという。「Codespaces」への名称変更はこのような評価を受けたもので、新しい名称はサービスの真の価値を表現するものでもあるとのこと。

Microsoftは名称変更に合わせてインスタンスタイプにベーシック(2コア、4 GB RAM)を追加し、今週中に価格を60%以上値下げする。これにより、さらに多くのユーザーが利用しやすいようにするとのことだ。
14173688 story
インターネット

Zoom、Oracleのクラウドインフラを採用 17

ストーリー by hylom
Oracleの追撃となるか 部門より

テレワーク(リモートワーク)の広がりを受けて需要が急増しているビデオ会議システムの1つ「Zoom」が、バックエンドのインフラにOracleのクラウドシステム(Oracle Cloud Infrastructure、OCI)を利用することを決めたという(日経新聞ASCII.jp)。

ZOomでは自社データセンターとAWSのクラウドを併用していたようだが、昨今の急激な利用者増を受けてOracleのクラウドを利用することを決めたようだ。OCIはネットワークコストが安いのがその理由だと推測されている。ただ、AWSやAzureも併用している状況のようだ。

14173025 story
インターネット

Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 4

ストーリー by headless
修正 部門より
Microsoft Teamsでサブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントを乗っ取り可能な問題が見つかり、Microsoftが対策したそうだ(CyberArkのブログ記事HackReadの記事The Registerの記事On MSFTの記事)。

サブドメイン乗っ取りの脆弱性はサブドメインのDNSレコードがAzureなどのユーザーがWebページを作成・公開可能なサービスを指しており、そのページが存在しない場合などに発生するものだ。攻撃者はそのサービス上に新たなページを作成してサブドメインを指定すれば乗っ取りが可能となる。

Microsoft Teamsの場合、認証サーバーから発行されるアクセストークン(cookie)は、Microsoft Teamsのドメイン(teams.microsoft.com)およびサブドメイン(*.teams.microsoft.com)にHTTPSでアクセスする際に送信される。そのため、攻撃者は乗っ取ったサブドメインにアクセスさせることで攻撃対象者のアクセストークンを入手し、ユーザーアカウントの乗っ取りが可能な状態だった。

こういった場合の攻撃手法としてはリンクを含むメッセージの送付がよく用いられるが、リンクをクリックさせる手法は成功率が低くなる。ただし、Microsoft Teamsで画像を送信する場合には画像のURLを「src」属性に指定したIMGタグを使用するため、乗っ取ったサブドメイン上の画像を指定すればメッセージを開くだけで画像が表示され、アクセストークンの入手が可能だったという。
14166782 story
クラウド

米連邦請求裁判所、JEDI Cloudの契約をめぐる裁判を国防総省へ差し戻し 9

ストーリー by hylom
まだ揉めてるの 部門より

headless曰く、

米連邦請求裁判所が17日、軍用クラウドシステムJEDI(Joint Enterprise Defense Infrastructure)Cloudの契約をめぐる訴訟を国防総省へ差し戻したそうだ(Federal News NetworkNextgovFCWFederal Times)。

この裁判はJEDIの契約先がMicrosoftに決定したことに関し、ドナルド・トランプ大統領から不当な圧力があったとしてAmazon Web Services(AWS)が米政府を訴えていたものだ。JEDIは最長10年、総額100億ドルに上る大規模な契約だが、大方の予想を裏切ってMicrosoftが契約を勝ち取っている。

しかし、2月に連邦請求裁判所がAWS側の請求を認めて契約の一時履行中止を命じる事前差止命令を出したため、米政府側は各社の提案の価格評価や契約先決定について再検討を行うとして、120日間の期限付きで訴訟の国防総省への差し戻しを求める申立を3月に行っていた。

一方、国防総省では15日、JEDI契約先検討にあたってホワイトハウスや高官からの影響はなかったとする国防総省監査総監の調査報告書を公開(PDF)している。報告書では契約先としてMicrosoftを選定したことが適切だったかどうかは評価していないものの、選定手続きや選定方法については適切だったと結論付けている(国防総省の声明)。

ただし、契約先決定後にMicrosoftの入札に関するプロプライエタリな情報をAWS側に渡したことなどは不適切だとして、改善を求めている。これを受けてMicrosoftでは同日、高額で入札して負けたAmazonがMicrosoftの入札情報を手にしてやり直そうとしているなどとブログ記事で批判した。

14135675 story
軍事

米政府、JEDI Cloudの契約をめぐる裁判を国防総省へ差し戻すよう申立て 7

ストーリー by headless
再考 部門より
米政府は12日、軍用クラウドシステムJEDI(Joint Enterprise Defense Infrastructure) Cloudの契約に関する訴訟を120日間の期限で国防総省へ差し戻すよう連邦請求裁判所に申立を行った(裁判所文書: PDFGeekWireの記事Reutersの記事Computingの記事)。

この裁判はドナルド・トランプ大統領からの不当な圧力でJEDIの契約先がMicrosoftに決定した、などと主張するAmazon Web Services(AWS)が国防総省を訴えたものだ。2月13日にはAWSの請求が認められ、契約の履行を一時中止するよう事前差止命令が出ている。

申立によれば、AWSの事前差止請求が認められたことなどにより、国防総省が各提案の価格シナリオを評価した際の誤りが示される可能性が高くなったという。そのため、申立が認められれば国防総省では評価内容の再検討を行い、契約先の決定についても再検討を行うとのこと。申立にAWS側は反対しており、対抗する申立を行う構えをみせているそうだ。一方、Microsoft側は特に反対していないとのことだ。
14129444 story
インターネット

Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 17

ストーリー by headless
放置 部門より
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事BetaNewsの記事The Registerの記事)。

サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。

Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。
14087509 story
インターネット

Chromiumベースの新Microsoft Edge、ドメインに参加しているWindows 10には自動更新で提供されない 18

ストーリー by headless
条件 部門より
Chromiumベースの新Microsoft Edge安定版が自動更新でWindows 10にインストールされることを防ぐ「Blocker Toolkit」のドキュメントが更新され、自動更新で提供されない条件が追記された(Microsoft Docsの記事On MSFTの記事)。

Microsoftは新Microsoft EdgeをWindows 10 バージョン1803以降に自動更新で提供する計画だ。更新版ドキュメントではこれまで目標とされていた1月15日の提供開始が明記されている。自動更新による提供はHome/Proエディションのみが対象となり、このほかのエディションは対象外となる。また、自動更新による提供の対象外となる環境として、当初から記載されていたWSUSやSCCMにより更新が管理されている環境に加え、Active Directory/Azure Active Directoryドメインに参加している環境やMDMで管理されている環境、WUfBで管理されている環境が追加された。Blocker Toolkit自体は組織向けに提供されているツールだが、エンタープライズ環境ではあまり必要とならないようだ。なお、日本語版のドキュメントにはまだ追記が反映されていない。
14065393 story
バグ

Microsoftアカウント、不適切なOAuthの設定のため第三者がアカウントに不正にアクセスできる状態になっていた 5

ストーリー by hylom
OAuthの罠 部門より

Anonymous Coward曰く、

MicrosoftアカウントやMicrosoft Azureアカウントなどで使われているOAuth 2.0認証で不適切な設定が行われており、その結果第三者がアカウントに不正にアクセスできる状況になっていたとのこと。すでにこの問題は修正済みだという(TechCrunchSecurity NEXTEnterpriseZine)。

この問題はBlackDirectと名付けられて実証コードも公開されている

OAuth 2.0での認証時、認証を許可する「信頼済みドメイン」を記したホワイトリストに掲載されているURLやサブドメインの一部にMicrosoftが保有していないものが含まれており、それを第三者が取得できるようになっていたのが原因だという。

14064882 story
マイクロソフト

Microsoft、過去に流出したパスワードを使用するMicrosoftアカウントを多数発見 54

ストーリー by headless
共通 部門より
リポート公開から時間が経っているようだが、Microsoftが1月から3月にかけて実施した調査によると、過去に流出したパスワードと同じパスワードを使用するAzure ADまたはMicrosoftサービスのアカウントが計4,400万件以上あったそうだ(Microsoft Security Intelligence ReportgHacksの記事PCMagの記事ZDNetの記事)。

調査は侵害された認証情報がMicrosoftのシステムで使われていないかどうかを確認するのが目的で、複数のデータ侵害事件で流出した認証情報30億件以上を用いたという。流出したパスワードと一致するパスワードを使用していたユーザーに対しては、パスワードリセットを強制したそうだ。Azure ADユーザーの場合は高リスクのフラグ付けをし、管理者がパスワードリセットを実行できるよう通知したとのこと。

Microsoftでは複数のユーザーが同じパスワードを使用している現状からみて、多要素認証(MFA)を使用するなどのセキュリティ強化が必要だとし、MFAの使用でアカウントに対する攻撃の99.9%を防ぐことができると説明している。
14057308 story
NTT

NTTコミュニケーションズのクラウドサービス「Cloud n」、2020年末でサービス終了 38

ストーリー by hylom
エコシステムに対抗するのはなかなかハード 部門より

Anonymous Coward曰く、

NTTコミュニケーションズのIaaS型クラウドサービス「Cloudn」が2020年12月31日をもってサービス終了する(サービス終了のお知らせ)。

Azure、AWSを前にして国産クラウド撤退のお知らせ。API公開とか、基盤がNGNとか、かなりがんばったと思うんだが。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...