パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13723075 story
お金

仮想通貨取引所Zaif、不正アクセスで約67億円相当の仮想通貨を流出させる 15

ストーリー by hylom
また新たな被害が 部門より

仮想通貨取引所「Zaif」を運営するテックビューロが20日、Zaifを狙った不正アクセスによって多額の仮想通貨が流出したことを発表した(Zaifの発表CNET Japan朝日新聞)。

流出が起こったのは14日午後で、ビットコインおよびモナコイン、ビットコインキャッシュが盗まれたという。発表によると被害額は約67億円相当で、うち約22億円がテックビューロの資産、約45億円がユーザーの預かり資産とのこと。

流出したビットコインは取引を匿名化するサービスなどを経由して送金されているとのことで、追跡は困難な可能性があるという。

テックビューロに対してはフィスコデジタルアセットグループが支援を行い、顧客資産の保護に務めるという(朝日新聞)。一方でZaifの利用規約が事件発生日の前日に更新されていたことが明らかになっており、事件を知りながら利用規約の更新を行ったのではないかという疑惑も出ている(サインのリ・デザイン)。

13720390 story
ソフトウェア

誕生から25週年 Adobe Acrobat の生い立ちがエピソード含めてサイトで公開される 81

ストーリー by hylom
セキュリティホール以外で特に苦労したことはないかなあ 部門より
あるAnonymous Coward曰く、

Adobe Acrobatが発売から25周年を迎えたそうだ(Adobe Document Cloud Japanブログマイナビニュース)。

25年前は画期的な無償配布のビジネスモデルも確立させてもてはやされたんだが、今となっては身の回りのあらゆるところで仕事の邪魔しにしかなっていないPDFファイル。 これを記念して世間の邪魔しない存在に進化するのか、すっぱり廃止するのかどっちかに決めろと机叩いて言いたいところ。スラドのみんなでこいつのせいでぼくのわたしの25年の苦節を語りましょう。

13717952 story
検閲

Googleの中国向け検索アプリ、プロトタイプは検索内容と携帯電話番号を結び付ける仕組みを搭載 49

ストーリー by headless
索閲 部門より
Googleが中国再参入に向けて開発している検索アプリのプロトタイプでは、ユーザーの携帯電話番号と検索内容が結び付けられる仕組みになっているとThe Interceptが報じている(The Interceptの記事The Vergeの記事Android Policeの記事)。

「Dragonfly」というコードネームで呼ばれているこのアプリはAndroid用。中国当局の禁止するコンテンツが除外されるようになっているほか、気象情報や大気汚染情報は中央政府の不明な部局が直接提供するデータに置き換えられるそうだ。The Interceptが入手した情報によると、Googleは中国語で「人権」「学生運動」「ノーベル賞」といった検閲語句を含むブラックリストを作成しているとのこと。

EFFを含む14の人権保護団体は8月、Googleが人権侵害に直接関与することになるなどとして、Dragonflyに反対する公開書状をGoogle CEOのサンダー・ピチャイ氏に連名で送っている。中国政府は人権活動家やジャーナリストなどを厳しく監視しているが、電話番号と検索内容が結び付けられれば監視がさらに容易になる。サーチエンジンはGoogleと中国企業の合弁会社で運営されることになるが、ブラックリストの管理などにGoogle側がどの程度かかわることができるのかといった点は不明なようだ。
13714142 story
プライバシ

個人情報の無断収集で訴えられたVIZIOのスマートテレビ、利用者に集団訴訟の通知を画面表示へ 8

ストーリー by hylom
便利ですね(棒) 部門より
headless曰く、

スマートテレビを通じた個人情報の無断収集により米国で集団訴訟(クラスアクション訴訟)を提起された米テレビメーカーのVIZIOが、同社のスマートテレビの画面を通じてユーザーへ訴訟に参加できる資格があることを通知するそうだ(The VergeArs TechnicaHollywood Reporter裁判所文書)。

個人情報の収集が始まったのは2014年2月。同社は「Smart Interactivity」と呼ばれる自動コンテンツ認識(ACR)ソフトウェアを新規に販売されたスマートテレビにプリインストールしたほか、それ以前に販売されたスマートテレビに配信し、視聴番組やIPアドレスなどの情報を収集していたという。

このことが2015年に明るみに出てクラスアクション訴訟が提起されたほか、米連邦通信委員会(FTC)およびニュージャージー州にも提訴されていた。FTCおよびニュージャージー州が提起した訴訟は2017年、VIZIO側が合計220万ドルを支払い、1,100万台のスマートテレビから2016年3月1日までに収集したすべてのデータを削除する条件で和解している。

今回のクラスアクション訴訟も既に両者は和解に合意しており、原告側が9月12日までに和解の事前承認を請求することになっていた。しかし、両者はテレビ画面を通じてクラスメンバーに通知するソフトウェアを開発していることを明らかにし、確実に通知が表示されることを確認するための時間が必要だとして、期限を10月3日まで延ばすよう請求している。

13710493 story
クラウド

Microsoft Azure米国中南部リージョン、電源トラブルで冷却できずシャットダウン 28

ストーリー by hylom
電源トラブルは冷却から止まるのか 部門より

Microsoft Azureの米国中南部(South Central US)リージョンでシステム障害が発生し、一部のサービスが長時間停止する事態になっていたという、原因は落雷によるデータセンターの電源トラブルだそうで、これによってデータセンター内の冷却システムにトラブルが発生、ハードウェアのシャットダウンが発生した模様(PublicKeyZDNet)。

このトラブルによって同リージョンで提供されているすべてのサービスに影響が出たほか、Azure Active DirectoryやAzure Bot Service、Azure Resource Managerにも影響が出た模様。Office 365にも影響が出たという話もある。

13707212 story
マイクロソフト

Skype、不評だったSNS的機能を廃止 37

ストーリー by hylom
某社も見習って欲しい 部門より
あるAnonymous Coward曰く、

Skypeでは昨年6月にSNS的機能が導入されたが、これに対し不評の声が寄せられていたためにこれら機能の提供を打ち切るという(ITmediaThurrottSlashdot)。

提供終了となるのは、写真や動画をまとめて投稿する「Highlights」機能。しかしユーザーからは「複雑さが増した」など、否定的な意見が寄せられていたという。アップデート後はチャットと通話にフォーカスしたUIとなり、モバイル版アプリの画面もチャットおよび通話、連絡先、通知といったアイコンのみが並ぶシンプルなものになるという。

13700770 story
ビジネス

Microsoft 365、OneDriveとSharePointで動画と音声の文字起こし提供計画 4

ストーリー by headless
字幕 部門より
Microsoftは8月28日、Microsoft 365ユーザーを対象に、OneDrive for BusinessとSharePointで動画・音声ファイルの文字起こしサービスを提供する計画を明らかにした(Microsoft 365 Blogの記事SlashGearの記事On MSFTの記事VentureBeatの記事)。

文字起こしはMicrosoft Streamと同じAI技術を使用するもので、320のファイルタイプをサポートするビューアーにより、動画や音声を再生するのと同時に文字起こしした内容を表示できるという。AIを使用した動画内の顔検出や自動キャプション生成も利用できる。これにより、動画や音声を活用しやすくなり、他の人との共同作業も容易になる。処理はすべてMicrosoft Cloud内で完結し、サードパーティーのサービスを経由することはないとのこと。昨年9月に発表したAIによる画像内のオブジェクト検出やテキスト抽出などの機能に加え、動画や音声でも検索性が大幅に向上するとのことだ。年内には提供開始予定のようだが、具体的な時期については言及がない。
13699998 story
法廷

Java APIをめぐるOracleとGoogleの裁判、Googleは再び連邦最高裁に上訴する構え 54

ストーリー by headless
審理 部門より
米連邦巡回区控訴裁判所は8月28日、Java APIの使用がフェアユースに当たるかどうかOracleとGoogleが争っている裁判で、全法廷での再審理を求めるGoogleの請求を却下した(The Registerの記事Android Policeの記事裁判所文書: PDF)。

2010年から争われているこの裁判は、OracleがJavaの特許権と著作権を侵害されたと主張してGoogleを訴えたものだ。しかし、特許権侵害については早々に決着し、Java APIが著作権保護されるかどうかが争点になっていた。2012年の連邦地裁判決ではAPIの機能自体は著作権保護の対象にならないと判断しているが、2014年の控訴裁判所判決はAPIの機能だけでなくGoogleが37のJava APIパッケージからコピーしたとされるコードの宣言および構造・順序・構成(SSO)についても著作権で保護されると判断。その一方で、フェアユースであるかどうかの判断を連邦地裁に差し戻した。GoogleはAPIに著作権を認めた2審判決を不服として最高裁に上訴したが受理されず、Java APIが著作権保護の対象になるという2審判決は確定している。

差し戻された連邦地裁では2016年、GoogleのJava API使用がフェアユースに当たるとする陪審の評決に従った判決を下したため、Oracle側が控訴。控訴裁判所は今年3月、フェアユースに当たらないと判断した。GoogleもJavaコードの宣言とSSOが著作権保護対象にならないことの確認を求めて控訴していたが、控訴裁判所では既に確定した判決を変更する理由が示されていないとして棄却している(裁判所文書)。Oracle側は損害額を88億ドルと主張しており、賠償額については再び連邦地裁で審理されることになる。

ただし、Googleは陪審の評決を覆した控訴裁判所の判断を不服として、再び連邦最高裁に上訴する考えを示している。
13692227 story
プライバシ

Googleによるユーザーの位置情報記録問題、米国でクラスアクション訴訟が提起される 31

ストーリー by headless
記録 部門より
Googleが位置情報の記録について虚偽の説明をし、ユーザーの意思に反して位置情報を記録していたことに対するクラスアクション訴訟が米国で提起された( Ars Technicaの記事Mashableの記事Android Policeの記事訴状 )。

この問題は、GoogleがAndroid端末またはGoogleアカウントで「ロケーション履歴」をオフにすれば位置情報の記録を無効にできると説明していたのにもかかわらず、Googleのアプリやサービスを使用した場合は位置情報が記録される可能性があるというものだ。APが報じた当初、Googleは明確な説明をしていると述べていたが、その後Androidユーザー向けヘルプの英語版ではロケーション履歴をオフにしても位置情報が記録される可能性に関する記述を追加している。
13688892 story
マイクロソフト

Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 15

ストーリー by hylom
無害なサイトの誤検知はどうすれば 部門より
headless曰く、

Windows Defender ATPによるファイルの誤検知を避けるため、ソフトウェア開発者側で実行可能な対策をMicrosoftが紹介している(Microsoft SecureNeowin)。

誤検知を避けるにはセキュリティベンダーだけでなくソフトウェア開発者の協力が不可欠だ。MicrosoftではアプリケーションをMicrosoft Storeで公開するのが誤検知を避けるのに最も良い方法だとしつつ、セキュリティベンダーやユーザーからの信頼を高めるのに有効なポイントを取り上げている。

最初に挙げられているのはファイルへのデジタル署名だ。署名によりファイルが改変されていないことを確認できるが、Microsoftでは署名に使われたデジタル証明書の信頼性評価もファイルの信頼性評価に使用するのだという。特にEV証明書が使われている場合、過去に評価されていないファイルやパブリッシャーであっても、Windows Defender ATPは高い評価を与えるとのこと。

また、バンドルしたソフトウェアに評価の低いものがあると、本体ソフトウェアの評価も低下する。さらに、インストーラーに署名した証明書の評価も下げられることになる。このほか、ファイルの難読化や標準以外のインストール場所の使用、ソフトウェアの目的とは異なる名称の使用といったマルウェアが使用するようなテクニックを使用した場合、誤検知される可能性が高くなるとのことだ。

13682628 story
インターネット

海賊版サイトをブロックするのではなくサイバー攻撃しろという提案が出る 87

ストーリー by hylom
どこまで本気なのか 部門より
grapefruit7曰く、

「海賊版サイトをブロッキングする代わりに、権利者が海賊版サイトに直接DoS攻撃を仕掛ける」という提案が、「インターネット上の海賊版対策に関する勉強会」で出されている(ITmediaの記事1記事2日経xTECH)。

この提案は、日本IT団体連盟から出されたもの。海賊版サイトの対策として、権利者が自ら「権利者による海賊版サイトへのDoS攻撃」をするという提案だが、「犯罪行為だ」「正当防衛にならないのでは」「法治国家の発想ではない」という批判も出ている。

DoS攻撃はCloudflareのようなCDNサービスに対しては効果が薄いとされており、現実的ではないとういう批判もある。さらに、EDoS攻撃(相手に経済的損失を与えるDos攻撃)でも、CloudflareはDDoS攻撃を受けて生じた損害分は無料とするサービスを開始しており、有効ではないと考えられる(TechCrunch Japan

なお、日本IT団体連盟はヤフーの川邊健太郎社長が代表理事/会長を、コンピュータソフトウェア協会や日本インターネットプロバイダー協会などの国内のIT関連組織関係者が理事を務めており、「参加企業数5000社、従業員数400万人に及ぶ国内最大のエンジニア集団を代表する団体であり、様々なノウハウを持っているため、より効果的なアクセス集中手段の実装について技術的支援を行える」などとも提案している。

13681108 story
インターネット

TLS 1.3正式リリース 7

ストーリー by hylom
ついに正式に 部門より

2018年8月付で、「The Transport Layer Security (TLS) Protocol Version 1.3」(TLS 1.3)に関する文書であるRFC8446が発行されている(Internet Engineering Task ForceのブログITmediaTechCrunchCNET JapanCloudflare Blog)。これによって標準化プロセスが完了し、TLS 1.3が「完成」したことになる。

すでに主要WebブラウザはTLS 1.3のドラフト版に対応しており、またFacebookやCloudflareなどのサーバー側でもTLS 1.3のサポートが導入されている。

13669054 story
アメリカ合衆国

サイバー攻撃でコンピューターが使用できなくなった米アラスカ州の郡、タイプライターを持ち出して対応 41

ストーリー by headless
回帰 部門より
米アラスカ州マタヌスカ-スシトナ郡政府がサイバー攻撃を受けてコンピューターが使用できなくなり、一時はタイプライターを持ち出して使ったり、手書きで伝票を切ったりといった対応に追われたそうだ(プレスリリース続報Mashableの記事The Registerの記事)。

リポートによると、攻撃の始まりはトロイの木馬が送り込まれたことだ。侵入経路は電子メールの添付ファイルやリンクとみられている。トロイの木馬が活動を始めると、ユーザーのOutlook連絡先から他の政府とみられるアドレスに電子メールの拡散を開始。また、Active Directoryの管理者権限を取得すると、ドメインコントローラーの所有権を取得し、セキュリティレベルを低下させる設定をすべてのサーバーとワークステーションに適用していったという。侵入は早ければ5月3日に発生しており、発見されないまま休眠状態になっていたとみられる。

7月17日にWindows 7マシンで使用しているMcAfeeのアップデート後、このトロイの木馬が検出・削除対象となった。しかし、トロイの木馬以外のコンポーネントは検出できないままだったため、削除用のスクリプトを作成し、ユーザーパスワードの失効や管理者アカウントのパスワード変更などと合わせて実行したそうだ。ところが、この対策が攻撃者からの反撃を誘発し、500台のワークステーションほぼすべて、サーバー150台のうち120台がランサムウェアにより暗号化されてしまったとのこと。

ただし、このランサムウェアは身代金を目的としたものではなく、攻撃の隠ぺいを目的としたものとみられている。実際、身代金を支払っても解除キーが提供されることはなかったという。郡ではシステムの復旧を進めているが、バックアップサーバーやディザスターリカバリーサーバーも暗号化されてしまったため、利用できるのはオフラインの古いバックアップのようだ。そのため、FBIによる復号に望みをつないでいるとのことだ。
13653881 story
通信

米空港パブリックWi-Fi危険度ランキング、1位はサンディエゴ 24

ストーリー by headless
危険 部門より
クラウドセキュリティサービスを提供するCoronetの調査によると、米国の空港でパブリックWi-Fiの危険度が最も高いのはサンディエゴ国際空港だったそうだ(プレスリリースHackReadの記事リポート: PDF)。

調査では最も旅客数の多い45空港を利用した個人ユーザーおよび企業ユーザー25万人以上から5か月にわたってデータを収集・分析。危険度は空港を利用するユーザーのデバイスにおける脆弱性と、偽ホットスポットなどに接続する危険性について各5点満点、計10点満点(高い方が危険)で評価している。

Wi-Fiの利用が危険な空港トップ10とスコアは以下の通り。いずれもデバイスに適切な保護を行っていなければWi-Fiの利用を避けるべき、危険度スコア5.9以上となっている。
空港 スコア
サンディエゴ国際空港(SAN) 10
サンタアナ・ジョンウェイン空港(SNA) 8.7
ヒューストン・ホビー空港(HOU) 7.5
フォートマイヤーズ・サウスウェストフロリダ国際空港(RSW) 7.1
ニューアーク・リバティー国際空港(EWR) 7.1
ダラス・ラブフィールド空港(DAL) 6.8
フェニックス・スカイハーバー国際空港(PHX) 6.5
シャーロット・ダグラス国際空港(CLT) 6.4
デトロイト・メトロ空港(DTW) 6.4
ボストン・ローガン国際空港(BOS) 6.4
5位のリバティー国際空港では中リスクのネットワークに接続する可能性が1%、高リスクのネットワークに接続する可能性が0.6%なのに対し、一位のサンディエゴ国際空港ではそれぞれ30%、11%に跳ね上がる。サンディエゴは危険度スコア満点であり、正規のWi-Fiアクセスポイントと同名の偽(Evil Twin)アクセスポイント「#SANfreewifi」がARPポイズニング攻撃を実行しているとのこと。
13640930 story
Google

Googleのクラウドサービスは機械的な判断で突然システムを止めることがある 50

ストーリー by headless
不審 部門より
hylom 曰く、

風力・太陽光発電プラントの監視システムをGoogle Cloud Platform(GCP)上で構築・運営していた企業が突然アカウントを一時停止され、システムを運用できなくなるというトラブルが発生したそうだ(Mediumの記事The Registerの記事)。

このシステムは、8か国にわたって設置された数百の設備を1か所で24時間/365日監視するという大規模なもので、状況に応じて発電量を調整するといったクリティカルな作業も行っていたという。

しかし、6月28日に全サイトがダウンしているとUptime Robotからの警告があり、Googleからは「potential suspicious activity (潜在的に疑わしい活動)」を検出したので全システムを停止したと知らせる電子メールが届く。その時点で既にクラウド上のアプリケーションやデータベースに接続できない状態になっており、カスタマーサービスチャットや電話連絡もできなかったそうだ。

Googleが検出した疑わしい活動はサービス料金の支払いに関するもので、クレジットカードと政府が発行したクレジットカード名義人の写真入り身分証明書の写真を3営業日以内にアップロードするよう求めていた。そこでシステムの運営担当者がカードの名義人に連絡を取って情報を送信したところ、20分後にはシステムが復帰したそうだ。このときはカード名義人のCFOにすぐに連絡が付いたため数時間のダウンタイムで済んだようだが、情報送付が遅れたらすべてのアプリケーションやデータを削除するとも記載されていたとのこと。

なお、これを報告しているユーザーによれば、AWSではサービスをブロックする前に警告し、ユーザーが事情を説明したり問題を解決したりする猶予を与える、より「人間的な」方法で決済に関する問題を解決するという。こういった問題が解決されない限り、今後新しいプロジェクトをGCPで構築することはないとも述べている。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...