パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

13768224 story
SNS

メキシコで偽ニュースを発端とする殺人事件発生、SNSで扇動された群衆が無実の人物を生きたまま焼き殺す 36

ストーリー by hylom
デビルマンが現実に 部門より
nemui4曰く、

今年7月、インドで偽ニュースを発端とする殺人事件が発生したという話題があった(過去記事)。インドではWhatsAppなどのメッセージングサービスで広まったデマがきっかけの暴力事件が多数発生しているそうだが、今度はメキシコで似たような事件が発生した。偽ニュースで扇動された群衆らが、無実の被害者2人を殺害したという(セキュリティホールmemoBBCGIGAZINE)。

BBCトップの写真はおそらく取り巻きの群衆が撮影してたんだろうけど、これだけの衆人環視の中で焼き殺されてるのが恐ろしい。警官らしい人が奥に居るけど止められなかったのか、止める気は無かったのか。

被害者らを「誘拐犯」と名指しするデマがWhatsAppで出回り、それによって集まった人らが被害者らに暴行を加えたうえ、ガソリンをかけて火をつけたという。被害者らは住民とのトラブルで警察からの取り調べを受けていたようだが、特に犯罪を起こしたわけではないとのこと。しかし、住民は被害者らを実際には発生していない誘拐事件の犯人だと信じ込み、警察施設から出てきた2人を襲ったそうだ。

その後の捜査で偽ニュースを拡散した人物や、暴行に関連した人物らが逮捕されたそうだが、多くの実行犯は捕まっていないという。

13768011 story
インターネット

HTTP-over-QUICと呼ばれていたプロトコルの名称がHTTP/3に 9

ストーリー by hylom
まだ素人にはオススメできませんが 部門より

今まで「HTTP-over-QUIC」と呼ばれていたプロトコルが、「HTTP/3」に改称されるようだ。インターネット関連技術の標準化を行なっているInternet Engineering Task Force(IETF)ですでに議論が行われており、正式な承認が出たという(MozillaのエンジニアDaniel Stenberg氏のブログZDNet JapanマイナビニュースPublickey)。

QUICはGoogleが開発しているネットワークプロトコルで、低レイテンシ、ネットワーク帯域の効率的な利用、暗号化サポートなどが特徴とされている(過去記事)。HTTP-over-QUICはQUICプロトコル上でHTTPを使ってWebブラウザとWebサーバー間の通信を行うもの。すでにChromeブラウザにはQUICが実装されており、Googleのサービスなどで使われている。

13767196 story
インターネット

Cloudflare、DNSサービス「1.1.1.1」をiOSとAndroidで利用するための設定アプリを公開 33

ストーリー by hylom
次はこのIPがブロックされている場合でも使えるアプリですかね 部門より
あるAnonymous Coward曰く、

CloudflareはAPNICと協力して「1.1.1.1」というIPアドレスを使ったパブリックDNSサービスを提供しているが(過去記事)、このDNSサーバーをモバイル端末で利用するための設定アプリが11月11日に公開された(ITmedia)。

このアプリはiOSおよびAndroid向けで、App StoreおよびGoogle Playストアで提供されている。これによってモバイル端末での設定が容易になるという。

13767128 story
インターネット

伊達杏子の娘がバーチャルYouTuberデビュー? 25

ストーリー by hylom
感情を持つ電脳の開発が待たれる 部門より
shiba 曰く、

1996年に「バーチャルアイドル」としてデビューした「伊達杏子」の娘という設定のバーチャルYouTuberがデビューするという(CNET JapanPANORAInternet Watch)。現在クラウドファンディングで機材やモデルなどの開発費用を募っている(Makuakeのプロジェクトページ)。

# 父親は誰だ?

13767121 story
iPhone

Apple、iPhone Xのディスプレイ交換とMacBook ProのSSD修理プログラムを開始 21

ストーリー by hylom
心当たりのある方はどうぞ 部門より
headless曰く、

Appleは9日、iPhone Xを対象としたディスプレイモジュール交換プログラムとTouch Bar非搭載13インチMacBook Pro(2017年モデル)を対象としたSSD修理プログラムを開始した(SlashGear9to5MacMac Rumorsの記事1記事2)。

iPhone Xではディスプレイモジュールのコンポーネントに故障の可能性があり、タッチ操作に反応しなくなる/悪くなる、タッチしていないのに反応するといった症状が現れることがあるという。そのため、AppleまたはApple正規サービスプロバイダで対象デバイスのディスプレイモジュールを無償交換する。なお、修理に支障をきたす損傷がある場合に別途修理料金がかかることもある、というのは定型の説明だが、損傷例も「画面のひび割れなど」のままになっている。

Touch Bar非搭載13インチMacBook Proでは、2017年6月から2018年6月までに販売された本体内蔵の128GBまたは256GB SSDの一部で、データの消失やドライブの故障を引き起こす可能性のある不具合があるという。そのため、AppleまたはApple正規サービスプロバイダでは、SSDのファームウェア更新による修理を無償で行うとのことだ。

13766427 story
Twitter

朝日新聞のTwitterアカウント、乗っ取られて詐欺の宣伝に使われる 38

ストーリー by hylom
ご注意を 部門より
あるAnonymous Coward曰く、

11月5日に朝日新聞・新潟総局のTwitterアカウントが乗っ取られていたそうだ。このアカウントは、ビットコイン詐欺の宣伝に利用されたとみられる。朝日新聞は6日、日経xTECHの取材に対して乗っ取り被害を認めている(日経新聞)。

問題となっているビットコイン詐欺は、「送金した金額よりも多い額のビットコインを送り返す」などとうたってビットコインの送金を求めるもの。乗っ取られた朝日新聞のアカウントからは「I sent 1 BTC and got back 10 BTC!」「THANK YOU」「+10BTC」といった書き込みが行われていたようだ。

最近Twitterではアカウントを乗っ取ってビットコイン詐欺関連の広告Tweetを投稿する事件が増えており、6日には米出版社Pantheon Booksのアカウントが乗っ取られ、登録者名を「Elon Musk」に書き換えた上で詐欺Tweetを投稿する事件が発生していた(ITmedia)。乗っ取られた朝日新聞のアカウントは、このPantheon Booksのアカウント宛てのTweetも投稿していた。

13766393 story
バグ

iPhoneのSafariに不具合、特定のCSSアニメーションを使ったWebページを開くとクラッシュ 39

ストーリー by hylom
iOSでよくある話ではあるが 部門より
あるAnonymous Coward曰く、

特定のCSSアニメーションを使ったWebページをiPhoneのWebブラウザ(Safari)で閲覧すると、iPhoneに高負荷がかかりアプリがクラッシュする(再起動される)という問題が発見された(GIGAZINE)。

この情報を公開していたページ既に非公開にされているが、いやしくもプログラマー名乗る人が「iPhoneでCSSアニメーションさせたら落ちた!サイト作って公開しよう!」って安易な行動に出るのは職業倫理の意識が足りなすぎ。

13766251 story
インターネット

「熊本地震で動物園からライオンが逃げた」デマの写真、ヨハネスブルグでの映画撮影時の一コマだった 33

ストーリー by hylom
飼い慣らされたライオンだったのね 部門より

2016年に、熊本地震で被害にあった動物園からライオンが逃げ出して街中に放たれたというデマがあった(Togetterまとめ)。このデマは街中にライオンがいる写真とともにTwitterに投稿されてその後拡散されたのだが、その後このデマの投稿者は偽計業務妨害の疑いで逮捕されている(産経新聞)。withnewsによると、このデマで使われた写真は南アフリカ・ヨハネスブルグでの映画撮影時に撮られInstagramに投稿されていたものだったそうだ。

なお、ヨハネスブルグというと治安が悪いことが知られるが、それでもライオンが街中を歩くということはないという。このライオンはヨハネスブルクから1時間ほどのサファリパークで飼われていたもので、CMや映画などに出演されるよう訓練されているという。ただ、当初から映画撮影中の一コマだとは気づかず、南アフリカでは街中にライオンがいると勘違いする人もいたそうだ。

13765804 story
国際宇宙ステーション

ソフトウェアエラーで使用できなくなっていた国際宇宙ステーションロシア側のコンピューター、再起動で回復 78

ストーリー by headless
回復 部門より
ロスコスモスは8日、ソフトウェアエラー発生により使用できなくなっていた国際宇宙ステーション(ISS)ロシア側のメインコンピューターの1台が再起動により回復したことを発表した(プレスリリースGeekWireの記事)。

このコンピューターのトラブルをロスコスモスは6日に発表し、再起動で復旧するとの見方を示していた。ロシア側のコンピューターは3台で冗長性を持たせており、残りの2台で運用上の問題はなかったが、プログレス71補給機(16日打ち上げ予定)のドッキングに備えて信頼性を向上させるため、8日の再起動を予定していた。

再起動が行われたのはモスクワ時間8日12時5分(日本時間18時5分)。再起動は成功し、正常な動作が回復したという。その後、ISSが地球を1回半周回する間(約2時間)にテストが行われ、すべての機能に問題がないことを確認したとのことだ。
13765622 story
テクノロジー

中国・新華社でAI合成アンカーがデビュー 29

ストーリー by headless
分身 部門より
中国・新華社のニュース番組でAI合成アンカー(ニュースキャスター)がデビューしたそうだ(Mediumの記事Xinhuaの記事新浪科技の記事英語版動画)。

AI合成アンカーは新華社とSogou(搜狗)が共同開発したものだ。中国ではCortanaの妹XiaoIce(小冰)がお天気キャスターになっているが、XiaoIceがアイコンと声だけなのに対し、AI合成アンカーは普通の男性のような外見と声を持つ。これは実際の男性アンカーの映像と声をベースに合成されているためで、中国語版は邱浩氏、英語版はZhang Zhao氏(Zhao, Zhang。漢字表記不明)の「分身」だという。ただし、この件以外の情報は見つけられず、2人の詳細は不明だ。AI合成アンカーは本物のアンカーとは違い、疲れることなくニュースを伝え続けることができると主張している。
13765610 story
ストレージ

自己暗号化SSDの中にはパスワードを知らなくてもデータを復元できる製品があるという研究結果 14

ストーリー by headless
暗号 部門より
ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事ラドバウド大学によるアドバイザリ: PDF論文ドラフト: PDFThe Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。
13765103 story
ソフトウェア

Microsoft、SysinternalsツールのLinux移植を開始 36

ストーリー by headless
開始 部門より
MicrosoftがWindowsのトラブルシューティングツール「Sysinternals」ツールのLinuxへの移植を開始したそうだ(MicrosoftのDavid Fowler氏のツイートBetaNewsの記事Softpediaの記事)。

第一弾の「ProcDump for Linux」はプロセスを監視し、指定した条件に従ってコアダンプを出力するコマンドラインツールだ。現在のところLinuxカーネルバージョン3.5以降が必要となり、Windows版の全機能をサポートしているわけではないとのこと。ソースコードはGitHubで公開されており、ライセンスはMIT Licenseとなっている。
13765095 story
お金

StatCounterへのサイバー攻撃でビットコインを盗むコードが暗号通貨取引サイトに埋め込まれる 3

ストーリー by headless
攻撃 部門より
世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事Gate.ioの発表The Registerの記事Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterのトラッキングコードを使用するサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。悪意あるコードは既にcounter.jsから削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。
13765093 story
バグ

ライセンスサーバーの問題でWindows 10 Pro/Enterpriseのライセンス認証が一部で無効になるトラブル 34

ストーリー by headless
無効 部門より
Microsoftのライセンスサーバーの問題により、Windows 10 Pro/Enterpriseのライセンス認証が無効になるトラブルが8日から一部の環境で発生した(Microsoft Communityの記事Neowinの記事BetaNewsの記事Windows Centralの記事)。

手元のPCの1台(Windows 10 Pro)では特に問題ないように見えたが、設定アプリの「更新とセキュリティ→ライセンス認証」を見ると通常の「Windowsはデジタルライセンスによってライセンス認証されています」という表示が「Windowsはライセンス認証されています」に変わり、これまで存在しなかった「プロダクトID」「プロダクトキー」という項目が追加されていた。さらに、その後しばらくするとライセンス認証が無効になり、トラブルシューティングを実行すると「Windows 10 Homeのデジタルライセンスが見つかりました」と表示されるようになった。

Windows 10 Pro Insider Previewを実行する別のPCでも同様の問題が発生し、トラブルシューティングを実行すると「このデバイスではWindows 10 Pro Insider Previewを実行していますが、Windows 10 Pro Insider Previewのデジタルライセンスが見つかりました」と表示された。試しに指示通り「Windowsのエディションをアップグレード」してみたが、PCが再起動しただけで何も起こらなかった。なお、さらに別のPCでは特に問題は発生しなかった。

その後、9日昼までに最初の1台は再びライセンス認証が可能になった。Windows 10 Pro Insider Previewを実行するPCの方はライセンス認証できないままだったが、午後に再度起動してみたところライセンス認証された状態になっていた。

東部標準時9日午前(日本時間9日深夜~10日未明)の段階で、Microsoft Communityの記事には24時間以内に自動でライセンス認証が復活すると追記された。早く復活させたい場合はトラブルシューティングの実行が推奨されている。ライセンス認証が復活したとのコメントも増えているようだ。スラドの皆さんの環境ではいかがだっただろうか。
13764777 story
バグ

TI製低電力Bluetoothチップにリモートアクセスを可能にする脆弱性 9

ストーリー by hylom
またBluetoothか 部門より
あるAnonymous Coward曰く、

Texas Instruments(TI)のBluetooth Low Energy(BLE)チップに脆弱性が見つかった。このチップを採用した無線LANアクセスポイントに対し脆弱性を悪用することで、認証無しにネットワークに侵入できる可能性があるという(ITmediaGIGAZINE)。

イスラエルのセキュリティ会社Armisの研究者によって発見されたもので、問題のチップは「CC2640」や「CC2650」などで、CiscoやMeraki、Arubaなどが製品に採用しているとのこと。

今回の脆弱性は「BleedingBit」と名付けられており、悪意のあるトラフィックを送りつけることでバッファオーバーフロー攻撃を起こせるというもののようだ。これを採用したベンダー各社はすでにファームウェア更新などで対応しているという。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...