パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

14995470 story
Twitter

オランダ国防相の投稿写真から暗証番号を入手した記者がEUの機密ビデオ会議に乱入 20

ストーリー by nagazou
普段からやばいモノが映らないように注意しましょう 部門より
オランダで国防相がTwitterに投稿した情報を元にして、欧州連合(EU)の機密会議に記者が勝手にログインするというかなりまずいトラブルがあったそうだ(AFPBB News)。

ログインを行ったのはオランダの民放「RTL Nieuws」の記者Daniel Verlaan氏。同氏はオランダ国防相がTwitterに投稿した写真をもとにログイン用アドレスと暗証番号の一部を入手することに成功。これをもとにEUの国防相機密会議にログインしたのだという。元記事によれば、オランダ国防相がTwitterに投稿した写真には、テーブルの上に書類が映り込んでおり、その書類から6桁の暗証番号のうち5桁を読み取ることができたとしている。

記者が侵入した時の映像では、記者がEUの国防相らに手を振る様子が映っていたそうだ。記者が名乗ったことで、その場は案外和やかに終わったようだが、会議はセキュリティー上の理由から中止されたとのこと。
14995413 story
インターネット

大阪府知事・大阪市長は公用メールを使わない 88

ストーリー by nagazou
私用メール問題 部門より

沙和さんによると、大阪府や大阪市に何度が情報請求をかけても、知事も市長もメールが一切出てこないことから、ある考えに思い至ったという(沙和|note)。

この人たち、公用メールを使ってる?

そこで沙和さんが情報請求などを通じていろいろと問い合わせた結果、市長は公用メールを使っておらず、知事には公的なメールアドレスが存在していないことが判明したという。担当者曰く、市長の公用メールは、市長室にあるPCでしか送受信できないことから使用しておらず、職員とのやりとりは電話とLINE WORKSが使われているそうだ。

メールは公文書に当たるため、市民情報プラザで全部観閲可能になっているのに対し、LINE WORKSに関しては全文公開対象ではないという。ただし、特定の事例を定めて請求を行って、それに該当する内容であればLINE WORKSのやりとりも公開されるのだそうだ。ちなみにLINE WORKSが導入されたのは吉村前市長になってからとのこと。吉村前市長の私用メールは過去に問題になったこともある

知事に関しては知事の公用メールは一切使っていないという。基本的には口頭による指示で、緊急時には、LINE WORKSや私用メアドを使うこともあるという。こちらに関しても、行政に関わる内容であれば情報公開の対象になるそうだ。これによって生じる問題については沙和さんの元記事で触れられている。

14995383 story
マイクロソフト

Excelに新関数LET()追加。正式版として一般公開 24

ストーリー by nagazou
ニュー関数 部門より
Microsoftが3月に発表していた Excelの新関数「LET()」が16日、正式版として一般公開された(LET Generally Available窓の杜)。

LETは同じ部分式が繰り返し登場するような場合、計算結果に名前を割り当て変数として再利用可能にするというもの。可読性の向上などが期待できる。Office365またはMicrosoft365で利用可能となっている。バージョンはWindowsでは2009(ビルド13231.20262)、Mac OSでは16.42(20101102)になっている場合に使用可能となる。
14994740 story
Twitter

24時間で表示されなくなるTwitterのFleet、24時間過ぎても表示できるトラブル 8

ストーリー by nagazou
爆弾発言隠滅失敗 部門より
headless 曰く、

Twitterの期限付き投稿「Fleet」で期限の24時間が過ぎても引き続き表示可能となるトラブルが発生していたそうだ(Twitter Supportのツイート)。

Twitterによれば、スケーリングの問題で太平洋時間20日午前にバックエンドシステムによる期限切れFleetの処理が追い付かなくなったのだという。その結果、Twitterアプリでは24時間過ぎたFleetが表示されなくなる一方で、期限内にFleetのURLを保存していれば期限が切れても表示可能だったそうだ。その後バックログの問題は解消し、再発の可能性を減らすためにシステムの更新を行ったとのこと。

Fleetに関してはこのほか、ログインしていないユーザーが閲覧できる可能性に対する懸念や、ユーザーが既読リストに表示されずに閲覧できる可能性に関する懸念が出ているという。前者については、APIを使用すればFleetのメタデータを取得できるが、リクエスト時に認証セッションが必要となるよう変更し、APIの使用に手間がかかるようにしたとのこと。後者についてはリストが長くなった場合に上限を設けるなど、リストが完全であることは保証できないと説明しつつ、改善を検討していると述べている。

14994543 story
スラッシュバック

LINE、他人のアカウントに影響を与える脆弱性の検証を行わないようセキュリティ研究者へ要請 50

ストーリー by nagazou
発見者に報奨金は払ったのだろうか 部門より
LINEは11月17日に不審なBotにより、ユーザーの同意なく強制的に友だちとして追加される事案があったと発表した。リリースによれば、このトラブルは2020年10月15日の午後5時から2020年11月03日の午前10時までの期間に発生しており、約12万を超えるユーザーが影響を受けた可能性があるとしている(LINEケータイWatch)。

原因はAIアシスタント「CLOVA Assistant」の脆弱性にあるとされるが、今回の場合は発見者のミスによりこの脆弱性が悪用された模様。経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。

これを受けてLINEは、今回の発表で「セキュリティ研究者の方へ」という以下のような告知も行っている。

今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。

報告された脆弱性が修正されるまで、お時間をいただく場合もございますが、何卒ご理解ください。当社では全ての脆弱性報告に対して真摯に対応を行っております。

脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。

当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。

14994523 story
スラッシュバック

「日報くん」や「注文くん」。社内ツールは「○○くん」という名前になりがち 71

ストーリー by nagazou
ダジャレ系と二分してる気がする 部門より
TwitterでTakuto Wadaさんが、社内ツールは「○○くん」という名前をつけられがちなのかという疑問を出したところ、さまざまな「○○くん」ネタが出てきて盛り上がっていたようだ(Takuto WadaさんのツイートTogetter)。

Togetterでは「けんおん(検温)くん」と「らくらく看護師さん」といったまああるよね的なものから、「安否くん」やブラック企業の勤怠システムが「馬車馬くん」だったというネタにしか思えないものも上がっていた。社内ツールでなくても「ごはんがススムくん」「ガリガリ君」のような商品名としても「○○くん」や「○○さん」は多いようだ。なお、なぜ多いかについては結局分からずじまいである模様。
14994507 story
インターネット

新Microsoft Edgeのアドオンストア、人気拡張機能の偽物が複数見つかる 20

ストーリー by nagazou
本物はどこだ 部門より
headless 曰く、

新Microsoft Edgeのアドオンストア「Microsoft Edgeアドオン」サイトで、人気拡張機能の偽物が出始めているようだ(RedditのスレッドArs Technicaの記事)。

発覚のきっかけとなったのは、新Microsoft EdgeでGoogleのWeb検索結果からリンクをクリックすると、時々別のサイトにリダイレクトされるという報告がRedditで出たことだ。Redditユーザーから情報提供を受け、Microsoftは5本の拡張機能をEdgeアドオンストアから削除したことを報告している。

削除された拡張機能は

  • NordVPN
  • Adguard VPN
  • TunnelBear VPN
  • The Great Suspender
  • Floating Player - Picture-in-Picture Mode

となっており、いずれもChromeウェブストアで人気(かつEdgeアドオンストアでは公開されていない)の拡張機能と同じ名前だ。

Microsoft Storeで限られた数が提供されている旧Edge用の拡張機能に対し、新Edge用の拡張機能は大幅に増加している。Chromeウェブストアでは拡張機能をはじめ、不正拡張機能たびたび発見されているが、今後はEdgeアドオンストアでも同様の状況になっていくのだろうか。

14994078 story
変なモノ

バチカン、ローマ教皇公式アカウントが下着姿の女性モデルに「いいね!」した問題の調査をInstagramに依頼 58

ストーリー by headless
tap-tap 部門より
ローマ教皇フランシスコの公式Instagramアカウント下着姿の女性モデルの写真(NSFW)に「いいね!」した問題について、聖座がInstagramに調査を依頼したそうだ(Catholic News Agencyの記事The Guardianの記事Daily Mail Onlineの記事 - NSFWIl Postの記事)。

ローマ教皇のソーシャルメディアカウントは聖座のスタッフによるチームが管理しており、ローマ教皇自ら運用することはないという。問題の「いいね!」は13日に確認されて幅広く報じられたが、14日には取り消されている。聖座報道室がCatholic News Agencyに語ったところによると、内部調査の結果「いいね!」が聖座から付けられた可能性が排除できたため、このような事態になった原因の調査をInstagramに依頼したとのこと。なお、Instagramでは写真をダブルタップしただけで「いいね!」したことになるが、誰かがそれを知らず「いいね!」していた可能性がないことまで確認したかどうかは不明だ。
14993616 story
Chrome

Google Chrome、Windows 7のサポートを2022年1月まで延長 15

ストーリー by headless
延長 部門より
Googleは21日、Google ChromeのWindows 7サポートを少なくとも2022年1月15日まで延長すると発表した(Google Cloud Blogの記事9to5Googleの記事)。

Googleは今年1月、MicrosoftによるWindows 7の延長サポート終了後少なくとも18か月間、2021年7月15日まではChromeでWindows 7をサポートする計画を示していた。しかし、COVID-19パンデミックによる労働環境の変化のサポートなど、ITリーダーがさまざまな困難に直面する中、Googleは現状の評価とエンタープライズ顧客からのフィードバックを元に6か月のサポート期間延長を決めたそうだ。

Windows 10への移行は多くの組織で今年のロードマップに含まれていたが、優先順位の変更により21%の組織がWindows 10への移行途中であり、1%は近く移行を始める計画だという。サポート期間延長により、エンタープライズ顧客は移行がまだ済んでいないWindows 7で引き続きChromeのセキュリティや生産性に関する利益を享受でき、エンタープライズ向け機能を活用できるとのこと。Googleでは今後も継続してエンタープライズ顧客が直面する状況の評価を行い、さらなる変更があれば発表するとのことだ。

なお、MicrosoftはChromiumベースの新Micosoft EdgeでWindows 7を2021年7月15日までサポートする計画を示している。この件が記載されたMicrosoft Docsの記事は11月16日に更新されているが、Windows 7/Server 2008 R2のサポート終了日については変更されていない。
14993613 story
iOS

iOS 14.2.1リリース、iPhone 12 miniのロック画面でタッチ操作への反応が鈍くなる問題を修正 28

ストーリー by headless
修正 部門より
Appleは19日、iOS 14.2.1をリリースした(HT211808Mac Rumorsの記事The Vergeの記事SlashGearの記事)。

本リリースではiPhone 12 miniのロック画面でタッチ操作への反応が鈍くなる問題が修正されている。この問題はiPhone 12 miniをケースに入れ、かつスクリーンプロテクターを貼った状態での発生が数多く報告されていた。問題は画面ロック解除後に解消するほか、本体やカメラの金属部分に触れている場合は充電器を接続している場合は発生しないという報告もみられ、ソフトウェア的な問題なのか、接地の問題なのかはっきりしていなかった。Appleは問題が発生した理由を説明していないが、少なくとも対処はソフトウェア的に可能だったようだ。

本リリースではこのほか、一部のMMSメッセージを受信できないことがある問題と、Made for iPhone補聴器でiPhoneからのオーディオを聞くと音質が悪くなる問題が修正されている。なお、本リリースにCVEエントリーが公開された脆弱性の修正は含まれない(HT201222 米国・英語版)。
14993541 story
インターネット

Internet Archive、Flashコンテンツ永久保存計画 48

ストーリー by headless
保存 部門より
Internet Archiveは19日、Flashコンテンツの永久保存計画を発表した(Internet Archive Blogsの記事The Vergeの記事The Registerの記事SlashGearの記事 )。

保存されたアニメーションやゲームなどのFlashコンテンツは各種ゲームコレクションと同様のソフトウェアコレクションにまとめられ、開発中のFlashエミュレーター「Ruffle」で再生する。RuffleとFlashの互換性は100%ではないものの、WebAssemblyをサポートするすべてのブラウザーでFlashプラグインなしに歴史的なFlashアニメーションの大半を再生できるとのこと。既に500本以上のFlashコンテンツを含むコレクションが公開されており、代表的なFlashコンテンツをピックアップしたショーケースコレクションも公開されている。

Flashコンテンツ作者などは手持ちの.swfファイルをアップロードしてコレクションに追加することも可能だ。ただし、Ruffleで正常に動作するかどうか、開発者が公開しているテスト環境で事前に確認することが推奨される。アップロード時はメタデータ「mediatype」に「software」、「emulator」に「ruffle-swf」、「emulator_ext」に「swf」をセットする必要がある。コンテンツの説明やタイトル、作成日といったメタデータはオプションだが、可能な限り正確または完全な情報を入力することが推奨される。

これについて tamaco 曰く、

FLASHといえばネギをまわすやつとかサイタマみたいな2ch(現5ch)全盛期と同じ頃だったな。
サイタマFLASHは処理が重くPC-XG70Gでベンチ替わりに実行すると熱暴走したり。いろんな思い出がある。

個人的に「Flashといえば」というような作品の思い出はない(思い出せない)のだが、スラドの皆さんは何かあるだろうか。

14993504 story
Chrome

Chromeウェブストア、拡張機能がユーザーから収集するデータに関する情報の表示を1月に開始 2

ストーリー by headless
申告 部門より
Chromeウェブストアでは来年1月から、拡張機能がユーザーから収集するデータに関する情報を拡張機能の詳細情報ページに表示するそうだ(Chromium Blogの記事9to5Googleの記事Android Policeの記事The Registerの記事)。

表示される情報は開発者の自己申告によるもので、拡張機能を新規公開または更新する場合は開発者向けダッシュボードで収集するデータと用途に関する情報の提供が求められる。Chromeウェブストアでは2021年1月18日から情報表示が始まり、それまでに開発者が情報を提供していない拡張機能に関してはその旨が表示されることになる。

これに合わせて開発者プログラムポリシーも更新されており、ユーザーから収集したデータに対する使用制限が追加された(Limited Uses of User Data)。ユーザーデータの使用は拡張機能が持つ単一の用途を提供または改善する目的のみに制限され、その他の目的での使用や販売は禁じられる。

第三者へのユーザーデータ転送が認められるのは、拡張機能の単一の用途を提供または改善するために必要な場合や法律の順守、セキュリティ目的のほか、買収や合併などに伴うものであって、ユーザーから明示的な許可を得た場合に限られる。また、ユーザーから明示的な許可を得た場合などを除き、人間がデータを読むことは認められない。
14991939 story
クラウド

まるごとデータを消失した「ふくいナビ」、旧サーバにバックアップが発見される 91

ストーリー by nagazou
旧サーバーも処分されていたらやばかった 部門より
先日、契約先の手続きミスにより、全データが消失したと話題になったポータルサイト「ふくいナビ」だが、その後の調査でバックアップが存在しており、復旧できる可能性が出てきたことが分かったそうだ(ふくい産業支援センターSecurity NEXT)。

クラウドから消されたデータは、セキュリティの観点から復旧が難しいとされているが、サーバーを賃貸していたNECキャピタルソリューションが運用保守会社などとともに社内を探索したところ、センター内の旧サーバ内に10月5日時点のバックアップデータが存在していたことが判明したそうだ。2月いっぱいまでに復旧させることを目標に作業中としている。
14991374 story
Google

GIGAスクール構想で配付された端末、各地で様々な機能制限が報告される 65

ストーリー by nagazou
学生に創意工夫させるためにやっているのかもしれない 部門より
GIGAスクール構想での配布端末はChromebook率が高いとされるが、iPadを配布している自治体も存在している。パパ教員の戯れ言日記の記事が、学校用に配布された端末についての情報を集めて紹介している(パパ教員の戯れ言日記)。それによると、そうして配付されたiPadでは標準カメラアプリは使えない仕様に変更されているとの報告が複数上がっているようだ。

盗撮などの防止のための対策と見られるが、純正のカメラアプリから使えないだけで、外部のアプリを入れて使うなどの回避策は取れるようだ(こちらも配布する自治体によって仕様が違う可能性はある)このため、あまり意味はないとの指摘も出てている。

こうした機能制限はiPadだけでなく、Chromebookでもあるそうで、教員用に配布されたChromebookであってもメール送信もできない、アプリもインストールできない、YouTubeも見られないと制限だらけになっているところもあるようだ(こちらも自治体により仕様が違う可能性はある)。授業の参考動画として利用できるYouTube動画もあるだけに、こうした仕様はいかがなものかという意見もある模様。
14991533 story
YouTube

有名YouTuberの実家と勘違いし、無関係家族に殺害予告などを送付 46

ストーリー by nagazou
ろくでもない 部門より
神奈川・川崎市の一家が、YouTuberの「鈴木ゆゆうた」の実家と誤解されたことで、さまざまな嫌がらせを受けていたことが分かった。放火や殺害予告、頼んでいない荷物が届くなどの嫌がらせを受けていたという。嫌がらせを受けていた人はゆゆうたとはまったくの無関係とのこと(FNNNHK)。

現在、神奈川県警が、偽計業務妨害などの疑いで捜査しているという。ゆゆうた本人も18日に自身のYouTubeチャンネル上でこの件について発表している。被害者一家が誤解を受ける原因となったのは、5ちゃんねる関連でまちがった自宅特定が行われたためであるようだ(J-CASTニューススーパーラッキー)。

なお、先日の"恒心教を名乗る爆破予告事件でも4件の差出人が鈴木ゆゆうたの本名で出されていたという(Business Journal)。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...