パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

13761114 story
Twitter

Twitter、スパム報告機能を細分化して強化 42

ストーリー by hylom
対応フローはなにも変わってなかったりして 部門より
あるAnonymous Coward曰く、

Twitterがスパム報告機能の一部をアップデートしたようだ(The VergeGIZMODO JapanITmediaSlashdot)。

これによると、不適切な投稿をスパムとして「報告」する際に「偽物のアカウントがツイートしています」「有害なサイト、悪意のあるサイト、またはフィッシングサイトへのリンクが含まれている可能性があります」といった理由を選択できるようになった。

なお、Twitterチームにレポートを送った後、どのような処理が行われるかについては不明。先日Twitterでは、ユーザーから「脅迫」として通報された投稿をルール違反と見なさず削除しなかったというトラブルも発生していた(ITmediaの別記事)。

13743587 story
spam

採掘できない暗号通貨にも対応する偽採掘アプリ 27

ストーリー by headless
現実 部門より
採掘のできない暗号通貨を含むAndroid向けの偽採掘アプリが多数発見されたとして、Fortinetが注意喚起している(Fortinetのブログ記事Softpediaの記事)。

膨大な計算が必要となる暗号通貨取引等の検証に協力することで報酬を得る採掘(マイニング)は、消費電力増大やWebサイトへのスクリプト埋め込みなどが話題になることも多い。ただし、暗号通貨の中にはRipple(XRP)やTether(USDT)のように採掘の仕組みを用意していないものもあり、こういった暗号通貨への対応をうたう採掘アプリは確実に偽物だ。Rippleの偽採掘アプリはESETが2月にGoogle Playで公開されているのを発見・報告しているが、今回の偽採掘アプリはGoogle Play以外でAPKを配布する、いわゆる野良アプリらしい。

偽採掘アプリの画面には、採掘した暗号通貨の金額とハッシュ値の計算速度表示、「START」ボタンが配置されている。STARTを押すと現在の計算速度が表示されるのだが、数字は単に乱数を生成して表示しているだけだという。また、暗号通貨の採掘量は関数が実行されるたびに一定の数値を加算するだけのようだ。メニューには採掘した暗号通貨を引き出すオプションも用意されているが、確認画面で「Yes」を選ぶとワレットのアドレスが正しくないといったエラーメッセージが必ず表示され、決して引き出すことはできない。

このアプリの開発者「lovecoin」は暗号通貨の名前部分を入れ替えた同様のアプリを複数公開しているという。アプリには広告を表示するコードが含まれており、広告収入を得ることが目的とみられる。そのため、Fortinetではこれらのアプリについて、ユーザーをだましてアドウェアをダウンロードさせるものだと述べている。
13731912 story
Facebook

Facebook、アカウントへの不正アクセス発生を伝えるニュース記事へのリンク投稿を一時ブロック 9

ストーリー by headless
共有禁止 部門より
Facebookは9月28日、「プロフィールを確認」ツールの脆弱性により、5,000万件近いアカウントのアクセストークンを攻撃者が不正に入手していたことを明らかにした(Facebookのニュース記事)。

「プロフィールを確認」は、他のユーザーが自分のプロフィール画面を見た場合の見え方を確認するツール。表示画面は閲覧のみを意図したものだが、メッセージ送信用のUIが誤って有効になっていたため、動画の投稿も可能だった。動画アップローダーにはFacebookモバイルアプリ用のアクセストークンを生成する機能が誤って搭載されており、「プロフィールを確認」画面内では見え方を確認しようとした他のユーザー用のアクセストークンを生成していたという。攻撃者はこれら一連のバグを悪用して他のユーザーのアクセストークンを入手していたとのこと。

Facebookでは脆弱性の修正および捜査機関への通報、影響を受けた5,000万近いアカウントおよび影響を受けた可能性のある4,000万アカウントについてアクセストークンをリセットしたほか、「プロフィールを確認」機能を一時的に無効化している。アクセストークンがリセットされた約9,000万アカウントはログアウト状態となり、再度ログインするとニュースフィードの先頭に通知が表示されるという。なお、パスワードが不正アクセスを受けたわけではないので、変更の必要はない。
13661408 story
Android

Google Playで暗号通貨採掘アプリが禁止される 44

ストーリー by headless
禁止 部門より
GoogleがGoogle Playのデベロッパーポリシーを更新し、暗号通貨採掘アプリを禁止した(Android Policeの記事SlashGearの記事)。

禁じられるのは端末上で暗号通貨の採掘(マイニング)を実行するアプリで、採掘をリモート管理するアプリは認められる。また、子供を引き付けるキャラクターなどを使用した成人向けテーマのアプリや、爆発物や銃器などの販売を促進するアプリも禁じられた。

このほかコンテンツの繰り返し禁止ポリシーが追加され、他のアプリのコンテンツをコピーしただけのアプリや、「コンテンツやユーザー エクスペリエンスがほとんど同じ」複数のアプリの公開が禁じられた。このポリシーにより、同じアプリの広告付き無料バージョンと広告なし有料バージョンを公開している開発者からは、一方が公開停止になったとの報告も出ている。
13656054 story
iPhone

iPhoneがインドの携帯電話ネットワークから切断される可能性 25

ストーリー by hylom
どうなる 部門より
headless曰く、

インド電気通信規制庁(TRAI)が先日発表した新規制では、Appleが対応しなければiPhoneがインドの携帯電話ネットワークに接続できなくなる可能性がある(India TodayThe Economic TimesNeowinVentureBeat)。

昨年TRAIは音声通話やSMSによるスパムへの対策として、スパムのブロックや通報ができるモバイルアプリ「Do Not Disturb(DND)」を開発した。DNDはGoogle Playでは公開されたが、Appleはプライバシーポリシーに違反するとしてApp Storeでの公開を拒否。TRAIとの度重なる話し合いにもかかわらず、現在も公開されていない。

TRAIの新規制では、当局または当局の承認により作成されたモバイルアプリを苦情受付などの手段の一つとして顧客に提供する必要がある。キャリアに対しては、こういったアプリの実行が許可されないスマートフォンデバイスを6か月以内にネットワークから切断するよう求めている。

そのため、アプリをインストールするかどうかはユーザーの自由だが、AppleがApp StoreでのDNDアプリ公開を認めなければ規定に抵触することになる。インド政府は反スパムの取り組みにAppleが協力しなければ法的手段をとるとも述べており、この規定はAppleを念頭に置いたものとみられる。一方、アプリの実行ができないことを理由にネットワークからの切断を強制するのは越権行為との見方も出ているようだ。

13609899 story
spam

SPAMに金属片が混入 27

ストーリー by hylom
まさに迷惑 部門より

「スパムメール」などの語源ともなった米ホーメルの加工肉缶詰「SPAM」に金属片が混入したとして、約103トン分のSPAMなどが回収となったという(CNN)。

対象の製品は「SPAM Classic」で、該当する製品コードは「F020881」から「f020889」とのこと。国内で販売されている商品がこれに該当するかは不明。

13609841 story
Chrome

Chromeウェブストアで怪しいサイトへ誘導しようとする「テーマ」が増加中 11

ストーリー by hylom
手を変え品を変え 部門より
headless曰く、

Chromeウェブストアではたびたび偽の拡張機能が公開されて問題となっているが(過去記事1過去記事2)、ここ数か月の間に怪しいサイトへ誘導しようとする「テーマ」が増加しているらしい(TorrentFreakの記事)。

問題のテーマは名称に映画のタイトルやオンラインで無料再生できることを示す表現が含まれる。たとえばキーワード「watch movie online」でテーマを検索すると15本がヒットする。

実際にテーマをインストールしてみてはいないが、15本中12本は詳細画面の「ウェブサイト」をクリックすると「vioos.co」というサイトの該当作品ページが表示される。このサイトは海賊版ストリーミングサイトのようにみえるが、再生ボタンをクリックしても映画は再生されず、別のサイトのサインアップページへリダイレクトされる。リダイレクト先は複数あり、安全ではない信頼すべきではない評価されているサイトが多いようだ。

これらの中にはユーザー数が千人以上のテーマが複数あり、「free Watch Rampage Online Full Movie Download」というテーマは2千人を超えている。レビュー欄には仲間が付けたらしい高評価レビューや、詐欺だと非難するレビューのほか、テーマ自体を評価するレビューもみられる。

残り3本のうち2本は本物の海賊版ストリーミング/Torrentサイトが宣伝を兼ねて公開しているテーマのようで、名称にはオンラインで映画を無料再生できることを示唆する表現は含まれない。あと1本は上述の12本と同じ提供者名(▼Click To Watch Full Movie Now▼)になっているが、リンクは張られていなかった。

13604658 story
spam

Facebook、3日月で5.8億個の偽アカウントを削除、ほとんどはスパムアカウント 33

ストーリー by hylom
大規模 部門より

Facebookは2018年の1〜3月の間に5.83億個ものアカウントを削除していたそうだ(CNETブルームバーグ日経新聞)。

ちなみにFacebookの月間アクティブユーザーは22億だそうで、アクティブユーザーの4分の1ほどのアカウントが3か月で削除されたことになる。削除されたのは主にスパム投稿などを行う偽アカウントだったそうだ。

そのほか、同期間中にはヘイトスピーチを含む投稿250万件、暴力的な画像350万件、性的な写真2100万件、スパム8億3700万件を削除しているとも発表されている。

13584486 story
Google

自分のGmailアカウントが突然スパムを送信しだしたという報告が相次ぐ 38

ストーリー by hylom
そういう流れか 部門より
headless曰く、

日本時間4月22日ごろ、自分のアカウントが突然スパムを送信し始めたとの報告がGmailユーザーから相次いだ(Mashable9to5GoogleSlashGearThe Verge)。

スパムの送信元が偽装されているケースはよくあるが、報告によると問題のスパムは「送信済みメール」フォルダーに格納されていたようだ。パスワードをリセットして二要素認証を有効にしてもスパム送信は止まらなかったという報告や、アクセス履歴を確認しても外部からアクセスされた様子はなかったとの報告もみられる。

Googleによれば、問題のスパムは受信者自らが送ったようにヘッダーが偽装されているもので、誤って送信済みメールとして区分されたのだという。今回の件でアカウントへの不正アクセスはなかったとGoogleはみており、該当するメッセージを特定してスパムに区分し直したとのこと。

また、スパムがtelus.com経由で送信されていたとの報告も数多い。このドメインを所有するカナダの通信会社TELUSでは、スパムは同社が生成したものでも同社のサーバーから送信されたものでもないことを確認したと説明しているとのことだ。

13559676 story
spam

英国医師会雑誌 BMJ、同じ内容の「今日のお勧め」メールを同じ日に繰り返し配信 12

ストーリー by headless
大穴 部門より
pongchang 曰く、

BMJ誌のアラートメール「Today on BMJ.com」は平日に1通来るのが通例だが、3月22日には60通以上着信した。

なりすましか、それとも乗っ取られたのか。そう思われたが、「新しいメール発信予約システムに切り替えたところ、複数の発信を防ぐ仕組みに不備があった」というお詫びのメールが来た。

新システムではメール受信をオプトインしていない読者への送信を防ぐ強固な仕組みを搭載しているが、同じ内容のメールを繰り返し送ることを防ぐ強固な仕組みは搭載していないことが22日になって判明したという。「Today on BMJ.com」の配信は修正が完了するまで停止するとのことだ。

13529049 story
Facebook

Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 34

ストーリー by headless
通知 部門より
Facebookの二段階認証に携帯電話番号を登録すると、その番号にFacebookからスパムが送られてくるようになるという報告が出ている(Mashableの記事The Vergeの記事SlashGearの記事報告者のツイート)。

報告者のGabriel Lewis氏によれば、携帯電話を使用する二段階認証を有効にしてから半月あまり経過後、友達の投稿に関する通知がFacebookからSMSで送られてくるようになったという。さらに、このSMSに返信すると、そのままLewis氏のウォールに投稿されたそうだ。同様の問題は他にも報告されており、SMSに返信することで家族や友人を罵ってしまう結果になったという報告もみられる。

Lewis氏はFacebookからのSMS通知にオプトインしていないとのことで、設定自体も無効のままのようだ。米国では電話消費者保護法(TCPA)により、企業が受信者の合意を得ずにSMSを送信することは違法行為となる。今回の件は訴訟という話には至っていないようだが、Facebookが無断で送信するSMSについてはこれまでに複数訴訟が提起されているとのこと。

FacebookではMashableやThe Vergeに対し、この問題がバグによるものか、意図的なものなのかについては触れず、通知をユーザーが制御できるようにしており、何か改善できる点があるかどうかこの問題を調査していると伝えたという。また、The Vergeに対しては、コードジェネレーターセキュリティキーを使用すれば、電話番号を登録することなく二段階認証を利用できるとも述べたとのこと。

その後、Facebookの最高セキュリティ責任者 Alex Stamos氏が、この現象はバグであると説明。ユーザーがオプトインしない限りセキュリティと無関係なSMSが送信されないように対策を進めていると述べている。また、SMSへの返信がFacebook投稿になることについては、スマートフォンが広く普及する前には便利な機能だったが、現在ではあまり有用でなくなっているため、近く廃止すべく作業を進めているとのことだ(Stamos氏のFacebook投稿)。
13504681 story
バグ

Spectre/Meltdownに便乗した偽パッチ、ドイツ・情報セキュリティ局の偽サイトで配布される 11

ストーリー by hylom
偽の連続 部門より
headless曰く、

Spectre/Meltdown脆弱性に便乗し、ドイツ連邦情報セキュリティ局(BSI)を装った偽サイトからマルウェアをインストールさせようとするスパムキャンペーンが行われていたそうだ(BSIの市民向けサイトでの発表プレスリリースMalwarebytes LabsBetaNews)。

BSIの発表に掲載されているスクリーンショットによれば、スパムメールはSpectre/Meltdown脆弱性の問題を受けてBSIがAMDおよびIntelと協力して重要なセキュリティアップデートを作成したと説明し、攻撃を避けるためにインストールすることを勧める内容で、偽サイトへのリンクが張られている。

BSIの市民向けサイトそっくりに作られた偽サイトは本物のサイトに掲載されているSpectre/Meltdown脆弱性情報の一部を改変した内容で、偽のWindows向け更新プログラムのダウンロードを促している。トラブルを避けるため、インストール時にはウイルス対策プログラムを一時的に無効化することも推奨している。

Malwarebytesによれば、偽更新プログラムを実行するとSmoke Loaderマルウェアに感染する結果になるという。偽サイトはSSLが有効でドメイン名は「sicherheit-informationstechnik」となっており、BSIの正式名称「Bundesamt für Sicherheit in der Infromationstechnik」に似せているが、トップレベルドメインはオークションサイト用の「.bid」となっている。MlwarebytesはComodoとCloudFlareに連絡し、数分後にはドメイン名が解決されなくなったとのことだ。

13460763 story
Google

YouTube、Google公式のChromebook販促動画をスパムとして削除 11

ストーリー by hylom
身内に厳しい(笑) 部門より
headless曰く、

YouTubeがGoogle公式のChromebook販促動画をスパム扱いして削除するトラブルが発生していたそうだ(The Next WebThe VergeNeowin)。

問題の動画はChromebook公式アカウントが公開したもののようだ。ユーザーが保存したスクリーンショットと実行画面の動画によれば、YouTubeアプリの「ホーム」先頭に広告として表示されているが、サムネイルは動画が存在しないことを示すものになっている。さらに動画をタップして再生しようとすると、スパムや詐欺などに関するYouTubeのポリシーに違反したため削除したというメッセージが表示されたという。

The Next Webの記事では問題が解消されたようだと述べているが、スクリーンショットに表示されているタイトルと長さに一致する動画はChromebookのチャンネルには存在しない。また、削除されそうだと思ってダウンロードしたというユーザーが公開している動画もある。同じ動画はChromebookのチャンネルに存在せず、長さはスクリーンショットと一致するが、タイトルが変更されているため、問題の動画と同じものかどうかは不明だ。そのため、削除済み動画が広告として表示される問題が解消しただけで、動画は削除されたままなのかもしれない。

YouTubeでは11月初め、内容としては問題のないiPhone Xの動画に対し、多くの広告主に適さないとのフラグを付ける問題も発生していた(TechnoBuffalo)。

13438544 story
Google

インターネット上に存在するWebサイトのうち、SEO目的のものは約80%という推測 26

ストーリー by hylom
積もったゴミの上に立つサイト 部門より

Googleでの検索結果内でより上位に自分のサイトを表示させる手法の1つに、多くのサイトから自分のサイトにリンクを張ってもらう、というものがある。Googleはサイトの価値を判断する指標の一つに「被リンク数」を使っているため、リンクを集めるほどサイトの価値が高いと認識されやすい。そこで、適当なサイトを多数立ち上げてそこから対象のサイトにリンクを張るという手法が以前より使われていた。こうした、「SEO(検索エンジン最適化)」のためのWebサイトは、インターネット上にある全サイトのうち約80%にも上るという推測がギズモード・ジャパンの記事で提示されている。

こういったSEO用のサイト製作を請け負う企業も多数存在しているが、Google側も対策を取っており、最近ではコンテンツが少なかったり、コピペで作られたようなサイトからのリンクについては無視したり、逆にペナルティを加えるような処理が導入されている。そのため、一部のSEO業者側もコンテンツが充実している(もしくは充実しているように見える)SEOサイトを製作したり、既存のサイトをそのまま乗っ取ってSEOサイト化する、という手法を取り始めているようだ。

13437058 story
spam

ハワイでSPAMの大量万引が相次ぐ 82

ストーリー by headless
万引 部門より
米国・ハワイのスーパーマーケットなどで、缶入りランチョンミート「SPAM」の大量万引が相次いでいるそうだ(The Washington Postの記事FOODBEASTの記事KHON2の記事KITV Channel 4の記事)。

SPAMの万引はケース単位で、SPAMを満載したカートを押して代金を払わずに店を出ようとする者もいるという。犯行は数名のグループで実行され、1人が警備の注意を引きつけている間にほかのメンバーがSPAMを持ち出すとのこと。SPAMはハワイでポピュラーな食品だが、ハワイの小売事業者団体Retail Merchants of Hawaii代表のTina Yamaki氏によると、万引犯は食べるためにSPAMを盗むのではなく、組織的な犯罪とみられるそうだ。

Yamaki氏によれば、盗品のSPAMを買い取る中間業者が存在するとの噂もあるという。SPAMはブラックマーケットで通貨のようになっており、麻薬常習者などが手軽に金を手に入れる手段に使われているとみられるとのこと。ハワイでは昨年から重罪となる窃盗金額が350ドルから750ドルに引き上げられたことも万引増加の原因となっているようだ。SPAMは1缶2ドル50セント程度であり、およそ300缶(25ケース)で750ドルになる。

万引の増加を受け、SPAMを高額商品のように鍵のかかった棚に収納し、客の求めに応じて取り出すようにしている店もあるとのことだ。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...