パスワードを忘れた? アカウント作成

13349786 story
セキュリティ

Androidをターゲットにしたマルウェア「GhostCtrl」が登場。リモートから音声や動画の録音も可能

ストーリー by hylom
ダウンロードの際はご注意を 部門より
taraiok曰く、

トレンドマイクロによると、WhatsAppやポケモンGoといったアプリに偽装したマルウェアが登場しているという(マイナビニュースNeowinSUNトレンドマイクロSlashdot)。

このマルウェアは「GhostCtrl」と呼ばれており、インストールするとバックドアが作成されて、外部からカメラやWebブラウザの履歴SMS/MMSなどにアクセス可能になるという。また、音声やオーディオを秘密裏に録音し、サーバーにアップロードすることもできるようだ。

このマルウェアはAndroid用のリモート管理ツールであるOmniRATの変種で、6月にイスラエルの病院を襲ったRETADUPと類似しているとされる。また、今後さらに進化する可能性があるとも指摘されている。

13349313 story
火星

米下院議員、火星にかつて文明が存在した可能性をNASA科学者に問う 40

ストーリー by headless
疑問 部門より
danceman 曰く、

米下院科学・宇宙・技術委員会の宇宙小委員会が18日に開催した公聴会「Space Subcommittee Hearing- Planetary Flagship Missions: Mars Rover 2020 and Europa Clipper」で、かつて火星に文明が存在していたかどうかという質問が共和党のダナ・ローラバッカー下院議員から飛び出した(CNETの記事Mashableの記事Ars Technicaの記事[1][2]動画)。

ローラバッカー氏は、「あなた方は、数千年前の火星は全く違っていたと言っていたが、数千年前の火星に文明が存在していた可能性はあるのか」と質問した。これに対し、2020年火星探査車プロジェクトのケネス・ファーリー氏は「火星が全く違っていたのは数千年ではなく数十億年前のこと」とローラバッカー氏の間違いを訂正したうえで、「私の知る限り、そのような証拠はない」と答えた。ローラバッカー氏はさらに「その可能性を完全否定しますか」と念を押したが、ファーリー氏は「可能性は極めて低い」と返答している。

ローラバッカー氏は数千年前でなく数十億年前との指摘を受け流し、回答を促している。念を押す際に「(火星に文明が存在したと主張する)人もいるのだが」と言いかけたことから、小耳にはさんだ陰謀論のようなものについて質問したとみられている。ローラバッカー氏はこれを追加の質問として許可を求めており、どうしても確認したかったようだ。

Mashableの記事ではローラバッカー氏の質問は時間の無駄だと批判するが、NASAの気候モデル研究者 Gavin Schmidt氏は、それほど的外れな質問とは思えないとツイートしている。

13349020 story
ノートPC

米国行き直行便機内への大型電子機器持ち込み制限終了、空港に導入された保安検査技術とは? 21

ストーリー by headless
検査 部門より
3月から実施されていた米国への直行便での大型ポータブル電子機器の機内持ち込み制限は、テロ組織がバッテリーに爆発物を隠す技術を確立したのが理由とされる。これについてAspen Security ForumでNBCニュースのピート・ウィリアムズ氏と対談した米国土安全保障省(DHS)のジョン・F・ケリー長官が、事前に行った実験や新しい保安検査の技術を説明している(対談テキスト: PDFThe Registerの記事動画)。

運輸保安局(TSA)は連邦捜査局(FBI)などと協力して、実際に2台のデバイスを試作。ケリー氏は爆発物の分量からみて、実際に航空機を破壊できるだけの威力があるとは信じられなかったという。しかし、与圧した本物の航空機を用いて地上で実施した実験では、実際に航空機が破壊されたそうだ。その結果、10空港を出発する9航空会社の運航便について機内持ち込み制限の実施に踏み切ることになる。

ケリー氏は5月、機内持ち込み制限を米国発着の全便に拡大する可能性を示唆したが、6月には保安検査を強化することで制限を撤廃する意向を示していた。7月に入ってDHSの求める保安基準を満たした空港から順に機内持ち込み制限の解除を進め、サウジアラビア・リヤドのキングハーリド国際空港で20日に機内持ち込み制限が解除されたのを最後に機内持ち込み制限は終了した(DHSのファクトシート)。

新しい保安検査の詳細は公表されていなかったが、ケリー氏によればCT技術を使用したものだという。ケリー氏は危険なデバイスを確実に検出できると自信満々だが、「CT」は何かというウィリアムズ氏の質問に答えられず、X線を使用したものだと説明していた。会場に来ていた元TSA局長のジョン・ピストール氏にウィリアムズ氏が話を振ると、ピストール氏は「Computer Tomography (コンピューター断層撮影)」だとあっさり回答。ここでケリー氏はピストール氏を「ナード」と呼び、会場の笑いを誘った。
13347308 story
テクノロジー

モトローラ、米警官の装着するボディカメラに顔認識技術の導入を計画 6

ストーリー by hylom
サイバー化 部門より
taraiok曰く、

モトローラが、人工知能ソフトウェアを手がけるスタートアップ企業Neuralaと共同で公共機関向けのインテリジェントカメラを開発することを発表した(DefenseOneYahoo! FINANCEDARPAIEEE SpectrumSlashdot)。 米国では警察官へのボディカメラ装着が進んでいるが、そこに顔認識システムを組み込むことを目指しているようだ。これによって、たとえば警察官が行方不明の子供や容疑者をより効率的に探索できるようになるという。

同社の技術ではほかの機械学習技術よりも画像認識に必要なコード量を削減でき、また素早く確実に顔を認識できるとしている。これには、DARPAのSyNAPSEと呼ばれる計画で資金提供された技術が利用されているという。これによって、携行可能な大きさのデバイスにより大型で強力なコンピューターと同じような能力を持たせることができるとしている。

13347211 story
ロボット

セキュリティロボット、池に落ちる 23

ストーリー by hylom
これがセキュリティホールか 部門より
headless曰く、

米国・ワシントンDCの複合施設The Washington Harbourに配備されていたセキュリティロボット「Knightscope K5」が池に落ちて動かなくなっているところを発見されたそうだ(The Washington PostThe RegisterNeowinThe Verge)。

K5は昨年ショッピングモールで幼児を突き飛ばし、今年4月には駐車場で酔っ払いに殴り倒されるなど、何かと話題の多いロボットだ。この池は一部囲いがなく、池の中に降りる階段状になっている。この段差を検出できなかったのか、池そのものを検出できなかったのかは不明だが、ソーシャルメディアでは「ロボットが入水自殺を図った」などと話題になっている。Knightscope社のWebサイトによれば、K5は先進の異常検出機能を搭載しているとのことだが、足元の異常は検出できなかったようだ。

13346209 story
Windows

今秋のWindows 10アップデート、英国などではAutumn Creators Updateに? 33

ストーリー by hylom
名前もローカライズ 部門より
headless曰く、

Windows 10の次期大型アップデート(コードネーム: Redstone 3)は「Fall Creators Update」と呼ばれるが、英語圏の一部では「Autumn Creators Update」という名称になるとの見方が出ている(Windows CentralArs TechnicaThe VergeOn MSFT)。

MicrosoftのWebサイトには国・地域別にWindows 10の大型アップデートを紹介するページが用意されている。しかし、英語版のページで「Windows 10 Fall Creators Update」と表記されているのは米国版カナダ版のみ。英国版をはじめ、オーストラリア版インド版シンガポール版香港版など、北米以外の英語版ページでは「Windows 10 Autumn Creators Update」と表記されている。一方、日本版など英語以外の言語のページでは「Windows 10 Fall Creators Update」となっているようだ。

なお、Windows CentralのZac Bowden氏が5月にBuild 2017の会場でMicrosoftに確認した際には、全世界で「Fall Creators Update」という名称になると説明されていたそうだ。Fall Creators Updateの「fall」は秋という意味だが、この意味で使うのは主に北米であり、他の地域では意味が伝わりやすい「autumn」にローカライズしたとみられている。英語の名称が2種類あるとかえってわかりにくい気もするが、スラドの皆さんはどう思われるだろうか。

追記(by headless): 「Autumn Creators Update」と表記されていた英語版のページはその後、すべて「Fall Creators Update」に修正された。MicrosoftはArs Technicaに対し、誤訳だと説明しているとのこと。

13346044 story
Google

Google Glassの業務用向け新バージョン「Enterprise Edition」登場 13

ストーリー by hylom
需要はある 部門より
あるAnonymous Coward曰く、

2015年に一般販売が中止となったGoogleのウェアラブルデバイス「Google Glass」だが、新バージョン「Glass Enterprise Edition」が発表された。一般販売中止時には企業や開発者への提供は継続されるとされていたが、今回発表された新バージョンも業務用向けとされている(GIGAZINEAFPCNBCWIREDSlashdot)。

作業員などが、両手を作業に使っている状態で情報を参照するといった目的で使用することを想定しており、すでにサードパーティ製のソフトウェアなどもあるそうだ。本バージョンではカメラの高解像度化やバッテリ駆動時間の延長といった強化が行われているとのこと。

13344943 story
プログラミング

C言語は滅びるべきか 212

ストーリー by hylom
適材適所 部門より

ソフトウェアエンジニア/作家/ジャーナリストのJon Evans氏によると、「C言語は滅びるべき」だそうだ(TechCrunch。なお、この記事のタイトルは「C/C++に死を」だが、原文タイトルにはC++は含まれていない)。

C言語はさまざまなソフトウェアの開発に使われており、必要不可欠なものとなっているが、いっぽうで原始的なメモリ管理機能しか備えておらず、それが脆弱性や不具合を生む原因となっているという。氏は代替としてRust言語を勧めており、特にパーサーや入力ハンドラなどの部分から、徐々にCのコードをRustに入れ替えていくべきであると主張している。

13343353 story
テクノロジー

フリーゲージトレイン、国交省はまだ諦めず 120

ストーリー by hylom
実現できるのだろうか 部門より

先日、「長崎新幹線でのフリーゲージ車両、ついに断念」と報じられていたが、国土交通省としてはまだ断念はしていないという見解のようだ。国交省は以前の報道どおり、フリーゲージトレインの2022年度の導入は困難としているものの、開発は継続するという(佐賀新聞の記事1記事2)。

フリーゲージトレインについては、車両の性能試験が行われているが、そこで車軸の摩耗が見つかり、この問題が解決しない限り耐久走行試験が行えない状況になっているという(国土交通省による「FGTの不具合対策と今後の技術開発の進め方(まとめ)」文書PDF)。

13343322 story
NASA

NASAによる火星の有人探査、実現できる時期はまだまだ未定 19

ストーリー by hylom
ゆっくりでも着実に進めて欲しい 部門より
taraiok曰く、

NASAは以前から火星への有人探査を計画しているものの、進捗状況は悪く、実際いつ実現するかは不明瞭だという(Ars TechnicaSlashdot)。

現在NASAが進めているJourney to Marsプロジェクトでは、人間を2030年代に送り込むスケジュールで進められている。しかし、7月10~12日に開催されたAIAA Propulsion and Energy Forumでの「いつ火星の地表に人類が到達できるか」という質問に対し、NASAの有人飛行探査関連の開発を統括するWilliam H. Gerstenmaier氏は「私は火星の有人着陸の日時を言及できない。私たちの予算のレベルでは火星に到達するシステムを用意できない」と発言している。

SLSロケットとオリオン宇宙船の建造費が高騰しており、火星の地表で活動するための車両などの設計にはまったく手がつけられていない状態であるのが現実だという。

13343266 story
DRM

W3C、著作権管理技術EMEの標準化を決定。フリーソフトウェア財団などは反発 45

ストーリー by hylom
W3C外で勝手にやられるよりはマシという判断か 部門より
あるAnonymous Coward曰く、

W3Cは、WWWの生みの親であるティム・バーナーズ=リーの承認を得て、デジタル著作権管理付きコンテンツを再生するためのW3Cの標準仕様「Encrypted Media Extensions」(EME)の導入を決定した。今回の導入が決定したことにより、ユーザーはプラグインなしにコピープロテクションの掛かったコンテンツを閲覧できるようになる(techdirt記事1techdirt記事2FSFの発表1FSFの発表2Slashdot)。

EMEの導入に関してはフリーソフトウェア財団(FSF)や人権団体などが反対を続けてきた。理由としてはHTMLに直接DRMを導入することは、真にオープンなインターネットのあり方に反するものだといったもの。今回の決定に対して控訴手続きも行うという。W3Cの決定に控訴するための仕組みは用意されていたものの、使われてるのは今回が初めてである模様。

なお、EMEはすでにGoogle ChromeやInternet Explorer Safari、Firefox、Edgeなどでサポートされており、これを利用してDRM付きコンテンツをWebブラウザ上での再生できるようにしている動画配信サービスも登場している(The Netflix Tech Blog)。

13341073 story
バグ

ボルバキアを使用した不妊虫放飼でネッタイシマカの個体数を減らす大規模実験「Debug Fresno」 45

ストーリー by headless
放飼 部門より
Alphabet傘下のVerilyは14日、Sterile Insect Technique(SIT: 不妊虫放飼法)によりネッタイシマカの個体数を減少させる実験「Debug Fresno」を米国・カリフォルニア州フレズノ郡で開始した(Verily Blogの記事プロジェクトページThe Vergeの記事9to5Googleの記事)。

Debug Fresnoはバイオテクノロジー企業 MosquitoMateおよびフレズノ郡の Consolidated Mosquito Abatement Districtとの提携によるもので、MosquitoMateが開発したオスのネッタイシマカ「ZAP」を使用する。実験はフレズノ郡の2地区で20週にわたって実施され、2地区合わせて毎週100万匹のZAPを放出するという大規模なものだ。

ZAPはボルバキアに感染しており、感染していないメスと交配しても細胞質不和合性により卵は孵化しない。ボルバキアは自然に存在する細菌であり、遺伝子操作を用いるものと比較して安全性が高いことをMosquitoMateは示唆している。

なお、フロリダ州のフロリダキーズ諸島では遺伝子操作したネッタイシマカの放出実験が計画されていたが、こちらは現在も実現していないようだ。その一方で、2万匹のZAPを放出する実験が4月に実施されている(プロジェクトページ)。
13340232 story
Windows

NTLM関連の新たな脆弱性が見つかる 19

ストーリー by headless
発見 部門より
セキュリティ企業Preemptが数か月前に発見したというNTLM関連の脆弱性2件を解説している(Preempt Blogの記事The Registerの記事BetaNewsの記事)。

CVE-2017-8563はドメイン認証でKerberosからNTLM認証へフォールバックした際に特権昇格が発生するというもの。攻撃者は特別に細工したアプリケーションを使い、悪意あるトラフィックをドメインコントローラーに送信することで、この脆弱性を悪用できる。

この問題が発生するのはLDAPがNTLM中継攻撃から保護されないことが原因だという。グループポリシーの「ドメインコントローラー: LDAPサーバー署名必須」で「署名を必要とする」に設定すると、中間者攻撃(MitM)および資格情報中継攻撃から保護されるようになる。この設定ではセッションキーで署名されたLDAPセッション(LDAP署名)か、全体がTLSで暗号化されたLDAPセッション(LDAPS)のいずれにも該当しないセッションをドメインコントローラーが拒否するが、LDAPSの場合は資格情報中継攻撃から保護されないとのこと。

Microsoftではこの問題を確認し、7月の月例更新で修正している。CVE-2017-8563にはSSL/TLSを使用したLDAP認証のセキュリティを強化するレジストリ設定が導入されているが、設定を有効にするにはMicrosoftのサポート記事4034879に従い、レジストリを直接変更する必要がある。

もう1件はリモートデスクトップの制限付き管理モード接続に関するもの。このモードでは接続先マシンに資格情報が送信されないため、接続先が攻撃者の支配下にある場合でも接続元が保護される。そのため、サポートエンジニアが管理者権限でリモートマシンを操作する際などによく使われている。

しかし、このモードではNTLM認証へのダウングレードが認められており、NTLM中継攻撃やパスワードクラックなどが可能になるという。これについてMicrosoftでは既知の問題であるとし、NTLM中継攻撃を避けるための設定を推奨したとのことだ。
13339340 story
プライバシ

無料Wi-Fiサービスの利用規約、ちゃんと読んでる? 59

ストーリー by headless
義務 部門より
公衆Wi-Fiサービスを提供する英Purpleが無料Wi-Fiサービスの利用規約に1,000時間のコミュニティサービスを義務付ける条項を含める実験を行ったところ、2週間で22,000人以上が利用規約に合意したそうだ(Purpleのブログ記事The Registerの記事The Guardianの記事Neowinの記事)。

コミュニティサービス条項は通常の利用規約に追加されており、以下のような作業が含まれる。
  • 地域の公園で動物の排せつ物を掃除する
  • 野良猫や野良犬を抱きしめる
  • 手作業で下水の詰まりを取り除く
  • 地域のイベントなどで仮設トイレを掃除する
  • カタツムリの殻をペイントして彼らの存在を輝かせる
  • 道路に貼り付いたチューインガムをはがす

ただし、これは人々が無料Wi-Fiにサインアップする際の認識不足へ注目を集めるための実験であり、実際にコミュニティサービスを強制することはないとのこと。この利用規約では問題のある条項を指摘した人に賞品を贈ることも記載されていたが、コミュニティサービス条項の問題を指摘した人は1人だけだったという。

EUの一般データ保護規則(GDPR)は2018年5月25日に施行されるが、Purpleは実験結果を発表すると同時にGDPRに準拠する最初のWi-Fiプロバイダーとなったことも発表している。今回の実験結果からユーザーが内容を容易に把握できるようにすることも重要だとして、プライバシーポリシーを1,600語から260語に短縮するなどの改善を行ったとのこと。

このような実験をするのはPurpleが初めてではない。2014年にF-Secureが英国・ロンドンで無料Wi-Fiの利用規約に最初の子供を譲るという条項を設けたところ、6人が合意したとのことだ。

13339333 story
政府

ハッカーをライセンス制にするシンガポールのサイバーセキュリティ法案 23

ストーリー by headless
義務 部門より
シンガポールでハッカーをライセンス制にすることを含むサイバーセキュリティ法案が提案されている(The Straits Timesの記事[1][2]The Next Webの記事Quartzの記事)。

法案は頻発化・高度化し、影響の大きくなるサイバー攻撃に備えるためのもの。重要な情報インフラ所有者に対する規制やサイバーセキュリティ庁(CSA)の権限強化、CSA職員によるサイバーセキュリティ情報の共有、サイバーセキュリティサービス提供者に対するライセンス制度の導入などが盛り込まれている。

ライセンス制度の導入が検討されているのはハッキング・フォレンジックといったサイバーセキュリティ調査に関するサービスと、セキュリティオペレーションセンターのようなサイバーセキュリティ監視に関するサービス。企業だけでなく個人でもこれらの活動を行う場合はライセンス取得が義務付けられ、違反した場合は最高5万シンガポールドル(現在の為替レートで約410万円)の罰金か最長2年の実刑、またはその両方が科せられるとのこと。

現在、シンガポール情報通信省(MCI)とCSAがこの法案の意見募集を実施している。
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...