パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2019年7月21日の記事一覧(全6件)
13962823 story
情報漏洩

Slack、2015年の不正アクセスに関連してアカウントの約1%でパスワードをリセット 5

ストーリー by headless
判明 部門より
Slackは18日、2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたとして、全アカウントの約1%でパスワードをリセットすることを発表した(The Official Slack Blogの記事HackReadの記事The Registerの記事ZDNetの記事)。

2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。

今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。

パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。
13962826 story
クラウド

各国政府機関が愛用するスマートフォン用スパイウェア、クラウドのデータも取得可能に 11

ストーリー by headless
愛用 部門より
Financial Timesの記事によると、イスラエルのスパイウェア企業NSO Groupが同社のスマートフォン用スパイウェア「Pegasus」で端末内だけでなくクラウド上のデータも取得可能になったと顧客に説明しているそうだ(9to5Macの記事Softpediaの記事Mac Rumorsの記事)。

PegasusはNSO Groupのフラッグシップ製品で、ターゲットのスマートフォンからデータを収集するため、各国政府や諜報機関が何年にもわたって愛用しているという。5月にWhatsAppの脆弱性が公表された際、NSO Groupがスパイウェアをインストールするコードを作成したとFinancial Timesが報じていたが、そのスパイウェアがPegasusだった。

クラウド上のデータにアクセスする仕組みとしては、ターゲットのスマートフォンにインストールされたPegasusがiCloudやGoogle Driveなどの認証キーをコピーしてPegasusのサーバーへ送信する。これを使用することで、サーバー側では二要素認証の要求や警告メールの送信が行われることなく、クラウド上のデータを収集できるとのこと。

これについてAmazonやGoogleはユーザーのアカウントが不正にアクセスされた形跡はないと述べており、Microsoftは同社のテクノロジーが最良の保護を提供できるよう常に進化しているとし、デバイスを健康な(最新の)状態に保つようユーザーに促したという。一方、Appleは同社のOSは世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないとFinancial Timesに回答したとのことだ。
13962829 story
Chrome

Chrome 76ではWebサイトによるシークレットモード検出が困難に 8

ストーリー by headless
検出 部門より
7月30日にリリース予定のGoogle Chrome 76では、Webサイトによるシークレットモード検出に使われないようFileSystem APIの動作が変更される(The Keywordの記事Neowinの記事BetaNewsの記事SlashGearの記事)。

現行のGoogle Chromeではシークレットモード時にFileSystem APIが無効化されるため、WebサイトはAPIが有効かどうかを調べることでシークレットモードを検出できる。このような「抜け穴」を使用しているのは、一定数の記事を無料で閲覧できるメーター制課金システムを採用しているパブリッシャーだ。記事の閲覧数はCookieに保存されるため、制限を超えて閲覧する方法の一つとしてシークレットモードが使われることもあるという。Googleでは制限の迂回を避けたいパブリッシャーに理解を示しつつも、シークレットモードを検出してユーザーに対応を求めるような手法はシークレットモードを台無しにするものだと述べている。

なお、今回のブログ記事に具体的な変更内容は書かれていないが、Chromium Gerritによればシークレットモードではメモリー上に作成した仮想ファイルシステムを使用するというものだ。FileSystem APIは実質的にシークレットモードの検出にしか使われていないことから、いずれは削除も視野に入れているとも報じられていた。この機能自体は実装済みであり、Chrome 75でもchrome://flags/#enable-filesystem-in-incognitoを「Enabled」にすれば利用可能だ。
13962833 story
SNS

Instagramが「いいね!」を非表示に 36

ストーリー by headless
確認 部門より
Bill Hates 曰く、

AFP通信が伝えるところによると、Instagramが日本などで「いいね!」を非表示にする措置を試験的に開始しているとのこと。自分の投稿に付けられた「いいね!」は確認できるものの、別のページに行かないと表示されないという。

この措置で「いいね!」を数多く得なければとのプレッシャーが解消されることを期待しているようだが、モチベーションが低くなり投稿数が減ることになりそうに思われる。

Instagramのツイートによれば、「いいね!」が非表示化されるのは日本・オーストラリア・ブラジル・カナダ・アイルランド・イタリア・ニュージーランドのユーザーの一部だという。「いいね!」だけでなく動画再生回数も非表示となる。自分の投稿に付けられた「いいね!」を確認するには、「いいね!」した人がリスト表示されている部分をクリックすればいいとのこと。動画再生回数の確認方法には言及されていない。

13962835 story
犯罪

ロンドン警視庁のWebサイトや公式Twitterアカウントに偽プレスリリースなどが投稿される 4

ストーリー by headless
経由 部門より
英国夏時間19日深夜、ロンドン警視庁のWebサイトや公式Twitterアカウントにいたずらとみられる偽のプレスリリースなどが複数投稿された。また、ロンドン警視庁の電子メールアドレスから偽のプレスリリース公開を知らせる電子メールも送信されたという(ロンドン警視庁のプレスリリースMetro Newsの記事London Evening Standardの記事The Next Webの記事)。

当時のプレスリリースツイートの一部はInternet Archiveにスナップショットが残されているが、偽のプレスリリースは本文がないか、見出しと同じ内容が記載されているだけのものが大半だ。適当にキーを押しただけのようなものもある。

これについてロンドン警視庁では、プレスリリースなどの発行に使用しているオンラインプロバイダーMyNewsDeskのアカウントでセキュリティ上の問題が発生したとみているそうだ。MyNewsDeskを通じて記事を発行するとロンドン警視庁のWebサイトとTwitterアカウントに表示され、電子メールが自動で生成されて送られる仕組みになっている。そのため、ロンドン警視庁のITインフラストラクチャーが「ハック」されたわけではないとのこと。

ロンドン警視庁は問題の発生を謝罪し、今後はMyNewsDeskへのアクセス手配を見直すと述べている。
13962837 story
スポーツ

ロボット審判を導入した米アトランティックリーグ、判定に異議を唱えたピッチングコーチが退場処分に 73

ストーリー by headless
退場 部門より
米独立プロ野球リーグのアトランティックリーグでは10日からロボット審判「TrackMan」が導入されているが、判定に異議を唱えたハイポイント・ロッカーズのピッチングコーチが(人間の)球審から退場処分を受けたそうだ(フランク・バイオーラ氏のツイート12upの記事StarTribuneの記事The Next Webの記事)。

このピッチングコーチは投手としてメジャーリーグで15シーズン活躍し、オールスターゲームに3回出場した「Sweet Music」ことフランク・バイオーラ氏。問題の判定は1ストライク4ボールとなった打席だが、ボールのうち3つはストライクゾーンにかかっている。ルールではTrackManの判定が誤っていれば人間の審判が覆せることになっているにもかかわらず、球審が判定をそのまま認めたためバイオーラ氏の怒りが爆発。ダッグアウトで怒鳴りだし、「Do your fucking job」などと言った結果、TrackManの判定に異議を唱えて退場となる初のコーチとなった。
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...