パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2021年3月8日の記事一覧(全9件)
15224169 story
バグ

Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 23

ストーリー by nagazou
SolarWinds並みにまずそう 部門より
米国で「Microsoft Exchange Server」のProxyLoginと呼ばれる脆弱性を突いた攻撃が広まっている。被害は米国企業だけでも3万の組織に及ぶとも報じられている。Microsoftによれば、中国に拠点を置くサイバー攻撃グループ「Hafnium」が米国に置かれているレンタルのVPSサーバーを経由して攻撃を行っているという(MicrosoftProxyLogon.comSecurity NEXT日経新聞)。

この脆弱性ProxyLoginは攻撃者が認証をバイパスして管理者になりすますことが可能なもの。共通脆弱性識別子はCVE-2021-26855が割り振られている。Microsoftによれば、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」でセキュリティ上の問題が発生している。同社は米国時間の2日にセキュリティ更新プログラムをリリースしており、JPCERT/CCや情報処理推進機構(IPA)も早急に修正プログラムを適用するよう求めている(IPAJPCERT/CC)。

これに合わせて米サイバーセキュリティ・インフラセキュリティ庁(CISA)は3日、緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」を発令。政府機関に直ちに脆弱性に対処することを求めている(ZDNetTECH+ )。
15224108 story
セキュリティ

QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 23

ストーリー by nagazou
注意 部門より
あるAnonymous Coward 曰く、

中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している(360 Netlab Blog)。

同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。

この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。

対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。

情報元へのリンク

15224093 story
アメリカ合衆国

米軍、B-2爆撃機のリバースエンジニア募集 26

ストーリー by nagazou
中露の方からエンジニアが来そう 部門より
米軍がB-2ステルス爆撃機の部品について、リバースエンジニアリングを行うための業者を募集していることが話題になっている(beta.SAM.govThe DriveGIGAZINE)。

この募集は政府の調達情報公告システム「beta.SAM.gov」に3月26日に掲載されたもので、B-2爆撃機に搭載されているB-2負荷熱交換器のコアユニットをリバースエンジニアリングし、新しい熱交換器コアを製造するための技術を開発するのに必要なスタッキング、真空ろう付け、および溶接プロセスを開発しすることが求められている。このB-2負荷熱交換器(NSN 1660-01-350-8209FW)は、空気とエチレングリコール水(EGW)液体を使用し、冷却システム用の冷気を生成するものだとしている。

B-2爆撃機は機密性の高いステルス爆撃機として開発されている。このため、開発当時の熱交換器の設計図や開発技術が秘密主義・特定の職人への依存などの理由から失われた可能性があるため募集が行われたとする指摘があるようだ。
15224104 story
ビジネス

ウーバーイーツの配達員報酬、一部地域で3割減に。労働組合が抗議 182

ストーリー by nagazou
3割減 部門より
日本のUber Eatsが、3月から配達員に支払われる報酬を一部地域で引き下げたそうだ。福岡県と京都府の各エリアだという。配送距離などに応じて算出する基本料の水準が変更され、その影響により酬総額は平均で約3割下落したとみられるとのこと。事前に詳細な内容の告知がなく変更されたとする話も出ているようだ。労働組合「ウーバーイーツユニオン」はあまりにも不当だとして抗議を行ったという。共同通信によれば他の地域にも適用される可能性がある模様(マネーボイス東京新聞共同通信)。

あるAnonymous Coward 曰く、

報道やSNS上の反応などによると、報酬がダウンしたエリアは福岡県と京都府の各エリア。配送距離などに応じて算出する基本料の水準を下げ、報酬総額は平均で約3割下落したとのことだ。

情報元へのリンク

15224111 story
グラフィック

ポラロイド、キャンディーを出力できる3Dペン「Candy Play Pen」を発売 6

ストーリー by nagazou
ペン型の3Dプリンタまだ生きてたのか 部門より
headless 曰く、

自由な造形のキャンディーを出力できる3Dペン「Candy Play Pen」をポラロイドが発売した(製品情報FOODBEASTの記事Polaroid 3DのFacebook記事動画)。

ポラロイドは既に3Dペンを発売しているが、Candy Play Penはプラスチックのフィラメントの代わりにシュガーフリーのキャンディーカートリッジを使用することでキャンディーを出力する仕組みだ。キャンディーカートリッジはストロベリー/オレンジ/レモン/アップル/グレープ/コーラの6つの味。この種の製品としては世界初だという。

Candy Pen Play本体にはストロベリー味のカートリッジ4本やUSB-C電源ケーブルなどが同梱され、英MenKindでは35英ポンドで販売されている。別売りのカートリッジは40本入りで20英ポンド(各味)、6つの味が8本ずつ入ったミックスカートリッジは23英ポンドとなっている。キャンディーカートリッジはポラロイドの他の3Dペン用フィラメントとは形状が異なるため、Candy Play Pen専用となる。

15224158 story
ガンダム

ガンダム世界に文春が存在したらという企画のムック「文藝春秋が見た宇宙世紀100年」 42

ストーリー by nagazou
歴史群像を超えるのは大変では 部門より
以前、学研から歴史群像シリーズとして「機動戦士ガンダム一年戦争全史【上】【下】」が出ていたことがあったが、その文春版とも言えるバージョンが出るようだ。発売日は3月8日で定価は1980円(PR TIMESMANTANWEB)。

宇宙世紀に文藝春秋あったらという企画で、内容は文春おなじみのスクープ記事風になっている。オデッサ作戦でのエルラン中将の内通の裏話などがあるようだ。取り扱う範囲は一年戦争からデラーズ紛争、Zガンダムにおけるグリプス戦役、ZZや逆襲のシャアにおける 第一次・第二次ネオ・ジオン戦争、ユニコーンのラプラス事変までを取り扱っている。コロナ禍の影響で公開の遅れている「閃光のハサウェイ」に関する内容も含まれている模様。

あるAnonymous Coward 曰く、

https://www.jiji.com/jc/article?k=000000063.000043732&g=prt
まあ流石に「監修:サンライズ」(つまり文藝春秋社お得意の透破抜きではない)だそうだ。

情報元へのリンク

15224084 story
お金

みずほ銀行で7日に再々トラブル発生。プログラム更新中にエラー発生 55

ストーリー by nagazou
うーん 部門より
みずほ銀行で7日、先月の28日からの8日間で3回目となるトラブルが発生した。公式サイトによれば、カードローン取引のプログラム更新中にエラーが生じたことから、7日9時00分から13時30分の間はATM・みずほダイレクトでの定期預金取引の一部停止を行ったとしている(みずほ銀行日経新聞)。

これに伴いネットバンキングで取引不成立が9件ほどあった。個別に連絡して対応を行ったとしている。コールセンターには問い合わせも発生したという。前回のようなキャッシュカードや預金通帳が取り出せなくなる事態は起きなかったという。2月28日の件では定期預金のデータを移行をきっかけとして大規模なATM障害が発生した。

このトラブルにより、同行は以前から計画していた21年1月末時点で1年以上記帳がない口座に関しては、デジタル口座であるみずほe-口座に段階的に切り替える計画を当面見合わせるとする発表を5日に行っていた(「みずほ e-口座」への自動切替時期の見直しについて[PDF])。
15224144 story
海賊行為

米海軍によるBitmanagement製ソフトウェア不正使用をめぐる裁判、控訴裁判所は不正使用ありと判断 16

ストーリー by nagazou
不正使用 部門より
headless 曰く、

やや旧聞となるが、ドイツ・Bitmanagement Softwareが米海軍にソフトウェアを大量に不正コピーされたと訴えている裁判で、二審の連邦巡回区控訴裁判所は不正使用があったと2月25日に判断している(TorrentFreakの記事裁判所文書: PDF)。

問題のソフトウェアは3D地理データを視覚化する「BS Contact Geo」というもので、Bitmanagementは海軍が38台分のライセンスで数十万台のPCにインストールして著作権を侵害したと主張している。一方、海軍側はライセンス数が同時使用数であり、著作権侵害はしていないと反論。一審の連邦請求裁判所では、Bitmanagementが数十万台のインストールを承認していたと判断し、訴えを棄却している。

控訴裁判所では連邦請求裁判所の調査結果に異論はないとしつつ、海軍が同時使用ライセンス数を守っていたかどうかを考慮していない点を指摘する。ライセンス条件となっている同時使用数の追跡を行っていなかったという指摘に海軍は反論しておらず、海軍に著作権侵害の責任があると判断。一審判決を破棄して連邦請求裁判所に差し戻し、損害額を算定するよう命じた。

15224142 story
Windows

1bitずらしたドメインを取得してトラフィックを盗み見る方法 124

ストーリー by nagazou
なるほど 部門より

PC Watchの記事によれば、1bitずらしたドメインを取得することで、別ドメインのトラフィックを取得する「bitsquatting(ビットスクワッティング)」と呼ばれる手法があるそうだ。実際にこの手法を実験した人物がいるという(remy氏のサイト)。

その実験を行ったremy氏は「windows.com」を対象として検証をしたという。同氏によるとwindows.comの場合は、こうした32のドメインのうち、14は誰でも購入可能な状態だったことから、14のドメインをすべて購入し、アクセスしてくるパケットをキャプチャした。その結果、

その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。

同氏は、このようなアクセス数の多いドメインに関しては、bitsquattingという手法は実用性が十分にあるとしている。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...