パスワードを忘れた? アカウント作成
2016年8月 記事 / 日記 / コメント / タレコミ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2016年8月28日のタレコミ一覧(全10件)
12896024 submission
iOS

iOS 9.3.5、リモート脱獄のゼロデイ脆弱性を修正

タレコミ by headless
headless 曰く、
Appleは25日、iOS 9.3.5をリリースした。このバージョンで修正された3件のゼロデイ脆弱性は、連携させることでリモート脱獄が可能となるものだ(Appleサポートの記事Lookout Blogの記事The Citizen Labの記事Ars Technicaの記事)。

脆弱性はカーネル関連2件とWebKit関連1件で、それぞれアプリケーションによるカーネルメモリー漏洩(CVE-2016-4655)、アプリケーションによるカーネル特権での任意コード実行(CVE-2016-4656)、Webサイトを訪問することによる任意コード実行(CVE-2016-4657)となっている。これらの脆弱性はイスラエルのNSOグループによる「Pegasus」スパイウェアで使われており、脆弱性を確認したCitizen LabとSophosでは3件の脆弱性をまとめて「Trident」と呼んでいる。

NSOグループは「合法的な傍受」を可能にするスパイウェア製品を政府機関専門に販売するサイバー戦争企業だという。Pegasusはターゲットを攻撃用のWebサイトに誘導してiOSデバイスにスパイウェアをインストールすることで、メッセージや通話、電子メール、アプリのデータなどへのアクセスを可能にする。

脆弱性が発覚したのは、UAEの人権活動家で2015年にマーティン・エナルズ賞を受賞したAhmed Mansoor氏に対し、Pegasusによる攻撃が試みられたのが発端だ。UAEの拘置所で行われている拷問の証拠を見せるというリンクの張られた不審なテキストメッセージを受信したMansoor氏は、そのままメッセージをCitizen Labの研究者に送信。Citizen LabとLookoutの共同調査により、リンク先がNSOグループにつながる組織に属するものだと判明したとのこと。

iOSのリモート脱獄については、Zerodiumが昨年報奨金プログラムを実施し、1チームが賞金100万ドルを獲得している。ただし、リモート脱獄の脆弱性が実際の攻撃で使われていることが確認されたのはTridentが初めてのようだ。

Appleは招待者のみを対象にしたバグ発見の報奨金プログラムを秋から実施することを発表しているが、Appleの賞金20万ドルに対し、ブラックハット企業のExodusは賞金50万ドルを提示している。そのため、豊富な資金を持つAppleが脆弱性の発見に力を入れず、ヘルストラッカープラットフォームの買収Apple Musicでのアルバム限定配信にばかり金を使っているとの批判もみられる。
12896129 submission
セキュリティ

クレジットカードの不正取得者に偽の暗証番号を渡して金融機関にロックしてもらうというセキュリティ対策

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
お爺さんが、クレジットカード入りの財布に罠を仕掛けておいたというツイートが人気となっている。
https://twitter.com/yuk0117/status/769510031637131266

ツイートによると、罠を仕掛けていたのはツイート主の妹の知人のお爺さん。お爺さんは、クレジットカードが入っていた財布を落としてしまった。しかも、財布には暗証番号を記したメモも入れてあった。しかし、暗証番号は5つ記してあり、その全てはダミーだった。ATMでそのダミーを全て試すとロックされ、銀行から自分に連絡がくることが狙いだった。

そして後日、本当に連絡がきたという。伝聞なので正確なことはわからないが、クレジットカードを不正に取得した犯人が連続して複数回にわたりダミーのパスワードを入力し、ロックされて使用不能になったか、クレジットカードがATMで回収されたのかもしれない。

クレジットカードやキャッシュカードの発行を申し込むと時に暗証番号を設定するが、生年月日や電話番号などから類推できる番号は設定できないことが一般的になった。これをさらに進め、あらかじめ個人情報から類推できる複数の番号を登録しておき、その番号が入力されたらより少ない試行回数でロックするといった仕組みを提案してみたい。
12896211 submission
日本

もし不発弾処理費用が自腹になったら、どうする?

タレコミ by masakun
masakun 曰く、
戦時中に投下され私有地から見つかった「不発弾」の処理費用をだれが負担するかで裁判が始まったという(朝日新聞)。

昨年3月大阪市浪速区の共同住宅建設現場で米国製2000ポンド普通爆弾(長さ 1.8m、直径0.6m)が見つかり、5月9日に発見現場から半径300メートルを避難させて陸上自衛隊の第103不発弾処理隊が不発弾を処理したという(大阪市報道発表資料)。そのとき処理費用として市から576万円を請求された地主は速やかな処理のために支払いに応じたものの、「すぐに用意できる金額ではなく、頭が真っ白になった」という。そのため今年4月大阪市に費用の返還を求めて大阪地裁に提訴した。

民法第207条「土地の所有権は、法令の制限内において、その土地の上下に及ぶ。」とあるため、大阪市は争う構えだ。その一方で大阪市は7月に国に訴訟当事者として参加するよう促す「訴訟告知」の手続きをとり国の責任を問う方針だという。

なお朝日新聞の調べによると、神戸市(米軍250キロ爆弾)や大阪府八尾市(米軍250キロ爆弾)の事例では土地所有者が支払ったが、東京都品川区(旧日本軍15センチ砲弾)や浜松市(米軍16インチ艦砲弾【推測】)、宮崎市(米軍500キロ爆弾)では自治体が費用を負担したという。興味深いことに宮崎市の地域防災計画「その他の災害対策編」では「不発弾処理対策」の一環として、『市長は、「不発弾等交付金交付要綱」に基づき、県を通じて国(総務省大臣官房総務課)に交付申請を行う(参考 昭和48年10月30日 総管第524号の都道府県知事あて総理府総務副長官通達)』と定められている。宮崎市が不発弾等交付金を受け取り、費用を精算できたのはなぜだろうか。

12896217 submission
ビジネス

中国人観光客の爆買いが終了、原因はボッタクリ?

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
一時期世間を賑わせた中国人観光客の「爆買い」が収束しているという話が伝えられているが、その原因として円高や関税ではなく、観光客向け店舗によるボッタクリ価格の可能性が指摘されている(日刊SPA!)。

この説の根拠として、例えば中国人観光客向けに大きく売り上げを伸ばしたラオックスが挙げられている。同社は旅行代理店とキックバック契約を結び、中国人観光客を誘致して売上を伸ばしていたが、商品の多くは他の店舗と比べて2~3割も高かったという。こうした手法は中国の旅行代理店では一般的だったが、次第にそうした情報が一般人にも浸透し、また一般の店舗でも免税手続きができることが広まったことから、こうしたビジネスは成り立たなくなってきたようだ。

爆買いブームを受け中国語の案内やスタッフを充実させた店舗も多いが、キックバックの横行から、逆にそうした店舗には疑いの眼差しが向けられてしまっているという。

情報元へのリンク
12896487 submission
ビジネス

三菱重工客船建造事業、約10年ぶりに受注した超大型客船で大赤字を出し廃止の瀬戸際

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
朝日新聞の記事によると、三菱重工業の客船建造事業が、約10年ぶりに受注した超大型客船で大赤字を出したため、廃止の瀬戸際にあるそうだ。

同社の同事業は100年以上の長い歴史があるが、戦後は旅客機の普及で40年間以上作らなかった。1990年から満を持して復活したが、建造中の火災等のトラブルがあり、最後の建造から次の受注まで約10年空いたそうだ。
ところが、最後の10年間の間に、客船建造市場では全客室にネット設備を設けるのが当たり前になる等、デジタル化が進んでいて、その技術の無い三菱重工は、設計遅れや建設やり直しで、大赤字になったそうだ。

雇用の面だけでなく、同社も含め客室等の細かい作業が得意な日本の製造業の特徴を生かすためにも、同社には頑張ってもらいたいものだ。
12896609 submission

Operaのブラウザーデータをシンクするサービスからユーザーデータが漏洩、詳細を調査中

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
Operaは最近、そのブラウザー事業を中国のコンソーシアムに売ることに合意したが、今週はそのサービスの一つが、サーバーをハッカーに侵入されたため、ユーザーのパスワードをリセットした。

情報元へのリンク
12896692 submission

リアルに帰ってきたくなくなる──VR内デスクトップ表示が示す未来はユートピア? ディストピア? 1

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
今週、PANORAに掲載した記事でTwitterでの反響が大きかったものは「 バーチャルメイドと仕事も可能!「カスタムメイド3D2 VRβ」最新パッチでデスクトップ表示を実現」というニュースでした。 さらに今回のアップデートで、現実のPCディスプレーなどで見ているデスクトップをミラーリングしてバーチャル空間の中に表示できるようになりました。例えば、VRHMDをかぶったまま、バーチャル空間の部屋でだらだらとウェブを巡回したり、動画や音楽を楽しんだり、Officeアプリで仕事をしたりといったことを実現してくれます(手元のキーボードが見えないのが難点ですが)。
12896723 submission

[gamescom]ガチャは日本だけのものじゃない。ヨーロッパ市場で受けるガチャの作り方とは

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
昨今のスマートフォンゲームを語る場合,「ガチャ」を無視することはできないだろう。無論,ガチャのない優れたゲームはいくらでもあるが,一般的に言ってガチャをマネタイズに取り入れたゲームのほうが高い売上を達成している傾向があるのもまた事実だ。

 そんなガチャの仕組みと,それをどうしたらヨーロッパ市場で利用できるかという講演が,gamescomと同じ会場で開催されたGDC Europeで行われていたので,レポートしたい。ガチャのヨーロッパローカライズのみならず,ヨーロッパ勢がどれくらいガチャを研究しているかを測る意味でも,貴重な講演である。

情報元へのリンク
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...