パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

2019年9月 記事 / 日記 / コメント / タレコミ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2019年9月15日のタレコミ一覧(全14件)
14003556 submission
セキュリティ

SIMカードの脆弱性を悪用する攻撃「Simjacker」

タレコミ by headless
headless 曰く、

SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事Android Policeの記事The Next Webの記事Ars Technicaの記事)。

Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているという。

具体的な攻撃としては、ターゲットにSimjacker用に細工したSMSを送り付け、ターゲットに気付かれることなくIMEIや位置情報などを記載したSMSを送信させるというものが挙げられている。エクスプロイトは複数の国の政府が特定の個人を監視するために使用しているそうだ。攻撃用SMSに含めるSTKコマンドを変えることで、偽情報を記載したSMS/MMSを送信することや、ターゲット側から電話をかけさせて音声を聞くこと、Webブラウザーを起動して別のマルウェアを実行させること、SIMカードを無効化することなども可能となる。マルウェアのリンクを送付するなど、SMSがサイバー攻撃に使われるのは珍しくないが、マルウェアそのものを含むSMSが現実に使われるのは初めてのようだ。

こういった攻撃を防ぐためAdaptiveMobile Securityでは顧客の携帯通信会社と協力しているほか、GSM Association(GSMA)やSIMallianceと脆弱性情報を共有している。その結果、GSMAではGSMA CVDプログラムを通じたモバイルコミュニティー全体での情報共有が行われ、SIMallianceではS@T仕様に関する新しいセキュリティガイドライン(PDF)を公開している。

なお、Simjackerの詳細については、10月2日~4日に英国・ロンドンで開催されるVirus Bulletin International Conference (VB2019)10月3日に発表予定とのことだ。

14003601 submission

Apple、「子ども向け」カテゴリのアプリに条件付きで他社の広告や分析機能の組み込みを認めるガイドライン変更

タレコミ by headless
headless 曰く、

日本語版にはまだ反映していないが、AppleがApp Store Reviewガイドラインを改訂し、限定的な条件付きで「子ども向け」カテゴリのアプリに他社の広告や分析機能組み込みを許可する文言を追加した(The Next Webの記事Mac Rumorsの記事)。

これまで「子ども向け」カテゴリのアプリでは他社の広告や分析機能の組み込みが禁じられていた。改訂版でも基本的には変わりないものの、他社の分析機能については広告IDやユーザー・デバイスを特定可能な情報をサービスが収集しない、という条件で認められる可能性がある。他社によるコンテンツ連動型の広告についても、表示する広告が年齢に適しているかどうかを人の手で確認することを含む、子ども向けカテゴリのアプリ用のプラクティスやポリシーに関する文書を公開しているという条件で認められる可能性がある(1.35.1.4)。

改訂版ではこのほか、アカウント設定に他社のログイン機能やソーシャルログイン機能のみを使用するアプリに対し、Appleアカウントを使用するログインオプションの実装を義務付ける「Sign in with Apple」の項(4.8)が追加されている。

14003609 submission
idle

機長のコーヒーがこぼれて緊急着陸したエアバスA330

タレコミ by headless
headless 曰く、

トーマスクック航空が運航するコンドル航空116便のエアバスA330で今年2月、機長のコーヒーがこぼれたことが原因で緊急着陸するトラブルが発生していたそうだ(英航空事故調査局の最終報告書: PDFThe Registerの記事Aviation Safety Networkの記事)。

116便はドイツ・フランクフルト発メキシコ・カンクン行き。出発後に出されたコーヒーを機長がトレイテーブルへ置いたままにしていたところ、カップがひっくり返ってしまったという。コーヒーの大半は機長の膝にこぼれたが、少量が機長側のオーディオコントロールパネル(ACP1)にこぼれ、機内アナウンスに使用するVHF送信機能が使用できなくなる。回路を切り離すこともできずにそのまま航行していると、ACP1が過熱して電子回路が焼ける臭いが操縦室に立ち込めたそうだ。さらに20分ほど経過すると副操縦士側のACP2も過熱してボタンが溶け始め、ACP1からは少量の煙が出始めたため、アイルランド・シャノン空港に連絡して緊急着陸を決定。ACPの故障により通信は困難だったが、無事着陸して乗客乗員337名は全員無事だったとのこと。

その後、ACP1/2を取り外して調査した結果、ACP1の故障は液体の浸入によるものだと確認された。一方、ACP2の故障の原因は報告されていないようだ。

エアバスでは飲み物のカップをカップホルダーに置くことを推奨しているが、航空会社の用意したカップが小さく、カップホルダーに置くと取りにくくなるため、トレイテーブルへ置くことが常態化していたという。また、カップに蓋があれば被害を最小限にとどめられた可能性もあるが、蓋も用意されていなかったとのこと。このトラブルを受けて航空会社ではカップ用の蓋を全路線に用意し、使用の必要があることを客室乗務員に通知したそうだ。さらに、カップホルダーの大きさに合うカップの手配もしているとのことだ。

14003618 submission
idle

ウォンバットがサイコロのように角ばった糞をする仕組みを解明した研究グループ、イグノーベル物理学賞を受賞

タレコミ by headless
headless 曰く、

ジョージア工科大学とタスマニア大学の研究グループが2019年のイグノーベル物理学賞を受賞した。授賞理由はウォンバットがサイコロのように角ばった糞をする仕組みの研究(The 2019 Winners授賞式動画)。

この研究はスラドでも昨年紹介しているが、研究グループは交通事故で死んだウォンバットの腸を取り出して内容物を調べたのち、内容物を取り除いた腸に長い風船を入れて膨らませるなどして腸壁の伸び率の違いにより糞が角ばった形になることを解明している。研究グループのPatricia Yang氏とDavid Hu氏は2015年にもイグノーベル物理学賞を受賞しており、今回が2回目の受賞だという。2015年の受賞理由は、哺乳類のほぼすべてが約21秒(±13秒)で膀胱を空にするという生物学的原則の検証、というものだ。

イグノーベル賞では日本の研究者が2007年以降毎年1名以上受賞しているが、今年は北海道医療大学の研究グループが化学賞を受賞した。授賞理由は典型的な5歳児が1日に分泌する唾液の総量の予測。この研究は1995年に発表されたもので、授賞式には35年前の被験者の1人だった研究者の息子も出席したとのこと。

このほかの各賞・授賞理由は以下の通り

  • 医学賞(イタリア・オランダ): ピザがイタリアで作られて食べられた場合、病気や死から守る力があるという証拠の収集
  • 医学教育賞(米国): 動物を訓練するクリッカートレーニング法による外科医の整形外科手術訓練
  • 生物学賞(シンガポール・中国・オーストラリア・ポーランド・米国・ブルガリア): 磁化したゴキブリの死体が生体と異なる振る舞いをすることの発見
  • 解剖学賞(フランス): 裸および着衣のフランスの郵便配達員における陰嚢温度の非対称性の測定
  • 工学賞(イラン): 人間の赤ん坊に使用するおむつ交換マシンの発明
  • 経済学賞(トルコ・オランダ・ドイツ): 危険な細菌を感染させる力が最も強い紙幣はどの国のものかを検証
  • 平和賞(英国・サウジアラビア・シンガポール・米国): かゆみを掻くことで与えられる快さの測定
  • 心理学賞(ドイツ): 口にペンをくわえることがその人を笑顔にし、その人をより幸せにすることの発見 ― およびそうではなかったことの発見
14003746 submission
ロボット

サウジアラビアでドローン攻撃により、王国の石油生産能力の約半分、世界の1日の石油供給量の5%に影響

タレコミ by Anonymous Coward
14003804 submission
ビジネス

Firefoxの法人向け有料サポート、成功するか

タレコミ by headless
headless 曰く、

現在は削除されているが、Mozillaは9月初めからFirefoxの法人向けページに有料サポート (Firefox premium support for enterprise)の情報を掲載していた(Internet ArciveのスナップショットNeowinの記事gHacksの記事The Next Webの記事)。

掲載されていた情報によれば、有料サポートの料金設定はサポート対象のFirefoxインストール1件につき10ドルからとなっており、24時間サポートが提供される。また、非公開でのバグ報告や回答時間の保証、サービスレベル契約 (SLA)による重大なセキュリティバグ修正、専用のポータルサイトなども提供される。

ただし、「Contact Sales」ボタンをクリックすると表示されるのは問い合わせフォームとFirefox Enterpriseのサインアップ画面を合わせたようなページで、有料サポートなどの法人向けサービスに興味があるかという設問もみられる。この件に関する発表も特に行われていないようで、本格的に開始している雰囲気ではない。

14003809 submission

米カンサス州で虚偽通報により男性が警察に射殺された事件、通報を唆したユーザにも懲役15ヶ月の判決

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
米カンサス州ウィチタで2017年に起きた「男が人質を取って立て籠もっている」との虚偽通報により、家主の男性が警察に射殺された事件では、既に虚偽通報の主犯に対して懲役20年の判決が下っているが、続いて主犯に通報を唆した男性(19)にも懲役15ヶ月の判決が言い渡された。

この事件で出動した現地警察はいわゆるSWATチームではなかったが、一時期、米国の一部ゲーマーの間で、気に入らない相手を黙らせる方法として同種の虚偽の通報で警察を出動させる"swatting(SWAT行為)"と呼ばれる行為が横行し、問題化していた。

情報元へのリンク
14003882 submission

eスポーツの賞金大会優勝者、JeSU Jrライセンスの規定により優勝賞金500万円は受け取れず

タレコミ by fujisaki
fujisaki 曰く、
9月14日、スマホ「パズドラレーダー」プロ選手の賞金制大会「ドラゴンブースト presents パズドラチャンピオンズカップ TOKYO GAME SHOW 2019」が行なわれ、「パズドラ」のJeSU ジャパン・eスポーツ・Jrライセンスを持つゆわ選手が優勝した。優勝賞金は500万円だったが、Jrライセンスの規定により賞金の贈呈はない。

ガンホー 代表取締役社長CEO/エグゼクティブプロデューサーの森下一喜氏は、「ゆわ選手はプロになって初めての優勝だが、まだ中学生。末恐ろしい。今回は賞金は出せないが、高校生になったらバリバリもらえる。また頑張ってもらえれば」と締めくくった。

情報元へのリンク
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...