パスワードを忘れた? アカウント作成

こちらは、shibuyaさんのユーザページですよ。 最新から新しい日記やタレこみを確認できますよ。

15372449 submission
セキュリティ

Chaos Computer Club、独キリスト教民主同盟には2度と脆弱性を知らせない

タレコミ by headless
headless 曰く、

Chaos Computer Club (CCC) は 4 日、独キリスト教民主同盟 (CDU) のソフトウェアに脆弱性があっても今後知らせることはないと宣言した( CCC のブログ記事The Register の記事heise online の記事 [1][2] )。

発端は 5 月、CCC の活動家 Lilith Wittmann 氏が CDU のキャンペーンアプリ「CDUConnect」のデータベースに格納された大量の個人情報がインターネットで公開状態になっていることを発見したことだ。個人情報には選挙スタッフ18,500人と支持者1,350人のほか、戸別訪問した数十万人の反応を記録したデータも含まれる。Wittmann氏はCDUと当局に責任ある開示を行い、データベースはオフラインとなった。

しかしWittmann氏は3日、CDUConnectアプリに関して容疑者リストに含まれるので住所を連絡するようにとの通知を捜査当局から受け取ったことを明らかにする。CDUのStefan Hennewig氏は訴状がWittmann氏を対象にしたものではないと主張しつつ、Wittmann氏の名前を記載したのは誤りだったと謝罪した。

それでもCCCは将来的な法的問題を回避するため、CDUのシステムに関連する脆弱性の報告は回避せざるを得ないとし、匿名での無責任な脆弱性開示が増えてもCCCの責任ではないと述べている。

15372447 submission
プリンター

2020 年のプリントアウト枚数は全世界合計 2.8 兆枚、前年から 14 % 減少

タレコミ by headless
headless 曰く、

IDC の調べによると 2020 年のプリントアウト枚数は前年から 14 % 減少し、全世界合計で 2.8 兆枚だったそうだ(プレスリリースThe Register の記事)。

2019 年まではペーパーレスの推進により緩やかに減少していたプリントアウト枚数だが、2020 年は COVID-19 パンデミックの影響で在宅勤務が増加したため、レーザープリンターによる印刷が 16 % 減と大幅に減少し、特に A3 デバイスでの減少が大きかったという。その一方で、インクジェットデバイスによる印刷は 4 % 増加している。これまでは主に個人用の印刷に使われていた家庭のインクジェットデバイスだが、パンデミック以降は仕事や学校関連での利用が急速に進んだ。

IDC がパンデミックで在宅勤務となったフルタイム労働者を対象として 2021 年 5 月に実施した調査によれば、自宅での印刷のうち仕事に関連する印刷物の割合は全世界で 50 % を占めており、日本では最も多い 57 % となっている。一方、学校/教育関連の印刷は全世界で 18 % であり、日本を除くアジア太平洋地域 (24 %) とラテンアメリカ (23 %) で比率が高くなっている。日本 (14 %) は北米 (13 %) に次いで低い。

2021 年の印刷枚数について、IDC は前年から 2 % のリバウンドを予想する。2022 年以降は再び減少傾向となり、パンデミック前よりも急速に減少していくと予想される。それでも 2025 年に予想される印刷枚数は 2.3 兆枚であり、全世界で毎分 39 のサッカー場を覆う 440 万枚が印刷されるとのことだ。

15372444 submission
お金

ロシア・モスクワ地下鉄、顔認識技術による運賃精算サービス「Face Pay」のパイロットプログラムを開始

タレコミ by headless
headless 曰く、

ロシア・モスクワの地下鉄、モスクワメトロ フィリョーフスカヤ線で顔認識技術による運賃精算サービス「Face Pay」のパイロットプログラムが実施されているそうだ(The Next Web の記事モスクワメトロのニュース記事Face Pay 特設サイト)。

パイロットプログラムへの参加には事前登録が必要だ。申し込み後に送られてくる電子メールの指示に従ってモスクワメトロのテスト版モバイルアプリをインストールし、顔写真と銀行口座を登録する。あとは駅の自動改札で顔をスキャンすればゲートが開いて通過できる。特設サイトでは定期的に電子メールで送られる指示に従ったタスクをすべて実行するようにとも書かれているが、どのようなタスクなのかは不明だ。

15372441 comment

shibuyaのコメント: わたしが自分で検温するときは舌下 (スコア 1) 2

by shibuya (#4086942) ネタ元: ワクチン接種の罠

>地図

アウェイの土地にいた頃/行き来する必要になったときは可能な限り
文庫サイズのポケット地図を支度したり、携帯電話を使ってた頃は
地図アプリも使っていたが、引きこもりがちになってからは移動中に
そうすることもめっきり減った。PCやスマートフォン用のそれを
使用しないわけではないが参考程度の役割が減っている。

個人持ちの自分専用の体温計と消毒用アルコール常備という条件の上だけど。
図書館や市役所などの出入口の顔面額で自動計測してくれるスマホは
だいたいそれより温度低めに出るような印象があります。

// 診療機関で体温計を渡された時は他人同様腋下で測ります。

15372431 submission
マイクロソフト

プレビュー版 Microsoft Edge のセキュリティ強化モード「Super Duper Secure Mode」

タレコミ by headless
headless 曰く、

Microsoft Browser Vulnerability Research (VR) チームがプレビュー版の Microsoft Edge でテスト中のセキュリティ強化モード「Super Duper Secure Mode (SDSM)」について解説している(VR のブログ記事The Verge の記事On MSFT の記事The Register の記事)。

Web ブラウザーに対する攻撃の主なターゲットは JavaScript エンジンのバグだ。中でもパフォーマンスを向上させる「JIT (Just-In-Time Compilation)」に関連する問題が大きな割合を占め、V8 に関する脆弱性で 2019 年以降に発行された CVE の 45 % を JIT エンジンが占めているという。さらに、Intel によるハードウェアベースのエクスプロイト緩和技術 Control-flow Enforcement Technology (CET) のように、V8 JIT と共存させることのできない脆弱性緩和技術も多い。

SDSM は JIT を無効化して脆弱性緩和技術を有効化するというもので、現在の SDSM では 2 つの JIT (TurboFan / Sparkplug)を無効化するとともに、CET が有効化される。パフォーマンス向上技術の JIT だが、無効化しても通常のブラウジングで体感できるような差は出ないようだ。今後はさらなる脆弱性緩和技術の有効化や、Web Assembly サポートの追加を行う計画だという。

SDSM を有効にするには、プレビュー版 Microsoft Edge (Bata / Dev / Canary) で「試験段階の機能 (edge://flags)」の「Super Duper Secure Mode (edge://flags/#edge-enable-super-duper-secure-mode)」を「Enabled」にしてブラウザーを再起動すればいい。

VR チームでは SDSM プロジェクトを楽しんで進めていく計画で、公式にするにはまだ早すぎることもあって面白い名前を付けたとのことだ。

15372427 submission
アップル

Apple、米国内のデバイスで児童性的虐待画像をスキャンするなど子供を守る取り組みを強化

タレコミ by headless
headless 曰く、

Apple が米国内の Apple デバイスを対象として、子供を性的虐待から守る取り組みの強化を発表した(Apple - Child Safety9to5Mac の記事Mac Rumors の記事The Verge の記事)。

取り組みの中心となるのは自動性的虐待素材 (CSAM) の拡散防止だ。まず、「メッセージ」アプリでは子供が性的に露骨な写真を送受信しようとすると警告して保護者にも通知し、受信した写真にはぼかしがかけられる。性的に露骨な写真はデバイス上の機械学習によって検出され、Apple に写真が送信されることはない。

また、iOS /iPadOS デバイスで写真を iCloud 写真へ保存する際には、全米失踪・被搾取児童センター (NCMEC) などが提供する既知の CSAM 画像のハッシュとの照合をデバイス上で実行する。照合結果は暗号化されたセーフティーバウチャーに格納されて写真とともに iCloud 写真へ保存される。Apple は iCloud 写真に保存された CSAM コンテンツが閾値を超えた場合にのみセーフティーバウチャーへのアクセスが可能となり、確認の上でアカウントの無効化や NCMEC への通報などを行うとのこと。

最後はオンラインでの危険を避けるための Siri と検索による 児童と保護者へのリソース提供だ。Siri と検索はユーザーが CSAM 関連の検索を実行しようとしたときの介入も行う。これらの機能は iOS 15 / iPadOS 15 / watchOS 8 / macOS Montereyで利用可能になる。米国以外での提供に関しては国や地域ごとに決定するとのこと。

しかし、善意の計画であっても悪用される可能性があるため、EFFエドワード・スノーデン氏、WhatsApp 責任者のウィル・キャスカート氏、ジョンズ・ホプキンズ大学で教鞭をとる暗号専門家のマシュー・グリーン氏などをはじめとして、さまざまな懸念が示されている。主な懸念点としては誤検知やハッシュのコリジョンによる攻撃、独裁政権による悪用、テキストへの対象拡大といったものが挙げられる。

15372286 submission

イギリスの集団免疫獲得説終了のお知らせ

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
先週から底打ちしてリバウンドが始まって新規30000人、死者数も100人以上に戻った
たった2週間の天下だったとさ

https://en.wikipedia.org/wiki/COVID-19_pandemic_in_the_United_Kingdom
2021-07-24 5,669,260(+31,285) 129,130(+86)
2021-07-25 5,697,912(+28,652) 129,158(+28)
2021-07-26 5,722,298(+24,386) 129,172(+14)
2021-07-27 5,745,526(+23,228) 129,303(+131)
2021-07-28 5,770,928(+25,402) 129,430(+127)
2021-07-29 5,801,561(+30,633) 129,515(+85)
2021-07-30 5,830,774(+29,213) 129,583(+68)
2021-07-31 5,856,528(+25,754) 129,654(+71)
2021-08-01 5,880,667(+24,139) 129,719(+65)
2021-08-02 5,902,354(+21,687) 129,743(+24)
2021-08-03 5,923,820(+21,466) 129,881(+138)
2021-08-04 5,952,756(+28,936) 130,000(+119)
2021-08-05 5,982,581(+29,825) 130,086(+86)
2021-08-06 6,014,023(+31,442) 130,178(+92)
2021-08-07 6,042,252(+28,229) 130,281(+103)
15371889 submission
ボットネット

日本国内のMirai亜種感染機器の約半数はロジテック製ルータ、未だ脆弱な約1500台が残存

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
旧聞となるが、IoTマルウェア「Mirai」に感染したホストの観測を行っている情報通信研究機構(NICTER)の解析チームは5月13日、今年に入ってからの日本国内での観測状況をまとめ、感染機器の約半数がロジテック製ルータの「LAN-W300」シリーズであるとの見方を示した(NICTER Blog)。

「LAN-W300」シリーズは2012年に見つかったアクセス制限不備の脆弱性(JVNDB-2012-000051)を突かれ、不正送金事件に悪用されてしまったという苦い過去を持つ、いわくつきの無線LANルータだ。事件発覚後、業界を挙げて対策版ファームウェアへ更新する取り組みが行われたが、2015年の時点で6000台ほどが未更新のまま残っているとみられていた(Wikipedia)。

Mirai(とソースには書かれているが、JPCERT/CCの発表などを総合するとMiraiの亜種のことだろう)はRealteck SDKの脆弱性(JVNDB-2014-008039)を突いて感染を拡大しているとみられ、「LAN-W300」シリーズでは2013~2014年に掛けて対策済みのファームウェアが公開されているにもかかわらず、現在も対策されない脆弱な機器が一定数市場に残存しているということが今回の調査で判明したという。

こうした脆弱な機器はボットネットの一部となってDDoS攻撃の踏み台に悪用されてしまうことから、ファームウェア更新の適用、またはファームウェアの自動更新機能を有する機器への買い換えが呼び掛けられている。

情報元へのリンク
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...