パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

13766427 story
Twitter

朝日新聞のTwitterアカウント、乗っ取られて詐欺の宣伝に使われる 15

ストーリー by hylom
ご注意を 部門より
あるAnonymous Coward曰く、

11月5日に朝日新聞・新潟総局のTwitterアカウントが乗っ取られていたそうだ。このアカウントは、ビットコイン詐欺の宣伝に利用されたとみられる。朝日新聞は6日、日経xTECHの取材に対して乗っ取り被害を認めている(日経新聞)。

問題となっているビットコイン詐欺は、「送金した金額よりも多い額のビットコインを送り返す」などとうたってビットコインの送金を求めるもの。乗っ取られた朝日新聞のアカウントからは「I sent 1 BTC and got back 10 BTC!」「THANK YOU」「+10BTC」といった書き込みが行われていたようだ。

最近Twitterではアカウントを乗っ取ってビットコイン詐欺関連の広告Tweetを投稿する事件が増えており、6日には米出版社Pantheon Booksのアカウントが乗っ取られ、登録者名を「Elon Musk」に書き換えた上で詐欺Tweetを投稿する事件が発生していた(ITmedia)。乗っ取られた朝日新聞のアカウントは、このPantheon Booksのアカウント宛てのTweetも投稿していた。

13766393 story
バグ

iPhoneのSafariに不具合、特定のCSSアニメーションを使ったWebページを開くとクラッシュ 23

ストーリー by hylom
iOSでよくある話ではあるが 部門より
あるAnonymous Coward曰く、

特定のCSSアニメーションを使ったWebページをiPhoneのWebブラウザ(Safari)で閲覧すると、iPhoneに高負荷がかかりアプリがクラッシュする(再起動される)という問題が発見された(GIGAZINE)。

この情報を公開していたページ既に非公開にされているが、いやしくもプログラマー名乗る人が「iPhoneでCSSアニメーションさせたら落ちた!サイト作って公開しよう!」って安易な行動に出るのは職業倫理の意識が足りなすぎ。

13766251 story
インターネット

「熊本地震で動物園からライオンが逃げた」デマの写真、ヨハネスブルグでの映画撮影時の一コマだった 31

ストーリー by hylom
飼い慣らされたライオンだったのね 部門より

2016年に、熊本地震で被害にあった動物園からライオンが逃げ出して街中に放たれたというデマがあった(Togetterまとめ)。このデマは街中にライオンがいる写真とともにTwitterに投稿されてその後拡散されたのだが、その後このデマの投稿者は偽計業務妨害の疑いで逮捕されている(産経新聞)。withnewsによると、このデマで使われた写真は南アフリカ・ヨハネスブルグでの映画撮影時に撮られInstagramに投稿されていたものだったそうだ。

なお、ヨハネスブルグというと治安が悪いことが知られるが、それでもライオンが街中を歩くということはないという。このライオンはヨハネスブルクから1時間ほどのサファリパークで飼われていたもので、CMや映画などに出演されるよう訓練されているという。ただ、当初から映画撮影中の一コマだとは気づかず、南アフリカでは街中にライオンがいると勘違いする人もいたそうだ。

13765804 story
国際宇宙ステーション

ソフトウェアエラーで使用できなくなっていた国際宇宙ステーションロシア側のコンピューター、再起動で回復 78

ストーリー by headless
回復 部門より
ロスコスモスは8日、ソフトウェアエラー発生により使用できなくなっていた国際宇宙ステーション(ISS)ロシア側のメインコンピューターの1台が再起動により回復したことを発表した(プレスリリースGeekWireの記事)。

このコンピューターのトラブルをロスコスモスは6日に発表し、再起動で復旧するとの見方を示していた。ロシア側のコンピューターは3台で冗長性を持たせており、残りの2台で運用上の問題はなかったが、プログレス71補給機(16日打ち上げ予定)のドッキングに備えて信頼性を向上させるため、8日の再起動を予定していた。

再起動が行われたのはモスクワ時間8日12時5分(日本時間18時5分)。再起動は成功し、正常な動作が回復したという。その後、ISSが地球を1回半周回する間(約2時間)にテストが行われ、すべての機能に問題がないことを確認したとのことだ。
13765622 story
テクノロジー

中国・新華社でAI合成アンカーがデビュー 29

ストーリー by headless
分身 部門より
中国・新華社のニュース番組でAI合成アンカー(ニュースキャスター)がデビューしたそうだ(Mediumの記事Xinhuaの記事新浪科技の記事英語版動画)。

AI合成アンカーは新華社とSogou(搜狗)が共同開発したものだ。中国ではCortanaの妹XiaoIce(小冰)がお天気キャスターになっているが、XiaoIceがアイコンと声だけなのに対し、AI合成アンカーは普通の男性のような外見と声を持つ。これは実際の男性アンカーの映像と声をベースに合成されているためで、中国語版は邱浩氏、英語版はZhang Zhao氏(Zhao, Zhang。漢字表記不明)の「分身」だという。ただし、この件以外の情報は見つけられず、2人の詳細は不明だ。AI合成アンカーは本物のアンカーとは違い、疲れることなくニュースを伝え続けることができると主張している。
13765610 story
ストレージ

自己暗号化SSDの中にはパスワードを知らなくてもデータを復元できる製品があるという研究結果 14

ストーリー by headless
暗号 部門より
ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事ラドバウド大学によるアドバイザリ: PDF論文ドラフト: PDFThe Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。
13765103 story
ソフトウェア

Microsoft、SysinternalsツールのLinux移植を開始 36

ストーリー by headless
開始 部門より
MicrosoftがWindowsのトラブルシューティングツール「Sysinternals」ツールのLinuxへの移植を開始したそうだ(MicrosoftのDavid Fowler氏のツイートBetaNewsの記事Softpediaの記事)。

第一弾の「ProcDump for Linux」はプロセスを監視し、指定した条件に従ってコアダンプを出力するコマンドラインツールだ。現在のところLinuxカーネルバージョン3.5以降が必要となり、Windows版の全機能をサポートしているわけではないとのこと。ソースコードはGitHubで公開されており、ライセンスはMIT Licenseとなっている。
13765095 story
お金

StatCounterへのサイバー攻撃でビットコインを盗むコードが暗号通貨取引サイトに埋め込まれる 3

ストーリー by headless
攻撃 部門より
世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事Gate.ioの発表The Registerの記事Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterのトラッキングコードを使用するサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。悪意あるコードは既にcounter.jsから削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。
13765093 story
バグ

ライセンスサーバーの問題でWindows 10 Pro/Enterpriseのライセンス認証が一部で無効になるトラブル 34

ストーリー by headless
無効 部門より
Microsoftのライセンスサーバーの問題により、Windows 10 Pro/Enterpriseのライセンス認証が無効になるトラブルが8日から一部の環境で発生した(Microsoft Communityの記事Neowinの記事BetaNewsの記事Windows Centralの記事)。

手元のPCの1台(Windows 10 Pro)では特に問題ないように見えたが、設定アプリの「更新とセキュリティ→ライセンス認証」を見ると通常の「Windowsはデジタルライセンスによってライセンス認証されています」という表示が「Windowsはライセンス認証されています」に変わり、これまで存在しなかった「プロダクトID」「プロダクトキー」という項目が追加されていた。さらに、その後しばらくするとライセンス認証が無効になり、トラブルシューティングを実行すると「Windows 10 Homeのデジタルライセンスが見つかりました」と表示されるようになった。

Windows 10 Pro Insider Previewを実行する別のPCでも同様の問題が発生し、トラブルシューティングを実行すると「このデバイスではWindows 10 Pro Insider Previewを実行していますが、Windows 10 Pro Insider Previewのデジタルライセンスが見つかりました」と表示された。試しに指示通り「Windowsのエディションをアップグレード」してみたが、PCが再起動しただけで何も起こらなかった。なお、さらに別のPCでは特に問題は発生しなかった。

その後、9日昼までに最初の1台は再びライセンス認証が可能になった。Windows 10 Pro Insider Previewを実行するPCの方はライセンス認証できないままだったが、午後に再度起動してみたところライセンス認証された状態になっていた。

東部標準時9日午前(日本時間9日深夜~10日未明)の段階で、Microsoft Communityの記事には24時間以内に自動でライセンス認証が復活すると追記された。早く復活させたい場合はトラブルシューティングの実行が推奨されている。ライセンス認証が復活したとのコメントも増えているようだ。スラドの皆さんの環境ではいかがだっただろうか。
13764777 story
バグ

TI製低電力Bluetoothチップにリモートアクセスを可能にする脆弱性 9

ストーリー by hylom
またBluetoothか 部門より
あるAnonymous Coward曰く、

Texas Instruments(TI)のBluetooth Low Energy(BLE)チップに脆弱性が見つかった。このチップを採用した無線LANアクセスポイントに対し脆弱性を悪用することで、認証無しにネットワークに侵入できる可能性があるという(ITmediaGIGAZINE)。

イスラエルのセキュリティ会社Armisの研究者によって発見されたもので、問題のチップは「CC2640」や「CC2650」などで、CiscoやMeraki、Arubaなどが製品に採用しているとのこと。

今回の脆弱性は「BleedingBit」と名付けられており、悪意のあるトラフィックを送りつけることでバッファオーバーフロー攻撃を起こせるというもののようだ。これを採用したベンダー各社はすでにファームウェア更新などで対応しているという。

13764750 story
バグ

VirtualBoxの仮想NICに脆弱性、ホストで任意のコードを実行できる可能性 25

ストーリー by hylom
ピンポイントな 部門より
90曰く、

VirtualBoxに新たな脆弱性が見つかった。この脆弱性を悪用することで、仮想マシン内からホストOSで任意のコードを実行できるという(窓の杜GitHubで公開された脆弱性に関する情報)。VirtualBox 5.2.20以前が個の問題の影響を受けるという。

この脆弱性はVirtualBoxでデフォルトで選択される「Intel PRO/1000 MT Desktop(82540EM)」仮想ネットワークアダプタに起因するもの。悪用することでホストのring 3権限が取得でき、適当な別の脆弱性と組み合わせることができる。仮想デバイスをPCnetに変更するかNAT以外のモードに切り替えることで回避できる。

興味深いことに、発見者はこの脆弱性を0-dayという形で公開している。背景にはバグ報奨金に関して脆弱性発見者がベンダと共謀して公開を遅らせること、支払い基準が不透明なこと、(HeartbleedやMeltdownのように)名前をつけて大々的に騒ぐことなどへの不満があるようだ。

13764671 story
バグ

Microsoft Edgeブラウザに新たな脆弱性、リモートコード実行が可能 10

ストーリー by hylom
まだまだ出そう 部門より
あるAnonymous Coward曰く、

セキュリティ研究者であるYushi Laing氏と協力者のAlexander Kochkov氏は、Microsoft Edgeブラウザに関する2つの脆弱性を発見した。Yushi Liang氏は、Edgeブラウザへのゼロデイ攻撃の可能性を訴えている。彼らは、SensePostのWadi Fuzzerユーティリティの助けを借りてゼロデイバグを発見したという。Yushi Laing氏は、概念実証としてブラウザから電卓(Windows Calculator)アプリを表示した画像を公開している

なお、脆弱性の発見者に対して報酬を出す制度があるが、Webブラウザをターゲットにした新しい侵入コードを発見すると高額の報奨金が出るという。Liang氏は、安定して悪用できるコードの開発と完全なサンドボックスエスケープを達成すること、実行権限をSYSTEMにエスカレートする方法を探す目的で研究をしていたとしている(BleepingComputerITProSlashdot)。

13764652 story
テクノロジー

Lenovo、北京のキャンパスに無人コンビニエンスストアをオープン 7

ストーリー by hylom
無人店舗ブームは来るか 部門より
headless曰く、

Lenovoが中国・北京の新キャンパスに無人コンビニエンスストア「Lenovo Lecoo Unmanned Store(聯想来酷無人店)」をオープンしたそうだ(Lenovoの発表The Verge)。

この店舗では、入り口に設置されたタブレット端末で客の顔を認識し、客が品物を持って店から出ると自動でモバイルペイメントによる決済が行われるという。 無人店舗設置の目的は単なる利便性向上ではなく、顔認識技術をはじめとするさまざまな技術を向上させるパイロットプログラムとしての意味があるとのことだ。なお、あんまんが購入できるかどうかは不明だ。

13763917 story
Opera

Vivaidiのシェア、IE6に迫る 48

ストーリー by hylom
凄いのか凄くないのか 部門より

Net Applicationsによる2018年9月のデスクトップブラウザ市場シェア調査結果によると、Webブラウザ「Opera」の開発者らが手がけるWebブラウザ「Vivaldi」(過去記事)のシェアがInternet Explorer 6に迫っているという(マイナビニュース)。

Vivaldiのシェアは0.11%で、Internet Explorer 6のシェアは0.13%とどちらも非常に小さいが、Vivaldiは着実に利用者を増やしているようだ。

ちなみに同期間のシェアトップはChromeで66.28%、続いてFirefox(9.62%)、Internet Explorer 11(8.29%)となっている。

13762877 story
バグ

夏時間のせいで医療記録が飛ぶ 89

ストーリー by hylom
海外では問題ないと言ったのは誰だ 部門より
あるAnonymous Coward曰く、

夏時間が導入されてから100年が経過した。しかし、今では多くの人々が毎年2回、時刻を調整するという行為に疑問を持っている。欧州委員会も今年の8月に夏時間の廃止を提案している。夏時間は第一次世界大戦中にドイツで石炭使用量を減らすことを目的に作られたが、もはや時代遅れのアイデアた。ある調査によると、夏時間の開始時に消費者支出は少し増加するものの、終了時には3.5%低下するという。

現代的な問題もある。病院で最も使用されているとされる電子健康記録ソフトウェアシステム「Epic Systems」は夏時間に対応しておらず、トラブル時には時間を1時間戻すといった作業が強いられるという。しかも毎年繰り返し行われる。カリフォルニア州の集中治療室の看護師によると、夏時間変更時のトラブルで1時間分の電子記録保管が「なくなる」のだという。病院のスタッフは、手書きのチャートノートを作ることで対処しているという。

アメリカ医師会元会長のSteven Stack博士は、病院がこれらのシステムに何百万ドルも費やしていることを考慮すると、もはや容認できない事態だとしている(USA TODAYPBSONEWS HOURSlashdot)。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...