【読売新聞】　新型コロナウイルス対策のスマホ用アプリで「感染者と接触した」との通知が福井県敦賀市職員２４人に届いた問題で、県などは２５日、県内で同様に通知を受けたのが、市職員を中心に計７０人に上ると明らかにした。現時点で、同市役所を

Windows 10 May 2020 Update後のWindows Updateに変化あり：山市良のうぃんどうず日記（183） 「Windows 10 May 2020 Update（バージョン2004）」がリリースされ、1カ月が経過しました。新機能については、さまざまなメディアやブログ記事でご覧になっていることでしょう。今回は、筆者の視点で「Windows Update」に関連する“隠れた変更点”を紹介します。Microsoftの公式ドキュメントにはまだ見当たらない変更点もあります。 山市良のうぃんどうず日記 Windows 10 バージョン2004は自動更新ですぐに配布されることはない コロナ禍真っただ中の2020年5月27日（米国時間）、「Windows 10」の最新バージョン「Windows 10 May 2020 Update（バージョン2004、OSビルド19041）」がリ

テレワークかどうかは、もはや関係ない？　三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点：半径300メートルのIT（2/2 ページ） レポートに記された「IT側にもあった落ち度」こそ、誰もが見直すべき理由 そしてもっとも注目すべきは、今回明らかになったSNS以外の要因です。その一つは、多くの人にとって覚えがありそうな“ITを管理する側の落ち度”でした。 影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。 （特権アカウントを悪用され他機器にログインされたものと考えております。）これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。 これは、ウイルスに感染した社用PC内から読み取られたパスワードと、サーバの特権アカウント（a

2020年8月13日に読売新聞が報じたパプアニューギアに設置されたデータセンターに「重大な欠陥」があったとする記事についてここではまとめます。 Huaweiが構築したデータセンターに不具合 今回取り上げるのは読売新聞が2020年8月13日朝刊9面で報じた記事。 www.yomiuri.co.jp パプアニューギニアに中国の支援を受け設置された情報通信施設に重大な欠陥が確認され、整備費用の返済を拒否する意向というもの。 確認された不具合は「外部からシステムに侵入できる不備」で、パプアニューギニアはデータセンターの利用制限を行っている。被害有無は不明。 調査はオーストラリア政府の支援で行われ、システム設計の不備、旧式の暗号化技術といった問題が確認された。 導入にあたったHuaweiが故意にセキュリティ上の問題を残した可能性があると調査報告書に記載されている。 豪調査で問題発覚 解決には再構築

8/14の「noteの利用者IP流出騒動」で変わった状況楠栞桜氏のストーカーとされていた「ec」氏（ﾜｯﾁｮｲWW 7f"ec"-kAdmから）は、 アンチスレにおいて「楠栞桜本人ではないのか？」というのが定説となっていた。 もちろん「自身を褒めコラボ相手を貶す書き込み」を本人が行うとは考え難く、 アンチスレ外では「妄想乙」「奴らは糖質」との反応であった。 そんな中、楠栞桜がnoteに「誹謗中傷について適切な対処を行う」との記事をアップロードする。 ここから事態は大きく変わった。 8月14日、アンチスレにおいて楠栞桜のnote（件の記事）を眺めていたユーザが 「noteのソース眺めてたら、ecと同じIPがあるんだが」と書き込む。（ecはIP表示で5chに書き込んでいた） 発見時点では「これは本当にユーザーのIPなのか？（システム的な別の値なのでは？）」という疑念もあったが、note社が流出

Twitterでは、IPアドレスが個人情報かどうかとか、IPアドレスが投稿者のものだったと公表するべきだったかどうかとか色々な意見を見ました。 諸先生方の解説が既にありますので重ねて説明するのもn番煎じ感がありますが、「情報セキュリティを物語の形で伝える」という活動をしていますので、個人情報保護法上の個人情報の定義を知っておくことの大切さや、サービス提供側の心得として何が大切かということについて、作品としてまとめたいと思います。 『もし京姫鉄道で同じようなインシデントが起きたら』という設定で、書いてみようと思います。標記のインシデントを参考にはしていますが、もちろん架空の設定ですので、細かい点は実際のインシデントとは異なります。 4コママンガにする予定ですが、ちょっと時間がかかるので先行して執筆中の脚本を先に公開します。内容について問題等があれば、ご指摘いただければ幸いです。 完成版と解説

https://twitter.com/clockmaker/status/1294213347898843136 これ見たけどやらかしが低レベルすぎやしないか、ヒューマンエラーのレベルじゃないだろ とりあえずRails触れますって奴ととりあえずNuxt触れますって奴がガチャガチャやった結果にしか見えねえよ API設計が無茶苦茶だし、コードレビューもろくに実施されてねえだろうし、試験の観点はどうなってんだよって話だろ やっぱ優秀なエンジニアなんてどこにもいねえんだな、安心して寝るわ

2020年8月4日、ZDnetはハッキングフォーラム上で900を超える脆弱なVPNサーバーから取得した認証情報が公開されたと報じました。ここでは関連する情報をまとめます。 www.zdnet.com 何が起きたの 900件以上のVPNサーバー（Pulse Connect Secure）のパスワードを含む情報がハッキングフォーラムで公開された。その1割が日本国内のIPアドレス。 ファイル生成日より2020年6月末から7月にかけデータ窃取の不正アクセスが行われた可能性がある。 影響を受けたサーバーの場合、ファームウェア更新だけでなく、パスワード変更やセッション破棄を即行う必要がある。 1年以上前に修正された脆弱性悪用か データ窃取のために悪用された脆弱性は2019年4月に修正されたPulse Connect Secureの脆弱性CVE-2019-11510とみられる。 Bad Packetsの

ツイッターへの大規模ハックからたった2週間で、首謀者とされる17歳をなぜ逮捕できたのか？ 米連邦検事局とフロリダ州検事局は7月31日、ツイッターにおけるアカウントの大規模乗っ取り事件で、フロリダ州タンパ市在住の17歳など3人を訴追したと発表した。 バラク・オバマ前大統領、ジョー・バイデン前副大統領、マイクロソフト創業者のビル・ゲイツ氏、アマゾンCEOのジェフ・ベゾス氏、テスラCEOのイーロン・マスク氏などの著名人、アップルなどの著名企業を含む130件のアカウント乗っ取り、それらを使った被害額10万ドル（約1,000万円）を超す仮想通貨（暗号資産）詐欺事件――。 首謀者とされる17歳だけでも、その容疑は組織的詐欺、通信詐欺、個人情報の不正使用、不正アクセス、合わせて30件にのぼる。 事件が発覚したのが7月15日。それからわずか2週間後の逮捕だ。 高校を卒業したばかりという17歳は、月間利用が

2020年7月31日、アメリカ司法省は7月16日（日本時間）に発生したTwitterの多数のアカウントがハッキングされた事件を受け、事件の首謀者らを訴追したと発表しました。ここでは当局による一連の捜査方法について関連する情報をまとめます。 Twitterハッキング事件そのものについては以下の記事にまとめています。 piyolog.hatenadiary.jp 主犯は17歳の少年 米司法省が発表したハッキング事件で起訴されたのは米国人2名、英国人1名の3人。NYTの報道で名前の挙がっていた関係者4人の内、2人が含まれている。 起訴された3人の内1人は17歳（未成年）のため司法省サイトでは訴状等詳細な情報は公開されていない。ただしフロリダ州法によれば、今回の様な金融詐欺事件は未成年者であっても成人として起訴されるという。同州法執行局の発表では訴状や本名なども掲載されている。 訴状の内容から、T

自民党の「ルール形成戦略議員連盟」（会長・甘利明税調会長）が、中国発のアプリ利用を制限するよう、政府に提言する方針を固めた。日本で若者を中心に使われている動画共有アプリ「ＴｉｋＴｏｋ（ティックトック）」などが念頭にある。 ティックトックは、短時間の動画を簡単に編集・投稿できる。自治体が若者向けに政策を発信するため、ティックトックと連携する例も相次いでいる。一方、米政府は「利用すれば、個人情報が中国共産党の手に渡りかねない」（ポンペオ国務長官）として、自国から排除しようとしている。インドはすでに使用を禁止した。 こうした海外の動きを踏まえ、ルール形成戦略議連は２８日の会合で、有識者を招いて議論を始める。今後、会合を重ね、近く提言をまとめる見通しだ。 提言では、中国発のアプリの利用を制限するため、電気通信事業法などに「安全保障上のリスクを考慮する」といった条項を盛り込むよう政府に求める方向だ。

1969年7月20日の「アポロ11号」月面着陸は、宇宙開発史における画期的な瞬間だった。だがもし、この月へのミッションで宇宙飛行士たちが事故死していたとしたら、そして、この悲報をRichard Nixon大統領（当時）がテレビのニュースで米国の視聴者に伝えなければならかったとしたら？ このほど公開された、不安になるほどリアルなディープフェイク動画の中で、Nixon大統領は米航空宇宙局（NASA）のミッションが失敗して宇宙飛行士たちが死亡したと告げる。ディープフェイクは人工知能（AI）を応用した捏造動画を意味し、映像を加工することで、実際にはやっていないことをやったように、言っていないことを言ったように見せることができる。ディープフェイク用ソフトウェアの登場によって高度に改変された動画が出回るようになり、偽物だと見抜くのがますます困難になってきた。 Nixon大統領はディープフェイク動画の中

非常に感染力・拡散力が高く、PCにダウンロードされることでさまざまなマルウェア感染を引き起こす「Emotet」は近年、その被害の大きさから問題視されています。このEmotetのマルウェアファイルが、何者かに無害なGIFアニメーションへと置き換えられているという報告があがっています。 Emotet being hijacked by another actor | by Kevin Beaumont | Jul, 2020 | DoublePulsar https://doublepulsar.com/emotet-being-hijacked-by-another-actor-b22414352a7b A vigilante is sabotaging the Emotet botnet by replacing malware payloads with GIFs | ZDNet htt

WhatsApp is updating its mobile apps for a fresh and more streamlined look, while also introducing a new “darker dark mode,” the company announced on Thursday. The messaging app says…

米GPS機器大手ガーミンのスマートウオッチ（2017年8月31日撮影、資料写真）。(c)TOBIAS SCHWARZ / AFP 【7月26日 AFP】米GPS機器大手ガーミン（Garmin）のコンピューターネットワークで23日から障害が発生しており、同社が提供する航空・フィットネスアプリの両サービスが影響を受けている。ランサムウエア攻撃を受けているとの見方が出ている。 ガーミンは25日、同社のスマートウオッチやGPSサービスに保存されている顧客のデータは損なわれていないと発表した。同社は、「利用停止中にガーミン・コネクト（Garmin Connect）へアクセスすることは不可能だが、停止中にガーミンの機器から収集されたアクティビティーや健康に関するデータは端末内に保存され、ユーザーが端末を同期すればガーミン・コネクト上にデータが表示される」と述べた。 ガーミン・コネクトは、同社が提供する

2020年7月16日（日本時間）、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの？ 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ