読者です 読者をやめる 読者になる 読者になる

移民の電話やPCのデータを押収する法案、ドイツで提出

「ドイツ、電話やノートPCのデータを移民申請者から押収へ」

www.theverge.com

ドイツは、2015年に大量の移民を受け入れたものの、その後国内では移民問題が噴出しています。そんな中、内務省から新しい法案が提起されました。

この法案は、ドイツへの入国を希望する移民のうち、パスポートを持たない人や、偽装書類を所持している人を対象に、スマートフォンやPCなどのデータを押収するというものです。現状では、こういったデータの取得は当人の同意があった場合に限定されています。

もちろんドイツ国内でもプライバシー侵害としてこの法案に反対する声もありますが、一方で欧州各国はスマートフォンを用いた移民の追跡について、技術系企業に提案を求めていますし、国によっては既に今回のドイツでの案を実施しています。

WDの「My Cloud」シリーズNASに特大の脆弱性

Western Digitalは「My Cloud」という名前を2種類の意味で使っています。

このうち後者の製品は、「NASを外からでも手軽に使える」というタイプのものです。

trendy.nikkeibp.co.jp

weekly.ascii.jp

japanese.engadget.com

しかし、この製品(の一部?)に脆弱性が発見されました。

Western DigitalのMyCloud NASをハックする」

https://blog.exploitee.rs/2017/hacking_wd_mycloud/blog.exploitee.rs

記事は英語ですが、PHPが分かる人なら普通に読めると思います。ちょっとびっくりするコードが出てきます。

なお、現在、脆弱性はそのままです。先ほど紹介したリンクから分かるように、このNASは外からアクセスすることが前提なので、脆弱性はそのまま侵入を許す可能性につながります。解決策は……たぶん外からのアクセスを禁止するか、自分でスクリプトを書き換えることでしょうか。

ところで、脆弱性がそのままなのに詳細情報が公開されている件ですが、理由が記事末尾付近の「Responsible Disclosure」に書いてあります。

Exploitee.rsにおいて、私達は通常はベンダーと協力し、脆弱性情報を適切に公開するよう努めています。しかし、前回(2016年)のラスヴェガスでのBlackHatのPwnie Awardsで、私達は(セキュリティ・)コミュニティにおけるベンダーごとの評判を知りました。特に、このベンダー(WD)は、報告を受けたバグの重大さを無視したことで「最悪ベンダー対応賞」を受賞しました。今回のバグ群が無視された場合、「責任ある開示」にはなっても脆弱なデバイスがネット上に長期にわたり残されてしまいます。その代わりに私達はコミュニティに対してこの問題を警告し、利用者が自ら、これらのデバイスがインターネットからアクセスできないよう隔離することに期待しています。そのために私達は全ての調査結果を公開し、パッチの早期公開を促すものです。

なお、文中にあるPwnie Awardsについては下記をどうぞ。確かに2016年の受賞は「WD MyPassword Drive」となっており、説明の冒頭からキツいことが書いてあります。

http://pwnies.com/winners/pwnies.com

脆弱な状態での全公開については、やはり議論はあると思いますが、とにかくWDのNASを使っている方はご注意ください。

Googleの荒らし抑止システムPerspective、簡単に突破される

先日、Googleが荒らし抑止を狙ってPerspectiveというAPIを出してました。

www.itmedia.co.jp

既にNYTimesやWikipediaでも使用されているというこのPerspectiveですが、あいにく簡単に破れることが判明しました。

Googleの対荒らしAIはタイプミスが弱点、研究者が発見」

arstechnica.com

ワシントン大学の研究者が発表した論文によれば、危険と想定される単語をタイプミスなり空白などを入れることで(例:「idiot」(バカ)に空白を挿入して「i d i o t」など)、容易に評価を高めることができるそうです。

一方、危険と想定される語を用いつつも、notなどで打ち消している文章については、逆に評価が低くなることも判明しています。つまり「意味」は全く反映できてないということですね。

ということは、Perspectiveって古典的なNGワードをスコア制にした程度のもの……なのでしょうか?

Google、携帯キャリアとネットワークインフラ技術で提携

「新世代モバイルネットワークに向けた提携について」

blog.google

Googleは、複数の携帯キャリア(インドBharti Airtel、韓国SK Telecomを含む)との間で、ネットワークサービスのインフラに関して提携を行うと発表しました。

詳細は不明ですが、本文にある文言からある程度推測できそうですね。

HTTP/2やAMPなどとあわせて、Googleがネット全体に自らのアーキテクチャを埋め込んでいこうとする力には驚かされます。

Chromeバージョン56、BlueCoat等のプロキシ環境下で接続不能に

Chrome 56の暗号化処理アップデートにより、BlueCoatを使う数千のマシンが接続不能に」

news.softpedia.com

Google Chromeのバージョンが56になったことで、シマンテックのBlueCoatなどのプロキシ環境下で、通信が不可能になりました。この製品は、学校でも使われているのですが、米国の学校ではChromeBookが人気なため、ブラウザが事実上Chrome固定。このため、アップデートにあわせて外部接続不能、という事態に陥ったところもあるようです。

これは、Chrome 56が暗号化規格としてTLS1.3「のみ」を許可するようになったためです。BlueCoatはTLS1.2までしか対応しておらず、通信そのものが不可能になってしまったのです。

対策は、ブラウザごとに「chrome://flags/#ssl-version-max」にアクセスして、「デフォルト」を「TLS 1.2」に変更することです。

ところで、TLS1.3のドラフトはGitHub上にありますが、前掲記事にもある通り、この規格はまだ策定中(ドラフト)です。

TLS1.3については、2016年12月23日に書かれた次の記事に、「9月の」状況が書いてあります。

qiita.com

TLS1.3は、IETFでInternet-Draftとして発行されるものだけでもほぼ月1回、githubで公開されるものに至っては毎日、ちょっとずつ更新がかかっている状況

実際、日本で3月3日朝にアクセスした時は「March 02」となってました。

ちょっと、この状態での「TLS1.3以外は認めない」という対応は、Googleさんやりすぎじゃないですかねえ、と思わざるを得ません。ドラフトが日々変わる状況ですから、「TLS 1.3」といっても認識に相違が生じることもあるでしょう。

セキュリティのために可用性が失われる、というのはセキュリティ界隈の人にありがちな発想ですが、社会インフラ化している現在のインターネット上では行き過ぎに思えます。そこまでセキュリティを重視するなら、GoogleAndroid脆弱性が多くの端末が未対応な件だって、(たとえGoogleで確認できた実害が少ないといっても、そしてメーカーやキャリアの問題があっても)対応する責任があるんじゃないでしょうか。

RIAA等、ISPにフィルタリングを求める

先日英国で、検索エンジン側と著作権団体との間で、海賊版へのリンク順位を低下させる協定が結ばれましたね。

gigazine.net

一方、米国ではRIAA等がDMCA(デジタル・ミレニアム著作権法)を改訂し、プロバイダ側でフィルタリングを実施させるべきだ、という要求を出しています。

RIAA著作権団体、ISP海賊版フィルタの導入を要求」

news.softpedia.com

フィルタリングに加えて、サーバを提供する者に対しても、海賊版の削除に数日を要することは受け入れられない(ISPs taking days to deal with a takedown request is no longer acceptable.)とも主張しています。

ちなみに上記記事の後半にあるように、Googleには月間数百万件のリンク削除依頼が来るそうですが、その99%以上がGoogleではインデックス化さえされていないそうです。

FCC新議長、通信業者への規制の撤廃へ

FCC連邦通信委員会)は、オバマ政権下ではTom Wheeler氏が強力な消費者保護政策をとっていましたが、トランプ政権で新たに任命された新議長Ajit Paiは、かなり通信業者寄りの政策を進めています。

最近だけでも(ソースは偏りますが)次のような記事が次々と出ています。なお、背景として米国ではケーブルテレビ業界がかなりの力をもっていることを考慮する必要があります。

合併時の制約

「競争を望まないプロバイダに良いニュース、FCC議長から」

arstechnica.com

固定回線プロバイダの合併に際して、従来は広帯域通信競争を促すような条件をつけていたのに対して、それを外そうという話が多数流れているという話題。

プライバシー(ブラウズ履歴の広告利用を含む)

FCC、利用者のプライベートなデータを保護する規則を停止へ」

arstechnica.com

FCCのパイ議長、新しいプライバシー規則のブロックを急ぐ」

www.theverge.com

前委員長下で進められた、各種利用者データ(社会保障番号、財産や医療情報、ブラウズ履歴など)の保護をプロバイダに強制する規則の施行を保留する動きがあるという話題。ちなみに、この規制には「ブラウズ履歴を広告業者を共有する際は明示的な許諾を得ること」も含んでいます。

ネット中立性

FCCのアジット・パイ議長、ネット中立性を『間違い』と発言」

www.engadget.com

前体制下で規制の必要性が検討されようとしたものの、大統領選の結果を受けて共和党からの横槍で中止となった「ゼロ・レーティング(特定の通信だけ無料化する措置)」など、ネット中立性に対するあからさまな攻撃意思を示しています。

ネット中立性が損なわれると、キャリアが利用サービスごとに異なる接続料金を設定できてしまうため、キャリア傘下のサービス(と既存の大規模事業者)以外が使いづらくなり、新しいネットサービスの登場を妨げることが懸念されています。ちょっと極端な例としては「動画はdTV以外、特別接続料がかかります」といった世界を想像すると分かりやすいのでは。

それ本当?

FCCトップのアジット・パイ氏曰く「通信キャリアの無制限データ通信プランについて私に感謝するといい」」

arstechnica.com

最近米国では携帯キャリアが無制限データ通信プランを展開して話題になっていますが、これを自分お手柄として述べています。

この記事はそれに対する反論です。そもそも無制限通信プランは昨年8月にT-mobileが導入、Sprintはその前から導入済みなど。