米でサイバー攻撃への反撃を認める法案が提出
「サイバー攻撃の被害者に、攻撃側への攻撃を止めるためのハッキングを認める法案が提案される」
米国のコンピューター詐欺ならびに悪用対策法(CFAA)に対する改正案が提出されました。修正案はACDCといいます。ACDCはActive Cyber Defense Certainty Actの略で、積極的サイバー防衛保証法といったところでしょうか(Certaintyが扱いづらいのですが)。
この法案は、サイバー攻撃の被害者に対して反撃を認めるものですが、制限もあります。
- 攻撃側に蓄積されたデータの破壊は認められない
- 他人への物理的なダメージは禁止
- 公共の健康や安全への脅威の発生は禁止
- ハッキングは、「偵察」または「非侵襲的な手段による現在の攻撃の停止」の目的のみに限定
法案では、「ボットネットからの攻撃に対して侵入して、攻撃行為をやめさせる」といったケースが想定されています。ボットネットを構成する端末の管理者は、多くの場合は悪意がないため、それ以上の攻撃は禁止というわけです。
ちなみに2016年5月には、この法案の元ともいえる「ボットネット防止法」という法案が提出されました。この時は、法執行機関がハッキングするという内容になっており、反対が多く廃案となっています。
もっともこの法案でも、「被害」の実際的な認め方や攻撃者の確定を含めて色々と問題点があるような気がします。
Windows10のエクスプローラ広告を消す設定
Windows10は、広告に関して、OS内部に広告を導入するという、Android以上のアグレッシブさを見せていますが、先日「ついにエクスプローラにも」という話題が出ました。
この広告を消す設定は、英語記事だといくつか見つかるのですが、日本語だとあまりないような。そもそも日本語版Windows10でここに広告が出たという報告も、個人的にはまだ見ていませんが。
これ、通常の「設定」(スタートメニュー左下のもの、コントロールパネルを大半置き換えたもの)にはないようです。
代わりに、エクスプローラのオプションから設定します。「表示」リボンの「オプション」です。
出てきたダイアログで、「表示」タブを開き、下の方にある「同期プロバイダーの通知を表示する」のチェックを外してOKボタン。これで設定完了です。
注意点が2つあります。
- もしかしたら、他の機能にも影響があるかもしれません。
- Creators Updateなどの大型アップデートで設定が戻る可能性があります。
Subway、鶏肉50%報道に別方式の試験結果で反論
先日、カナダのテレビ局CBCが、「Subwayのチキンは実際の鶏肉が50%程度」と述べて、大いに話題になりました。
この件については、当初から「DNAの量で元の成分の分量を推定することはできない」という意見が出ていました。
海外でも「DNAテスト(という、この目的に向いてないもの)を、食物科学の専門ではない研究所が分析した」ことに疑惑がもたれていました。
一方のSubway側も、第三者である企業2社に分量分析を依頼し、大豆の分量はごくわずか、という結果を取得、発表しました。
「Subway、鶏肉50%という計量結果に対してデータを公開」
今回の調査方式はELISAというものです。Wikipediaのページでは、特異性の高さと定量性の良さを兼ね備えた方式とあります。
2社の評価結果は「3 parts-per-million」「5.3ppm」。鶏肉の割合でないのが残念ですが、そのためには異なる組成を全て挙げる必要があるのでしょうね。
記事の(更新情報を除く)末尾の段落(レストランの食事には少なからず色々な成分が入ってるし、全体的に塩分が多いことを忘れないように)はまったくもってその通りかと思います。
移民の電話やPCのデータを押収する法案、ドイツで提出
「ドイツ、電話やノートPCのデータを移民申請者から押収へ」
ドイツは、2015年に大量の移民を受け入れたものの、その後国内では移民問題が噴出しています。そんな中、内務省から新しい法案が提起されました。
この法案は、ドイツへの入国を希望する移民のうち、パスポートを持たない人や、偽装書類を所持している人を対象に、スマートフォンやPCなどのデータを押収するというものです。現状では、こういったデータの取得は当人の同意があった場合に限定されています。
もちろんドイツ国内でもプライバシー侵害としてこの法案に反対する声もありますが、一方で欧州各国はスマートフォンを用いた移民の追跡について、技術系企業に提案を求めていますし、国によっては既に今回のドイツでの案を実施しています。
WDの「My Cloud」シリーズNASに特大の脆弱性
Western Digitalは「My Cloud」という名前を2種類の意味で使っています。
- ウェブサービス My Cloud
- NAS製品 WD Cloudシリーズの製品名(多数あり)
このうち後者の製品は、「NASを外からでも手軽に使える」というタイプのものです。
しかし、この製品(の一部?)に脆弱性が発見されました。
「Western DigitalのMyCloud NASをハックする」
https://blog.exploitee.rs/2017/hacking_wd_mycloud/blog.exploitee.rs
記事は英語ですが、PHPが分かる人なら普通に読めると思います。ちょっとびっくりするコードが出てきます。
なお、現在、脆弱性はそのままです。先ほど紹介したリンクから分かるように、このNASは外からアクセスすることが前提なので、脆弱性はそのまま侵入を許す可能性につながります。解決策は……たぶん外からのアクセスを禁止するか、自分でスクリプトを書き換えることでしょうか。
ところで、脆弱性がそのままなのに詳細情報が公開されている件ですが、理由が記事末尾付近の「Responsible Disclosure」に書いてあります。
Exploitee.rsにおいて、私達は通常はベンダーと協力し、脆弱性情報を適切に公開するよう努めています。しかし、前回(2016年)のラスヴェガスでのBlackHatのPwnie Awardsで、私達は(セキュリティ・)コミュニティにおけるベンダーごとの評判を知りました。特に、このベンダー(WD)は、報告を受けたバグの重大さを無視したことで「最悪ベンダー対応賞」を受賞しました。今回のバグ群が無視された場合、「責任ある開示」にはなっても脆弱なデバイスがネット上に長期にわたり残されてしまいます。その代わりに私達はコミュニティに対してこの問題を警告し、利用者が自ら、これらのデバイスがインターネットからアクセスできないよう隔離することに期待しています。そのために私達は全ての調査結果を公開し、パッチの早期公開を促すものです。
なお、文中にあるPwnie Awardsについては下記をどうぞ。確かに2016年の受賞は「WD MyPassword Drive」となっており、説明の冒頭からキツいことが書いてあります。
http://pwnies.com/winners/pwnies.com
脆弱な状態での全公開については、やはり議論はあると思いますが、とにかくWDのNASを使っている方はご注意ください。
Googleの荒らし抑止システムPerspective、簡単に突破される
先日、Googleが荒らし抑止を狙ってPerspectiveというAPIを出してました。
既にNYTimesやWikipediaでも使用されているというこのPerspectiveですが、あいにく簡単に破れることが判明しました。
「Googleの対荒らしAIはタイプミスが弱点、研究者が発見」
ワシントン大学の研究者が発表した論文によれば、危険と想定される単語をタイプミスなり空白などを入れることで(例:「idiot」(バカ)に空白を挿入して「i d i o t」など)、容易に評価を高めることができるそうです。
一方、危険と想定される語を用いつつも、notなどで打ち消している文章については、逆に評価が低くなることも判明しています。つまり「意味」は全く反映できてないということですね。
ということは、Perspectiveって古典的なNGワードをスコア制にした程度のもの……なのでしょうか?
Google、携帯キャリアとネットワークインフラ技術で提携
「新世代モバイルネットワークに向けた提携について」
Googleは、複数の携帯キャリア(インドBharti Airtel、韓国SK Telecomを含む)との間で、ネットワークサービスのインフラに関して提携を行うと発表しました。
詳細は不明ですが、本文にある文言からある程度推測できそうですね。
- SDNフレームワークによりキャリアネットワークは新しいサービスやトラフィックのパターンにも適応 -コモディティなハードウェアを使いつつ安価かつ素早く新機能を提供
- 単純化されたワークフロー管理と自動テスト
HTTP/2やAMPなどとあわせて、Googleがネット全体に自らのアーキテクチャを埋め込んでいこうとする力には驚かされます。