Facebook、ジャーナリストの「認証」を導入。ただし……
「Facebookのジャーナリスト認証クラスは、単なるFacebookの使い方テスト」
日本では話を聞きませんが、Facebookがジャーナリストの認証(journalism certification)とかいうものを導入したそうです。一連のフェイクニュースの関連か何かなのでしょうか。
その中身について(テストで落ちた人が)紹介するのが上記記事。あくまでも「Facebookの使い方」の(しかもかなり細かい)テストであって、ジャーナリズムに関する内容ではないそうです。
たとえばスクリーンショットにある質問。
2.「どうすればジャーナリストがFacebookとInstagramの最大限活用できるか」より、ライブ・マップに関する次の項目のうち正しいものはどれか(3項目を選択すること) ・青い点は、ライブ映像の終了時に映像が消えることを示す。 ・映像を見ている人の数や、彼らの所在について知る方法はない。 ・ブックマークは、複数のビデオをチェックする唯一の方法である。 ・ライブ・マップは利用者の位置で開く。
ちなみに正解は「2つ目以外」。筆者は「3つ目以外」と回答して間違えた模様です。
まあ、どうでもよさそうな話ではありますが。
Mirai派生のHajimeボットネット、元祖と戦っていた模様
Mirai(みらい)ボットネットのソースが公開されたことを受けて、その派生として作られたHajime(はじめ)については以前も触れました。
また、最近は脆弱なIoT機器を使用不能にするBrickerBotという「明らかにやりすぎ」な防衛マルウェアもありました。
さらに、この2つを足して1.5で割ったような事例が起きていることが判明しました。
「機器を守るため、とあるハッカーが他よりも早い侵入を試みる」
Hajimeの解析が進み、その実態が明らかになりました。主な特徴は次の通りです。
- ボットネットの通信は分散型P2Pネットワークを採用(MiraiはC&Cサーバを使用)
- 感染すると、4つのポート(23, 7547, 5555, 5358)を閉じる
- DDoSなどの攻撃は行わない(他マシンへの感染は行う)
- プロセスやファイルの隠蔽を図る
- 10分に1回、ターミナルに次のメッセージを出力(※記事では「terminal」とあります。標準出力?)
Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED Stay sharp!
(一介のホワイトハット、システムの防御に参上
重要なメッセージは、こうやって署名しておくもんだ!
Hajime作者より
連絡は以上。気を抜くなよ!)
以上の特徴から、このHajimeは「正義のハッカー」と自認する者が展開している可能性が高いと考えられています。
Hajimeは既に1万以上のノードがあるとされており、少なくともHajimeが稼動している機器にMiraiは(当面)入れないため、意義はあるにはあるのですが、ほとんどの場合、この行為自体が違法な上、機材が再起動された場合、(ファームウェアがアップデートされない限り)再びMirai等との取り合いになってしまいます。
脆弱なIoT機器をデストロイする攻撃あらわる
守備が堅い企業に侵入するには
IoTな「スマート」ディルド、セキュリティの杜撰さを指摘される
米Svakom社のSiime Eyeというディルド(写真はリンク先記事を参照)は、カメラとLEDを搭載しビデオ撮影ができるのだそうです。さらに近くのPCやスマートフォンにストリーミングもできるのだとか。ちなみにお値段は250ドル(約3万円)だそうです。
(そういう需要あるんですね……"The Fappening"の話を聞く限りはありそうですが)
例によって、この製品でもセキュリティはおざなりとのこと。
- WiFi APのパスワードは「88888888」
- WiFi APの名前は通常は固定(リンク先記事では東京に同製品のAPらしきものが見つかっている)
- APIパスワードはハードコード(空文字列)
- ユーザ名、IPアドレス、ポート番号もハードコード
- PCのブラウザでも普通にアクセス可能
- 詳細な(この製品には不要と思われる)設定もブラウザでアクセス可能
- JSONPを使うことでJavaScriptによる(ビデオを含む)データ抽出も可能
- Webインタフェースの脆弱性を突いて任意ファイルの読み書きも可能
とりあえず、もしこの製品をもっている人がいたら、WiFiパスワードだけは変更しておきましょう。
PCを修理サービスに出す際はご注意を。
米国の家電量販店Best Buyには、修理部門「Geek Squad」(日本語なら「オタク分隊ですかね)があるそうです。もし、ここに修理に出した後で、ハードディスクの中身を調べられるとしたら……。
「FBIが児童ポルノを探すためにGeek Squadの『密告者』に金を払っていたことが法廷資料により判明」
多くの州で、「顧客のPCに児童ポルノが見つかった場合の通報」が「法的に要求されていた(legally required)」そうです。ちなみに発見者には500~1000ドルが支払われていた模様です。現在の日本円なら6~12万円程度でしょうか。さらに、児童ポルノ検索ツールを開発した従業員もいたとか。
Best Buyは本件に対して「金銭を受け取った従業員がいたこと」に対して遺憾の意を表明しています。
米のISPプライバシー問題への反撃
米国での、プロバイダがブラウズ履歴などを自由に使って広告できるようになった問題について、対策が出てきています。
履歴を撹乱するツールたち
「プライバシー規制を抹殺する投票を受け、ユーザ達がウェブアクセス履歴の『汚染』を試みる」
1つは「ISP Data Pollution(ISPデータ汚染)」というpythonスクリプト。月に50GiB以下で、ランダムな単語の検索結果に基づいてWebをクロールします。
また、「RuinMyHistory(マイ履歴荒らし)」はWebサービスで、色々な有名サイト(の一部)をランダムにリダイレクトします。
「Noiszy」は、Chromeブラウザ用プラグインで、ユーザ自身が設定したサイトにアクセスします。
記事中にもありますが、これらのツールは「ノイズを追加」するものであり、有効性はあまり期待できないと考えた方がいいでしょう。
VPNやTorの利用
「VPNならプロバイダがあなたのデータを売るのを止められる ― しかしVPNも魔法の弾ではない」
VPNやTorは通信を完全に暗号化するため、プロバイダからは通信内容は見えません。しかし、VPNは運営会社をどこまで信用できるかが問題(自前でVPNサーバを立てれば確実ですが、その分コストと手間と技術が必要です)、Torは通信が遅くなるといったデメリットもあります。
州レベルでの規制
「連邦政府が許可しても州が認めない!」というわけで、プライバシー規制を求めて一部の州では独自に規制を
「少なくとも3つの州は、トランプが葬ったプライバシー規制の再整備を目指す」
メリーランド州、ミネソタ州、モンタナ州では、プライバシー規制のための動きがあります。
メリーランド州では、プロバイダを規制する州法に関して聴聞会を開いています。
モンタナ州では、2018年度の予算について、「顧客のデータを許可なしに販売するプロバイダには発注しない」という規定を入れました。
ミネソタ州でも、規制のための法案を練っています。
ただ、いずれも限界はあるでしょう(州法については、大手プロバイダ側は無視する構えですし、予算制約も、仮に全てのプロバイダが足並みを揃えたら効力を失います)。
それほどに強いのが連邦政府での決定であり、だからこそ問題というわけです。