Web技術情報、Mozillaの一括管理に移行

「Webブラウザメーカー、Web技術文書をMozillaのポータルに移管することで合意」 www.bleepingcomputer.com Microsoft、Google、Samsung、W3CとMozillaは、Web技術文書を全てMDN (Mozilla Developer Network)の下で一括管理することで合意しました(Samsung…

Microsoft、秘匿データベースに侵入されていたことが発覚

「独占報道:マイクロソフト、2013年に秘密のデータベースがハックされていたことを検知するも秘密裏に対応」 www.reuters.com 「マイクロソフト、2013年に秘密の脆弱性データベースがハックされたことを決して公開せず」 arstechnica.com マイクロソフト社…

InfineonのRSAライブラリに脆弱性、スマートカードやGitHubにも影響

「数百万の高セキュリティ暗号鍵、新しく見つかった不具合により弱体化」 arstechnica.com ・JVNの情報 http://jvn.jp/vu/JVNVU95530052/jvn.jp ・発見者による記述 https://crocs.fi.muni.cz/public/papers/rsa_ccs17crocs.fi.muni.cz KRACKの話題でもちき…

豪州でF-35を含んだ軍事情報が盗まれた件について

「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」 arstechnica.com 「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」 www.zdnet.com オースト…

オランダデータ保護機関、Windows10を違反認定

世の中的にはKRACKが大騒ぎですが、その分、日本語でも情報が比較的あるので、こちらでは割愛します(公式サイトは読みましたが)。 さて、今回の本題。 「オランダデータ保護機関:マイクロソフトはWindows 10においてデータ保護法に違反」←公式(英語) ht…

米EquifaxとライバルTransUnion、訪問者を偽Flashに導く

「EquifaxのWebサイト、再びやられる。今回は偽Flash更新ページへリダイレクト」 arstechnica.com 「EquifaxのライバルTransUnionも、サイト訪問者を悪質なページへ転送」 arstechnica.com 1.5億人分のSSN(社会保障番号、米国のマイナンバー)等を流出させ…

スバル車のキーレスエントリーに脆弱性

「スバル車、未パッチの脆弱性利用でキーレスエントリーの複製が可能に」 www.bleepingcomputer.com タイトルの通りなのですが、スバル車の一部のキーレスエントリーは、1回正規リモコン(fob)の電波を受信できれば、複製が可能ということが発覚しました。…

カスペルスキーの件の続報と国家の監視

「いかにしてイスラエルはロシアのハッカー達が全世界から米国の機密情報を漁っていたことを知ったのか」←今回の元記事 www.nytimes.com 「イスラエル、カスペルスキーをハックし、NSAにツールの流出を伝える」 www.washingtonpost.com 「カスペルスキーのア…

スキミング詐欺を検出する?アプリが登場

「ガソリンスタンドでのクレジットカードスキミング詐欺を検出できるAndroidアプリ」 www.bleepingcomputer.com 電子工作では有名なSparkFunのCEOであるNate Seidle氏が、「Skimmer Scanner」というAndroidアプリを公開しました。 こちらはSparkFun公式の記…

ネットストーカー容疑者、VPNログが決定打となり逮捕

「ネットストーカー容疑者、VPN業者からFBIへのログ供与の後に逮捕される」 www.bleepingcomputer.com ルームシェア先の人々(など)にネット上での膨大なハラスメントを行った容疑で、24歳の男性が逮捕されました(詳細の記述もありますが、身元を偽って犯…

WSJ、NSA情報窃取をカスペルスキーに関連付ける報道

「ロシアがNSAの秘密情報をカスペルスキーの協力のもと窃取したと報道、現在わかっていることは何か」 arstechnica.com WSJ(ウォールストリートジャーナル)において、NSAの秘密情報をロシアが窃取したとの報道がありました(元記事(有料))。 冒頭のリン…

クラックされた米SEC、セキュリティ予算不足の訴えがあったことも判明

「SECハッキング、セキュリティチームの予算懇願の中で発生していたことが判明」 arstechnica.com 先月(2017年9月)に米SEC(証券取引委員会)にクラッキングがあり、EDGARシステムを通じて、(株式のインサイダー的取引につながりうる)企業の重要情報に非…

2つの国でISPが政府のスパイウェア配布に関与か

「FinFisherスパイウェアの配布について、ISP関与の疑い」 www.bleepingcomputer.com 少なくとも2つの国で、プロバイダ(ISP)が、FinFisher(FinSpy)と呼ばれるスパイウェアの配布に関与していた可能性がある、という指摘が、ESETにより行われました。 FinFish…

CCleanerマルウェア混入事件、詳細が予備サーバから判明

少し前の話ですが。 「Avast、CCleaner事件の第2段階マルウェアの影響を受けた企業の完全リストを公開」 www.bleepingcomputer.com 有名ユーティリティCCleanerにマルウェアが仕込まれた(しかもセキュリティソフトAvastの傘下になっていた)件で大いに騒が…

Macを遠隔ロックし身代金を要求する事件が発生中?

「ハッカー、iCloudの"Find My iPhone"機能を悪用し遠隔でMacをロック、身代金を要求する」 www.macrumors.com タイトルでだいたい分かる感じですが、iCloudのアカウント名とパスワードが知られた場合(所定の機能が有効であれば)、そこからログインしてMac…

iOSでわずかな権限から大量の情報を取得する方法

「iOSアプリの権限に抜け道が発覚、詳細な位置情報を画像のメタデータから取得可能」 www.bleepingcomputer.com Google傘下のFastlane Tools創設者Felix Krause氏によれば、iOSの権限の抜け道を使うことで、位置情報を含む様々な利用者情報を抜き出すことが…

Android向け「GO Keyboard」、利用者データを無断で大量に送信

「人気のAndroid用キーボードアプリ、利用者データを収集し外部コードを実行していることが判明」 www.bleepingcomputer.com AdGuardの技術者の調査によれば、GO Keyboardという入力アプリがインストール直後に大量のデータを送信しているとのこと。送信デー…

DataContractJsonSerializerのJSON出力を改行・インデントする

C#

先日の記事の補足です。 mokake.hatenablog.com DataContractJsonSerializerでJSONを生成すると、改行なしに1行になってしまいます。機械処理上はいいのですが、やはり人が見る場合もあるので、そこは考えてほしいところ。 ちょっと調べてみたら、実は簡単に…

Equifaxの大規模漏洩・その後

米国の消費者信用情報企業ビッグ3の1つ(英語版Wikipediaで見る限り、売り上げはExperianより下の2位のようです)であるEquifax社の大規模漏洩は、つい先日CEO辞任となりましたが、件数(1億4000万件以上)だけでなく、色々と他でも注意すべき問題が出ていた…

Eto.Formsプルダウンメニューの翻訳対応

Eto.Formsの記事を書いてきましたが、実はEto、プルダウンメニューに若干の問題があります。それは、「ファイル」メニューと「ヘルプ」メニュー。 プルダウンメニューの項目名を普通に日本語(正しくは英語以外)にすると、思わぬ結果になってしまいます。し…

カスペルスキー、米政府組織での利用が禁止に

「米国、政府組織のシステムでのカスペルスキー製品の利用を公式に禁止」 www.bleepingcomputer.com 国内でも出てますが、一応。何回も出てくるので、Kasperskyタグも作りました。 mokake.hatenablog.com 米国の国土安全保障省から、政府内でのカスペルスキ…

アングラフォーラムでランサムウェア禁止論議

「アンダーグラウンドのハッキングフォーラム管理者達、ランサムウェア販売について再検討」 www.bleepingcomputer.com サイバー攻撃の調査を行うAnomaliやFlashpointによれば、2016年のはじめごろから、アングラ掲示板において、ランサムウェアの販売を今後…

C#でgettextを使う

ソフトウェアを作る時、日本語だけでOKというケースは多くはないでしょう。現代ではUnicodeが普及するなど、国際化(i18n)の基本部分は整備されてきましたが、文字列リテラルをソースに埋め込んだ状態だと、各国語対応(l10n)の手間が膨大になってしまいま…

Tor Browserに総額1億円以上の賞金

「脆弱性攻略コード仲介業者Zerodium、Tor Browserゼロデイに100万ドルの賞金を設定」 www.bleepingcomputer.com 先日の件の、言ってみれば続きです。 mokake.hatenablog.com ゼロデイ脆弱性の攻撃コードを買い上げるZerodiumは、Tor Browserに対する期間限…

百度傘下企業のセキュリティソフト、利用者データを吸い出していた模様

「中国のモバイル・アンチウイルスアプリ、利用者データの吸い出しが発覚」 www.bleepingcomputer.com 百度(Baidu)の一員とされるDU GroupによるAndroid向けアプリ「DU Antivirus Security」が、利用者データ(連絡先や通話ログ、位置情報など)を吸い出し…

Tor検索エンジン登場。その名は「いちだん」

「Shodanっぽいダークウェブ検索エンジン、Ichidan」 www.bleepingcomputer.com IoT機器検索サイトとして有名なShodanと似た感じの、Torネットワーク内(.onion領域)の検索サイト「Ichidan」ができました。 ドメインに対して空きポートやサービスを調べるこ…

Bluetoothの実装脆弱性「BlueBorne」の情報が公開

「数十億のデバイス、クリック不要のBluetooth攻撃の危機に晒される」 arstechnica.com https://www.jpcert.or.jp/at/2017/at170037.htmlwww.jpcert.or.jp Bluetoothの実装面の脆弱性をつく攻撃「BlueBorne」の情報が公開されました。 攻撃可能な条件は脆弱…

EU、全てのアップロードファイルに対する検査義務付けを検討

「欧州連合、侵襲的なアップロード・フィルタを『リンク税』の代替として検討」 www.bleepingcomputer.com EUでは、エストニアが中心となって、アップロードファイルに対する著作権検査フィルタの義務付けが検討されています。 EUでは、大手メディア企業の要…

DataContractJsonSerializerの詳細動作

C#

以前、.NET標準のDataContractJsonSerializerの利用について少し書きました。 mokake.hatenablog.com このクラス、アプリケーション設定の保存や、ある種のデータの保存にも便利ですが、本格的に使おうとすると、詳細な動作が気になります。 データを格納す…

米Best Buy、カスペルスキー製品の扱いを停止

「Best Buy、ロシア企業製のセキュリティソフトの販売を停止」 http://www.startribune.com/best-buy-is-pulling-security-software-from-russian-firm-from-shelves/443274603/www.startribune.com 「カスペルスキーのアンチウイルス製品、スパイ行為への懸…