機械学習にバックドアを埋め込む研究が発表

少し古い話ですが。 「AI学習アルゴリズムにバックドアや処理改変をしかけられる可能性が指摘される」 www.bleepingcomputer.com ニューヨーク大学の研究者達が、ディープラーニングにバックドア等をしかける研究について発表しました。 論文は次のURLからダ…

「クラウドでチェック」なセキュリティツール、データ漏洩を指摘される

「次世代セキュリティシステムのトップメーカー、テラバイト級の顧客データを漏洩していると批判を受ける」 www.bleepingcomputer.com Carbon Black EDR (Endpoint Detection and Response)というセキュリティ製品は、ホワイトリストをもっており、それに該…

ペッパーなどに対するハッキングデモが公開

「家庭用ロボットは簡単にハックされ持ち主を監視、あるいは攻撃できる―研究者が指摘」 www.theverge.com もう半月ほど前の記事ですが。 IOActiveの研究者達がペッパーや中国UBTechのAlpha 2などのロボットをクラックするデモを発表しました。クラックに成功…

今年もFappeningは開催中

(たぶん、英語圏の)女優さんたちの裸の写真をリークする「Fappening」、今年も開催されているようです。私は出てくる名前のほとんどが分からないので、名前はリンク先をご覧ください。 「Fappening 2017:今週のヌード写真リークリスト」 news.softpedia.c…

脆弱性買い上げ企業、スマートフォン重視で価格改定

「電話機への実攻撃可能なコード求む。最高額を用意して待つ」 arstechnica.com 未公開(「ゼロデイ」)の脆弱性を買い上げるZerodiumが、買い上げ価格を改定しました。従来よりもスマートフォン関連の価格が上がっています。 zerodium.com 買い上げ最高金額…

Apple、イランのアプリを削除

「Apple、イランで人気のアプリを、米国の制裁に基づき削除」 www.theverge.com Appleは、ストアからイランで人気のアプリを削除しました。ライド・シェアリングのSnappや、食事配達のDelionFoodsなどが含まれます。これは米国の現政権によるイランに対する…

DDoSボット化したAndroidが増加中

「最もよく知られたAndroid DDoSマルウェアの1つ、100カ国以上で感染」 arstechnica.com 「WireX」というマルウェアは、Google Play上の300以上のアプリに含まれたこともあり、DDoS攻撃をかけることが可能です。調査によれば、このWireXは最大で12万以上のIP…

ドイツで「従業員へのキーロガー適用は行き過ぎ」という判決

「企業がキーロガーで従業員を監視するのは違法、独法廷が判決」 www.bleepingcomputer.com ドイツの労働裁判所は、従業員の行動を監視するためにキーロガーを使うのはプライバシーに抵触するという判決を出しました。 この件は、とあるWeb開発者が解雇され…

米軍、打鍵の傾向による認証システムをテスト

「米陸軍、打鍵追跡に基づくバイオメトリクス認証システムを採用する可能性」 www.bleepingcomputer.com 米陸軍のネットワーク管理などを行う組織であるNETCOM(ネットワーク事業技術司令部)が、DIU-X(実験的先進技術ユニット)に続き、米軍で2つ目の「打…

60進法と10進法@夏休み子ども科学電話相談

導入 時間の単位とその関係 12進法や60進法の背景は「指の骨の数」か「約数の豊富さ」か 10進法の拡大は近代から まだまだ10進法になってない地域もある まとめ 導入 NHKラジオの「夏休み子ども科学電話相談」、近年は大きなおともだちにも人気です。 www.nh…

太陽電池発電に多数の脆弱性、大規模な被害の可能性も

「太陽電池発電システムへのサイバー攻撃、ドミノ効果でパワーグリッド全体を落とす可能性も」 www.bleepingcomputer.com 少し古いネタですが、オランダのセキュリティ技術者が太陽電池発電システムの多数(21件)の脆弱性を発表しました。 発見者は今年(20…

動画サーバソフトPlex、プライバシーポリシー改訂で炎上

「Plex、プライバシーポリシーを改訂し、データ収集オプトアウト不可に」 https://www.bleepingcomputer.com/news/software/plex-updates-privacy-policy-so-users-cant-opt-out-of-data-collection/www.bleepingcomputer.com 自分がもっている動画などを、…

Salesforceの「レッドチーム」メンバ、Defcon発表直後に解雇

「Salesforce、Defconで発表したレッド・チームの人員を解雇」 www.zdnet.com 「Salesforceの『レッド・チーム』メンバ、Defconでツールについて発表し、解雇される」 arstechnica.com Salesforceのレッド・チーム(組織内で意図的に設定される敵役チーム)…

Bitcoinを誤解していた「匿名化」業者、廃業を発表

「インターネット最大のBitcoinミキサー、Bitcoinが匿名でないことに気づいて閉鎖」 www.bleepingcomputer.com BitMixerという「Bitcoinミキサー」サービスがあるのですが、先日閉鎖を発表しました。 ミキサーとは、顧客から受け取ったBitcoinを数千に分割し…

DefConで.NETのデシリアライズの脆弱度が発表(※ライブラリにより違います)

「深刻なデシリアライズ問題、Javaだけでなく.NETにも影響」 www.bleepingcomputer.com 元の論文 https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf 名前がアレですが、しばらく前にJavaで話題になったデシリアラ…

超音波によるスマートデバイスへの攻撃手法が発表

「まずいもの聞こえちゃったね:研究者達、『超音波銃』によるスマートデバイスへの攻撃デモを公開」 arstechnica.com 記事タイトルは「Sounds bad」をなんとかやったんですが、下手ですみません……。 Black Hat USAにおいて、アリババのセキュリティ研究者か…

「パスワードの定期的変更」、発案者が後悔を表明

「パスワードのベスト・プラクティス、元々の筆者の後悔の後に改訂」 www.theverge.com 「パスワードは定期的に変更しましょう」といえば「勘違いセキュリティ」として有名ですが、元々の発案者へのインタビューがWSJに掲載されていたようです(上記はそれを…

米民主党の委員会、内部通信をWickrに移行

「2016年のハッキング被害を受けて、米民主党の委員会は暗号化メッセンジャーに切り替え」 www.buzzfeed.com 米民主党の議会活動委員会DCCCは、2016年のメール暴露の件を受けて、内部通信を全てWickrに移行しました。 WickrはPCでもスマートフォンでも使用で…

Mandiantのセキュリティ研究者、保持するデータを暴露される

「ハッカー達、Mandiantのセキュリティ研究者のデータを #LeakTheAnalyst 作戦のもとでリーク」 www.bleepingcomputer.com 31337 Hackers(31337=eleet)と名乗るハッカー集団により、Mandiantの研究者のデータがリークされました。MandiantはFireEyeの侵入…

Symantec、SSL事業を売却

「シマンテック、SSL事業について、DigiCertに9億5000万ドルの現金と30%の株式で売却」 www.bleepingcomputer.com impressさんあたりだと、単に売却とだけ書いてありますが、背景がないと意味不明ですね。 mokake.hatenablog.com mokake.hatenablog.com これ…

WannaCryの被害を一部食い止めた研究者、FBIに逮捕される

「WannaCryランサムウェアを止めた研究者、Def Conの後で米国により拘束」 motherboard.vice.com 「MalwareTech氏、Kronosバンキング・マルウェア作成容疑でFBIにより逮捕」 www.bleepingcomputer.com WannaCryが流行した時、これを解析して「特定のURLから…

「ルンバが家の中の情報を売る」話、広がりを受けて開発元が発言

「『ルンバはスパイではない』:iRobotのCEO、顧客データを販売しないと発言」 www.zdnet.com いまさらですが、iRobot(ルンバ開発元)が顧客の家の中のデータを販売すると述べて大騒ぎになった件の続きです(元の件を書いたので)。 iRobot CEOからのメッセ…

Torでデータを交換するメッセンジャーBriar、セキュリティ監査を通過

「TorベースのメッセンジャーBriar、セキュリティ監査を通過。ベータ段階へ」 www.bleepingcomputer.com プライバシーを重視したメッセンジャーといえばSignalですが、データをTorネットワークで中継することで、匿名性をさらに高めたBriarの開発が進んでい…

ランサムウェアの被害の実例

ランサムウェアの被害は個人や病院(英NHSとか)など、色々と出ていますが、先日2件の具体例が出ていたので、簡単にご紹介。 米公共放送KQED 「ラジオ局やテレビ局、ランサムウェア感染後1ヶ月たっても復帰作業が続く」 www.bleepingcomputer.com NPR(米公…

中国、新疆ウイグル自治区の住民にスパイウェア導入を指示

「中国、ムスリムのスマートフォンへのスパイアプリのインストールを強制」 news.softpedia.com 中国西部の新疆ウイグル自治区は、以前から当局による弾圧が多い地域です。この地域の住民に対して、WeChat(中国で人気のメッセンジャーアプリ)を通じて、Jin…

ルンバはホームスパイ?

「ルンバはせっせと家の中をマッピング。そして今やそのデータが売られる可能性も」 www.theverge.com 2015年に出たWiFi接続機能のついたルンバは家の中の形をセンサなどで調べていますが、そのデータはメーカ(iRobot社)のサーバにも送信されており、販売…

Tor上のブラックマーケットAlphaBayの陥落

先日、Torネットワーク上のブラックマーケットの大物、AlphaBayとHansaが相次いで各国当局により接収されました。 Hansaについては1ヶ月ほど前に当局が確保し、そのままおとり捜査として運営を続け、AlphaBayの閉鎖を受けて逃げ出した利用者のデータをとって…

Windows10のサポート終了の一例が判明

皆さんはWindowsのサポート終了をどこで調べていますか? 公式は、次のページ群が相当するようです。 Microsoft サポート ライフサイクル - Microsoft Support Windows ライフサイクルのファクト シート - Windows Help Microsoft 製品のサポート期限一覧 - …

(重大な追記あり) Windows10の次回大型更新、国により名称が異なることが判明

【重大な追記 (2017-07-20昼)】 「'Autumn Creators Update'は誤訳だった。全世界で'Fall Creators Update'とのこと」 arstechnica.com 北米以外の英語圏でも「Fall Creators Update」という名前のままだそうです。そもそも9月は南半球では「春」ですよね。…

誕生日で認証問題・日米の例

こんな話題が出ているようで。 media.sairilab.com 末尾にあるように、現在は記載が変わっていますが、実際のパスワードがどうなのかは不明ですね。 誕生日は最大でも366通りしかなく、しかも正しい誕生日を入れているなら調査可能な場合が多いので、認証に…