CCleanerマルウェア混入事件、詳細が予備サーバから判明

少し前の話ですが。 「Avast、CCleaner事件の第2段階マルウェアの影響を受けた企業の完全リストを公開」 www.bleepingcomputer.com 有名ユーティリティCCleanerにマルウェアが仕込まれた(しかもセキュリティソフトAvastの傘下になっていた)件で大いに騒が…

Macを遠隔ロックし身代金を要求する事件が発生中?

「ハッカー、iCloudの"Find My iPhone"機能を悪用し遠隔でMacをロック、身代金を要求する」 www.macrumors.com タイトルでだいたい分かる感じですが、iCloudのアカウント名とパスワードが知られた場合(所定の機能が有効であれば)、そこからログインしてMac…

iOSでわずかな権限から大量の情報を取得する方法

「iOSアプリの権限に抜け道が発覚、詳細な位置情報を画像のメタデータから取得可能」 www.bleepingcomputer.com Google傘下のFastlane Tools創設者Felix Krause氏によれば、iOSの権限の抜け道を使うことで、位置情報を含む様々な利用者情報を抜き出すことが…

Android向け「GO Keyboard」、利用者データを無断で大量に送信

「人気のAndroid用キーボードアプリ、利用者データを収集し外部コードを実行していることが判明」 www.bleepingcomputer.com AdGuardの技術者の調査によれば、GO Keyboardという入力アプリがインストール直後に大量のデータを送信しているとのこと。送信デー…

DataContractJsonSerializerのJSON出力を改行・インデントする

C#

先日の記事の補足です。 mokake.hatenablog.com DataContractJsonSerializerでJSONを生成すると、改行なしに1行になってしまいます。機械処理上はいいのですが、やはり人が見る場合もあるので、そこは考えてほしいところ。 ちょっと調べてみたら、実は簡単に…

Equifaxの大規模漏洩・その後

米国の消費者信用情報企業ビッグ3の1つ(英語版Wikipediaで見る限り、売り上げはExperianより下の2位のようです)であるEquifax社の大規模漏洩は、つい先日CEO辞任となりましたが、件数(1億4000万件以上)だけでなく、色々と他でも注意すべき問題が出ていた…

Eto.Formsプルダウンメニューの翻訳対応

Eto.Formsの記事を書いてきましたが、実はEto、プルダウンメニューに若干の問題があります。それは、「ファイル」メニューと「ヘルプ」メニュー。 プルダウンメニューの項目名を普通に日本語(正しくは英語以外)にすると、思わぬ結果になってしまいます。し…

カスペルスキー、米政府組織での利用が禁止に

「米国、政府組織のシステムでのカスペルスキー製品の利用を公式に禁止」 www.bleepingcomputer.com 国内でも出てますが、一応。何回も出てくるので、Kasperskyタグも作りました。 mokake.hatenablog.com 米国の国土安全保障省から、政府内でのカスペルスキ…

アングラフォーラムでランサムウェア禁止論議

「アンダーグラウンドのハッキングフォーラム管理者達、ランサムウェア販売について再検討」 www.bleepingcomputer.com サイバー攻撃の調査を行うAnomaliやFlashpointによれば、2016年のはじめごろから、アングラ掲示板において、ランサムウェアの販売を今後…

C#でgettextを使う

ソフトウェアを作る時、日本語だけでOKというケースは多くはないでしょう。現代ではUnicodeが普及するなど、国際化(i18n)の基本部分は整備されてきましたが、文字列リテラルをソースに埋め込んだ状態だと、各国語対応(l10n)の手間が膨大になってしまいま…

Tor Browserに総額1億円以上の賞金

「脆弱性攻略コード仲介業者Zerodium、Tor Browserゼロデイに100万ドルの賞金を設定」 www.bleepingcomputer.com 先日の件の、言ってみれば続きです。 mokake.hatenablog.com ゼロデイ脆弱性の攻撃コードを買い上げるZerodiumは、Tor Browserに対する期間限…

百度傘下企業のセキュリティソフト、利用者データを吸い出していた模様

「中国のモバイル・アンチウイルスアプリ、利用者データの吸い出しが発覚」 www.bleepingcomputer.com 百度(Baidu)の一員とされるDU GroupによるAndroid向けアプリ「DU Antivirus Security」が、利用者データ(連絡先や通話ログ、位置情報など)を吸い出し…

Tor検索エンジン登場。その名は「いちだん」

「Shodanっぽいダークウェブ検索エンジン、Ichidan」 www.bleepingcomputer.com IoT機器検索サイトとして有名なShodanと似た感じの、Torネットワーク内(.onion領域)の検索サイト「Ichidan」ができました。 ドメインに対して空きポートやサービスを調べるこ…

Bluetoothの実装脆弱性「BlueBorne」の情報が公開

「数十億のデバイス、クリック不要のBluetooth攻撃の危機に晒される」 arstechnica.com https://www.jpcert.or.jp/at/2017/at170037.htmlwww.jpcert.or.jp Bluetoothの実装面の脆弱性をつく攻撃「BlueBorne」の情報が公開されました。 攻撃可能な条件は脆弱…

EU、全てのアップロードファイルに対する検査義務付けを検討

「欧州連合、侵襲的なアップロード・フィルタを『リンク税』の代替として検討」 www.bleepingcomputer.com EUでは、エストニアが中心となって、アップロードファイルに対する著作権検査フィルタの義務付けが検討されています。 EUでは、大手メディア企業の要…

DataContractJsonSerializerの詳細動作

C#

以前、.NET標準のDataContractJsonSerializerの利用について少し書きました。 mokake.hatenablog.com このクラス、アプリケーション設定の保存や、ある種のデータの保存にも便利ですが、本格的に使おうとすると、詳細な動作が気になります。 データを格納す…

米Best Buy、カスペルスキー製品の扱いを停止

「Best Buy、ロシア企業製のセキュリティソフトの販売を停止」 http://www.startribune.com/best-buy-is-pulling-security-software-from-russian-firm-from-shelves/443274603/www.startribune.com 「カスペルスキーのアンチウイルス製品、スパイ行為への懸…

ネット上のバランスの変化

最近、Googleなどのネット上の巨人たちへの向かい風な記事が増えてきた感じがします。 Ars Technica:「Googleは政治領域での味方を失いつつある」 arstechnica.com The Verge:「Googleに対する独占禁止について」 www.theverge.com Bleeping Computer:「O…

ベラルーシ、ヴェイシュノリアと「戦争」か?(※架空の国家です)

「ベラルーシ、架空の国家Veyshnoriaと『戦争中』」 www.bbc.com 「ベラルーシ、架空の国家と『戦争』へ」 foreignpolicy.com ベラルーシはロシアと共同で9月中旬に軍事演習を行いますが、その際のシナリオは架空の3つの国家の軍事的脅威に対抗する、という…

機械学習にバックドアを埋め込む研究が発表

少し古い話ですが。 「AI学習アルゴリズムにバックドアや処理改変をしかけられる可能性が指摘される」 www.bleepingcomputer.com ニューヨーク大学の研究者達が、ディープラーニングにバックドア等をしかける研究について発表しました。 論文は次のURLからダ…

「クラウドでチェック」なセキュリティツール、データ漏洩を指摘される

「次世代セキュリティシステムのトップメーカー、テラバイト級の顧客データを漏洩していると批判を受ける」 www.bleepingcomputer.com Carbon Black EDR (Endpoint Detection and Response)というセキュリティ製品は、ホワイトリストをもっており、それに該…

ペッパーなどに対するハッキングデモが公開

「家庭用ロボットは簡単にハックされ持ち主を監視、あるいは攻撃できる―研究者が指摘」 www.theverge.com もう半月ほど前の記事ですが。 IOActiveの研究者達がペッパーや中国UBTechのAlpha 2などのロボットをクラックするデモを発表しました。クラックに成功…

今年もFappeningは開催中

(たぶん、英語圏の)女優さんたちの裸の写真をリークする「Fappening」、今年も開催されているようです。私は出てくる名前のほとんどが分からないので、名前はリンク先をご覧ください。 「Fappening 2017:今週のヌード写真リークリスト」 news.softpedia.c…

脆弱性買い上げ企業、スマートフォン重視で価格改定

「電話機への実攻撃可能なコード求む。最高額を用意して待つ」 arstechnica.com 未公開(「ゼロデイ」)の脆弱性を買い上げるZerodiumが、買い上げ価格を改定しました。従来よりもスマートフォン関連の価格が上がっています。 zerodium.com 買い上げ最高金額…

Apple、イランのアプリを削除

「Apple、イランで人気のアプリを、米国の制裁に基づき削除」 www.theverge.com Appleは、ストアからイランで人気のアプリを削除しました。ライド・シェアリングのSnappや、食事配達のDelionFoodsなどが含まれます。これは米国の現政権によるイランに対する…

DDoSボット化したAndroidが増加中

「最もよく知られたAndroid DDoSマルウェアの1つ、100カ国以上で感染」 arstechnica.com 「WireX」というマルウェアは、Google Play上の300以上のアプリに含まれたこともあり、DDoS攻撃をかけることが可能です。調査によれば、このWireXは最大で12万以上のIP…

ドイツで「従業員へのキーロガー適用は行き過ぎ」という判決

「企業がキーロガーで従業員を監視するのは違法、独法廷が判決」 www.bleepingcomputer.com ドイツの労働裁判所は、従業員の行動を監視するためにキーロガーを使うのはプライバシーに抵触するという判決を出しました。 この件は、とあるWeb開発者が解雇され…

米軍、打鍵の傾向による認証システムをテスト

「米陸軍、打鍵追跡に基づくバイオメトリクス認証システムを採用する可能性」 www.bleepingcomputer.com 米陸軍のネットワーク管理などを行う組織であるNETCOM(ネットワーク事業技術司令部)が、DIU-X(実験的先進技術ユニット)に続き、米軍で2つ目の「打…

60進法と10進法@夏休み子ども科学電話相談

導入 時間の単位とその関係 12進法や60進法の背景は「指の骨の数」か「約数の豊富さ」か 10進法の拡大は近代から まだまだ10進法になってない地域もある まとめ 導入 NHKラジオの「夏休み子ども科学電話相談」、近年は大きなおともだちにも人気です。 www.nh…

太陽電池発電に多数の脆弱性、大規模な被害の可能性も

「太陽電池発電システムへのサイバー攻撃、ドミノ効果でパワーグリッド全体を落とす可能性も」 www.bleepingcomputer.com 少し古いネタですが、オランダのセキュリティ技術者が太陽電池発電システムの多数(21件)の脆弱性を発表しました。 発見者は今年(20…