ペンタゴンのサーバ、簡単に侵入可能な状態で放置
「セキュリティ上のミスにより、ペンタゴンのシステムは『簡単に』攻略可能な状態」
ペンタゴン(米国防総省)といえば昨年脆弱性報奨金制度(バグ・バウンティ)を実施していましたが、だからといってセキュアというわけでもないようです。
ペンタゴンのバグ・バウンティ・プログラムに参加しているセキュリティ企業が、設定が不適切で簡単に侵入できると思われるサーバを見つけて報告したものの、「これは対象外」として報奨はなく、報告から8か月たってもそのままの状態だとか。また、既にプログラムに参加している都合上、発見した情報を外部に出すことも禁止されている状態です。
そのサーバ内の情報の機密性が低くても、そこを足掛かりにすることでネットワークへの侵入が可能になりうる点は、確かに気になる部分ですね。実はハニーポットなのかもしれませんが……。
この事例からは、「善意ある者は契約などに縛られて不当に扱われ、悪意ある者はクラックして自由に行動できる」という、DRMなどと共通するジレンマも感じます。
米、裁判所の新ソフトウェアが不適切で誤認逮捕が多数発生?
「不適切な裁判所のソフトにより間違った逮捕が続いていると弁護士が主張」
米国のいくつかの裁判所で、Tyler Technology社によるOdyssey Court Managerというソフトが採用されているのですが、そのソフトの不具合により、誤認逮捕や不適切に長い拘留期間などが生じているのだとか。1月には同社に対する訴訟も起こっています。
Tyler側は「ソフトに起因する問題は確認していない」と述べています。
カリフォルニア州アラメダ郡では、この問題について検事や裁判官も問題視しており、当面の対応として紙を併用することで不当な扱いを避けるようにしているそうです。
ちなみに、少なくともこのアラメダ郡の場合は、旧システム(CORPUS)に戻る選択肢は「郡のシステム部門がサポートしないので」不可能なのだとか。
なんだか悪いマネジメント・悪いシステム移行のモデルケースという感じですが、バグで誤認逮捕されるなんて悪夢ですね。
ホテルのPCがランサムウェア感染……の真実
先日、オーストリアの4つ星ホテルSeehotel JaegerwirtのPCがランサムウェアに感染した、というニュースがありました。
実は、最初に出た話は、やや不正確だったようです。The Vergeが実際のホテル関係者にインタビューした記事が、ちゃんとあるんです。
「ハッカーが高級ホテルの顧客を閉じ込めたという話を信じてはいけない」
ホテルのmanaging directorへのインタビューの返答が、次です。 (ホテルの公式サイトから見て、ほぼ支配人かそれに準ずる方でしょう)
私達(のホテル)はサイバー攻撃を受けましたが、問題となったのは、その日にチェックイン時にお渡しするキーカードへの書き込みができなくなったことだけです。ドアは何ら影響を受けていません。
さらに、中央制御でドアロックを制御することは、そもそもできないそうです。また、トラブルを想定した代替鍵(おそらく物理的な鍵)も使えるので、客室への出入りは自由。客への被害は「フロントでの待ち時間が長くなった」という程度のようです。
一方で、別の問題もあるようです。というのも、このホテル、こういった攻撃(ランサムウェアなのかは不明)を過去にも受けており、今回で4回目なのだとか。「オーストリアの多くのホテルが同様の被害を受けている。だから彼らに気付いてもらうために、今回プレスリリースを出した」とのこと。
ちなみに、今回「誤報」が出た背景には、ニュースソースの問題があるようです。今回ホテル側がプレスリリースを出したものの、ニュースとしてのソースはCentral European News(CEN)というところで、ここはBuzzFeed.comによれば「ク○ニュースの帝王」なんだとか。しかし、多くの英語ニュースサイトは、それを参照した"The Local"の記事を見た模様。なお、The Localは記事内容を一部改訂していますが、現状でも「客室に入れない」という記述はそのままです。
ソフトの対応言語から「消される」時
先日Mozilla Firefoxのバージョン51が出ましたが、その変更点の1つに「ベラルーシ(be)ロケール(locale)の削除」がありました。
検索してみると、本件に関する話がみつかりました。
「1304743 – ベラルーシ(be)をFirefoxから落とす件」
https://bugzilla.mozilla.org/show_bug.cgi?id=1304743bugzilla.mozilla.org
要するに「もう2年間も活動がなく、地域コミュニティの復活もうまくいかないので、ベラルーシを削除して、使いたい人はロシア語(ru)で使ってもらおう」という話です。
他のソフトで翻訳をした人から、「自分がやろうか?」という申し出もありましたが、「数年放置されており、コミュニティが成立していないと元の木阿弥になりかねない」ということで、そのまま削除になったようです。
あくまで一例ですが、こういうこともあるのですね。
スマートテレビは何がスマートなのか
Q.スマートテレビは何がスマートなのか? A.広告を狙った顧客に表示できる。
という感じでしょうか。
「フィリップス、スマートテレビに広告で侵入」(2017年1月25日の記事)
「サムスン、邪魔な広告をスマートテレビの旧機種に追加」(2016年5月30日の記事)
「スマートテレビの覗き見を止める方法」(2015年3月22日の記事)
最初の2つの記事では、古い機種もファームウェア更新により広告機能が導入されたとのことです。
日本国内だと、2015年が明けた直後、東芝のテレビでTポイント連携をしないと広告が出るという話題が出ました。ただし、これは出現頻度が低いようですね。
また、同じ2015年の7月には博報堂が動画広告サービスのアクトビラへの拡大を発表しています。
ただ、東芝の件以外はあまり騒がれてはいないので、邪魔に感じられるものはあまり出ていないのでしょう。ただ、海外での動向を考えると、遠からず似たことが日本でも起きるかもしれません。
流出アカウント情報データベースLeakedSource、オフラインに
やや旧聞に属しますが、LinkedInなどからの流出アカウントを保有し、検索できるサービスを提供していたサイトLeakedSourceが、1月26日頃、突如沈黙しました。1月31日現在もアクセス不能です。
「LeakedSourceのサイト、閲覧不能に」
これに関連して、(怪しい)データの売買掲示板OGFlipやpastebinに、メッセージがアップされています。
Leakedsourceのサーバダウンは永遠であり、戻ってはこないだろう。サイトのオーナーは今朝、家宅捜索を受けた。逮捕はされていないが、全てのSSDはもっていかれた。サーバは押収され、連邦政府の捜査関係者のもとにある。もし彼(LeakedSourceオーナー)がこの状況からLSを立て直したら私の間違いだが、今のところ私が正しいと思う。
今のところ、各国の法執行部門からも特に情報は出ていないようです。
