パスワードを忘れた? アカウント作成
Close
2017年12月 記事 / 日記 / コメント / タレコミ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2017年12月22日のサイエンスタレコミ一覧(全20件)
13485917 submission

フランス政府、2040年までに全ての石油・ガス生産および探査を廃止する法案を可決

タレコミ by taraiok
taraiok 曰く、
フランス議会は、2040年までに全ての石油・ガス生産を廃止する法案を承認した。この法案では国内だけでなく海外でも石油・天然ガスの探査と生産を禁止することになる。また、新たな採掘許可証が発行されないだけでなく、これまで承認されていた既存の掘削許可証も更新されない(CBSNEWSslashdot)。

マクロン大統領は「フランスは2040年までにすべての石油探査免許を禁止する世界で最初の国になったことを非常に誇りに思う」とコメントした。ただし、フランスで生産される石油とガスは、国内消費のわずか1%を占めているに過ぎない。このため今回の法案はパリ協定実現のための象徴的な意味合いでしかないという見方もあるようだ。
13485930 submission

ロシアTwitter、テロ攻撃後SNSの議論誘導を行う。英国の分裂が目的か

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
ロシアに関連した偽のソーシャルメディアのアカウントは、2017年にイギリスで発生した4回のテロ事件後のSNSの議論の方向性に影響を及ぼしていた可能性が高い。Centre for Research and Evidence on Security Threats (CREST) の研究者によると、3月のウェストミンスター橋襲撃、5月のマンチェスター・アリーナ爆発、6月のロンドン橋テロ事件およびフィンズベリー・パークのモスク突入事件後、少なくとも47のロシアTwitterアカウントが公衆被害を増幅させる目的で重要な役割を果たしていたことが分かっている。

ロシアの47アカウントのうち、8アカウントがとくに活発に活動しており、4回の攻撃について475件のツイートが投稿され、15万回以上のリツイートが行われていた。議論を偏向されることが目的だったようだ。CSRIは「2017年のテロ攻撃後、ロシアはTwitterやFacebookなどのプラットフォームを使って噂を広め、ニュースや陰謀論を偽装、事件の影響と憎悪を増幅させ、国内の分裂を拡大させるために利用されたとしている(the guardianSlashdot)。
13485964 submission
月

アポロ11号ミッション月面着陸時の通信音声にピンク・フロイドが著作権を主張

タレコミ by headless
headless 曰く、
Ars Technicaでは12月上旬からNASAのアポロ計画に関するドキュメンタリー「The Greatest Leap (第1回第2回)」を連載しているのだが、19日に掲載された第3回の動画に対し、ピンク・フロイドが著作権侵害を主張する通知をFacebookページ経由で送ってきたそうだ(Ars Technicaの記事)。

該当部分は冒頭から3分23秒以降の6秒間で、アポロ11号のニール・アームストロング船長が月面着陸後に通信で「Tranquility Base here, the Eagle has landed. (こちらは静かの海基地、イーグルは着陸した)」と言った有名な録音音声がダビングされている。しかし、この録音は米政府が公式の業務として作成した著作物にあたり、著作権保護の対象にはならない。Ars Technicaが使用したのはInternet Archiveで公開されている音声だ。誤った著作権侵害の主張によりNASAの公式動画が削除されるといったトラブルは過去にも発生しており、著作権侵害の主張はアルゴリズムのミスによるものとみられる。

ただし、通知にはピンク・フロイドのどの作品の著作権を侵害しているのか記載されていない。そのため、Ars Technicaがオンラインで情報提供を求めたところ、同様の音声がピンク・フロイドの「The Great Gig in the Sky」の初期ミックスで使われていたことが判明する。リリースバージョンでは該当部分が別の音声に差し替えられていたが、2011年発売の「The Dark Side Of The Moon — Immersion Box Set」ディスク6にこのバージョンが収録されていたとのこと。

Facebookでは通知に対する反論のオプションを用意しているため、Ars Technicaはこちらのオプションを選択。その結果、ピンク・フロイド側が反論を受け入れ、著作権侵害の主張を取り下げたという連絡がFacebookから届いたとのことだ。
13485973 submission
バグ

ロシアの国営銀行、ATMでWindowsのシステムにアクセス可能な問題が発見される

タレコミ by headless
headless 曰く、
ロシア国営の貯蓄銀行(Sberbank)のATMで、Shfitキーを5回連続で押すとWindows XPのシステムにアクセス可能な問題が発見されたそうだ(Softpediaの記事Habrahabrの記事WinFutureの記事動画)。

このATMは操作用のタッチスクリーンやテンキー、オプションボタンに加え、インターネットキオスクのようにQWERTYキーボードを備えている。通常はATM画面がフルスクリーン表示されているためWindowsの機能にアクセスすることはできないのだが、固定キーのキーボードショートカットが無効化されておらず、Shiftキーを5回連続して押すとダイアログボックスが表示される。この状態ではタスクバーが表示されるため、タッチスクリーンからスタートメニューの操作が可能になるようだ。なお、Windows/アプリケーション/Alt/Ctrlの位置にあるキーには印字がなく、無効化されているとみられる。Deleteキーも存在しないようだ。

発見者は問題を報告し、修正したとの回答を得たが、2週間後に試してみると同様の操作が可能なままだったとのことだ。
13485987 submission
iOS

AppleがApp Store審査ガイドラインを改訂、VPNアプリの要件などを盛り込む

タレコミ by headless
headless 曰く、
AppleがApp Store審査ガイドラインを改定し、APIの使用やガチャ(loot box)の提供、テンプレート/アプリ生成サービスを使用して作成したアプリに関する記述を追加したほか、VPNアプリに関する項目を追加している。なお、日本語版のガイドラインにはまだ変更が適用されていない(英語版ガイドライン9to5Macの記事)。

利用可能なAPIに関する2.5.1には、HomeKitやHealthKitを例にAPI/フレームワークが意図した用途にのみ使用し、API/フレームワークを統合した旨をアプリの説明に記載すべきだという記述が追加された。App内課金に関する3.1.1にはガチャのような仕組みを提供するアプリは顧客が購入する前に各アイテムが当たる確率を公表する必要があるとの記述が追加されている。

有料のテンプレートや生成サービスを使用したアプリを却下するという4.2.6は6月に追加され、該当するアプリの開発者に1月1日をもってアプリを削除するという通知が送られたと先日報じられていた。今回の改定ではコンテンツ提供者が直接登録する場合とテンプレート提供者が1バイナリですべてのクライアントのコンテンツをまとめて利用できるようにする場合は認められるとの記述が追加されている。

その結果、こういったサービスの提供元に委託してアプリを公開している企業や組織は自ら開発者としてアプリの登録手続きを行うことが必要になる。TechCrunchの記事によれば、Appleでは移行を容易にするため、米国を皮切りに2018年の早い時期から政府や非営利組織に対する開発者登録費用を無償化する計画だという。

新たに追加された5.4ではVPNアプリの要件が記載されている。VPNサービスを提供するアプリはNEVPNManager APIを使うこと、収集するユーザーデータおよび用途を明示すること、提供先市場の現地法令に違反しないこと、VPNライセンスが必要な地域でアプリを提供する場合はライセンス情報をApp Reviewの「メモ」欄に記載することが必須となる。
13486443 submission

中国政府、Steamコミュニティをファイアウォールでブロックか

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
中国政府によるグレート・ファイアウォールによる検閲状況をモニタリングするサービスGreatFire.orgは、“Steam”のコミュニティ関連サービスが、中国において通信遮断対象になったと発表した。これにより、VPNサービスを用いない限りは、Steamのコミュニティ関連サービスへとアクセス不能となった。中国ではVPNサービスへの規制が非常に厳しくなってきており、今後多くの中国在住ユーザーが、Steamコミュニティへの接続を諦める状況となることが予想される。

現時点ではSteamへの接続及びゲームプレイ自体は制限されていない。なお、Steamでは50%以上のユーザーが中国語を利用していることが判明(2017年10月度)しているそうだ。

情報元へのリンク
13486451 submission
インターネット

東名高速の追突事故に関するデマを流した複数の人物に対し名誉棄損の疑いで家宅捜索が行われる 1

タレコミ by hylom
hylom 曰く、
今年10月、ある男性が東名高速の道路上で難癖を付けてほかの車を停止させ、その結果停止させた車にトラックが追突するという事件があったが、この事件について無関係なデマを広めた複数の人物に対し、福岡県警が名誉棄損の疑いで家宅捜索を行ったとのこと(朝日新聞中日新聞)。

このデマはネット掲示板に投稿されただけでなく、いわゆるまとめサイトなどもその真偽を確認せずに掲載、SNSなどを通じて広まっていた。これが原因で、事件とは無関係な企業や個人に嫌がらせが起きる事態にもなっていた(過去記事)。

嫌がらせの被害にあった企業は被害届を出したため、警察が動くことになったようだ。
13486565 submission

パスワード管理のKeeper社、Ars Technicaの脆弱性記事は誤解を生むとして訴訟

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
14日にパスワード管理ツール「Keeper」に深刻な脆弱性が存在すると報じられた。これに関してメーカーであるKeeper Securityは、報道を行ったArs Technicaと記事を書いたDan Goodin氏に対して訴訟を起こした。このことを発見したGoogleのTavis Ormandy氏は、著名なセキュリティリサーチャーとして知られる(窓の杜)。

同氏によると、「Keeper」には偽のユーザーインターフェイスを注入して管理者権限を奪取できる欠陥があり、パスワードを盗むことができてしまうという。ただし、この記事の後に書かれた同氏のフォローアップノートによれば、このバグはすでに修正されているとしている。

Keeper Security側は、「この潜在的な脆弱性の影響を受けた顧客はいなかった」というブログ記事を掲載した。Goodin氏と彼の雇用主である技術サイトArs Technicaがユーザーのパスワードが盗まれるバグがあると示唆する誤解を生んだとして名誉毀損で訴えたとしている(ZDNetSlashdot)。
13486581 submission

Windows Helloによる顔認証、顔写真で突破される

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
独セキュリティ企業のSySSは18日、Windows 10に搭載されている生体認証システム「Windows Hello」の顔認証が、印刷写真で突破できるという脆弱性を発表した。Windows Helloによる顔認証には、「拡張スプーフィング(なりすまし)対策」機能が用意されているものの、既定で無効となっているほか、グループポリシーから明示的に有効にする必要がある。また、Microsoftの2in1「Surface Pro 4」などの対応機種でないと利用できない。

ただし、今回発見された攻撃では、拡張スプーフィング対策機能が有効化されていても通用するという。攻撃に必要とされるのは「ユーザーの正面からの顔写真であること」「近赤外線カメラで撮影した写真であること」「画像の明るさとコントラストが調整されていること(単純な画像処理としている)」「上記の画像をレーザープリンタで印刷すること」の条件を満たした写真だとしている。BLEEPINGCOMPUTERによると340×340ピクセルの写真を印刷したもので実験は行われたとのこと。

対策としては強化された拡張スプーフィングに対応したWindows 10バージョン1709にアップデートすることだとしている(PCWatchBLEEPINGCOMPUTERSlashdot)。
13486636 submission

"同一労働同一賃金"なぜ人事は反対するか

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
政府が進めている「働き方改革」。重要なポイントは「同一労働同一賃金」だが、人事担当者にアンケートをとってみると、半数近くが「法制化に反対」と考えていることがわかった。「不平等」を是正するはずの同一労働同一賃金に、なぜ人事は反対するのか、人事コンサルタントの山口俊一氏が分析する――。

情報元へのリンク
13486748 submission
スター・ウォーズ

最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く

タレコミ by headless
headless 曰く、
SplashDataによる2017年の最悪なパスワードランキング「Worst Passwords List」で「123456」が5年連続の1位となっている(プレスリリースRAPPLERの記事Mac Rumorsの記事Neowinの記事)。

SplashDataは2011年以降、その年に流出したパスワードから多くのユーザーが使用しているパスワードをランキングにして公表している。「123456」は2013年に「password」を抜いて1位となり、5年連続でトップを保っている。今回のデータでは3%近くの人が「123456」を使用しており、25位までのパスワードを使用している人が10%近かったとのこと。「password」も5年連続の2位となった。

最悪なパスワードトップ25は以下の通り。
  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou
  11. admin
  12. welcome
  13. monkey
  14. login
  15. abc123
  16. starwars
  17. 123123
  18. dragon
  19. passw0rd
  20. master
  21. hello
  22. freedom
  23. whatever
  24. qazwsx
  25. trustno1

今回はトップ25のリストに加え、トップ100までのフルリストも公開されている。トップ100で最も多いのは単語1つのみのパスワード(65件)で、数字のみのパスワード(14件)、「letmein」「iloveyou」のようなフレーズのパスワード(8件)、「qwerty」「qazwsx」のようにキーボード上の隣り合ったキーを順に入力したパスワード(6件)が続く。単語と数字の組み合わせ3件(「jordan23」「password1」「admin123」)、単語の一部を変更した2件(「passw0rd」「passwor」)、その他2件(「abc123」「aaaaaa」)といったものもある。いずれも単純なパスワードで、大文字が使われているものはないようだ。

今回は「starwars」が16位に入っていることで、プレスリリースは「スター・ウォーズ/最後のジェダイ」に乗っかった内容となっており、シネマトゥデイの記事など、映画関連のサイトでも取り上げられている。ただし、「starwars」がトップ25入りするのは初めてではなく、2015年のランキングでも25位に入っていた。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家