So-net無料ブログ作成

セキュリティ問題は永遠に続く [セキュリティ]

グーグルが「Windows 10」に存在する脆弱性を新たに公表
https://japan.cnet.com/article/35115111/


Micro$oftも大変だ。

現在Micro$oft社が普及を急ぐ“Windows 10”に、また新たな脆弱性がある事をGoogleが発表した。


この脆弱性は先日私が記事にした「KB4074588」によって修正されたそうだが、Googleによると「KB4074588」をインストールしても不十分な修正でしかないようだ。まあ、相変わらずのMicro$oftクオリティという事か。

しかも「KB4074588」は一部のコンピュータでUSB接続のキーボードとマウスが使用できなくなる不具合が出ていて、場合によってはBSoDが出てOSの起動すら出来ないケースもある。


それはさておき、私がこの記事で注目したい内容は他にもある。

それは、今回発表された脆弱性がWindowzの開発元であるMicro$oft社に対し、Googleによって90日前に報告されているという事。

要するにこの脆弱性の存在は少なくとも90日以上前から存在していたわけで、その間他の誰かがこの脆弱性を利用してコンピュータを攻撃したとしても、誰も対処が出来ないという事だ。

こうした潜在的な脆弱性は、実のところ世界中の様々な組織によってすでに多くが発見され、Micro$oftには報告されずに悪用され続けている。
有名なものはアメリカのNSAがスノーデン氏による告発まで隠していた、複数の脆弱性とそれを利用した様々なツールがある。この内の一つはランサムウェアの「WannaCry」に利用されたために、世界中で大きな被害が発生した。もしNSAが、自ら発見した全ての脆弱性についてMicro$oftに報告をし、これが速やかに修正されていたならば、WannaCryによる被害は発生しなかったかもしれない。


というわけで、今私達が使うパソコンのOS(Windowzに限らない)には、最新のセキュリティ修正パッチが適用されていたとしてもなお多くのセキュリティホールが存在し、その一部はすでに悪用されているという事をパソコンの利用者の全てが理解すべきだと思う。

また、OSに限らず全てのコンピュータソフトウェアは常に新しいものが開発されるし、以前からある物もセキュリティホールの修正以外に機能の更新や不具合修正などが行われる度に、新たなセキュリティホールが生まれる可能性がある。そして現実に新しい問題は次から次へと、新しく生まれている。

コンピュータがこの世に存在し、社会インフラの一部として重要な地位を占めている現在、これらを利用する私達は永遠にこの問題による脅威に晒され続けるし、問題が複雑で理解が難しい事がこの問題への対処をより一層難しくするために、悪用する人にとっては永遠に楽で簡単な集金システムとして利用され続けるだろう。



nice!(1)  コメント(0) 

GDPR施行まであと3ヶ月 [セキュリティ]

昨今の個人情報流出は、コンピューターとインターネットの普及によってごく普通に起きる、日常茶飯事の事件となっている。

日本では一部で騒動になるくらいであまり重要視されていないこの問題。
(口では色々言う輩が少なくないが、実態としてそうなっている。)

ヨーロッパではかなりの重要な問題として認識されていて、結構前に「個人情報を悪用、或いは流出させた企業等には重い罰を与える」という、一般にGDPRと略されるルールが制定された。

EU一般データ保護規則(GDPR)
https://ja.wikipedia.org/wiki/EU%E4%B8%80%E8%88%AC%E3%83%87%E3%83%BC%E3%82%BF%E4%BF%9D%E8%AD%B7%E8%A6%8F%E5%89%87

このルールはEU内の企業だけでなく、EU外の企業がEU内で個人情報の収集を伴う事業を行う場合にも適用されるので、日本の企業でも無関係ではない。


一方でEU内外関わらずこの問題に関係する企業では、この「個人情報流出」に対するセキュリティの意識はあまり高くは無いようだ。銀行のような金融機関、或いはクレジットカード会社などはかなり厳重なセキュリティ対策を行っているらしいが、それ以外の企業だとザルである事が少なくない模様。

施行が迫るGDPR、企業の備えは万全とは言えず
https://japan.zdnet.com/article/35113902/

こんな記事もあるわけで、とりわけ日本の企業はつい先日も時価数百億円の仮想通貨が盗まれるというような件もあり、過去にあれだけ情報流出の事件が何度も報道されながらまったくその意識は変わらず、危機感のカケラも無い企業或いは個人が多い。(そういう人達は“頭では理解しているが…”等の言い訳が得意だ)


こんなんで良いのか?

とは思うが、私個人の経験で言えば「良くは無いがどうしようもない」というのが結論。

何故なら、私のような素人から見てもダメな人や会社しか知らないので。彼らはセキュリティ関係の問題に遭って私に相談はするが、全部私に丸投げで自分ではなにもしないし、アドバイスも全て次の日には忘れている。
私の知らない所で私の様な素人ではなく専門業者に相談している人達も、格好だけは一人前で中身は空っぽというのが大半なのだと思う。

だが、GDPRのおかげで日本でも何か変われば・・・

・・・無理か。


日本企業がGDPR施行に向けて準備すべき留意点とセキュリティ対策
https://blogs.mcafee.jp/general-data-protection-regulation


nice!(2)  コメント(0) 

KB4074588は危いらしい [OS]

2018.02.27
※今回の問題に対するMicro$oftの正式なサポート情報が公開されたので、これに合わせて記事の後半を全て書き直しました。


先日の2/14に、Windowz10向けのアップデート「KB4074588」が来ている。

私はグループポリシーで強制Windows updateを手動にしているためまだインストールしていないが、巷ではこの「KB4074588」によるトラブルが出ているらしい。


ネット上の情報では、まずWindowzが起動しないというよくあるケースがみられるが、それ以外に“USB接続のキーボードやマウスが認識しなくなる”という、あまり例の無い症状が出ているとか。


キーボードとマウスが使えない場合、パソコンは基本的に一切の操作が出来ないため非常に困る。

もし仕事で毎日使用しているパソコンがこのような状態になったら仕事が出来ない。

それどころか、復旧すらままならないではないか。


もちろんこのようなケースでも復旧の手段は残されている。

詳しくはこちら。

更新プログラム適用後、USB デバイス(キーボード及びマウス)が使用できなくなる事象について
https://blogs.technet.microsoft.com/askcorejp/2018/02/23/usb_device_problem_after_update/

記事の内容を簡単に説明すると、この問題は「KB4074588」のインストール時にこれに含まれるUSBデバイス関連のデバイスドライバがインストールに失敗するケースがあるが、このとき元々入っていたUSBのデバイスドライバが“StartComponentCleanup タスク”によって誤ってアンインストールされてしまう事が原因である模様。

これに対処し、復旧する手段は以下の通り。(上記リンク先の記事よりコピペ)


1. インストールメディアから Windows PE を起動、もしくは Windows RE を起動します。

Windows 回復環境 (Windows RE)
https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn938364.aspx
※ WinRE へのアクセス方法 をご参考ください

2. コマンド プロンプトを起動します

- Windows PE の場合
2-1. インストールメディアからシステムを起動します。
2-2. Windows セットアップ画面(インストールを行う言語の選択等が表示されている画面)で Shift + F10 を押下します。
2-3. コマンドプロンプト(cmd.exe)が表示されます。

- Windows RE の場合
2-1. Windows RE 起動後、オプションの選択で [トラブルシューティング] を選択します。
2-2. トラブルシューティングの画面で [詳細オプション] を選択します。
2-3. 詳細オプション画面で [コマンド プロンプト] を選択します。
2-4. [コマンド プロンプト] で管理者のアカウントを選択します。
2-5. 管理者のパスワードを入力します。
2-6. コマンドプロンプト(cmd.exe)が表示されます

3. 次のコマンドを実行して 2/13 以降にインストールした Windows 10 Version 1709 向けの更新プログラム (KB4074588) のパッケージ ID を確認します。

dism.exe /image: /Get-Packages
例: dism.exe /image:c:\ /Get-Packages

4. 手順 3 で確認したパッケージ ID (Package_for_RollupFix~XXXXX) を次のコマンドに指定し、全てのパッケージを取り除きます。

dism.exe /image: /remove-package /packagename:
例: dism.exe /image:c:\ /remove-package /packagename:Package_for_RollupFix~31bf3856ad364e35~amd64~~16299.192.1.9

5. OS を起動させ、正常に動作する事を確認します。


また、すでに「KB4074588」がインストールされているが問題が起きていない環境、又はこれから「KB4074588」をインストールする必要がある環境の場合、予防措置として以下の方法が挙げられている。(以下元記事からのコピペ)


StartComponentCleanup タスクの無効化

1. “Windows” + “R” キーを押下し、[ファイル名を指定して実行] を起動します。
2. 入力欄に “taskschd.msc” と入力し、タスク スケジューラを起動します。
3. 以下の順に展開し、[StartComponentCleanup] を右クリックし、”無効″ にします。

[タスク スケジューラ ライブラリ] – [Microsoft] – [Windows] – [Servicing] (- [StartComponentCleanup])

以上。


なお、「StartComponentCleanup」について知りたい方は以下の記事を参照。

StartComponentCleanup タスクによる、不要な更新プログラムの削除について
https://blogs.technet.microsoft.com/askcorejp/2015/12/03/startcomponentcleanup/





nice!(1)  コメント(2) 

RavenRidgeレビュー記事を読んで [CPU]

意外と早く登場したRyzen APU。

今日、2/13からついに販売が始まったが、同時にパソコン情報サイトではレビュー記事も解禁になって掲載されていた。


Ryzen 5 2400G/Ryzen 3 2200Gレビュー
https://news.mynavi.jp/article/20180213-583826

Ryzen 5 2400G,Ryzen 3 2200G
http://www.4gamer.net/games/300/G030061/20180212002/


レビュー記事はとりあえずマイナビと4Gamerの記事を読めば良いと思う。
マイナビは定格動作だが、4Gamerはメモリにオーバークロック品を使う事を前提とした記事で、評価の視点が違う。
※RavenRidgeはDDR4-2933に正式対応となるが、現在DDR4-2666までしか定格動作のモジュールは販売されていない。それ以上のモジュールは全てオーバークロック品(動作電圧が1.35Vと高い)である。


で、この二つの記事を読んだ感想だが。

性能に関してはCPU性能がIntelと比較して低く、GPUは大幅に高性能という点は想像通り。

この点Bulldozer系APUの頃と傾向はまったく変わっていないが、Bulldozer系APUはCPUの性能がIntelと比較して半分が精々だったのに対し、Zenになった新しいAPUはかなり善戦し、得手不得手はあるものの全体的には同クラスのIntel製CPUと互角に近い。

しかしどちらが高性能かといえば、Intelの方だとはっきり言える程度の差は付いているが。

一方で意外だったのが消費電力の低さ。
内蔵するGPUが、単品のビデオカードでは消費電力の高さがネックだったVegaなのに、システム全体の消費電力がピークで100W程度(ただし構成による)とは。

これは今私が使っているA8-3870Kよりもかなり低い。
まあA8-3870KはTDP100Wなので当然と言えば当然なのだが、RavenRidgeのTDP65Wという数字は伊達ではないようだ。


他には内蔵GPUのデバイスドライバに問題がありそうな点が気になった。
これはマイナビと4Gamer双方の記事で指摘されている。

過去に私がBristolRidgeで組んだ時はWindowz10用のドライバが正常に動作せず、無理に使うとBSoDでリセットがかかってしまうという事があった。このケースでは当時Windowz10 RS3に未対応のドライバしか存在しない事が原因だったが、AMDのGPUは旧ATiの頃からドライバの完成度の低さに定評があるわけで、今回もその例に漏れてはいないと思われる。

今すぐRavenRidgeで組みたい人は、GPUのドライバについてしばらくの間注意が必要かもしれない。


というわけで。

BristolRidgeから大幅な性能強化を果たし、一方で消費電力も比較的抑え目の初代Zen APUである“RavenRidge”。

欲を言えばもう一声欲しいと言いたくなる性能ではある。

そもそもがZenコア自体まだまだの内容であるわけで、そこに鳴り物入りで出た割りに期待はずれの性能でコケたVegaを組み合わせている以上、どこか中途半端に感じることは否めない。

現時点ではよく頑張った!という評価しか無いが、そうであってもコストパフォーマンス面でなんとかIntel製CPUを上回る事が出来たという点に関して間違いはないわけで、私個人としてはRavenRidgeが良くも悪くも予想を裏切らず、今回の発売に漕ぎ着けた事が正直うれしい。

また意外にも早くデスクトップ版が出た事が、ノート型パソコンへの採用がAMDの予想よりかなり少ない事が理由ではないか、という心配はあるが、それはまた別の問題。

あとはセレロン対抗のA4-7300に相当する低価格品が出てくれれば。
事務用途ではこれで十分なので、「Ryzen 2010G (3.2Ghz 2コア,256SP TDP25W)」のような内容で5000円前後のが出来るだけ早く出て欲しい。


最終的な結論として、AMDのAPUはHBM搭載型が出るまでは試作品の状態という事か。

HBM搭載型APUが2020年くらいに出てくれるといいなァという妄想しか今は出来ない。



nice!(0)  コメント(0) 

完全自動運転のクルマは本当に可能なのか? [クルマ]

何時の頃からか、人間が操作しなくても勝手に走ってくれる自動車が今にも実現するかのようなニュースがあちこちに現れ、そのおかげで「自動運転の自動車がもう間もなく出るかもしれない」という認識が大衆の常識となっている。

そして日本政府からは、それを後押しするように「2020年までに“ほぼ完全自動”なクルマを実用化させる」との発表も過去にあった。


また、巷では「識者」と呼ばれる?人達や、関連する業界(主に自動車とIT関係)の中からも2020年には出来る、という話が少なくないし、マスコミに至っては無責任な「自動運転があたりまえになる」というような煽り記事ばかりが目立つ。


だが、本当のところはどうなのか?


私はGoogleが自動運転の研究を始めたというニュースが出た頃から、完全自動運転の自動車が実用化するには非常に多くの、そして非常に高いハードルがある事を某言論サイトに何度も書き込んだが、そこでは私の書いたことを理解出来た者からの反応は皆無だった。
そして当初から※「道路そのものにも自動運転の機能を持たせる事が必要」という意見も持っていたが、そこまで考えられている意見を私以外に持つ人を見たことがほぼ無い。

※クルマが進入できる全ての道路や駐車場などに各種センサーと通信機能を持たせ、最低でも車載センサーの死角を無くし、道路の状態(路面状況や路上の障害物、道路外から進入する物体等)を他車と情報共有することが必要。それでも悪天候や積雪時などに対応する事は簡単ではない。

“ほぼ”というのは、その後私と同じ考えを持つ人が居ることを、国土交通省かどこかが発表した文書か何かで知ったからで、もちろんそれ以外でも当然にあるはずだが、少なくともこの件に関して、マスメディア上で確認はしていない。

私からすればそんな事は当然という思いだが、どうやらそこまで考えている人はあまり居ないらしい。

とはいえ、少なくとも昔から自動車の研究をしている人なら誰でも思い至る事だとは思うが。


あれから何年過ぎただろうか。

数日前GIGAZINで見つけた記事が、私の見込みの正しさを証明してくれている。


テスラ・モデルSのオートパイロットはなぜ停車中の消防車を避けきれなかったのか?
https://gigazine.net/news/20180129-why-tesla-autopilot-cannot-see-firetruck/


私はある一連の経験から、現在のセンサーを使った道路状況把握の限界がどの程度か感覚的に理解しているし、様々な組織が自動運転の実験成果を発表する度にそれが「極めて限定した条件での成果」だという事も理解しているが、こうした理解を妨げる、情報量の少ないミスリードを誘うかのような発表内容には常に辟易させられている。


まあ、GIGAZINEの記事を読めば解る人なら解るだろうが、ハンドルやペダル類の無い完全自動運転の自動車が普通に買える時代は、現時点では何時到来するのか予測する事が困難である事は間違いない。少なくとも現状を見る限り、2020年頃の市販車は現在のテスラみたいな、オートクルーズ+ハンドル操作に毛が生えた程度(運転中も完全手動運転と同様にハンドルを握って周辺への注意が必要)から脱却する事すら難しいのではないかと私は考えている。


nice!(1)  コメント(0) 

CPUの脆弱性を利用したマルウェアが見付かる [セキュリティ]

Spectre/Meltdown脆弱性を利用したマルウェアが発見
https://pc.watch.impress.co.jp/docs/news/1104573.html

記事にある通り、Spectre/Meltdownの脆弱性を利用したマルウェアが119個発見されたとか。

119個とは発見されたものだけなので、実際にはもっと多いだろう。

また、記事には

“一般ユーザーも本件の動向を注視するとともに、マルウェアの一般的な感染経路(Eメールなどで不審なリンクをクリックしないなど)に注意を払うよう推奨したい。”

と書かれているが、このニュースは知らない人の方が圧倒的に多い。

また、自力で注意したり対応出来る人も限られる。
(自分では出来ているつもりになっている人は大勢居るだろうが・・・)


しかもIntel製のシステムでは対策されたファームウェアを当てるとトラブルが起きるので対策したくても出来ないケースが存在するし、スマートフォンやIoT機器に至っては対策そのものが不可能な場合も少なくない。

WindowzやLinuxなどはOSやアプリケーションでも対処するが、どこまで有効なのか。


これはかなり危険な状況ではないだろうか。


※追記

記事内容とは関係ないが、日本政府から「サイバーセキュリティ月間」なるものが発表された。

「サイバーセキュリティ月間」がスタート - 政府が意識向上を呼びかけ
http://www.security-next.com/089830

期間中には全国各地でイベントが開催されるらしい。

なお、菅官房長官によるメッセージ動画が首相官邸のウェブサイトにあるらしいが、閲覧にはAdobe Flashが必要だというから笑える。Flashが穴だらけで何年も前からマルウェア感染の大きな原因になり、昨年までにFirefox等のWebブラウザでは標準でFlashの再生が強制OFFになっている事も知らないのか。

政府からしてこのていたらくなので、キャンペーンの効果なども知れたものだ。


Flashゼロデイ脆弱性に北朝鮮関与 - 11月中旬より悪用
http://www.security-next.com/089803

Adobe Flash Playerにゼロデイ攻撃が発生
http://www.security-next.com/089787


nice!(0)  コメント(0) 

もう無理 [セキュリティ]

先日やっと依頼された問題解決を完了して、こんな記事を書いた。

進化を続けるマルウエアの隠蔽能力
https://17inch.blog.so-net.ne.jp/2018-01-23

この件はかつてない経験だったので、それについて色々調べていると、こんな文書を発見した。


シマンテック クラウド時代のマルウェア分析 - Symantec
https://www.symantec.com/content/dam/symantec/jp/docs/white-papers/cloud-generation-malware-analysis-jp.pdf


現地調達型とファイルレスの攻撃手法
https://www.symantec.com/connect/sites/default/files/users/user-4913021/ISTR_Living_Off_The_Land_2017_JP.pdf


これらを読むと、現在のマルウェアが如何に高度化しているのかが良くわかる。

一方で私の持つ知識や理解が、如何に古臭いのかも良く理解できた。
(所詮素人の域を出ないという事実はこの際置いておくとして。)


そして導き出される答えは

「もう無理」


とはいえ、諦めるつもりはない。

かつて「もう無理」と思っていた事が、諦めずに考える事と学ぶ事を続けた結果、後になって無理ではなくなっていたという例は数え切れないくらいあるからだ。


でも、「もう無理」。

ここらで一休みするべきか。
休んでからまた挑戦を繰り返せば、その内に理解出来るようになるかもしれない。


nice!(0)  コメント(0) 

AMDの7nmチップは2019年以降から [CPU]

7nmプロセスの開発が加速、EUVの導入も現実的に
http://eetimes.jp/ee/articles/1801/29/news066.html

現在、AMDはかつて14LPP+と呼んでいた12LPプロセスによるCPU及びGPUの製造を準備しており、製品の出荷は今年中に行われると予定されている。(Ryzenは4月から、GPUは年内予定)


一昨年辺りでは2018年に7nmの製品を出す予定だったが、2019年にずれ込む事が確定※したわけで、そうなるとEUVを使わない7nmが2019年内、EUVを使う7nm+は2020年まで出荷が延びると私は予想するが、もしかすると7nmをキャンセルして2020年の7nm+にいきなり飛ぶ可能性もゼロではないかもしれない。※2018年7月現在、2018年後半以降にGPUコンピュート/マシンラーニング向けの「Radeon Instinct」が生産されるという発表がAMDより正式になされているが、試験生産の域を出ない少数であると思われる。


というわけで、2018年内のAMD製デスクトップ向けCPUは、2月12日に発売予定のAPUであるRyzen 2xxxGが14LPPで、4月の出荷が予定されているRyzen+が12LPでの製造となり、この二本立てで今年いっぱいから来年予定されている7nmプロセスで製造される新製品まで引っ張る事になった。(ちなみにSpectreへの対策は7nmの製品までおあずけ)


ただ、今後の予定がどうなるかは全て製造を担当するGlobalFoundriesでの製造プロセス開発がどうなるかに係っている。
こればかりはAMD一社の努力だけではどうにもならない事なので、かつてのAMDのように延期に次ぐ延期にならない事を祈りたい。


参考記事

Ryzen APUは2月、第2世代Ryzenは4月に発売
http://ascii.jp/elem/000/001/616/1616753/

年内にVegaの延長となる12LPのGPUをリリース
http://ascii.jp/elem/000/001/620/1620179/

AMDが第2世代RyzenやAPU版Ryzen、モバイル版Vegaなどを一挙発表
https://pc.watch.impress.co.jp/docs/column/kaigai/1099905.html

Zen+について
https://17inch.blog.so-net.ne.jp/2017-10-01

nice!(0)  コメント(0)