So-net無料ブログ作成
セキュリティ ブログトップ
前の30件 | -

今更こんな事がニュースになる理由 [セキュリティ]

私はGIGAZINEのこの記事を見て驚いた。

え!?今更こんなわかりきった事が記事になるなんて!!!

Huaweiの技術者がアフリカ政府によるスパイ活動に加担していたとの報道
https://gigazine.net/news/20190815-huawei-helped-african-governments-spy/


もちろんこの件に関する私の理解には根拠が乏しい。

が、過去から現在まで、中国に限らず世界中の国家が、或いは一市民の身近な個人的な関わりに至るまで、このような行動はごく普通の事として当たり前という認識が私にはある。


個々の事例に付いての根拠など、当事者でなければ知り得ることなど無い以上全てが想像のものでしかない。

が、これが人間の行動原則として普遍的な拘束力を持つのであれば、根拠として十分だと確信する。

要は「そういう事」をする理由がある以上、やっていないはずがないのだ。

特に、国家ともなれば。


個人ならば一定の倫理観の下、そういう行動に至ることが事実上不可能なケースも考えられる。

が、それが組織となれば、それも国家規模となれば尚更、そうした倫理に関する束縛は緩くなる。

ましてや独裁国家ともなれば、である。


国家としての主権において、国家の主権を守るための情報収集と自国が有利に立ち回るための工作は絶対に必要な事であり、そうした観点に置いて例外はありえない以上、中国ばかりを責める事は出来ない。

アメリカは当然の事、日本だってやっているのだから。

しかし中国のそれは、アメリカと同等以上の危険性を孕む。

何故なら、独裁国家による独善的な理由が日本やアメリカよりも桁違いに強いからだ。

民主国家ならばある程度働く抑止力が事実上ゼロである以上、我欲に駆られた連中が何をするのか想像してみればいい。

身近にいくらでもあるそういう事例が国家規模で行われているとすれば、その結果起きる惨事は説明するまでも無かろう。


まあそんなわけで、私は中国企業によるあらゆる行動を楽観視出来ない。

アメリカ企業はそれ以上に危険性を孕む一面を持つが、優先順位を考えるとどうしてもそうなる。

だから、日本国内で中国企業や彼らに関連するあらゆる国籍の人間の行動は、注意する必要がある。

一見社会的に良い意味での貢献に見える行動も、実際にはそれを隠れ蓑にした侵略である事が当たり前だからだ。

この事は日本企業にもまったく同じに当てはまる事なので、そこは誤解のない様にして欲しいと思うが。

なんにせよ、Huaweiは非常に危険だと認識すべき。

それが結論だ。



nice!(0)  コメント(0) 

セキュリティという名の幻想 [セキュリティ]

セキュリティは突破されるためにある。

この言葉に異論を唱える者はいまい。


あらゆるセキュリティは、どれほど堅固なものであっても必ず穴がある。

理論的には完全であるように見えてもその“完全”を担保する者が人間である以上、限界はあるのだ。


このため、コンピュータに関わるセキュリティも当然に同じ事が言える。

コンピュータによる自動化やらAIやらが言われていても、それを構築し管理するのは人間。

完璧などありえない。

セキュリティ企業が管理する約2800万件の生体認証記録が流出していたことが判明
https://gigazine.net/news/20190815-data-breach-biometric-security/


だからこんな事が起きるわけで、どれほど厳重に管理しているセキュリティであっても安心という言葉は絶対に言えないと思う。

このような現実の中で我々が出来る事は、セキュリティに関して注視する事を絶やさない事だ。

一般的に一度完成したと思われる対策は、実際には完成していない。

必ず何か問題が起きる事は確実なので、問題が起きる事を前提に、さらに言えば自分自身がセキュリティを突破する目的で研究と研鑽を永遠に続ける事が必要。

外部の企業にアウトソーシングなど、本来ならば穴を増やす事以外の何者でもない。(とはいえほとんど全てのケースではそうせざるをえないが)

まあ、セキュリティとはそういうものなのだ。



nice!(1)  コメント(0) 

5G時代のサイバーセキュリティ??? [セキュリティ]

今日、こんな記事をみつけた。

あなたの家電が知らぬ間にサイバー攻撃に加担!?5G時代に激増するサイバーリスク
http://wedge.ismedia.jp/articles/-/16857

昨今は家電をはじめあらゆるモノがインターネットに接続されつつある。

そして5G普及を前に、総務省が異例の「ハッキング調査」なるものを実施したらしい。

だが調査は良いが、それで実効性のある対策は可能なのか?

私は不可能だと思う。

以下は記事中の一文だ。

欧州の元政府関係者は「今世界の情報機関は、IoT機器などから情報を拾っている。人の健康状態から経済状況、冷蔵庫の中から毎日のスケジュール、人に言えない秘密まで、すべて集めることができる。そういう情報を工作活動などに生かそうという動きが始まっている」と指摘する。


一般の消費者のほとんどはこうした事実を知ってもなお、何も対策など出来ない者達である。

ましてや、自分の所有するIoT機器(含む“スマホ”)が乗っ取られて加害者になったとしても、自分は悪くないと考えるだろう。

だから、問題を解決するには、IoTなどという夢物語りを忘れ、20世紀末の単純なインターネット活用に戻るしか方法は無い。(もっと言えばインターネット自体を消去すべきだ)

根本的な問題は消費者の意識にあるので、幼少期から教育をすれば、という考え方もあるかもしれないが、それはあまりにも非現実的な選択肢だ。

現在の“教育”というものが、どうなっているか考えて見ればいい。

そんな事は頭の中身がディズニーランド(或いはピューロランドでも構わない)になっている者にしか、実現できると考えられないだろう。

私はそう思う。


nice!(1)  コメント(0) 

ウイルスバスターがいつの間にか真の中国製になっていた [セキュリティ]

【悲報】トレンドマイクロ さん、ウイルスバスター が中国製 (以下略)
http://blog.livedoor.jp/blackwingcat/archives/1983063.html

ウイルスバスターというセキュリティソフトは大変歴史のある製品で、私が初めて買った(確か1990年頃)セキュリティソフトでもある。

当時はインターネットも無く、パソコンのセキュリティについてはいたずらや業務妨害のような目的がほとんどで、当時の私には情報漏洩という概念すら無かったため、ウイルスバスターの素性などまったく気にしていなかった。


そして現在。

世界はインターネットによって結ばれ、時間や距離の壁が取り除かれて、世界中のどのような場所からであってもネットに接続出来さえすれば、地球上のどのような地域の情報でも公開されているものは簡単にアクセス出来るようになった。

また、これまで大した価値の無いように思われていた些細な情報から莫大な富を生み出す技術が開発され、これらの売買も盛んになった。

こうした背景からウイルスの主目的は金儲けになって、開発の主体も個人から大規模な組織へと発展した。


さらに、個人が常に携帯端末を持ち歩くに至り、情報操作での民意誘導による内政干渉が簡単になった事で、そのための情報収集にもウイルスが活用されるようになった。


というわけで、中国共産党に命令されると拒否権の無い中国企業の製品やサービスは極めて危険である、と結論できる。

当然、中国企業に買収されたというトレンドマイクロのウイルスバスターも例外ではない。

元々中国語圏の会社なので影響を受けやすいという事もあるし、それ以前の問題として昔から様々な問題を起している事もこのセキュリティソフトが危険であると私が考える理由になっている。


なお大変残念な事に、日本国内でウイルスバスターのシェアは高い。

何故なら、日本国内の様々な企業・組織と連携してサービスを展開しているからだ。

その最たる例がNTT。

あひる先生による「トレンドマイクロ NTT」の検索結果
https://duckduckgo.com/?q=%E3%83%88%E3%83%AC%E3%83%B3%E3%83%89%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD+NTT&ia=web

OCNやフレッツなんとか等と契約すると、オプションにウイルスバスターが存在する。

しかもこのサービス、「フレッツ・ウイルスクリア」などとウイルスバスターとは違う名前が付けられているのだ。


ここには書かないが、調べれば実に多くの問題や疑惑が噴出するウイルスバスター。

自分一人の問題としてだけでなく、自らの生活基盤となっている社会への影響を考えられる人ならば、選択肢に入れるべきではないと思う。



nice!(1)  コメント(0) 

無料期間のある有料ソフトに注意 [セキュリティ]


現在コンピュータソフトウェアのビジネスモデルは、従来からの買い切り(一度料金を支払えば永遠に利用可能)からサブスクリプションモデルと呼ばれる、定期的に課金が発生するものへと移行しつつある。


例えばMicro$oft社のOffice。

これまで3万円~6万円程度の買い切りだったものが、毎月500円~というようになっている。


一方、このサブスクリプション契約には二通りの契約が存在する。

一つは最初に契約を結び、利用を始める時から課金が発生するもの。

もう一方は一定の試用期間が過ぎると、試用期間内に解約しなければ自動的に課金が発生するものである。

後者は日本国内では携帯電話のサービスに多く見られるもので、携帯電話の利用者の多くがサービスをまったく利用していないにも関わらず、試用期間を過ぎてもサービスの解約をしないために無駄な課金を支払い続けているという問題が起きている。


この問題、そもそもこのような契約方法を商売に適用する事自体問題があると私は思う。

そしてこれをスマートフォンのアプリで悪用する者が最近出始めていて、これが問題となっているようである。


無料期間が終わっても高額な定期購入が続く詐欺アプリに注意
https://news.mynavi.jp/article/20190315-789673/


この記事によると、「無料試用版」となっているアプリをインストールすると最初にクレジットカードの情報を入力するよう促される。

多くの人はここでクレジットカード情報を入力しないと試用出来ないと感じて入力する。(大半の人はここで不信感を感じて躊躇するだろうが)

すると、アプリをアンインストールしてもサブスクリプション契約は継続していて、月額242ドル(約27,000円)や週160ドル(約18,000円)という金額がクレジットカードを通じて銀行口座から引き落とされるらしい。


このような詐欺ソフトに引っかからないようにするには、安易にアプリをインストールしないようにするしかない。

記事ではアプリのレビューや契約時の規約を読めなどの注意が書かれているが、これらの注意は実質的効果がほとんど無い。

何故なら、普通はレビューなどまるでアテにならないし、引っかかる人はいくら注意を促されてもレビューや規約など読まずに引っかかるからだ。

であれば、そもそもアプリなど入れるな、と言う方がわかりやすい。

スマートフォンのアプリケーションソフトウェアなど、ほとんど全部に近い数が無くても困らない、くだらないモノだ。(マトモなのは数百万などと言われる物の内せいぜいが数十から数百である)

過去には某有名ゲームの偽造されたものが流通するという事もあった。

アプリの名前や会社名などはいくらでも詐称出来るから、このような問題に対し勉強熱心で注意深い人以外は簡単に騙される。


そういう事を、幼少時代から教育するよう、国家が動く必要があると私は思う。


nice!(0)  コメント(0) 

ストアアプリは安全ではなかったのか [セキュリティ]


Micro$oft社は、現在Windowz上で動作するアプリケーションをMicro$oft $toreに移行させようとしている。

その心はAppleやAndroidのようなエコシステムを構築し、これによる収益を上げる事だ。

このため、Windowz Sのようなストアアプリしかインストール出来ない仕様のWindowzも存在し、その売り文句は「ストアアプリしかインストール出来ないから安全である」という事になっている。

当然、AppleやAndroidの現状を見ればこれは大きなウソである。

そして実際にこのような事になっている。


先週のサイバー事件簿 - アーカイバ「WinRAR」に19年前から脆弱性?
https://news.mynavi.jp/article/20190301-security/


この記事には、このような記述がある。


クリプトジャッキングアプリをMicrosoft Storeで確認

シマンテックの公式ブログによると、Microsoft Storeにおいて、仮想通貨「Monero」をマイニングするアプリが8件確認されたという。

(以下略)


というワケで、ストアアプリだからといって必ずしも安全ではない事が確認された。

無法地帯であるWeb上よりは多少マシとはいえ、今後もこの問題が解決する事は無いだろう。


nice!(0)  コメント(0) 

Intelだけの問題とは言えない [セキュリティ]


先日SPOILERというCPUの脆弱性が公表されたIntel。

昨日もまた新たな脆弱性が発表されている。

複数のIntel製品に脆弱性、修正版が公開 一部製品では利用中止を呼びかけ
https://www.itmedia.co.jp/pcuser/articles/1903/15/news090.html


また、記事中にJVN(Japan Vulnerability Notes)の記事が紹介されていたのでそちらを見ると、2月13日と3月14日の二回、“Intel 製品に複数の脆弱性”という記事が出ていた。


Intel 製品に複数の脆弱性 [2019/03/14 11:30]
http://jvn.jp/vu/JVNVU98344681/index.html

Intel 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU99119322/index.html


これらの記事内容をまとめると以下の通りになる。


・Intel製 無線LANドライバの脆弱性
・Intel製 USB3.0ドライバの脆弱性
・Intel Unite(会議等で画面共有する機能)の脆弱性
・Intel Active Management Technology(PCやサーバの遠隔管理)の脆弱性
・Intel Graphics Driverの脆弱性
・Intel Firmware(Intel マネジメント・エンジン)の脆弱性
・Intel Matrix Storage Manager(Intel ラピッド・ストレージ・テクノロジー)の脆弱性
・Intel SGX(セキュリティ対策機能) SDKの脆弱性
・Intel USB 3.0 Creator Utilityの脆弱性
・Intel Accelerated Storage Managerの脆弱性

これらの脆弱性により「情報漏えい」「サービス運用妨害 (DoS)」「権限昇格(要はPCの乗っ取り)」などが起きる可能性があるという。

また、Intelより「Intel Matrix Storage Manager」や「Intel USB 3.0 Creator Utility」は利用の中止やアンインストールが求められている。


まあ一部は昔からセキュリティホールが出まくって問題になっているが・・・

要はいらん機能が多く、それらが悉く問題を起していると。

特にセキュリティのためとか、ストレージ関係の機能向上のために提供されているモノがほとんどダメ。

これなら最初から無い方がマシである。

ちなみに私は10年以上前からこれらを信用していなくて、こうした機能のドライバやユーティリティ関係は全てインストールしないし、入っていたら削除している。

なんとなく入れておいた方が良いと思って入れている方は、これら全てをアンインストールした方が良いとアドバイスしておこう。(アンインストールすると一部デバイスが不明のデバイスとなるが、これは無視してもかまわない。少なくとも私の管理する環境でこれらが原因で問題が出た事は一度も無いので。)


後はグラフィックやUSB等の必須ドライバ関係。

これらは対策された新しいものに入れ替えるしかない。

Windows10はこうしたデバイスドライバの更新も自動で行うが、環境(或いは使い方)によってはデバイスドライバの自動更新が出来ない事も少なくない。

この問題に気付いたのなら、自分から積極的に更新した方が良いと思う。


さて、このように年中問題を起しているIntel製のデバイスだが。

自社の製品を差別化するために色々やるのは良いが、このように穴だらけでは逆効果と思うのは私だけだろうか。


一方AMD製システムをメインに扱う人はこのような問題がなくて一安心と言いたい所だが、これはIntelだけの問題として安心してはいられない。

AMDのセキュリティ問題に関する報告が少ないのは、恐らくシェアの問題から無視(積極的に穴探しが行われていない)されているのだと私は思う。

もちろんハード・ソフト共にセキュリティ問題対する対策がIntelよりもしっかりしている(CPUの脆弱性問題はその良い例)、という事は考えられるが、仮にそうだとしてもこうした問題がゼロになる事はありえない。


今の所は注意しようにも情報が無いため、何も無くとも出来る事をするしかない。



関連情報

SPOILERがあまりにも話題になっていない件
https://17inch.blog.so-net.ne.jp/2019-03-12

またCPU脆弱性が
https://17inch.blog.so-net.ne.jp/2019-03-06


CPUのハードウェア的欠陥
https://17inch.blog.so-net.ne.jp/2017-06-26

CPU 脆弱性
https://17inch.blog.so-net.ne.jp/search/?keyword=CPU+%E8%84%86%E5%BC%B1%E6%80%A7



nice!(1)  コメント(0) 

SPOILERがあまりにも話題になっていない件 [セキュリティ]


先日Intel製CPUに新たに見つかった脆弱性“SPOILER”。

あれから一週間ほど経つが、Web上に日本語の情報があまりに少ない。


何故かを考えてみて、思い付いたのは以下の理由。


1.素人向けにこの件の記事を書いても無意味
  事実上、自力で対処は困難な人がほとんどなので。

2.余計な混乱を防ぐため
  これもあり得る。

3.Intelの差し金で報道規制されている
  あり得る事だが、IT業界の人は知らない人の方が少ないだろう。
  だから、無知な消費者がIntel製品を避ける事を防ぐのが目的か。
  だが店で売ってるパソコンはとんどIntelなので選択肢など無いに等しいと思う。

4.情報収集に時間がかかっている
  メディア側で、不確定な情報を流す事を避けている可能性はある。
  具体的な対処などを含め、もっと詳細な情報を集めているのか。

5.昨年の「Spectre」「Meltdown」で大きな問題が出なかったので無視されている
  喉元を過ぎればなんとやら。そして似た事ならば脅威にも感じないのか。

6.脅威としてはそれほど高くないため
  攻撃が可能とは言っても、SpectreがAMD製CPUでは攻撃が非常に困難だった
  という事があり、それと同じで事実上大した影響は無いのかもしれない。
  もしくは、攻撃を成功させる条件が厳しく、時間的猶予があるとか。

・・・まあ全部ありそうで、実はそんな事無いのかもしれない。
ただ、個人的にはインテルからの圧力が一番影響しているのではないかと思う。


そんなわけで国内のIT関連のマスコミがほとんどダンマリを決め込んでいる事には、私などには想像もつかないような深~い事情があるに違いない。

「Spectre」と「Meltdown」の時には、あんなに大騒ぎしたのに。


さて、この件について私が知る限りの対処方法を三つほど書いてみた。

これらはまったくの素人にも可能な事ばかりだ。


一つはパソコンのCPUをAMD製にする事。これはパソコンを買い換える事に等しい。
なのであまり現実的な解決方法ではないが、最も確実かつ即効性が最も高い選択肢だ。
なにしろパソコンを換えた瞬間から、この問題より完全に開放されるのだから。

二つ目は攻撃の手段として用いられる可能性が最も高い、ブラウザ上でJava scriptを実行させる事を禁止する。
これはFirefoxやChromeなどのブラウザでNoScript等のアドオンを組み込めば良い。この場合全面禁止にすると普段閲覧しているWebページを閲覧できなくなる場合があるので、その場合限られた範囲でのみスクリプトの実行を許可させれば良い。
これだけでも攻撃から逃れられる可能性がかなり増す。

三つ目。今後配布されると予想出来る各種アップデートを確実にインストールする事。
Windows updateの場合自動で適用される場合がほとんどだが、まれにオプション扱いの場合がある。そのような場合自力で情報収集してアップデートの存在を確認し、インストールする必要がある。
さらに、SPOILERはアプリケーションレベルでの対策も必要なので、こちらも可能ならば行うべきだ。特にインターネット経由でデータのやりとりがあるブラウザ等は確実にやっておきたい。


以上。

一つ目はともかく、二つ目と三つ目は一円の金もかける事無く、誰でも可能な対処だ。

出来る人はやっておいた方が良いと思う。


nice!(1)  コメント(0) 

またCPU脆弱性が [セキュリティ]

以下の記事によると、Intel製CPUに新たな脆弱性が見つかったそうだ。

インテル製チップに新たな脆弱性「SPOILER」--修正は困難との指摘も
https://japan.cnet.com/article/35133748/


脆弱性の影響は昨年1月に騒動を起こした「Spectre」と似ている。

例えばブラウザに悪意のあるスクリプトを読み込ませるだけで、情報の抜き取りや乗っ取りが可能な点がそうだ。


違う点は、過去の「Spectre」に対する対策はまったく意味が無い事と、AMDとARMにはこの脆弱性が無いという事。

従って今回発表された脆弱性は、Intel製のCore iシリーズを使ったシステムでのみ問題となる。



この件に関してIntel側は、(以下記事からの引用)

“サイドチャネルの安全を確保するためのソフトウェア開発手法を採用することでソフトウェアを保護できると、われわれは考えている。”

と述べており、また

“Rowhammer型の攻撃に対する緩和機能が実装されたDRAMモジュールは保護された状態を保っているものと考えている。”

とも述べている。


従ってサーバー等では一部の物について完ぺきではないにしろ、すでにある程度対策済みである可能性がある。

一方でそうではないもの全てについては、ソフトウェア的対策が難しい事と、“サーバー用のセキュリティ対策機能付きメモリ”など使えるわけも無いため、出来る対策には脆弱性を排除したハードウェアに交換する以外の方法が無い。

ソフトウェアによる対策がどこまで可能であるか、という事もあるが、対策は「Spectre」と同等かそれよりも難しいようなので、早くて来年以降に出る新しいCPUに世界中のIntel製システムが更新されるか、今回の脆弱性が最初から存在しないAMD製のシステムに乗り換えるまで、この影響は続く事が考えられる。


なお、この問題は昨年12月1日にIntelが報告を受けており、今回の発表のタイミングでなんらかの対策を実施する目途が立っている可能性がある。

その対策がどの程度の効果を持つかわからないが、何もしないよりはマシになる事だけは確かだ。

なので、無力な一消費者でしかない我々は、一週間後のWindows update等で配布されるであろうアップデートファイルを待つ事にしよう。


参考

この脆弱性の論文
SPOILER: Speculative load hazards boost Rowhammer and cache attacks
https://arxiv.org/pdf/1903.00446.pdf

Broadwell以前でも性能低下がほぼない「Spectre V2」対策がWindows 10に実装へ
https://pc.watch.impress.co.jp/docs/news/1172863.html


nice!(1)  コメント(0) 

スマートコーヒーメーカーをハッキング [セキュリティ]


スマートコーヒーメーカーに沸き立つトラブル:Wemoデバイスの脆弱性を分析
https://blogs.mcafee.jp/your-smart-coffee-maker-is-brewing-up-trouble


この記事には、IoTデバイスが外部からの攻撃に対し如何に脆弱であるかが書かれている。

そしてその実例として、あるコーヒーメーカーを使った実証実験を行っている。

記事の内容はかなりゴチャゴチャしていて、専門知識が無い人にとっては何が書いてあるかサッパリかもしれない。

実際、私が読んでも理解出来る部分は非常に限られる。

が、記事の内容を要約すれば誰でも理解出来る内容である。

以下その要約。


・コーヒーメーカー「Mr. Coffee」を分解して調べた

・「Mr. Coffee」は“WeMo”というホームオートメーションに対応

・WeMoには既知の脆弱性がある(記事ではこれ以外の新しい脆弱性も発見している)

・脆弱性を利用してハッキングに成功(コーヒーメーカーをアプリを介さず直接操作)


以上。

実験ではコーヒーメーカーの機能を任意に操作するスクリプトを実行していたが、このハッキングにより可能なのは当然それだけではない。任意のスクリプトが実行可能という事は、当然にコーヒーメーカーのOS(ほとんどの場合Linux)で可能な事が全て出来るという事だ。

記事ではWiFiのクラッキングが容易である事実を紹介し、WiFiによる遠隔操作でこのようなハッキングは非常に簡単である事を示している。

昨今はこのように簡単な操作でIoT機器が乗っ取られ、乗っ取られたIoT機器を使った重大なサイバー攻撃や情報漏えいが実際に起きている。

一方でそのよな脆弱性を持たないIoTデバイスはゼロであり、しかも脆弱性の修正はほとんどの場合で行われない。

犯罪者にとっては正にやりたい放題な状況で、こうした現状に対する業界側の対策は事実上不可能である。


その事を踏まえて考えると、被害者、或いは加害者にならないようにするためには、無闇にIoTデバイスを買わない・使わないようにするしかない。

サーイバー攻撃は通常、攻撃されている事に気付かれない様に行う。

現在進行形で行われているサイバー攻撃に、気付いていないだけで自らも加担しているという意識を持つ者もほとんど存在しない。

もしこの記事を読んで思うところがある人が居れば、この現実を良く考え、良く学び、これからどう行動すべきか良く考えて欲しいと思う。



以下、同様の記事

バックドアと音声アシスタントの脅威:2019モバイル脅威レポートの重要ポイント
https://blogs.mcafee.jp/2019-mobile-threat-report



nice!(1)  コメント(0) 

FacebookではなくFakebookの間違い [セキュリティ]


私は、Facebookが嫌いだ。

何故なら虚飾とウソが氾濫しているから。

記事を投稿する者達は当然の事として、広告も、運営会社も、だ。


だから私は、これからFacebookの事をFakebookと呼ぶ事にする。

そのFakebookだが、フェイクニュース問題で今もなお問題視されているにも関わらず、またこんな問題を起している。


Facebookが広告の透明性を保つツールを排除(以下略
https://gigazine.net/news/20190201-mozilla-concerns-facebook-transparency/


つまらない広告に騙される人達の事はどうでも良いが、その影響が私のような無関係な者にも広がる事は困る。

とはいえ、影響力が大きすぎるFakebookをいまさらどうにか出来るとすれば、世界レベルの暴力装置を発動させる以外に方法は無い。

今回Mozillaが取った行動にどの程度影響力があるのだろうか。

私がMozillaに対して出来る事といえばFirefoxやThunderbirdを使い、また周囲に広める事くらいだが。

微力ながら応援したい。


nice!(1)  コメント(0) 

これは兵器だ [セキュリティ]


「ablo」で多言語コミュニケーションしてみた
https://gigazine.net/news/20190124-ablo/

GIGAZINEのこの記事。

冒頭の数行を読んで感心した。

便利なモノがあるのだな、と。


だが次の瞬間、世界中の人々がこのツールを使う様子を想像して怖くなった。

「これは兵器だ」と。

使い方次第ではヘタな核兵器よりもずっと恐ろしい破壊を可能とするだろう。


世界中の人の言葉を、自国の言葉に変換して相互にコミュニケーション。

素晴らしい。

だが、それを一つの翻訳システムが統括し、仲立ちしている。


そこで交わされるあらゆる情報は、世界中のあらゆる地域、あらゆる人々への理解に繋がる。良い意味でも、悪い意味でも。

これをAIだのビッグデータだので解析すれば、人心の操作が容易に可能となる。それも、世界中の人々を、国や地域にまたがった複雑な因果関係をも包含した、複雑な行動原理の解析結果を基にした大規模な人心操作が。

「ablo」を活用すれば、あらゆる国、あらゆる人種、老若男女問わず、それぞれ目的に適した言葉を用いて人の行動を操作可能だ。チャットする人々の中に工作員(これは人間でもbotでもかまわない)を送り込んで、AIで解析した結果を元に目標とする地域の人達の行動パターンに沿って必要な言葉を送り届ければ良い。


実際既にSNS等を利用した世論工作は国レベルで行われ、効果が証明されている。

SNSは基本地域ごとに違った言語が用いられているから、そこに障壁があった。

だが、「ablo」にはそれが無い。


世界がつながる。距離と時間の障壁がなくなり、何時誰とでもリアルタイムでコミュニケーションが出来る。

インターネットのおかげである意味素晴らしい世の中になったが、同時に悪用も素晴らしく容易になった。

「ablo」はその集大成だ。

どこの誰がこんなモノを作ったのか知らないが、現在のSNSがそうであるように「ablo」も悪用されると思う。



nice!(1)  コメント(0) 

中国製の余計なもの [セキュリティ]

今年は、中国製のIT関連機器にスパイ活動のチップなどが埋め込まれているという、本当かウソかわからない報道があり、告発した者と告発された者との間で本当か嘘かの応酬があった。またこの告発を発端に一部でちょっとした騒動に発展し、アメリカはこれをキッカケにこれまで温存していた「中国製の機器を排除する」というカードを切った。

こうした「中国製は危ない」関連の情報について、私には真偽のほどはわからないが、少なくとも「実際にあり得る」と個人的に考えている。


この件に関して今日、こんな記事をみつけた。


“余計なもの”って何? 「Mate 20 Pro」の疑惑を晴らす
http://eetimes.jp/ee/articles/1812/14/news036.html#utm_source=ee-elemb&utm_campaign=20181218


この記事について最初に結論を言う。

「疑惑はまったく晴れていない。」

恐らくこの類の記事は所謂“ステマ”に類するものであり、背後には該当する製品を売る企業が存在する。
つまり、この記事はファーウエイに依頼されて書いた記事である可能性があるのだ。何故こんな事が言えるかというと、現在そういう記事を大手企業が書かせるという手法は極めて当たり前になっているからだ。
(疑惑を否定する声明なども同様に書かされている可能性がある。)


まあ内容としては記事を読む限り、分解して基盤に載っている部品を調べただけのようだが、中国側の動機と目的を考えるとこの程度で発見できるわけがない。

少なくとも過去にそのような例が発見されている以上、疑われる可能性がある自国の製品にバラしただけで見付かるようなスパイ機能などあり得ない。

そもそも今回疑惑の発端となったアメリカの企業で設計・中国の工場で製造される某サーバー用メインボードには、件のチップが積層基盤の中に埋め込まれていて発見は困難だったというシロモノだ。

もし私が、世界中で使われるネットワークの基幹製品や世界中で使われる通信端末(パソコンとかスマートフォン他各種IoT機器)にスパイ機能を付けるなら、チップのダイなどを電子顕微鏡などでリバースエンジニアリングしても容易に発見出来ない方法を使う。(詳細は説明しないが、アイデアはいくらでも浮かんでくる)


よって、ネタにされているファーウエイの「Mate 20 Pro」という製品の疑惑は、まったく晴れていないのである。


分解したら“余計なもの”が見つかった!?日本政府も「ファーウェイ排除」へ
https://www.fnn.jp/posts/00397920HDK


nice!(2)  コメント(0) 

ソフトバンク回線障害のニュースを見て [セキュリティ]

携帯電話の回線障害というものは、大なり小なりどこのキャリアでもあるものだ。

しかし大規模なものはソフトバンクだけがやけに多い。

検索するとこの手のニュースは過去から現在まで色々見付かるが、今回は特に規模が大きいようだ。


【緊急レポート】ソフトバンク大規模障害は他キャリアでも起こりうる
https://www.businessinsider.jp/post-180960


この記事によると、原因は以下のように書かれている。


“ソフトバンクの説明では同日午後1時39分ごろ、全国のユーザーをカバーする東京センターおよび大阪センターに設置してあるエリクソン製パケット交換機全台数でソフトウェアの異常が発生したという。”


私は中国製通信機器が反乱でも起したのかと思った。(冗談だが)


まあそれはそうと、この件で思い起されたのは中国製通信機器の問題。
今日もこの事に付いてネット上でニュースが出ている。


ファーウェイとZTEが米国市場から排除される理由
中国の電気通信企業が国家の手先となりあの手この手のサイバー攻撃
http://jbpress.ismedia.jp/articles/-/54857

ファーウェイ幹部逮捕で本格化、米国の対中防諜戦
http://jbpress.ismedia.jp/articles/-/54888

「毛沢東思想の商業化」がファーウェイの行動原理だ
http://jbpress.ismedia.jp/articles/-/54896


この問題、日本国内では異常なほど話題になっていない。
それどころか相変わらず中国製端末は大々的に広告に載って推されている。

2020年の東京オリンピックに向けてサイバー攻撃に対する危機感が高まっているにも関わらず、だ。
(担当大臣からして素人以前の者なのだから、こうなる事が当たり前のお国柄なのだろうが)

一体何が理由で皆無関心で居られるのだろう。

まあ、ほとんどの人は自分に関係が無い話題という認識に違いない。


2018/12/08 追記

日本の政府調達からファーウェイとZTEを排除へ=関係筋
https://jp.reuters.com/article/huawei-zte-japan-idJPKBN1O605G

まだ確定したわけではないが、すでに日本政府の方針としてはファーウェイとZTEを排除する事になっているらしい。

しかし理由が「アメリカがそう言うのだから」では困る。
日本の当局でしっかり問題の検証を行って、独自にその必要性を追求していって欲しい。


関連記事

Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆
https://gigazine.net/news/20180920-lenovo-backdoor-in-china/

Amazonが「スマホの個人情報を無断で中国のサーバーに送信している」と報告されたBLUのスマホを撤去
https://gigazine.net/news/20170803-blu-grand-smartphone-privacy/

Android搭載スマホがユーザーデータを密かに中国へ送信していることが発覚
https://gigazine.net/news/20161116-android-send-message-china/

280万台以上のAndroidスマートフォンにルートキット入りの中国製ファームウェアが使われていると判明
https://gigazine.net/news/20161121-3million-android-with-rootkit/

米国、同盟国にファーウェイ製品使用停止要請
https://17inch.blog.so-net.ne.jp/2018-11-25

中国製品が如何に危険かというお話
https://17inch.blog.so-net.ne.jp/2018-10-10

世界中の消費者はこの事実を心に刻むべし
https://17inch.blog.so-net.ne.jp/2018-10-09-1



nice!(0)  コメント(0) 

中国製スマートフォンが危険かどうかは視点によって違う [セキュリティ]

最近米国が同盟諸国に対し、ファーウェイ製の通信機器使用停止を求めている事でにわかに注目が集まっている、中国製通信機器の危険性。

米国からの要請は今の所ファーウェイのみに留まっているが、今後はZTE等、他社も入るかもしれない。


この問題、一般の消費者から見れば「自分には関係ない」となる。

何故なら、この問題は主に社会インフラとして整備される通信網に使用される機器や、機密情報を扱う組織や個人などが利用する機器が対象となる話だからだ。


だがこの問題、本当にそれだけなのだろうか。

一個人の日常で行われる通信内容や他人とのつながりは、現在中国に限らずあらゆる国のサービスで抜き取られている情報だ。

そのように考えると「何をいまさら」という感じだが、中国の場合国家(中国共産党)がかなり大規模かつ積極的に情報収集に関与しているという点が他と違う。

要は他国と比べかけている人と金のケタが違うわけで、そこからもたらされる情報が何に使われるのかという事も考えるべきだと思う。


過去、日本と米国が太平洋を挟んで戦争をしていた時、米国の情報収集は帝国陸海軍に対してだけではなく、一般国民に対しても行われていたという。

何故、軍と無関係な一般大衆が日常的に接する情報まで収集されていたのか。

それは、そういった所から間接的に軍の動向が推測できるからだ。

つまり70年以上前に米国がやっていた事は、今でも通用するわけである。


またさらに言うと、有象無象の個人情報は金になる。

そして犯罪に利用する事も出来る。

政府や軍の要人に影響力を及ぼす必要があるならば、家族や家族の友人から情報収集する事も可能だ。

ちょっとした資金調達も、有象無象の個人情報からいくらでも引っ張り出す事が出来る。

情報を聞き出すために誰に接触すべきか、或いは拉致が可能かどうかなども、日常の行動パターンや趣味趣向といった情報から調べる事が出来る。

機密情報とは無関係の一個人からタレ流される情報が何万~何千万人分も集まれば、一見無関係の他人から糸を手繰り寄せるようにして目的を果たすなど、意外と出来る事は多いものだ。


というわけで、ちょっと視点を変えると普通無関係と思われる一個人であっても、中国製のスマートフォンを利用する事は“ひどく遠回りだが間接的に自らの安全に関わって来る”という事がわかると思う。

そして想像力を働かせば、ある企業の不利益や国全体の不利益が、まわりまわって自分の首を絞める事になる場合だってある事も理解出来るはずだ。

当然、一人二人が使ったからといって影響があるなんて事はあり得ないだろう。

しかし何万~何千万という人が使うと話は変わってくる。

この事は最低限、そういう事もある、というくらいには覚えておいた方が良いと私は思っている。

そして出来るならば、行動を起して欲しいとも思う。


ファーウェイのスマホは“危険”なのか
http://www.itmedia.co.jp/business/articles/1811/29/news029.html

みんな見て見ぬ振り
https://17inch.blog.so-net.ne.jp/2017-03-06


nice!(1)  コメント(0) 

米国、同盟国にファーウェイ製品使用停止要請 [セキュリティ]

中国製のIT機器はかなり以前からバックドアなどのスパイ機能が存在すると言われていて、実際にそのような機能が発見された例も数多く存在する。

その手段は対応が比較的簡単なアプリケーションレベルのものから、OS内に仕込まれた除去が困難なもの、そしてハードウェアに組み込まれていて発見が困難なものまで、多岐にわたる。

このようなセキュリティ上問題の多い中国製IT機器だが、「安い」という点で様々な企業に大きなメリットがあるため、或いは中国によるスパイ機器を潜り込ませる工作が作用して、これまで先進国では当たり前に基幹ネットワークに組み込まれているという実情がある。


こうした問題が十年以上放置されている現状になんの危機感も持たない各国政府には何時も驚きと落胆を感じている私だが、最近アメリカは中国製のTI機器を排除しようという動きが持ち上がっていて、それが同盟国にも広がる可能性が出てきた。


米国、同盟国に中国華為の製品使用停止を要請
https://jp.reuters.com/article/usa-china-huawei-idJPKCN1NS05C


こうした動きの背景はとても根が深い。

かつてアメリカを筆頭に西側諸国は、中国を自分達の陣営に引き込みたいがために中国の所業を黙認し、さらに経済発展を支援、そのうえ先進技術の移転等、異常とも思える厚遇を続けてきた。

中国も技術と経済力が西側諸国に対抗出来る水準に達するまで、表面上は良い顔をしつつ、自国の市場規模から得られる利益をエサとして振る舞い、西側に恭順する可能性をチラつかせていた。
(そもそも国連の常任理事国に中国を入れたのも失敗の元だ)

日本のお花畑達はともかく、西洋諸国も「中国と中国人について何も知らない」。
そのうえ自分達に都合の良い解釈ばかりをするという、傲慢極まる考えで何もかも思い通りに事を運んでやろうとしたいるのだから、それは中国に良い様に利用されるわけである。

こうした背景があるので、中国製品に対する危機意識は欧米諸国ではとても低い。
何か問題があっても過小評価し、自分達ならばいつでもどうにか出来ると思い込んでいる。

さらにリベラルと言われる考え方が自らの傲慢さの中で変質していき、猛毒を無害であると判断するようになってしまう。

だから今更危機感を覚えたところで手遅れなのだ。


アメリカは今回、ファーウェイ製品の使用停止要請を同盟国にしているわけだが、こんな事は21世紀に入ってすぐに行うべき事だった。

中国は世界各地に住む中国系の住民に、常時中国にとって都合が良い世界になるよう、協力を要請している。例えば今回の例で言うと、世界中の国で社会インフラとして使われる機材にバックドアを仕掛けた中国製を使うように仕向けたり、各国の防衛産業に食い込んで中国製の部品を使うように工作しているのだ。

こうした工作は民間の最底辺から国家のトップレベルにまで満遍なく影響力を持つよう、組織化され入念な仕込みを行っているからこそ可能な事である。

従って、今更使用停止要請など行っても後の祭り、焼け石に水である。

我々からすれば全ての中国製品を除去しない限り安心は出来ないが、それはもはや不可能。
一方で中国からすれば、一部でも残れば勝ちである。


日本国内ではソフトバンクの携帯基地局がファーウェイ製である事が有名で、それ以外にも実に様々な場所で同社製品が使われている。
当然、こうした危険な中国製品はファーウェイ以外の中国系企業からも出ていて、我々日本人は一人の例外も無く毎日お世話になっている。

そういえば先日私の所に某電話サービス会社よりダイレクトメールが来て、スマートフォンの広告がこれに含まれていたが、その広告でもファーウェイ製のスマートフォンが一番最初のページに載っていた。

まあ、要はそこまで毒されているわけである。

従って、今頃アメリカから「同盟国にファーウェイ製品使用停止要請」などが来ても、何を今更としか思えない。

ちなみにこの問題、本気でなんとかしようと思うのならば、かなりの長期戦への覚悟と、今までとは違う考え方が必要だ。

やって出来ない事はないだろうが、ほとんど無理に近い困難さであると思う。


関連記事

みんな見て見ぬ振り
https://17inch.blog.so-net.ne.jp/2017-03-06

中国製品が如何に危険かというお話
https://17inch.blog.so-net.ne.jp/2018-10-10

他、中国製品に関する記事色々
https://17inch.blog.so-net.ne.jp/search/?keyword=%E4%B8%AD%E5%9B%BD


nice!(1)  コメント(0) 

世の中ステマだらけ [セキュリティ]

世の中ステマだらけだという実感を持つ人は少なくないだろう。

一方でそういう事に気付いていながら、無意識にステマに引っかかっている人がほとんどだと思う。

もちろん、私もその一人だ。


とはいえ、引っかかった直後に購買行動やその他肯定するなんらかの行動を取る前に、それがステマかどうか改めてチェックする事は可能だ。

そうする事で、最終的な被害を防ぐ事が出来る。


昔、何の価値も無いゴミを金に換える事が商売人としての能力の見せ所みたいな、そういう話があちこちで見聞きする時代があった。

それは今私の周辺に無いだけで、今も当時と同じなのかもしれない。

そしてステマとはそれを具現化するうえで効率が良いツールだ。

消費者に本来必要とされないものを買わせる。または、他に良い物があるのに質が落ちる方があたかも良い物であるかのように錯覚させて買わせる。

こういう事が如何に世の中の害になるか、理解出来ない者は居ないはずだ。だが、金のためならなんでもする人間はそこらにいくらでも居る。そういう者達がステマとなるものを作って拡散しているのだ。

そうした事の一端が、以下の記事に詳しく書かれている。


新型ステマがルールの盲点突く手口、奴隷化するウェブメディア
https://diamond.jp/articles/-/183404


私がここに記事を書くネタのほとんどは、所謂“ウェブメディア”の記事から取ってきている。

だから、私はそういう事にはわりと敏感だ。

そして実際にステマとしか思えない記事がとても多い事も実感している。というか、そうではない記事など探さないと見付からないといっても過言ではない。

益体も無いモノに無駄な金をつぎ込む人は多い。
それがあくまで“趣味”と言える範疇に収まっていればまだ許せるが、それが実生活に食い込んでいるとなれば話は別だ。

そして悪貨が良貨を駆逐するがごとく、良い物がどんどん減っていく。

今は正にそういう時代なのだ。



nice!(1)  コメント(0) 

人類総操り人形化計画 [セキュリティ]


脳を接続しテレパシーのように思考をシェアしてテトリスの3人共同プレイに成功
https://gigazine.net/news/20181014-connected-brains-share-thoughts/


この研究は危険だ。

何故なら、脳に直接なんらかの信号を送る事で人の行動を誘導する事が可能だからだ。


これがもし、対象となる人間一人の一生の内、10年に一度、精々数回ならばその影響は無視出来る。(例外として、事前に対象となる人間の精密な調査と、その結果による効果的な情報操作を組み立てる事が出来れば、たった一度その影響にさらすだけで十分な場合も考えられるが。)

だが毎日のように繰り返すと本人が知らないうちに洗脳されて、外部からの信号で行動を操る事が可能になるだろう。

これは送られて来るイメージを本人がどれほど無視していたとしても無意識の領域に刷り込まれるから、その影響から逃れる事は困難だと思う。
また、イメージを見たくないといっても、まぶたを閉じると見えるという「眼閃」を利用しているのだから、イメージを見ないようにするには一生目を閉じることが出来ないのだ。

従って、一旦その影響下に置かれたのなら逃れる術は無い。


現在はまだ専用のインターフェイスである「帽子」が必要だが。

その内に電波や音波で間接的に同様の効果を得る方法が開発されるだろう。

もしそうなったら、地球上のどこに居ても特定の人間に任意の行動を起させる事が出来るようになる。


私の予想が現実になるにはまだ数多くの障害が存在すると思われ、今の所は非現実的な妄想の域を出ない予想である。

が、いずれそうなるのは時間の問題であると私は思う。

先進国や大国に該当する国々は当然のこと、そうではなくとも独裁国家等つまらない野心を持つ小国にとっても、この実験の成果は非常に魅力的に映るはずで、だとしたら彼らがこの研究を悪用しない理由は存在しないのである。


私の予想する事態を防ぐには、人の良心や倫理観を信じる他はない事が残念に思う。



nice!(2)  コメント(0) 

BadUSBの脅威 [セキュリティ]


USBはもはや我々の生活になくてはならないモノで、最初はパソコンから普及し、現在では家電からスマートフォン、果てはクルマまで、ありとあらゆる製品に利用されている。

そんなUSBにはハードウェア的な欠陥が存在し、この欠陥を利用すると簡単にマルウェアを忍び込ませ、USBを持つ機器を乗っ取ったり、情報を奪う事が可能だという。

この問題は現在の所USBの規格そのものを作り直す以外に根本的な解決方法は無いという。

つまり対症療法的な対策しか出来ないわけで、対策をしたとしても常にいたちごっこに陥る事を示している。

この問題には「BadUSB」という名が付けられているそうな。


USBの各種機器には、ホストとなるコンピュータ(USB OTGを用いれば、対応する機器ならばパソコン以外でもホストに成り得る)に対して自分がどういったモノであるかを示して、ホスト側にどのような挙動を取るべきかというような通信を行い、また自らの挙動を操作している。このため一定規模のCPUとメモリに加えてフラッシュメモリなどで構成された書き換え可能なストレージを備える、一台のコンピュータが備わっている事が多い。

BadUSBはこうしたUSB機器に存在するコンピュータに、任意の動作をさせるためのプログラムを書き込む事が可能な脆弱性で、USBの仕様上防ぐ方法は無い。

最近はパソコンのUSBポートに差し込む様々な小物が非常に安価に売られているが、もしこれらの小物にBadUSBを利用した悪意のあるプログラムが仕込まれていたとするなら、それを差し込んだ瞬間にパソコンは乗っ取られる。スマートフォン充電用のUSBケーブルやUSBの扇風機などがこれに該当し、実際に100円ショップ等に並んでいてもおかしくはない。

或いはイベント等で配られる記念品にBadUSBを利用したUSBメモリが紛れ込んでいて、標的となる企業の技術者や重役の手に渡る事も考えられる。

USBケーブルやUSB扇風機にコンピュータなんか存在しない、と思っている方は、その考えは正しい。しかし悪意のある者はその正しい常識を利用して、USB扇風機にゴマ粒ほどの大きさのコンピュータを仕込む事で簡単に常識的な人たちのコンピュータを乗っ取る事が可能なのだ。
やろうと思えばUSBのコネクタにそれを仕込んで、単にUSB機器を組み立てているだけの工場に部品として売り込み、“悪意のあるUSB扇風機”を完成させることだって出来る。


さらに、やろうと思えばマルウェアに感染したパソコンにUSBメモリやスマートフォン等を接続しただけで、これらの機器がBadUSBを利用してマルウェアをばら撒く機器に変貌させる事も可能だと思う。

以前私は「Type-Cケーブルはクラック出来るのか」という記事を書いたが、当時はBadUSBを知らなかった。だが。BadUSBの存在によってその話も一気に現実味を帯びてきた。



まあ、こんな話をしたところで、私を含めてほとんど全ての人は対策らしい対策を取る事は不可能だ。

出来る事といえば、不審なUSB機器を安易にUSBポートを持つ機器に接続しないこと。

例えば知り合いに「写真が入っている」と言われて手渡されたUSBメモリを、パソコンやプリンターに差し込んでUSBメモリ内の写真を印刷するという事はやめた方がいい、という事になる。

さらにいえば、新品のUSBを備えた機器(例えばUSBメモリ)でも、製造段階でBadUSBを利用するマルウェアが仕込まれている可能性もある。

なにしろBadUSBは2014年に、誰でも利用可能なプログラムのソースコードが公表されているからだ。このような状況でBadUSBを利用しない犯罪者や国家などは存在しないだろう。だから、規模の大小を問わなければよくこうした問題で疑われる事が多い中国に限らず世界中の国で、BadUSBを利用した悪意のあるUSB機器を製造(或いは市販品の改造)している可能性がある。

ちなみに、個人で興味本位や勉強目的でBadUSBの機能を再現する実験などがすでに数多く行われていると思われる。

こうした行為のほとんどは実験や勉強が終わった後、BadUSBの実験に用いられた機器が出回る事など無いが、中には最初から犯罪目的の実験もある事は間違いない。例えそれが実行不可能な計画だったとしても。

こうした中から、世の中に大きな影響を与える問題が出てくる可能性を否定は出来ない。


USBに設計上の致命的な脆弱性が発見され、そのコードが公開される
https://gigazine.net/news/20141006-badusb/

Kaspersky Lab流BadUSB対策
https://blog.kaspersky.co.jp/badusb-solved/11955/


nice!(2)  コメント(0) 

中国製品が如何に危険かというお話 [セキュリティ]

世界中の消費者はこの事実を心に刻むべし
https://17inch.blog.so-net.ne.jp/2018-10-09-1

私は昨日こんな記事を書いたが、今回はその続き。

中国政府と中国人民解放軍が主導して、さらに中国系企業や中国資本の入った他国の企業を巻き込んでハッキングが繰り返されている事は、かなり以前から言われている事であり、以前は中国との関係を保つ為に表面上はあまり問題にしなかったアメリカも、現在ではオバマ前大統領とは違う考え方のトランプ大統領の考えもあってその事実を公式に認めるようになっている。

「中国はトランプ大統領の排除を画策している」ペンス米副大統領
https://www.newsweekjapan.jp/stories/world/2018/10/post-11065.php


こうした背景の中、アメリカの「Bloomberg」という企業が、AppleやAmazon“も”利用するサーバーの基幹部品であるマザーボードに“人民解放軍によってデータを盗むチップが仕込まれている”という報道がなされ、世界中でちょっとした騒動になっている。


(前略)人民解放軍の実働部隊にデータを盗むチップを仕込まれた(以下略)
https://gigazine.net/news/20181005-apple-amazon-supermicro-hack/


この報道に対しAppleとAmazon、そして標的となったマザーボードのメーカーであるSupermicro(いずれもアメリカの企業)は即座にその報道を否定。また、専門家などからもそのような事は不可能であるとか、この報道を否定する声が相次いだ。

ここまでの情報を元に私が思う事は、もしこれが事実だとしてもAppleやAmazonは否定をするだろうという事。何故なら認めてしまえば中国からの報復が必ずあるからで、それによる不利益を回避するためには絶対に認めてはならない事だからだ。

だから、事実だとしても彼らは内々に処理して闇に葬るという道を選ぶだろう。

そして今の所はこの件が事実であるという証拠は出ていない事から、中国にはそれをする動機がある、という根拠からの推測しか出来る事はない。


そしてこの件が発端となって、いくつかの情報が出てくる事になる。

中国軍がSupermicro製マザーボードにスパイ・チップを製造段階で仕込んだ(以下略)
https://gigazine.net/news/20181010-supermicro-motherboard-attack/

AIやX線を使ってマザーボードに仕込まれたスパイチップを見破るシステム
https://gigazine.net/news/20181010-spotted-secret-chinese-chip/


この二つの情報から、“そもそもそんな方法でハッキングなど出来ない”、或いは“もし仕込まれていたとしても発見など出来ない”、という意見は否定された。


それから今日のGIGAZINEによるこの件に関する最新の記事だ。

「サーバー用マザーボードへのスパイチップ埋め込み」に専門家から疑問の声(略
https://gigazine.net/news/20181010-supermicro-bloomberg/


前半はこの件を否定するための専門家の意見が書かれている。

内容を読むとそれは尤もだ、と思える内容だが、同時に中国からの横槍を感じさせる内容にも思える。要は中国の差し金で否定する意見を言う学者や専門家が大勢居る可能性が高い、というか存在しないと言う方が不自然だ。

この事を考えていると、以前私がバイドゥの「Simeji」に関する記事を書いたらSo-netに削除(記事自体は下書きとして残ったが)された件を思い出した。

私がSimejiに関して書いた記事
https://17inch.blog.so-net.ne.jp/search/?keyword=Simeji

私がバイドゥに関して書いた記事
https://17inch.blog.so-net.ne.jp/search/?keyword=%E7%99%BE%E5%BA%A6

このように中国は都合の悪い情報を片っ端から消しにかかるという行動を、他に類を見ない必死さで行う。この事は中国国内でインターネット内の情報が検閲されている事実からも、証拠が無いとしても世界中で同様の工作が行われている事は確実である。


一方後半には騒動の元となった記事を書いた米Bloombergから、新たな証拠が見付かったという記事が出ている事が書かれていた。

以下、GIGAZINEの記事からの引用

情報によれば、「悪意あるチップ」の埋め込みは中国の諜報機関からの依頼を受けて製造業者がSupermicro製マザーボードに行ったもの。2018年8月、USテレコムが当該チップを発見して除去を行っており、「Supermicroも被害者の1つで、他にも中国で製造が行われている他のベンダーの機器にも同様のことが行われている」そうです。

この記事に対する中国の反応は、中国自身も被害者であるというもの。

犯罪を行った者が責任を回避する常套句だ。


最後に、こうした中国製品のハード・ソフトに埋め込まれた、バックドアや情報搾取の問題は企業や社会インフラに対する直接的な攻撃手段としてだけではなく、民生品、主に家電やスマートフォン等でも広く見付かっていて、適当なキーワードでWeb検索を行えばいくらでも情報が出てくる。

当然こうした情報の中には明らかなガセも多く含まれると思う。

だがその一部だけでも本当ならば、それは氷山の一角と見るべきだ。

中国製品には安くて優れた製品が少なくない事は事実だが、同時にこうした問題も考えて、何を買うか、買ったとしてどういう事に注意すべきか、よく考えるべきだと私は思う。



nice!(1)  コメント(0) 

世界中の消費者はこの事実を心に刻むべし [セキュリティ]

私は過去、度々パソコンに関する中国企業や中国共産党の影響についてここに書いた。

これを読んだ多くの人はバカのたわごとだと思っただろうし、だからどうした、くらいにしか思わない人も多かったと思う。

だが、そういう無関心はやめるべきだ。

中国の「劇的ITイノベーション」が本当はとても怖い理由
https://diamond.jp/articles/-/181535

この記事を読んで、中国企業が売っているIT関連商品に対する評価が上がる人が居るのだろうか。

共産党の監視下、中国共産党の利益になるならなんでもアリという方針の下製造される製品、或いは提供されるサービスが、自分達の生活にどのような影響を及ぼすか、考えない人はかなりの無神経さと自己厨であると言わざるを得ない。


ただ、だからといってそういった製品やサービスを全て排除する事は不可能だ。

だったら自分に何が出来るのか、真剣に考えればいい。

私はなにも、中国製品の不買運動がしたいわけではないのだ。


買うにしても、何を選び、どういった使い方をするのか、そして何に注意すべきなのか。

当然、必要が無ければ中国製品を選ぶ選択肢を最初から消すべきだ。

だが、それが出来ない場合の事を考える事が重要なのである。


中国製品が如何に危険かというお話
https://17inch.blog.so-net.ne.jp/2018-10-10


nice!(1)  コメント(0) 

IoTの不都合な現実 [セキュリティ]

Googleのオフィスはハッキングにより解錠可能で誰でも入れる状態だったと判明
https://gigazine.net/news/20180904-google-doors-hacked/


天下のGoogleが、こんなセキュリティホールを抱えていたなんて!

もちろん、この件が発覚した後に穴は埋められたようだが。


現実問題としてIoTという言葉はバラ色の世界をイメージさせるように情報操作がされており、IoTのセキュリティリスクに対する話は大衆のほとんどに理解されない事もあって埋もれてしまう事が多い。

すでにネットワーク経由で色々出来る携帯デバイス・パソコン・家電、自動車、建物などが増殖しつつある今、今回のニュースにもなったような穴はそこら中にありふれたものである。しかも厄介な事に、“穴”が報告されたデバイスの所有者の多くが自らそれを放置する選択を選んでいる。(放置したくはないが、どうすれば良いのかわからないために放置されてしまう場合も含む)

一部のリテラシーが高い人達が積極的な対処を行っても、大多数が何もしないのでは焼け石に水である。
この大多数には当然、全てを他人に丸投げしている者も含まれる。

さらにIoTデバイスを開発・生産・販売・管理・運用する者は少なからず、利益を最優先にしてセキュリティ問題に対する対策を十分に行っていない事が、この問題をより深刻なものにしている。


これが、IoTの不都合な現実である。


追記:

「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは
http://www.itmedia.co.jp/enterprise/articles/1808/28/news033.html#utm_source=ent-chusho&utm_campaign=20180903

この記事にはこのような見出しがある。

セキュリティに100%がない理由、それは“あなた”にある

まったくその通りだと思う。


nice!(2)  コメント(0) 

目を覆いたくなる惨状 [セキュリティ]

Security NEXT
http://www.security-next.com/

「Security NEXT」は私が良く見るセキュリティ関連情報サイトなのだが、ここ数日訪れていない間にも様々なセキュリティ問題が報告されている。

曰く、

・「Apache Struts 2」に深刻な脆弱性
 ウェブアプリケーション万歳の今これは大問題

・サーバなど4分の1の機器で不用意にポート公開
 億単位の各種サーバーが存在する今(以下略

・「Ghostscript」に保護機能回避の脆弱性が再び
 一般のパソコンでpdf形式の出力をする場合も関係あるのだろうか

・執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」
 ランサムぼうやは相変わらず元気に働いています

・WordPressの脆弱な追加機能狙う攻撃
 ブログで使っているところは多いと思うが、大丈夫なのか

・不正アクセスで不祥事対応の内部情報が流出 - 高知県立大
 このような報告は後を絶たず増える一方

・8月修正のゼロデイ脆弱性、「Darkhotel」と関連 - 背後に北朝鮮の影
 このような話も、当たり前の事を今更という感じしかしない

・運用甘い脆弱なルータを狙う攻撃が大量発生
 これも毎年問題になっているような、そして防ぐ手段は事実上無い

他色々。ここに挙げたのはほんの一部で、しかも20日から24日までの五日間だけでこれだ。

潜在的な問題は当然にこれよりも多く、そしてその多くは現在進行形で様々な組織或いは個人が犯罪に利用し、多くの人が被害に遭っている事だろう。


この世界、このような有様で本当に大丈夫なのだろうか。



nice!(1)  コメント(0) 

これならボクでもOKさ! [セキュリティ]


わずか4分でノートPCへ物理的にアクセスしてハッキング(以下略
https://gigazine.net/news/20180724-laptop-firmware-backdoor-install/


記事の内容を要約すると“4分程度あればROMライタでUEFI BIOSにウイルスを仕込める”という事だ。

私もROMライタを持っているので、やろうと思えば出来る程度の難易度である。
・・・さすがに4分は無理だが。


昨今のコンピュータは、電源投入時最初に読み込むファームウェア“UEFI(BIOS)”が多機能になり、またファームウェアを格納するFlash ROMも大容量化しているので、後からプログラムを追加する余地が大きい。

10年ほど前か、UEFIが出回り始めた頃は自作用のマザーボードにUEFIから呼び出せるレトロゲ-ム風のプログラムなどが入っていて、UEFIのユーザーインターフェイスからゲームを起動して遊ぶ、などというお遊び機能が付いたものが出回ったりもした。


UEFIになり、旧来のBIOSよりも多機能になったおかげでセキュリティ機能が充実し、悪意のある操作から守りやすくなったというのがUEFI普及の売り文句だったのだが、現実には真逆の現象が進行しつつある。

コンピュータがあらゆるモノに組みこまれ、ネットワークで常時接続されるのが当たり前の世界。

便利にはなったが、その反面不便も非常に多くなった。

本来“便利”とは人間が負うべき労力を軽減させることが目的であるはすだが、コンピュータとネットワークに関連する技術は労力が増える面が大きすぎると思うのは私だけだろうか。


nice!(3)  コメント(0) 

今月のWindows updateとAdobe製品の脆弱性 [セキュリティ]

日本時間の毎月第二水曜日はWindows updateの日。
そして大抵セットで、Adobe製品のセキュリティアップデートが来る。

毎月のことだが、今月も緊急性の高い脆弱性の修正が来ている。

7月のMS月例パッチが公開、脆弱性53件を修正 - 「緊急」は17件
http://www.security-next.com/095589

「Adobe Acrobat/Reader」に51件の深刻な脆弱性 - あわせて100件以上を修正
http://www.security-next.com/095582

「Flash Player」にセキュリティアップデート、深刻な脆弱性を解消 - 悪用は未確認
http://www.security-next.com/095575


Windowzはもちろん、AdobeのPDF Reader と Flash Player は市販されるパソコンのほとんどに入っている危険なソフトウェアだ。

過去にこれらが原因となった被害は非常に多く、Flashに関しては主要なブラウザで基本はOFFとなっているほど危ないプログラム。にもかかわらず、PFD Readerは特に企業向けのパソコンでは必須であるし、Flashはブラウザで様々なメディアコンテンツを楽しむ人には必ず必要なモノである。

正直な気持ち、こんな事にいちいち気を遣うのは時間の無駄であると思っている。

だが、これが強要される社会が今の現実である。


nice!(1)  コメント(0) 

NVIDIAがGPPを止める [セキュリティ]

先日、私はこのような記事を書いた。

NVIDIAは第二のIntelになるのか
https://17inch.blog.so-net.ne.jp/2018-04-18


この記事はNVIDIAによる市場の囲い込みが、GeForce Partner Program(以下GPP)というAMD製GPUの締め出しによる方法を取っている事に対する非難のために書いた。このような反応は世界中で起こっているので、この件に対してNVIDIAはGPPを取りやめる決断をしたようだ。


NVIDIAが非難殺到のGeForce Partner Program(GPP)を取りやめる
https://gigazine.net/news/20180507-nvidia-gpp-end/


記事中にはNVIDIAの弁解がこのように書かれている。

「最近、GPPに関して様々なことが言われており、その憶測はNVIDIAの意図をはるかに超えています。誤った情報と戦うのではなく、プログラム自体を取りやめることを決定しました」


これには政治家や官僚が自己保身の為に吐いているウソと同じ印象を受ける。

とはいえ、この方針転換が本当だとすれば、NVIDIAに対する消費者の印象も変わる。

これでこの騒動は一応の落着となるだろう。



ところでこの件と直接関係は無いが、NVIDIA製のGPUドライバに数年前からテレメトリ機能が付いているという話がある。

ずいぶん前にそのような記事を目にした記憶があったが、この一件で思い出して対処してみた。

このNVIDIAのテレメトリ、実装した当初から色々と問題になったために実装方法が当初と変わっており、現在ではサービス一つを停止して無効化するだけで対処出来るようである。

以下はその手順。


1.コンピュータの管理を起動する

  a.Windowz7の場合
   スタートメニューを開いて「コンピューター」を右クリック、「管理」をクリック

  b.Windowz10の場合
   スタートメニューを右クリック、「コンピューターの管理」をクリック

  ※デスクトップにコンピュータアイコンがあれば、これを右クリック→管理でも可能


2.該当するサービス「NVIDIA Telemetry Container」を停止・無効化する
  
  a.コンピュータの管理にある「サービスとアプリケーション」から「サービス」を開く

  b.「NVIDIA Telemetry Container」を探し出して、プロパティより停止・無効化する

NV_Tele_kill.png

以上。


nice!(1)  コメント(0) 

もういまさらだ [セキュリティ]

コラム:米議会が問うべきフェイスブックの問題点
https://jp.reuters.com/article/facebook-privacy-breakingviews-idJPKBN1HH0X5

フェイスブック利用者の個人情報が第三者の手に渡り、米大統領選挙に影響を与える使われ方をした問題により、現在アメリカでは様々な議論が起きているようだ。

この問題に対し規制をかけるべきという意見もあるが、このような事態に至って規制などなんの効力も持たないと私は思う。(なんの効力を持たないとしても、なんらかの手を打たなければ状況が悪化する速度が上がってしまう。つまり何もする必要が無いわけではない)


現在EU加盟国で近々発効するGDPRについて世界中の企業がその対応に追われているが、これもまた十分な効力を持たないと私は考えている。効果があるとしても、それは氷山の一角に対してのみになるだろう。

全ての情報は、いまやいとも簡単に集積され、集積された情報は一瞬で世界中をめぐる。

これをどうやって防ぐのか。


情報を守るためのセキュリティ対策は、今や水に濡れた紙も同然だ。

何故なら、ある問題に対し何か有効な手段があったとしても、全ての人に同じレベルのセキィリティ対策を実行させる事は不可能だからだ。

そして一人でもセキュリティの壁に穴となるような者が存在すれば、蟻の穴から堤防が決壊するような事態になる事は、過去の例により繰り返し証明されている。

始末に負えないのは、ほとんどのコンピュータ利用者が使う、OSを含むソフトウェアそのものがセキュリティの穴となっている事で、それらを作るプログラマーがただの一人でもセキュリティリスクを生じさせるコードを納品しただけで、全てのセキュリティ対策が水泡に帰す現実である。


さらに、それに輪をかけているのが、一般の消費者達のセキュリティリスクに対する無知と無関心だ。

フェイスブックの例で言えば、情報の漏洩元となった利用者達は、何故自らその情報を差し出すようなマネをしたのか。件の性格診断アプリは、個人情報を収集すると謳っていたのにも関わらずだ。

このような行為は、現在スマートフォンを利用するほとんど全ての人が、意識して、或いは無意識に行っている行為である。


もはや自分の個人情報すら、他人の無意識な行動でダダ漏れとなる現在。(しかも虚偽の情報が事実として拡散する事すらある。)

もう、何をどのような手段で対策しようとも、漏れるものは漏れ、その情報は第三者にかき集められて、様々な犯罪、或いは犯罪的行為に利用される事を防ぐ事は出来ないだろう。



nice!(1)  コメント(0) 

アトランタ市がランサムウェアにやられる [セキュリティ]


去る3月22日、アメリカ合衆国ジョージア州にあるアトランタ市が、ランサムウエアによる攻撃で同市の行政を司るコンピュータが使用不能となり、4月4日現在まで業務を紙と電話で行う事態になっている。

アトランタ市の復旧難航、サイバー攻撃で紙と電話頼みに
https://jp.reuters.com/article/usa-cyber-atlanta-idJPKCN1HA1AA?il=0

現在先進国では、ほとんどの行政機関が業務上必要な処理をコンピュータに頼っており、電子化された書類とインターネットによる通信なくしては、もはや仕事が成り立たない。

これはもちろん、日本も例外ではない。


こうした公共施設のコンピュータを狙ったサイバー攻撃は長年大きな問題として広く認識されているが、にも関わらず被害が絶えないのは何故なのか。

近年では発電所が止まったり、自動車工場が操業不能に陥ったり、病院が機能不全になるなど、大きなニュースも少なくは無い。

だが、こうした前例がいくつもあるにも関わらず、アトランタの基幹システムはランサムウエアによって破壊された。


このような被害は、100%完全に防ぐ事が非常に難しい事に加え、当事者の危機管理意識が低いという問題も重なって、いつどのような場所で起きてもおかしくはない。

例外的に被害が起きにくいのは銀行などの金融関連だが、それとて被害の例があり、サイバー攻撃を防ぐ事が如何に困難な仕事であるかを物語っている。


はたして、サイバー攻撃に対し有効な防御手段があり得るのだろうか。

一時的に有効であるとか、対症療法的なもののみ存在するというのが私の認識だが、どうも私の認識は世間の常識とは著しく異なっているようである。




nice!(1)  コメント(0) 

Ryzenに内蔵されるセキュアプロセッサの脆弱性について [セキュリティ]

先日CTS Labsから異例の情報公開が行われた、AMD製CPUのZENコアに内蔵されるARM Cortex-A5ベースのセキュアプロセッサに関する脆弱性問題について、先日21日、AMDより正式な発表が行われた。


Initial AMD Technical Assessment of CTS Labs Research
https://community.amd.com/community/amd-corporate/blog/2018/03/21/initial-amd-technical-assessment-of-cts-labs-research


この記事によると、脆弱性は確かに存在するようだ。
当初デマの可能性があると多くの人が考えていた(私もそうだ)が、脆弱性の存在自体は本当であった模様。

ただし脅威としては実質ゼロに近い。
何故なら、この脆弱性を利用するには“管理者権限が必要”という、すでに悪意のある者にコンピュータが乗っ取られている状態である事が前提であるからだ。ただし今回の問題は、乗っ取られた後の段階でより深刻な被害を受ける可能性があるために放置は出来ない。(具体的には、乗っ取られた後も有効なOSの各種セキュリティ対策がほとんど無効にされるために、より簡単に様々な操作が可能となる。)


AMDによると、この問題に対しては数週間以内に対策されたUEFI(BIOS)の配布を行う予定。

また、チップセットのX370に存在するバックドアに対しても、同様にUEFI(BIOS)による対策が行われる。

従って、実際にこれらが現在稼働中の“ZENコアのCPU”を搭載したコンピュータに反映されるのは、AMDによる対策パッチの配布が始まってからさらにその後、パソコンの各製造会社やマザーボード製造会社等がこの対策を反映したUEFI(BIOS)を現在稼動している対象のコンピュータ向けに配布を始めて、さらに対象のコンピュータを所有或いは管理する人が対策されたUEFI(BIOS)を受け取って書き換え作業を行った場合、となる。


まあ、ZENコアのCPUを使ったサーバーを運用している会社や、Ryzenのパソコンで機密に関わる情報を管理している会社や組織など、個人ではない場合には大いに関係がある問題だが、趣味で使うような個人所有のパソコンの場合にはほとんど関係が無い。

何故なら、それ以前の必要な対策を十分に行っていないような環境では、Ryzenの持つ脆弱性とは無関係に情報をタレ流しているのだから。

個人の場合、UEFI(BIOS)の書き換えに必要な知識があり、かつ情報漏えいに関して日頃から特に対策を行っている人ならば、誰に言われるまでも無く自分の持つパソコンのFEFI(BIOS)の対策されたものが出たかどうかを調べるだろうし、対策されたUEFI(BIOS)が出れば自分で書き換え作業を行う事だろう。(当然この問題を知っている事が前提だが)

それ以外の人の場合は、漏れなく放置されると思われる。
というか、ほとんどの人はそれ以前にこんな問題がある事すら知らないだろう。


この件に関して過去に書いた記事はこちら↓


今回発表されたRyzenの脆弱性をわかりやすく言うと
https://17inch.blog.so-net.ne.jp/2018-03-17

AMDのZENに深刻なセキュリティの欠陥がある?
https://17inch.blog.so-net.ne.jp/2018-03-15-1


nice!(1)  コメント(0) 

今回発表されたRyzenの脆弱性をわかりやすく言うと [セキュリティ]

2018年3月13日にイスラエルの“CTS Labs”というセキュリティ企業が発表した、AMD製ZENコアを使うCPU群(とそのチップセットの一つ)が持つとされる13もの脆弱性。

AMDへの報告から1日と経たず公表された事が混乱を生んでいるが、コレって結局どういうコトなのか。


要は“CTS Labs”の発表したAMD製CPUの脆弱性は全て、利用するための前提として事前に「UEFI(BIOS)の書き換えが必要」だったり、「管理者権限の取得が必要」である。

つまりこの脆弱性が利用可能という事は、それ以前に管理者権限の取得が可能なマルウェアに感染していたり、管理者のパスワードが漏れていて自由にコンピュータをいじれる状態なわけで、それってAMDの脆弱性がどうこう言う以前の問題なのでは?という意見があるのも当然である。


この話をコンピュータの知識がゼロな人にも理解出来るような例えで言うと、

「この家は屋内の部屋の鍵が簡単に開けられるし、金庫も鍵が壊れている。だから、玄関の鍵を開けさえすれば、タンスの中身や金庫の中身は盗み放題である。」

と“CTS Labs”は主張しているのだ。(ちなみに「Spectre」や「Meltdown」を同じ例えで言うと、屋内に保管している家の鍵を玄関ドアの郵便受けから棒を差し込んで取り出せる、という感じか?)

彼らの繰り出すWebページやビデオ等が要らぬ不安を煽る内容である事も問題で、セキュリティ企業を名乗る者としてどうなのか。

そして、そもそも悪意のある者に対象となるコンピュータの全てが掌握されている事が前提の脆弱性に、彼らの主張するほどの深刻さがあると言えるのだろうか?


まあ、“CTS Labs”の主張する脆弱性が事実であると仮定すれば、確かにその脆弱性が存在するのは問題であり、AMDは早急に対処すべきである。

なによりも正確な情報が皆無に近い現状、第三者による検証結果と、AMDによる正式な発表が待たれる。


追記

トーバルズ氏、AMD製プロセッサの脆弱性に関するCTS Labsの主張を一蹴
https://japan.zdnet.com/article/35116259/

この記事の内容にはまったく同意する。

ここ数ヶ月の間に公表されたIntel製CPUに絡む脆弱性は、「Spectre」「Meltdown」の問題以外でもざっと探してみただけでこれだけあるが、“CTS Labs”のような手法で騒ぎを起こしているものは一つも無い事を考えると、今回の事態がいかに異常であるかがわかるというものだ。


Intel Management Engineなどに8個の脆弱性が発見

Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性

Intel製CPUに特権の昇格の脆弱性、公式チェックツールがWindows/Linux向けに公開

Intelの内蔵グラフィックス用ドライバに特権昇格の脆弱性

インテル製品に新たな脆弱性発見、フィンランドのセキュリティー企業



関連記事

AMDのZENに深刻なセキュリティの欠陥がある?
https://17inch.blog.so-net.ne.jp/2018-03-15-1

Intel・AMD・ARM等のCPUに関する重大な問題
https://17inch.blog.so-net.ne.jp/2018-01-04

CPU脆弱性問題は結局どうなのか
https://17inch.blog.so-net.ne.jp/2018-01-15



nice!(1)  コメント(0) 
前の30件 | - セキュリティ ブログトップ