SSブログ
セキュリティ ブログトップ
前の30件 | -

米コロニアル・パイプラインの問題について [セキュリティ]

米国のコロニアル・パイプラインという会社がある。

この会社は(以下ロイターからの引用)

米東海岸の燃料供給の半分近くを占めている

という、社会インフラの重鎮。

この会社が運用しているパイプラインが、ランサムウエアの攻撃で停止したそうだ。


米東海岸の燃料供給の半分近くを占めているパイプラインが止まった。

この事実が及ぼす影響を想像してみると良い。

まあ、想像出来る人など極少数だろうが。

例えるなら、日本に供給されるあらゆる燃料が半分になったとする。結果、どうなるか、だ。

これをランサムウエアが引き起こした。


過去にも数多のサイバー攻撃による社会インフラの停止があった。

だが、ほとんどの人がそれを自分には関係が無いとして、日頃の雑談のネタ以上の関心を持つ者はほとんど居なかったはずだ。

それが今回の例を引き起こした。

もし自分にも同様の事が有り得ると考えて、サイバーセキュリティについて学び、それを日頃の行動に反映していたらこんな事件は起きなかったずだ。


最悪なのは、直接こうした問題に対処すべく選ばれたエリート達のほとんど全員がそうした事態を想定して学び、日頃から備えているつもりになっている者である事。

彼らは単に知識を得て自己満足しているだけなので、現実の脅威に対して脆弱という意味では何も学ぶ事をせず日々自堕落に生きる者と本質的に同一である。

そんな連中が少しばかり勉強の真似事をした自己満足に浸って、国家や社会インフラの中枢を担っているのだから、こうした事例は今後増える事はあっても減る事は無いだろう。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

さすがは中国だ [セキュリティ]


どのようなコンピュータプログラムであっても、何かしらのバグを持つ。

そしてその一部は様々な個人或いは組織によって、誰にも知られず情報を盗み出す事に使われている。

が、中国ほど大胆にそれをやっている組織は無いだろう。

中国政府がコンテストで入賞した脆弱性を用いてiPhoneをハッキング
https://gigazine.net/news/20210507-china-turned-prize-winning-iphone-hack/


まさか国家戦略として利用するために中国国内で公にハッキングコンテストを開催し、その情報を他国から秘匿して利用するとは。

欧米諸国も情報収集に色々やってはいるが、公のハッキングコンテストを使うほど大っぴらにやっている所は無いだろう。

普通、公に行うハッキングコンテストではセキュリティ向上のために発見された脆弱性は公表するからだ。


まあ、中国はそういう国なので、中国の絡む製品なりサービスは、あらゆる情報が盗まれる事を前提で利用しよう。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

だからファーウェイはヤバイというのに [セキュリティ]

Huaweiがオランダ最大の電気通信事業者を盗聴できる状態だったことが判明
https://gigazine.net/news/20210419-huawei-able-eavesdrop-dutch-mobile-kpn/


以下記事より抜粋


キャップジェミニは、Huaweiが仮にKPNのモバイルネットワークに不正にアクセスしたとしても記録が残されないことから、「どの程度の頻度で起こったかは定かではない」と結論づけており、De Volkskrantは「Huawei機器は、管理の一部をHuaweiに置かなければならないというシステムになっている」と情報筋の意見を報じ、セキュリティ上の懸念を指摘しています。


要点は

1.Huaweiが仮にKPNのモバイルネットワークに不正にアクセスしたとしても記録が残されない

2.Huawei機器は、管理の一部をHuaweiに置かなければならないというシステムになっている


このようなシステムになっているのは当然の事だ。

とはいえ、素人にはこの危険性は理解出来ないのだろう。

また、システム導入権限のある者を買収するという手もある。


こうした事の根拠は陰謀論などというどこかの頭がおかしい連中のたわごとではない。

中国の「中華人民共和国国家情報法」という法律にはこうある。


・いかなる組織及び個人も、法に基づき国家諜報活動に協力し、国の諜報活動に関する秘密を守る義務を有し(以下略)

・国は、国の諜報活動に大きな貢献のあった個人及び組織に対し、表彰及び報奨を行う


また、この他にも協力者は家族や財産の保護などが約束されている。

これでは協力しないという選択肢など無い。スパイ活動は国民や組織の義務であり、ご褒美まで出るのだから。

だから、中国製の機器とサービスは危険なのだ。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

奴らが消費者を騙す事はいつもの事 [セキュリティ]

今のLINEは「止血した状態」--ZHDが特別委員会を開催、データガバナンスを検証へ
https://japan.cnet.com/article/35168256/

ZHDはLINEの親会社に当たるので、これは「やりますよ~」という姿勢を見せるだけで中身はからっぽだろう。

そして言葉だけで納得させるカラクリを使って、問題を闇に葬るのは確実。


LINEとソフトバンクはやっぱり社会の敵だ。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

それでもLINEはLINE [セキュリティ]

LINEのデータ、国内に完全移転へ--中国からのアクセスを完全遮断、運用業務も終了
https://japan.cnet.com/article/35168251/

SNSサービスのLINEは、国家レベルのセキュリティホールである。

私は過去から一貫してそう考えて来たし、何度もこのブログでそういった内容の記事を書いた。

だが、過去に様々な不祥事を起こし、会社の実態もこのブログを含め一部で説明がされてきていてもなお、野放し状態だった。

それがLINEのヤバさがふたたび公になった事でやっと一部解決か?と、このニュースで思った。


しかしソフトバンク傘下となった今、より巧妙にリスクの隠蔽が行われるだろう。

例えばソフトバンクの決済サービス「〇イ〇イ」。※名前を出すだけでもリスクになるため一部伏字

あれは中国の決済システムであるアリペイをほぼそのまま使っている。

また、ソフトバンクの通信インフラはほとんど全部がファーウェイの機材だ。

そういう会社の傘下となれば、実態も同様であると考えるべきである。


また、今回LINEが約束した事も、実際にはどこまで本当にやるかわからない。

LINEのセキュリティリスクは、引き続き最高レベルの脅威度であるという認識を変えてはいけないと思う。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

対岸の火事ではない [セキュリティ]

GIGAZINEの記事によると、韓国の起亜自動車が、ランサムウエアの攻撃で麻痺しているらしい。

23億以上の身代金をヒュンダイ傘下の起亜自動車がランサムウェアによる攻撃を受けて要求される
https://gigazine.net/news/20210222-kia-ransomware-attack/

自動車を製造する企業では過去、ニッサンの英国工場が同じ理由で一時操業を停止したし、昨年はホンダもやられている。

日本国内ではランサムウエアによる被害が拡大していて、この記事の内容を対岸の火事と見る事は私には出来ない。

明日は我が身かもしれないのだ。


が、実際の所地球上のほとんど全部と言える割合の人は、こうしたランサムウエアの被害に無関心だ。

もし関心があったとしてもそれは単に話のネタ程度であり、この問題に対して自分なりに考えて対策をする人など居ない。

だからこそ、こうした犯罪は成功を続けるし、被害は減るどころか増える一方なのである。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

TikTokの脆弱性について思う事 [セキュリティ]


TikTokというアプリの脆弱性がCheck Pointというセキュリティ企業によって発表された。

TikTok 脆弱性
https://duckduckgo.com/?q=TikTok+%E8%84%86%E5%BC%B1%E6%80%A7&ia=web

Check Pointによるこの件の報告内容
https://blog.checkpoint.com/2021/01/26/tiktok-fixes-privacy-issue-discovered-by-check-point-research/


この脆弱性はすでにTikTokを開発している「ByteDance」によって修正が行われているが、脆弱性が修正されるアップデートをインストールしても同様の脆弱性が新たに設けられている可能性が非常に高い。


その根拠はまず「ByteDance」が中国の企業であるという事。

中国企業は例え個人企業といえども中国政府と強い関連性を持ち、ましてや利用者が億単位で存在するアプリの開発企業ともなれば「関連性が無い方がありえない」。

中国政府は中国政府の影響が及ぶあらゆる個人と組織を世界中に展開しており、諜報活動と各種工作に利用している。

TikTokを持つ「ByteDance」は諜報と工作の両方に非常に有効な力を持つため、最初からバックドアが仕込まれたアプリを開発し、修正後も別のバックドアを仕掛けている事は確実だ。


また、脆弱性による影響も中国政府が利用するに都合が良いものだ。

何故なら、脆弱性を利用するとTikTokをインストールしている端末の電話番号やプロフィールなどにアクセス出来るようになり、電話帳の中身も抜く事が出来る。

こうした情報をデータベース化すれば、誰が誰とどのような関係か全てわかってしまう。

当然、端末を持つ特定の個人に成りすます事も容易になるだろう。

政治家などがTikTokを使っていれば、その政治家が関係する人物について情報が洩れる事になる。

そうなれば政治家本人に直接ではなく、周囲の人々を使って政治家を操作可能になるだろう。

また重要な機密情報に関係する人物の特定も簡単だ。

この問題は国家だけでなく企業にもまったく同じ事が言えるので、TikTokは地球上から消滅させる必要があるほど危険なアプリだと思う。


そういうワケで、TikTokを開発しているByteDanceはこの件をさらに自社の信用を高めるネタとして利用しているが、信じてはいけない。

故意に仕込んだバックドアを今まで散々利用してきて、バレたから修正しました、というだけなのだ。

そしてバレた時の事も当然に考えており、各種のシミュレーションも完璧に行っている事だろう。

ByteDanceが取っている一連の動きも、すでに構築済みのシナリオに従って行動し、アプリのアップデートも新たなバックドアを仕込んだ物が即座に提供出来るよう用意されたものを使って「修正しました」と、TikTokを利用している者達にインストールさせている事は間違いない。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

この世には安全なIoTデバイスなど存在しない [セキュリティ]


以前は個人用のコンピュータといえばデスクトップ・パソコンだったが、現在は種類が増えてスマートフォンなどの携帯端末をはじめ、インターネットに常時接続されるテレビや冷蔵庫など、個人を取り巻く電化製品の多くが“パーソナルなコンピュータ”と化している。

こうしたコンピュータは現在“IoTデバイス”として再定義され、もはや社会インフラとして必須のデバイスとなった。

つまり、これらをなくしては生活そのものが成り立たなくなっているのだ。


だが、こうしたIoTデバイスは常に何らかの欠陥を持つ。

特にソフトウェアに絡むセキュリティ上の脆弱性は、それが無いデバイス自体が存在しない。


という事を本記事の読者に認識していただいた上で、以下のニュースを見て欲しい。


iPhoneのiMessageにひそむ「ゼロクリックの脆弱性」でジャーナリストが政府からハッキングを受ける
https://gigazine.net/news/20201221-iphone-imessage-exploit-kismet-zero-click/


この記事は今日投稿されたGIGAZINEの記事だが、この手のニュースは過去にいくらでも出ている。

この記事と過去の記事で共通する事は、始めからあった欠陥が原因でデバイスの持ち主が一方的に被害を受けるという事。

そして受けた被害をいくらかでも修復する事は不可能であるという事だ。

一旦漏れた個人情報は絶対に消去する事が出来ないのは当然、そのうえ金銭的・社会的損失が発生したとなれば、一体誰が補償するのか。

誰も補償など出来はしない。


以上の事から、「この世には安全なIoTデバイスなど存在しない」と言える。

IoTデバイスとは常に個人の生命と財産を脅かす可能性を持ったデバイスなのだ。

インターネットが存在しない時代であれば危険から物理的に逃れる事も可能だったが、今や地球の裏側でさえほぼリアルタイムに情報通信が可能である以上、危険から逃げる事など不可能である。

怖い時代になったものだ。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

フィッシングメール [セキュリティ]


私は匿名性が必要なサイトへの会員情報登録には、必ずそれ専用のメールアドレスを使っている。

このメールアドレスは誰かとの通信に使うわけではないので、一年に一回程度しかログインしないのだが。

今日、メールボックスに溜まっているであろうゴミメールを掃除しようとログインした所、こんなメールが届いていた。

phish.png

見るからにアマゾンからの偽メールである。

これはフィッシングメールだな、と思いメールに記載されている電話番号をアヒル先生に調べてもらったところ、思った以上に検索に引っ掛かった。

アマゾンの偽メールに記載された電話番号をアヒル先生に調べてもらった
https://duckduckgo.com/?q=03-5757-5252&ia=calculator


検索結果にはこのフィッシングメールに引っ掛かった、哀れな子羊達の叫びが多数。

ざっと見た感じ、アマゾンだけでなく楽天の偽メールでも同じ番号が使われているようだ。

また、当然ながら違う番号でも同様に詐欺に使われている模様。


それにしても、一体どうやってこのメールアドレスが犯罪者に渡ったのだろう。

このアドレスは無意味な英数字の羅列なので、考えられるのは会員登録したサイトから流出した事。それしかない。

恐らく会員のメールアドレスをその手の闇ルートで販売しているのだろう。

このような事があるから、私は“それ専用”のメールアドレスを使うのだ。

おかげで個人的な繋がりのある人との連絡に使うアドレスにはこの手の詐欺メールが届いた記憶が無い。


ちなみに、このアドレスには他にも怪しげなメールが大量に届く。

これら全てが詐欺メールである事は確定なので、いつも私は内容を確認する事もなく削除している。

だが、今回気が向いてメールの内容を確認してみたらコレだ。

たまにはこういう経験もしてみるものだ。

nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

NUROで管理者アカウントが漏れる脆弱性 [セキュリティ]

NURO光で使用する管理者アカウントが特定される
https://gigazine.net/news/20201128-nuro-onu-vulnerablity/


このGIGAZINEの記事は、ソニーネットワークコミュニケーションズの「NURO光」に契約すると貸与される「光回線終端装置(ONU)」に脆弱性が発見され、これによって管理者アカウントのIDとパスワードが漏れてしまうという事が書かれている。

このONUがまた問題で、中国の「Huawei」製であるために、あって当たり前の問題がやっと発見されたか、と感じている。


こうした問題はどこの国のどのようなIT機器でも見られるものだが、中国製は群を抜いて多い。

私はこうした中国製のIT機器やソフトウェア及びサービスに存在する脆弱性は、意図して仕込まれ(或いは放置され)ていると考えている。

理由は簡単、中国の共産党政府からそう指示されているからだ。

いついかなる時でも共産党から下った命令を実行出来るように準備し。或いは運用されているのだ。


こうした問題は発覚したら「ゴメンネ」で済ますのがTI業界の慣例。

何故なら、こうした問題で起きた損害を全て復旧する事は不可能であり、また専門知識の無い者には何が起きているかも理解する事が難しいため、有耶無耶にするのも簡単だからだ。

中国はこうした慣例を上手く利用している。

また、発覚した問題は普通可能な限り早く修正されるが、多くの例で放置されたまま。

これもIT業界では普通の事だ。

ちなみに記事中にGIGAZINEが独自に発見した脆弱性が書かれているが、これに対しての顛末を読むと「Huawei」はそもそもこうした問題に対する窓口が無く、「NURO」も我関せずという回答であり、出来れば公表しないで欲しいとまで言って来ている。

このNURO側の対応には呆れた。

とはいえ、ソフトウェアのアップデートで修正が可能な場合、後でバックドアを仕込みなおす事も簡単だが。


まあそんな感じで、“ソニーネットワークコミュニケーションズの「NURO光」”はヤバイと。

そもそも過去に多くの問題が指摘されている「Huawei」と取引するなど言語道断である。

同じく光回線のONUを供給するNECと比べて仕入れがかなり安いのだろうが。

ソニーネットワークコミュニケーションズにとって高くついた取引だと思うが、恐らくこのまま「Huawei」と取引を続けるだろう。


今後セキュリティを重視して光回線やその他の各種サービスを契約しようと考えている方。

もしこの記事を読んだなら、「Huawei」と取引している企業は避けた方が良いと思う。

※ちなみに日本国内で最も多く「Huawei」と取引している企業はソフトバンク。これも覚えておいた方が良いだろう。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

Armの売却先が決まる [セキュリティ]


Armの売却先がNVIDIAに決まったそうだ。

ソフトバンクのArm売却と、NVIDIAがそれを買う事について、裏で何が起きていたかは想像する事も出来ないが。
(ソフトバンクのArm売却は単純に財務上の問題だったとはとても思えない)


なんにせよ、ArmとNVIDIAはこれを機に市場の支配力をより強めようとするだろう。

だが、IntelがパソコンやサーバーのCPU市場をほぼ独占していた頃がそうであったように、一強の状態が世の中にとって良かった試しは一度もない。

人間の愚かさは永遠に消える事は無く状況により強まっていくので、NVIDIAとArmの組み合わせは必ずロクでもない結果を招く。(ソフトバンクよりはマシかもしれないが)


Armがソフトバンクに売られる事なく独立企業のままだったら良かったのに、と思う。


ソフトバンク、NVIDIAへのArm売却を正式発表--最大4.2兆円
https://japan.cnet.com/article/35159522/

ソフトバンク、英Armを米NVIDIAに約4.2兆円で売却
https://news.mynavi.jp/article/20200914-1302444/

ソフトバンク、Armを最大400億ドルでNVIDIAに売却
https://eetimes.jp/ee/articles/2009/14/news072.html

ArmをNVIDIAが買収、ソフトバンクGが最大4.2兆円で売却
https://xtech.nikkei.com/atcl/nxt/news/18/08731/

ソフトバンクG、ArmをNVIDIAに売却。約4.2兆円
https://www.watch.impress.co.jp/docs/news/1276730.html


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

脳で直接スマホが操作出来るという事は、スマホで直接脳を操作出来るという事 [セキュリティ]

脳で直接スマホが操作出来るという事は、スマホで直接脳を操作出来るという事だ。

Neuralinkのイーロン・マスクCEOが脳とAIをつなぐ埋め込みチップ「Link」&自動手術ロボ「V2」を発表
https://gigazine.net/news/20200831-neuralink-v-0-9-elon-musk/


まあ、私なら絶対にこんなものを自分に埋め込みたくはない。

一体人間はどこまでモノグサになれば気が済むのか。

世の中便利になる一方、便利になったおかげでかえって不便になっている事がたくさんある事に、何故誰も気付かないのか。

そして“イノベーション”という言葉が大好きな人達は、自分の視野が如何に狭いかという事に気付くべきだ。


もちろんこれらに気付いている人は多く、事を起こす中心に居る人の多くはそうした“気付いている人”だったりするのだが、彼らにとってそれは金儲けの機会でしかないわけで、要は「如何にブタを飼いならして金を吐き出させるか」が最も重要な事であり、公で彼らが言うバラ色の世界は全て嘘と本当の入り混じった詐欺師の常套句なのである。


まあそれでも、パソコンとインターネットがそうであるように、重大な問題を孕みながらも一旦普及してしまえばそれ無しには生活が難しくなる事になる可能性はある。

このような、脳に直接接続するという危険なデバイスであっても。

今はまだ“こんなもの”と一蹴出来るが、数十年後にはわからない。

かつての未来想像図が今はトンデモな絵であるように、これもそうなってほしいと思う。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

ソフトバンクのArm買収は何が目的だったのか [セキュリティ]


ソフトバンクに買収されてから約4年。

英国の半導体設計企業“Arm”は今、非常に危険な状態だ。


一つはすでに大きなニュースとなっている売却の話。

しかも売り先がNVIDIAになりそうだというウワサまで出ている。本当にNVIDIAが買うのかはわからないが。
(独禁法など大丈夫なのかと思うがそれはまた別の問題。)


そして二つ目、Armの中国法人の問題。

Armの中国事業は、2018年に中国企業との合弁になった。

Armが中国事業を合弁化、EUは中国に対し警笛
https://eetimes.jp/ee/articles/1806/13/news017.html

事実上の売却であり、さらに悪い事にCEOの人事をめぐり現在内紛状態になっているという。

揺れるArmの行く末 - NVIDIAが買収を検討、中国法人の内紛は泥沼化
https://news.mynavi.jp/article/20200804-1199957/


三つめは業績が低迷している事。

将来を見据えて「利益度外視の投資」を行っている事が理由とされているが。

「ソフトバンクのArm買収って何だったの?」と振り返る日が来るのか
https://eetimes.jp/ee/articles/2008/11/news098.html



一連の問題を見て思う私の個人的な感想は、ソフトバンクは最初から中国にArmを売る事が目的だったのではないかと。

Armの中国法人は事実上中国企業なので、中国はArmの技術を得てしまっている。

だからもう、英国のArm社は中国にとって邪魔な存在でしかない。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

どんなに強固なセキュリティでも [セキュリティ]

どんなに強固なセキュリティでも、これをされたら無意味だという実例がまた一つ増えた。


Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人(以下略)
https://www.itmedia.co.jp/news/articles/2007/18/news039.html

人数は少なめだが、被害は大きい。

Twitter社は一体どうやって損害を回復するのだろう。

覆水盆に返らずだが。


記事によると、ソーシャルエンジニアリングという人類の歴史と同じくらい長い歴史を持つハッキング方法が使われている。

コンピュータなど存在しなかった時代、力技が通用しない堅固に守られたモノを盗み出す唯一の方法だったソーシャルエンジニアリングは、コンピュータ全盛の現代でも最も有効な手段の一つである。

ここでソーシャルエンジニアリングとは何か想像出来ない人は、「スパイ」を思い浮かべると良い。

スパイで思い浮かべるものといえば大抵は映画や小説の話だと思うが。

コンピュータは人による人のための機械なので、こういった手段は非常に有効なのだ。


まあ・・・その内に全ての管理をコンピュータで行う時代が来れば、ソーシャルエンジニアリングなど不可能になるかもしれない。

が、そうした自動化は作った当時に想定し得なかった手法に対抗出来ないワケで。

結局穴だらけでも人が管理した方がまだマシ、という事になるかもしれない。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

中国製IT機器は危険という話 [セキュリティ]


日本では相変わらず中国製のスマートフォンや無線ルーター等が売れまくっているが。


中国の銀行がバックドアを作成するソフトのインストールを取引先に求めていた
https://gigazine.net/news/20200629-goldenspy/

Xiaomiのスマホは何千万ユーザーの行動をこっそりとアリババのサーバーに送信している
https://gigazine.net/news/20200501-xiaomi-recording-private/

Huawei、Xiaomi、Oppo、Samsungなどのスマホにマルウェアがインストールされて出荷される
https://gigazine.net/news/20180316-rottensys/

政府が無料配布するスマートフォンに中国製らしき悪質なアプリがプリインストールされていたと判明
https://gigazine.net/news/20200110-government-funded-phone-malware/


これらはまだまだ氷山の一角。

一部で中国製IT機器、ソフトウェア、サービスなどについて安全であるという意見があるが。

インターネットの存在がそのような意見の正当性を排除するという事が、彼らには理解できないらしい。

また、日本人のこうした頭の悪さにつけ込む悪質な中国人が多数、日本国内で活動している事が事態を深刻化させている。


まあ、私がここでこの程度の事を書いたからといって、こんな世の中に影響は無いか。

もしこの記事を読んで何かしら興味を持った人がいたら、ここに書いていないあらゆる事を自分で調べてみるといい。

関連する情報も含めると、中国と直接関係の無い事やITとは無関係な事まで調べなければならず、情報量は膨大になるが。


どうせ本気で調べる人は居ないのだろうし、調べても最初から自分が持っている答えの答え合わせしかしないか。

・・・ダメだこりゃ。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

AMD製システムのファームウェアに新たな脆弱性が見つかる [セキュリティ]


数日前の記事だが、AMD製システムのファームウェア“AGESA”に脆弱性が見つかっていたようだ。

AMDより発表されたそれは「CVE-2020-12890」という番号が与えられて、すでに対策が行われている。

SMM Callout Privilege Escalation (CVE-2020-12890)
https://www.amd.com/en/corporate/product-security


この問題は過去の例にもあった、該当するパソコンへの物理的アクセスや特権アクセスが必要であるとの事。

要するに問題の脆弱性を利用するためには、パソコンを直接操作するか、管理者のIDとパスワードを知っている必要があるわけだ。

例えるならば玄関のカギを誰かに盗まれていなければ、この問題は問題にならない。

そもそも玄関のカギを盗まれていたら、ファームウェアの脆弱性など無くても好き放題出来るではないか。


さらに、影響があるのはAPUを搭載した、一部のノートパソコンと組み込み向けのシステムであるという。

恐らくZenよりも古いCarizzo等のAPUを使った製品が該当するのだろう。

少なくともRyzenを使った自作パソコンや、EPYCを使ったサーバーなどは影響がなさそうだ。


まあ。だからといって安心は出来ないが。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

月刊Intel脆弱性6月号 [セキュリティ]


今月もまた、Intel製CPUの新たな脆弱性が発表されている。


Intel製CPUに新たなサイドチャネル攻撃「SGAxe」「CrossTalk」が報告される
https://gigazine.net/news/20200610-intel-cpu-sgaxe-crosstalk/


多くの例がそうであるように、こうして発表された脆弱性は発表時点で解決策が出来上がっており、今回もOSやアプリケーションソフトウェアにパッチを当てる事で回避出来る問題であるようだ。

しかしこうした解決策は、コンピュータの持ち主、或いは管理する者が、パッチを当てて初めて脆弱性の回避が出来る事が問題であり、自動アップデートという仕組みを使うとこれとは別の問題が出る事例も後を絶たないという事もあって、「解決策がすでにあるなら問題にならない」という意見は大きく的を外れていると思う。


また、ここ数年毎月のように発表されるIntel製CPUの脆弱性は、多くが「Intelなんとかテクノロジー」というCPU本体の計算器とは別の、主にセキュリティ機能を追加するために設けられた仕組みに関して発見されている。

本来の目的と真逆の結果になっているこれらの機能は、根本的な部分で機能を殺しておく方が良いと思う。


ちなみに現在のAMD製CPUにも同様の機能が存在するが、これはARM系CPUコアをCPUに内蔵しており、これに対してUEFIのファームウェアに組み込まれたソフトウェアで動作するようになっている。このため問題になりにくいのかもしれない。

一方Intelの場合はOSのデバイスドライバと連動して、WindowzならばWindowz用のソフトウェアが機能を提供している。この辺りが脆弱性として利用されやすいのかもしれない。


まあ、該当する人はなるべく早めにOSやアプリケーションソフトウェアの更新を行う方が良いだろう。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

ウイルスバスターを使ってはいけない理由 [セキュリティ]

ウイルスバスター。

パソコンを使っていてこの名を知らない人は少数派だと思う。

現在でも国産のセキュリティソフトであると宣伝されているが、実際には台湾出身の中国人が興したトレンドマイクロという会社が、日本に本社を移してウイルスバスターを開発していただけという。(しかも、その後ソフトバンクと資本提携しているという恐ろしさ。)

私自身過去にウイルスバスターの利用者だったが、それも1998頃には卒業した。

何故なら不具合が多かったから。

この問題はそれから現在までまったく変わらず、しかも故意に入れているとさえ思える悪質な問題が長い期間放置されたりしているため。ウイルスバスターをセキュリティのために入れている人は頭が狂っているとしか思えないのである。

以下は参考記事の一つ、Wikipediaのトレンドマイクロに関するページ。
https://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AC%E3%83%B3%E3%83%89%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD


そんなウイルスバスターの問題が、新たに公表されて物議を醸しているようだ。

トレンドマイクロ、大学生のハッカーによってセキュリティのとんでもない欠陥とチート行為が暴露され激怒するの巻
http://blog.livedoor.jp/blackwingcat/archives/1997392.html

トレンドマイクロの不正行為の続報。ついにMicrosoft から BANされてしまった模様
http://blog.livedoor.jp/blackwingcat/archives/1997603.html


まあ、他にも非常に多くの問題が過去に発覚しているのだが、何故かみんな知らない。

そして日本国内のシェアが80%以上という恐ろしさ。

気になるのなら「トレンドマイクロ 問題」や「ウイルスバスター 問題」等のキーワードで検索してみると良い。


参考:

ウイルスバスターがいつの間にか真の中国製になっていた
https://17inch.blog.ss-blog.jp/2019-06-05


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

月刊 Intel 脆弱性 2020年4月号、他 [セキュリティ]


すでに2週間ほど前のニュースだが、今月もIntel製品に複数の脆弱性があると発表されている。


Intel 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU97303667/index.html


リンク先の記事にはCPUに関する物が見当たらないが、一般の消費者が使うパソコンに関係がありそうな物が二点ある。

一つはIntel製の無線LAN端末に関するもので、デバイスドライバなどの更新が必要。

対象となる製品は「AX200, AX201」「9260, 9461, 9462, 9560」「3168, 8260, 8265」「7265」「3165」の各型番の製品で、主にノートパソコンに搭載されているものだ。

ちなみに「3165」はDeskmini A300の純正オプションとしても売られているアレである。


二つ目は「インテル ドライバー & サポート・アシスタント」に関するもので、これはIntel製のデバイスに関する各種プログラムをアップデートするためのソフトウェアであり、既製品のパソコンは製品によってプリインストールされていたり、自作の場合はデバイスドライバや各種ユーティリティを半自動で入れた場合に一緒にインストールされる可能性がある。

当然、これも更新が必要である。


ところでIntel製品の脆弱性と来ればAMDはどうなんだ、という話が出て当然であるが。

モノが良いのか悪いのか、AMDに関してはあまりにもこの手の情報が少ない。

Intelは多すぎだと思うが、これほどではないにしろAMDにもあって然るべきなのだが。

あまりにも無いとかえって心配になってしまう。



次。

脆弱性つながりで、同サイトからトヨタの車載コンピュータの脆弱性に関して。

トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性
http://jvn.jp/vu/JVNVU99396686/index.html

今時のクルマは車載コンピュータも非常に高度なモノになっており、中にはAndroidが動いているモノも出る始末。

インターネットに繋がる機能まで持つようになれば、当然に脆弱性問題も大惨事を招く原因になるため放置は出来ない。

標的となるクルマに物理的な接触が必要だった過去と違い、無線で自由にアクセス出来るとなれば、走行中のクルマがいきなり運転手の操作を受け付けなくなって暴走を始める事もあり得る。(これはすでに現物を使って実行可能な事が証明されている)


が、クルマの場合もパソコと同様、普通は自分から進んで更新をしなければならない。

具体的には買った店へ持ち込んで対応してもらう事になると思うが、実際にやる人は恐らく一部だけだ。

ダイレクトメールなどで更新を促されても放置なんて事は珍しい事ではない。

一部の車種は自動更新する機能を持つが、当然に自動更新は大きなリスクを伴う。更新したらその時点で発覚していなかった問題が出て事故が起きた、なんて事が絶対に無いとは言い切れない。(手動更新であれば更新しないという選択肢を選ぶ事で回避出来る)


クルマはこれからどうなっていくのか。

このままではパソコン同様に年中この問題に神経をすり減らす事になりそうで、とても嫌な気持になる。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

月刊 Intel 脆弱性 2020年3月号増刊 付録:AMD製CPUにも脆弱性発見!? [セキュリティ]


Intel製CPUを襲う新たな脅威「CacheOut」
https://techtarget.itmedia.co.jp/tt/news/2003/04/news10.html

先日「月刊 Intel 脆弱性 2020年3月号」を書いたばかりだが、早くもまたIntel製CPUの脆弱性が発表された。

この記事によると“2018年第4四半期(10~12月)より前に販売されたIntel製プロセッサでデータ漏えいを引き起こす恐れがある”という事で、昨年以降に販売が始まった最新のCPUならば問題がないようだ。

しかしそれ以前のCore i 8000番台を搭載したパソコンはまだ普通に売られている。
これらは全てアウト、という事だ。


またさらにMDSと呼ばれる過去の脆弱性については“既存のIntelの対策についても「MDSを完全に緩和するには不十分」”という事で、最新のパッチを適用した最新のIntel製プロセッサの一部にもまだ脆弱性が存在するという事だ。

これは先日の記事に書いた事と同様の話で、Intelが「対策したからもう安全」と言った事が実際には違った、という事になる。


いずれにせよ現在購入出来るIntel製のCPUのほとんどに問題があるのは間違いない。

アップデート出来るのであれば、最新のUEFI、最新のOS、最新のアプリケーションへ、急いでアップデートすべきだ。

そしてこれらの脆弱性を発見した研究チームは以下を推奨しているという。


・Intel製プロセッサの高速化処理「Intel Hyper-Threading Technology」の無効化

・1次キャッシュメモリのフラッシング(データのクリア)

・処理を高速化するための命令セット「Intel Transactional Synchronization Extensions」(Intel TSX)の無効化



さて。今回のIntel製CPUの脆弱性に関する話題はここまで。

次はAMD製CPUに発見されたという、新しい脆弱性のニュースだ。


AMDプロセッサーにも脆弱性みつかる。Ryzen 7 / Threadripperまで2011年以降全CPU
https://japanese.engadget.com/jp-2020-03-09-amd-ryzen-7-threadripper-2011-cpu.html


この記事によると、“2011年から2019年までのすべてのAMDプロセッサに影響を与え、Zenマイクロアーキテクチャにも絡んでいる”らしく最新のZen2にも該当する問題で、ブラウザのJavascriptを使って攻撃可能という事だ。


ただこの発表、どうにも“過去のCTS Labsの件”と似た、限りなく偽の情報に近いものに見える。

一つは、この件に関するAMDの公式発表に“新しい推測ベースの攻撃ではない”とあること。要は過去に解決済みの問題を別の方向から攻めているだけ、という風に取れる。

何よりこの手の問題には必ず「CVE-xxxx-xxxx」といった記号が存在するが、それが無い事がそもそもおかしい。

AMD Product Security(セキュリティ問題に関するAMDの公式発表)
https://www.amd.com/en/corporate/product-security

実際に過去のSpectreやMeltdownが引き合いに出され、“自由にデータにアクセスできるものではなく「ほんの少しのメタデータ」を取り出せるに過ぎない”と書いているところも過去にAMD製CPUに見つかった問題に似ている。

また、この研究チームがIntelよりかなり多額の資金援助を受けていた事がわかっており、セキュリティに関する報告というよりも単にAMDの足を引っ張ろうとしている、という風に受け取る事も簡単である。


とはいえ、この脆弱性が存在する事そのものは事実。

OSやアプリケーションを最新にすべき点ではIntel製のCPUの例とまったく同様であるため、もしアップデートを怠っているのであればやっておいた方が良いのは言うまでもない。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

月刊 Intel 脆弱性 2020年3月号 [セキュリティ]


Intel製CPUの「修正済み」脆弱性が実は修正不可能であったことが判明(以下略)
https://gigazine.net/news/20200306-intel-csme-vulnerability/

この記事に書かれている脆弱性は「Intel CSME」に存在する脆弱性で、記事中はCPUの脆弱性と書いているが実際にはチップセットに内蔵されたセキュリティ機能の脆弱性である。

とはいえ、CPUとチップセットは不可分のものであるし、CSMEはチップセットに内蔵されたCPUとファームウェアによって機能するため、CPUの脆弱性といえばそうなのかもしれない。


それにしても本来CSMEとは「Converged Security and Management Engine」の略であり、システムのセキュリティ向上のために存在する機能である。

それが逆にセキュリティホールになっているワケで、先日も書いたがインテルなんとかテクノロジーは常にセキュリティ問題の原因となっている事が笑える。


なお、この問題を回避するには今の所Intel以外のシステムか、それでもIntelを選ぶならIceLake以降のシステムに買い替えるしかない。

つまり現在世界中で稼働するx86系のコンピュータのほとんどが、これに該当するわけである。


またこの記事によると、「攻撃は検出が不可能で、ファームウェアのパッチは問題を部分的にしか解決しない。」と書かれている。

インテルのCSMEバグは当初の予想より深刻の可能性
https://japan.zdnet.com/article/35150406/

CPUの性能云々の前にバグで塞ぐ事が不可能なセキュリティホールを抱えるIntel製のシステム。

これが世界中で動くx86系のコンピュータのほとんどが対象なのだから、その影響は計り知れない。

国家や地方自治体の基幹業務、企業の業務用、一般家庭の個人用、これらのほとんどがIntel製システムなのだ。


それから月刊 Intel 脆弱性 2020年2月号を書かなかったが、もちろん2月号も存在する。

知りたい人は調べてみるといい。


月刊 Intel 脆弱性 2020年1月号
https://17inch.blog.ss-blog.jp/2020-01-30


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

新型肺炎の影響 [セキュリティ]


私がこれまでに知り得た情報によると、今回中国から始まった新型のコロナウイルスによる肺炎は、昨年11月には武漢市内で確認されていたらしい。

そして中国の当局はそれを隠蔽。北朝鮮は昨年のうちに中国からの入国を禁止していたそうな。

その後は今年に入ってこの病気が隠し切れなくなるまで中国国内の感染者は増え続け、また感染した中国人が世界中に移動する事によって見えない所で感染は拡大していった。

これに加えて世界中の様々な者達の様々な思惑によって各国の防疫が阻害されたり、国や地域ごとの対策がまちまちであったり不十分なところが非常に多い事から、もう今更何をしても、感染の拡大を防ぐ事は不可能な状況である。

SARSの時もそうだったが、時間と共に終息するのを待つしか無いという事だ。


そんなワケでこの問題、世界中の様々な場所でパニックを引き起こしている。

もちろん、パソコン業界も大打撃だ。

現在のパソコン業界は中国抜きに存在する事は出来ない。多くの部品製造や組み立て工程が中国に集中しているからだ。

またWindowz7の延長サポートの終了に伴うパソコン特需の影響なども重なってか、すでに各所でメモリ関係を中心に値上がりが始まっているようだ。

今後は中国国内の工場が操業停止で製品が作れない、またモノがあっても運べない、或いは運賃の高騰、等々、様々な理由が重なって、パソコンの部品は急激な値上がりが始まるかもしれない。

なのでこれからそういったモノが必要になる人は、早めに確保した方が良い。(私は先月中に、今後必要になる予定のものを粗方前倒しで購入した)


なおこの新型肺炎とは別に、毎年この季節に流行するインフルエンザがあるのだが。

今年はもうすでに数万人単位で死者が出ているらしい。

インフルエンザは毎年50万人前後、少なくとも十万人以上、多い時は100万人を超える死者が出る大変危険な病気だ。

それを考えると新型肺炎などかわいいものだが、命に関わる危険が高い病気である事に変わりはない。

個人で出来る防衛策は限られるが、国の対策はやらないよりはマシ程度であるので、出来る限り自己防衛に努める事が最善であると私は思う。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

さすがはアメリカだ [セキュリティ]

今日、こんな記事を読んだ。

諜報機関によるバックドアがIBMのグループウェアに仕込まれていた理由とは?
https://gigazine.net/news/20191223-lotus-notes-nsa-backdoor/

記事中にあるNSAといえば、近年の“スノーデン”という人物に関する事件を思い出す方が多いと思う。

また、WannaCryに関する諸問題も、同程度に多いかもしれない。


私はアメリカという国が大好きで、彼の国の様々な良い一面に最大限の敬意と憧れを持っている。

だが同時に、彼の国の様々な一面に対して最大限の軽蔑と嫌悪も抱いている。

そうした軽蔑と嫌悪の対象になっている物の一つがコレだ。

アメリカは、自身の自由と正義のためならばなんだってやる。

過去に現地人の大量虐殺と迫害を行ったように。

或いは、東洋のイエローモンキーを一方的に差別し、破滅へ追い込んだように。
(この件についてはイエローモンキー側も自らイエローモンキーである事を証明してしまったわけだが。)


まあ、GAFAをはじめ、アメリカには注意した方がいい。

どこぞの大陸国家や半島国家と同じ位に。

なお、コレらに注意すべきというのはアンチになれという事ではない。

そこは勘違いしないように。





nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

偽物USBメモリ・SDカード・SSD・HDDなどの問題 [セキュリティ]


今日、こんな記事を見つけた。

そのSSDやSDメモリーカードは大丈夫?――データ復旧会社から見る容量偽装の今
https://www.itmedia.co.jp/pcuser/articles/1911/15/news043.html


記事の内容を要約すると、容量偽装といわれる詐欺ストレージの販売が横行しているという事と、これを防ぐにはどうすれば良いかが書かれている。

近年はこうした例が非常に増えていると思う。

その理由は記事中にある“ECサイトやフリーマーケット”、及びネットオークションによる詐欺商品の流通が増えた事だ。

また、物理的な店舗と違い、これらは問題が起きた場合逃げる事が容易く、また名前を変えて出店しなおす事も簡単なので、店の名前で警戒する事が難しいという事もある。


買う側としてこれらの被害に遭わないためには、信頼の置ける店舗から購入する事と、実績のあるメーカーの商品を選ぶ事くらいしか無い。

以前は異常に安い商品を避ける、というセオリーもあったが、今や売る側が知恵をつけて疑心暗鬼な顧客の心理を逆手に取る絶妙な価格付けを行っているから、それも通じなくなった。

メーカーやブランドで選ぶにしても、外装や梱包をコピーされたり販売サイトにアップロードされた写真が実物と違うなど、名前だけでは判別が付かない事もある。

こうした偽装商法とも言うべき詐欺に対抗するには、商品への深い知識も必要だ。

買う前に正規のメーカーサイトで商品について調べて、商品の詳細と外見や梱包の細かな差異を判別出来るようになるしかない。


まあ、こうした犯罪は今後増える事があっても、減る事は無いだろう。


以下はこの件についてあひる先生に尋ねた結果。

USBメモリ 偽物
https://duckduckgo.com/?q=USB%E3%83%A1%E3%83%A2%E3%83%AA+%E5%81%BD%E7%89%A9&ia=web

被害に遭わないための参考に。
nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

ルーターのUPnPは無効にすべきか [セキュリティ]

先日知人より、突然インターネットが使えなくなったからなんとかして欲しい、という依頼を受けた。

私が現場(知人の経営する会社の事務所)へ行ってWindowzの「ネットワークの状態」を見ると、WAN側の接続が切れているようだった。

そこでルーターに問題がある思ってルーターの設定画面をブラウザで開こうとしたのだが、ルーターの設定画面に入ろうとするとログイン出来ない。

何度もIDとパスワードに間違いが無い事を確認したがダメだった。

ちなみにこのルーター(NECのAterm WG1800HP3)は約1年半前に私が設置したもので、内部の設定も全て私が行っている。


この時点でルーターの設定がなんらかの理由で壊れているか、或いは人為的に書き換えられていると仮定し、まずはリセットボタンで初期化した。

初期化後は当然に設定画面に入る事が出来たので、とりあえずファームウェアを最新にアップデートし、プロバイダへ接続するための設定を行ってからインターネットの接続が正常に出来ている事を確認してその場を辞した。

しかし翌日の朝、またダメだという連絡が入る。

現場に到着してからルーターの設定画面を開くと、今度はまだパスワードが通るようで問題なくログイン出来た。

そこで今度はUPnPを無効に設定し、念のためにパスワードをデフォルト(WG1800HP3は出荷時のパスワードが一台一台全て違う)とは違う物に変更してから作業を終えた。


ところで、UPnPを無効に設定した事には理由がある。

それは、UPnPを悪用する事でルーターの設定を書き換える事が可能だからだ。過去にはUPnPを利用した、ルーターの設定をコントロールするためのアプリケーションが存在したりもしている。

要は事務所内にあるコンピュータ(パソコンやスマートフォン、IoT機器など)がマルウェアに感染するなどして、ルーターの設定を書き換えられた可能性があるという事。

ルーター自体に問題が無い事は確認のしようも無いが、UPnPを無効にした後は問題が再発していないので、ルーターそのものには問題が無いと考えられる。


ちなみに件の知人には過去に別件で、事務所内にある一台のパソコンがマルウェアに感染している可能性がある事を伝達済みだ。

しかしその後何も言って来ない。もちろん放置すれば危険である事も説明したが、のれんにうで押しぬかに釘である。

以上の事から、今回のケースではマルウェアに感染したPCによってルーターの設定が書き換えられた結果、なんらかの理由でマルウェア側の想定とは違う挙動をルーターがしたためにインターネットとの接続を維持出来なくなったのではないか、と私は推測している。(まるで見当違いであるかもしれないが)

こんな事があるのだから、特に必要が無ければルーターのUPnPは必ず切った方が良いのかもしれない。

追記: その後この件について色々調べると、以下のサイトを発見。 やはりUPnPは基本OFFが良いようだ。

IoT機器の深刻な脆弱性が、長い“潜伏期間”を経て表面化し始めた
https://wired.jp/2018/04/27/upnp-router-game-console/

やっぱりUPnPは「無効」に設定すべき?という話について調査してみた
https://did2memo.net/2013/01/31/turn-upnp-off/


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

Meltdownの再来か、ZombieLoad v2が発表される [セキュリティ]


Intel製CPUに新たな脆弱性「ZombieLoad v2」が発見される、Cascade Lakeにも影響あり
https://gigazine.net/news/20191114-intel-cascade-lake-zombieload/

Intel's Cascade Lake CPUs impacted by new Zombieload v2 attack
https://www.zdnet.com/article/intels-cascade-lake-cpus-impacted-by-new-zombieload-v2-attack/


またしてもIntel製CPUの脆弱性が発表された。

その名も「ZombieLoad v2」。

ZombieLoadは今年5月に発表された脆弱性だが、その続きがあったらしい。

問題の内容としては2018年にテレビでも放送されて大騒ぎになった「Meltdown」の類になる。


以下はZDNetの記事からの抜粋を翻訳したもの。
「このアプローチの主な利点は、i9-9900KおよびXeon Gold 5218で検証したMeltdownのハードウェア修正を備えたマシンでも機能することです」

つまり、過去のMeltdown対策としてハードウェアに実装された脆弱性対策も無意味であるという事だ。

記事によるとこの問題はIntel TSX命令セット拡張をサポートする事が条件なので、2013年以降に販売されたすべてのIntel製CPUに影響があり、AMD製のCPUにこの脆弱性は存在しない。


この問題、過去のMeltdownがそうであったように、Webページに悪意のあるスクリプトを埋め込むだけで簡単に悪用が出来る。

従って、一般の個人が私用で使うパソコンも無関係ではない。

だが適切な対応を行うことである程度被害を防ぐ事が可能だ。(ある程度、と言う理由は、この脆弱性に対する対策がいまだ不完全であるため)


具体的にはパソコンのファームウェア(一般にBIOSやUEFIと呼ばれるソフトウェア)のアップデート、そしてOSとアプリケーションソフトウェアのアップデートを出来るだけ速やかに行う事。

この問題が発表されたという事は、早ければ一か月以上前に対策されたソフトウェアが関係各所から出ているはず。

中には自動でアップデートされた物もあるかもしれないが、環境や使い方によっては自動アップデートが出来ないケースもあるので、自分から調べて能動的に対処すべきだ。


それにしても、この件に関する日本語の記事があまりにも少ない。

またIntelから情報統制の命令が出ているのか。

さすがはIntel、私にはこのようなマネは無理だ。


参考:このブログで過去に書いた関係する記事
https://17inch.blog.ss-blog.jp/search/?keyword=Meltdown


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

パテントトロールと化したソフトバンク [セキュリティ]


パテントトロールと化したソフトバンク


インテルがソフトバンク傘下の投資会社提訴、特許買い集めと批判
https://jp.reuters.com/article/intel-softbank-idJPKBN1X12Q4


ソフトバンクグループ傘下の投資会社が特許権を買い集め、ハイテク企業を次々に訴えている。

・・・パテントロールだ。


まあ、台所事情を鑑みれば理解出来る。

が、やっている事はなんとかファンドの理念とまるで逆である。


つまり、そういう事だ。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

ああ、私に関係の無い話で良かった [セキュリティ]


iOS・Androidの脆弱性(中略)背景には中国政府の可能性
https://gigazine.net/news/20190925-poison-carp-hacked-tibet/


ああ、私に関係の無い話で良かった。

などと思う者は愚かだ。

確かにチベット問題に直接関わりのある日本人は限られ、無関係の人がほとんど。

が、この問題の本質はそこではない。(少なくとも私にとっては)



nice!(1)  コメント(0) 
共通テーマ:パソコン・インターネット

「AI監視技術」は世界に広がっている [セキュリティ]


「AI監視技術」は世界に広がっているのか? カーネギー国際平和財団が発表
https://www.atmarkit.co.jp/ait/articles/1909/19/news131.html

この記事によると、中国はAI監視技術の主要な提供国となっている。

記事の中には記述が見当たらないが、記事タイトルには「日本も中国企業の監視技術を採用」とある。

これではどのようなセキュリティも無意味ではないか。


監視技術によって得られた各種のデータは、どこの国製であってもスパイ行為に利用されている。

ましてや相手は中国である。

データの通信ログを誤魔化す方法などいくらでもあるわけで、少しばかり監視したところで筒抜けだろう。


まあ、有象無象の一人でしか無いほとんどの人にはあまり関係が無いと思われるだろうが。

一見して無意味と思われる情報から対象国へ影響力のある干渉方法を構築するためのデータを得る方法が存在するわけで、関係が無いという事はあり得ない。

・・・ダメだこりゃ。


nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

今更こんな事がニュースになる理由 [セキュリティ]

私はGIGAZINEのこの記事を見て驚いた。

え!?今更こんなわかりきった事が記事になるなんて!!!

Huaweiの技術者がアフリカ政府によるスパイ活動に加担していたとの報道
https://gigazine.net/news/20190815-huawei-helped-african-governments-spy/


もちろんこの件に関する私の理解には根拠が乏しい。

が、過去から現在まで、中国に限らず世界中の国家が、或いは一市民の身近な個人的な関わりに至るまで、このような行動はごく普通の事として当たり前という認識が私にはある。


個々の事例に付いての根拠など、当事者でなければ知り得ることなど無い以上全てが想像のものでしかない。

が、これが人間の行動原則として普遍的な拘束力を持つのであれば、根拠として十分だと確信する。

要は「そういう事」をする理由がある以上、やっていないはずがないのだ。

特に、国家ともなれば。


個人ならば一定の倫理観の下、そういう行動に至ることが事実上不可能なケースも考えられる。

が、それが組織となれば、それも国家規模となれば尚更、そうした倫理に関する束縛は緩くなる。

ましてや独裁国家ともなれば、である。


国家としての主権において、国家の主権を守るための情報収集と自国が有利に立ち回るための工作は絶対に必要な事であり、そうした観点に置いて例外はありえない以上、中国ばかりを責める事は出来ない。

アメリカは当然の事、日本だってやっているのだから。

しかし中国のそれは、アメリカと同等以上の危険性を孕む。

何故なら、独裁国家による独善的な理由が日本やアメリカよりも桁違いに強いからだ。

民主国家ならばある程度働く抑止力が事実上ゼロである以上、我欲に駆られた連中が何をするのか想像してみればいい。

身近にいくらでもあるそういう事例が国家規模で行われているとすれば、その結果起きる惨事は説明するまでも無かろう。


まあそんなわけで、私は中国企業によるあらゆる行動を楽観視出来ない。

アメリカ企業はそれ以上に危険性を孕む一面を持つが、優先順位を考えるとどうしてもそうなる。

だから、日本国内で中国企業や彼らに関連するあらゆる国籍の人間の行動は、注意する必要がある。

一見社会的に良い意味での貢献に見える行動も、実際にはそれを隠れ蓑にした侵略である事が当たり前だからだ。

この事は日本企業にもまったく同じに当てはまる事なので、そこは誤解のない様にして欲しいと思うが。

なんにせよ、Huaweiは非常に危険だと認識すべき。

それが結論だ。



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット
前の30件 | - セキュリティ ブログトップ