4349225 ランダム
 ホーム | 日記 | プロフィール 【フォローする】 【ログイン】

shigechan2008のブログ

全34件 (34件中 1-10件目)

1 2 3 4 >

セキュリティ

2022.06.30
XML
カテゴリ:セキュリティ
9TO5MAC​で見た記事で、​AppleInsider​や​MacRumors​でも報じられています。

※画像は9TO5MACの記事から引用しました。

FCCの委員長は、AppleとGoogleの両方に、それぞれのアプリストアからTikTokを削除するよう求め、7月8日まで企業に回答するよう求めたそうです。長い4ページの手紙は、TikTokはビデオ共有アプリではなく、中国政府にとって「洗練された監視ツール」であると述べています。企業が求めに応じなかった場合、連邦通信委員会がどのような措置を講じる可能性があるかは、現時点で不明とのことです。​
​※FCC:Federal Communications Commission(アメリカ合衆国連邦通信委員会)

​​背景​

2020年前大統領は、TikTokがアメリカの企業に売却されない限り、米国で禁止されると発表した。当初は厳しい締め切りが設定されたが、この指示は穏やかに無視されるまでに2回延長された。​
前政権はこのアプリを国家安全保障への脅威と説明したが、専門家は”これはかなり観念的には真実である”と述べた。バイデン政権は行政命令を取り消したが、外国の敵に関連するアプリの、より広範な見直しを命じた。

​​​TikTokを削除せよ、とFCC委員長は言う​​​

FCC委員長のBrendan Carrは、AppleとGoogleに2ページの公開書簡を送り、App StoreとGoogle Playからアプリを削除するよう求めた。彼はそれを中国当局のためのデータ収集ツールと表現した。

先週、驚くべき新しい報告書でTikTokがもたらす深刻な国家安全保障上の脅威に新たな光を当てた。ご存知のように、TikTokはアプリストアを通じて何百万人ものアメリカ人(日本人も)が利用できるアプリであり、それらの米国ユーザーに関する膨大な量の機密データを収集している。TikTokは、中国共産党に見守られ、中国の法律で中華人民共和国の監視要求を遵守することが義務付けられている組織である北京に拠点を置くByteDanceが所有している。

漏洩した音声録音を通じて、先週のBuzzFeed Newsのレポートは、北京のByteDance関係者が、米国のユーザーがアプリストアを通じてアプリをダウンロードした後、TikTokがアメリカ人から収集した機密データに繰り返しアクセスしたことを明らかにした。「すべてが中国で見られる」とTikTokの関係者は述べた。TikTokがアメリカ人について収集したデータは、米国に保存されていることを繰り返し表明しているにもかかわらずである。​
  • TikTokは画面で見えるだけのものではない
  • 面白いビデオやミームを共有するためのアプリだけではない
  • それは羊の革で、その本質として、TikTokは大量の個人データと機密データを収集する洗練された監視ツールとして機能する
実際にTikTokは、検索や閲覧履歴から下記の情報を収集するそうです。​
  • 研究者が無関係な顔認識技術で使用される可能性があると述べた顔写真やボイスプリントを含むキーストロークパターンや生体認証識別子まで、あらゆるものを収集している
  • 位置データ、ドラフトメッセージ、メタデータを収集し、さらにデバイスのクリップボードに保存されているテキスト、画像、ビデオを収集する
収集した個人データと機密データのリストはさらに続く。しかし、これは驚くには当たらない。独自の国境内で、中華人民共和国は権威主義的な統制を維持するために、世界で最も侵略的で遍在する監視能力のいくつかを開発した。


4ページの手紙には、ハイテク大手2社が中国でアプリがどのように使用されているかについての主張に納得していなくても、App Storeのガイドラインに違反しているため、TikTokを削除する必要があると書かれています。
  • TikTokは、その広範なデータ収集が北京の(明らかにチェックされていない)アクセスと組み合わされているので、容認できない国家安全保障上のリスクをもたらすことは明らかである
  •  北京の人々が、機密性の高い米国のユーザーデータに持っている自由なアクセスに関するTikTokの行動パターンと不実表示は、AppleとGoogleの2社がアプリストアで利用可能なアプリであり続ける条件として、遵守すべきポリシーに準拠していないことも明らかである
  • したがって、アプリストアポリシーに適合しないTikTokをアプリストアから削除して欲しい

9TO5MACの記事下部にリンクがあり、手紙の全文を読むことができます。






最終更新日  2022.06.30 07:30:22
コメント(0) | コメントを書く


2022.06.02
カテゴリ:セキュリティ
9TO5MACに出ている記事です。財政危機が深刻で、米国政府のブラックリストに載った国へもスパイウェアを販売する可能性があると、指摘しています。

​NSOグループは、政府や法執行機関に販売されているペガサスと呼ばれるスパイウェアを製作しています。同社は、ハッカーからいわゆるゼロデイの脆弱性(Appleには知られていないもの)を購入し、そのソフトウェアはゼロクリックエクス攻撃できると言われており、特定のiMessageを受信したり開いたりすれば、iPhoneが侵害され、ほぼすべての個人データが公開される可能性があると報告されています。

首相、米国国務省職員、EU高官、ジャーナリスト、弁護士、人権活動家は、iPhoneがペガサスにハッキングされた人々の一人です。米国政府はペガサスの輸入と使用を禁止し、最も収益性の高い顧客基盤である米国の法執行機関を奪った。アップルは圧力を加え、会社を訴え、感染したiPhoneの所有者に警告した。

NSOは昨年末までに現金を使い果たしており、物事が非常に絶望的だったので給与の支払いにも苦労していたと、フィナンシャルタイムズは報告しているそうです。

同社のCEOが見ることができる唯一の選択肢は、人権擁護が不十分な政府への売却に対する規則を取り壊すことだった。新しい名前で新しい会社をスピンアウトし、コードとエンジニアをそれに転送すれば、新しい事業体はNSOのブラックリストの規制を受けず、再びペガサスを販売できる可能性がある。NSO MkIIがすぐに規制対象にならないよう、CEOは同社の新しい所有者が「米国のトップ防衛請負業者」になる可能性があると指摘したそうです。

9to5Macの考察

米国の防衛会社が商務省の​エンティティリスト*1​で規制された製品を購入する可能性は低いため、この計画はかなりこじつけのように思える。しかし、米国の法執行機関には、まだペガサスを使用したいと思っている人が多いので、その可能性を排除することはできない。

*1エンティティリストは、米国商務省産業安全保障局(BIS)が発行した貿易制限リストで、特定の外国人、団体、または政府で構成されています:​
  1. エンティティリストのエンティティは、一部の米国技術など、指定されたアイテムの輸出または譲渡に関する米国のライセンス要件の対象となる
  2. ただし、米国の個人または企業は、エンティティリストの会社からアイテムを購入することは禁止されていない
  3. エンティティリストに含まれることは、「拒否された人」に指定されるよりも厳しくなく、未確認リスト(UVL)に掲載されるよりも深刻である
  4. 大量破壊兵器の普及に関与する事業体について一般に通知するために1997年に最初に発行されたこのリストは、その後、「国務省によって認可された活動および米国の国家安全保障および/または外交政策の利益に反する活動」に従事する事業体を含むように拡大した
  5. これは、輸出管理規則(EAR)のパート744の補足第4号でBISによって発行されている

エンティティリストに関して、Wiki Pediaを参照しました。






最終更新日  2022.06.02 17:31:30
コメント(0) | コメントを書く
2022.05.27
カテゴリ:セキュリティ
9TO5MAC​に出ている記事です。

パンデミック中にリモート学習アプリを使用した何百万人もの子供たちが、個人データ、さらには行動情報までも広告主と共有していると、​Human Rights Watch​ は新しいレポートで述べていて、これには学生が学校で使用する必要があったアプリも含まれるとの事。

※画像は9TO5MACの記事から引用しました。

Human Rights Watchは、複数の国の政府によって承認された合計164のアプリとウェブサイトを調査し、世界で最も人口の多い49カ国の政府は、子供のプライバシーを適切に保護することなく、Covid-19の学校閉鎖中にオンライン学習製品を支持することで子供の権利を害したと、本日発表された報告書で述べた。
レビューされた164種のEdTech製品のうち、146種(89%)が子供の権利を危険にさらすか侵害しているように見えた。これらの製品は、ほとんどの場合秘密裏に子供や両親の同意なしに、以下の個人データを収集したり、監視する能力を持っていたそうです。
  • 自分は誰なのか
  • どこにいるのか
  • 教室で何をするのか
  • 家族や友人は誰なのか
  • 家族が使用できるデバイスの種類は何か
ほとんどのオンライン学習プラットフォームは、時間の経過とともに、仮想教室の外やインターネット上で子供たちを追跡する機能を持っていたそうです。デバイスを破壊せず、子供、両親や教師が状況を認識したいという願望を持っていたとしても、避けたり消したりすることが不可能な方法で、目に見えない方法でタグ付けされ、指紋データまで採取された人もいたほえーぷーとのこと。指紋認証データを窃用したということなのかな!?​
<中略>
  • ほとんどのEdTech企業は、学生が追跡を拒否することを許可しなかった
  • この監視のほとんどは、子供の知識や同意なしに密かに行われた
  • ほとんどの場合、子供たちが義務教育を拒否してパンデミック中に正式な学習をあきらめることはなかったので、そのような監視とデータ収集を拒絶することは不可能だった
ヒューマン・ライツ・ウォッチは、調査結果を検証したり、さらなる分析を実施したい人と証拠を共有すると述べています。
また以前の研究では、Androidプラットフォーム上の教育アプリは、iOSアプリよりも個人データを共有する可能性が8倍高いことがわかりました。






最終更新日  2022.05.27 13:54:55
コメント(0) | コメントを書く
2022.05.24
カテゴリ:セキュリティ
9TO5MAC​に出ている記事です。$40,000といえば今のレートで¥5,000,000を超える額ですよ〜びっくりほえー涙ぽろり
被害者は標題のように主張しているそうで、その後の情報は出ていないようです。
  • その後不正利用分が保障されたか否か?
  • 泥棒は誰なのか?
  • 泥棒は何を買ったのか?

以下、記事の要約です。
    ​​
  • ある女性は、オーランドのディズニーテーマパークで休暇中にエルメスのApple Watchを落とした後、費用のかかる間違いを犯した
  • 先月EPCOT(ディズニーワールドの施設名)でニモ&フレンズとザ・シーズに乗っている間に時計は彼女の手首から外れた
  • これはかなり高価で約1,300ドルの価値があり、標準のApple Watchよりもはるかに高い
  • 時計が乗り物から下の小道に落ち、彼女は近くで時計を見ることが出来たが、それは手の届かない場所だった
  • 安全プロトコルに違反して、彼女の夫は移動中の乗り物から飛び降りて、それを取り戻そうとした
  • キャストメンバーは遊具を止め、ディズニーが時計をホテルに戻すことを彼らに保証した
  • ディズニーは彼女のApple Watchを見つけることが出来なかった


  • 保安官の報告によると、その女性は​無制限のクレジットラインを持つアメリカン・エキスプレスを含む、彼女の時計にリンクされたいくつかのクレジットカードを持っていた​
  • ディズニーのコンテンポラリーリゾートに戻ったとき、彼女はキャストメンバーからApple Watchを持っていないと言われた
  • ​しかし、彼女が後に一連の不正利用のアラートを見つけたので、誰かがそれを持っていた​
  • 彼女はアメックスカードで1日を通していくつかの詐欺アラートを受信した
  • ”被害者によると、彼女のカードには約4万ドルの不正請求があった”
  • その女性はApple Payでクレジットカードをシャットダウンしたが、いつシャットダウンしたかの時系列情報は不明
  • ​​
9to5Macの考察

この状況全体が少し疑わしいと感じます。

  • 記者は以前にディズニーのEPCOTで遊具に乗ったことがある
  • ゲストがApple Watchのような必須ではないアイテムを失ったら、私たちはアイテムがどこにあるかをスタッフへ伝達し、一日の終わりにそれを取り出すように依頼する
  • 結局時計は戻らなかった
  • 時計はどこに行ったのか?
  • また、泥棒はどうやってApple Payにアクセス出来たのか?
  • 彼女は時計に推測しやすいパスワードを使っていた可能性が高い ​→  激しく同意!!​
  • 残念ながら、解明されていない答えがたくさんあると思われる

私の疑問
    ​​
  1. Apple Watchって、そんなに簡単に手首から外れるのか?
  2. 利用額無制限!?のカードを無効化するのが遅すぎたのではないか?
  3. ​​






最終更新日  2022.05.24 16:14:58
コメント(0) | コメントを書く
2022.05.17
カテゴリ:セキュリティ
​AppleはiOS 15.5で30個近いセキュリティ対策、macOS 12.4で50個以上のセキュリティ対策を実施したと、​9TO5MAC​で報じられています。

※画像は9TO5MACの記事から引用しました。

今回は多数のセキュリティパッチを含むので、デバイスをアップデートすべきと述べられていますね。
  • iOSとMacの両方で、多くの欠陥により、悪意のあるアプリがカーネル権限で任意のコードを実行できる可能性がある
  • iOS用では”リモート攻撃者が予期しないアプリケーションの終了や任意のコード実行を引き起こす可能性がある”と述べている
  • Macで修正された50以上の欠陥の1つは、プレビューインスペクタで削除した後も写真の位置情報が持続する可能性がある
​macOS Big Sur 11.6.6、macOS Catalina、Xcode 13.4、watchOS 8.6でも重要なセキュリティアップデートが利用可能とあるので、アップデーなさることをお勧めします。
それから、Studio Displayファームウェア・アップデート15.5も単体で出ている(macOS 12.4以降で利用可能)ようです。​






最終更新日  2022.05.17 13:41:46
コメント(0) | コメントを書く
2022.05.03
カテゴリ:セキュリティ
9TO5MACに出ている記事で、米国テネシー州のMagic Kingdomという商業施設へ出かけた家族連れの娘さんが体験したそうです。

※画像は9TO5MACの記事から引用しました。

駐車場に向かっている途中の午後7時9分に自分のものではないAirTagが最初に検出され、午後11時33分頃にトラッキングの通知を受け取ったそうで、娘が通知をクリックすると過去4時間に家族がいたすべての場所に接続する線が描かれた地図を見たそうです。
アラートを受け取った後、すべての持ち物を検索しても不審なAirTagを見つけることができず、彼らはとにかく警察を呼んだがAirTagの発信元を特定できず。近くに何千ものApple製品があるため、通知が「間違っている」可能性があるようです。

Appleは最近、AirTagのストーカー行為の懸念に対処するための変更を加えたので、新しいAirTagを設定するとプライバシーに関する警告が表示されます。メッセージには、デバイスはストーカー行為の目的ではなく、持ち物を追跡するためのものであると記載されています。また、AirTag が Apple ID にリンクし、法執行機関がこの情報を要求できることも記載されています。

結果としてトラッキング通知(警報)はエラーだったようです。
日本はちょうどゴールデンウィークですし、大きな商業施設へ行った時にそぞろ歩く人の中にApple製品を持つ人が居て、偶然にも自分達と帯同することはあるでしょう。まあ警報が鳴らないよりは良いだろうし、この家族のように念のため持ち物を点検することも必要でしょうスマイル






最終更新日  2022.05.03 16:21:24
コメント(0) | コメントを書く
2022.04.30
カテゴリ:セキュリティ
MacRumors​に、Appleの​AirTagファームウェアに関するサポート文書​(英文)が紹介されています。日本語表示はなぜか見つかりませんね。

※画像はMacRumorsから借用しました。

AirTagのファームウェアアップデートに含まれる変更点と機能は、以下の通り。
  • AirTagファームウェアアップデート1.0.301で、不要なトラッキングサウンドをチューニングして、未知のAirTagをより簡単に見つけることができる
  • iOS 14.5以降が必要
ファームウェアのバージョンを確認する方法。
  • 「探す」アプリを開く
  • 「アイテム」タブをタップする
  • アイテムのリストでAirTagを選択する
  • AirTag の名前をタップすると、シリアル番号とファームウェアのバージョンが表示される
AirTag を更新する方法。
  • AirTagをアップデートするには、iPhoneにiOS 14.5以降がインストールされていることを確認する
  • ファームウェアのアップデートは、AirTagがiPhoneのBluetooth範囲にある間、定期的に配信される


自分も含めて身の回りにAirTagを持っている人がいないので全く検証できませんけど、他人に仕込まれたAirTagを見つけ易くなったのは良いですね。






最終更新日  2022.04.30 10:42:28
コメント(0) | コメントを書く
2022.04.16
カテゴリ:セキュリティ
9TO5MAC​に出ている記事で、表題の通りトラッキングを許可するユーザ数が顕著に増えたそうです。個々のアプリが収集する情報や位置情報を合わせると自分の行動が完全記録されそうで、自分の行動を監視するならともかく、第三者に記録してほしくないですけどね〜。
ゲームのユーザーがトラッキングを許可する場合が多いようで、”ゲームの開発に協力するためではないか?”とその理由が推測されています。

※画像は9TO5MACの記事から引用、リサイズしました。

App がアクティビティを追跡してもよいか確認してくる場合​と言うアップルのサポート文書がるので、興味のある方はご参照ください。






最終更新日  2022.04.16 14:52:21
コメント(0) | コメントを書く
2022.04.01
カテゴリ:セキュリティ
​これまた​9TO5MAC​からのネタです。申し訳ないですが、私はCleanMyMac Xを使っていないので、日本向けのバージョンが新しい機能に対応しているか否かを検証できません。
記事によると”ロシアのウクライナ侵攻が始まって以来、サイバー攻撃が劇的に増えた。スパイウェアによる攻撃でユーザーデータが盗まれるほか、コンキューターの機能が破損する可能性がある”そうです。

※画像は9TO5MACの記事から拝借しました。

具体的には、CleanMyMac Xのアンインストーラーユニットへ”疑わしいアプリ”というカテゴリーを追加して、そこに分類されたアプリを削除できるようにしたそうです。
セキュリティ用ソフトウェアを使っていない方は、試してみると良いかもしれません。​






最終更新日  2022.04.01 13:23:45
コメント(0) | コメントを書く
カテゴリ:セキュリティ
これまた9TO5MACの記事です。macOS 12.3.1をリリースし、​ゲームコントローラーやBluetooth機器の動作を改善​し、更にiOS 15.4.1と同様に​セキュリティ問題を処置​したそうです。


セキュリティ問題は2点あり、いずれも匿名の研究者によって報告されていたそうです。
  • AppleAVD利用可能:macOSMontereyおよびiOS15に影響:アプリケーションはカーネル権限で任意のコードを実行できる可能性があり、解決された。 Appleは、この問題が積極的に悪用された可能性があるという報告を認識していた
  • Intel Graphics Driver利用可能:macOS Montereyに影響:アプリケーションがカーネルメモリを読み取れる可能性があり、対処されました。  Appleは、この問題が積極的に悪用された可能性があるという報告を認識していた
私のMac Proにはまだ出てこないので、こちらも出てきたら早速インストールしたいと思います。






最終更新日  2022.04.01 12:13:13
コメント(0) | コメントを書く

全34件 (34件中 1-10件目)

1 2 3 4 >

PR


© Rakuten Group, Inc.