気象衛星が観測するデータは多岐にわたっていて、例えば地表から出ている赤外線を測定して地表の温度を計測したり、雲の動きを光学センサーで観測したりしています。こうして集められる天候データの中でも特に重要なのが、マイクロ波で計測する大気中の水の分布です。水蒸気の状態で大気中に存在する水の様子が分かってはじめて、湿度を計測したり雲の発達などを予測することが可能になります。
第4世代移動通信システム(4G)までは、最も高い周波数でも3.6GHz帯だったのに対して、5Gでは新たに24GHz以上のマイクロ波が使用される予定です。そして、気象衛星が水蒸気を観測するために搭載している「高性能マイクロサウンダ(AMSU)」が観測に使用している帯域の中で最も水蒸気の観測に適しているのが23.6〜24GHz帯のマイクロ波です。気象衛星の超高精度なマイクロ波放射計が使用しているマイクロ波が、5Gで使用される予定のマイクロ波の帯域に非常に近いため、5Gの運用が始まれば気象衛星のセンサーが目くらましを受けてしまう可能性が否定できない、というわけです。
このため、アメリカで電波オークションを所管する連邦通信委員会(FCC)に対し、アメリカ合衆国商務省のウィルバー・ロス長官とNASAのジム・ブライデンスティン長官が連名で書簡を送付してオークションを先送りにするよう要請していましたが、FCCのAjit Pai議長は「技術的根拠がない」として却下し、オークションの実施に踏み切っています。
実際のところ、5Gのマイクロ波が気象衛星の観測に支障を与えるかどうかは不明ですが、Hackadayのライターであるダン・マロニー氏は「何が起きるとしても、天気予報にプラスになることはないだろう」と述べています。
Wi-Fiセキュリティ新規格「WPA3」に脆弱性
Wi-Fiの認証/暗号化技術「WPA3」にセキュリティ上の脆弱性が見つかったとして、WPA2/WPAの脆弱性「KRACKs」の発見者であるMathy Vanhoef氏と、Eyal Ronen氏が論文を公表した。
個人向けに提供される「WPA3-Personal」では、WPA2-PersonalのPSK(Pre-shared Key)に替わり、“Dragonfly”とも呼ばれるハンドシェイクの方式である「SAE(Simultaneous Authentication of Equals)」を採用している。Wi-Fi Allianceの解説によれば、SAEでは第三者によるパスワード推測に対するユーザー保護を強化しており、辞書攻撃などに対する耐性も持つという。
今回発見された問題では、SAEのパスワードの生成やエンコーディングを行うアルゴリズムなどに脆弱性があり、サイドチャネル情報が漏えいしてしまうことで、パスワードが推測される可能性があるという。
また、WPA3は、いまだ普及の進んでいない新技術であるため、WPA2との互換性を維持して4-wayハンドシェイクで接続を行う移行モードが追加されている。これにダウングレード攻撃を実行される脆弱性があり、総当たり攻撃を行うことでもパスワードの解析が可能になるという。
両氏はこの脆弱性について解説したウェブサイトや、「Dragonblood: A Security Analysis of WPA3’s SAE Handshake」というタイトルの研究論文を公開している。また、同ウェブサイトでは脆弱性をテストするためのツールなどが公開されている。
ソ-ス:Wi-Fiセキュリティ新規格「WPA3」に脆弱性、登場から1年経たずに発見される - INTERNET Watch
関連:
Dragonblood
システムプログラムの問題が見つかりました
「システムプログラムの問題が見つかりました」が起動時に表示され気になっていた。
・システムプログラムの問題が見つかりました - circletek
より
sudo rm -rf /var/crash/*
「ハッシュ化したから安全」?
ハッシュからパスワードを入手できる
ハッシュ化していれば、それほどまでに安全なのか。答えはノーだ。ハッシュ化したパスワードから、元のパスワードを入手するのは不可能ではない。それを説明するために、簡単にハッシュ化の仕組みをおさらいしておく。
ハッシュ化は、あるデータをハッシュ関数と呼ぶ演算によって変換することを指す。変換したデータはハッシュと呼ぶ固定された長さの値になる。
パスワードの保存に使うハッシュ関数には、2つの特徴がある。1つは、ハッシュから元のデータを演算で求める「復号」が困難であること。もう1つは、わずかでも違いがあるデータをハッシュ化すると、全く異なる値に変換されることである。
このような特徴を持つハッシュ関数でパスワードのハッシュを保存すれば、認証が可能になる。
ハッシュを使ったユーザー認証
では、ハッシュからどうやって元のパスワードを入手するのか。それは、逆引きをするための表を使う。
例えば、ある桁数までの文字列のハッシュをあらかじめすべて計算しておけば、元のパスワードがその桁数以下ならその逆引き表からすぐに候補を見つけられる。
実際には、すべての文字列に対する逆引き表を用意すると、データが膨大になり過ぎる。そこで、特殊な関数と「レインボーテーブル」と呼ぶデータベースを組み合わせて、データサイズを小さくして逆引きできるようにしている。
工夫しても時間稼ぎになるだけ
このため、ハッシュでは「ソルト」や「ストレッチング」と呼ぶ方法で解析しにくくしている。ソルトは、パスワードに文字列を付け加えてハッシュ化する手法。こうすれば、ハッシュ化する前のデータの桁数が増えて、解析に必要な逆引き表の作成が困難になる。
ストレッチングは、ハッシュ化を繰り返し適用する手法だ。1回しかハッシュ化しないときより、解析の手間がかかるようになる。
ただ両方の工夫を適用しても、解析に時間がかかるようになるだけだ。解析できなくなるわけではない。
例えば、漏洩データの検索サービスを提供していたLeakedSourceが2016年9月、ソルトを採用していたサービスから漏洩した4350万件以上のアカウント情報を2時間で96%解析したとしている。
ハッシュから元のデータを求めるサービスも登場している。逆引き表を用意できない人でも、こういったサービスでハッシュから元のパスワードを入手できる可能性がある。
パスワードを漏洩させてしまったら、その組織はいち早く漏洩の事実を伝えて注意喚起を実施すべきだ。こうしてパスワードの使い回しによる二次被害を防ぐ。
ハッシュ化していれば、その事実とソルトやストレッチングを適用していたかどうかも明らかにする。ユーザーの不安を無駄にあおらないようにするためだ。ただソルトの内容やストレッチングの回数は、攻撃者による解析の助けになるので公表しなくてもよい。
ただし、ハッシュ化を根拠に安全だと主張すべきではない。その主張によって、安全だと誤解したユーザーが対処を後回しにすれば、被害が拡大する恐れがあるからだ。
新元号 令和(れいわ)の文字コード
18N:令の字にUNICODEのコードが2つあったはなし)。
・UNICODEにおいては「令」の文字を表すコードポイントとして「U+4EE4」と「U+F9A8」の2つある。
・元号に使用すべきなのは「U+4EE4」であり、日本語フォントに存在するのも「U+4EE4」。 「U+F9A8」は、韓国語の等音法則に起因する文字で(韓国の文字コード規格KS X 1001との往復変換を可能にするために追加された文字)。
IIJmio:DNSフィルタリング
・DNSフィルタリング | 格安SIM/格安スマホのIIJmio
適用年月日 2019年 7月 1日(月)
「あなたブラクラ貼ったでしょ?」
続きを読む「あなたがやったことはこれだけ大きな罪なんですよ」――インターネット上の掲示板に「不正なプログラム」を書き込んだとして検挙された男性がねとらぼ編集部の取材に応じ、兵庫県警に受けた取り調べの一部始終を語りました。「ブラクラ」という言葉すら知らなかった男性はなぜ書類送検されたのでしょうか(関連記事)。
兵庫県警が「ブラクラ」だと主張しているページ。実際には「無限アラート」であり、「ブラクラではない」という意見が多い
事件のあらまし
猫のアスキーアート(AA)とともに、「何回閉じても無駄ですよ~ww」と書かれたポップアップが繰り返し表示されるサイトのURLをインターネット上の掲示板に書き込んだとして、13歳の女子中学生が補導、39歳と47歳の男性が家宅捜索を受けたとの報道がなされたのは3月初旬のこと。
一部では掲示板に貼られたURLが「ブラウザクラッシャー」(通称:ブラクラ)にあたるとの報道もありましたが、問題視されたURLを確認してみると当該プログラムにブラウザをクラッシュさせる機能はなく、厳密には「無限アラート」へのリンクであり「ブラクラではない」という意見の人が大半です。
またポップアップについてもタブを閉じてしまえば消せることから大きな害はほとんどなく、いたずら目的のジョークページとみる人が大半ですが、女子中学生ら3人は「不正指令電磁的記録供用未遂の疑い」(通称:ウイルス罪)で兵庫県警の摘発を受けました。
ネット上ではこうした兵庫県警の判断に批判的な声も多く上がっていますが、プログラミングに関する著書も持つデータサイエンティストの加藤公一(@hamukazu)さんは、「みんなで逮捕されようプロジェクト」と題して同様のプログラムを公開し、抗議活動を行っています(関連記事)。
ねとらぼ編集部は「みんなで逮捕されようプロジェクト」の取材過程において、加藤さんを通じ、家宅捜索を受けた39歳の男性(以降、Aさん)とコンタクト。Aさんが家宅捜索を受けたときの生々しい状況や、現在の心境についてメディアではじめて語りました。
早朝の扉ドンドンに家族が恐怖を覚えて通報 兵庫県警の不可解な家宅捜索
あるユーザーが「不正指令電磁的記録に関する罪」についての情報公開請求を行った
JavaScriptでポップアップメッセージを無限に表示するページのURLを貼った未成年者1名を補導、2人を書類送検した兵庫県警に対して、あるユーザーが「不正指令電磁的記録に関する罪」についての情報公開請求を行ったことをブログで公開した。
これは脆弱性診断などを専門とするセキュリティエンジニアのozuma(@ozuma5119)さんで、刑法第百六十八条の二又は第百六十八条の三(不正指令電磁的記録に関する罪)に基づく取締りその他の運用を行うにあたり、どのような内容をもって犯罪行為とするかの構成要件等を記載した文書(具体例を含む)の請求を行ったとしている。条文では「正当な理由がないのに、人の電子計算機における実行の用に供する目的で(略)電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する」としており、同氏は請求の理由として「何をやったら犯罪なのか、まずは兵庫県警の考えを知りたい」としている。
- 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1)(ろば電子が詰まつてゐる)
https://ozuma.hatenablog.jp/entry/2019/03/13/020906- 刑法|情報セキュリティ関連の法律・ガイドライン|基礎知識(国民のための情報セキュリティサイト)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/02.html- 兵庫県警ホームページ、利用者に告知なく導入していたGoogleアナリティクスを撤去(やじうまWatch)
https://internet.watch.impress.co.jp/docs/yajiuma/1173873.html
ソ-ス:「何をやったら犯罪なのか」セキュリティエンジニアが兵庫県警に対し情報公開請求【やじうまWatch】 - INTERNET Watch
IPP Everywhereプリンター
「IPP Everywhere」は、ドライバー等プリンター固有のソフトウェアがなくても、プリンターで印刷を可能にする仕組み。
主にスマフォ等モバイルデバイスから写真や文書を印刷する時に利用される仕組み。
例えば「Android 4.4」以降標準で「IPP Everywhere」のサポートが行われており、プリンタードライバーをインストールしなくてもプリンターを利用できる。
そのやり方
・Ubuntu 17.04 その8 - ドライバーがなくてもプリンターから印刷可能に・IPP Everywhereプリンターをサポートするためテストの呼びかけ - kledgebを参照。
関連:
・2017年1月6日号 『ドライバレス』でのプリンタ対応・UWN#492・493:Ubuntu Weekly Topics|gihyo.jp … 技術評論社
Ubuntu 18.10のLinux KernelとXスタックをインストールする
ソ-ス:・Ubuntu 18.04 その323 - Ubuntu 18.10のLinux KernelとXスタックをインストールするには - kledgebを参考に
1.ソフトウェアの更新
2.コマンドの実行
「端末」を起動し、以下のコマンドを実行
sudo apt-get install --install-recommends linux-generic-hwe-18.04 xserver-xorg-hwe-18.04