Jun 23, 2024

電力消費量の調整メモ

新しく購入したドスパラのパソコンは、パフォーマンスは申し分ないが、静音化のために電力消費などをお試し中。

ひとまずNVIDIA (RTX 4070)の電力の調整から取り掛かっている。





参考


 

Jun 22, 2024

SANS SEC760

XユーザーのNRIセキュア 公式さん: 「ペンテストのトレーニングカリキュラムの中には、非常に難しく「頂点」と言われているコース「SANS SEC760」があり、極めて高度な内容を学ぶことができます。NRIセキュアのペンテスターが本コースを受講した体験談を綴りました。 https://t.co/qVaxDhUcDo https://t.co/iGJfyt8zVx」 / X (05/24)


京の事業仕分けの件

後で読むためのメモ ↓


XユーザーのSpicaさん: 京の事業仕分けは蓮舫が正論だったというのが今のコンセンサス。「(世界1位で)国民に夢を与える」と訴えた理研、そのロジックだと268億円の予算を要求した京は大谷翔平のHR1本より価値がないことになる。 https://t.co/AijCCQxrNo」 / X (05/28)


「不正指令電磁的記録に関する罪」は実行の用に供する目的」が無ければ・・・

XユーザーのHiromitsu Takagiさん: 「はい出鱈目。 「「不正指令電磁的記録に関する罪」はウイルスをつくるだけでアウトだから」 「実行の用に供する目的」がなければ罪の構成要件を満たさない。 この事件もその目的があったか疑わしい。被疑者の供述は法律を知らない者が言わされただけのようにも見える。」 / X (05/28)


以下、CO
PILOT曰く・・・

「実行の用に供する」という表現は、コンピュータウイルスを作成したり提供したりする際に使われる法的な用語です。具体的には、次のような意味を持ちます1

  1. ウイルス作成罪・提供罪:

    • コンピュータウイルスを作成し、誰かに提供することを指します。
    • 有罪となった場合、3年以下の懲役または50万円以下の罰金が科されます。
    • 例えば、「正当な理由がないのに」や「実行の用に供する目的で」などの条件が詳細に定められています。
  2. ウイルス供用罪:

    • コンピュータウイルスを忍ばせ、使用者の意図とは無関係に勝手にウイルスが動作するようにしたりしようとしたりする行為を指します。
    • 有罪となった場合、同様に3年以下の懲役または50万円以下の罰金が課せられます。

このような罪は、ウイルスによる被害を防ぐために厳しく取り締まられています。2 ウイルス作成や提供、保管などの違法行為を避けることが重要です。3



Jun 20, 2024

メガバンク、本人確認のデジタル証明書 25年にも共通規格

三菱UFJ・三井住友・みずほなど大手銀行、本人確認のデジタル証明書 25年にも共通規格 (06/20)

https://www.nikkei.com/article/DGXZQOUB191UX0Z10C24A6000000/ 

←金融機関で「マイナカードを本人確認に使いづらい」という意味?


連想記事→
ゆうちょ銀、本人確認プラットフォームに参画 3メガ銀含めた10行に - Impress Watch (2023/11/07)

 

(今よりさらに良くなるはず、と期待しているのが私の基本姿勢だが)仮に本人確認書類を悪意の第三者がコピーできた場合にどのようにより有効に悪用防止できるのか、が分からない。続報を期待する。


--- 2024.06.22 追記 → 

ここからは「大手銀行のDX化」の文脈で・・・

住信SBIネット銀行、住宅ローンの申込をDX化するデジタルプラットフォーム | TECH+(テックプラス) (mynavi.jp) (05/27)

『住宅ローンの申込から実行までの手続きをDX(デジタルトランスフォーメーション)化し、顧客・不動産事業者・住信SBIネット銀行(銀行代理業者を含む)3者をつなぐBtoBtoCデジタルプラットフォーム「かんたん住宅ローン」の提供を開始した』


サイバーアタックのターゲットは「エッジサービス」へ

サイバー攻撃の主要な標的は電子メールから「エッジサービス」へ ―なぜ? (1/2) (620)

https://ascii.jp/elem/000/004/204/4204931/

『警察庁の発表(20243月)によると、2023年に国内で報告されたランサムウェア攻撃において、初期感染経路の63は「VPN機器」が占めており、電子メール経由での感染は5にすぎなかった。同じ傾向は、さまざまなセキュリティベンダーが発表する脅威動向レポートにも見られる。』


・感染経路の円グラフ
 出典 https://ascii.jp/img/2024/06/19/3750679/o/d9375045b7eade22.jpg

 

『セキュリティベンダーのBitSight2023年に行った調査では、35%の企業でエッジサービスにKEV脆弱性が確認された。こうした脆弱性の修正には、平均で175日かかっているという。』

 

Jun 10, 2024

"セキュリティホールmemo"のメモ 06/10

MicrosoftWindows 11の新AI機能「Recall」を発表、PCで見たもの行ったことをすべて記録しあとから検索できるパワフルすぎるAI検索機 (05/21)

https://gigazine.net/news/20240521-microsoft-copilot-plus-pc-recall/

Recallを利用できるのはCopilot PCのみで、Copilot PCには「NPUAI処理能力が40TOPS以上」という最小システム要件があります。』

 

Windows11のすべてを保存する「Recall機能の記録データからあらゆるものを抽出する「TotalRecall(トータル・リコール)」 (06/05)

https://gigazine.net/news/20240605-totalrecall/

ハーゲナ氏は、Recallのセキュリティが高いと誤解させるようなMicrosoftの主張を批判しており、法人向けにCopilot+ PCを導入する場合はデータの流出を防ぐため、デフォルトで有効になっているRecallをオフにするべきだと警告しています。

 

なぜ中国は偽情報キャンペーンが下手なのか (WIRED, 6/5)

 

CPU/GPUの電力リミット方面 

https://www.st.ryukoku.ac.jp/~kjm/security/memo/2024/06.html#20240604__power

CPUGPUの発熱や電力をカットする方法 (PC Watch, 6/3)  
   Core i9-14900K  Ryzen 9 7950X で 電力リミット設定。

 

 GeForce RTX 4080 SUPER  GeForce RTX 4070 SUPER でも … 

 

Microsoft、「NTLM」全バージョンを非推奨に (Internet Watch, 6/4)

『セキュリティの面でもはや時代遅れとなっており、2000年以降、Microsoftは代わりに「Kerberosという認証プロトコルを採用している。』

X(旧Twitter)からメモ、6/10

インターネット中継サーバ事業者の検挙事例まとめ (2014/11/28)

https://bias.hateblo.jp/entry/20141128


危ないのはバッファロー製だけじゃない、攻撃者が狙う家庭用無線ルーター

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09370/ 

 

NICTER観測レポート 2023

https://csl.nict.go.jp/report/NICTER_report_2023.pdf

DVR/NVR:我々が国内の販売代理店に連絡し,代理店に初期パスワードから変更するようお願いしています.』

 

NICTER観測統計 - 20241月~3 (05/14)

https://blog.nicter.jp/2024/05/nicter_statistics_2024_1q/

 

「週に1度はスマホを再起動せよ」、米諜報機関NSAが警告 (06/04) 

https://news.yahoo.co.jp/articles/76ffb31b38f0316420468f249abba1860ba0dbc0

『米国家安全保障局(NSAが米国人のスマホを監視しているのではないかと懸念している人もいるが、NSAはゼロクリック攻撃(訳注:ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法)などを心配するiPhoneAndroidのユーザーに向けて、「1週間に一度、電源をオフにしてから再びオンにしよう」という賢明なアドバイスを送っている。

..

注意しなければならないのは、このアドバイスは、セキュリティ上の問題をすべて解決する特効薬ではない、ということだ。』



Jun 7, 2024

マイナンバーカード、いろいろ

セキュリティホールmemoさんによるワークスタイルテックの件のリスト

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2024/06.html#20240604__workstyletech

『マイナンバー画像など15万人分漏えいの労務クラウド、クレカ情報も流出していた (ITmedia, 6/1)』ほか


--- 06/10 追記 --->

マイナンバーカード偽造方面

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2024/06.html#20240604__myna

 ↓ 関連

マイナカード偽造「1枚5分、技術や準備は不要」中国籍の女証言本人確認に目視のみ多く悪用拡大 (05/25)

https://www.yomiuri.co.jp/national/20240525-OYT1T50042/

 偽造マイナカードで携帯電話を乗っ取られる被害も出ている。立憲民主党の東京都議(51)は4月17日、決済アプリ「PayPay(ペイペイ)」の運営会社から「パスワードリセットのお知らせ」という身に覚えのないメールを受け取った。

 名古屋市の販売店は何者かが提示したマイナンバーカードを目視でチェックしただけだったという。都議は「マイナカードで顧客の身元を確認している事業者は、ICチップで判別する機器の導入や別の本人確認書類での確認も進めるべきだ」と話した。』

<--- 06/10 追記 ---

 

iPhoneへの「マイナンバーカード」にまつわる誤解を解く プラスチックカードより安全だが課題もある(ITmedia PC USER) (05/31)

https://news.yahoo.co.jp/articles/6424752edd7879749f8e47232e558638c725c743 

『河野太郎デジタル大臣によると「角度によって、『マイナうさぎ』のマークの背景色が変わる」とのこと ..

最善の確認方法は、カードのICチップから券面情報を読み出すことだ。

 ..

iPhoneのウォレットに格納されるマイナンバーカードは、カードのデータ読み出し時に「Face ID」「Touch ID」による生体認証をする。

..

iPhoneのウォレットは、既に「Suica」「PASMOICOCA」が利用できる日本はもちろん、サンフランシスコ、ニューヨーク、香港、パリなど、世界の多くの都市における交通系ICカードとして使うことができる。そしてクレジットカード/デビットカード/プリペイドカードも「Apple Pay」として入れておける。日本での採用例は少なめだが、ポイントカードも登録可能な上、先に挙げた運転免許証、社員証、学生証といった身分証類、飛行機やバスの搭乗券、さらにはホテルや「Airbnbの一部宿泊施設におけるルームキーとしても活用されている。

..

ちなみに、これらは全て「Apple独自規格」ではなくモバイル運転免許証の国際標準規格「ISO 18013-5シリーズ」と、デジタル身分証明書(本人確認書類)の国際標準規格「ISO 23220シリーズ」に準拠した上で、同社が独自に拡張を加えたものとなっている。


Jun 5, 2024

メモ、エンドポイントセキュリティ

【無料で使える】「 エンドポイントセキュリティ 」ツールまとめ (2023.02.21)

https://majisemi.com/topics/tool/601/

 

オープンソースのEDRを探してみよう (NRI OSSソリューションマガジン 2022.7.27発行 Vol.187 )

https://openstandia.jp/mm/mm20220727.html