2024年7月12日 (金曜日)

OS command injection

下記の記事が出ている。

 CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities
 infosecurity: 11 July, 2024
 https://www.infosecurity-magazine.com/news/cisa-software-eliminate-command/

 

| | コメント (0)

2024年7月11日 (木曜日)

日本データ通信協会・迷惑メール相談センターのサイトは役に立たない

迷惑メールにも様々なタイプのものがある。

それらの中で,例えば,特定のアプリの契約登録のための条件設定の中で「広告メールは必要ない」に設定してあっても全く無視して商業宣伝広告メールを大量に送信してくる企業が結構たくさん存在する。そのような送信行為は,単に債務不履行に基づく損害賠償請求権が成立するというだけではなく,(受信者の立場と状況次第では)刑法上の業務妨害罪も成立する立派な違法行為だ。

しかし,世間に存在する様々な対策サイトのほぼ全部がそのような場合があるということを想定していない。

日本データ通信協会・迷惑メール相談センターのサイトもまた,そのようなタイプの迷惑メール対策のためには全く役にたたない。

関係者は,根本から全部考え直すべきだ。

世間には,最初から約束を守る気のない企業が無数に存在する。

 

| | コメント (0)

2024年7月 2日 (火曜日)

MetaのDMA違反行為

下記の記事が出ている。

 Meta’s ‘Pay or Consent’ Data Model Breaches EU Law
 infosecurity: 1 July, 2024
 https://www.infosecurity-magazine.com/news/meta-pay-consent-data-breach/

 Metaの「支払いか同意か」というモデルがDMA違反だという予備調査結果を欧州委員会が通知
 GIGAZINE: 2024年7月2日
 https://gigazine.net/news/20240702-meta-pay-or-consent-dma/

DMAの解説は下記のところにある。

 The Digital Markets Act (DMA)
 https://digital-markets-act.ec.europa.eu/index_en

***

基本的な考え方は単純で,誰にでも理解できる。すなわち,ネットサービスを利用する場合,広告掲載を強制してはならない。
「広告掲載を解除するためには一定の料金を支払え」という約款は,広告掲載を強制したのと同ことになる。
当該ネットサービスのプロバイダとしては,(慈善事業としてサービス提供するのではない以上)広告掲載の有無と関係なく,同一額で使用料を徴収して収益をあげるというビジネスモデルとしなければならない。

これまで調査してきた結果によると,日本国の各種サービスの中にもMetaと同様にDMA違反となるものが非常に多数存在している。
しかし,日本国の当局が意図的に鈍感になっているのではないか(または,天下りの約束等を通じて癒着しているのではないか)と疑いたくなるくらい無関心なので,現実にはなかなか業務停止にならない。

なお,これとは別に,各種サービスの中で優良誤認という違法があるものも多数存在する。特に,生成AI関係ではそうだ。
しかし,これまた当局が無関心なので,現実にはなかなか業務停止にならない。

 

| | コメント (0)

2024年6月23日 (日曜日)

謎のメッセージツール

(製品の表示上では)日本国内に本社のある某会社の製品を購入してインストールしたところ,同社から多数のスパムメールが届いた。拒否の設定にしたのだが,どんどん届く。しかも,通常のスパムフィルタを通過してしまう。

そこで,その製品の使用を諦め,代金を損したのは自分の選択が誤っていたからだと反省し,その製品をアンインストールした。

以上のようにして,深刻な問題のある企業の製品をアンインストールし,当該製品のモジュールを全て消去した。Windowsの表示上ではアンインストールが成功しており,探してみても残存モジュールが存在しないように見える。

それにも拘わらず,当該製品の製品アップデート通知なるものが私のPCに直接に届く。全部アンインストールしたのに「アップデート通知」とは一体どういうことなのか?

個人のPC等とどのような場合でも直接に通信するスパイウェアのようなものがあるのかもしれないし,Windowsの脆弱性を利用した不正アクセスをしているのかもしれないと思った。これは,通常のセキュリティ製品では対処できない問題のように見える。

そこで,更に丁寧に調べてみたところ,製品全部のアンインストールをしても当該製品のアップデート通知の機能がWindows本体の中に保存されたままとなるようになっていることが判明した。

OSを提供しているMicrosoft社は,必要な調査を実施した上で,適正に対処すべきだと思っている。

少なくとも,Windowsのアンインストール機能には欠陥があり,または,既にインストールしたアプリなどの製品を完全にアンインストールすることができないのに完全にアンインストールできるかのような虚偽内容の製品機能表示をしていることになる。

***

今後,この会社と同一または類似のポリシーを表示している日本企業に関しては,最初から一切信用しないことにした。

消費者庁及び総務省は,詳細に調査した上で,特に消費者である顧客に対して著しい不利益を与えている場合には,原則として,「禁圧」の方針を採用すべきだと思う。

一般論として,受信拒否なりオプトアウトなりの手順を履んでいるのに商業目的のための宣伝広告を継続する企業は全て違法企業であり,関連法令に基づく厳重な行政措置(業務停止等)または罰則の適用を受けるべき企業だ。

 

[追記:2024年6月23日18:45]

その後,アップデート通知のメニュー表示の中から問題の製品の項目が消えていた。Windowsのクラウド側で何か対処したのか,または,Microsoftが私のPCに直接アクセスして何かいじったのか,そのいずれかだろうと思う。

いずれの場合であっても,エンドユーザの秘密は守られない。

クラウド型のOSでは必然的にそうなるので,用心のため,真に重要な仕事は紙とペンだけで仕事している。

 

[追記:2024年6月28日]

今朝,PCの画面上に問題の企業からのMicrosoft製品と類似製品関連のアップデート通知が届いた。

全てのアップデート通知を受け付けない設定にしてある。

つまり,Windowsには何かバグがあり,そのバグを悪用した攻撃の一種が実行されていることになるのだが,Microsoft社がそのことを認識しているかどうかは不明。

 

 

 

 

 

| | コメント (0)

2024年5月30日 (木曜日)

911 S5

下記の記事が出ている。

 Is Your Computer Part of ‘The Largest Botnet Ever?’
 Krebs on Security: May 29, 2024
 https://krebsonsecurity.com/2024/05/is-your-computer-part-of-the-largest-botnet-ever/

 

 

| | コメント (0)

2024年5月29日 (水曜日)

VPNが狙われている?

下記の記事が出ている。

 Check Point Urges VPN Configuration Review Amid Attack Spike
 infosecurity: 28 May, 2024
 https://www.infosecurity-magazine.com/news/check-point-urges-vpn-configuration/

 

[追記:2024年6月7日]

関連記事を追加する。

 Attacks Surge on Check Point's Recent VPN Zero-Day Flaw
 DARK Reading: June 7, 2024
 https://www.darkreading.com/cyberattacks-data-breaches/attacks-surge-on-check-points-recent-vpn-zero-day-flaw

| | コメント (0)

2024年4月 1日 (月曜日)

クラウドベースのスパムフィルタサービスの有効性が低下している?

下記の記事が出ている。

 Cloud Email Filtering Bypass Attack Works 80% of the Time
 DARK Reading: March 30, 2024
 https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack

実感として,メールサービスのプロバイダによって大きな差があるとはいえ,一般的には大幅に低下していると言える。あるプロバイダのメールサービスシステムではスパムフィルタがほぼ無機能化しているので,料金だけとって実際には何もしないという詐欺的行為が存在するのではないかと疑いたくなるくらいだ。

Web上の商業宣伝広告と関連する基本的な部分に関し見直しが求められる時代がいずれやって来る。

| | コメント (0)

2024年3月29日 (金曜日)

英国:SMEsの情報セキュリティの状況は悲惨かもしれない・・・

下記の記事が出ている。

 Half of British SMEs Have Lost Data in Past Five Years
 infosecurity: 28 March, 2024
 https://www.infosecurity-magazine.com/news/british-smes-lost-data-five-years/

 

| | コメント (0)

2024年3月28日 (木曜日)

なぜかシンガポール

表面上ではシンガポールからのアクセスのように見えるこのブログサイトへのアクセスが急増している。

どうしてそうなるのかは,わからない。

 

| | コメント (0)

2024年3月22日 (金曜日)

米国:Appleのスマートフォンアプリの提供形態に違法な独占があるとして訴訟提起

下記の記事が出ている。

 Justice Department, states accuse Apple of holding a smartphone monopoly
 Washington Post: March 21, 2024
 https://www.washingtonpost.com/technology/2024/03/21/apple-doj-antitrust-lawsuit-smartphone/

 

| | コメント (0)

より以前の記事一覧