cles::blog

CCC の T ポイントと三井住友カードの V ポイントが統合されるようなのでメモ。
2022 年 4 月から Yahoo! が T ポイント から PayPay ポイントに切り替えたので、今後の展開はどうするのかなと思っていたら V ポイントとくっつくとは思いませんでしたね。

「Ｔポイント」と「Ｖポイント」を統合、国内最大級の新ブランド誕生へ : 読売新聞オンライン

２０２４年春をめどに、ＣＣＣ傘下でＴポイントを運営するＣＣＣＭＫホールディングスと、三井住友ＦＧ子会社でビザカードを発行している三井住友カードのポイント事業を統合する。ＣＣＣＭＫ株をＣＣＣが６０％、三井住友グループが４０％保有し、共同運営する。

CMOS センサーは CCD に代わって現代のデジカメ等で広く用いられている光学センサーですが、これに電磁波干渉 (EMI) を使って攻撃を仕掛けて、動作を妨害したり、存在しない像を見せたりするという論文があるようなのでメモ。

これはなかなか興味深いですね。
ACM の Digital Library だけでなく arXiv にも原稿が公開されているので誰でも読めます。

• Sebastian Köhler, Richard Baker, and Ivan Martinovic, "Signal Injection Attacks against CCD Image Sensors," Proceedings of the 2022 ACM on Asia Conference on Computer and Communications Security(ASIA CCS '22), Association for Computing Machinery, pp. 294–308, May 2022. https://doi.org/10.1145/3488932.3497771
• [2108.08881] Signal Injection Attacks against CCD Image Sensors
• GitHub - ssloxford/ccd-signal-injection-attacks: Source code to execute signal injection attacks against CCD image sensors

カメラに「存在しないもの」を見せるサイバー攻撃　離れた場所から電波を送信　成功率は99％：Innovative Tech - ITmedia NEWS

研究チームは、CCDイメージセンサーがその構造上、電磁波を用いた攻撃に対して脆弱であることを実証した。この現象は、CCDイメージセンサーの基本的な構造に起因するものであり、個々の設計にかかわらず存在すること、CMOS構造で作られたデバイスには存在しないことが実験から示された。

4 回目用のワクチン接種券が届いていました。

• 文京区 追加接種（4回目接種）について
• 新型コロナワクチンの追加接種（４回目接種）についてのお知らせ｜厚生労働省

これまで3回のワクチン接種を受けました（1 回目、2 回目、3 回目）ので慣れてきた感はありますね。
これから冬になってまた感染が拡大するようなことになると面倒なので、早めに打ってしまいたいところです。

OpenSC を使うと Windows 上から簡単に Mifare Classic のデータを読み出すことができることが分かったのでメモ。

具体的にはopensc-tool.exeを使ってこんな感じでアクセスします。

この FF:FF:FF:FF:FF:FF の部分はカードの Key A です。
Mifare はデータブロックの読み出しを行う場合に必ずアクセスキーが必要になるので、読み出し対象に合わせて別途入手しておきます。

今回の僕が対象としているのは職員証で、読み出しているのは職員番号です。
具体的な key A はシステム部門から秘密指定されているのでこの部分は隠してあります。

API 自体はすごい低レベルですが、PC/SC が使えると意外と簡単にアクセスできますね。

† 参考

• WindowsでOpenSCを使ってMIFARE Standard(Classic)カードデータを読み出す方法 - Qiita
• WindowsでOpenSCを使う（3.MIFARE Classicブロックデータ読み出し編①） - Qiita
• WindowsでOpenSCを使う（3.MIFARE Classicブロックデータ読み出し編②） - Qiita

RC-S330 用のSony の PC/SC アクティベーター for Type B が配布終了してしまったので、新しい IC カードリーダーを買おうと思って調べていたのですが、最新機種が RC-S300 とちょっと型番が紛らわしかったのでメモ。

なんで型番が先祖返りしているのかと思ったら RC-S シリーズは RC-S390 まで型番を使い切ってしまったからというのが理由のようです。

今回はいろいろと遊びたいので PC/SC に対応している /S のものを買おうと思います。

• ソニー株式会社 | FeliCa | 法人のお客様 | 製品情報 | リーダー／ライター | RC-S300/S

多要素認証疲れ（MFA Fatigue）攻撃という、あまり聞いたことがない攻撃を見つけました。
相手が根負けするまで MFA の認証を送りつけるだけの単純な攻撃ですが、試行回数に応じてロックするポリシーを適用すれば簡単に防げそうな気もするので、そういう基本的な対策をしていない組織が多いということでしょうかね。

とりあえず MS の 「Defend your users from MFA fatigue attacks」というエントリによると最近増えてきている攻撃みたいです。

GTA新作リークに使われた“多要素認証疲れ”攻撃とは　1時間以上通知攻め、従業員の根負け狙う：この頃、セキュリティ界隈で - ITmedia NEWS

多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログインを許可するかどうか確認する。MFA Fatigueの手口ではこれを逆手に取り、故意にログイン試行を繰り返すことで確認通知を何度も執拗（しつよう）に受信させ、相手を疲れ果てさせて承認に追い込む。

Windows 11 を 22H2 にアップデートしたら「Windows Update が炭素に対応」という迷言が載っていたのでメモ。
訳がイマイチなのですぐに訂正されてしまうと思います。

Windows Updateが炭素に対応するようになりました

Windows 11バージョン 22H2 以降では、Windows Updateは炭素に対応するようになりました。これにより、デバイスで炭素排出量を削減しやすくなります。

独立行政法人情報処理推進機構 社会基盤センター, "図2-1-1.1: SLOC 規模別発生不具合密度(新規開発)の箱ひげ図," ソフトウェア開発分析データ集2022, p.29, Sep. 2022.

IPA がソフトウェア開発分析データ集 2022 を公開していたのでメモ。

エンピリカル系のソフトウェア工学では基礎なる貴重なデータですね。

特にグラフの欠陥密度についてのデータが興味深いです。これは稼働 6 ヶ月後の kSLOC(Source Lines of Code) あたりの欠陥密度、つまり、「リリースから半年でソースコード 1000 行あたりバグがいくつ見つかるか？」という値です。

惜しいのは欠陥の定義が書かれていないので、どの程度の欠陥で 1 件とカウントされているのか分かりません。そんなわけでこれを多いとみるか少ないと見るかは判断が分かれそうですが、とりあえず規模が小さいほど、ばらつきが大きいという傾向については間違いなさそうです。

「ソフトウェア開発分析データ集2022」の発行：IPA 独立行政法人 情報処理推進機構

これまでに収集したデータ数は分析データ集2020で5,000件を超え、今回の分析データ集2022では5,546件になりました。この分析データ集2022では、分析データ集2020と同様に、過去のデータ白書であまり見られていない図表などは省略しコンパクトにすることで読みやすくし、開発プロセスに依存しない普遍的なメトリクスである信頼性を中心に分析しました。前回の分析データ集2020では「信頼性は向上するも生産性は低下」が特徴でした。そして、今回の分析データ集2022では「信頼性も生産性も低下」という傾向になりました。

Ryzen 7000 シリーズが 30 日から国内発売になっていたのでメモ。
7950X はさすがに 10 万越えですが、それ以外は 10 万円以下とグラボとかと比べるとだいぶお得感ありますね。

Ryzen 7000は30日国内発売。最上位Ryzen 9 7950Xは11万7,800円 - PC Watch

Ryzen 7000シリーズは、いずれもTSMC 5nmプロセスルールで設計された次世代CPU。現行世代と比べてIPC(Instruction Per Clock-cycle)が13%向上しており、ターボモード時は現行世代よりも800MHz程度高速に動作するという。

髪が伸び放題だったので、散髪してきました。
前回はちょうど引越しでドタバタしていた時でした。