cles::blog

CCC の T ポイントと三井住友カードの V ポイントが統合されるようなのでメモ。
2022 年 4 月から Yahoo! が T ポイント から PayPay ポイントに切り替えたので、今後の展開はどうするのかなと思っていたら V ポイントとくっつくとは思いませんでしたね。

「Ｔポイント」と「Ｖポイント」を統合、国内最大級の新ブランド誕生へ : 読売新聞オンライン

２０２４年春をめどに、ＣＣＣ傘下でＴポイントを運営するＣＣＣＭＫホールディングスと、三井住友ＦＧ子会社でビザカードを発行している三井住友カードのポイント事業を統合する。ＣＣＣＭＫ株をＣＣＣが６０％、三井住友グループが４０％保有し、共同運営する。

CCD センサーは CMOS が主流になるまではデジカメ等で広く用いられている光学センサーでしたが、これに電磁波干渉 (EMI) を使って攻撃を仕掛けて、動作を妨害したり、存在しない像を見せたりするという論文があるようなのでメモ。

これはなかなか興味深いですね。
ACM の Digital Library だけでなく arXiv にも原稿が公開されているので誰でも読めます。

• Sebastian Köhler, Richard Baker, and Ivan Martinovic, "Signal Injection Attacks against CCD Image Sensors," Proceedings of the 2022 ACM on Asia Conference on Computer and Communications Security(ASIA CCS '22), Association for Computing Machinery, pp. 294–308, May 2022. https://doi.org/10.1145/3488932.3497771
• [2108.08881] Signal Injection Attacks against CCD Image Sensors
• GitHub - ssloxford/ccd-signal-injection-attacks: Source code to execute signal injection attacks against CCD image sensors

カメラに「存在しないもの」を見せるサイバー攻撃　離れた場所から電波を送信　成功率は99％：Innovative Tech - ITmedia NEWS

研究チームは、CCDイメージセンサーがその構造上、電磁波を用いた攻撃に対して脆弱であることを実証した。この現象は、CCDイメージセンサーの基本的な構造に起因するものであり、個々の設計にかかわらず存在すること、CMOS構造で作られたデバイスには存在しないことが実験から示された。

4 回目用のワクチン接種券が届いていました。

• 文京区 追加接種（4回目接種）について
• 新型コロナワクチンの追加接種（４回目接種）についてのお知らせ｜厚生労働省

これまで3回のワクチン接種を受けました（1 回目、2 回目、3 回目）ので慣れてきた感はありますね。
これから冬になってまた感染が拡大するようなことになると面倒なので、早めに打ってしまいたいところです。

OpenSC を使うと Windows 上から簡単に Mifare Classic のデータを読み出すことができることが分かったのでメモ。

具体的にはopensc-tool.exeを使ってこんな感じでアクセスします。

この FF:FF:FF:FF:FF:FF の部分はカードの Key A です。
Mifare はデータブロックの読み出しを行う場合に必ずアクセスキーが必要になるので、読み出し対象に合わせて別途入手しておきます。

今回の僕が対象としているのは職員証で、読み出しているのは職員番号です。
具体的な key A はシステム部門から秘密指定されているのでこの部分は隠してあります。

API 自体はすごい低レベルですが、PC/SC が使えると意外と簡単にアクセスできますね。

† 参考

• WindowsでOpenSCを使ってMIFARE Standard(Classic)カードデータを読み出す方法 - Qiita
• WindowsでOpenSCを使う（3.MIFARE Classicブロックデータ読み出し編①） - Qiita
• WindowsでOpenSCを使う（3.MIFARE Classicブロックデータ読み出し編②） - Qiita

TeraTerm が rsa-sha2-256/512 に対応していないのに不便を感じるシーンも増えてきたので、代替案を探すことにしました。

僕がターミナルエミュレータに求める要求事項としてはこんな感じでしょうか。

• Pageant (PuTTY) による公開鍵認証ができること
• ZMODEM(sz / rz) が使えること
• シリアルに対してること
• マクロが使えること

Poderosa とかはよく聞きますが、RLogin というのを見つけたので今回はこちらを使ってみることにしました。名前が Linux や unix の rlogin コマンドと似ていて紛らわしいですが、1998 年から公開されている歴史あるソフトウェアで、初版は rlogin にのみ対応しているターミナルエミュレータだったので仕方がないですね。

• GitHub - kmiya-culti/RLogin: RLoginは、Windows上で動作するターミナルソフトです
• rlogin/telnet/ssh(クライアント)ターミナルソフト

まだ違和感がかなりありますが、少し使ってみていろいろ試してみたいと思います。

CentOS 8 の dnf が実行できなくなっていたので、CentOS 8 Stream にマイグレーションしてみました。

対処方法としては以前、CentOS 4 の時と同じでリポジトリをミラーから vault.centos.org に切り替えるだけです。
具体的には以下のような感じでしょうか。

今日は歯医者でもらった紹介状をもって近くの大学病院の口腔外科へ。
半年くらい前から口の奥の方に繰り返しイボのようなものができて違和感を感じて困っていたのでした。

唾液腺が詰まってできる粘液嚢胞だろうということでとりあえず経過観察。
それほど珍しいものではなく、悪性でははないとのことで一安心ですが、口の奥の方（軟口蓋？）にできるのは珍しいとのこと。

帰ってきてちょっと検索してみると、軟口蓋に粘液嚢胞ができるのは 1% くらいのようなので確かに珍しいようです。

• 軟口蓋に発生した粘液貯留嚢胞の1例 | CiNii Research
• 水野 明夫 (Akio MIZUNO) - <論文220>軟口蓋に発生した粘液貯留囊胞の1例 - 論文 - researchmap

FFmpeg を使って mp3 を wav に変換する方法を調べたので、忘れないうちにメモ。
今回は留守電用のメッセージなので出力はモノラル（-ac 1）、11k（-ar 11025）です。

膨大にオプションがある^*1ので、覚えるの大変なんですよね。

• ^*1: ffmpeg Documentation

RC-S330 用のSony の PC/SC アクティベーター for Type B が配布終了してしまったので、新しい IC カードリーダーを買おうと思って調べていたのですが、最新機種が RC-S300 とちょっと型番が紛らわしかったのでメモ。

なんで型番が先祖返りしているのかと思ったら RC-S シリーズは RC-S390 まで型番を使い切ってしまったからというのが理由のようです。

今回はいろいろと遊びたいので PC/SC に対応している /S のものを買おうと思います。

• ソニー株式会社 | FeliCa | 法人のお客様 | 製品情報 | リーダー／ライター | RC-S300/S

多要素認証疲れ（MFA Fatigue）攻撃という、あまり聞いたことがない攻撃を見つけました。
相手が根負けするまで MFA の認証を送りつけるだけの単純な攻撃ですが、試行回数に応じてロックするポリシーを適用すれば簡単に防げそうな気もするので、そういう基本的な対策をしていない組織が多いということでしょうかね。

とりあえず MS の 「Defend your users from MFA fatigue attacks」というエントリによると最近増えてきている攻撃みたいです。

GTA新作リークに使われた“多要素認証疲れ”攻撃とは　1時間以上通知攻め、従業員の根負け狙う：この頃、セキュリティ界隈で - ITmedia NEWS

多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログインを許可するかどうか確認する。MFA Fatigueの手口ではこれを逆手に取り、故意にログイン試行を繰り返すことで確認通知を何度も執拗（しつよう）に受信させ、相手を疲れ果てさせて承認に追い込む。