cles::blog

伏せ字のために画像にモザイクをかけている場合がよくありますが、モザイクの内容がどの程度推測可能なのかについて Bishop Fox というセキュリティ会社が警鐘を鳴らしていたのでメモ。

具体的にどの程度推測可能なのかについては、 Unredacter という PoC を GitHub で公開しています。
実際に試してみるとモザイク化前の文字列が英文の場合は結構な精度で特定されてしまいます文字列の伏せ字はモザイク化ではなく、黒塗り（もしくは、白塗り）にすべきですね。

• BishopFox/unredacter: Never ever ever use pixelation as a redaction technique

Never Use Text Pixelation To Redact Sensitive Information | Bishop Fox

Today, we’re focusing on one such technique – pixelation – and will show you why it’s a no-good, bad, insecure, surefire way to get your sensitive data leaked. To show you why, I wrote a tool called Unredacter that takes redacted pixelized text and reverses it back into its unredacted form. There’s plenty of real-world examples of this in the wild to redact sensitive information, but I won’t name names here. Watch my video for a quick recap of the importance of NEVER using pixelation to redact text, as well as how I unredact Jumpseclabs's Challenge in real-time.

新型コロナで対応が二転三転した TLS v1.0 / v1.1 の完全無効化^*1ですが、Chrome 98 でひっそりと完了したようです。
２年前は大騒ぎ^*2でしたが、最近は対応も進んでいたので特に大きな話題にもなりませんでしたね。

【更新】主要ブラウザのセキュリティ強化に対する施策について［ Chrome 98 で TLS1.0/1.1 が完全無効化］（2022/2/22）

これまでも「主要ブラウザの TLS1.0/1.1 無効化」について情報を公開しましたが、米 Google は 2022 年 2 月 1 日（現地時間）にデスクトップ向け「 Google Chrome 98 」をリリースしました。 このリリースにより、TLS1.0/1.1 が完全無効化され、TLS1.0/1.1 を利用している Web サーバでは、エラー画面が表示され、アクセスすることができなくなりました。 なお、Microsoft Edge や Mozilla Firefox などの主要ブラウザの最新版でも同様に、完全無効化されています。

• ^*1: Firefox が TLSv1.0/1.1 の無効化を延期
• ^*2: フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 主要ブラウザのセキュリティ強化に対する施策について（2020/3/31）

これまで 10GbE の NIC は Intel の X520/X540 を使っていたのですが、Mellanox (現・Nvidia) の ConnectX-3 EN が比較的安価（数千円）に手に入ることが分かったので、新しいものはこちらで揃えていくことにしました。

† トランシーバは別途必要

ConnectX シリーズは元々、InfiniBand 用の HBA だったので、カードについているインターフェースは SFP+/QSFP しかないことに注意が必要です。必要な DAC ケーブルやトランシーバーは別途用意しなければなりません」。ただ、ConnectX は基本的にベンダーによるロックはないので、余っているもので大丈夫でした。

また、このカードは PCIe x8 なので、使っている PC によっては刺せるスロットがないというパターンも往々にして発生しやすいので、こちらについても注意が必要です。

† 最新版は 200GbE

ちなみに ConnectX の発売中の最新モデルは ConnectX-6 Dx 200G SmartNIC ですが、このレベルになると NIC はともかくスイッチが買えないんですよね。

ロシア国防省のウェブサイト（www.mil.ru）にアクセスすると、418 I'm a teapot^*1 が帰って来ることが話題になっていたので試してみたところ、本当でした。

Google のジョークサイト（https://www.google.com/teapot）以外でこのステータスをみたのは初めてかもしれません。ちなみにロシア国内からは正常に閲覧できるらしいので、紛争中に伴う何らかの攻撃防御のための措置だと思われます。

• ^*1:
  • 418 I'm a teapot
  
  

在日ウクライナ大使館のツイートにあるようにロシアのウクライナ侵攻がとうとう始まってしまいました。

† 現実とフィクションの区別を

これは言うまでもないことかもしれませんが、一応書いておきます。

僕自身は FE のような戦争物ののゲームが好きだったり、ミリタリー系の写真をアップしたりしていますが、それは単にゲームとして、実用品として洗練された形式美が好きだと言うだけであって、紛争や言論に対して暴力で解決を図ることについては絶対に賛成できません。

† 秩序の転換点かも

痛ましい状況が TL に溢れていますが、国連は機能不全でやるせなさを感じます。現在の国連は常任理事国が侵略を始めることを想定していないので、この方法論が既成事実化すると、次の事態も容易に想像できます。いずれにせよ、EU が推し進めていた脱炭素・反原発については大きな転換点になるのではないかと思います。

Windows 11 Home ではセットアップ時に MS アカウントが必須になっていますが、これが Pro にも拡大されるようなのでメモ。

以下の記事の「私用で使う場合」というのは、ドメインに参加しないセットアップの場合だと思われるので、仕事用に大量にセットアップするような場合は関係がなさそうです。
ただ、個人用の PC で Windows 10 のセットアップ時に一時的にネット接続を切断して行っていたローカルアカウント作成テクニック利用ができないのは、いろいろと面倒なことになりそうです。

Windows 11、最新のDev版で気になる仕様変更　「Pro」でもMicrosoftアカウントが必要に - ITmedia PC USER

Windows 11 Proでも、同Homeと同様に初期セットアップ時にインターネット接続が必要になり、私用で使う場合はMicrosoftアカウントも必要になるという仕様変更の告知だ。つまり、Windows 11 Proでは、初期セットアップ時にローカルアカウントを作れなくなるということだ。

経産省がサイバーセキュリティの強化について注意喚起を行っています。

名指しこそされていませんが、昨今の情勢というのは政府が「ウクライナ情勢を踏まえた制裁措置等について」で、ロシアに対する制裁措置を発表したことを強く意識した内容になっています。
祝日の発表ですし、通常は一般の人に対してこのような発表が行われることはない^*1ので、国は何か兆候を掴んでいるのかもしれませんね。

昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います （METI/経済産業省）

昨今の情勢を踏まえるとサイバー攻撃事案の潜在的なリスクは高まっていると考えられます。
各企業・団体においては、経営者のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、対策の強化に努めていただきますようお願いいたします。
また、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。

• ^*1: 関係者限りのような情報ででは、それとなく注意喚起が来る事例はあります。

NTT 西日本が MS Teams からひかり電話を発着信できるサービスを開始していたのでメモ。
見落としていましたが、東日本は2021年4月^*1からサービスが開始されていました。

• ひかりクラウド電話 for Microsoft Teams｜チームスでオフィス・固定電話の受発信｜法人のお客さま｜NTT東日本

新型コロナの関係で、オフィスが無人になっている場合には、こういう在宅勤務でも会社の電話が発着信できるサービスがあると便利かもしれません。

NTT西、Teamsを通じてPC/スマホから固定電話発着信が行なえるサービス - PC Watch

月額利用料は、1番号目が1,430円/番号、2番号目以降が1,100円/番号。通話時はひかり電話オフィスAの通話料金が発生するが、同一グループ内のひかり電話サービスへの通話は無料。また、5月31日までは初期工事費等の割引適用も行なう。

• ^*1: 「ひかりクラウド電話 for Microsoft Teams」の提供について～ニューノーマルにおけるテレワークを支援～ | お知らせ・報道発表 | 企業情報 | NTT東日本

今年も確定申告が完了していました。
（「していました」というのは、税理士さんが代理送信してくれているからです。）

† ちゃんと経営管理しよう

B/S, P/L を期中になんとなくしか確認していないので、確定申告の間際にならないとちゃんと損益が分からないんですよね。
ダメな零細企業の典型みたいな感じなので、もうちょい今年からは気をつけないといけませんね。
結局、ふるさと納税枠もちゃんと使い切れていませんでした。

これまで平日であれば普通郵便でも速達^*1でも翌日配送されるのが普通でしたが、今後は速達のみが翌日配送になるようです^*2。
一番影響が大きいパターンは平日の木曜日投函した場合で、普通郵便は土曜日の配達がないため到着は翌週の月曜日になります。

翌日配達や土日祝日の配達が必要であれば速達を使うしかありませんが、速達料金は最低でも +260円かかります。
少し大きめの書類であれば 370 円のレターパック・ライト^*3や 198 円のクリックポストを使うのが賢そうです。

はがき、手紙の配達遅く　最大数日間、全国に拡大へ ｜ 共同通信

日本郵便によるはがきや手紙の配達が従来より最大で数日間遅くなっている。1月下旬に始まり、対象地域は段階的に全国に広がる。郵便局員の負担軽減で業務を見直したことが要因だ。

• ^*1: 速達 | 日本郵便株式会社
• ^*2: 2021年10月から郵便物（手紙・はがき）・ゆうメールのサービスを一部変更しました。 - 日本郵便
• ^*3: レターパック | 日本郵便株式会社