パスワードを忘れた? アカウント作成
2021年10月 記事 / 日記 / コメント / タレコミ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2021年10月12日のハードウェアタレコミ一覧(全15件)
15447585 submission
医療

Medtronic、リプレイ攻撃が可能なインスリンポンプ用リモコンを米国で全品回収

タレコミ by headless
headless 曰く、

Medtronic がインスリンポンプ用リモートコントローラーの緊急リコールを米国で発表している(Medtronic の通知FDA のリコール情報CISA のアドバイザリーHackRead の記事)。

対象となるリモートコントローラーはインスリンポンプ MiniMed 508 用の MMT-500 および MiniMed Paradigm ファミリー用の MMT-503 で、2 件の脆弱性 (CVE-2018-10634 / CVE-2018-14781) により攻撃者がユーザーに対しインスリンの追加注入 (ボーラス) を実行できる。CVE-2018-10634 はセンシティブな情報を平文で送信する脆弱性で、CVE-2018-14781 はキャプチャ-リプレイによる認証のバイパスが可能な脆弱性だ。

脆弱性は 2018 年に報告され、Medtronic はリコールを発表したが、これらのデバイスが旧型ということもあって対応は緩和策の紹介にとどまり、インスリンポンプ本体が保証期間内のユーザーにのみ通知していた。しかし、その後の調査でリモートコントローラーを使用する利点を上回るリスクが判明したことから、全ユーザーに使用中止を呼び掛け、製品回収を実施することにしたという。米食品医薬品局 (FDA) の区分では最も深刻な Class I のリコールとなっている。

実際に攻撃が成立するのは、ターゲットとなるユーザー側でポンプのリモート操作オプションを有効 (デフォルトでは無効) にしてリモートコントロール ID を登録し、リモートポーラスをオンにして注入量を設定している場合だ。これにより、攻撃者はポンプとリモートコントローラーが通信する電波の到達範囲内で信号を記録・再生することで攻撃を実行できる。ただし、ユーザーにはリモートポーラス実行が通知されるため、攻撃に気付かれる可能性もある。なお、MiniMed Paradigm の簡易マニュアル (PDF) によると、日本ではリモートオプション自体が使用できないようだ。

ちなみに、MiniMed 508およびMiniMed Paradigm では近距離から認証なく無線アクセスが可能な脆弱性が 2019 年に見つかっており、米国でリコールが行われている。

15447908 submission
Python

TIOBE IndexでPythonが1位に

タレコミ by Ijon
Ijon 曰く、
TIOBE Index for October 2021でPythonが1位になった。 Pythonが増えたというより、C(とJava)のレートが下がった結果なので、使われているプログラミング言語が多様化しているというべきか。
Pythonにもpattern matchが入って、特定の言語でないとできないことも少なくなっているので、CやJavaのようにPython variantもいろいろ出てきてほしい。

情報元へのリンク
15448223 submission
ノートPC

GIGAスクール端末の中部6県における採用比率と不具合発生率でアップル一強が浮き彫りに、中日新聞調査 1

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
名古屋市教育委員会が導入したアスコン製の学習端末に大量の不良品が出ている問題をスクープした中日新聞は10日、愛知、岐阜、三重県の全自治体と長野、福井、滋賀県の主要市に実施したアンケートの結果をまとめ、学習端末に採用されているメーカーの比率と不具合の発生率を明らかにしている(中日新聞Web)。

これによると不具合の発生率のトップ3は

・アスコン:4.5%
・ASUS:0.99%
・日本HP:0.88%

とアスコンが突出している一方、アップルは0.07%で最も低かった。なお、名古屋市以外の自治体の不具合発生率の平均は0.24%だったという。

採用メーカーの比率のトップ3は

・アップル:47%
・レノボ:13%
・富士通:11%

とアップルが突出しており、レノボは傘下となった富士通とNECを合わせても32~33%でアップルに及ばない。アスコンは1%で最も低く、名古屋市は全国で唯一アスコンを採用した自治体だったとも報じられている。

情報元へのリンク
15448299 submission
日記

いつの間にか実用化寸前になっていた常温核融合

タレコミ by aruto250
aruto250 曰く、

日経クロステックの記事より。

10年くらい前までは夢物語だの疑似科学だのとバカにされていた常温核融合が、いつの間にか再現性100%の現象となり、既に問題は定性的な再現性(温度制御)の問題に移っているようだ。
ニッケルと2銅を多段に積層したチップを真空状態に置き、軽水素を封入して加熱すると投入エネルギーを超える熱が長期間にわたって放出されるというもので、その効率については

川崎市にある実験室の装置では、チップに一度水素を封入して加熱すると120日程度、投入したエネルギーを超える熱を出し続けるという。その際のCOP(成績係数:投入・消費エネルギーの何倍の熱エネルギーを得られるかを示す)は12を超えるという。一般的なヒートポンプ給湯機のCOPは3前後なので、桁違いの熱を発生させることができる見込みになっている。

とあり、少なくともここだけ見る限りでは大変に有望な技術に見える。
工業用ボイラーとして2022年にはプロトタイプを作成し、2023年に製品化を予定しているとのことで、今後の展開が楽しみだ。

15448497 submission

加賀市などが導入したデジタルIDのxIDがマイナンバー法違反で炎上中

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
加賀市がエストニアのような電子政府を目指して導入したデジタルIDの「xID」が、マイナンバー法違反であることを高木浩光先生などが指摘し炎上中です。(渋谷区も導入を計画中。)xIDは本人にスマホアプリにマイナンバーを入力させxIDを生成しますが、これはマイナンバー法2条8項かっこ書きのいわゆる「裏個人番号」に該当し、つまりマイナンバーと法的に同等のものですが、マイナンバー法9条はマイナンバーは税・社会保障・災害対応の3つの利用目的しか認めておらず、xIDのような「民間版マイナンバー」のような用途を利用目的として認めていません。また、マイナンバー法19条は、法9条の規定する利用目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止しています。そのため、xIDはマイナンバー法9条、19条、2条8項但し書きに抵触して違法です。ところが加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済であり、富士ソフトやlayerXなどと業務提携し、xID社は、xIDを政府の推進するスーパーシティ構想・スマートシティ構想などに導入しようとしており、内閣IT戦略室やデジタル庁などはxIDの社長と親密な関係にあるようで、このxIDがマイナンバー法違反であることの社会への影響範囲は非常に大きいと思われます。
(ご参考)
xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)|なか2656のblog
https://www.naka2656-b.site/archives/30609966.html

情報元へのリンク
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...