Eiji James Yoshidaの記録 このページをアンテナに追加 RSSフィード Twitter

2018-07-20

[][] 弥生17シリーズの複数の製品におけるDLL読み込みに関する脆弱性

CVE

発見者

吉田 英二(Eiji James Yoshida)

脆弱なソフトウェア

  • 弥生会計17シリーズ Ver.23.1.1 およびそれ以前
  • やよいの青色申告17 Ver.23.1.1 およびそれ以前
  • 弥生給与17 Ver.20.1.4 およびそれ以前
  • やよいの給与計算17 Ver.20.1.4 およびそれ以前
  • 弥生販売17シリーズ Ver.20.0.2 およびそれ以前
  • やよいの顧客管理17 Ver.11.0.2 およびそれ以前

脆弱性の概要

弥生株式会社が提供する弥生17シリーズの複数の製品には、これらの製品に関連付けされたファイルを開く際に同一ディレクトリに存在する特定のDLLファイルを読み込んでしまう脆弱性が存在します。

想定される影響

弥生17シリーズを実行している権限で、任意のコードを実行される可能性があります。

対策方法

2016年12月と2017年1月に脆弱性情報を届出してからJVNでの公開までに540日以上経過していますが、製品開発者である弥生株式会社から2018年7月20日時点でも本脆弱性についての情報が公開されていない状況です。このようなことから対策としては、他社製品の使用について検討されるか、本脆弱性について弥生株式会社に問い合わせることをお勧めします。

謝辞

製品開発者への脆弱性の報告にご協力いただいたIPAおよびJPCERT/CCの方々に感謝いたします。

タイムライン

2018-06-16

[] Oculus Roomsで軽めなミーティングをしてみた

Oculus Goの記事を読んでいるとOculus Roomsが良くできていて凄いといった内容を見かけるので、上野さんに協力してもらってOculus Roomsで軽めなミーティングをしてみた。

f:id:EijiYoshida:20180616220603j:image

結論としては、メモを取ったりとかドキュメントを編集しながらのミーティングは今のところ無理だけど、複数人で画像を見ながら話す程度のミーティングであれば可能だと思う。

例えばFacebookに送った画像を参加者と一緒に見ることができるので、打ち合わせしたい内容が書かれているメモや書類をスクリーンキャプチャで画像にして、あとは上記の写真のように部屋に画像を表示して打ち合わせをすれば良いかと。

実際の顔の向きに合わせてアバターの顔*1も動くし、アバターのいる方角から声が聞こえるので誰が喋っているのかもある程度はわかる。あと、コントローラーを持った手の向きに合わせてアバターの手も動くので、小さくだけど方向を指し示したり手を振ったりもできる。

一緒に仮想空間の部屋に入って喋っている感覚になれるので本当に良くできていると思うけど、じゃあWeb会議をやめてOculus Roomsにしようという話では無い。やはりミーティングという使い方を考えるとWeb会議の方が便利。Oculus Roomsは使えばわかるけど「仮想空間の部屋で友達とお喋りをしよう!」というものなので、ミーティングに使えなくもないという感じかな。

それよりも、仮想空間でアバター同士で喋っているのに「部屋で人と会って喋っている」という感じがするのは面白いし助かる。仮想空間とアバターなので、部屋が散らかってても寝間着でも相手にはわからない。会って喋っている感覚が大事という人はOculus Roomsを使ってみる価値は十分あると思う。

*1上野さんのアバターが全く違う容姿なので、顔を見る度に「誰?」って一瞬混乱する(笑)

2018-06-15

[] Windowspingarpを駆使してOculus GoのIPアドレスMACアドレスを調べる方法

Oculus Goを使っていてIPアドレスMACアドレスを調べようと思ったらadb使えとか結構面倒くさかったので、Windowspingarpを駆使して調べることにした。

調べ方はコマンドプロンプトに下記のコマンドをペーストして、IPアドレス部分(192.0.2.のところ)を変更してから実行する。あとは3分ほど待てば結果が表示される。

arp -a | find " 2c-26-17" || (for /l %i in (1,1,254) do @ping -n 1 -w 1 192.0.2.%i >NUL) && arp -a | find " 2c-26-17"

実行結果の例は下記の通り。

C:\Users\user>arp -a | find " 2c-26-17" || (for /l %i in (1,1,254) do @ping -n 1 -w 1 192.0.2.%i >NUL) && arp -a | find " 2c-26-17"
  192.0.2.100         2c-26-17-XX-XX-XX     動的

C:\Users\user>

上記の例では、Oculus GoのIPアドレスは192.0.2.100でMACアドレスは2c-26-17-XX-XX-XXということになる。

やっていることは簡単で、最初にOculus VR, LLCのOUIである2c-26-17がARPテーブルにあるか調べて、無ければ指定された範囲のIPアドレス上記の例では192.0.2.1〜192.0.2.254)にpingを打ってARPテーブルにMACアドレスを登録させて、再度ARPテーブルに2c-26-17があるか調べているだけ。

注意すべき点は、Oculus VR, LLCのOUIを持った他の機器が存在すると当然それも表示される。たぶん、Oculus Riftとか同じだと思う。持ってないから知らんけど。

というか、こんなことをしなくてもアプリやOculus Goの画面で調べられるようにしてほしい。

関連エントリ

pingコマンドを使ったホストアップチェック用一行バッチ

2018-05-28

[][] Oculus Goが面白い!

PSVRかOculus Goのどちらを買おうか悩んでいたんだけど、VR酔いで遊べない可能性もあるのでお手頃価格のOculus Goを購入*1した。

f:id:EijiYoshida:20180528194150j:image

5月19日に64GBのを購入して届いたのが5月23日。それから毎日VRの世界を家族で楽しんでいる。心配していたVR酔いも世界がグルグル回るようなコンテンツじゃなければ大丈夫。ジェットコースターとか宇宙空間を浮遊しているようなやつは激しく酔うので避けてるけどね。

ちょっともったいないなと思うのは、ユーザーに最初に見せるようなコンテンツが用意されていないことかな。

Oculus Goを装着するとVRの部屋が表示されて確かに感動するんだけど、その後に「それで?」ってなるんだよね。「それで?」って要求に答えるようなVRやOculus Goの可能性を感じさせるコンテンツを、あらかじめOculusが用意しておけばいいのにと思う。

色々と無料のコンテンツを見てみたけど、最初に見るコンテンツとして個人的にお勧めなのは「Welcome to Virtual Reality」かな。

VRについての説明みたいなコンテンツなんだけど、3Dで綺麗だしVRの魅力をわかりやすく体験できる良いコンテンツだと思う。あとOculus Goでここまで表現できるってことがわかって、3万円程度の機器でこれほどの高いクオリティVR体験できる時代が来たのかと、しみじみ思ったよ。

他には「Disney Movies VR」や「Inception」、「Art Plunge Preview」が高いクオリティVR体験できるコンテンツを提供している。

あと「CINEVR」も面白いね。VRの映画館なんだけど、映画の3Dトレイラーとかそれっぽく見ることができて感動した。

似たようなものに「Netflix」もある。こちらはパスワードの入力が面倒そうなので未だ試していないけど期待はしてる。

YouTubeにも面白いコンテンツがあって、最近は下記のコンテンツを楽しんでいる。

まだまだ探せば面白いコンテンツは沢山あると思うんだけど、残念なのは低いクオリティのコンテンツが多すぎる。「試しに作ってみました!」みたいなコンテンツが大量にあり過ぎて、高いクオリティのコンテンツを探すのに本当に苦労する。

ただ、ユーザーが増えて時間とともに全体的なレベルが上がっていくだろうから、そのうち解決するんじゃないかと今のところは楽観的に考えている。

しばらくはOculus GoでVR三昧の日々が続くと思う。

ACアダプター

Oculus Goで必要なのに同梱されていないのがACアダプターで、5V 2AのACアダプターが必要になる。

家にあるACアダプターを集めて確認したんだけど、多くは5V 1Aなんだよね。

5V 1Aでも充電はできるけど時間がかかるので、今後の事も考えてAnkerの24W 2-Port USB Chargerを購入した。

これなら各ポートが5V 2.4Aまで出せるので十分。実際にこれでOculus Goを何回も充電しているけど全く問題無い。

修正(2018/06/02)

「Art Plunge」は有料で「Art Plunge Preview」が無料だったので修正。

関連エントリ

Windowsのpingとarpを駆使してOculus GoのIPアドレスやMACアドレスを調べる方法

Oculus Roomsで軽めなミーティングをしてみた

*1:必ずOculusのサイトから購入しましょう。

2018-05-23

[][] Software Design総集編【2013〜2017】には「Jamesセキュリティレッスン」の第1回から第10回を収録

2018年5月26日発売の『Software Design総集編【2013〜2017】』には「Jamesセキュリティレッスン」の第1回から第10回が収録されています。

こうやってみると、結構面白そうな内容を書いてきたんだな。頑張ったな、オレ。

あと、2014年からずっと連載枠を提供してくれているSoftware Design編集部の方々には本当に感謝しています。

興味ある方はぜひ読んでみてください〜

ちなみに在庫がなくなりそうな予感なので、はやめにゲットした方が良いそうです。