PCメンテ記録

また奇っ怪な症状を・・・

【症状１】画面が上下動する
BIOS画面では上下動こそしないものの、画面上部がピカピカ点滅してるのでハード的にアウトと判断。外付けモニタに切り替えた所、以前からあったマウスの引っかかりも解消した。
外で使わないとのことなので外付けモニタの使用を推奨。

【症状２】起動に失敗する（ぐるぐる回転が止まる）
テストした所、シャットダウンからは問題なく休止からの復旧に失敗する模様。

■効果なし
powercfg /h off→powercfg /h on
chkdsk c: /f
sfc /scannow
高速スタートアップの無効化

ハイブリッドスリープと休止を無効にすることで対応。

老人ホームのおばあちゃんにAndroidタブレットを渡す

老人ホームに入った祖母が（比喩表現抜きで）孤独で死にそうになってしまい、Androidタブレットを渡してみることにしたので課題と対策をメモ。

利用者の前提条件

1. 老人ホームまで片道2時間ほどかかる上、面会時間に制限があるので訪問が難しい
2. 今までほとんどパソコン・スマホの類は使ったことがないがアレルギーがあるわけでもない。
3. むしろインターネットには興味がある

過去の経験上、年齢より興味の有無のほうが障害となるので、今回はまだ期待が持てそう。

課題と対策

トラブルが起きたときに対応が難しい

→Androidタブにする

そもそもトラブルが起こりにくい端末を選定する必要がある。最初はIP電話専用機を考えたが意外に高いくせに面白味がない上、専用機でトラブルが起きた場合に遠隔でサポートの余地がない。拡張性やリモートコントロールの点ではWindowsが優位だが、UpdateしただけでOSがイカれるようではだめなので却下。利便性と安定性の間を取ってAndroidタブを選定。「なんかおかしくなったら再起動すれば大抵直る」というのは大きい。

→リモートコントロールできるようにする

以前はドコモのMobizenが便利だったが、ドコモがサポートをやめてしまい機能も大幅に縮小されたので、TeamViewerを使用することにした。電源が入っていないと接続できても画面が真っ暗で操作できないという欠点があるが、Skype等で外部から起こしてやれば動く。

→Playストアと設定をロックする

Android最大の疑問はチャイルドロックがない点・・・なんでなんだろう。ドコモのあんしんモードでPlayストアと設定をロックする。

→Automateでフライトモードを自動解除を促す

設置1日目にして誤操作でフライトモードになってしまう事件が発生、フライトモードのON/OFFはあんしんモードで規制できないためautomateで自動解除したい。rootがあれば解除まで自動化できるが、取れなかったのでフライトモードを検知したら音声で繰り返し解除方法を伝える方式にした。

→APN監視(未実装)

ドコモ端末は勝手にAPNがspモードになる事象が発生するので、時々APNをチェックして強制的に修正するようautomateで実装したい。

操作が覚えられない

→ホームアイコンを必要最小限にする

これだけでも「難しい」感がぐっと減る、誤操作の防止にも有効。

→必要最小限の説明書を作る

スクリーンショット多様、文字数少なめ、必要最小限。

→Googleドライブのショートカットをホームに作っておく

一発で共有フォルダ内の写真が見られるようになる。家族・親戚に写真をアップロードしてもらえ、すぐ見られる。メールの操作を覚えるより簡単。

ちなみにGoogleフォトは共有フォルダをワンタッチで開く方法が見当たらなかったので見送り。

→デジタルフォトフレームEX

充電したタイミングでGoogleドライブ内のファイルを自動的に表示するフォトフレーム化できる。できれば「明かりが消えたらストップ」が欲しいところ、照度検知機能自体はあるが想定したとおりに動作せず、タイマーで代用。

→アプリのアップデートを無効にする（見送り）

アップデートしてUIが変わると途端に操作できなくなってしまうので、アプリのアップデートは切る・・・つもりだったが、準備中にバージョンの古さが原因でGoogleドライブにアクセスすると謎のエラーが発生するという症状が出たため見送り。
UIを変えないのもユーザビリティの一つだということにいいかげん気づいてほしい。

→バッテリー切れを音声で通知する

automateを使用して、バッテリーが一定以下かつ充電状態でなかったら日中時間帯のみ音声で通知する。日中じゃなかったら朝まで待って再通知する。

→着信音を変える

デフォルトの着信音では電話なのかパッと理解できないので電話らしい音にする、Skypeはデフォルトの着信音を変えられないのでコンタクト毎の着信音を個別に変更で対応。

セキュリティ

話を聞いていると、所有物を勝手に移動されたりするケースがある模様。無断持ち出しに対する対策が必要。

→位置監視

Geozillaで位置を監視、想定範囲の外に出たら遠隔端末でアラートを出せる。（Preyでもできました）

→盗難追跡

Prey Anti-Theftで対応、アンチウィルスのおまけと違って盗難対策に特化しているのがGood。位置追跡の他、定期的に写真を撮影するなどのアクションも可能。

→IEMIをメモっておく

被害届を出す際にあったほうが良い模様。

→テプラで連絡先を貼っておく

「移動する際は●●まで連絡ください」と貼って、ばーちゃんの個人所有物でも、みんなの共有物でもないことを明示しておく。

→Automateで電源断イベントを監視・無効化する

Automateで電源断をメール通知・写真撮影・音声で警告できるようにしたい。rootが取れればrestartコマンドを使用することでシャットダウンをキャンセルして再起動させる事も5回に4回ぐらいは可能な模様。なおrebootの方がコマンドとしては安全だが、実権してみたところ3回連続で失敗したのであきらめた。
今回はrootが取れなかったので「電源を切らないで下さい！」と音声で電源が切れるまで警告するようにした。

コストを安く抑えたい

→MVNO SIM

家族で使っているOCN Mobile OneにSIMを1枚追加、月額500円で使用できる。通信量制限の問題はあるが、速度を256Kbpsに設定することで通信量制限を受けなくなる。動画は厳しいが通話や遠隔操作に問題はない。

→IP電話&Skype&LINE

Skype Out, Skype Inという手もあるが月額料金がかからず、フリーダイヤルも利用可能なBrastelで番号を取得。アプリは日本語表示も可能で操作のシンプルなCSipSimpleを。LINEはユーザ数の多さを踏まえて一応。

特定のEC-CUBEベースパッケージソフトにおける対応状況不明の脆弱性について

概要

特定のEC-CUBEベースパッケージソフトウェアに、利用者の登録情報が漏洩する脆弱性JVN#51770585を含む複数の脆弱性が2016年9月9日現在も残存しているおそれがあります。パッケージベンダーによる対応が見込めないため、安全性が確認できない場合は独自に対策を行うか使用を中止することをご検討下さい。

"EC-CUBE(オリジナル)"、"EC-CUBE B2B"、"カゴラボ"は本件の対象ではありません。

Update

2017/1/19 IPA・JPCERTから連絡があったので時系列に追記しました。パッケージ名の公開について追記しました。

詳細

当方は2015年6月に国内企業(以降、A社)の提供するEC-CUBEベースパッケージソフトウェアに、EC-CUBEオリジナル版で公開・対策済みの既知の脆弱性と推測される挙動を確認しました。この脆弱性は悪用された場合に情報の漏洩を伴い、かつ攻撃方法が事実上既知・容易と悪条件が整っています。またA社は該当ソフトウェアを数百社に導入していると自称している事から、悪用された場合に非常に大きな影響が生じることが懸念されます。

本件についてIPA(独立行政法人 情報処理推進機構)の「情報セキュリティ早期警戒パートナーシップ」を利用し、IPA・JPCERT/CCを通じてA社に報告しましたがIPA・JPCERTの再三の連絡にも関わらず、1年以上に渡り回答が得られることはなく現時点においても対応状況は不明です。脆弱性の公開から既に2年が経過しており、A社からの対応見込みもない事から利用者自身による対応を促すため、本ページで部分的にではありますが情報を公開します。

なお情報セキュリティ早期警戒パートナーシップでは脆弱性情報の非開示が求められていますが、本ページの公開にあたり、「非開示依頼の取り下げ」を頂いています。

影響範囲

A社と連絡が取れず、同意が得られていないため本ページで具体的なパッケージ名は公開できません。の公開時期は検討中です。(2017/1/19追記)
影響しない事が確認できている製品は下記のとおりです。

パッケージ名	ベンダー	ステータス
EC-CUBE(オリジナル)	株式会社ロックオン	対象外(2014年1月対応済み)
EC-CUBE B2B	株式会社ロックオン	対象外(2014年1月対応済み)
カゴラボ	株式会社アラタナ	対象外(2014年1月対応済み)

このリストにない製品の対応状況についてはベンダーにお問い合わせ下さい。

「今直っていようが、闇改修や杜撰なパッチ管理は許容できない」という方は、問い合わせの際に「いつ対応したか」も確認の上、バックアップ等から/data/class/pages/shopping/LC_Page_Shopping_Multiple.phpの修正日が一致しているかも併せて確認されると良いかもしれません。本脆弱性の公開日は2014年1月22日ですので、対応日や適用日がこの日から後ろに大きくずれているなら、おかしいという事になります。修正箇所はこちらを参照下さい。

※上記に記載がなく影響がない製品のベンダー様はお知らせ下さい。

想定される被害

ショッピングサイト利用者によって、他の利用者の登録情報を取得される可能性があります。JVN#51770585が既に公開されていますので詳しくはこちらを参照下さい。
また本件の根本的な原因は長期間に渡るパッチの適用漏れであると推測され、その他の既知の脆弱性も残存している事が懸念されます。

対策

A社からのパッチ提供状況は不明です。EC-CUBE開発元である株式会社ロックオン社の提供するパッチを適用することで対策できる可能性がありますが、有効性・互換性は確認できていないため自己責任でお願いします。

WAFによる防御については、単純なブラックリスト方式の場合は対応できないと考えられます。JVN#51770585の対応状況についてWAFベンダー様にご確認下さい。

前述の通り、状況的にその他の脆弱性も残存している事が十分考えられるため、正式な対策がアナウンスされるまで使用を中止する事もご検討下さい。

時系列

• 2015/6/28 脆弱性確認
• 7/6 IPAへ脆弱性情報届出
• 7/7 IPAより受理連絡
• 7/29 JPCERT/CCが製品開発者への連絡を開始
• --- 約1年経過 ---
• 2016/7/27 情報非開示取り下げ依頼(間違って2日早く依頼)
• 8/17 製品開発者より回答がなかったため、情報非開示取り下げ決定
• 8/18- 情報公開について関係者へ予告・調整及び情報収集
• 8/22 第三者より「A社は8/25を目処に対応完了目処を決定」等の情報を入手（誤報？）
• 8/24 22日の情報についてIPA・JPCERT経由での連絡が来ないので、事実関係を問い合わせ
• 8/25 IPA・JPCERTより回答「連絡はあったが具体的な日程については不知」
• 9/1 22日の情報にあった対応完了目処の予定日を過ぎても連絡が来ないのでIPA・JPCERT経由で「対応完了予定日・公開予定日について9/8 9:00までに回答が無ければ公開する」旨を改めて連絡
• 9/8 IPA・JPCERTより連絡、「9/1以降、3回連絡したが回答がない」
• 9/9 本ページ公開
• 2017/1/19 IPA・JPCERTより連絡、「昨年9月以降連絡が取れていない」

Q&A

• 対象パッケージ名や会社名はなぜ非公開？　無関係なパッケージメーカーに迷惑では？
• 連絡が取れず公開の同意が得られなかったためです、EC-CUBE公式サイトで探すことのできた無関係なパッケージベンダー4社には事前に連絡し、うちロックオン様とカゴラボ様から回答を頂き影響がない旨を記載しました。今後も情報があれば更新します。公開時期は検討中です。(2017/1/19追記)
• IPA・JPCERTを介さずに直接連絡するか、関係会社を経由して連絡すべきでは？
• 「IPA・JPCERTからの連絡は無視しても良いんだ」という前例を作るべきではありません。IPA・JPCERTに回答できず当方に回答できる理由も見当たらず、何より調整に尽力しているIPA・JPCERTに対して失礼だと思います。
• 公開はA社に予告したのか？　不意打ちは反則でないか？
• IPAへの情報非開示取り下げは7月27日に、また公開する旨を9月1日に再度IPA・JPCERT経由で連絡しています。また第三者経由で8月18日に伝わったという情報もあります。これらに対してA社から回答や延期要請は受けていません。
• 対応中との情報があったのに、なぜ対応完了を待たずに公開した？
• 第三者経由で対応中との情報はあったもののIPA・JPCERTへの連絡はなく、情報にあった対応決定予定日を一週間以上過ぎても何の動きも無い、連絡が途絶える等の状況から、誤報であり対応は進んでいないと判断しました。仮に進んでいたとしても上述の通り延期要請は来ていません。
• この情報は利用者を危険に晒すのではないか？
• 本ページでは脆弱性の詳細についてJVNで公開済の情報及びロックオン社から公開されているパッチに記載されている情報以外は記載していません。最近話題のExploitもありません。

所感

業界トップクラスを自称し、セキュリティ面の信頼性も謳う会社が、1年以上も前のパッチを適用しない状態で製品を提供し、かつ情報提供に対しても1年以上も反応を示さなかった事は大変残念です。

「国内企業のパッケージソフトウェアだから安心」「ベンダーがセキュリティ大丈夫って言ってる」と信じ込んで冷や汗をかいた人を何回も見てきましたが、そんなものは何の保証にもならないという事を示す悪例と言えるでしょう。利用者の皆様はインシデントが起きてもベンダーが全面的に責任を問われる事はまずない、という事もどうかお忘れなく。（個人的にはリンクの判例でもベンダーに不利だと思っています）

IPA・JPCERTの動き

IPA・JPCERTは取り下げの判断には慎重だった一方、一度取り下げた後は事態が動き出した後も「やっぱり非開示にして」とはなりませんでした。後出しジャンケンは認めないという姿勢を示したものでしょう。

過去の事例から、あと数年はかかってしまうでしょうが連絡不能脆弱性としての情報公開を期待しています。

関係会社と連絡を取ってみて

IPA・JPCERTの呼びかけに全く応じなかったA社が、情報収集の課程で生じた第三者からの連絡に反応したのは全くの想定外でした。情報非開示依頼の取り下げ後も即座に公開に移るのではなく、関係者を（迷惑をかけない範囲で）巻き込んで粘り強くコンタクトを取っていくことが良い結果に繋がるかもしれませんね。結局踊らされた感があった上に、連絡も途絶えましたが・・・。

逆に、カゴラボを開発しているアラタナ様とパッケージ製品の取扱があると間違えて連絡してしまった某社様の対応は、ものすごく前のめりで申し訳ないぐらいでした。何なんでしょうこの温度差は・・・。

謝辞

偏屈な報告者と寡黙な開発者の間で粘り強く調整に尽力いただいたIPA・JPCERT/CCの皆様と、本ページの公開にあたりレビューにご協力頂いた皆様、本来無関係にも関わらず対応状況の確認にご協力頂いたEC-CUBE関連製品をお取り扱いの各社様に御礼申し上げます。

某診断資料のコメント

報告書を書かせたりと実践的な内容だったけど、疑問点も色々と。
色々な意味で紙にコメント書く気がしなかったのでここに書きます。分かる人だけどうぞ。

対策方法が突っ込みすぎ

「最新バージョンを報告書に書いたほうが親切です」

2回も強調してたけど、僕は反対。利用者は報告書の内容を鵜呑みにしてしまいがちなので、Specificなバージョンを記載してしまうと、報告書が現場に渡るまでの間にバージョンアップがあった場合も盲目的に報告書に記載の古いバージョンをインストールしてしまう可能性が。

最新版はユーザー自身がは公式サイトで確認すべき情報で、報告書に明示することにデメリットはあってもメリットがあるとは考えづらいと思います。

「(テスト用と思われる）ファイルを消してください」

一見テスト用に見えるファイルであっても、実は内部で使用していることも考えられるのでは？迂闊に消去を指示してしまうとトラブルの元。

「必要性を確認の上」と断った方が良いかと。またファイルを使用している場合や、削除に不安がある場合は、削除ではなくアクセス制限を行うというのも一つの手。

「SSLv3を無効化して下さい」

SSLv3を無効化した結果、ガラケーなどからアクセス不能になる可能性もある。システムによっては重大な問題になりかねないので、ここも確認が必要かと。

「具体的な設定を教えてあげると親切です」

「設定例」を提示するぐらいなら良いかもしれませんけど、設定方法は環境により異なることが多いですよね。多くの場合、診断担当者はその設定が実際の環境で有効かつ副作用がないことを確認できる立場にはないはず。設定や検証は診断担当者の職務ではないし、前述のとおり設定例を鵜呑みにした結果、予期せぬ結果を招き兼ねないので下手なことは書かないほうが良いのではないかと。

「NFSが検出されてますが、exportsに何も書いてないのでリスクは低いでしょう」

「勝手な判断による説明は記載しない」って書いてあるのに、実際にマウントして確認せず設定ファイルだけ見て判断するのはおかしくないですか？サービス起動後にexportsが書き換えられてるかもしんないし。

診断条件がよくわからない

内部スキャンなのか外部スキャンなのか分からないので総評が難しい。外部スキャンだとするならFWのポリシーも見直してくださいという指摘も。

前述のNFSのようにサーバの中身が見えることが前提になってるような発言もあったりするが、そんなケースまずないのでは・・・。

リスク評価が現実と離れている

リスク評価の方法を受講者に一任した結果、みんなまさかのOpenVASの吐いた結果そのまんま。その結果、再現性の高いDNSへのDoSがMediumになったりphpinfo()を含むテストページのリスク評価がHighになったりTRACEメソッドがMediumというトンチンカンな結果に。（しかも多分突っ込まれてない）リスク評価はどうあるべきか、ツールにはどんな問題があるか、は最初に触れておいたほうが良いんでないかと。

TRACEメソッドが出てきたから、てっきり徳丸さんの記事を紹介してドヤるのかと思ったらまさかのスルー。えええ・・・

その他

• VMToolsが入っておらずコピペできないのが無駄につらい。
• 報告書フォーマットが書き辛い
• Windows環境がネットに繋がらないのに貧弱、NetcatもないのでTELNETインストールした。Linux検証環境も欲しい。（そこまでの検証は想定してない？）
• 声が非常に聞き取りづらい

Indoor Air Quality Monitorあれこれ（随時更新)

自宅で仕事中に集中力が落ちちゃう事、ありませんか。
丁寧に車を運転していたのに、家族が車酔いしちゃうことありませんか。
それ、二酸化炭素濃度が高いせいかもしれません。家庭用二酸化炭素濃度測定機買いませんか？

製品比較

	AIR MENTOR 2 8099-AP	AIR MENTOR PRO (氣質寶專業版 8096-AP)	ACER AIR MONITOR	uHoo	Foobot	AirVisual Pro	Atmotube	birdi	Awair
スペック詳細	あり	あり	あり	あり	あり	あり	見当たらず	不明瞭	不明瞭
値段	6990TWD	219USD	219USD	299USD	199USD	269USD	89USD	119USD	199USD
開発状況	販売中	販売中	販売中	販売中	販売中	販売中	販売中	開発中	販売中
一酸化炭素	0.02-10(VOC)	0.1-3.5(VOC)	0.1-3.5(VOC)	0-1000	0.1-1(VOC)	×	○(VOC)	○	(VOC)
二酸化炭素	10000(NDIR)	400-2000(NDIR)	400-10000(VOC)	400-10000(独立)	6000?(VOC)	400-10000(NDIR)	○	○	4000
誤差	表記なし	表記なし	表記なし	表記なし	表記なし	表記なし	表記なし	±5	±75
PM2.5	0.7μm	1.0μm	0.7μm	2.5μm	0.3-2.5μm	0.3-2.5μm	×公式否定	△Smoke	△Dust
VOC	○	○	○	10 to 1000	○	○	○	×	○
電源	USB	内蔵電池/USB	内蔵電池/電源	USB	USB	内蔵電池/電源(USB?)	内蔵電池/USB	内蔵電池/USB	AC
アラート	○	△本体のみ？	○	○	○	△本体のみ	○	△アプリ開発中	？
本体表示	△LEDのみ	△LEDのみ	△LEDのみ	△なし？	△LEDのみ	○	△LEDのみ	？	？
夜間抑止	○	○	○	○	○	？	○	？	？
接続方式	Bluetooth/ 802.11bgn	Bluetooth	Bluetooth/ 802.11bgn	802.11b/g	802.11b/g/n	802.11b/g/n	Bluetooth	802.11b/g/n	？
連続動作時間	-	24hrs	6-12hrs	-		-4hrs	トラブル多発		-
サーバ接続	不要	不要	不要	必須	?	不要	?	?	必須
IFTTT	×	×	○	×	○	×	×		○
レビュー		Amazon.com
購入	PCHome-G 6480+477 TWD	PCHome-G 5180+405 TWD
備考	8096-APとの比較			オゾン・気圧 二酸化窒素対応	Amazonクレーム多数 VOCはMOSセンサと記述あり	PM=光散乱レーザーセンサ	indiegogoの公式コメントから Igor Korin氏が検出精度の異常を訴えるも公式無視

選び方のポイント

二酸化炭素

二酸化炭素は不快になり始めるのが1000ppmな一方、現実的には1000ppmなどすぐに超えてしまう模様。従って1000ppmで「危険！危険！」と騒いでしまうようなものはNGという事になります。国民生活センターの試験によると石油ファンヒーターを使うと30分で5000ppmに達し、換気の目安となる1時間で10000ppmに達する模様なので、石油やガスによる暖房を行っている場合は10000ppm程度まで測定できると良いかもしれません。
概ね2000ppmが各種基準を上回る「空調に苦情が出てくるレベル」らしいので、今回は2000ppmまで測定できることを最低条件と考えてみます。
ただし表中に(VOC)と記載してあるものは、VOCセンサから二酸化炭素値を推測している製品です。VOCの検出に使用しているセンサは不明ですが、MOSセンサ等の場合相当の高レベルでないと正確に検出することができず、Foobotのレビューでも酷評が相次いでいます。NDIR方式等の商品を選択するべきでしょう。

一酸化炭素

ガス（ガスコンロも含む）暖房を使用していたり、七輪でさんま焼いちゃうような人は一酸化炭素測定機能もあると良いかもしれません。
Wikipediaによると国内基準での許容室内濃度が50ppm以下、症状が出始めるのが500ppm。国民生活センターの試験によると石油ファンヒーターを使うと即座に4ppmに達した後安定するようです。
屋外濃度は東京都で平均0.6ppmぐらいですが火気を使用しない屋内の濃度は不明。
多くの製品は一酸化炭素濃度を単体で測定することはできずVOC(揮発性有機化合物)の一部として検出するため、「何だかわからないがガス濃度が高い」という形で検出されます。また安価なVOCセンサは低濃度のガスを検出できないようです。

PM2.5

測定粒度を明示していないもの（Awairのようにダストセンサー扱い）は対応していないとみなします。PM0.5が気になる人は検出粒度0.5μm以下のものを。

VOC

個人で手に届く価格帯で精度の高いVOCセンサは無理な模様で、精度はそれほど高くないと推測されます。おまけ程度に考えましょう。

本体への数値表示

製品によって、おおまかな状況を色で表示するものと具体的な数値を表示してくれるものの2種類に分かれます。

電源

常時接続方式か、十分なバッテリー性能を持ったものがよいでしょう。USBで給電するタイプの場合はモバイルバッテリーと組み合わせる方法も考えられます。

接続方式

無線LAN対応であれば直接ネットワークに接続できるため、機種によっては遠隔から品質測定をできるものもありますが、Bluetoothと比較すると電力の消費が多く、都市部やマンションにおいて通信品質の悪くなりがちな2.4GHz帯(802.11b/g)しか対応していないものが多い点に注意が必要です。

Bluetoothはスマートフォンなどの親機が近くになければ通信することができませんが、遠隔地の測定をしたいというニーズがなければ無線LANと比較して混信の問題は少なく、省電力です。

夜間抑止

今回紹介している製品は家庭用のためほとんどが備えていますが、業務用などはしきい値に達した場合昼夜問わずアラートが鳴ってしまうものがあります。寝室で使用する場合などは夜間のアラートは抑止できたほうが良いですね。

インターネットへの接続を必須としないこと

アプリのインストール時はともかく、インストール後はインターネットへの接続を必要としないほうが望ましいでしょう、例えば車内で利用する際は常にテザリングしていなくてはいけませんし、多くの場合インターネットへの接続を必須とするということはメーカーのサーバとの接続を必須とするということで、メーカーがサーバの運用を取りやめた瞬間に無用の長物になってしまいます。

各製品のコメント

AIR MENTOR PRO

既に販売してるのでAmazonでレビューも見られます。一酸化炭素は最大3.5ppmとそこそこ現実的な値が測定できますが、VOCの一部として検出され個別の値は見られません。CO2上限は2000PPMと低めですが、保証値が2000ppmなだけでアプリ上は9999ppmまで表示されるそうです。（メーカーより回答）
PM2.5は1.0μmからのためPM0.5は検出できないことがAmazonレビューにも記載されています。
ただAmazonだとサポートが悪いとか怒ってる人もおり、当方も購入前にが英語で問い合わせた時はすぐフレンドリーな返事が帰ってきたものの、購入後に精度に疑問があり問い合わせたら返事が帰ってこなくなりました。
日本で購入できるところが見当たらないのが残念ですが、台湾のオンラインショップPC Homeで日本までの送料込み約2.2万円で買えます。
AIR MENTOR2との比較資料を見てみるとアプリアラートがない？

AIR MENTOR 2 

2017/12/7出荷の新商品、CO/CO2の検出上限が改善され、なぜか802.11bgnにも対応。PMは0.7umと微妙に改善されリモート接続に対応した模様(台湾語なのでよく分からず)。WiFi対応のためかバッテリーが廃止されましたが、コストを考えれば妥当なところでしょう。（どうしても必要なら汎用USBモバイルバッテリーが使えるはず）
同じくPC Homeから送料込み2.7万円で買えます。
購入しましたのでレビュー記事を参照下さい、結論から言えばおすすめしません。

ACER AIR MONITOR

スペック的にはAIR MENTOR PROとAIR MENTOR2を足して２で割ったような製品、大きな違いはAlexaやIFTTTに対応してる点ぐらい？実売価格はAIR MENTORよりややお高め。AIR MENTORの中の人は違いを聞かれて「市場のセンサーはCO2推測値を表示することがありますが、我々は実測値を表示します」と言っていたとおり、マニュアルを見るとVOCからCO2を算出してるようです。

uHoo

スペック的には最も優秀なのですがお値段も微妙。
"Ultra Portable"とか銘打ってケースまで用意してますが、バッテリーは搭載しておらずインターネット接続がないと使用することすらできません。また使用にあたっては彼らのサーバとの接続が必要なため、サービスを終了されたらゴミになるというのが最大の欠点。
何とかならないのかサポートに聞いてみましたが、ダメだそうです・・・。

Foobot

こちらも既に販売しているのでAmazonUKでレビューも見られます。概ね要件を満たしてるがCOはVOCとして検出、検出限界は1000ppb(1ppm)と屋内で使うにはセンシティブすぎる。また残念なのは接続方式が802.11bgnな点。近距離なら何とかなるかもしれませんが都市部で使用するには向いてるとは言い難い。二酸化炭素はVOCから算出するため制度が悪いと評判悪く絶賛値下げ中です。

AirVisual

この３つの中ではディスプレイを内蔵しているのが特徴。公式サイトがメチャクチャ重たい上に見づらいのでINDIEGOGOで情報収集。なんかもうこの時点でダメダメ感が漂う。そして接続方式が802.11b/g/n。一酸化炭素の測定には対応していないのも残念。

致命的なのはバッテリーは内蔵かつ寿命がたったの4-6時間。内蔵バッテリーの仕様は不明ながらユーザが容易に交換可能できないものなら5年後にはゴミでしょう。
アプリのレビューを見てみるとアラームのレベルが設定できないようです。

Atmotube

カバンに付けて持ち運べちゃうぜ！でも防水性はない。一見クールなデバイスで「PM2.5対策に有効」とか紹介してるサイトもありますが、PM2.5対応は困難」と公式に否定されています。

ただその一方で昨年11月頃のIndiegogoコメントでは次期製品で対応を匂わせるようなコメントもあります。

We plan to integrate NO2 sensors (as well as PM sensor) in next generation. So far Atmotube detects temperature, humidity and harmful gases, like CO and CO2, and a big number of Volatile Organic Compounds (VOCs) and display the data as overall Air Quality Index.

対応を見込んでなのか、アプリを見るとPM2.5等の項目が見えます。デバイスが手元にないので測定画面は見られなかったもののスクリーンショットを見た限り測定値はAir Quality Scoreにひとまとめにされており、各物質ごとの数値が見える画面が見当たらない点はちょっと気になります。

内蔵バッテリーは約1ヶ月ほど持つと記載がありますが交換可否は不明。ユーザレビューによるとバッテリーの持ちが非常に悪いようで苦情が殺到しています。(v2で改善された模様)

暫定的結論(2018/1/30)

おすすめできる製品はありません。

更新履歴

• 2016/3/31
• 全体的に記述見直し
• 2016/3/30
• AtmotubeのPM2.5対応見込みを訂正、結論を変更。
• リスト更新
• FoobotのCO評価を変更
• 2017/1/18
• uHooのスペック追加とAtmotubeについて追記。結論を変更。
• 2017/6/3
• uHooに追記、結論を変更。
• 2017/11/29
• AIR MENTORへの問い合わせ結果の反映とAIR MENTOR2を追加
• 2018/1/10
• ACER AIR MONITORを更新
• 2018/1/11
• 全体的に見直し