投稿者「hylom」のアーカイブ

Microsoft、Exchange Server 2010のサポートを9か月延長

headless曰く、

Microsoftは16日、Exchange Server 2010の延長サポート終了日を2020年1月14日から2020年10月13日に変更することを明らかにした(Exchange Team BlogComputerworldgHacksRegister)。

延長の決定は数多くの顧客の環境におけるデプロイ状態を調査・分析した結果によるものだといい、一部の顧客がアップグレードの最中であることを考慮したとのこと。変更は既に製品ライフサイクル検索結果にも反映している。サポートが終了してもExchange Server 2010が動作しなくなるわけではないが、一刻も早いアップグレードが推奨されている。なお、Windows Server 2008/2008 R2のサポート終了日は2020年1月14日のまま変更されていない。これらのOS上でExchange Server 2010を実行している場合、OS側の対策も必要となる。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | マイクロソフト | ネットワーク | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 7延長サポート終了後の有料セキュリティアップデートオプション、4月1日から販売開始 2019年03月09日
英イングランドの都市自治体、4分の1がサポートの終了したサーバーソフトウェアを使用 2018年08月26日
米海軍、Windows XPなどのカスタムサポート契約を延長 2015年06月27日
英政府、Windows XPからの移行が進まない一方でMicrosoftとのカスタムサポート契約は延長せず 2015年05月02日

エクアドルで大規模個人情報流出、流出件数は人口を超える。パスワード未設定で運用したElasticsearchが原因か

Anonymous Coward曰く、

南米エクアドルで2000万人以上の個人情報が流出する事件が発生した。流出した個人情報は氏名・生年月日・出生地・住所・メールアドレス・身分証明書番号・納税者番号・銀行口座の番号および残高・学歴・携帯電話番号など。故人の情報もあり、それに関しては死亡日時や死因なども含まれていたという(NHKCNNCNET Japan)。

これについて、「国民の情報の管理を委託していた民間の会社」が攻撃された結果とエクアドル政府は発表している。情報の流出元はエクアドルのコンサルティング企業Novaestratで、同社はデータ分析などに使われるデータベースソフトウェア「Elasticsearch」のサーバーをパスワードなしで誰でもアクセスできる状態にしていたという。

エクアドルの現在人口は約1650万人で、ほぼすべての国民の情報が漏れたことになる。残りの数百万件についてはすでに亡くなった人とみられるが、現時点で正確な内訳は分かっていない。最近まで在英エクアドル大使館にこもっていたジュリアン・アサンジ被告の個人情報も含まれていたようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
キョードー東京のチケット販売サイト、他人の個人情報が表示されるトラブル 2019年03月17日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
川の水位監視や水門管理を行うシステム、インターネット経由でアクセス可能になっていた 2017年07月14日

自動運転車のLiDARセンサに特定パターンのレーザー光を照射することで誤動作させる攻撃手法

Anonymous Coward曰く、

ミシガン大学の研究チームが、自動運転車のセンサーを騙すことで動作を混乱させるという手法を考案したという(CNET Japanミシガン大学の発表)。

記述の内容は、(一次)レーダーに対するジャミングにおける欺瞞手法を、LiDARに応用するようなもので、当然可能と思われる。(一次)レーダーでは、周波数ホッピングや直接スペクトラム拡散が対抗手段としてあるが、LiDARでそれを可能にするのは自由電子レーザーなどになり、当面量産自動車に載るような代物ではない。

この攻撃手法は、光を使った測距センサーであるLiDARの受光部に対し特定のパターンのレーザー光を照射するというもの。これによって、実在しない障害物をあたかも存在するかのように認識させることができるという。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
自動運転車を自動洗車機で洗車してはいけない 2018年03月02日
自動運転技術開発企業ランキングが発表される。トップはフォード 2017年05月15日
自動車向けのレーザーセンシング装置が原因でデジカメのセンサーが損傷したという報告 2019年01月17日
カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃 2019年04月05日

ロシア政府がFBIの暗号化通信の解析に成功していた?

Anonymous Coward曰く、

2016年12月29日、当時の米オバマ政権は、同年に行われた大統領選挙でのロシアの干渉に報復するため、ロシア外交官35人と家族に国外退去を命じる措置をとった。しかし、この裏には別の重要な理由があったのだという。元米当局者によると、少なくとも一部の追放された外交官は、ロシアの諜報活動において重要な役割を果たしていたとしている。

彼らはFBIの利用していた暗号化された通信を標的にした作戦を行っており、通信を復号化する能力を劇的に高めることに成功。FBIのエリート監視チームが使用する機器の位置など正確に追跡できていたとしている。米国当局はまた、ロシアがインターネットに接続されていないコンピュータへのハッキングを計画していた可能性があるとも指摘している。一方でロシア側はこれを否定。在米ロシア大使館は米国当局に説明を求めているという。

この話と直接関係あるかどうかは不明だが、読売新聞でロシア大統領府の元職員が米国のスパイとして2017年まで活動していたと報じられている。米CNNによると、元職員は「10年以上にわたり」、スパイとしてロシアの内部情報などを米情報機関に伝えていたとしている(Yahoo!NewsSlashdot)。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ロシア人ハッカー集団、米送電網への攻撃も 2018年08月08日
ロシアによるサイバー攻撃に米国防総省が注意喚起 2018年04月19日
ハッカー集団が米国家安全保障局のサイバー攻撃ソフトを奪取、競売で売る計画 2016年08月20日
在ロシアEU大使館、サイバー攻撃を受けて情報漏洩との報道。攻撃にはロシアが関与か 2019年06月12日

米連邦控訴裁判所、LinkedIn公開プロフィールへのスクレイピングをブロックしないよう命じた一審の判断を支持

headless曰く、

米連邦巡回区第9控訴裁判所は9日、hiQ LabsがLinkedInを訴えていた裁判で、LinkedIn公開プロフィールへのスクレイピングをブロックしないようLinkedInに命じた一審の事前差止命令を支持し、連邦地裁へ差し戻した(裁判所文書:PDFThe Next WebBetaNewsThe Verge)。

hiQ LabsはLinkedInユーザーの公開プロフィールをスクレイピングして分析し、クライアント企業に従業員の転職する可能性などを通知するサービスを行っている。これに対しLinkedInは2017年、無許可でデータをスクレイピングする行為はユーザー規約やコンピューター詐欺と濫用に関する法律 (CFAA)、デジタルミレニアム著作権法 (DMCA)、カリフォルニア州法に違反するなどとして、スクレイピングを即時中止するよう通告し、ボットによるアクセスをブロックするなどの措置をとった。そのため、hiQは同社の行為が違法でないことの確認を求めてLinkedInを提訴。一審のカリフォルニア北部地区連邦地裁がLinkedInにブロックの中止を命ずる事前差止命令などを出したため、LinkedIn側が上訴していた。

控訴裁判所ではスクレイピングのブロックがhiQに回復不可能な損害を与えるという連邦地裁の判断を支持。プロフィールの公開を選択しつつ一定のプライバシーを期待するLinkedInユーザーがいるにしても、hiQがビジネスを継続することの重要性を上回ることはないと判断した。さらにCFAAが定める「許可のない」アクセスの範囲について、パスワード認証などによるアクセス許可を得ていない場合に限定されるのかどうか、といった重要な問題提起をhiQが行っているとも述べ、連邦地裁に審理を継続するよう命じている。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | スラッシュバック | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 2017年11月22日
米連邦地裁、一般公開されているLinkedInプロフィールへのスクレイピングをブロックしないよう命ずる 2017年08月19日
図書館Webサイトへのクローラを実行して逮捕された男性、不起訴に 2010年06月21日

Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる

Instagramで「非公開」設定で投稿した写真や動画は、そのURLを知っていれば誰もがアクセスできるという(BuzzFeed NewsGIZMODOGIGAZINESlashdot)。

そのため、たとえば非公開設定で投稿された写真や動画を閲覧できるユーザーがそのURLを拡散すれば、そのコンテンツは誰もが閲覧できてしまうという。Facebookでも同様の仕組みになっているとのこと。また、その場合誰がそのコンテンツを閲覧したかを追跡することもできないという。

すべて読む | セキュリティセクション | セキュリティ | Facebook | インターネット | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
Googleドキュメントに新たなセキュリティ・ホール 2009年03月28日
ロイターがURL推測で不正アクセスとして告訴される 2002年10月29日

米大学生、トランプ大統領の納税申告書をハッキングで得ようとして失敗、逮捕される

taraiok曰く、

米ハバフォード大学の学生が、トランプ大統領の納税申告書をハッキングによって手に入れようとして逮捕されていたそうだ(The Philadelphia InquirerSlashdot)。

1970年代後半以降の主要政党における米国大統領候補者は、選挙日の前に納税申告書を公開してきた。しかし、トランプ大統領は、大統領選の段階でも「税務申告書から学ぶべきことはない」として、自身の納税記録の公開を拒んできた経緯がある。

逮捕された1人のAndrew Harrisは、連邦政府の学生援助の申請を提出したとき、フォーム入力時にアメリカ合衆国内国歳入庁(IRS)にリダイレクトされて、自分の納税申告情報が自動的にインポートされることに気がついた。そこで、2016年11月の大統領選挙の6日前、HarrisとJustin Hiemstraは、トランプの血縁を偽装してドナルド・トランプ氏の納税申告書を入手することを企てた。

彼らは、学生支援無料アプリケーション(FAFSA)にアクセス。トランプの子供の名前で登録しようとしたところ、すでにユーザー登録されていたという。そこで、パスワードリセットに挑戦した。必要な質問項目はGoogleで検索して答えを推測した。しかし、セキュリティ関係の質問の一つは4回挑戦して失敗。結局あきらめることになった。しかし、彼らの行動は監視されており、IRSはすぐに連邦捜査官をハバフォード大学に派遣、彼らは逮捕されたという。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ドナルド・トランプ大統領誕生でITや科学などの政策はどう変わるのか 2016年11月11日
米大統領選の裏で起きている米露サイバー戦争 2016年08月04日

法人向け「ウイルスバスター」の脆弱性を狙った攻撃が確認される

Bill Hates曰く、

INTERNET Watchによれば、トレンドマイクロの法人向けセキュリティ製品「ウイルスバスターコーポレートエディション」などを含む複数の製品の脆弱性に対する攻撃が確認されており、検索設定など任意の設定を変更される恐れがあるという。

2019年4月4日に情報が公開され、すでに修正プログラムが公開されているにも関わらず、法人向けセキュリティシステムが約5か月更新されないというのはどのような事情があるのだろうか。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
トレンドマイクロ、サイバー攻撃を受け情報漏洩を起こしていたことを認める。ソースコード漏洩は否定 2019年05月20日
一部のセキュリティソフト体験版では試用期間終了後アンインストールしないとWindows標準のセキュリティ機能も使えなくなる 2019年02月27日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
ウイルスバスターのWindows大型アップデート適用防止機能に不具合、有効時でもアップデートされてしまう可能性 2018年10月04日

ファーウェイ、日本に自社製品ソースコードの公開を提案

Anonymous Coward曰く、

中国・華為技術(Huawei、ファーウェイ)製品に対しては以前よりバックドアが存在するのではないかとの疑惑があったが、同社はこの疑惑を晴らすため日本政府に自社製品のソースコードを公開することを提案しているという(日経新聞共同通信)。

「通信会社など顧客企業の要望があれば製品の様々な検証に対応する」との方針。すでにファーウェイは英国などで製品のソースコードを公開し第三者機関などの検証を受けているという。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | ニュース | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国、デジタル家電ソースコード強制開示強行へ 2009年04月24日
ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 2019年04月08日
米国、ドイツに対し5G通信網でファーウェイを採用するなら機密情報の共有を制限すると警告 2019年03月16日
Huawei Mate 20 Proに「余計なもの」は存在しないという検証結果 2018年12月18日
オランダの通信大手1社が採用したHuawei製品にバックドアが存在するとの疑惑 2019年05月23日
中国によって不正チップが埋め込まれたサーバーが米国に納入されているという報道、事実はいかに 2018年10月11日

SMSでは簡単に送信元を偽装できる

SMSでは容易に送信元を偽装でき、正規の送信元からのメッセージに偽装したメッセージを紛れ込ますことができるという(SMSで送信元を偽装したメッセージを送る)。

SMSでは任意の英数字を送信元として表示するための仕様(Sender ID)があり、これに従ってメッセージを送信するだけで任意の文字列を送信元として指定できるという。また、iOSのメッセージアプリなど、昨今のスマートフォンに搭載されているSMSアプリではチャットのような体裁でメッセージのやり取りを表示するものがあるが、iOSのメッセージアプリではこのSender IDを元にスレッド表示を行うため、正規の送信元からのメッセージと同じSender IDを使用することで、偽装したメッセージがスレッドに混入してしまうという。

こうした行為は「スミッシング」と呼ばれ、今年6月に日本サイバー犯罪対策センターから注意喚起も出されている

なお、SMSを送信する上記の記事で検証に使用したSMS送信サービスTwilioでは電話番号をSender IDに設定することはできないとのこと。

すべて読む | セキュリティセクション | セキュリティ | 携帯通信 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NTTドコモを騙るフィッシングSMSが多発、d払いの不正利用被害多数も補償制度なく、被害届も出せず 2019年08月01日
東京都がSMSで納税催告、詐欺に活用される可能性があるとして識者から懸念の声 2019年07月04日
大手携帯キャリア3社、新たなメッセージングサービス「+メッセージ」を発表 2018年04月11日

JR西の特急「パンダくろしお」号運行スケジュールサイト、改ざんされフィッシング詐欺サイトへの誘導に使われる

JR西日本のWebサイトが不正アクセスを受け、フィッシング詐欺サイトに誘導するよう改ざんされていたという(NHKpiyologITmediaJR西の発表)。

問題となったのは特急「パンダくろしお」号の運行スケジュールを掲載している『パンダくろしお「Smileアドベンチャートレイン」運行情報』というサイト。このサイトにアクセスすると、アンケートへの回答を求める不審なサイトが表示される状態になっていたという。

JR西がサイト運営会社に確認を求めたところ、サイトの改ざんが確認されたという。問題のアンケートサイトではクレジットカード情報の入力が求められていたようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 2019年05月31日
聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 2018年10月17日
NTTドコモを騙るフィッシングSMSが多発、d払いの不正利用被害多数も補償制度なく、被害届も出せず 2019年08月01日
フィッシング詐欺被害にあったにも関わらず被害者ではないとして被害届を受理されないという事案 2019年07月24日

ラピュタの滅びの呪文は多要素認証

Anonymous Coward曰く、

スタジオジブリのアニメ映画「天空の城ラピュタ」では、天空の城である「ラピュタ」を崩壊させるための滅びの呪文「バルス」が登場するが、このシステムは多要素認証の観点からして安全だとする説がTwitterに投稿されて議論になっている(Togetterまとめ)。

曰く、「王家の人間が(生体:What you are)」「飛行石を握り(物理鍵:What you have)」「呪文を唱える(パスワード:What you know)」という、現代のセキュリティ概念の3要素が含まれているという。

すべて読む | セキュリティセクション | 映画 | セキュリティ | ニュース | アニメ・マンガ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「バルス」と唱えると履歴が消える Android アプリ 2012年05月29日
ラピュタのロボット兵のサビを再現した痛車 2011年05月23日
興行新記録:千と千尋の神隠し 2001年07月25日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる 2019年08月30日

硬貨選別器を壊す新たな自販機荒らし手法

Anonymous Coward曰く、

自動販売機の硬貨選別器(コインメック)に衝撃を与えることで誤作動させ中身の硬貨や飲料を盗む手口が広がっているという(朝日新聞)。

硬貨選別機を破壊することで、投入した硬貨は釣り銭口に戻ってくるにも関わらず該当金額を投入したと認識させることができるそうだ。特定の機種ばかりが狙われているとのことで、クチコミ等でこの脆弱性(?)がある自販機の情報が広がっている模様。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ハードウェアハック | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
1日1本飲料を提供する月額制サービスが登場 2019年09月03日
スマホ決済アプリ「LINE Pay」対応自販機での商品購入はちょっと面倒 2018年11月29日
サントリー、オフィスの飲料自販機で弁当を注文できるサービスを開始 2018年08月14日
自動販売機を観察するブログ、観察対象の自販機が撤去されたため13周年目前で更新終了 2017年08月14日
アサヒ飲料の「強冷」自販機 2017年04月08日

Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大

headless曰く、

Googleは8月29日、Google Playの脆弱性報告報奨金プログラム「Google Play Security Reward Program(GPSRP)」の対象拡大と、新しい報奨金プログラム「Developer Data Protection Reward Program(DDPRP)」を発表した(Android Developers BlogAndroid PoliceVentureBeatThe Register)。

これまでGPSRPではGoogle製のアプリおよびプログラム参加企業/開発者のアプリのみが対象となっていたが、今後はGoogle Playでのインストール件数が1億回を超えているすべてのアプリが対象となる。これによりアプリ開発者が報奨金プログラムを用意していない場合でも、Googleが開発者に対する脆弱性の責任ある開示の手助けをする。開発者が脆弱性を認めた場合、報告者はGoogleに報奨金を請求できる。開発者が報奨金プログラムを用意している場合、報告者は開発者からの報奨金に加えてGoogleからの報奨金も受け取ることが可能となる。

GoogleはGPSRPを通じて得た脆弱性情報から自動化された検査項目を生成し、同様の脆弱性をGoogle Playで公開されているすべてのアプリでスキャンする。脆弱性が発見された場合はApp Security Improvement(ASI)プログラムの一環としてPlay Consoleを通じて開発者に通知し、修正内容などの情報を提供するとのこと。

DDPRPはAndroidアプリやOAuthプロジェクト(Google API)、Chrome拡張によるユーザーデータ不正利用の発見・報告に対する報奨金プログラムだ。たとえば、ユーザーデータを暗号化せずに送信することや、ユーザーデータの無断収集、ユーザーデータの目的外使用などが該当する。Androidアプリの場合はGoogle Playストアで1億回以上インストールされていること、Google APIとChrome拡張の場合はユーザーが5万人以上いることが報奨金の条件となる。

すべて読む | セキュリティセクション | Chrome | Google | セキュリティ | インターネット | デベロッパー | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ChromiumベースのMicrosoft Edge、ベータ版の提供が始まる 2019年08月23日
Microsoft、ユーザー認証サービスの脆弱性に関する報奨金プログラムを開始 2018年07月21日
任天堂、3DSのバグ発見者に対し報奨金を支払うプログラムを開始 2016年12月21日
ZERODIUM、iOSのゼロデイエクスプロイト買取価格を3倍の150万ドルに改定 2016年10月01日

フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除

Anonymous Coward曰く、

フランス警察がAvastの協力のもと、マルウェアのボットネットを利用して、マルウェアに感染した85万台のコンピューターを操作し、そのマルウェアを消去した( ZDNet)。

問題になったマルウェアは2017年から確認されている「Retadup」と呼ばれるもので、Windowsマシンで暗号通貨を採掘・送信する。技術的な情報と実行された対処については、Avastが8月28日付けで詳しいレポートを出している(公開されたファイル情報やレジストリのキーなど)。

ウィルス対策ソフトを意識してサンドボックス下での動作を嫌って大人しくしているところや、フォルダに見えるショートカットをC:以外の全てのドライブに作成する(つまり、USBメモリなどを通じてゆっくり増殖する)など、物語として読んでもわりと面白い。BBCによると当局が説明した侵入経路は「儲け話やエロ画像を餌にしたメールと、感染済みのUSBドライブ」らしい。2017年のトレンドマイクロの解説では標的型、いわゆるスピアフィッシングが疑われていたので、ピンポイントな攻撃があったかどうかは気になるところ。

犯人は逮捕されていないが、Avastは作者のTwitterアカウントを特定した、としている。確かに、よく見るとトレンドマイクロとのやり取りでは犯行声明(曰く、「自分はハッカーではなく採掘の初心者」)らしきものもある。

ただ、感染地域を見ると、フランスを含むEU地域はほぼゼロで、中南米を中心にアメリカやロシアにも広がっていたようだ。法的にはどうなんだろうか。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ボットネット | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
他のボットネットを攻撃するボットネット「Fbot」 2018年09月23日
警視庁、ボットネットに侵入して迷惑メールの送信を検知する監視システムを運用開始 2016年11月10日
オンラインゲーム関連サービスを提供する企業がユーザーのPCにボットネットを仕込む 2013年11月25日
マルウェアを解析した会社の忠告に対する Apple の冷たい仕打ち 2012年04月13日

NTTドコモのd払い、相次ぐ不正利用を受け利用規約を改定、補償を明記。PayPayも追随

Anonymous Coward曰く、

NTTドコモは8月28日、同社が提供する決済サービス「d払い」などにおける不正利用の被害を補償する制度を導入すると発表した(ドコモからのお知らせNHKニュースケータイWatchマイナビニュース)。

同日、ソフトバンクグループ傘下のPayPayも不正利用による被害を補償する制度の導入を発表した(プレスリリースPDF日本経済新聞朝日新聞ITmedia NEWSケータイWatchマイナビニュース)。

NTTドコモのd払いに関しては、昨今NTTドコモを騙るフィッシングSMSによるアカウント乗っ取り、不正利用被害が多発しており同社による注意喚起や、不正利用被害がAmazon.co.jpによるものに集中していたことからAmazonにおけるd払い設定時の認証方法を変更する対策も取られていた。

8月26日にはNHKニュースもこの問題について詳報しており、コメントで補償制度の導入を準備していると明らかにしていた。

PayPayは自社によるアンケート調査で、スマホ決済サービスを利用しない理由の一つに不正利用に対する不安があり、また不正利用発生時の補償対応へのニーズが高いことがわかったため利用規約の改定を決定したとしている。 メルカリが提供するメルペイも7payの不正利用問題を受け補償制度が存在しないことがTwitterなどで問題視されたが、先行して8月15日に利用規約を改定、補償を明記している。

なお、piyologにてキャッシュレス決済サービスの補償制度の状況がまとめられているが、現在規約で補償制度について言及されているのはPayPayおよびd払い、メルペイ、LINE Pay、J-COin Pay、&Payの6社のみだったという。

すべて読む | セキュリティセクション | セキュリティ | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NTTドコモを騙るフィッシングSMSが多発、d払いの不正利用被害多数も補償制度なく、被害届も出せず 2019年08月01日
7payで不正利用被害報告が相次ぐ 2019年07月04日
PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 2018年12月30日

Google Playでダウンロード1億回を超えるアプリにマルウェアが混入

headless曰く、

Google Playでのダウンロード件数が1億回を超える人気アプリ「CamScanner - Scanner to scan PDF」(CamScanner)の最近のバージョンにマルウェアが混入していたことが発覚した。これを受けて現在アプリの公開は停止されている(Kaspersky公式ブログKaspersky SecurelistAndroid PoliceCamScannerの告知ページ)。

CamScannerはスマートフォンのカメラをドキュメントスキャナーのように利用できるようにするアプリ。Kasperskyによると元々は特に問題のないアプリだったが、最近のバージョンでは広告ライブラリを通じて「ドロッパー」と呼ばれる悪意のある処理をするコードが組み込まれていたという。

Kaspersky製品がTrojan-Dropper.AndroidOS.Necro.nとして検出するこのドロッパーは、アプリが起動するとアプリのリソースに含まれるZIPファイル中のコードを展開・実行し、攻撃者のサーバーから追加のコードをダウンロードして実行する。CamScannerでドロッパーが具体的に何をしていたのかについては書かれていないが、侵襲的な広告を表示したり、有料サブスクリプションを登録して携帯電話のアカウントに課金したりといったことも可能とのこと。

Google Playからは既に削除されているが、8月26日に取得されたアプリページのGoogleキャッシュが残っていることから、最近まで公開されていたらしい。ただし、Android Policeの調査によると、マルウェアが混入していたのは6月17日公開のバージョン5.11.3.20190616から7月25日公開のバージョン5.12.0.20190725までで、削除時点で公開されていたバージョンは安全だったようだ。

CamScannerの告知によれば、Android版のバージョン5.11.7に組み込んだAdHubという広告SDKに広告クリックを発生させる悪意あるモジュールが見つかったそうだ。調査の結果、モジュールがドキュメントのデータを流出させた形跡は見つからなかったという。CamScannerではGoogle Playで認定されないすべての広告SDKを削除したとのことで、現在最新版のAPKをGoogle Play外でダウンロード提供している。また、Google Playでも再公開できると見込んでいるという。

すべて読む | セキュリティセクション | セキュリティ | 携帯電話 | IT | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果 2019年06月28日
ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される 2019年05月22日
Google Play プロテクトのマルウェア検出性能は向上していないのか? 2019年04月27日
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日

Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる

Anonymous Coward曰く、

Microsoftが8月20日、多要素認証を使うことでアカウントに対する攻撃の99.9%は防ぐことができる、といった内容のブログを公開した(Microsoft Securityブログ)。

これによると、Microsoftのクラウドサービスに対しては毎日3億件以上の不正なサインインが試みられているという。また、ランサムウェアによる攻撃は一日4000件、マルウェアによる攻撃は1.67億件が発生しているそうだ。こうした攻撃には盗まれたパスワードが使われており、セキュリティ企業などの調査によると、情報漏洩事件のうち81%が盗まれた認証情報によって引き起こされているという。また、複数のサービスで重複したパスワードを使用しているケースも多い。

これを踏まえてMicrosoftは、多要素認証を有効にすることでこうしたパスワードの問題を解決でき、99.9%の攻撃をブロックできるとしている(ZDNetマイナビSlashdot)。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Azureユーザー向けのWannaCrypt対策ガイダンスを公開 2017年05月20日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 2018年08月03日
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
GentooのGitHubアカウントに対する不正アクセス、パスワードが推測しやすかったことが原因 2018年07月08日

Microsoft、Windows 10 E5などの利用者にWindows 7サポート終了後のセキュリティ更新1年目を無料提供

headless曰く、

MicrosoftがWindows 10 Enterprise E5/Microsoft 365 E5/Microsoft 365 E5 Securityのサブスクライバーを対象に、Windows 7サポート終了後の有料セキュリティアップデートオプション1年目(Windows 7 ESU 2020)を無料で提供するプロモーションを実施している(Windows 7 and Office 2010 End of Support FAQ Final [DOCX][PDF]Computerworld)。

プロモーション期間は2019年6月1日~12月31日で、この間に上述のSKU(EDU E5を除く)の有効なサブスクリプションがあればWindows 7 ESU 2020無料提供の資格が得られる。有資格者は2020年1月14日以降、ボリュームライセンスサービスセンター(VLSC)でWindows 7 ESUのキーが表示されるようになるとのこと。プロモーションを利用した場合、2020年分のESUを購入しなくても2021年~2022年のESUを購入可能だ。なお、ESUを購入した場合の提供期間は1年間に固定されているが、プロモーションによるESU提供はサブスクリプション終了時点で終了となる。

プロモーションは3か月近く前から実施されているが、Windows 7サポート終了の特設ページからリンクしているFAQのPDFはプロモーションに関する記述のない古いバージョンであり、Computerworldが取り上げるまで特に注目されなかったようだ。

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 7サポート終了に向けた通知を表示する更新プログラムの提供が始まる 2019年03月27日
Windows 7、サポート終了に向けた通知表示を4月から開始 2019年03月16日
2020年のWindows 7サポート終了、中小企業の45%が認知しておらず 2018年07月06日
Windows 7のサポート終了まで残り半年、相変わらず高いシェアを占める 2019年08月04日
2019年になっても3分の1近くの企業でWindows XPが使われているとの調査結果 2019年08月01日
Windows 7サポート終了に向けた通知を表示する更新プログラムの提供が始まる 2019年03月27日
Windows 7、サポート終了に向けた通知表示を4月から開始 2019年03月16日
2020年のWindows 7サポート終了、中小企業の45%が認知しておらず 2018年07月06日
Windows 7のサポート終了まで残り半年、相変わらず高いシェアを占める 2019年08月04日
2019年になっても3分の1近くの企業でWindows XPが使われているとの調査結果 2019年08月01日

未成年に裸の自撮りを送らせていた小学校教諭、端末が乗っ取られたと主張して警察に相談するもその形跡はなく逮捕される

SNSで知り合った中学1年生女子(12歳)に対し、上半身裸の画像を撮影させて送信させた小学校教諭が児童買春・ポルノ禁止法違反(児童ポルノ製造)の疑いで逮捕された(神奈川新聞NHKしらべえ)。

容疑者は勤務先の校長から出会い系アプリの利用について指摘されたが、端末が乗っ取られたなどと主張し警察に相談したという。しかし警察が端末を調べたところ実際には乗っ取られた形跡はなく、容疑者自身が画像を送信させていたことが分かったため逮捕に至ったようだ。容疑者は容疑を認めている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 教育 | インターネット | SNS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
レベル上げ代行業者、不正アクセスで逮捕。アカウントを乗っ取ってレベル上げ代行の「対戦相手」として利用 2018年11月29日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
児童ポルノサイトを通報しても検挙までの道のりは長い 2018年01月23日
携帯電話内のセクシー画像を検出して保護者に知らせるアプリ 2017年04月28日
レベル上げ代行業者、不正アクセスで逮捕。アカウントを乗っ取ってレベル上げ代行の「対戦相手」として利用 2018年11月29日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
児童ポルノサイトを通報しても検挙までの道のりは長い 2018年01月23日
携帯電話内のセクシー画像を検出して保護者に知らせるアプリ 2017年04月28日

iOS 12.4.1リリース、脱獄を可能にする脆弱性を再修正

headless曰く、

Appleは26日、iOS 12.4.1をリリースした(サポートドキュメントHT210549Pwn20wnd氏のツイートMac RumorsSoftpedia)。

iOS 12.4.1ではiOS 12.3でいったん修正され、iOS 12.4で復活していた脱獄を可能にする脆弱性CVE-2019-8605)が再度修正されている。このほか、同日リリースされたmacOS Mojave 10.14.6 Supplemental UpdateおよびtvOS 12.4.1でもCVE-2019-8605の再修正が行われた。Appleのサポートドキュメントでは元の脆弱性発見者Ned Williamson氏とともに、脱獄ツール開発者のPwn20wnd氏も修正の協力者に挙げている。なお、watchOS 5.3.1も同日リリースされており、重要なセキュリティ更新が行われたと説明されているが、公表されているCVEエントリはないとのこと。

すべて読む | アップルセクション | セキュリティ | スラッシュバック | バグ | アップル | iOS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
iOS 12.3で修正された脆弱性、iOS 12.4で復活していた 2019年08月24日
Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 2016年08月28日
FairPlayの欠陥を利用して非脱獄iOSデバイスにも感染するマルウェア「AceDeceiver」 2016年03月20日

東証、TDnetでの適時開示文書向けにPDFのプロパティを確認する機能を提供

企業が株主に向けて発表する文書のPDFにプロパティとして余計な情報や不適切な情報が含まれていたという事例は過去度々発生している。そのため東京証券取引所(東証)が適時開示文書PDFのプロパティを登録時に確認できる機能を提供するそうだ。

不適切な情報の例は市況かぶ全力2階建で紹介されているが、開示文書のタイトルとは関係ないタイトルが設定されていたり、タイトルに「リーク」や「提出断念」といった文字が含まれていたり、作成者が別企業名だったり、謎の単語が入っているといったケースがあったという。

すべて読む | セキュリティセクション | ビジネス | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
知らぬ間にファイルに摺り込まれる情報、気にしてますか? 2006年11月14日
財務省が公開した「森友学園」交渉記録文書、黒塗りが簡単に外せる状態だった 2018年05月29日
Wordファイルに隠されていたSCOの計画 2004年03月05日

中国のサイバー攻撃集団によるものとみられる医療業界を狙った攻撃、2013年より継続中との分析

セキュリティ企業FIREEYEが公開したレポートによると、ヘルスケア業界がサイバー犯罪グループなどのターゲットになっているという。中国のスパイ組織が医療研究者をターゲットにしていることや、ヘルスケア関連のデータベースが2000ドル以下で闇市場で販売されていることなどもレポートでは言及されている(ニューズウィーク日本版)。

レポートでは攻撃によって盗まれたデータやその価値も取り上げられている。こうした流出データはビットコインで売買されているそうだ。また、中国による攻撃は少なくとも2013年より行われており、そこからほぼ毎年のように確認されているという。

すべて読む | セキュリティセクション | セキュリティ | 医療 | インターネット | IT | 中国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国、世界の通信会社10社以上にサイバー攻撃。富士通やNTTデータも被害 2019年06月28日
翻訳の提案機能で歪められたGoogle翻訳 2019年06月19日
米司法省、中国情報機関高官らを起訴。航空機エンジン情報狙ったサイバー攻撃などで 2018年11月06日
米政府、米大統領選を狙ったロシアのサイバー攻撃に対し「ホットライン」で警告していた 2016年12月21日
アメリカ、中国・ロシアのサイバー攻撃に対する制裁実施を検討する 2015年09月05日

米ホンダ、頭部をキャッチャーミットのように包んで保護する助手席用エアバッグを開発

headless曰く、

Honda North Americaは23日、頭部をキャッチャーミットのように包んで乗客を保護する新設計の助手席用エアバッグを発表した(ニュースリリースSlashGearの記事動画)。

このエアバッグはHonda R&D Americasのオハイオセンターのエンジニアが中心となり、同社のセーフティーシステムサプライヤーの一つであるAutolivの協力を得て開発されたという。膨張する袋状のコンパートメントのみで構成される従来のエアバッグとは異なり、新設計のエアバッグはコの字型に配置した中央(正面)と側面(左右)計3つのコンパートメントに加え、側面2つのコンパートメントをつなぐ布状の「sail panel」という4つのコンポーネントで構成される。このsail panelがキャッチャーミットのように乗客の頭部を捉えて減速し、左右のコンパートメントで頭部を包み込む。これにより斜め前方からの衝撃を受けた場合に乗客が首を激しくひねったり、頭部が滑ってエアバッグから外れたりすることを避け、負傷の可能性を軽減できるという。ホンダでは新設計のエアバッグを2020年に米国向けの新製品で採用開始する計画とのことだ。

すべて読む | セキュリティセクション | セキュリティ | idle | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Apple、端末の落下時にバンパーを繰り出す特許を出願 2017年04月18日
もし人類が自動車事故のような激しい衝突に耐えられるよう進化したら 2016年07月25日
軽自動車に乗っている高齢ドライバーの事故の致死率は普通車に乗っている高齢ドライバーの1.6倍 2018年02月15日

ローソン、店員ゼロでの深夜営業の実証実験を開始

nemui4曰く、

コンビニエンスストアチェーンのローソンが、セルフレジを活用することで深夜の店舗を店員を配置せずに運営する実証実験を開始する(ITmediaEngadget日本版Impress Watch)。

店内には多数の防犯カメラが設置されており、これを外部の警備会社が監視、万引などがあれば警備員が駆けつけるそうな。

この実証実験は、ローソン氷取沢町店(神奈川県)で、8月23日から約半年間実施される。無人で営業されるのは0時から5時の間。現状はバックヤードに1名の店員が常駐するとのことだが、完全無人運営の実験も行われる。

深夜営業中の店舗を利用するには、入店のQRコード、もしくは入り口での顔写真の登録が必要となる。このQRコードはスマートフォン向けの「ローソンアプリ」で表示できるほか、近隣の顧客にはQRコードを印刷したカードを手渡すことも考えられているようだ。また、年齢確認ができないため酒やタバコ類の購入はできず、店内で調理するタイプの商品の提供も行われないという。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
飲食業界ではすでにロボットが人間の職を奪いつつある 2016年12月14日
JR武蔵境駅にキャッシュレス決済専門・セルフレジのみの「NewDays」登場 2019年07月26日
Lenovo、北京のキャンパスに無人コンビニエンスストアをオープン 2018年11月09日
スラドに聞け:最近増えているセルフレジの是非 2017年02月01日
ファミリーマート、会社内での無人販売を開始 2013年09月03日

三井住友カードのアプリに不正アクセス、約1万7000件の不正ログインか

三井住友カードが、同カードの会員向けスマートフォンアプリ「Vpassアプリ」にて不正ログインがあったことを発表した(三井住友カードの発表Yahoo!ニュースINTERNET Watch)。

問題が発覚したのは8月19日で、モニタリングによって同アプリに対する不正ログインが検出されたという。不正ログインに使用されたID・パスワードには実際に同サービスに登録されていないものが多数含まれていたため、リスト型攻撃によるものだと判断されている。

不正ログインの思考総数は約500万件で、不正にログインされた可能性のあるID数は16756件。不正アクセスに成功した場合でも、アクセスできるのは会員の氏名、カード名、クレジットカードの利用情報等のみで、クレジットカード番号の流出はないという。

すべて読む | セキュリティセクション | セキュリティ | 携帯電話 | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「7pay」問題、セブン&アイの対応に懸念の声 2019年08月07日
ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩 2019年07月26日
ユニクロやGUに不正ログイン46万件、住所など流出の可能性 2019年05月21日
MyJCBに不正アクセス、JCBカードのポイントがTポイントに交換される 2014年03月28日
ソフトバンクのユーザー専用サイト「My Softbank」への不正アクセスで344件の情報流出 2014年03月03日
三井住友カード、パスコードを入力しないと使えないクレジットカードを発表 2018年01月10日

Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処

Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている(GIGAZINEITmediaZDNet Japan)。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

すべて読む | アップルセクション | 検閲 | Chrome | セキュリティ | Firefox | Safari | インターネット | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
HTTPS監視装置にセキュリティ低下の危険性 2017年03月24日
Lenovoが中間者攻撃的な挙動をするアドウェアをプリインストールしていたことが明らかに 2015年02月20日
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 2019年08月13日
Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 2017年09月16日

ChromiumベースのMicrosoft Edge、ベータ版の提供が始まる

headless曰く、

Microsoftは20日、Chromiumベースの新Microsoft Edge初のベータ版を提供開始した(Windows Experience BlogMicrosoft Tech Communityダウンロードページ)。

対応OSは既にCanary/Dev版が提供されているWindows 7~10およびmacOS。新機能はCanary/Dev版での品質テストが完了したものだけが追加され、メジャーアップデートの間隔は約6週間おきとなる。これとは別にバグやセキュリティ修正のためのマイナーアップデートも提供される。現在提供されているバージョンは77.0.235.9で、Canary/Dev版(現在バージョン78.0.2xx.x)では1か月ほど前のバージョンになる。新Microsoft Edgeはまだプレビューの段階ではあるものの、ベータ版は日常の使用に耐えるものになっているとのこと。

ベータ版の提供開始に合わせ、Microsoftでは新Microsoft Edgeの脆弱性発見に対する新報奨金プログラム「Microsoft Edge Insider Bounty Program」を発表している。新報奨金プログラムはChrome Vulnerability Reward Programを補完するのが目的とのことで、最新のパッチがすべて適用されたWindows(Windows 7 SP1/8.1/10)またはmacOS上の最新版Microsoft Edge(Dev/Beta)でのみ再現し、Google Chromeでは再現しない脆弱性が報奨金(最高30,000ドル)の対象となる。なお、Windows 10 Insider Preview上の現行版Microsoft Edge(EdgeHTML)を対象としたMicrosoft Edge(EdgeHTML)on Windows Insider Preview Bounty Program(報奨金最高15,000ドル)も引き続き実施されるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | Chromium | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 バージョン1903、プレビュー版Edgeをインストールすると現行版Edgeがスタートメニューで非表示に 2019年07月28日
Microsoft Edge Devビルド、Windows 10上でIEモードが利用可能に 2019年07月13日
ChromiumベースのMicrosoft Edge for macOS、プレビュービルドが提供開始 2019年05月24日
Google Docs、ChromiumベースのEdgeにサポートが終了したバージョンだと表示 2019年05月03日
Mozilla、EdgeがChromiumベースになることに対しGoogleの独占を危惧 2018年12月12日
Microsoft、EdgeブラウザをChromiumベースにすることを発表 2018年12月07日

パスワードリセットを要請された英ISP、なぜか元のパスワードを郵送する

headless曰く、

英セキュリティ企業Cygenta共同設立者のFC氏(Freakyclown)が英プロバイダーVirgin Mediaのアカウント情報を思い出せず、パスワードリセットを要請したところ、なぜか元のパスワードが郵送されてきたそうだ(FC氏のツイートThe Next Web)。

FC氏は数年前にVirgin Mediaでアカウントを設定したまま一度もサインインしたことがなかったため、アカウントの詳細を忘れてしまったという。コールセンターとの通話中にようやく電子メールアドレスだけは思い出し、パスワードリセットを要請。パスワードを郵送するという担当者の言葉を妙だとは思ったものの、FC氏は受け入れたそうだ。しかし、郵送されてきたパスワードを見た途端、自分が設定したパスワードだということを思い出したとのこと。

どのようなパスワードだったのかは説明されていないが、偶然に一致するようなものではなかったようだ。FC氏はVirgin Mediaがパスワードを平文で保存していたことと、パスワードをリセットせずに郵送したことを批判する。この批判に対しVirgin Mediaでは、他人の郵便物を開封するのは違法なので(パスワードの)郵送は安全だ、とTwitterで返信している。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 変なモノ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
Slack、2015年の不正アクセスに関連してアカウントの約1%でパスワードをリセット 2019年07月21日
英AA、パスワードリセット通知の誤送信でサーバーに障害発生 2017年07月01日
秘密の質問の答えはパスワードのように扱うべき? 2016年10月01日

偽サイトに偽の電話番号を掲載することでデジタルアシスタントに偽コールセンターへの電話をかけさせる詐欺手法

headless曰く、

SiriやAlexaといったデジタルアシスタントをだまして偽コールセンターへ電話をかけさせる、という詐欺手法があるそうだ(Better Business BureauのニュースリリースSlashGearMashable)。

デジタルアシスタントは使用者の要求に応じてWeb検索の結果から企業などの電話番号を抽出し、連絡先に登録されていない相手に電話をかけることができる。しかし、見つけた電話番号が本物かどうかをデジタルアシスタントは確認できないため、詐欺師は偽サイトを検索結果に紛れ込ませたり、偽広告を検索結果に表示させたりすることで、偽コールセンターへ電話をかけさせることが可能になるという。

偽コールセンターはいわゆるテクニカルサポート詐欺のほか、航空会社のカスタマーサービスを偽って予約変更料金を送金させようとするようなものもあるそうだ。Better Business Bureauでは偽コールセンター詐欺の被害を回避するためのアドバイスとして、Web検索やデジタルアシスタント任せではなく正規のWebサイトで連絡先を確認すること、偽広告に注意すること、支払いには後で拒否しやすいクレジットカードを使うことを推奨している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 人工知能 | 携帯電話 | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、チャットボットとの会話中に入る「変な間」を解消 2018年04月07日
SiriとAlexaがセクハラ質問に毅然とした態度をとるよう、プログラム変更を求める署名運動 2017年12月10日
Amazon、Echoへの通話機能導入を目指す 2017年10月21日
超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃 2017年09月10日
Microsoft、チャットボットとの会話中に入る「変な間」を解消 2018年04月07日
SiriとAlexaがセクハラ質問に毅然とした態度をとるよう、プログラム変更を求める署名運動 2017年12月10日
Amazon、Echoへの通話機能導入を目指す 2017年10月21日
超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃 2017年09月10日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日

Google Chrome、FTPサポートを削除する計画

headless曰く、

Google ChromeでFTPサポートを削除する計画が進められている(Chrome Platform StatusGoogleドキュメント— Intent to Deprecate: FTP SupportgHacksBleeping Computer)。

Google Chromeの現在のFTP実装では暗号化された接続(FTPS)もプロキシもサポートしていないが、FTPの使用率が低いこともあって機能向上のための投資は不可能だという。影響を受けるすべてのプラットフォームでより高機能なFTPクライアントが利用可能なことも理由に挙げられている。

GoogleはChrome 59でHTTP/HTTPSページでのFTPサブリソース読み込みを廃止するなど、ChromeのFTPサポート機能を徐々に削減している。Chrome 72以降ではFTPサイトでのリソースレンダリングが廃止されており、ディレクトリリスト表示とダウンロードのみが可能となっている。

今後の計画としては、2019年第4四半期にChrome 78でFTPサポートをコントロールするフラグとエンタープライズ向けのポリシーを追加し、プリリリースチャンネルではFTPサポートを無効化する。2020年第1四半期のChrome 80では安定版で順次FTPサポートを無効化していき、第2四半期のChrome 82でFTP関連のコードとリソースをすべて削除するとのこと。

FTPサポート無効化後、Google Chromeは「ftp://」URLを解決できなくなり、既定のハンドラーでURLを開こうとする。Google Chromeが既定のハンドラーに指定されている場合の対応は今後検討するという。プロキシ自動設定(PAC)スクリプトをFTPでダウンロードすることは不可能となるため、ユーザーは別の手段に移行する必要がある。

なお、Chrome Canaryは既にバージョン78だが、現在のところFTP関連のフラグは追加されていないようだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | ソフトウェア | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 2018年04月15日
FFFTP、新たな開発者がバージョン3.0リリース 2018年04月05日
Chrome 63以降ではFTPでのアクセスに対し警告が表示されるようになる 2017年09月19日

Black Hat USA 2019参加者、麻疹ウイルス曝露の可能性

headless曰く、

8月3日~8日に米国・ラスベガスで開催されたBlack Hat USA 2019だが、参加者は麻疹ウイルス曝露の可能性があるようだ(MashableSouthern Nevada Health District)。

Southern Nevada Health Districtの発表によると、麻疹感染が確認された人物が8月1日~6日にBlack Hat会場付近を訪れており、3日夜と5日夜にはBlack Hat会場となったMandalay Bay内のレストランを利用している。Black Hat会場からは少し離れているが、DEF CON 27などのイベントも同時期にラスベガスで開催されており、参加者に注意が呼びかけられている。

すべて読む | セキュリティセクション | セキュリティ | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国各地の保健当局、麻疹に感染した可能性のある人の旅客機利用を止めるため搭乗禁止リストも活用 2019年05月29日
UCLA、麻疹発生で学生や職員を隔離 2019年05月01日
大阪府の高槻赤十字病院、麻疹感染が疑われる患者の診察を「お断り」 2019年03月08日
信仰上の理由から予防接種をしていない信徒の多い宗教団体で麻疹の大量感染 2019年01月29日
「反ワクチン運動」が世界の健康に対する脅威ワースト10入り 2019年01月21日

国産OSS脆弱性スキャナ「Trivy」、競合企業に買収され開発者も同社に雇用されることに

趣味でセキュリティ関連ソフトウェアを開発しオープンソースとして公開したエンジニアの下に、海外のセキュリティ企業からソフトウェアの譲渡や雇用のオファーが来たそうだ。このエンジニアがブログでその経緯を説明している(knqyf263's blog)。

このソフトウェアは「Trivy」という、「コンテナ」と呼ばれる仮想化システム向けの脆弱性スキャンツール。簡単に指定したコンテナ内の脆弱性をスキャンでき、精度も既存のものと比較して高いとされ、公開後国内外で話題となった。

今回このTrivyを買収したのは、米国やイスラエルに拠点を持つAqua Securityという企業。Trivyの比較対象になるようなツールを提供している企業であるが、この企業のCTOから作者の元に連絡が来て、その後ソフトウェアの買収や、同社での雇用がオファーされたという。

最終的にTrivyはAqua Securityに売却されることとなり、作者も同社に雇用されることになったとのこと。Aqua Securityではこのソフトウェアのメンテナンスやそのほかオープンソースソフトウェアの開発を行うことになるという。

すべて読む | オープンソースセクション | オープンソース | ビジネス | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ドワンゴが「C++の啓蒙」専門の社員を雇う 2014年02月14日
アニメ制作会社カラー、Blenderへの移行を推進。理由はコスト的な問題 2019年08月15日
OSS開発プロジェクトの多くは持続可能なほどの収入を得られていないとの指摘 2019年06月19日

セブン-イレブン・ジャパン、7pay問題の「お詫び」として加盟店に金券1万円を配るとの報道

不正利用が話題になったセブン&アイ・ホールディングスのスマートフォン決済サービス「7pay」が9月末でサービス終了することが先に報じられているが、この問題への対応としてセブン-イレブン・ジャパンが加盟店に1万円相当のクオカードを配ることを決めたと報じられている(ITmedia朝日新聞)。

この問題では店頭で対応に追われた店舗もあり、そういったトラブルの「お詫び」としての意味合いのようだ。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | お金 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし 2019年07月09日
7payの登録でおにぎり無料クーポンが貰えるキャンペーン、アカウント作成を繰り返すことで何度でもクーポンを入手できる仕様 2019年07月05日
不正利用が話題になった7pay、9月末でサービス終了へ 2019年08月01日
「7pay」問題、セブン&アイの対応に懸念の声 2019年08月07日

8月のWindows UpdateでVB関係に不具合

8月13日にリリースされたWindowsの更新プログラムを導入した環境で、Visual Basic 6で実装されたアプリケーションやVBAで作成したマクロ、VBScriptで作成したマクロやアプリケーションが応答しなくなる不具合が発生しているという(ニッチなPCゲーマーの環境構築窓の杜)。

Microsoftの発表によると、Windows 10やWindows 8.1、Windows 7 SP1のほか、Windows Serverでもこの問題が発生するようだ。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
配信が始まったWindows 10 May 2019 Update、いくつかの不具合が確認される 2019年05月27日
Windows向けの「令和」元号対応に向けた更新プログラム、一部アプリで不具合が確認される 2019年05月07日
XP以来放置され続けたWindowsの入力機構に関する脆弱性、修正される 2019年08月16日
IE11のVBScriptサポート終了のお知らせ 2019年08月07日

XP以来放置され続けたWindowsの入力機構に関する脆弱性、修正される

Anonymous Coward曰く、

8月13日(米国時間)にリリースされた今月のWindows UpdateではWindows XP以降に存在する重大な脆弱性の修正が行われているため、迅速に適用することが推奨されるようだ(SlashdotSecurity NEXTPC Watch)。

この脆弱性はProject ZeroのTavis Ormandy氏によって発見されたCTextFramework(CTF)に関するものMicrosoftのCVE-2019-1162ページ)。この脆弱性を悪用することで、サンドボックスに関係なく非特権ユーザーが容易に管理者権限を取得できる。

興味深いのは、Windows XP時代からこの脆弱性が存在しており約20年にわたり指摘されなかったことだ。そもCTFの意味すら明文化されていない。おそらくCommon Text Frameworkであろうが、脆弱性の宝庫とあってはCatch the flagと揶揄されても仕方なかろう。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
InteのIvy Bridge以降のCPUに新たな脆弱性が見つかる 2019年08月13日
AMDのCPUにおけるRDRAND命令に不具合、Systemdが影響を受ける 2019年07月17日
Windowsのリモートデスクトップサービスに重大な脆弱性、Windows XP/Server 2003にも修正パッチが出る 2019年05月15日
Microsoft、Windows XPなど旧OS用の新たなセキュリティ更新プログラムをさらに公開 2017年06月16日

世の中には「個人情報保護のためにCookieを使用している」と主張するサイトが多数存在する

世の中には「個人情報保護のためCookieを使用する」というサイトが存在するそうだ(黒翼猫のコンピュータ日記 2nd Edition)。

たとえば、「リクナビ派遣」ではCookieを無効にして同サイトにアクセスすると「当サイトでは個人情報保護と利便性の観点からCookieを使用しています。」という文言が表示されるという。

なお、Cookieは閲覧中Webサイトが送信した情報をブラウザに記録させ、再度のアクセス時にその情報をサーバーに送信する機構であり、Cookieと個人情報保護の間に直接的な関係はない。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
プライバシー重点とされるAndroid Qでも広告主はユーザーの追跡が可能 2019年07月31日
ログリー、「Cookieを使用せずにユーザー属性を推定する技術」の特許を取得 2019年05月14日
2018年中にサードパーティCookieが無効でもWebサービスが正常に動作するか確認を 2018年10月26日

キヤノンのデジタルカメラにランサムウェア攻撃が可能な脆弱性

headless曰く、

Check Point Researchが画像転送プロトコル(PTP)経由でCanonのデジタルカメラにランサムウェア攻撃が可能な脆弱性を発見し、キヤノンが注意を呼び掛けている(Check Point Researchの記事Canonのニュースリリースサポート情報The Verge)。

発見された脆弱性はPTPコマンドにおけるバッファーオーバーフローの脆弱性5件(CVE-2019-5994CVE-2019-5998CVE-2019-5999CVE-2019-6000CVE-2019-6001)、および認証なしに不正なファームウェアを(PTP接続で)インストール可能な脆弱性1件(CVE-2019-5995)。Check Point Researchではデジタル一眼レフカメラEOS 80 Dにランサムウェアをインストールし、SDカード内のデータを暗号化してランサムメッセージを表示するPoCを作成している。

EOS 80 DはUSBとWi-Fiの両方でPTP接続が可能なため、ターゲットのPCにマルウェアを感染させたり、公衆Wi-Fiアクセスポイントと同名の偽アクセスポイントを用意してカメラを接続させたりすることでランサムウェアをインストール可能になる。CanonのファームウェアはAESで暗号化されており、ファームウェアアップデートで使用する機能をSDカードの暗号化にも流用したという。EOSシリーズにはオープンソースでアドオンを開発するMagic Lanternと呼ばれる大規模なコミュニティがあり、ここから得た情報もファームウェア解析に利用したそうだ。

同様の脆弱性はEOS 80 D以外にも、EOSシリーズのデジタル一眼レフカメラ/ミラーレスカメラやPowerShotシリーズで確認されている。CanonではEOS 80 Dの修正版ファームウェアを公開しており、他機種でも準備を進めているとのことだ。Check Point Researchでは他社製デジタルカメラのPTP実装にも同様の脆弱性が存在する可能性を指摘している。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
TI製低電力Bluetoothチップにリモートアクセスを可能にする脆弱性 2018年11月10日
多くのAndroidデバイスはATコマンド経由でハックできる? 2018年08月30日
シャープのロボット掃除機にセッション管理不備の脆弱性 2017年11月21日
電子機器で使われるeMMCフラッシュメモリは「電線の直結」で簡単に外部からアクセスできる 2017年10月03日

Googleの一部サービスでAndroid端末の生体認証機能によるログインが可能に。現時点ではPixel端末のみサポート

Anonymous Coward曰く、

一部のGoogle系サービスで、パスワードの代わりに指紋認証などを使ってサインインできるようになった(ZDNetSlashdot)。

これは、端末の生体認証機能などをWebサービスでのログインなどに利用できるようにする規格「FIDO2」を利用して実現している(過去記事)。

現時点での対応端末はGoogleの「Pixel」のみでだが、今後は別のAndroid端末にもサポートを拡大するという。対応するGoogleサービスも増えるようだ。

すべて読む | セキュリティセクション | Google | セキュリティ | 携帯電話 | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、二要素認証用の「Titanセキュリティーキー」を日本でも発売 2019年08月02日
AndroidがFIDO2認定を取得 2019年02月28日
普及が進むパスワードなし生体認証規格「FIDO」 2018年12月14日

転売や海外での利用が規約で禁じられた東京の3D地図を中国に転売した男性、詐欺容疑で書類送検

国内での利用に限定して販売され、転売も禁止されている東京都心の3次元地図データを購入後に中国へと持ち出して転売した男性が詐欺容疑で書類送検された(産経新聞日経新聞東京新聞)。

この地図データはNTT空間情報が販売しているもので、同社は販売先を国内の利用者に限定しており、転売や譲渡を禁じる内容を含む契約の下で販売しているという。容疑者は元中国籍で、自身が経営する会社のマーケティングに使うとして約200万円で千代田区・中央区・港区と新宿の3D地図データを購入。その後容疑者はデータが記録されたHDDを持って中国に渡航、中国時代に勤めていた企業の元同僚に約200万円で転売したそうだ。

男性はこの元同僚に持ちかけられて転売したと供述しているそうだ。ただ、地図データは輸出規制にはなっておらず、中国への持ち出しや転売自体は違法ではないという。

すべて読む | セキュリティセクション | 日本 | 中国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
iOS 6の地図アプリが大きく劣化、各所で話題に 2012年09月20日
国土地理院がWebブラウザ上でプラグイン不要で閲覧できる3Dデジタル地図「地理院地図Globe」を試験公開 2016年04月01日
ゼンリンが国内主要都市の3Dモデルデータを提供へ 2014年08月28日
中国、国営のオンライン地図サイトをリリース 2010年10月25日

Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ

現在Google ChromeやFirefoxなどでは、Extended Validation証明書(EV証明書)を使ったHTTPSでの接続時に、その証明書の発行先組織名がブラウザのURL欄に表示されるようになっている。しかし、Googleは今後この表示をやめる方針だそうだ(ぼちぼち日記Chromeリポジトリの解説文書)。

これによると、今後はEV証明書を使ったサイトにおいても、URL欄にはその証明書は表示せず、表示される鍵アイコンをクリックして表示されるポップアップ内にその組織名を表示する方式になるという。

Googleはこの変更に向けて大規模フィールドテストを行っており、その結果URL欄での組織名表示は効果がないという結論に至ったそうだ。

すべて読む | セキュリティセクション | ビジネス | Chrome | セキュリティ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 2018年06月07日
EV証明書を使用して既知の企業になりすませる可能性が指摘される 2017年12月16日
Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 2017年05月05日
みずほ銀行のWebサイト、再びHTTPSでのアクセスが可能に 2015年04月13日

InteのIvy Bridge以降のCPUに新たな脆弱性が見つかる

Anonymous Coward曰く、

IntelのIvy Bridge以降のCPUに、新たな脆弱性「CVE-2019-1125」が見つかった。この脆弱性はCPUの投機実行に関連するもので、以前話題になった「Spectre」の亜種に当たるという(PC Watch)。

セキュリティ企業Bitdefenderによると、この脆弱性を悪用することで「SWAPGS Attack」という新たなサイドチャネル攻撃が可能になるそうだ(Bitdefenderの発表)。SWAPGS Attackはその名の通り「SWAPGS」命令を使うもので、Ivy Bridge以降のCPUでは、このSWAPGS命令をユーザーモード内で投機実行することがあるために問題が発生するようだ。また、この攻撃はSpectreやMeltdownといった既知の脆弱性に対する緩和策が導入されていても実行できるという。

Windowsにおいては、すでにこの問題に対処するアップデートがリリースされている。また、BitdefenderはApple製デバイスにおいてはこの影響を受けないとも記している。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | Intel | バグ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows月例更新でVIAプロセッサ向けSpectre/Meltdown対策が盛り込まれる 2019年04月19日
Windows 10 バージョン1809、Spectre 2対策でRetpolineのサポートを追加 2019年03月07日
Googleの研究者ら曰く、Spectre脆弱性の修正は難しい 2019年02月28日
CPUのSMT機能に関連した脆弱性が見つかる、SSL秘密鍵を盗む実証コードも公開 2018年11月07日
次期Windows 10大型アップデートでは新たなSpectre対策が導入される予定 2018年10月23日

マイクロソフト、IoT経由で企業ネットワークへの侵入を試みるロシアハッカーを発見

Anonymous Coward曰く、

Microsoftのサイバーセキュリティ部門の1つであるMicrosoft Threat Intelligence Centerは、ロシア政府の支援を受けているとみられるハッカー集団が企業ネットワークへの侵入手段としてIoTデバイスを攻撃していると発表した。さらに価値が高い他の標的にアクセスするのが目的とみられる。

これらの攻撃を実行した集団について、Microsoftは「Strontium」と呼んでいるが、一般には「APT28」や「Fancy Bear」という名称でも知られている。Microsoftは、同社スタッフが2019年4月、Strontiumが「複数の顧客の拠点において一般的なIoTデバイスへの侵入」を試みているのを発見したとしている。

同社はこれらの攻撃を初期段階で見つけてブロックしたため、調査担当者らはStrontiumが侵入したネットワークから何を盗もうと試みたのかを特定できなかったという(Microsoft Threat Intelligence CenterArs TechnicaSlashdot)。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ハッカーがロシア諜報機関の下請けに攻撃、盗聴向けの各種プロジェクトが暴かれる 2019年07月27日
Anonymous、ロシアの政治家などがやり取りしたメッセージなどのデータを公開 2019年01月31日
ロシア人ハッカー集団、米送電網への攻撃も 2018年08月08日
Ciscoのネットワーク機器を狙った大規模サイバー攻撃が発生、「選挙を邪魔するな」とメッセージを残す 2018年04月11日
総務省、IoT機器調査「NOTICE」の実施状況を発表 2019年07月02日
多くのIoT機器はセキュリティ対策が不十分 2019年02月07日

Capital Oneの個人情報漏洩事件でGitHubが訴えられる

headless曰く、

Capital Oneの個人情報漏洩事件に関して、Capital Oneに加えてGitHubを被告とするクラスアクション訴訟が米国で提起された(訴状: PDFComputingRegister)。

本件ではCapital One顧客の個人情報を含むファイルがGitHubで公開されており、これに気付いたGitHubユーザーが7月17日にCapital Oneへ通知したことで発覚した。侵害されたデータがGitHubに投稿されたのは4月21日頃で、3か月近くにわたり放置されていたことになる。

訴状ではGitHubが社会保障番号など明らかに不正取得されたデータが同社サイトで公開されないようにするための監視を怠り、適切な個人情報保護を行わなかったことを指摘。こういった行為が米盗聴法やカリフォルニア州法に違反することも指摘し、クラスアクション訴訟としての認定や違法行為などの認定・差止、損害賠償などを求めている。

なお、この事件では情報漏洩の原因がCapital Oneが独自に構築していたWebアプリケーションファイアウォール(WAF)の設定ミスだったことが明らかになっている(piyologKrebs on Security)。

詳細は公開されていないようだが、設定ミスを悪用することで本来外部からはアクセスできないサーバーにアクセスでき、これによって同社がAWS上で運用しているインスタンスのメタデータを取得することができたという。

すべて読む | セキュリティセクション | 法廷 | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束される 2019年07月31日
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 2017年02月26日
Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 2015年03月06日
米 Rackspace、「GitHub が特許侵害をしている」として訴えられる 2012年10月09日

相次ぐ銃乱射事件を受け、Cloudflareが掲示板8chanへのサービス提供を打ち切り

Anonymous Coward曰く、

コンテンツ配信サービスを提供する米Cloudflareが8月5日、画像掲示板8chanへのサービス提供を打ち切ることを発表した(CloudflareITmediaCNET JapanSlashdot)。Cloudflareは「理由はシンプルだ。彼らは自身が無法であることを証明しており、その無法により何度も悲劇が起きている」と声明を出しており、8chanが銃乱射事件に影響を与えたことからのサービス提供打ち切りのようだ。

8chanは2013年にフレデリック・ブレナン氏が立ち上げ、現在はジム・ワトキンス氏(現5ちゃんねるの管理人)が運営している掲示板サイト。同サイトでは、8月3日にテキサス州で発生した銃乱射事件の容疑者とみられる人物が憎悪に満ちた「マニフェスト」が投稿されており、3月にニュージーランドで起きた起きた乱射事件でも同様のことがあったとされる。

この影響で同サイトはアクセス不能の状態となっており、運営はTwitterで「解決策を探している間、今後24〜48時間はサイトがダウンする可能性がある」と告知している

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
トランプ大統領、「銃乱射犯を事前に検知する技術」の開発を求める 2019年08月07日
米国で銃乱射事件が相次ぐ、トランプ大統領は原因の1つとしてビデオゲームを挙げる 2019年08月06日
Cloudflare、無料VPNサービスを発表 2019年04月04日
セールスフォース、規約変更で同社クラウドサービス利用者の銃販売を禁止へ。米国銃器販売業者に影響 2019年06月04日
一部Twitterユーザー、ヘイトスピーチ対策として居住地をドイツに設定する 2019年08月08日
一部Twitterユーザー、ヘイトスピーチ対策として居住地をドイツに設定する 2019年08月08日

ふるさと納税の返礼品となったエアガンに対し「危険では」との声、結局提供中止に

岩手県花巻市のエアーソフトガンメーカーKTWが、ふるさと納税の返礼品としてウィンチェスターM1873カービンを模したエアーソフトガンを提供したところ、安全性を疑問視する声が出たという。そのため同市は返礼品としての取り扱いを中止したそうだ(KTWのTwitterアカウントによる投稿)。

エアーソフトガンはプラスチック製の弾を発射できる遊戯銃であるが、日本においては銃刀法や各種条例で規制されており、業界団体も自主規制を行っている。そのため公に流通しているものに関しては殺傷能力が大きく制限されており、一般的には安全性の問題はない。そのため、KTWはこれに対し遺憾の意を示している(KTWのTweet)。

すべて読む | セキュリティセクション | 日本 | セキュリティ | ニュース | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
薬莢にガスを詰めるタイプの新型エアガン、「実弾を撃てる」として銃刀法違反容疑に 2008年11月12日
警察庁、改造エアガンを規制する銃刀法改正案を準備 2006年02月07日
実弾を使い、FPS ゲームをプレイ 2009年08月11日

横浜市大病院、メールアドレスの入力ミスで患者の個人情報を誤送信

Anonymous Coward曰く、

横浜私立大学付属病院の医師が、患者3275人の個人情報を使用者不明のメールアドレスに誤送信していたことが明らかになった(朝日新聞ヨミドクター毎日新聞)。

本来こういった情報はメールではなく郵送などでやり取りするはずだったが、実際にはメールで個人情報がやり取りされていたという。誤送信した情報は膀胱がん手術を受けた患者の情報で、氏名や治療内容、再発の有無などが含まれていたという。

これらの情報は20病院の医師22人で共有していたものだったそうだ。誤送信の原因はメールアドレスの入力間違いで、送信先として指定した22人分のうち13人分のアドレスが間違っていたという。そのうち11のアドレスには届かなかったが、2つのアドレスについては「戻らず」、その後連絡を試みたメールについても返信がない状況だそうだ。

すべて読む | セキュリティセクション | 医療 | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
プレミアムイベントの当選メールが送信されず、来場者がゼロになるトラブル 2018年07月21日
To:欄を使ったプライバシポリシ変更通知メールの一斉送信でメールアドレス漏えい 2018年06月12日
初歩的ミスによるメールアドレス漏えい相次ぐ 2009年06月08日

「7pay」問題、セブン&アイの対応に懸念の声

先日、セブン&アイ・ホールディングスがスマートフォン決済サービス「7pay」のサービス終了を発表したが、これに関連するセブン&アイの対応について懸念の声が出ている(Impress Watch)。

まず指摘されているのが、不正アクセスがリスト型攻撃によるものだと発表されたこと。パスワードを使いまわしておらず、リスト型攻撃では不正アクセスを受けないはずのユーザーも被害にあっていることが報告されているが、セブン&アイ側がこれらについては曖昧な言及しかしていない。そのため、リスト型攻撃とは別の大きな脆弱性が存在しているのではないか、と疑う声が出ている。

また、同社は外部のセキュリティ会社とも協力して調査を行ったが、その結果は公開されていない。そのため、7payに実際にどのような問題があったのか、またそれ以外のシステムには問題はないのか、外部のユーザーが判断できない状況になっている。

こういった状況から、セブン&アイの既存サービスにおけるセキュリティについても疑う声や、セブン&アイ側は実際にシステムにどのような問題があったのか理解できていないのではないかと疑う声が出ている状況となっている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
7payで不正利用被害報告が相次ぐ 2019年07月04日
不正利用が話題になった7pay、9月末でサービス終了へ 2019年08月01日
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される 2019年07月24日
セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道 2019年07月12日
7payの登録でおにぎり無料クーポンが貰えるキャンペーン、アカウント作成を繰り返すことで何度でもクーポンを入手できる仕様 2019年07月05日
7payで不正利用被害報告が相次ぐ 2019年07月04日
不正利用が話題になった7pay、9月末でサービス終了へ 2019年08月01日
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される 2019年07月24日
セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道 2019年07月12日
7payの登録でおにぎり無料クーポンが貰えるキャンペーン、アカウント作成を繰り返すことで何度でもクーポンを入手できる仕様 2019年07月05日

Facebook、WhatsAppにバックドアを設定する計画

Anonymous Coward曰く、

Facebookのメッセンジャーサービス「WhatsApp」に、バックドアを設定する動きがあるという。この機能では、特定のアルゴリズムを利用して、暗号化通信の会話を適切に終了させることができるとされる。具体的には、エンドツーエンドの暗号化クライアント自体に、フィルタリングアルゴリズムが含まれる。ブラックリストに含まれる言葉があるとアプリケーションを停止する仕組みであるようだ。

こうした要求はマーク・ザッカーバーグが主導しているとされる。WhatsAppに関しては、インドで偽情報が拡散し死亡する事件が起きるなどの問題が発生、英国では、ロンドン橋におけるテロ事件で犯人たちがWhatsAppを経由して連絡を取り合っていたとされる。このため、Facebookには各国政府から対策が求められてきた背景がある。実際に上記のようなフィルタリングシステムが搭載されれば、各国政府からの要求には対応しやすくなる。

The Guardianによると先日、いわゆるファイズ・アイズと呼ばれる国々でテロリズムおよび児童虐待と闘うことをテーマにした会議が開催された。この会議では、警察などがWhatsAppへの特別なバックドアアクセスや、その他の暗号化された通信を許可するよう求める決議が出されたという。この会議は非公開で行われたため正確なことは不明だ。しかし、英国の閣僚は、先のロンドンテロ事件からWhatsAppについて特に強い懸念を持っていることは分かっている(ForbesThe GuardianSlashdot)。

すべて読む | セキュリティセクション | セキュリティ | Facebook | インターネット | IT | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
各国政府機関が愛用するスマートフォン用スパイウェア、クラウドのデータも取得可能に 2019年07月21日
テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 2019年03月03日
WhatsApp、偽ニュース対策としてメッセージの転送制限を世界中で適用 2019年01月25日
英諜報機関による通信傍受案、AppleやGoogleなどのIT大手が拒否する書簡を公開 2019年06月05日
インド政府、政府機関に対し暗号化通信などの傍受を認める 2018年12月28日

「表現の不自由展・その後」に対する脅迫FAXの送信元が特定できないという話が話題に

愛知県で開始されている芸術祭「あいちトリエンナーレ2019」の企画の1つであり、過去に公共の文化施設での展示が排除された作品などを展示不許可となった理由と共に展示した「表現の不自由展・その後」に対し脅迫などがあり、その結果展示が中止となった。出展された作品についてはWebサイトで公開されているが、天皇や慰安婦を表現した作品などが含まれており、これに対し抗議の声も出ていた(ハフィントンポスト)。

また、中止の理由の1つとして、FAXで「ガソリン携行缶を持っていく」という脅迫があったことが報じられているが、この脅迫文の送信元が特定できないという話も話題になっている

これについては真偽のほどは不明だが、インターネット経由でFAXを送信できるようなサービスを使って匿名の回線を使えば足がつかないのではないか、とも推測されている。

なお、FAXだけでなくメールでもガソリンを撒くという脅迫メールも届いているという(朝日新聞AbemaTIMES)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国の一部分野ではFAXは未だに現役 2018年11月21日
JPCERT/CC、FAXでのインシデント報告受付を11月21日で終了 2018年11月07日
電話回線からFaxを通じてローカルネットワークを攻撃する「Faxploit」 2018年08月16日
Twilio、Faxの送受信を可能にするAPIのベータ版を公開 2017年04月01日

Google、二要素認証用の「Titanセキュリティーキー」を日本でも発売

Anonymous Coward曰く、

二要素認証で利用できる物理セキュリティドングル「Titanセキュリティーキー」が日本でも発売された。価格は6,000円で、Googleストアから購入できるITmediaSlashdot)。

昨年7月に米国で販売開始されていた製品で、Googleのアプリやサービスだけでなく、認証規格「FIDO」に対応するさまざまなサービスおよびハードウェアで利用できる。USB接続のセキュリティキーとBluetooth接続のセキュリティキーがセットになっており、片方をメインで使用し片方は安全に保管することが推奨されている。

GoogleはTitanセキュリティキーについて、ハッキングやフィッシングからGoogleアカウントを保護するのに最も優れた方法の1つだとし、Google内で運用されているものと同等レベルのセキュリティを提供するという。

すべて読む | セキュリティセクション | ハードウェア | Google | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
AndroidがFIDO2認定を取得 2019年02月28日
普及が進むパスワードなし生体認証規格「FIDO」 2018年12月14日
クロネコメンバーズの二段階認証、スマホ向けログイン画面には実装されていなかった 2019年07月29日
JALが携帯電話を使わない二段階認証を採用 2014年08月04日

Windows Defender、AV-TESTで満点を初めて獲得

headless曰く、

AV-TESTによる家庭向けWindowsアンチウイルスソフトウェアのテスト結果6月分で、Windows Defenderが初めて満点を獲得している(リポートSoftpedia)。

AV-TESTのテストはマルウェアに対する防御率・検出率を評価する「Protection」および、実行による速度低下の小ささを評価する「Performance」、誤検知の少なさを評価する「Usability」の3カテゴリで各6点満点、合計18点満点で評価される。今回のテストはWindows 10を対象に5月と6月に実施された。

Windows Defender/Microsoft Security Essentialsは2013年から2015年にかけてProtectionのスコアが非常に低くなっていたが、最近2年間は常に5点以上で推移している。PerformanceとUsabilityは以前から比較的高い評価を受けており、トッププロダクトの認定を獲得することも増えている。今回テストされたバージョン4.18は防御率・検出率ともに100%、誤検知0で速度低下も小さく、Microsoft Security Essentialsを含めて初の18点満点となった。

今回、Windows Defender以外で満点を獲得したのは、F-Secure SAFE 17、Kaspersky Internet Security 19.0、Norton Security 22.17の3本。17.5点でAvast Free Antivirus 19.5とAVG Internet Security 19.5、Bitdefender Internet Security 23.0、Trend Micro Internet Security 15.0、VIPRE AdvancedSecurity 11.0の5本が続き、これら9本がトッププロダクトに認定されている。今回テストされたのは合計20本であり、トッププロダクトが半数近くを占める。

16点未満はPC Pitstop PC Matic 3.0(14点)、Malwarebytes Premium 3.7.1(13点)、Webroot SecureAnywhere 9.0(11.5点)のみで、これらの製品も推奨プロダクトの認定は獲得している。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ソフトウェア | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Play プロテクトのマルウェア検出性能は向上していないのか? 2019年04月27日
AV-TEST、Spectre/Meltdown脆弱性をターゲットにした139種類のサンプルを発見 2018年02月08日
AV-TESTによる家庭向けPCセキュリティ製品耐久テスト、1位はKaspersky 2017年08月25日
Microsoftのセキュリティー製品の検出性能は向上している? 2016年01月30日
Windows 10のアンチウイルスソフトウェア、高評価なのは? 2015年11月28日

固定ネット回線が遅い場合、攻撃により大量のアップロードが発生している可能性がある

朝日ネット技術者ブログによると、インターネットに接続された機器が数百GBにも上るアップロードトラフィックを発生させるという事例があるそうだ。

事例としてはNTPの脆弱性を悪用した攻撃の踏み台にされているケースや、オープンリゾルバを使ったDoS攻撃に使われているケースなどがあるという。また、LDAPサービスを誤ってインターネットに公開していたり、UPnPで使われるSSDPサービスを悪用されるといったケースもあるという。

対策方法としては、機器のファームウェアを最新のものに更新することが挙げられている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
DoS攻撃元となっていた第三者のネットワークカメラを勝手にシャットダウンするのは不正アクセスか 2018年11月19日
コレガの無線LANルーターに脆弱性、サポート終了機種のため使用中止や設定変更を呼びかけ 2016年06月25日
総務省、IoT機器調査「NOTICE」の実施状況を発表 2019年07月02日

8割近くの企業は電子メールのなりすましを防ぐDMARCを採用していない

Anonymous Coward曰く、

電子メールにおける「なりすまし」を防ぐための技術として「DMARC」があるが、世界の企業でこれを採用している例はまだ少ないという。

セキュリティ分析会社250okが、Fortune 500にランクインしている企業や米国政府などが使用するドメインを対象にDMARCの利用状況を調査した。それによると、約79.7%がDMARCを利用していないという(調査結果PDF)。これは、ほとんどの企業がビジネス用電子メールのBEC攻撃、フィッシングEメール、およびEメール詐欺に対して脆弱であることを意味している。

DMARCの普及が進まないのは、DMARCを採用するメリットがあまり理解されていないためだという。それでもDMARCの採用率は、以前より改善しているそうだ。FTCの2017年の調査データによると、重要なオンラインプレゼンスを持つ569の企業のうち、自社ドメインにDMARCポリシーを展開しているのは10%だった。また、2018年11月に行われたAgariのレポートでは、Fortune 500企業の半数がDMARCをサポートしていたという。

ただし、偽装ドメインからのスパム、フィッシング、および詐欺を防ぐためのポリシーを設定しているのは、そのうちの13%に過ぎないとのことで、まだまだ改善の余地があるようだ(ZDNetSlashdot)。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ 2015年11月19日
東京都がSMSで納税催告、詐欺に活用される可能性があるとして識者から懸念の声 2019年07月04日
オレオレ詐欺で犯人が女性の親族になりすました事件はほとんどない 2016年10月19日

不正利用が話題になった7pay、9月末でサービス終了へ

不正利用問題が発覚したセブン&アイ・ホールディングスのスマートフォン決済サービス「7pay」について、9月末でのサービス終了が発表された(セブン&アイ・ホールディングスの発表Engadget日本版ITmedia)。

記者会見では、不正利用の被害額が3861万5473円、被害人数は808人だったことや、原因はリスト型攻撃だったと結論に達したこと、先日報じられていたソースコードの流出が事実だったことなどが伝えられた。また、サービス廃止の要因としては「認証そのものに脆弱性があること」だとしている。

一方で、他のサービスで使用されていないIDやパスワードを設定していたにも関わらず不正利用されてしまったケースについては説明されていない。また、Twitterで指摘されていた「チャージしていない人が決済できてしまった」問題については7payに関連する問題ではないと説明されている。

なお、同グループの各サービス横断で使える「7iD」については「他のサービスと比べても十分なセキュリティレベルの水準に達していると内外で評価されている」と主張されている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 携帯電話 | IT | お金 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
7pay問題を扱った記事に対し「それはウォーターフォール・モデルではない」との指摘 2019年07月18日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし 2019年07月09日
7payで不正利用被害報告が相次ぐ 2019年07月04日
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
7pay問題を扱った記事に対し「それはウォーターフォール・モデルではない」との指摘 2019年07月18日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし 2019年07月09日
7payで不正利用被害報告が相次ぐ 2019年07月04日
7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される 2019年07月31日
7pay問題を扱った記事に対し「それはウォーターフォール・モデルではない」との指摘 2019年07月18日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし 2019年07月09日
7payで不正利用被害報告が相次ぐ 2019年07月04日
オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される 2019年07月24日

2019年になっても3分の1近くの企業でWindows XPが使われているとの調査結果

IT関連コンサルタント事業を行っているSpiceworkdsによる「The Future of Network and Endpoint Security」というレポートによると、32%の組織で少なくとも1台以上のWindows XPマシンが稼働しているという(TecgRepublicGIGAZINE)。

なお、2020年にサポートが終了するWindows 7が稼動している組織は79%で、これはWindows 10の78%を上回っているという。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
SteamのOSシェア、Windows 10が70%を超える 2019年07月06日
3月のデスクトップOSシェア、Windows XPがLinuxと同レベルまで減少 2019年04月07日
1月のデスクトップOSシェア、Windows 10が40%を超える一方でWindows 7も微増 2019年02月07日
サポート終了まで残り1年のWindows 7、依然として高いシェアを保つ 2019年01月14日

NTTドコモを騙るフィッシングSMSが多発、d払いの不正利用被害多数も補償制度なく、被害届も出せず

先日、フィッシング詐欺被害にあったにも関わらず被害者ではないとして被害届を受理されないという事案が発生していることが話題となったが、昨今携帯電話のキャリア決済を悪用するフィッシング詐欺が多発しているという(西日本新聞)。

偽サイトに誘導するようなSMSを送りつけ、そこでキャリア決済に必要なIDやパスワードの入力をさせるという手口。キャリア決済には限度額が設定されているが、たとえばNTTドコモのd払いの場合、クレジットカード登録がない場合の限度額は月あたり最大10万円となっているとのことで、被害者はこれに近い金額が請求されているようだ。対策としてはキャリア決済を無効にするなどの方法があるという(piyolog)。

こういったキャリア決済を悪用したフィッシング詐欺の場合、ユーザーが被害を受けたとしても規約上はユーザーの責任となり損失の補償などはないという。また、被害者はキャリアや不正使用によって購買が行われたAmazonなどのEC事業者という扱いになるそうで、フィッシング詐欺を受けたユーザーは被害届を出せないという状況になっているようだ(piyologの続報)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 携帯電話 | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
フィッシング詐欺被害にあったにも関わらず被害者ではないとして被害届を受理されないという事案 2019年07月24日
スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中 2018年06月29日
InfoSec Europe会場での調査、セキュリティ担当者の8割は重役がCEO詐欺の被害にあう可能性があると回答 2016年07月03日
Snapchat従業員、同社CEOをかたるフィッシングメールにだまされて従業員の個人情報を外部へ送信 2016年03月04日

ペットボトル入りの水の賞味期限は「中身が蒸発して内容量が規定以下になるまでの期限」

Anonymous Coward曰く、

ペットボトル入りの水は常温で保管しても問題ないことはよく知られているが、賞味期限は設定されている。しかし、この賞味期限が経過した後でも、問題なく飲用できるという(Yahoo!ニュース)。

なぜペットボトル入りの水に賞味期限が設定されているのかというと、保管の過程で気化した水がペットボトルから漏れ出ていくことで中身が減少し、それによって中身の量が表示されている内容量を下回ることがあるためなのだそうだ。つまり、賞味期限を越えたペットボトル入りの水は内容量が表示以下になっている可能性はあるものの、品質に問題はないという。

とはいえ、たとえば「これは20年前の水です」と言われると躊躇してしまいそうな気もするので、適当なサイクルで上手く消費するのが良いような気もする。

すべて読む | セキュリティセクション | セキュリティ | ニュース | 広告 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「平成最後の日」に賞味期限を迎えるポテトチップスが発売される 2019年02月04日
米陸軍研究所、常温保存で賞味期限3年間のピザを開発中 2014年02月17日
飲料の賞味期限が「年月日」から「年月」に 2013年03月08日
牛乳の消費期限を大幅に伸ばす殺菌技術 ? 2011年03月01日

7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される

セブン&アイ・ホールディングスが7月30日、傘下の各種サービスで共通利用できる「7iD」利用者の全パスワードを強制的にリセットしたことを発表した(発表PDFITmedia)。セキュリティ強化の一環とされているが、なぜパスワードリセットを行ったかの具体的な説明はない。また、あわせてパスワードの設定条件の変更も行ったという。

一方でこれに関連して複数のトラブルが発生しているようだ(Togetterまとめ)。その中でも大きいものとして、パスワードを再設定しようとして誤って新規にアカウントを作成してしまい、7payの残高やクーポンが消えてしまったように見えるという問題が話題となっている。なお、セブン&アイ・ホールディングスによると残高やバッジ、クーポンなどが消えたということはないという(ITmediaの別記事)。

また、パスワード再設定の際には生年月日と電話番号、IDの入力が必要で、これらを正しく入力するとメールでパスワード再設定メールが届くのだが、このメールが届かないというトラブルも発生している(Togetterまとめ)。セブンネットショッピング時代は生年月日のうち年と月のみが登録されており、この時代にアカウントを作成したユーザーについてはオムニ7への以降後勝手に生年月日のうち日がが「1日」に設定されていたという報告や、登録メールアドレスを変更していたにも関わらず初回登録時のメールアドレスにパスワード再設定メールが送信されていた、といった報告があるようだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 携帯電話 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される 2019年07月24日
7pay問題を扱った記事に対し「それはウォーターフォール・モデルではない」との指摘 2019年07月18日
セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道 2019年07月12日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payの登録でおにぎり無料クーポンが貰えるキャンペーン、アカウント作成を繰り返すことで何度でもクーポンを入手できる仕様 2019年07月05日
7payで不正利用被害報告が相次ぐ 2019年07月04日

米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束される

Anonymous Coward曰く、

米大手金融機関Capital One Financialで、不正アクセスによる大規模な個人情報漏洩事件が発生した。漏洩件数は1億600万件にも上り、大手銀行による情報漏洩事件としては過去最大規模だという(日経新聞TechCrunchBloombergReuters)。

容疑者はすでにFBIに拘束されているとのこと。漏洩したデータは米Amazon Web Services(AWS)のクラウドサービスである「Amazon S3」上に保管されていたものだったという。この容疑者は米Amazon.comの元従業員都のことだが、AWSはAWSのシステムを狙った攻撃やAWSの脆弱性によるものではないと述べている。

すべて読む | セキュリティセクション | セキュリティ | クラウド | 情報漏洩 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
原子力規制委員会の非公開文書がクラウドソーシングサイト経由で流出 2015年03月31日
多くの企業で内部犯行による情報漏洩などに対する問題意識が高まりつつある 2015年03月27日
Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 2015年03月06日

クロネコメンバーズの二段階認証、スマホ向けログイン画面には実装されていなかった

先日ヤマト運輸の顧客向けサービス「クロネコメンバーズ」が不正アクセスを受ける事件があった(過去記事)。このサービスでは二段階認証によるセキュリティ強化が行われたものの、携帯端末向けサイトやアプリでは二段階認証を設定していても二段階認証を行わずにログインすることができたという(Togetterまとめ)。

クロネコメンバーズの「よくあるご質問(FAQ)」ページによると、「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩 2019年07月26日
Googleが使い勝手の良い二段階認証を導入。PCのサインインをスマホ側で承認可能に 2016年06月23日
JALが携帯電話を使わない二段階認証を採用 2014年08月04日
Twitterの2段階認証、企業などの公式アカウントでは役に立たない? 2013年05月26日

ハッカーがロシア諜報機関の下請けに攻撃、盗聴向けの各種プロジェクトが暴かれる

Anonymous Coward曰く、

「0v1ru$」と名乗るハッカーが7月13日、ロシアの国家諜報機関、ロシア連邦保安庁(FSB)の請負業者SyTechに侵入して7.5TBものデータを奪った。0v1ru$はSyTechのホームページを卑下た笑いをした画像に書き換え、そのスクリーンショットを添えてツイートした(このツイートおよび0v1ru$のアカウントは既に削除されている)。SyTechのサイトは攻撃後、閉鎖されたままとなっている(FossbytesBBCロシアITmediaSlashdot)。

FSBはソビエト時代の諜報機関KGBの後継機関であり、米国の連邦捜査局(FBI)と英国の保安局軍情報部第5課(MI5)などと同様の組織だ。彼らの仕事の多くは国内外での電子監視などにある。0v1ru$は別のハッカー集団Digital Revolutionとデータを共有し、Digital Revolutionが複数のメディアにこのデータを提供した。いずれもSyTechがFSBと関連する研究所から請け負ったプロジェクトに関するもので、BBCロシアによるとこれには次のようなものが含まれているという。

  • Nautilus:Facebook、LinkedIn、MySpaceなどからデータを収集するために2009年から2010年の間に開始されたプロジェクト
  • Nautilus-S:Torユーザーの匿名化を解除するための研究プロジェクト
  • Nadezhda:国外のインターネットとのつながりを視覚化、それらを分離できるようにするための計画
  • Reward:BitTorrent、Jabber、OpenFT、ED2KなどのP2Pネットワークに侵入、操作を行う
  • Mentor:FSBの通信諜報を司る第71330部隊のために開発されたもの。一定のフレーズを含む電子メールアカウントを監視することができる
  • Tax-3:連邦税務署にある要人の個人情報を手動で削除する機能を作り出すプロジェクト

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
平昌オリンピック開会式を狙ったサイバー攻撃は北朝鮮を装ったロシアによるものだったという説 2018年03月01日
Kaspersky Labのネットワークでロシアやイスラエルが諜報合戦を繰り広げていたとの報道 2017年10月14日
オバマ大統領、大統領選挙を狙ったロシアのサイバー攻撃を調査するよう命令 2016年12月16日
モスクワ中心地ではGPS妨害システムが運用されている? 2016年11月09日

ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩

ヤマト運輸の顧客向けサービス「クロネコメンバーズ」でリスト型攻撃によるものと思われる不正アクセスが発生した(ヤマト運輸の発表ITmedia朝日新聞INTERNET Watch)。

ヤマト運輸の発表によると7月23日に不正なアクセスが検出され、緊急の措置として発信元IPアドレスからのログインを遮断する措置を取ったという。調査の結果、他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃だったことが分かったそうだ。

不正ログインの試行件数は約3万件で、実際に不正ログインされた件数は3467件とのこと。これにより、同サービスに登録している個人情報が流出した可能性があるという。

不正アクセスされたアカウントについては、パスワードを変更しないとログインできないよう対策を行ったとのこと。また、同社は利用者に対し「定期的なパスワードの変更」を求めるとともに、他サービスや過去に使ったパスワード、容易に推測できるパスワードの使用を控えるよう要請している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ユニクロやGUに不正ログイン46万件、住所など流出の可能性 2019年05月21日
MyJCBに不正アクセス、JCBカードのポイントがTポイントに交換される 2014年03月28日
ソフトバンクのユーザー専用サイト「My Softbank」への不正アクセスで344件の情報流出 2014年03月03日
JALマイレージバンク、不正アクセスによりマイルが盗まれる被害 2014年02月04日

放火被害の京アニ第1スタジオ、建物や設備に消防法令状の問題はなく防火・防災に熱心な事業所として表彰されていた

Anonymous Coward曰く、

放火事件により大きな被害を出した京都アニメーションの第1スタジオだが、京都市消防局は市議会で同社の防火対策に消防法令状の問題は無く、また過去に防火・防災に熱心な優良事業所として表彰していたことを報告している(京都新聞スポニチTogetterまとめ

この事件では、大きな犠牲が出たことから、一部で防火対策の不備を指摘する声があるが、消防は螺旋階段に火災時に煙の広がりを防ぐ防煙垂壁が取りつけられるなど、適切な対策が行われていたと説明。また、同社は防火・防災訓練をきっちりと行っており、2014年には優良事業所の一つとして表彰も受けていたという。報告からは、テロの前には、一般的な防火対策が有効ではないことを伺わせる。

なお、死者数は最終的に34人に達したが、事件から4日を経た22日時点でも、いまだ被害者全員の身元特定は完了していないという。しかし「らき☆すた」の武本康弘監督らが安否不明として報じられている(産経新聞ITmedia)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
京都アニメーションのスタジオで火災、負傷者多数 2019年07月18日
JR、可燃性液体の持ち込みを全面禁止へ 2016年02月20日
都内JR施設への放火容疑で男性が逮捕される 2015年09月16日
東海道新幹線車内で焼身自殺? 2015年06月30日
スラドに聞け:大学に住んでる人はいますか? 2018年09月10日

オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される

セブン&アイ・ホールディングスが提供しているスマートフォン向けアプリ「オムニ7アプリ」のソースコードがGitHubで一般公開されていた可能性があるとBusiness Insider JAPANが報じている。

記事によると、このソースコードは2015年5~7月頃に公開されたとみられており、その後更新されることなく公開されていたが、2019年7月10日ごろに削除されていたという。

また、削除後もそこからフォークされたコードがGitHub上に残っていたためか、NTT DATA MSEからDMCAに基づく削除申請が出ていたことも確認されている。

このソースコード中には外部IDを使ったログインに必要なトークンなども含まれていたが、このトークンだけでは悪用できないとの指摘もある

すべて読む | セキュリティセクション | セキュリティ | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
7pay問題を扱った記事に対し「それはウォーターフォール・モデルではない」との指摘 2019年07月18日
セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道 2019年07月12日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payの登録でおにぎり無料クーポンが貰えるキャンペーン、アカウント作成を繰り返すことで何度でもクーポンを入手できる仕様 2019年07月05日
7payで不正利用被害報告が相次ぐ 2019年07月04日

フィッシング詐欺被害にあったにも関わらず被害者ではないとして被害届を受理されないという事案

Anonymous Coward曰く、

フィッシング詐欺被害にあったにも関わらず、警察に被害届を受理してもらえないというトラブルが長崎県で発生しているという(長崎新聞)。

報道によれば、この被害者は、届いたSMSが詐欺メッセージであると気付かずにSMS内に記載されていたURLにアクセスし、フィッシングサイトにIDとパスワードを入力、送信した。攻撃者はこの情報を使って別の場所から正規サイトに詐取したIDとパスワードでログインしたという。被害者の携帯電話には正規の二段階認証のためのSMSが送信されたが、被害者はこのSMSに記載されていた認証コードも指示されるままにフィッシングサイトに入力してしまったという。その後攻撃者は被害者本人に成りすまし、通販サイトで10万円分の購入を行った。

ここまでは非常に良くあるパターンのフィッシング詐欺被害であり、詐欺に気づいた被害者はすぐ携帯電話会社に連絡し消費者生活センター、警察に相談するも、警察側は「法律上は不正アクセスを受けた携帯電話会社が被害者になる」と言う理屈で被害届を受理しなかったという。しかし、この不正購入された商品の代金は被害者が支払わなければならない可能性があり、被害金額は泣き寝入りになってしまう可能性があるという。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
サイバー捜査官は体育会系? 採用後は交番勤務から 2019年03月12日
ネット通販サイトに大量注文を出した後キャンセルを繰り返す嫌がらせ、業務妨害で摘発される 2018年10月24日
神奈川県警、Webサイトへのマイニングスクリプト設置に関する逮捕基準について回答せず 2018年06月20日

Silverlightのサポートは2021年10月12日で終了、Microsoftが注意喚起ドキュメントを公開

Anonymous Coward曰く、

Microsoftは、Microsoft Silverlightのサポートを2021年10月12日に終了する。終了にあたり、マイクロソフトは注意喚起のドキュメントを公開した。サポートが終了すると、品質更新プログラムやセキュリティ更新プログラムの提供がなくなる(Microsoftのサポートページ窓の杜)。

Internet Explorer 11向けは2021年10月12日に、Internet Explorer 10向けは2020年1月31日に終了する。ChromeやFirefox、Mac用ブラウザ向けのサポートはすでに終了している。

Silverlightが必要で新規会員募集中の有料サービスなどもあり(例:みるプラス)、サポート終了前の移行が求められる。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ソフトウェア | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
日本版Hulu、Microsoftも使用中止を勧告しているSilverlightを新たに導入 2017年05月22日
Microsoft、Silverlightの使用中止を推奨 2015年07月05日
窓辺ななみさん、卒業まであと300日を切る 2019年04月01日
アメーバピグ、脱Flashできず終了 2019年03月13日

Apex Legendsのチート対策、チーター同士を戦わせる

headless曰く、

バトルロイヤルゲーム「Apex Legends」ではチート対策の一つとして、検出したチーターやスパマー同士をマッチメイキングしているそうだ(RedditのスレッドThe Next WebPC Gamer)。

このチート対策は、開発元Respawn Entertainmentのコミュニティーマネージャー、Jay Frechette氏(jayfresh_Respawn)がRedditで更新情報とともに明らかにしたものだ。このほかのチート対策としては、機械学習によりチーターを検出・自動ブロックする行動モデルの開発、特定の地域でリスクの高いアカウントに対する二要素認証の必須化、新しいスパムアカウントを使われる前に特定・ブロックする機能の強化、新しいチートへの対応、パーティーがどのように組まれているかの調査(チーターとパーティーを組んだ場合はチートしていなくてもチーターとみなす)、といったものが挙げられている。Frechette氏はこれまでにもチート対策の状況を報告しているが、具体的な対策を紹介するのは今回が初めてのようだ。

すべて読む | セキュリティセクション | セキュリティ | ゲーム | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
人気ゲーム「フォートナイト」世界大会予選で1200人以上の不正発覚、該当者はアカウント停止処分 2019年04月25日
ゲームのチートツールの使い方動画を公開した14歳少年がメーカーに訴えられる 2017年12月09日
人気ネットゲームのチートツールを提供した会社、著作権侵害で1000万ドルの賠償金支払いを命じられる 2017年03月08日
Max Payne 3で不正行為を行ったユーザーを隔離する方針 2012年06月16日

米携帯電話事業者Sprint、SamsungのWebサイト経由でサイバー攻撃を受け顧客情報を漏洩

Anonymous Coward曰く、

ソフトバンク傘下の米携帯電話事業者Sprintが、サイバー攻撃を受けて顧客情報を漏洩したことを発表した(ZDNetThe VergeCNET)。

流出した可能性があるのは顧客の氏名、請求先住所、電話番号、デバイスタイプ、デバイスID、毎月の定期請求額、加入者ID、アカウント番号、アカウント作成日など。漏洩した件数は不明のようだ。この攻撃は、6月22日にSamsungのWebサイトにある新規回線契約ページを経由して行われたという。

事件の3日後の6月25日、同社はハッキングの疑いのあるユーザーのPINコードをリセットし暫定的な対処を行った。今回の攻撃によってアクセスされた情報は「詐欺や個人情報の盗難の重大なリスク」をもたらすものではなかったとも説明している。

すべて読む | セキュリティセクション | セキュリティ | ニュース | 携帯電話 | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」? 2019年06月17日
在ロシアEU大使館、サイバー攻撃を受けて情報漏洩との報道。攻撃にはロシアが関与か 2019年06月12日
ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 2019年05月31日
トレンドマイクロ、サイバー攻撃を受け情報漏洩を起こしていたことを認める。ソースコード漏洩は否定 2019年05月20日

FBI、ソーシャルメディア利用者の個人情報にアクセスできるようにするツールの開発を求める

taraiok曰く、

FBIはSNSからこれまで以上に情報を収集したいと考えており、そのためにテロリストグループ、国内の脅威、犯罪活動などを監視するのを助ける「早期警戒ツール」の開発を求めているそうだ(EngadgetSlashdot)。

FBIの提出した新たな「提案依頼書(RFP)」によると、FBIはターゲットとなる人物のソーシャルメディアアカウントについて、ユーザーIDやメールアドレス、IPアドレス、電話番号といったすべての個人情報にアクセスできるようなツールを求めているという。さらに、場所を指定しての人物の追跡や指定したキーワードに帯する監視、ソーシャルメディア履歴へのアクセスなども求めているそうだ。

FBIがすべてのプライバシーと市民の自由を遵守すると主張しても、移民に対するSNS監視などの問題がある以上、信じ切れないのも事実だろう。また、トランプ政権では当局が社会保障障害受給者のSNSアカウントを詮索することを許可することも提案している。

ソーシャルメディア上の脅威を監視すること自体は意義がある。しかし、このようなツール権力のある人々によって悪用されれば、市民の自由が侵害される可能性も高まる。

すべて読む | セキュリティセクション | セキュリティ | IT | SNS | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国家安全保障局、プライバシーに敏感なインターネットユーザーを監視対象に 2014年07月05日
世界中のメッセージを事前承認無しに監視できる、米当局の「XKeyscore」システム 2013年08月02日
米NSA事件から6年、スノーデンは大衆監視を防ぐことはできなかった 2019年06月06日
「セキュリティにおける真の問題は人間」ケビン・ミトニック氏は語る 2013年05月28日

10MBのファイルが281TBに膨らむ新型「非再帰的ZIP爆弾」

Anonymous Coward曰く、

プログラマー兼エンジニアのDavid Fifield氏が、たった10MBのサイズにも関わらず、展開すると281TBにまで爆発する新しいタイプの「ZIP爆弾」を発表した。

ZIP爆弾は、そのファイル自体は小さいにもかかわらず、展開すると巨大なファイルになるように細工をしたZIPファイルの俗称。小さなファイルを巨大なファイルとして展開させることによりPCのCPU、メモリ、ディスク容量といったリソースを奪うことができる。

通常のZIP爆弾は内側のZIPファイルの中にさらにZIPファイルを作るという再帰的手法で作られているが、それゆえに多くのアンチウイルスソフトで対策されている。Fifield氏が考案した「非再帰的ZIP爆弾」は、再帰のない単一層でより密集したファイルを作成できるのが特徴。

展開後のファイルサイズこそ高効率で作られた再帰的ZIP爆弾にかなわないものの、それでも展開後のサイズを2800万倍に膨らませることができるという。さらに、ZIP64形式を用いることで46MBのファイルを9800万倍の4.5PBにすることも可能だとしている(ViceGIGAZINESlashdot)。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | ソフトウェア | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WinRARの脆弱性を狙ったマルウェアが急増 2019年03月20日
Windows 10 October UpdateでZIPファイル展開時に確認ダイアログが表示されない不具合 2018年10月23日
さまざまなソフトウェアでのアーカイブファイル展開処理に脆弱性、任意コードの実行を許す可能性 2018年06月11日
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日

セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道

日経新聞が、スマートフォン向けのセブン-イレブンアプリに脆弱性があると報じている。この脆弱性は第三者がFacebookやLINEなどの外部IDで不正にログインできるというものだという。

日経新聞の報道後、セブン&アイ・ホールディングスは外部IDでのログインをできないようにしたことを発表した共同通信)。発表では脆弱性があったかどうかには触れられておらず、「セキュリティ強化に向けた総点検の一環」とのみ書かれている。

なお、セブン-イレブンアプリでのトラブルを受けて、「セブン-イレブンアプリ」やそれを想起させる呼称を使って氏名や生年月日などを不正に入手しようとする不審な電話も報告されているという(セブン&アイ・ホールディングスの発表)。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
セブンイレブン、沖縄に進出 2019年07月12日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payの登録でおにぎり無料クーポンが貰えるキャンペーン、アカウント作成を繰り返すことで何度でもクーポンを入手できる仕様 2019年07月05日
7payで不正利用被害報告が相次ぐ 2019年07月04日

CanonicalのGitHubアカウントが不正アクセスを受ける

headless曰く、

CanonicalのGitHub organization(組織アカウント)が6日に不正アクセスを受け、空のリポジトリを作成されるなどの被害にあったそうだ(The Next WebiTNewsUbuntu Securityのツイート)。

Internet Archiveのスナップショットによると、作成されたリポジトリは「CAN_GOT_HAXXD」および「CAN_GOT_HAXXD_1」~「CAN_GOT_HAXXD_10」という名前の計11個。Canonicalは不正アクセスに使われたユーザーのアカウントを削除し、調査を進めているが、ソースコードや個人を特定可能な情報が影響を受けた形跡はないと説明している。また、Ubuntuディストリビューションのビルドと維持に使用するLaunchpadインフラストラクチャーはGitHubから切り離されており、こちらも影響を受けた形跡はないとのことだ。

すべて読む | Linuxセクション | Ubuntu | セキュリティ | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Ubuntu Forumsに不正アクセス、全ユーザーのメールアドレス等が流出 2013年07月21日
GentooのGitHubアカウントに対する不正アクセス、パスワードが推測しやすかったことが原因 2018年07月08日
GentooのGitHubアカウントが不正アクセスを受ける 2018年06月30日

「PayPay送りあうと約束したのに返金されない」トラブルに注意喚起

スマートフォン向け決済アプリ「PayPay」では、ユーザー間でアプリ内のPayPay残高をやり取りできる機能を使ったキャンペーンが展開されているが(PayPayの発表)、これを悪用して残高を持ち逃げする行為が発生しているという(ITmedia)。

このキャンペーンはPayPayを送ったユーザーと受け取ったユーザーの両方に対し、抽選でボーナスポイントが付与されるというもの。1人あたり最大5,000円相当のPayPayを獲得できる可能性があるとされるが、これを悪用し、「送られたPayPayと同額のPayPayを送り返す」と約束しながら実際には送り返さずに受け取ったPayPayを持ち逃げする行為が発生しているという

Twitterなどで面識の無い相手からPayPayの送金を依頼され、それに応じてしまいトラブルが発生する、といったことが発生しているようだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 携帯電話 | IT | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
7payで不正利用被害報告が相次ぐ 2019年07月04日
ヤフー、8月から「期間固定Tポイント」をPayPayに変更すると発表 2019年06月04日
PayPayのクレジットカード不正利用率、大きく改善 2019年05月27日
PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 2018年12月30日
キャッシュレス決済サービスPayPay、「20%還元キャンペーン」開始で利用者が集中し不具合が発生 2018年12月06日

富山県砺波市、道路にイノシシ侵入防止のための溝とふた(テキサスゲート)を設置

富山県砺波市が、イノシシなどの侵入を防ぐための溝とふたを導入した(北日本新聞社北国新聞チューリップテレビ)。

幅5メートルのU字溝を3つ並べ、その上を蜂の巣のような網目を持つふたで覆うというもの。動物がこの上を通ろうとすると、動物のひづめがこの網目にはまることになり、これによって動物の侵入を防ぐという。合わせて道沿いには電気柵も設置されているという。

同市般若地区ではイノシシによる農作物への被害が発生しており、その対策としてこの仕組みが導入されたそうだ。設置費用は約200万円とのこと。このような溝を使った動物の侵入防止装置は「テキサスゲート」などと呼ばれている。

すべて読む | セキュリティセクション | 日本 | ハードウェア | セキュリティ | ニュース | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ドブネズミ駆除の目的で放たれたオポッサム、あらたな害獣問題に発展 2010年09月22日
ケーブルなどのネズミ対策、どうしてる? 2009年02月14日
超音波を使ったシカ用踏切、近鉄が開発 2016年08月22日
世界初、鹿の線路への侵入を防ぐ鉄分入り誘鹿剤 2015年10月14日

Google Playから削除された人気アプリの偽物、Google Playに登場

headless曰く、

ESETのLukas Stefanko氏によると、4月にGoogle Playから削除された人気ファイルマネージャーアプリ「ES File Explorer」の偽物がGoogle Playに登場していたそうだ(Stefanko氏のツイートSoftpedia)。

偽物は広告を表示するためだけのアプリで、ファイルマネージャーとしては機能しないという。インストールすると本物らしく見せるためかユーザー登録画面を表示する一方で、登録フォームへの入力中にもフルスクリーンの広告を次々に表示するそうだ。少なくとも10日以上は気付かれずに公開されていたとみられ、1万回以上ダウンロードされている。ただし、Stefanko氏が最初にTwitterで指摘してから数時間のうちに削除されたようだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | 広告 | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ES File Explorerなどが規約違反としてGoogle Playから削除される 2019年05月08日
Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果 2019年06月28日
「Call of Duty: Mobile」の偽物、Google Playに登場 2019年05月19日
Google Playで発見されるマルウェア、インストール件数は水増しされている? 2018年11月25日

米トランプ政権、法執行機関が解読できないエンドツーエンド暗号化を禁止することを検討

米トランプ政権が、企業に対し法執行機関によって解読できない暗号技術の使用を禁じることを計画しているという(PoliticoCNET Japan)。

こういった暗号化技術の禁止については過去にも議論されていたが、米国においては今まで実現していない。

AppleやFacebookなど多くの米IT企業は、プライバシ保護やセキュリティのためユーザー間でのメッセージのやり取りなどをエンドツーエンドで暗号化している。これに対し政府などは犯罪の摘発や抑止の妨げになると主張していた。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米NSA事件から6年、スノーデンは大衆監視を防ぐことはできなかった 2019年06月06日
インド政府、政府機関に対し暗号化通信などの傍受を認める 2018年12月28日
インド政府、偽ニュース拡散防止のためメッセンジャーアプリ「WhatsApp」の暗号化解除を要請 2018年07月27日
英政府、マンチェスターテロ事件をきっかけにインターネットへの検閲を強化する可能性 2017年05月30日
CIAのハッキング技術公開で企業が得た教訓:暗号化はやはり重要 2017年03月17日

大阪の倉庫でスプレー缶ガス抜き作業中に爆発、近隣200mにわたる被害

nemui4曰く、

大阪府高槻市の産業廃棄物収集会社でスプレー缶のガス抜き作業中に爆発が発生、2人が死亡、2人が意識不明の重体となる事故が起きた(NHK産経新聞)。爆発によって半径200メートルの範囲で建物のガラスが割れるなどの被害が出ていたという。

写真見ると爆撃された跡地かと思った。上から指示されたとおりにやってたんでしょうけど、なくなられた方は気の毒。

現場では廃棄処分となったスプレー缶3000本のガス抜きが行われていたという。

すべて読む | セキュリティセクション | 日本 | セキュリティ | ニュース | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
札幌でガス爆発による建物倒壊炎上が発生、原因はスプレー缶の処理作業後の湯沸かし器点火 2018年12月18日
米ボストンで70か所以上で爆発、原因はガス管の加圧? 2018年09月20日
中国・天津港湾地区の化学物質保管施設で大規模な爆発、死傷者多数 2015年08月17日

逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す

Anonymous Coward曰く、

セキュリティソフトメーカーMcAfeeの創設者であるうジョン・マカフィー氏が、2020年の米大統領選挙に仮想通貨(暗号資産)コミュニティを代表して出馬するという。

同氏は「イデオロギー的理由」で8年間米国の所得税を支払わなかったことから、米内国歳入庁(IRS)に追及される立場となっている。このため彼は1月に米国を去り、現在はキューバのハバナに移動している。氏はそこから大統領選に出馬するという。

また氏は今月、「キューバ政府が米国政府の禁輸措置を回避するのは簡単だ。仮想通貨を使えばよい。私は(キューバ政府)に対して、それを無料で手助けすることができる」とも語っている。キューバ政府の反応はなかったが、同政府も今年5月から強化された米国の経済制裁を回避するため、イランやベネズエラと同様に、仮想通貨の使用を検討していることが報じられている。

マカフィー氏は「仮想通貨は適切なブロックチェーンを基にして、特定のニーズや経済状況を満たすように構成する必要がある。その方法を知っているのは世界に10人ほどしかいない。そのうちの一人が私だ」と主張する。現在、氏はキューバ政府に対し氏のビザを無期限に延期することを望んでいるという。また100万人のフォロワーを有するTwitter上で2020年の米大統領選挙にリバタリアン党からの出馬を計画していることを宣伝している(Reutersコインテレグラフ日本版仮想通貨羅針盤BITTIMESSlashdot)。

すべて読む | セキュリティセクション | セキュリティ | ニュース | 政治 | 変なモノ | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
米裁判所、ベリーズでの殺人事件についてジョン・マカフィー氏の法的責任を認める 2018年11月17日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日

消費者庁が丸のこと電動のこぎりの使い方に注意喚起

Anonymous Coward曰く、

消費者庁が7月5日付けで「電動のこぎりの使い方に注意!―誤って身体の一部を切断する事故が起きています-」なる発表を行っている。電動のこぎりや電動丸のこでの事故が増えているとのことで、安全に使用するよう注意喚起を行うものだが、これについて比較的近い電動工具と混同したニュース記事が出ているようだ。

消費者庁の注意喚起では「丸のこ」と「電動のこぎり」を一つの文書にまとめているが、2つの電動工具は刃の動作や用途が異なる。大きな違いは、丸のこは回転刃で、電動のこぎりは往復刃である。文書では「(2)【事例1】電動のこぎりの操作を誤り、右大腿部を切った。」「電動丸のこ(中略)2(1)の重大事故等は、このタイプで発生しています。」と書かれている。

分かりづらいとの指摘も出ているが、たとえば6月25日に発生した死亡事故は、電動のこぎりではなく丸のこで発生している(BuzzFeed News)。大腿部を切る事故は、丸のこでは比較的多い事故である(工事現場災害事例と対策DVD 3)。

そしてこの記事内の写真は丸のこに似ているが、ディスクグラインダーである(Twitterでの指摘1指摘2)。

なお、丸のこで庭木の伐採をしようとして誤って自分の足を切ってしまう事故も過去に発生している

すべて読む | セキュリティセクション | セキュリティ | ニュース | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
KTC、汎用工具をスマホ/タブレットと連動する「スマートトルクレンチ」に変えるデバイスを発売 2018年10月30日
教習所で教わったハンドルの握り方は危険、エアバッグで手を怪我する可能性がある 2012年03月27日
消費者庁が市販薬の副作用について注意喚起を行う 2015年04月09日

7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし

Anonymous Coward曰く、

7月1日より、ファミリーマート系のバーコード決済サービス「FamiPay」がサービスを開始している。同じタイミングでスタートした「7pay」が不正利用被害によって悪い意味で注目され、そのせいで影が薄くなってしまった印象もあるが、FamiPayでは今のところ不正ログインなどのトラブルは発生していないという(ITmedia)。

なお、TechCrunchによる主要payログイン時の安全性検証ではどのサービスもおおむねセキュリティ的な問題がないとのことだが、メルペイのみ2段階認証がなく、ログイン情報が洩れると不正利用が可能になるとのこと。

FamiPayにおいてはSMSを使った2段階認証を導入しているほか、ログイン時に毎回暗証番号の入力が求められるといったセキュリティ対策を導入している。さらに、セキュリティ的な理由から電子マネーの入金は店頭レジでの現金チャージと、「ファミマTカード」からのチャージに限定しているという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

Microsoftアカウント、2年以上サインインしないと削除される可能性

headless曰く、

Microsoftが1日付で公開したサポートドキュメントによると、Microsoftアカウントが非アクティブとみなされるまでの期間が短縮されるようだ(Microsoft account activity policyNeowinWindows Central)。

Microsoftサービス規約(MSA)ではMicrosoftアカウントをアクティブな状態に保つようユーザーに求めており、少なくとも5年に1回はサインインしなければ非アクティブとみなされることが明記されている。非アクティブとみなされたMicrosoftアカウントはMicrosoftにより停止(削除)されることになる。なお、Outlook.comの受信トレイおよびOneDriveについては少なくとも年に1回は個別にサインインする必要がある。

一方、新しいアカウントポリシーでは、少なくとも2年に1回サインインしなければ非アクティブとみなすと記載されている。ただし、そのMicrosoftアカウントで現行のMicrosoft製品・サービスを購入したことがある場合や、有効なサブスクリプションがある場合、Microsoft Storeでアプリを公開している場合などは例外で、2年以上サインインしなくても非アクティブとはみなさないとのこと。このアカウントポリシーは8月30日に発効する。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
GoogleアカウントでのWindows 10ログイン、実現なるか 2018年09月02日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日
MySQL 5.7.4で導入された「パスワードの有効期限」設定にご注意を? 2015年06月09日

7payで不正利用被害報告が相次ぐ

kmc55曰く、

セブン&アイ・ホールディングス傘下のセブン・ペイが7月1日より開始したバーコード決済サービス「7pay」で不正利用報告が相次いでいる(TogetterまとめEngadget日本版)。

報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。

Engadget日本版の続報Yahoo!ニュースなどで問題点が指摘されているが、セブンアプリからアカウントを作った人は生年月日とメールアドレスの2つさえ合っていれば乗っ取りが可能な模様。

また、パスワードを忘れた場合のフォームに「送付先メールアドレス」がID(メアド)と別に設定可能であり、パスワード再設定が行われても気が付かない仕様のようだ。その後送付先メールアドレスの入力欄は削除されたが、CSSで非表示に設定しているだけであり、CSSを操作することで第三者のメールアドレスに送付することができたという(ITmedia)。

セブン&アイ・ホールディングスは7月4日に会見を行い、対応として当面の間7payのすべてのチャージ機能および新規登録を停止する方針を示した。ただし新規登録については「近日中の停止」になるという(Business Insider JAPAN)。また、被害額をセブン&アイ・ホールディングス側が補償することも発表された。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | IT | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
みずほフィナンシャルグループ、来年にも独自の電子マネーを発行との報道 2018年12月28日
携帯電話+バーコードによる代金支払いサービス、みずほ銀が発表 2006年11月12日
QRコード決済の統一規格、29日頃に発表 2019年03月22日
楽天、スマートフォン向けの「楽天ペイ」アプリをリリース。実店舗でスマホ決済が可能に 2016年10月29日
PayPayのクレジットカード不正利用率、大きく改善 2019年05月27日
流出したクレジットカード番号がPayPay経由で使われる懸念 2018年12月17日

中国政府が新疆ウイグル自治区へ向かう旅行者のスマホにスパイウェアをインストールしていたとの報道

Anonymous Coward曰く、

中国・新疆ウイグル自治区ではウイグル系市民への弾圧や人権侵害が起きていることが伝えられているが、国境を越えて同自治区に入国する旅行者に対し、中国政府がスパイウェアをインストールしていると英ガーディアン紙などが報じている(ガーディアンMOTHERBOARDCNET JapanSlashdotGigazine)。

報道によると、検問所ではスマートフォンをロックを解除して渡すように命じられ、返却されたスマホには「蜂采」と呼ばれるスパイウェアがインストールされていたということ。解析の結果、このアプリはカレンダー・通話履歴・連絡先・テキストメッセージ・デバイス情報などを収集するほか、アルカイダやダライ・ラマ14世、果てにはメタルバンドの音楽まで検出しようとしていたという。GitHubには旅行者が持ち帰った蜂采のコピーがアップロードされている。

なお蜂采のインストールが確認されたのはAndroidのみで、iPhoneの場合はロックを解除して渡すように命じられたのち、謎の装置にUSB接続されるとのこと。こちらは何が行われているのかいまだ不明のようだ。

すべて読む | セキュリティセクション | 検閲 | セキュリティ | 携帯電話 | 中国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国渡航の際のベストプラクティスは「いろんな意味で身軽に」? 2012年02月15日
中国のサイバースパイ、自衛策ここに極まれり 2011年09月29日
中国のネットユーザー監視の現状 2018年04月12日
米国での入出国時に携帯電話内の情報を抜き出される可能性、携帯電話は家に置いていけ 2017年02月22日
モスクワ地下鉄、携帯電話のSIMカード情報を無線で読み取る装置を設置 2013年08月01日

米上院、「レトロな技術」でエネルギー網へのサイバー攻撃を防ぐ法案を可決

headless曰く、

米上院は6月27日、非デジタルの「レトロ」な技術でエネルギー網へのサイバー攻撃を防ぐという超党派の法案「Securing Energy Infrastructure Act」を可決したそうだ(アンガス・キング上院議員のプレスリリースS.174Computingの記事)。

法案ではエネルギー長官に対し、施行後180日以内に国立研究所でコントロールシステム実装に関する2年間のパイロットプログラムを開始するべきだと定めている。パイロットプログラムでは対象となるエネルギー産業の自主参加により、新たな区分のセキュリティ脆弱性を特定すること、アナログおよび非デジタルコントロールシステムや、専用コントロールシステム、物理的な制御を含め、エネルギー産業のコントロールシステムを隔離してサイバー攻撃を防ぐ技術を検討すること、という2点が盛り込まれている。

上院の法案情報では提案したところまでしか記録されていないが、提案者のアンガス・キング上院議員(無所属)は6月28日付のプレスリリースで「上院が法案を昨日可決した」と記している。キング上院議員は2016年にも同名の法案を今回とほぼ同じ顔ぶれの共同提案者とともに提出したが成立には至らず、今年1月に条文の一部を変更して再提案していた。今回は下院でも同じ内容の法案が超党派で1月に提出されている。

すべて読む | セキュリティセクション | セキュリティ | 電力 | 政治 | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
サイバー攻撃でコンピューターが使用できなくなった米アラスカ州の郡、タイプライターを持ち出して対応 2018年08月04日
ドイツの特別調査委員会、セキュリティ対策としてタイプライターの使用を検討 2014年07月18日
中国、世界の通信会社10社以上にサイバー攻撃。富士通やNTTデータも被害 2019年06月28日
イスラエル軍、ハマスのサイバー攻撃にミサイルで反撃 2019年05月14日

東京都がSMSで納税催告、詐欺に活用される可能性があるとして識者から懸念の声

東京都が税金未納者に対し、SMSを使った督促を行うことを発表した(J-CASTニュース)。

今までは電話や訪問を行って督促を行っていたが、新たにSMSも活用するという方針だそうだ。これに対し、詐欺に使われる可能性もあるとの指摘が出ている。いっぽう東京都側は、なりすましは絶対にない、「やる、やらないにかかわらず詐欺は発生している」などと主張しているようだ。

すべて読む | セキュリティセクション | セキュリティ | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる 2017年12月21日
取引先企業を装った詐欺事件、合計1億ドル以上を送金した被害企業はGoogleとFacebook 2017年04月30日
郵便はがきを使った架空請求詐欺が急増 2018年07月25日
米国でSMSのログを2年間保持することを義務づける動き 2012年12月06日
東京五輪チケット詐欺メールにご注意を 2019年06月24日

3人に1人が退職後も元職場のファイルやメールにアクセスできる

セキュリティソフトウェアなどを手がけるKasperskyが世界14か国・7000人を対象に調査を行ったところ、33%(日本では34%)の回答者が、退職した職場の共有ファイルや共同作業向けサービス、メールに退職後もアクセスできると答えたそうだ(Kasperskyの発表Security NEXT)。

プロジェクトや会社に所属している人が抜けるたびにファイル共有や共同作業向けサービスのアクセス権を削除すると回答したのは37%(日本は22%)、定期的にアクセス権を確認・変更していると回答したのは43%(日本は30%)だという。

そのほか、37%(日本は14%)の回答者が社内の機密情報(同僚の給与・ボーナスや口座情報、パスワードなど)を偶然こういったシステム上で見たことがあると答えたという。

すべて読む | セキュリティセクション | セキュリティ | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
鈴鹿のコミュニティFM、給料遅配で全社員が退職届を出し放送できない状況に 2015年06月24日
退職前に職場のパソコンから個人情報を消去するには? 2012年07月28日
「仕事が評価されずに立腹」して元勤務先のデータを破壊したシステム管理者、逮捕される 2010年02月01日
元派遣社員が新生銀行内部ネットワークに不正アクセスで逮捕 2008年07月17日

総務省、IoT機器調査「NOTICE」の実施状況を発表

情報通信研究機構(NICT)がポートスキャンによる脆弱性調査(NOTICE)を行うことが以前報じられていたが、このポートスキャン実施状況が公表された(総務省の発表

これによると、調査対象IPアドレス約9000万件のうちID・パスワードが入力可能だったものは約3万1000~4万2000件で、うち147件は容易に推測されるID・パスワードでのログインが可能だったという。

NICTはマルウェアに感染しているIoT機器の特定およびその情報のISPへの通知も行っているが、こちらについては1日あたり112~155件が対象になったという。

すべて読む | セキュリティセクション | セキュリティ | ニュース | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IoT機器侵入調査「NOTICE」を受けたとの報告例 2019年03月18日
NICT、国内IPアドレスを対象としたポートスキャンを実施へ 2018年11月12日
単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き 2018年01月23日

ディズニーリゾートのオンラインフォトサービスでアクセス番号重複により写真が流出

東京ディズニーランドや東京ディズニーシー(東京ディズニーリゾート)では、スタッフやアトラクション内のカメラで撮影された写真をオンラインで閲覧・購入できるシステム(オンラインフォト)を提供している。このシステムへのログインには施設内で配布される16桁のアクセスナンバーが記載された「フォトキーカード」が必要となるが、このフォトキーカードに記載されたアクセスナンバーが重複するというトラブルが発生した。その結果、同一のアクセスナンバーが割り当てられた別の顧客の写真を閲覧できる状態になっていたという。(オリエンタルランドの発表ITmedia)。

フォトキーカードの印刷を請け負っている会社がアクセスナンバーの管理を誤り、一度使用したアクセスナンバーを再度印刷してしまったのが原因とのこと。このトラブルの影響で、一部のフォトキーカードに記載されたアクセスナンバーが無効にされているとのことで、オリエンタルランドは問い合わせ用のサイトへのリンクを同サービストップページで案内している。

すべて読む | セキュリティセクション | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
iOS の UDID 漏洩事件、漏洩元を特定したのは 1 人のプログラマだった 2012年09月13日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日
他人のビックカメラポイントが不正入手されて使われる事件が発生 2016年03月16日
他人のアカウントで無断でFacebookにログインした男性が逮捕される 2015年11月11日

インド政府、米国との貿易戦争による規制に対処できるよう独自の公務員向けメッセージングアプリの導入を検討中

Anonymous Coward曰く、

インドはFacebookのチャットアプリ「WhatsApp」がもっとも普及している国だ。そんな中、インド政府は公務員用に専用チャットアプリの構築を検討しているという。背景には外国企業への依存を減らしたいという思惑があるとされる(TechCrunchSlashdot)。

きっかけは米国がHuaweiに対して行った一連の規制だという。WhatsAppはインド国内では必要不可欠なサービスになっているが、このままFacebookに依存していると、何かあったときにHuaweiのように規制を受け、国内のコミュニケーションに大きな影響を受ける可能性があるとインド政府は考えているようだ。

トランプ政権は中国以外の国に対しても貿易的な圧力を掛けており、インドのその一つ。トランプ政権は5日、インドの保護主義政策を批判して一般特恵関税制度(GSP)を撤廃した(日経新聞)。これを受けてインド政府も米国からの輸入品に対する関税を引き上げている。これもインド政府がFacebook依存を不安視する材料となっている。

フランス政府は今年の4月、公務員専用チャットアプリ「Tchap」を立ち上げている(ITmedia)。インドはこのフランスの政策を参考にしている可能性がある。

すべて読む | セキュリティセクション | セキュリティ | IT | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ファーウェイのCFO、カナダで身柄を拘束される。イラン経済制裁に対する違反の疑い 2018年12月06日
米トランプ大統領、ベネズエラ政府が発行する仮想通貨の取引を禁止する大統領令を出す 2018年03月27日
ロシア通信大臣、米国によるロシアへの経済制裁で真っ先に損をするのはMicrosoft 2018年01月27日
米国、ドイツに対し5G通信網でファーウェイを採用するなら機密情報の共有を制限すると警告 2019年03月16日

入力されたキーワードを無断で収集・送信する機能を持つソフトウェアキーボードSDKの存在が確認される

Anonymous Coward曰く、

広告配信技術などを手がけるオメガがリリースしている広告配信技術を搭載したスマートフォン向けソフトウェアキーボード(キーボードSDK)を使ったアプリで、ユーザーが入力したキーワードが同社のサーバーに無断で送信されていることが確認されたという(@rioriostのモーメントGuestのnote)。

オメガ社によると、このキーボードSDKは背景などをカスタマイズできるソフトウェアキーボードを作成するためのSDKで、「オメガ株式会社独自の広告配信技術が搭載されている」という。これによってアプリ作成者は広告配信による利益を得ることが可能。同社は独自に取得したデータを活用した広告配信を行っているとアピールしていた(TechCrunch)。

発端はオメガのキーボードSDK営業資料がリークされたことで、「競合他社含む全てのアプリ上で起動」「入力・使用アプリ情報を収集・分析可能」との謳い文句から、事実上のキーロガーではないかとの疑惑が持ち上がり、検証が進められていた。

ソースによると、このキーボードライブラリは入力されたキーそのものではなく特定のキーワードと対象のアプリ情報を送信していたようだ。特定のキーワードには数字や英単語が多数含まれているため、結果的にパスワード、クレジットカード番号などの個人情報が収集され得る状態にあったという。

情報の無断送信が行われていたとされているのは、「ANYTYPE」や「moppyキーボード」、「USAVITCHキーボード」、「瞬間日記」、「PUSH!」、「PicoSweet」。これらのアプリでは入力内容(パスワード、クレジットカード番号などの個人情報)の収集は一切行わないとの宣言がされていた。

すべて読む | セキュリティセクション | セキュリティ | 携帯電話 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
子供のネット上での行動をキーロガーで監視 ? 2011年02月23日
キーロガーで子供を救う? 2007年06月11日
Shimejiにバックドアがあるとの報道、バイドゥは否定 2016年01月19日
Baidu IMEやSimejiでの「無断情報送信」問題、Baidu側は「無断での送信」を否定 2013年12月31日
Baidu IMEやSimeji、「情報を百度に送信しない」設定でも入力された文字列などを百度側に送信していた 2013年12月26日

中国、世界の通信会社10社以上にサイバー攻撃。富士通やNTTデータも被害

Anonymous Coward曰く、

世界各国のIT企業や政府に対しサイバー攻撃を行っていた中国政府の支援を受けたサイバー犯罪集団「APT10」が、富士通やNTTデータに対しても攻撃を行っていたとロイターが報じている英語版Reutersの詳細記事ウォール・ストリート・ジャーナルCNET Japan)。

APT10に対しては昨年末に外務省などが警戒を呼びかけていたが(日経xTECHZDNet Japan)、FIREEYEによると米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁が攻撃対象と見られている。

ロイターによると、昨年12月時点で米ヒューレット・パッカード・エンタープライズが攻撃に遭っていたことが判明。その後、今回、富士通やNTTデータ、印タタ・コンサルタンシー・サービシズ、南アのディメンションデータ、米コンピュータ・サイエンス・コーポレーション、DXCテクノロジーにも不正侵入が行われたという。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 中国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米司法省、中国情報機関高官らを起訴。航空機エンジン情報狙ったサイバー攻撃などで 2018年11月06日
翻訳の提案機能で歪められたGoogle翻訳 2019年06月19日
中国がカンボジアの総選挙に対しネットなどでの工作を行っているとの疑惑 2018年08月22日
アメリカ、中国・ロシアのサイバー攻撃に対する制裁実施を検討する 2015年09月05日
米司法省、中国情報機関高官らを起訴。航空機エンジン情報狙ったサイバー攻撃などで 2018年11月06日
翻訳の提案機能で歪められたGoogle翻訳 2019年06月19日
中国がカンボジアの総選挙に対しネットなどでの工作を行っているとの疑惑 2018年08月22日
アメリカ、中国・ロシアのサイバー攻撃に対する制裁実施を検討する 2015年09月05日

Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果

headless曰く、

オーストラリア連邦科学産業研究機構(CSIRO)とシドニー大学の研究グループが2年間かけて実施した調査によると、Google Playで公開されている偽アプリの1割以上はマルウェアを含む可能性があるようだ(シドニー大学のニュース記事The Next Web論文アブストラクト論文PDF)。

Google Playでは人気アプリの偽物たびたび発見されているが、研究グループはアプリアイコンを学習した畳み込みニューラルネットワークによるコンテンツとスタイルのマルチモーダル埋め込みを用いた偽アプリ検出方法を提唱している。この手法でGoogle Playで公開されているアプリ120万本以上のアイコンを使用して調査したところ、人気上位アプリ10,000本の偽物の疑いのあるアプリ60,638本を検出。そのうちAPKを入手できたアプリ49,608本をVirusTotalでスキャンした結果、アンチウイルスツールの少なくとも5本がマルウェアの可能性があるとタグ付けしているものが2,040本あったそうだ。

このうち1,565本ではオリジナルのアプリが要求しない5件以上の危険なパーミッションを要求しており、1,407本はサードパーティー製の広告ライブラリー5件以上が追加されていたとのこと。なお、少なくとも1本のアンチウィルスツールがマルウェアの可能性があるとタグ付けしていたアプリ7,246本のうち、論文執筆時点では3,358本がGoogle Playで入手できなくなっているという。研究で用いた手法は既存の手法と比べ、高い効率で偽アプリを検出可能とのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃 2018年05月25日
Google Playに偽WhatsAppが複数出現 2017年11月05日
米国のApp Store、偽のAmazon Alexaセットアップアプリが一時チャート上位に 2019年01月01日
佐川急便を騙って偽アプリをインストールさせる攻撃が急増 2018年07月31日

OpenSSHにメモリ上の暗号鍵を暗号化する機能が追加される

Anonymous Coward曰く、

昨今ではCPUのキャッシュ機構を悪用するサイドチャネル攻撃手法がたびたび発見されているが、OpenSSHがこういった攻撃への対策として暗号鍵をメモリ内で暗号化する手法を導入するとのこと(OpenBSD Journalマイナビニュース)。

新たな緩和策では、16KBの原始鍵(prekey)がメモリ上に置かれ、通信に用いる秘密鍵などの鍵はこの原始鍵によって適宜暗号化・複号される。理論上はこの鍵もMeltdownやSpectreなど一連のサイドチャネル攻撃によって盗み出すことが可能だが、データ量が大きく、また求められる精度が高くなるため、攻撃の脅威が緩和される仕組み。

アナウンスは「願わくば数年のうちに計算機設計が多少は非安全でなくなり機能が除去できることを」と締めくくられている。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2011年からのIntel製CPUに新たなサイドチャネル攻撃の脆弱性が見つかる 2019年05月16日
Googleの研究者ら曰く、Spectre脆弱性の修正は難しい 2019年02月28日
デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 2018年07月15日
Intel CPUに新たな脆弱性 2018年08月16日
IntelのCPUをターゲットとする新たな攻撃手法が発表される 2018年03月30日
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 2018年01月04日

Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道

headless曰く、

GeekWireが入手した「Microsoftが日常業務で禁止または非推奨としているソフトウェア・オンラインサービス」のリストによると、コラボレーションツールのSlackや文法チェックツールのGrammarly、Kasperskyのセキュリティソフトウェアが禁止のカテゴリーに含まれるそうだ(GeekWireThe VergeBetaNewsOn MSFT)。

記事によれば、禁止のカテゴリーに含まれるものはITセキュリティや企業秘密保護の観点が第一に考慮されているという。たとえばSlackの場合、Slack FreeとSlack Standard、Slack PlusはMicrosoftの知的財産(IP)を適切に保護するために必要な手段が与えられていないとして使用を禁ずる一方、Slack Enterprise GridはMicrosoftのセキュリティ要件を満たすものの競合ソフトウェアを使用するよりもMicrosoft Teamの使用を推奨するとなっている。Grammarlyについては、電子メールやドキュメント内のInformation Rights Management(IRM)で保護されたコンテンツにアクセス可能であることから、機密情報が外に漏れる可能性があるという理由で使用を禁じている。

記事ではこのほか、非推奨のソフトウェア・オンラインサービスとしてGitHubやAmazon Web Services、Google Docsを挙げている。Amazon Web ServicesとGoogle DocsはMicrosoft製品と競合することが非推奨の理由で、使用するには正当な理由が必要とされているとのこと。Microsoft傘下のGitHubについてはクラウド版(GitHub.com)のみが対象で、機密度の高い情報やコードなどを保存しないように注意を促している。そのため、オンプレミス版のGitHubについてはリストに掲載されていないとのことだ。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | マイクロソフト | ソフトウェア | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft CMO、従業員にエイプリルフール中止を呼び掛ける 2019年03月31日
Google、社内標準言語の一つとしてTypeScriptを採用 2017年04月12日
MicrosoftによるGitHub買収が完了 2018年10月30日

米、イランにサイバー攻撃で報復か

Anonymous Coward曰く、

タンカー攻撃やその後の無人機撃墜など、緊張が高まるばかりのイラン情勢であるが、米サイバー軍がイランへの報復攻撃を行ったことが報じられている(CNNAFP時事通信)。

イラン周辺では、13日に日本などのタンカーが何者かの攻撃を受けたほか、20日には米空軍の無人偵察機グローバルホークがイランの革命防衛隊により撃墜されている(米側は国際空域を飛行、イラン側は領空侵犯と主張)。トランプ大統領は報復として、米軍のイランへの軍事攻撃を承認したものの、無人機撃墜に対する報復としては過剰であるとして攻撃10分前にに撤回したと報じられており、まさに一触即発の状態にある。

一方で、ワシントンポスト等が報じたところによると、米サイバー軍の攻撃は撤回はされなかったようで、サイバー攻撃によりイランのミサイル制御コンピュータが機能不全に陥ったほか、タンカーの追跡に用いられたというイランのスパイ組織に対しても攻撃が行われたという。死傷者は出ていない模様。

ただし、米国土安全保障省のサイバーセキュリティー部門責任者によると、そもそもイラン政府や関連組織によるとみられる米政府機関や企業や狙ったサイバー攻撃も相次いでいるのだという。最近はデータや資金を盗むだけでなく、コンピュータ網を破壊するような手口も目立つということで、イラン側の動きに注視しているとのこと。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | IT | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ホルムズ海峡で日本のタンカーらが攻撃される 2019年06月17日
在ロシアEU大使館、サイバー攻撃を受けて情報漏洩との報道。攻撃にはロシアが関与か 2019年06月12日
イスラエル軍、ハマスのサイバー攻撃にミサイルで反撃 2019年05月14日
国連の民間航空機関、サイバー攻撃被害を隠蔽していた 2019年03月12日

NASA、誰かが無許可でネットワーク内に設置したRaspberry Pi経由で不正アクセスを受けデータ流出

NASAのジェット推進研究所(JPL)で、ネットワーク内に無許可で設置されていたRaspberry Pi端末を経由した外部からの不正アクセスがあり、それによってJPL内の多数のデータにアクセスされるという事件が発生していたことが明らかになった(ITmedia)。

この端末は2018年4月に接続されたもので、使用目的やその設置者は不明だという。

JPLのネットワークではネットワーク内に接続する端末をデータベースに登録して管理するルールだったが、問題の端末は登録が行われていなかったという。また、それ以外にもNASAのシステムではセキュリティ的な問題が多数存在しているとも指摘されているそうだ。

NASAに対しては、昨年サイバー犯罪集団による攻撃のターゲットになっているとの報道があった(CNET Japan)。

すべて読む | セキュリティセクション | セキュリティ | NASA | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NASA、NSA(米国家安全保障局)と間違えられて攻撃される 2013年09月19日
米政府、NASA が中国と協力することを禁じる 2011年05月16日
「サーバールームに踏み台を設置」という話が話題に 2019年04月09日
放置サーバーにヤバい物が置かれて家宅捜索 2007年03月04日

東京五輪チケット詐欺メールにご注意を

先日、東京オリンピックのチケット抽選申込み結果が発表されたが、それに乗じた詐欺メールが出回っているそうだ(朝日新聞NHK産経新聞)。

大会組織委員会からの正式なメールでは抽選結果と当選枚数、支払い金額のみが記されており、詐欺メールを防ぐため公式サイトのURLや問い合わせ電話番号は記載されていないという。そのため、メール内にURLなどが記載されているものは偽メールだそうだ。

また、TVでは『「tokyo2020」のドメインで送られてくれば本物』などと紹介されたそうだが、メールの送信元アドレスはいくらでも詐称できるため、これでは判別できないため注意したい(Togetterまとめ)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | スポーツ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ポルノサイトの料金請求画面を常時表示させるウイルスを作成した男が逮捕される 2019年05月15日
NTT各社、固定電話の通話を自動分析し詐欺を検出するシステムの実証実験を行う 2019年05月13日
カードの暗証番号を電話機で押して特殊詐欺被害、トーン信号から識別か 2019年04月15日
複数の金融機関が連携して振り込め詐欺検出AIを構築へ 2019年02月26日

医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性

headless曰く、

医療用の輸液ポンプ/シリンジポンプに電源とネットワーク接続機能を提供するBD社のAlaris Gateway Workstation(AGW)で、悪用すると輸液速度をリモートから変更することも可能になる脆弱性CVE-2019-10959が公表されている(BDのサポート記事[1]CyberMDXの発表[1]ICS-CERTのアドバイザリThe Register)。

点滴スタンドのポールを2本にしたような形状のAGWはドックを備えており、RS-232または赤外線で輸液ポンプ/シリンジポンプと接続することでスマート輸液システムを構成する。CVE-2019-10959は任意ファイルをアップロード可能な脆弱性で、認証なしのSMB共有フォルダーが存在するようだ。この脆弱性を悪用すると、ローカルネットワークに接続した攻撃者がWindows CEで実行可能な不正なファームウェア更新プログラムを含むCABファイルをアップロードすることで、ファームウェアの書き換えが可能になるという。ただし、脆弱性を発見した医療関連のサイバーセキュリティ企業CyberMDXはアップロードするだけでファームウェアが書き換えられるように説明しているが、BDは何らかの方法でアップデートを実行する必要があるように説明しており、CVEの説明ではファームウェア更新中に任意のファイルをアップロード可能となっている。

不正なファームウェアを使用することで、攻撃者はAGWに接続された輸液ポンプ/シリンジポンプの調整コマンドの範囲を変更できるほか、古いバージョンのソフトウェアを使用するシリンジポンプ4機種では輸液速度を変更することも可能とのこと。CVSS v3スコアは10.0(Critical)となっているが、最新のファームウェア(バージョン1.3.2または1.6.1)では脆弱性の影響を受けず、攻撃者が病院内のネットワークへ接続する必要があることや、ファームウェア更新プログラムに関する知識が必要になることから、BDは攻撃を受ける可能性は低いと考えているようだ。BDでは最新ファームウェアへの更新、SMBプロトコルのブロック、VLANネットワークの分離、適切な関係者のみにネットワークへのアクセスを認める、といった対策の実施を推奨している。

また、ローカルネットワークに接続した攻撃者がIPアドレスを知っていればWebベースのAGW設定画面に認証なく接続できる、という脆弱性CVE-2019-10962も同時に公表されている。設定画面ではポンプの状態を監視できるほか、設定の変更やAGWの再起動などが可能になる。こちらのCVSS v3スコアは7.3(High)で、CVE-2019-10959と同様に最新ファームウェアでは影響を受けないとのことだ(BDのサポート記事[2]CyberMDXの発表[2])。

すべて読む | セキュリティセクション | セキュリティ | ネットワーク | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
ワイヤレス医療機器のハッキングを防ぐための事前審査、米国で議論される 2012年04月26日

Facebook、新しい暗号通貨「Libra」に対応するデジタルワレット「Calibra」を発表

headless曰く、

Facebookは18日、新たに設立した子会社Calibraで2020年にデジタルワレット「Calibra」を提供開始する計画を発表した(ニュースリリース)。

Calibraは同日Libra協会が発表(PDF)した暗号通貨「Libra」に対応し、Facebook MessengerやWhatsApp、スタンドアロンアプリから利用可能になるという。Calibraを使用することで、スマートフォンを持っている人ならほぼ誰にでも無料または少額の手数料で簡単に送金ができるようになる。いずれは請求書の支払いや、店頭での支払い、公共交通機関への乗車にも利用できるようにしたいとのこと。

Calibraでは銀行やクレジットカードなどで使われる不正利用防止の仕組みを取り入れるほか、詐欺行為を検出・防止する自動化されたシステムを用いてユーザーを保護する。誰かがユーザーをだましてアカウントにアクセスし、その結果Libraが失われた場合には返金する仕組みも用意されるそうだ。なお、限定的な場面を除き、Calibraがユーザー同意なくアカウント情報や財務データをFacebookやサードパーティーと共有することはないとのこと。限定的な場面としては、人々の安全を守るために必要な場合や、法令順守に必要な場合、基本的な機能を提供するのに必要な場合が挙げられている。

Libra協会はFacebookのほか決済サービス企業やテクノロジー・マーケットプレース企業、通信企業、ブロックチェーン関連企業などにより設立された非営利組織。暗号通貨のLibraは資産を裏付けとした価格変動の小さいステーブルコインで、オープンソースのLibra Blockchain上に構築されており、エントリーレベルのスマートフォンとデータ通信があれば世界中で利用可能な暗号通貨と金融インフラの提供を目指すとのことだ(ホワイトペーパー)。

すべて読む | オープンソースセクション | オープンソース | ビジネス | セキュリティ | Facebook | 暗号 | お金 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ユーロポール、暗号通貨追跡訓練をゲーム化するまじめなゲームを開発中 2019年06月16日
採掘できない暗号通貨にも対応する偽採掘アプリ 2018年10月14日
金融商品取引法などの改正案が成立、仮想通貨の呼称を暗号資産に変更するほかインターネットから遮断した環境での管理を義務化 2019年06月05日
Google、6月より仮想通貨に関連する広告の取り扱いを禁止 2018年03月16日
FBのアプリで「いいね」の代わりに仮想通貨による投げ銭が可能に 2014年06月12日