投稿者「hylom」のアーカイブ

東京五輪チケット詐欺メールにご注意を

先日、東京オリンピックのチケット抽選申込み結果が発表されたが、それに乗じた詐欺メールが出回っているそうだ(朝日新聞NHK産経新聞)。

大会組織委員会からの正式なメールでは抽選結果と当選枚数、支払い金額のみが記されており、詐欺メールを防ぐため公式サイトのURLや問い合わせ電話番号は記載されていないという。そのため、メール内にURLなどが記載されているものは偽メールだそうだ。

また、TVでは『「tokyo2020」のドメインで送られてくれば本物』などと紹介されたそうだが、メールの送信元アドレスはいくらでも詐称できるため、これでは判別できないため注意したい(Togetterまとめ)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | スポーツ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ポルノサイトの料金請求画面を常時表示させるウイルスを作成した男が逮捕される 2019年05月15日
NTT各社、固定電話の通話を自動分析し詐欺を検出するシステムの実証実験を行う 2019年05月13日
カードの暗証番号を電話機で押して特殊詐欺被害、トーン信号から識別か 2019年04月15日
複数の金融機関が連携して振り込め詐欺検出AIを構築へ 2019年02月26日

医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性

headless曰く、

医療用の輸液ポンプ/シリンジポンプに電源とネットワーク接続機能を提供するBD社のAlaris Gateway Workstation(AGW)で、悪用すると輸液速度をリモートから変更することも可能になる脆弱性CVE-2019-10959が公表されている(BDのサポート記事[1]CyberMDXの発表[1]ICS-CERTのアドバイザリThe Register)。

点滴スタンドのポールを2本にしたような形状のAGWはドックを備えており、RS-232または赤外線で輸液ポンプ/シリンジポンプと接続することでスマート輸液システムを構成する。CVE-2019-10959は任意ファイルをアップロード可能な脆弱性で、認証なしのSMB共有フォルダーが存在するようだ。この脆弱性を悪用すると、ローカルネットワークに接続した攻撃者がWindows CEで実行可能な不正なファームウェア更新プログラムを含むCABファイルをアップロードすることで、ファームウェアの書き換えが可能になるという。ただし、脆弱性を発見した医療関連のサイバーセキュリティ企業CyberMDXはアップロードするだけでファームウェアが書き換えられるように説明しているが、BDは何らかの方法でアップデートを実行する必要があるように説明しており、CVEの説明ではファームウェア更新中に任意のファイルをアップロード可能となっている。

不正なファームウェアを使用することで、攻撃者はAGWに接続された輸液ポンプ/シリンジポンプの調整コマンドの範囲を変更できるほか、古いバージョンのソフトウェアを使用するシリンジポンプ4機種では輸液速度を変更することも可能とのこと。CVSS v3スコアは10.0(Critical)となっているが、最新のファームウェア(バージョン1.3.2または1.6.1)では脆弱性の影響を受けず、攻撃者が病院内のネットワークへ接続する必要があることや、ファームウェア更新プログラムに関する知識が必要になることから、BDは攻撃を受ける可能性は低いと考えているようだ。BDでは最新ファームウェアへの更新、SMBプロトコルのブロック、VLANネットワークの分離、適切な関係者のみにネットワークへのアクセスを認める、といった対策の実施を推奨している。

また、ローカルネットワークに接続した攻撃者がIPアドレスを知っていればWebベースのAGW設定画面に認証なく接続できる、という脆弱性CVE-2019-10962も同時に公表されている。設定画面ではポンプの状態を監視できるほか、設定の変更やAGWの再起動などが可能になる。こちらのCVSS v3スコアは7.3(High)で、CVE-2019-10959と同様に最新ファームウェアでは影響を受けないとのことだ(BDのサポート記事[2]CyberMDXの発表[2])。

すべて読む | セキュリティセクション | セキュリティ | ネットワーク | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
ワイヤレス医療機器のハッキングを防ぐための事前審査、米国で議論される 2012年04月26日

Facebook、新しい暗号通貨「Libra」に対応するデジタルワレット「Calibra」を発表

headless曰く、

Facebookは18日、新たに設立した子会社Calibraで2020年にデジタルワレット「Calibra」を提供開始する計画を発表した(ニュースリリース)。

Calibraは同日Libra協会が発表(PDF)した暗号通貨「Libra」に対応し、Facebook MessengerやWhatsApp、スタンドアロンアプリから利用可能になるという。Calibraを使用することで、スマートフォンを持っている人ならほぼ誰にでも無料または少額の手数料で簡単に送金ができるようになる。いずれは請求書の支払いや、店頭での支払い、公共交通機関への乗車にも利用できるようにしたいとのこと。

Calibraでは銀行やクレジットカードなどで使われる不正利用防止の仕組みを取り入れるほか、詐欺行為を検出・防止する自動化されたシステムを用いてユーザーを保護する。誰かがユーザーをだましてアカウントにアクセスし、その結果Libraが失われた場合には返金する仕組みも用意されるそうだ。なお、限定的な場面を除き、Calibraがユーザー同意なくアカウント情報や財務データをFacebookやサードパーティーと共有することはないとのこと。限定的な場面としては、人々の安全を守るために必要な場合や、法令順守に必要な場合、基本的な機能を提供するのに必要な場合が挙げられている。

Libra協会はFacebookのほか決済サービス企業やテクノロジー・マーケットプレース企業、通信企業、ブロックチェーン関連企業などにより設立された非営利組織。暗号通貨のLibraは資産を裏付けとした価格変動の小さいステーブルコインで、オープンソースのLibra Blockchain上に構築されており、エントリーレベルのスマートフォンとデータ通信があれば世界中で利用可能な暗号通貨と金融インフラの提供を目指すとのことだ(ホワイトペーパー)。

すべて読む | オープンソースセクション | オープンソース | ビジネス | セキュリティ | Facebook | 暗号 | お金 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ユーロポール、暗号通貨追跡訓練をゲーム化するまじめなゲームを開発中 2019年06月16日
採掘できない暗号通貨にも対応する偽採掘アプリ 2018年10月14日
金融商品取引法などの改正案が成立、仮想通貨の呼称を暗号資産に変更するほかインターネットから遮断した環境での管理を義務化 2019年06月05日
Google、6月より仮想通貨に関連する広告の取り扱いを禁止 2018年03月16日
FBのアプリで「いいね」の代わりに仮想通貨による投げ銭が可能に 2014年06月12日

Microsoft、一部のBluetoothデバイスからWindowsへの接続を拒否するよう修正

headless曰く、

Windowsの更新プログラムではBluetoothデバイスとのペアリングや接続ができなくなるバグも発生しているが、6月の月例更新では脆弱性のある一部のBluetoothデバイスからの接続を拒否するよう修正を行ったそうだ(KB4507623SlashGearSoftpedia)。

該当する脆弱性CVE-2019-2102は、Bluetooth Low Energy(BLE)規格で提供されているサンプルのLong Term Key(LTK)をデバイスが実際のLTKとしてハードコードしている場合、ペアリングされたAndroidデバイスに対し近くにいる攻撃者がキーストロークを送信可能というものだ。Androidで影響を受けるのはAndroid 7.0~9で、セキュリティパッチレベル2019-06-01以降で修正(A-128843052)されている。

Microsoftによると、更新プログラムをインストールすることで、既知のキーを使用して通信を暗号化するデバイスのすべてが影響を受ける可能性があるとのこと。更新プログラムのインストール後にBluetooth接続の問題が発生した場合、デバイスの製造元に更新プログラムの有無を問い合わせるよう求めている。

この修正が含まれるのはWindows 10/Server 2016/Server 2019の累積更新プログラムおよび、Windows 8.1/Server 2012/Server 2012 R2/Embedded 8 Standardのマンスリーロールアップとセキュリティのみの更新プログラム。対象がBLEデバイス限定とは書かれていないが、Windows 7はBLEに対応していない。

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Bluetoothの実装に脆弱性、AppleやIntelの製品に影響 2018年07月26日
TI製低電力Bluetoothチップにリモートアクセスを可能にする脆弱性 2018年11月10日
人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果 2019年02月09日

Samsung曰く、スマートTVでは数週間ごとのウイルススキャンがおすすめ

Anonymous Coward曰く、

「Samsung Support USA」Twitterアカウントが突然同社のスマートテレビ「QLED TV」でウイルススキャンを実行することを推奨する投稿を行ったそうだ。この投稿ははなぜか月曜日の朝に削除されているが、内容としては次の通り。

コンピュータをウイルススキャンして、マルウェア対策をすることは重要です。これは、QLED TVがWi-Fi経由でインターネットに接続されている場合にも当てはまります。数週間ごとにウイルススキャンを行うことで、テレビに対して悪意のあるソフトウェアが攻撃されることを防ぐことができます

あえてOSによる自動スキャンではなく、手動のウイルス・スキャンの手段を説明した理由については不明だという。SamsungはCNETの問い合わせに対し、「このビデオは顧客の教育および所有者のトラブルシューティング用に用意されたものだ」と回答したという(CNETSlashdot)。

SamsungのスマートTVでは手動でウイルススキャンを実行する機能が備えられているそうで、この機能は設定画面から呼び出せるという。

すべて読む | セキュリティセクション | テレビ | ハードウェア | セキュリティ | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
スパムを送信する冷蔵庫が確認される 2014年01月21日
インターネット接続機能を持つテレビに感染するウイルスが確認される 2016年10月31日
スマートハウス街の悪夢 2014年06月18日

VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」?

Anonymous Coward曰く、

4月にスタートした、株式会社ZIGが運営するVTuberファンコミュニティサイト「MeChu」で利用者のユーザー名およびメールアドレス、パスワードが漏洩する事件が発生した(ニュースリリースTwitterでの告知ZIPによる「お詫びとご報告」1「お詫びとご報告」2)。

管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもので、パスワードはエンコードされていたものの容易に復号できたという。記事内で使用しているツールから、Base64でエンコードされていただけのものと見られている。

すべて読む | セキュリティセクション | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
メアド・パスワードの流出を警告する「Firefox Monitor」がバージョンアップ 2019年06月07日
ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 2019年05月31日
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
メアド・パスワードの流出を警告する「Firefox Monitor」がバージョンアップ 2019年06月07日
ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 2019年05月31日
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日

トロイ・ハント氏、自身が運営する「Have I been pwned?」の買収先を探す

headless曰く、

アカウント情報流出を確認できるWebサイト「Have I been pwned?」(HIBP)を運営するトロイ・ハント氏が11日、HIBPの買収先を探す「Project Svalbard」を発表した(ハント氏のブログRegister)。

ハント氏がHIBPを開始した2013年以来、現在までHIBPチームなどというものはなく、一人ですべての作業をこなしてきたという。しかし、今年に入ってサイトへのアクセス数や問い合わせが急増。ハント氏はTwitterへの投稿数を減らすなど負荷を減らそうとしたものの、燃え尽き寸前の状態になっていたそうだ。そのため、買収先として見込みのありそうな組織と非公式な話し合いを始めていたとのこと。

プロジェクト名のSvalbardはノルウェー領のスバールバルにちなんだものだ。スバールバルには世界種子貯蔵庫があることや、発音が難しく「pwned」的であること、ハント氏が初めて国際的な講演を行ったのがノルウェーであることが理由に挙げられている。

買収先を探すにあたり、ハント氏が重視しているのは以下のような点だという。

  1. 消費者向けに無償提供しているアカウント情報流出確認機能は今後も無償で提供し続けること
  2. ハント氏がHIBPの一員であり続けること
  3. ハント氏一人では無理だった機能の大幅拡張が実現できること
  4. 現在よりもずっと多くのオーディエンスに到達できること
  5. 消費者のオンラインアカウント管理に対する態度をさらに大きく改善できること
  6. 多くの組織がHIBPによる現在よりも大きな利益を受けられるようになること
  7. より多くの情報開示とデータの収集が実現できること

ハント氏が自ら会社を設立してHIBPを運営していくという選択肢もあるが、それを選ばない理由として、自身の負担を減らすという目的を達成するまでに時間(とお金)がかかる点を挙げている。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
メアド・パスワードの流出を警告する「Firefox Monitor」がバージョンアップ 2019年06月07日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日

ゲーム関連リークを連発していた匿名Twitterユーザー、任天堂の弁護士から素性を突き止められ電話で警告される

Anonymous Coward曰く、

ゲームの未発表情報を次々とリークしていたTwitterユーザーに対し、任天堂の弁護士からリークをやめるよう連絡が来たそうだ。このユーザーは素性を明かしておらず、さらに自分の国籍とは異なる国、登録していない住所にいたにも関わらず、任天堂の弁護士から電話で連絡が来たという。

これを受けてこのユーザーは任天堂関連のリークは止めるとしたものの、任天堂以外のリークについては今後も行っていくと述べている模様。

すべて読む | セキュリティセクション | 任天堂 | ゲーム | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
マリカー訴訟、知財高裁でも任天堂勝訴 2019年05月31日
任天堂のWii、特許侵害で訴えられる? 2007年06月19日
ソニー・ピクチャーズ、メディア各社に流出データの破棄および報道抑制を要請 2014年12月18日

在ロシアEU大使館、サイバー攻撃を受けて情報漏洩との報道。攻撃にはロシアが関与か

あるAnonymous Coward曰く、

BuzzFeed Newsが入手した文書によると、ブリュッセルにある欧州連合(EU)の在ロシア大使館がサイバー攻撃を受け、ネットワーク経由で情報が盗まれたという。しかし、EUの対外安全保障政策機関である欧州対外行動局(EEAS)はこの事件について開示していないようだ(BuzzFeed NewsSlashdot)。

この「サイバースパイ活動」は今年4月に行われた欧州議会選挙の前週に発見された。EUの外交安全保障政策上級代表であるFederica Mogherini氏はBuzzFeed Newsの問い合わせに対し事件の存在を認め、「モスクワ代表団の機密扱いではないネットワークに接続された。すでに対策は講じられており、現在は調査が行われている最中である。現段階ではこれ以上のコメントはできない」と回答している。

匿名情報筋や流出した文書によれば、攻撃の背後にはロシアがいるという。最初の攻撃は2017年2月から開始され、少なくとも2台のコンピュータに対し情報が盗まれた痕跡があるとのこと。攻撃でどれだけの情報が流出したのかは不明だという。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米サイバー軍、民間企業とマルウェアサンプルを共有へ 2018年11月14日
中国がカンボジアの総選挙に対しネットなどでの工作を行っているとの疑惑 2018年08月22日
ロシアによるサイバー攻撃に米国防総省が注意喚起 2018年04月19日
ドイツ政府がサイバー攻撃を受ける。犯人はロシア? 2018年03月06日
平昌オリンピック開会式を狙ったサイバー攻撃は北朝鮮を装ったロシアによるものだったという説 2018年03月01日
昨年6月のサイバー攻撃はロシアの犯行だと英米が発表 2018年02月19日

SSDの性質を利用したランサムウェア被害からのデータ復元支援ツール

一般的なSSDではデータの書き換え時に既存のデータを物理的には削除せず、削除フラグのような仕組みを使って論理的にデータを見えなくするような処理を行っている。これを利用し、マルウェアによってデータを意図せずに書き換えられた場合にデータを復元する手法が考案された(@IT)。

昨今ではデータを暗号化し、それを解除する対価として金銭の支払いを求めるような「ランサムウェア」が問題となっている。この手法を利用することで、データがランサムウェアによって暗号化された場合でもデータを復元できる可能性があるという。ただし、事前にSSDのコントローラにデータを保存しておくような仕組みを導入しておく必要があるようだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | ストレージ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ランサムウェアの身代金を横取りするTorプロキシサイト 2018年02月04日
ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス 2018年12月08日
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日

メアド・パスワードの流出を警告する「Firefox Monitor」がバージョンアップ

昨年Mozillaが開始した既知の個人情報流出の影響を通知するサービス「Firefox Monitor」が、「Firefox Monitor 2.0」にアップデートされた(窓の森Mozilla Blog)。

メールアドレスを入力すると、そのメールアドレスが過去に発生した漏洩情報などに含まれていないかをチェックできるというサービス。登録したメールアドレスに関する新たな情報漏洩が確認された場合に通知を行う機能も備える。Firefox Monitor 2.0では複数のメールアドレスを登録してまとめて監視できるようになったほか、分かりやすく状況を確認できるダッシュボードが追加された。

すべて読む | セキュリティセクション | セキュリティ | Mozilla | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
Mozilla、個人情報が流出したWebサイトの通知機能をFirefoxに追加する計画 2017年11月26日

Google、拡張機能のデータアクセス制限強化などのChromeウェブストアポリシー変更を発表

headless曰く、

Googleは信頼できるChrome拡張にするための対策を昨年発表しているが、これに関連するChromeウェブストアのポリシー変更が発表された(The KeywordThe VergeThe Next WebAndroid Police)。

Googleではサードパーティー開発者によるGoogleアカウントやAndroidデバイスのデータへのアクセスを見直すProject Strobeを昨年から実施しており、今回のポリシー変更はその一環だという。Google+のコンシューマー向けサービス終了もProject Strobeの成果によるものだ。

まず、拡張機能はその機能の実装に必要なデータへのアクセスのみを要求することが求められる。ある機能を実装するのに利用可能なパーミッションが複数ある場合、アクセスするデータの量が最も少ないものを選択する必要がある。このように選択することは従来から推奨されてきたが、今後はすべての拡張機能で必須となる。また、これまでは個人情報を扱う拡張機能のみプライバシーポリシーの公開が必須となっていたが、変更後は個人の通信やユーザーによるコンテンツを扱う拡張機能が追加される。新ポリシーは今夏のロールアウトが計画されており、開発者が対応する時間をとれるよう事前に発表したとのこと。このほか、サードパーティーアプリによるGoogle Drive APIへのアクセス制限も合わせて発表されている。GmailはGoogle API Servicesユーザーデータポリシーを変更し、今年1月からサードパーティーアプリのデータアクセスを制限しているが、これと同様の制限をGoogle Driveにも課す計画だ。こちらは2020年初めから適用される。

Project Strobeとは別に、拡張機能を不正にインストールさせる手法を禁ずるChromeウェブストアの新ポリシーも同日発表されている。Googleは昨年、Chromeウェブストアでホストされた拡張機能を他サイトから直接インストールするインラインインストールを廃止しているが、他サイトからChromeウェブストアへ誘導する際に不正な手法が使われることもあったという。新たに禁止されるのは、拡張機能が具体的に何をするものなのか不明瞭または目立たないように説明する、拡張機能のインストール以外のアクションを実行するボタンなどからChromeウェブストアへ移動させる、Chromeウェブストアを表示する画面を小さくしてメタデータが表示されないようにする、といった3種類の手法だ。新ポリシーは7月1日から適用され、これを守らない拡張機能はChromeウェブストアから削除されるとのことだ(Chromium BlogFAQAndroid Policeの記事[2])。

すべて読む | ITセクション | Chrome | セキュリティ | デベロッパー | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 2019年05月04日
Google+、終了へ 2018年10月11日
Google、信頼できるChrome拡張にするための対策を発表 2018年10月07日
Chrome 69では再起動するたびにWebサイトごとのFlash使用許可が必要に 2018年08月25日
人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 2018年07月05日
Google、Chrome拡張のインラインインストール廃止へ 2018年06月16日
Google、Windows版Chromeで強化されたセキュリティ機能を紹介 2017年10月21日

米NSA事件から6年、スノーデンは大衆監視を防ぐことはできなかった

米国家安全保障局 (NSA)の元局員エドワード・スノーデン氏がNSAによる国民監視を暴露してから6年が経過した。彼の予言した大衆監視社会は実現化しつつある。一方でスノーデンが公開した情報は風化しつつある。情報公開元の一つであったThe Interceptは3月、取締役会の決定によりスノーデン関連のアーカイブの公開を取りやめた

スノーデンの啓示によって歴史はまったく変わらなかった。告発対象となったアメリカ諜報機関はほとんど無傷だ。制度上の変化もなかった。2015年6月、愛国者法第215条の失効により、政府のメタデータの収集能力は喪失した。が、それも大衆の監視を抑えることにはつながらなかった。今でもプライバシーは広告収入、四半期ごとの収益というシリコンバレーのビジネスを継続させる一種の「希望」となり、そしてスパイたちへの対抗力として使われ続けている。

むしろスノーデンの監視社会への警告は、テロリストに悪用されつつあるとも言える。ISISのリーダーであるアブー・バクル・アル=バグダーディーは、アメリカのOPSECを信奉し、それにより今でも生存している。彼はOPSECを参考にして自分の位置を特定するリスクのある電子機器を制限したり、ウサーマ・ビン・ラーディンが死亡する原因となった宅配便の利用を避けるようになった。スノーデンは強力な暗号化を推進していたが、より高いレベルのセキュリティを達成するには、テクノロジを放棄する必要があることを、ISISリーダーの例は示している(CounterPunch.orgSlashdot)。

すべて読む | セキュリティセクション | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米当局、WikiLeaks創設者をスパイ活動法違反などで追起訴。これに対し言論の自由に反するとの批判 2019年06月04日
Webサイトブロッキングに反対するスウェーデンのISP、Webサイトブロッキングで当局の調査対象に 2018年12月31日
監視対象者リストに載っていない米市民の旅客機利用を追跡・監視する米TSAの「Quiet Skies」プログラム 2018年08月04日
Amazonのリアルタイム顔認識システムを米警察が利用。Amazonが積極的に営業か 2018年05月26日
米当局の「情報収集」を告発した元職員、当局とイスラエルがウイルス作成のため協力したと述べる 2013年07月11日

Microsoft、Remote Desktop Servicesの脆弱性にパッチ適用を呼び掛ける

headless曰く、

Microsoftが5月の月例更新で修正したRemote Desktop Servicesの脆弱性CVE-2019-0708)について、影響を受ける旧バージョンWindowsにパッチを適用するよう呼び掛けている(MSRCのブログ記事The VergeArs TechnicaBetaNews)。

BlueKeepとも呼ばれるこの脆弱性は、悪用するとリモートからの任意コード実行が可能になるものだ。Microsoftでは脆弱性をワームに転用することが可能であり、SMBv1の脆弱性を悪用するWannaCryのようにネットワークに接続したコンピューター間での感染拡大が起こる可能性があるとしてパッチ公開時に注意喚起していた。今回改めて注意喚起したのは、5月28日にErrata Securityが公表した「BlueKeep脆弱性が修正されていないコンピューターが100万台近くインターネットに直接接続している」という調査結果がきっかけとみられる。

Microsoftによれば、現在のところワームによる攻撃は確認されていないものの、脆弱性を狙った攻撃が可能であることは間違いないという。実際には脆弱性を悪用するマルウェアが出現しない可能性もあるが、確実とはいえない。WannaCryの元になったEternalBlueエクスプロイトの場合、Microsoftがパッチを提供してから1か月後に公開されたが、さらにその1か月後にWannaCryの大規模感染が発生した。つまり、パッチの提供開始から2か月経過しても未適用の環境が多かったということになる。そのため、同様な事態になることを避けることが注意喚起の目的のようだ。

すべて読む | セキュリティセクション | セキュリティ | Windows | ワーム | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windowsのリモートデスクトップサービスに重大な脆弱性、Windows XP/Server 2003にも修正パッチが出る 2019年05月15日
WinRARの脆弱性を狙ったマルウェアが急増 2019年03月20日
Google、Chromeのゼロデイ脆弱性と組み合わせて攻撃に使われていたWindowsのゼロデイ脆弱性を公表 2019年03月10日
Windows 7のDLL読み込みに関する脆弱性、対策はWindows 10へのアップグレード 2019年03月04日
Microsoft、Windows XPのセキュリティ更新プログラムを公開 2017年05月14日
Shadow BrokersがNSAも使っているというエクスプロイトを公開、Windowsにおいてはすべて対応済み 2017年04月19日

英諜報機関による通信傍受案、AppleやGoogleなどのIT大手が拒否する書簡を公開

あるAnonymous Coward曰く、

英政府通信本部(GCHQ)は各種メッセージングサービスで送受信されるメッセージを法執行機関などが閲覧可能にするシステムの導入を提案しているが、これに対しApple、Google、Microsoft、Facebook傘下のWhatsAppといったIT大手やセキュリティ専門家らが共同でこの提案を放棄することを求めた書簡を送付した(CNBCCNETITmediaSlashdot)。

問題となっている提案は、ユーザーに見えない形で法執行機関などのユーザーをメッセージの送受信先に追加するというもの。書簡ではこういった行為がサービスプロバイダとユーザーの信頼を損なうほかセキュリティにも問題が出る可能性があるとして反対している。

すべて読む | セキュリティセクション | セキュリティ | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
欧州議会の委員会、すべての電子通信にエンドツーエンドの暗号化を推奨 2017年06月22日
英政府、マンチェスターテロ事件をきっかけにインターネットへの検閲を強化する可能性 2017年05月30日
英国政府はアプリケーション開発者にバックドア実装を強制することはない 2015年11月04日

佐世保共済病院、コンピュータウイルス感染が原因で患者受け入れを一時見合わせ

長崎県・佐世保共済病院のPCでコンピュータウイルスが検出され、院内システムが利用できなくなったために救急患者を含めた新規患者の受け入れを見合わせるというトラブルが発生していたという(NHK日経xTECH長崎新聞)。システムはすでに復旧しており、6月3日には受診制限を解除したとのこと(佐世保共済病院の発表)。

5月28日に放射線検査機器を接続したPCでウイルスが見つかり、電子カルテ用のPCへの感染も確認された。そのため被害拡大を防ぐために院内のネットワークを遮断したという。院内のシステムはインターネットには接続されていないという。

すべて読む | セキュリティセクション | セキュリティ | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
大阪府の高槻赤十字病院、麻疹感染が疑われる患者の診察を「お断り」 2019年03月08日
松本市の病院でインフルエンザの集団感染が発生、ワクチンを接種していた病院職員も発症 2019年02月01日
夏時間のせいで医療記録が飛ぶ 2018年11月08日
奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染 2018年10月25日
電子カルテシステムを刷新した東大病院でトラブル発生 2018年02月07日

米当局、WikiLeaks創設者をスパイ活動法違反などで追起訴。これに対し言論の自由に反するとの批判

あるAnonymous Coward曰く、

内部告発サイト「WikiLeaks」では、米政府機関などの機密情報などのリーク情報を公開していたが、これに対し米政府は同サイトの創設者であるジュリアン・アサンジ氏をスパイ活動法違反などの疑いで追起訴した。これに対し、米国では報道の自由を侵害する行為ではないかとの批判が高まっているという(日経新聞WIRED)。

批判の内容は、「この国の歴史で初めて政府は、本当の情報を公開した者を公訴した」「もしこの訴訟でアサンジを有罪にするなら、政府は誰でも有罪にできる」といったもの。これが前例となり、政府が隠している情報を公開したジャーナリストが今後訴えられる可能性も危惧されている。

すべて読む | セキュリティセクション | 検閲 | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ウィキリークス、2回目の米大統領討論会に合わせてクリントン陣営責任者のメールとされる内容を公開 2016年10月14日
ウィキリークス、複数の政府や米大統領選に関連する文書を年内公開へ 2016年10月07日
WikiLeaksが公開したトルコ・公正発展党からの流出メール、添付ファイルのマルウェアもそのまま公開されていた 2016年08月21日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
WIkileaksの創設者が投獄されるか死亡すると公開される「情報の核爆弾」 2010年12月12日

トレンドマイクロ、無限アラートを「悪質なブラクラ」だと誤解させるような記事を公開していた

あるAnonymous Coward 曰く、

JavaScriptを使って無限にアラートを表示させる行為について、トレンドマイクロが「ウイルス供用罪の可能性があり非常に悪質な行為」だと主張していたことに対し批判が出ている(黒翼猫のコンピュータ日記 2nd Edition)。

アラートループ摘発事件はこの資料を基に「非常に悪質だが低い技術力で検挙可能な行為がある、端緒になる」という判断が行われたという経緯だったのだろうか。

トレンドマイクロは無限にアラートを表示させるようなWebページを「ブラウザクラッシャー(ブラクラ)」だと誤解させるような記事を2013年にセキュリティブログで公開しているだけでなく、『2013年のスマートフォンの脅威と2014年の脅威予測」カンファレンス』というイベントでもJavaScriptを使った無限ループについて「ブラクラ」だとし、ウイルス供用罪の可能性があると発表していた(発表資料)。

こういった無限アラート表示については、そのURLをネットに投稿した男性などが摘発される(アラートループ事件)も発生したが、最終的には起訴猶予処分となり、弁護士からは「嫌疑無しにすべきだった」との声も出ている

すべて読む | ITセクション | セキュリティ | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
アラートループで書類送検の男性2人が起訴猶予処分に、「嫌疑なしにすべきだった」担当弁護士が異例の声明 2019年05月30日
トレンドマイクロ、サイバー攻撃を受け情報漏洩を起こしていたことを認める。ソースコード漏洩は否定 2019年05月20日
無限にアラートを表示するようなページのURLをネット投稿して書類送検された男性、取り調べの様子を語る 2019年03月22日
トレンドマイクロがCoinhiveの実演時に細工をして意図的にCPU負荷を上げていた疑惑が出る 2019年03月06日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
九州大学、セキュリティ対策ソフトの不具合により約500件のトラブル発生 2018年06月18日
ネットで過度に騒がれた通称「vvvウイルス」 2015年12月08日
トレンドマイクロにマルウェアと誤検知されたフリーソフトウェア開発者、問題はすでに解決済みとして経緯を再説明 2015年09月09日

ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性

家電量販店大手のヤマダ電機が、同社のネットショッピングサイトに不正アクセスがあり顧客の情報が漏洩したとの発表を行った

これによると、不正アクセスによって決済アプリケーションが改ざんされており、3月18日から4月26日の間に同サイトに登録されたクレジットカードの情報が流出した可能性があるという。流出した可能性があるクレジットカード情報はクレジットカード番号および有効期限、セキュリティコード最大37832件とのこと。

同サイトではセキュリティコードの保存は行っていなかったが、アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ(Yahoo!ニュース)。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 2018年12月30日
ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話 2018年12月20日
Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 2017年03月11日
印刷通販を手がけるグラフィック、クレジットカード情報を流出させる 2016年09月07日

痴漢者にスタンプする護身用シャチハタ、開発へ

nemui4曰く、

ゴム印などで知られるシャチハタが、護身用のスタンプを開発するという(毎日新聞)。

どうか冤罪ネタには使われませんように。このネタ関係のtogetter見たけど、安全ピンでグサグサやっていいと思うよ。痴漢するやつは階段でコケて足くじいてしまえ。

痴漢された際にこのスタンプを相手の手などに押すことで証拠を残すというもの。まだ具体的な完成形については検討中だそうだが、真剣に商品化を目指すそうだ。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
痴漢通報機能を搭載したスマートブラ 2018-07-13 07:01:00
電車内で痴漢に間違えられた際に適切な対応を支援してくれるスマホアプリ 2017-01-24 04:54:00
「チカン抑止シール」は抑止力となるか 2015-04-17 09:19:00
インドの学生、痴漢撃退下着を開発 2013-04-25 05:20:00
埼京線の全編成に痴漢防止目的の車内防犯カメラを設置へ 2010-04-06 08:30:00

米上院議員、令状無しでの国境での電子機器の検閲を防止する法案を提出

taraiok曰く、

国土安全保障省(DHS)の国境担当は、米国に出入りする旅行者に対して、令状なしでスマートフォンやラップトップPCといったデジタル機器の中身を自由に検閲できる。米上院議員の二人は超党派的な法案により、この状況を変えることを望んでいる。この二人はオレゴン州の民主党員であるRon Wyden、ケンタッキー州の共和党員であるRand.Par Paulの両氏。二人はProtecting Data at the Border Act[PDF]という法案を発表した(CNETCNETその2Slashdot)。

DHSによる国境での電子機器の検閲数は、ここ4年間で急増しているという。2015年には4,764件であったのに対し、2018年の検閲数は33,000件にまで増加。Ron Wyden上院議員は、「国境は頻繁に移動するアメリカ人にとって、権利のない地域になりつつある。休暇を取った、仕事のために移動しなければならないという理由で、政府があなたの電子機器を検閲することはおかしい」とWyden上院議員は声明で述べている。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
空港における日本人の出入国審査、原則として顔認証システムを使用する方針に 2017年07月03日
米税関、入国審査時にSNSのアカウント名を尋ねることを検討中 2016年06月30日
米国入国時の生体データ採取、「ほぼ全ての外国人」に対象を広げる 2008年12月27日
アメリカへの入出国ではPCの中身にご注意を 2008年04月24日

Huaweiの次に米国に狙い撃ちされるのは大手ドローンメーカーDJIか

あるAnonymous Coward曰く、

米国政府がHuaweiに対する制裁を発表したが、次の制裁ターゲットは世界シェアの7割を占めているとも言われる中国のドローンメーカーDJIではないかとみられている。米国土安全保障省が米企業などに対し、中国製のドローンによって情報流出が発生する可能性があると警告したとのこと(読売新聞)。

DJIはこういった「情報流出」に対し否定、第三者機関の調査でもそのような行為は認められなかったとしている(ギズモード・ジャパン)。

なお、DJIのドローンには過去に脆弱性が見つかっているが、これは意図的なものではなく、セキュリティ企業からの指摘を受けて修正されたとしている(チェックポイントの発表)。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
英ArmがHuaweiとの取引を停止するとの報道 2019年05月23日
ニューアーク国際空港で遅延を発生させた上空でのドローン目撃情報、実際にはドローンではなかった可能性も 2019年01月27日
小型のカメラ用電動スタビライザー市場が開けつつある 2015年11月16日

ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される

あるAnonymous Coward曰く、

PCにプリインストールされているソフトウェアの脆弱性問題は以前にも指摘されているが、また新たな問題が発覚した。ESETのセキュリティ研究者らによると、ASUS製PCにインストールされている「ASUS WebStorage」の脆弱性が狙われており、PCに不正なソフトウェアをインストールする攻撃が確認されたという(PC WatchESET)。

ASUS WebStorageはASUSが提供しているオンラインストレージサービスのクライアントソフトウェア。このソフトウェアは自動アップデート機能を備えているが、その際にHTTPでバイナリをダウンロードするうえ、ダウンロードしたバイナリを検証せずに実行してしまうという。問題の攻撃はこれを悪用するもので、アップデートのダウンロード時にネットワークトラフィックの改変などを行った悪意のあるアップデータを送り込むというもの。具体的には、まず脆弱性のあるルーターに侵入し、そこでトラフィックを改変するような処理を行うようにしていたという。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 2019-04-08 05:10:00
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017-12-12 06:42:00
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016-06-09 07:13:00
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015-12-15 23:00:00

Google、「G Suite」の一部パスワードを暗号化せず14年間も保存していたことを報告

Googleが企業・団体向けサービスであるG Suiteにおいて、同社のポリシーに反してハッシュ化せず平文で保存していたことを明らかにした(Google Cloudブログでの発表CNET Japan)。

G Suiteではかつて企業・団体のドメイン管理者に向けたツールを提供しており、そのツールの機能の1つにその組織のユーザーを手動で設定できるというものがあったそうだ。このツールでパスワードをハッシュせずに管理していたという。なお、この機能はすでに廃止されており、またパスワードに対する不正アクセスや、これらを悪用されたも確認はないとのこと。

すべて読む | ITセクション | Google | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 2019年04月10日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日

ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される

あるAnonymous Coward曰く、

PCにプリインストールされているソフトウェアの脆弱性問題は以前にも指摘されているが、また新たな問題が発覚した。ESETのセキュリティ研究者らによると、ASUS製PCにインストールされている「ASUS WebStorage」の脆弱性が狙われており、PCに不正なソフトウェアをインストールする攻撃が確認されたという(PC WatchESET)。

ASUS WebStorageはASUSが提供しているオンラインストレージサービスのクライアントソフトウェア。このソフトウェアは自動アップデート機能を備えているが、その際にHTTPでバイナリをダウンロードするうえ、ダウンロードしたバイナリを検証せずに実行してしまうという。問題の攻撃はこれを悪用するもので、アップデートのダウンロード時にネットワークトラフィックの改変などを行った悪意のあるアップデータを送り込むというもの。具体的には、まず脆弱性のあるルーターに侵入し、そこでトラフィックを改変するような処理を行うようにしていたという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 2019年04月08日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日

ユニクロやGUに不正ログイン46万件、住所など流出の可能性

やや旧聞となるが、衣料品店「ユニクロ」や「GU」を手がけるファーストリテイリングが、同社の通販サイトに不正アクセスがあったことを明らかにした毎日新聞INTERNET Watch日経xTECH)。

他のサービスなどから流出したID・パスワードのリストを使ってログインを試みる、いわゆる「リスト型攻撃」によって不正ログインを試みるという手法で、攻撃は4月23日から5月10日にかけて行われたという。顧客からの問い合わせで発覚した。不正ログインによって氏名や住所、クレジットカード番号の一部といった登録情報が閲覧された可能性があるという。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
意図的に間違ったID/パスワードを入力し、他のユーザーがログインできなくなるようにする嫌がらせ 2019年02月06日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
仮想通貨取引所Zaif、不正アクセスで約67億円相当の仮想通貨を流出させる 2018年09月21日
産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 2018年08月03日

Fedora、rootユーザーによるsshパスワードログインのデフォルト無効化を検討開始

headless曰く、

Fedoraは今秋リリースのFedora 31に向け、rootユーザーによるsshパスワードログインをデフォルトで無効化すべく検討を開始したようだ(PhoronixFedora Wikidevelメーリングリストのスレッド)。

OpenSSHでは2015年からrootユーザーのパスワードログインをデフォルトで無効化しているが、Fedoraはデフォルト設定を変更してパスワードログインを許可し続けていた。しかし、Linuxのrootログインは攻撃者に狙われやすい部分であり、パスワードはその弱点となっている。Fedoraがパスワードログインを許可し続けてきたのにはさまざまな実用的な理由があるものの、OpenSSHのデフォルトとの違いが許容できない段階に達しており、ユーザーの期待するデフォルト設定にも反するため変更が必要になったとのこと。変更後も公開鍵認証やGSS-API認証は影響を受けない。

一方、この設定に依存するものも多く存在するため、対策の検討も必要となる。最終的にはFedora Engineering Steering Committee(FESCo)での採決が必要になるが、develメーリングリストで強い反対意見は出ておらず、Fedora 31ではrootユーザーのsshパスワードログインがデフォルト無効になる可能性が高いとみられている。

すべて読む | Linuxセクション | Linux | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
脆弱性公表をきっかけにbeepパッケージの不要論が出る 2018年04月13日
ついにWindowsにMicrosoft公式SSHクライアントがやってくる 2015年06月04日
500万個のSSH公開鍵を解析する実験 2015年01月27日

トレンドマイクロ、サイバー攻撃を受け情報漏洩を起こしていたことを認める。ソースコード漏洩は否定

5月9日、大手ウイルス対策ソフトベンダー3社がハッカー集団「Fxmsp」からサイバー攻撃を受けて製品ソースコードや機密情報などの流出が起きていたと米セキュリティ企業のAdvanced Intelligenceが伝えたpiyolog過去記事)。その後この3社がTrendMicro、Symantec、McAfeeだったことが明らかになったが、これに対しトレンドマイクロは実際にサイバー攻撃を受けたことを認めたものの、ソースコードの流出は否定している(朝日新聞トレンドマイクロの発表)。

トレンドマイクロは、「流出したものはデバック目的で利用される情報の一部」と述べている。これに対しFxmspとコンタクトを取ったAdvanced IntelligenceのYelisey Boguslavskiy氏はトレンドマイクロの発表について正しくないと主張、ハッカー集団がソースコードにアクセスした証拠があると述べている(Bleeping Computer

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ハッキング集団、米大手アンチウィルス企業3社からソースコードなどを入手したと主張 2019年05月12日
トレンドマイクロがCoinhiveの実演時に細工をして意図的にCPU負荷を上げていた疑惑が出る 2019年03月06日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
九州大学、セキュリティ対策ソフトの不具合により約500件のトラブル発生 2018年06月18日
Kaspersky Internet Security のソースコードの一部がインターネットに流出 2011年02月03日

米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止

米サンフランシスコ市で、警察など公共機関に対し顔認証技術の使用を禁じる条例案が可決された(BBC朝日新聞ウォール・ストリート・ジャーナル)。

米国ではすでに法執行機関が顔認識を活用しているほか(過去記事)、コンサート会場においてストーカーを検出するために顔認識技術が使われていた事例もある(過去記事)。

サンフランシスコ市が顔認証技術を禁じた理由として、「恩恵よりも市民の権利や自由を侵すおそれのほうが大きい」ことが挙げられている。企業や連邦政府は対象外。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
大阪メトロ、顔認証で改札を通れるシステムを導入へ 2019年04月24日
中国の汚職撲滅AIシステム、取り締り能力が高すぎてお蔵入りか 2019年02月19日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日
Amazonのリアルタイム顔認識システムを米警察が利用。Amazonが積極的に営業か 2018年05月26日

2011年からのIntel製CPUに新たなサイドチャネル攻撃の脆弱性が見つかる

90曰く、

IntelのCPUに新たな脆弱性が見つかった(窓の杜ITmedia)。

Fill bufferと呼ばれるCPUのキャッシュメモリに権限分離が適用されず、特定の条件で任意のプロセスから読み出せるというもので、Microarchitectural Data Samplingと名付けられ、Zombieloadというニックネームが付けられた。発見者によれば2011年以降のIntel製プロセッサが影響を受ける。Intelによれば第8と第9世代Coreおよび第2世代のXeon Scalableプロセッサの一部ではハードウェアによる対策が行われており、それ以外のプロセッサにはマイクロコード更新による緩和策が提供される。

AppleのKB記事によれば、これらの脆弱性を緩和するためにmacOS Mojave、High Sierra、Sierraに追加された「full mitigation」機能を有効にすると、処理性能は最大で40%低下するという。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | Intel | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Googleの研究者ら曰く、Spectre脆弱性の修正は難しい 2019年02月28日
CPUのSMT機能に関連した脆弱性が見つかる、SSL秘密鍵を盗む実証コードも公開 2018年11月07日
Spectre/Meltdown脆弱性の新バリアント2件が公表される 2018年05月25日

スウェーデンの検察、性的暴行容疑によるジュリアン・アサンジ氏の捜査を再開

headless曰く、

スウェーデンの検察がジュリアン・アサンジ氏の性的暴行容疑について、捜査を再開したそうだ(Ars TechnicaThe RegisterSvenska YleETC)。

アサンジ氏はスウェーデンでの女性2名に対する性的暴行など4件の容疑により、2010年に英国・ロンドンで逮捕された。しかし、保釈中の2012年に政治亡命を求めて在英エクアドル大使館に入り、今年4月に保釈中の逃亡容疑で再び逮捕されるまで大使館に滞在し続けた。そのため、スウェーデンでの容疑のうち3件は2015年に時効を迎えており、残り1件についても2017年5月に捜査をいったん打ち切るとスウェーデンの検察が発表していた。捜査の再開は被害者側からの請求によるものだという。

アサンジ氏は保釈中の逃亡罪で禁錮50週間の判決を受けている。事情聴取をビデオ通話で行なうことも可能だが、アサンジ氏が拒否した場合は検察官が英国へ出向く必要がある。アサンジ氏の身柄引き渡しを求める欧州逮捕令状も近く発布される見込みだが、米国も身柄引き渡しを求めており、どちらが優先されるのかは英国次第だという。ただし、スウェーデンでの容疑は2020年8月に時効を迎えるため、時間は限られているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | 英国 | セキュリティ | EU | スラッシュバック | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は? 2019年04月14日
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaksに情報を流した裏切り者を探すCIAとFBI 2017年04月28日
WikiLeaks創設者のジュリアン・アサンジ氏の生存が確認される 2016年12月02日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日

米国で携帯会社従業員に賄賂を渡して個人情報を入手していたサイバー犯罪者らが起訴される

あるAnonymous Coward曰く、

米国では、携帯電話のSIMカードの情報を第三者が勝手に書き換えることで、SMSなどを使った認証を突破してアカウントを乗っ取るという手法が問題となっている(過去記事)。こういった手法を使って仮想通貨ウォレットや仮想通貨口座を乗っ取り、約240万ドル(2億6,300万円)を盗んだという犯罪グループ6名が米国で逮捕・起訴された(PC Watch)。

犯行グループは携帯電話会社の従業員に賄賂を渡して被害者の個人情報を入手、その情報を使ってカスタマーサービスの本人認証を騙し、電話番号を奪い取ったという。

本件では、犯行グループが通信詐欺や個人情報の窃盗などの罪に問われている他、情報を売り飛ばした従業員らも盗難の幇助で刑事告訴されているという。しかし、携帯電話会社が情報を漏らしてしまうのであれば、ユーザー側はどう対策すればいいのだろうか?

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 携帯電話 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「連打」で不正に引き出せる不具合を使って仮想通貨「モナコイン」を詐取した少年が書類送検される 2019年03月15日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日
SIMカードに脆弱性が発見される。悪用するとSIMカードの乗っ取りが可能に 2013年07月23日

Windowsのリモートデスクトップサービスに重大な脆弱性、Windows XP/Server 2003にも修正パッチが出る

あるAnonymous Coward曰く、

WindowsのRemote Desktop Servicesに、悪用することで任意の外部コードを実行できてしまう脆弱性(CVE-2019-0708)が発見された。細工を施した接続リクエストを送信するだけで攻撃が可能で、自己増殖型のマルウェアに悪用される可能性も高いとのこと(ITmedia窓の杜)。

この脆弱性の影響を受けるのはWIndows 7/Windows Server 2008 R2以前のWindowsのようだ。Windows 8以降については影響はないとのこと。Windows 7およびWindows Server 2008/2008 R2向けにセキュリティアップデートがすでに提供されているほか、すでにサポートが終了しているWindows XPおよびWindows Server 2003についても、影響が大きいとして修正パッチがリリースされている

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Windows XPなど旧OS用の新たなセキュリティ更新プログラムをさらに公開 2017年06月16日
Windowsのセキュリティ更新プログラム、重要な公共サービスなどで多数使われている限り提供し続ける必要がある? 2017年05月21日
ランサムウェア「WannaCrypt」、大流行中 2017年05月15日
Microsoft、Windows XPのセキュリティ更新プログラムを公開 2017年05月14日

ポルノサイトの料金請求画面を常時表示させるウイルスを作成した男が逮捕される

あるAnonymous Coward曰く、

虚偽の契約締結画面や料金請求画面を表示するマルウェアを作成し、これを使ってポルノ動画サイトの閲覧者から不正に利用料金をだまし取っていたとして、愛知県警などが不正指令電磁的記録作成の疑いで54歳男性を逮捕した(時事通信共同通信)。

サイト閲覧者が画面をクリックするとこのプログラムがダウンロードされ、実行してしまうと料金請求画面などが常時表示されるようになるという。この詐欺事件ではすでに男女3人が逮捕されているとのことで、このマルウェア感染したPCは2万5000台以上、被害額は約3200万円だという。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日
アダルトサイトがらみのトラブル相談、10万件を超え過去最多に 2015年04月27日
Microsoft、米国でテクニカルサポート電話詐欺を行う企業を提訴 2014年12月21日
アダルトサイト架空請求メールでスパマー逮捕 2003年05月22日

自民党、「サイバー反撃」やマルウェアを使った捜査などを合法化するよう求める法整備を検討

自民党サイバーセキュリティ対策本部が、サイバー攻撃への対抗策として「サイバー反撃」を可能にする法整備を検討などを含む提言をとりまとめた(共同通信ロイター時事通信)。

サイバー攻撃を受けた際に攻撃者に対し大量のデータを送りつけたり、機密情報を盗まれた際に不正アクセスを行って奪い返すといった「サイバー反撃」を可能にする法整備の検討を求めるほか、当局に対しマルウェアを使った捜査手法を認めるよう検討することなども盛り込まれている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | インターネット | IT | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
イスラエル軍、ハマスのサイバー攻撃にミサイルで反撃 2019年05月14日
北朝鮮、サイバー攻撃で5億ドル以上を稼いでいたとの試算 2019年03月18日
国連の民間航空機関、サイバー攻撃被害を隠蔽していた 2019年03月12日
サイバー犯罪で利用されたビットコインアドレス、経済制裁の対象に 2018年12月03日
米サイバー軍、民間企業とマルウェアサンプルを共有へ 2018年11月14日

米Amazon.comの出品者アカウントに対し不正アクセス、売上金や借入金が不正に引き出される

あるAnonymous Coward曰く、

米Amazon.comで、出品者のアカウントを狙った不正アクセスが多数発生していたという(The Mercury NewsBloombergSlashdot)。

昨年の2018年5月から10月までの約半年間、約100の出品者アカウントに不正アクセスがあり、売上金や借入金が不正に別口座に移動されていたという。不正アクセスを受けたアカウントの情報については現在調査中で、Amazon側は詳細については明らかにしていないようだ。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
米Amazon.com、配達を請け負う個人に対し自撮りで本人確認を求める 2019-04-25 23:00:00
米Amazon.com社員が中国企業に内部情報を売り渡していたとの報道 2018-09-20 23:00:00
Amazonマーケットプレイスの偽レビュー問題、☆5レビューを集めたあとに商品を変更する手口が確認される 2018-08-06 04:12:00

イスラエル軍、ハマスのサイバー攻撃にミサイルで反撃

あるAnonymous Coward曰く、

5月3日の抗議デモが発端となり、軍事衝突が続いている中東パレスチナ自治区のガザ地区だが、この衝突の最中、イスラム原理主義組織ハマスからのサイバー攻撃に対して、イスラエル軍が攻撃元に空爆を行ったことが明らかにされた(Engadget日本版Newsweek)。

この空爆は、イスラエル軍が6日に公式Twitterアカウントで明らかにしたもの(ツィート)。公開された写真の施設には、ハマスのサイバー攻撃拠点が置かれていたとのことで、サイバー攻撃の詳細は明らかになっていないが、イスラエルは攻撃を検知すると即座に空爆を行ったとのこと(空爆の映像)。状況から、イスラエル軍は事前にハマスのサイバー部隊を特定しており、それが素早い攻撃に繋がったとみられている。

ITシステムが社会インフラとなった現代においては、サイバー攻撃に対して「あらゆる措置をとる」と述べる国は多いが、実際に軍事的手段を取った事が明らかになったのは極めて異例である。ただし、今回の衝突ではハマス側は600発以上のロケット弾を発射し、イスラエル側も320か所以上への空爆を行っているため、サイバー攻撃も当事者にとっては一連の戦闘の一つに過ぎないのだろう。

なお、イスラエル軍のツィートは「HamasCyberHQ.exe has been removed.」で締めくくられている。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
北朝鮮、サイバー攻撃で5億ドル以上を稼いでいたとの試算 2019年03月18日
国連の民間航空機関、サイバー攻撃被害を隠蔽していた 2019年03月12日
サイバー犯罪で利用されたビットコインアドレス、経済制裁の対象に 2018年12月03日
イスラエル軍、Twitterで「攻撃予告」 2012年11月21日

米Amazon.comの出品者アカウントに対し不正アクセス、売上金や借入金が不正に引き出される

あるAnonymous Coward曰く、

米Amazon.comで、出品者のアカウントを狙った不正アクセスが多数発生していたという(The Mercury NewsBloombergSlashdot)。

昨年の2018年5月から10月までの約半年間、約100の出品者アカウントに不正アクセスがあり、売上金や借入金が不正に別口座に移動されていたという。不正アクセスを受けたアカウントの情報については現在調査中で、Amazon側は詳細については明らかにしていないようだ。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米Amazon.com、配達を請け負う個人に対し自撮りで本人確認を求める 2019年04月26日
米Amazon.com社員が中国企業に内部情報を売り渡していたとの報道 2018年09月21日
Amazonマーケットプレイスの偽レビュー問題、☆5レビューを集めたあとに商品を変更する手口が確認される 2018年08月06日

韓Samsung Biologicsの社員、床下にサーバーを隠す。粉飾会計の証拠隠滅目的か

あるAnonymous Coward曰く、

粉飾会計が疑われている韓国Samsung Biologicsに対し韓国当局が工場の家宅捜索を行ったところ、床の下に隠されていたサーバーが見つかり押収されたとのこと。不正の証拠となるデータを隠すためではないかと見られており、証拠隠滅の疑いで同社社員に逮捕状が請求されているという(日経新聞ハンギョレ)。

床を剥いでサーバーを埋め、その後床を覆って隠すといった行為が行われていたとみられている。このサーバーには数十TBのデータが保存されていたとのこと。床下に一部資料を廃棄した疑いもあるそうだ。さらに、同社子会社のサーバーが社員の自宅に隠されていたことも発見されているという。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
サイバー攻撃でコンピューターが使用できなくなった米アラスカ州の郡、タイプライターを持ち出して対応 2018年08月04日
財務省、公用電子メールの60日での自動破棄を継続中。理由はサーバー容量 2018年01月23日
国土交通省、メールについて送受信後1年後にすべて破棄する方針 2018年01月16日

荷物追跡アプリ「ウケトル」に対し「IDやパスワードが第三者に利用される危険性があるとしてヤマト運輸が注意喚起

ヤマト運輸のオンラインサービスのIDとパスワードを登録することで荷物の追跡などを行えるスマートフォン向けアプリ「ウケトル」に対し、ヤマト運輸が「正式に提携したサービスではない」として、注意喚起を行っている(ハフィントンポスト)。

このアプリは利用者が入力したヤマト運輸オンラインサービスのID/パスワードを使ってヤマト運輸のサービスにログインして情報を取得し表示する仕組みとのことだが、ヤマト運輸はこれについてパスワード等を第三者が利用することを禁じた「クロネコメンバーズ規約」に違反する可能性があるとし、またヤマト運輸側ではこれらのID/パスワードが適切に管理できているか確認できないとし、これら情報の周出や第三者による不正利用のおそれもあるとしている。

いっぽうでアプリ「ウケトル」側はTwitterで入力されたID/パスワードについて「皆様のスマホにのみ保存されており、一切ウケトルでは保有しておりません」としている。

すべて読む | セキュリティセクション | セキュリティ | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IT従事者でも多くがパスワードの使い回しや同僚との共有を行なっている 2019年03月13日
金融庁が家計簿アプリ事業などを登録制にする方針を示す 2016年12月12日
家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非 2015年07月02日

荷物追跡アプリ「ウケトル」に対しIDやパスワードが第三者に利用される危険性があるとしてヤマト運輸が注意喚起

ヤマト運輸のオンラインサービスのIDとパスワードを登録することで荷物の追跡などを行えるスマートフォン向けアプリ「ウケトル」に対し、ヤマト運輸が「正式に提携したサービスではない」として、注意喚起を行っている(ハフィントンポスト)。

このアプリは利用者が入力したヤマト運輸オンラインサービスのID/パスワードを使ってヤマト運輸のサービスにログインして情報を取得し表示する仕組みとのことだが、ヤマト運輸はこれについてパスワード等を第三者が利用することを禁じた「クロネコメンバーズ規約」に違反する可能性があるとし、またヤマト運輸側ではこれらのID/パスワードが適切に管理できているか確認できないとし、これら情報の周出や第三者による不正利用のおそれもあるとしている。

いっぽうでアプリ「ウケトル」側はTwitterで入力されたID/パスワードについて「皆様のスマホにのみ保存されており、一切ウケトルでは保有しておりません」としている。

すべて読む | セキュリティセクション | セキュリティ | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IT従事者でも多くがパスワードの使い回しや同僚との共有を行なっている 2019年03月13日
金融庁が家計簿アプリ事業などを登録制にする方針を示す 2016年12月12日
家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非 2015年07月02日

英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開

headless曰く、

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)は21日、繰り返し使われているパスワード上位10万件のリスト「PwnedPasswordTop100k.txt」を公開した(NCSCのブログ記事BetaNewsThe Guardian)。

リストはTroy Hunt氏の協力の元、Have I Been Pwned?が収集した流出データから抽出したものだ。トップの「123456」毎年のように最悪のパスワードに挙げられているが、Have I Been Pwned?のデータでは2,300万回出現するそうだ。49,562位の「oreocookie」でも3,000回以上出現するといい、リストに含まれるパスワードを使用している場合は即刻変更する必要があるとのこと。

弱いパスワードは使用者のデータが侵害される原因となるだけでなく、組織のネットワークが侵害される可能性もある。そのため、以前からGCHQでは繰り返し使われるパスワードのブラックリストを用い、システム側で設定できないようにすることを推奨している。リストの件数を100万件ではなく10万件にとどめたのは、ユーザーによる良いパスワードの選択を難しくしすぎず、弱いパスワードの選択を避けられるようにできるようバランスを考慮したものとのことだ。

自分が使用しているパスワードはリストに含まれていなかったが、スラドの皆さんが使用しているパスワードはいかがだろうか。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
パスワードで重要なのは記号を含むことよりも長くすること 2018年08月28日
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
英GCHQ、複雑すぎるパスワードの使用中止を推奨 2015年09月22日

Nokia 9 PureView、指紋がない物体でも指紋認証を通ってしまうトラブル

headless曰く、

Nokia 9 PureViewに最新のアップデートを適用すると、他人の指だけでなく指紋がない物体を押し当てた場合でも指紋認証を通ってしまう問題が発生しているそうだ(SoftpediaNokiaコミュニティフォーラムへの投稿Decoded PixelのツイートRedditのスレッド)。

HMD Globalが2月に発表したNokia 9 PureViewはリアに5つのカメラを搭載するフラッグシップモデルだが、指紋認証機能は認識失敗が多いとして不評だった。4月のアップデート適用後指紋センサーが大幅に改善されたとの報告が出ていたが、そうではなかったようだ。登録されていない指でロック解除できてしまうだけでなく、指紋のない物体、たとえばパッケージに入ったチューインガムや、布で包んだ指先でもロック解除できるとの報告が出ている。HMDからの公式見解はまだ出ていないようだが、Softpediaの記事では修正されるまで指紋認証の無効化を推奨している。

すべて読む | セキュリティセクション | セキュリティ | 変なモノ | Transmeta | 携帯電話 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米連邦地裁、生体認証によるデバイスのロック解除強制は憲法違反との判断 2019年01月18日
指紋認証デバイスで多数の指紋に一致する合成指紋「DeepMasterPrints」 2018年11月18日
指紋認証での課金登録にご注意を 2018年06月04日
Android端末メーカー、顔認識は開発コストが高いとして指紋認証システムを強化する方針 2018年03月30日

外務省、公開鍵の情報公開請求を拒否する

あるAnonymous Coward曰く、

マイナンバーカードの読み出しライブラリを開発したことで知られるOSSTechの濱野司氏によると、パスポートの真正確認アプリを開発するため外務省に対しCSCA証明書(公開鍵)の情報公開請求を行ったところ、安全性及び国際慣行上の理由で不開示の決定を下されたとのこと(AAA Blog)。

しかし、公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もないという。最終的にはドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出すことで無事アプリを開発できたとのことだが、日本のPKIはどこへ向かっているのだろうか。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
公開鍵を公開したくないという人に対しどう説得すれば良い? 2019-04-03 08:47:00
SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 2018-03-06 02:28:00
Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに 2018-03-01 07:41:00

外務省、公開鍵の情報公開請求を拒否する

あるAnonymous Coward曰く、

マイナンバーカードの読み出しライブラリを開発したことで知られるOSSTechの濱野司氏によると、パスポートの真正確認アプリを開発するため外務省に対しCSCA証明書(公開鍵)の情報公開請求を行ったところ、安全性及び国際慣行上の理由で不開示の決定を下されたとのこと(AAA Blog)。

しかし、公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もないという。最終的にはドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出すことで無事アプリを開発できたとのことだが、日本のPKIはどこへ向かっているのだろうか。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
公開鍵を公開したくないという人に対しどう説得すれば良い? 2019年04月03日
SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 2018年03月06日
Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに 2018年03月01日

Windows月例更新でVIAプロセッサ向けSpectre/Meltdown対策が盛り込まれる

4月9日にリリースされたWindowsの月例更新およびセキュリティ更新プログラムには、VIAプロセッサ向けのSpectre V2およびMeltdown対策が含まれているという(PC Watch)。

この対策はWindows 7/8.1、Windows Server 2008 R2 SP1/2012 R2向けだが、Windows Serverにおいてはデフォルトでは無効になっているとのこと。無効/有効はレジストリ設定で切り替えられる。

なお、Windows 10ではバージョン1803向けに同様の対策が含まれているという。

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
上海兆芯集成電路、「第7世代Core i5並みの性能」というx86互換CPUを開発 2018年09月25日
VIA C3に隠し機能が見つかる。一般プロセスでも無制限でメモリやハードウェアへアクセス可能 2018年08月13日
VIAがx86互換CPUの新製品を発表。中国市場向け 2018年01月25日
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 2018年01月04日

月例パッチでWindows 7などが起動不能に。一部ウイルス対策ソフト利用者の間で発生

あるAnonymous Coward曰く、

Microsoftが配布した2019年4月のセキュリティ更新プログラムにより、Windows 7などのシステムが起動しなくなる問題が起きているようだ。

この問題は、SophosやAvastなどのアンチウイルスソフトウェアを使用し、かつWindows 7など一部のWindowsを利用しているユーザ。その上で4月の月例更新プログラムをインストールした場合に起きる模様。Microsoft側も13日にこの問題を認めている。

問題が発生する可能性があるのは、Windows 7/8.1およびWindows Server 2008 R2/2012/2012 R2で先のウイルス対策ソフトを導入しているユーザー。Microsoftは対策として、Windows 7と8.1のSophos、Aviraユーザー向けに、4月の更新プログラムを一時的にブロックする機能を実装したとしている(CNET Japan窓の杜)。

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
一部のセキュリティソフト体験版では試用期間終了後アンインストールしないとWindows標準のセキュリティ機能も使えなくなる 2019年02月27日
Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止 2019年02月02日
「ウイルスバスタークラウド」とFall Creators Updateの組み合わせでPCが正常に起動しなくなる問題が確認される 2017年10月21日

Outlook.comへの不正アクセス、一部のユーザーはメールの内容が閲覧された可能性も

headless曰く、

1月1日~3月28日にかけてMicrosoftが提供する電子メールサービス(outlook.com/msn.com/hotmail.com)に不正アクセスがあり、影響を受けるユーザーMicrosoftから通知が送られたことが先週話題になっていたが、当初の報道ではアクセスされていないと考えられていたメッセージの内容にもアクセスされたユーザーがいるようだ(MotherboardThe VergeOn MSFTSlashGear)。

不正アクセスの原因はMicrosoftのサポート担当者の認証情報が奪われたことで、これによって外部の人物が一部のユーザーの電子メールアカウントに対し不正にアクセスできる状況になっていたという。当初の報道でメディアが入手したMicrosoftからの通知では、攻撃者がアクセス可能だった情報としてユーザーの電子メールアドレスや送受信した電子メールのタイトル、送受信相手の電子メールアドレスが挙げられており、メッセージ本文は除外されていた。Microsoftによれば、影響を受けるユーザーはコンシューマー向けアカウントのごく一部で、侵害された認証情報は既に無効化して攻撃をブロックしたとのこと。

しかしMotherboardの情報提供者によると、Microsoftサポートアカウントはほかの従業員よりも高い権限があり、この方法で不正アクセスした場合は電子メール本文も閲覧可能だという。情報提供者からは「Email Body」というラベルに電子メールのボディー部分が表示されたスクリーンショットも提供されたとのこと。このスクリーンショットを添えてMotherboardがMicrosoftに問い合わせたところ、影響を受けたユーザーのおよそ6%が電子メール本文を閲覧された可能性があり、該当するユーザーにはそのような内容の通知を送っているとの回答があったそうだ。Motherboardの情報提供者は不正アクセスが行われた期間を少なくとも6か月と述べているが、Microsoftはこれを否定している。なお、影響を受けたユーザーの具体的な数については現在も明らかにされていない。

すべて読む | YROセクション | セキュリティ | マイクロソフト | 情報漏洩 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
BuildFeed創始者、Microsoftへの不正アクセスで執行猶予付きの有罪判決を受ける 2019年03月31日
IPA、「情報セキュリティ10大脅威 2019」を発表 2019年02月01日
大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる 2019年01月30日
Google、パスワード管理システムのコードを盗まれていた 2010年04月22日

謎の高機能スパイウェア「TajMahal」、開発者などの詳細は不明

Kasperskyが、サイバー攻撃者によって使われているという新しい攻撃ツール「TajMahal」(タージマハル)について紹介している(KasperskyのブログWIRED)。このツールは5年前から使用されており、実際に攻撃に使われていることも確認されているという。

このツールは単にバックドアを設置するだけでなく、「プラグイン」によってさまざまな機能を提供できるとのこと。すでに80ものプラグインモジュールが発見されており、次のような攻撃を行えるという。

  • 攻撃対象のブラウザのCookieを盗む
  • プリントキューから印刷するファイルを盗む
  • 攻撃対象のさまざまなデータを収集する
  • VoIP通話の音声を録音する
  • 光学ディスクイメージを盗む
  • ファイルシステムのインデックスを作成する

実際にこのツールでの攻撃が確認されたのはまだ1件だけとのことだが、このツールは非常に大規模なものであるため、他にも公になっていない被害者がいるのではないかとも見られている。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
Kaspersky Labの本社内ネットワーク、マルウェアによる不正侵入を受ける 2015-06-16 06:52:00
東南アジアや米国を狙うハッカーグループ「APT30」の存在が明らかに 2015-04-16 06:13:00
ファイア・アイ、ロシア由来の高度な標的型攻撃「APT28」を報告 2014-11-27 21:00:00
韓国サイバー攻撃事件、企業向けのPC管理システム経由での攻撃か 2013-03-22 09:08:00

無線LANのセキュリティ規格WPA3に脆弱性

無線LAN向けセキュリティ規格のWPA3に脆弱性が発見されたことが報じられている(INTERNET WatchQiitaサイオスセキュリティブログ)。

WPA3では無線LANに接続しようとする端末に対し、「SAE(Simultaneous Authentication of Equals)」と呼ばれる手法で認証を行うが、このSAEのパスワード生成やエンコーディングアルゴリズムに脆弱性があり、これによってパスワードが推測されたり、総当たり攻撃によるパスワード解析が実行される可能性があるという。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
多くのIoT機器はセキュリティ対策が不十分 2019-02-06 23:00:00
脆弱性が見つかったコレガの無線LANルーター、2019年までのサポートをうたっていたにも関わらず突然サポート打ち切りに? 2018-03-19 10:34:00
WPA2に脆弱性 2017-10-16 07:33:00
総務省、無線LANの暗号鍵を解読して無断で使用する行為は電波法に違反する可能性があるとの見解 2017-05-15 07:37:00

Office 365のセキュリティ機能、組織に送られたスパムメールの25%を見逃す

headless曰く、

クラウドセキュリティ企業AvananのGlobal Phish Reportによると、Office 365を使用する組織に送られたスパムメールの25%がOffice 365のセキュリティ機能Exchange Online Protection(EOP)でブロックされず、受信トレイに配信されていたそうだ(プレスリリースBetaNews)。

調査対象はOffice 365に送られた5,200万通以上の電子メールとG Suiteに送られた300万通以上の電子メールで、その1.01%がフィッシングメールだったという。Office 365を使用する組織に送られたフィッシングメールのうち5.3%は組織が誤ってホワイトリストに登録していたとのことで、EOPが安全だと判断した25%に加えて合計30%以上が受信トレイに配信されている。リポートはOffice 365が中心になっており、G Suiteによるスパムメールブロック率は記載されていないが、それなりの割合がセキュリティ機能を通過しているようだ。

また、企業名で送信された電子メールの25通に1通はスパムメールであり、最も騙られることの多い企業はMicrosoft(43%)で、Amazon(38%)が続く。ただし、ホリデーシーズンのみAmazonがMicrosoftを上回るそうだ。このほか、WordPressサイトへのリンクを含む電子メールの35%、暗号通貨ワレットのアドレスを含む電子メールの98%がフィッシングメールだったとのことだ。

すべて読む | ITセクション | セキュリティ | マイクロソフト | クラウド | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
一部のセキュリティソフト体験版では試用期間終了後アンインストールしないとWindows標準のセキュリティ機能も使えなくなる 2019年02月27日
ソフトバンクの迷惑メールフィルタに不具合、約1030万通を誤削除 2018年09月25日
ウイルス対策ソフト、エンタープライズ環境のWindows 10では50%以上がWindows Defenderを採用 2018年04月10日
サイバーセキュリティの強化後、全国の自治体でメールや申請書類が届かないトラブルが発生 2018年01月15日

謎の高機能スパイウェア「TajMahal」、開発者などの詳細は不明

Kasperskyが、サイバー攻撃者によって使われているという新しい攻撃ツール「TajMahal」(タージマハル)について紹介している(KasperskyのブログWIRED)。このツールは5年前から使用されており、実際に攻撃に使われていることも確認されているという。

このツールは単にバックドアを設置するだけでなく、「プラグイン」によってさまざまな機能を提供できるとのこと。すでに80ものプラグインモジュールが発見されており、次のような攻撃を行えるという。

  • 攻撃対象のブラウザのCookieを盗む
  • プリントキューから印刷するファイルを盗む
  • 攻撃対象のさまざまなデータを収集する
  • VoIP通話の音声を録音する
  • 光学ディスクイメージを盗む
  • ファイルシステムのインデックスを作成する

実際にこのツールでの攻撃が確認されたのはまだ1件だけとのことだが、このツールは非常に大規模なものであるため、他にも公になっていない被害者がいるのではないかとも見られている。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Kaspersky Labの本社内ネットワーク、マルウェアによる不正侵入を受ける 2015年06月16日
東南アジアや米国を狙うハッカーグループ「APT30」の存在が明らかに 2015年04月16日
ファイア・アイ、ロシア由来の高度な標的型攻撃「APT28」を報告 2014年11月28日
韓国サイバー攻撃事件、企業向けのPC管理システム経由での攻撃か 2013年03月22日

無線LANのセキュリティ規格WPA3に脆弱性

無線LAN向けセキュリティ規格のWPA3に脆弱性が発見されたことが報じられている(INTERNET WatchQiitaサイオスセキュリティブログ)。

WPA3では無線LANに接続しようとする端末に対し、「SAE(Simultaneous Authentication of Equals)」と呼ばれる手法で認証を行うが、このSAEのパスワード生成やエンコーディングアルゴリズムに脆弱性があり、これによってパスワードが推測されたり、総当たり攻撃によるパスワード解析が実行される可能性があるという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
多くのIoT機器はセキュリティ対策が不十分 2019年02月07日
脆弱性が見つかったコレガの無線LANルーター、2019年までのサポートをうたっていたにも関わらず突然サポート打ち切りに? 2018年03月19日
WPA2に脆弱性 2017年10月16日
総務省、無線LANの暗号鍵を解読して無断で使用する行為は電波法に違反する可能性があるとの見解 2017年05月15日

マンガ配信アプリのバイナリを不正に改変して無料利用時間を増やしていた男性、書類送検される

スマートフォン向けのマンガ配信アプリ「マンガワン」のAndroid版バイナリを改変して不正にマンガを閲覧していたとして、25歳男性が電磁的記録不正作出・同供用の疑いで書類送検された。

マンガワンでは毎日一定時間内はマンガを無料で閲覧できる仕組みになっているそうだが、この男性はアプリを改変することで閲覧可能時間を不正に「約6億秒」へ延長していたと報じられている(ITmedia朝日新聞産経新聞共同通信)。男性はブログでその手口を公開していたという。

この男性はヤフーの社員とのことで、ヤフーは「疑いが事実であれば、大変遺憾であり、厳正に対処する予定」としている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アニメ・マンガ | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Nintendo Switchでは不正行為に対し本体やゲーム単位でのBANが行える 2018年07月10日
正規アプリの署名を維持したまま内容を改変できるAndroidの脆弱性「Janus」 2017年12月12日
オンラインゲームのチート使用で書類送検、今後も同様の事案は続くか 2014年07月29日

Android端末が物理セキュリティキー代わりに、Bluetooth経由で接続して利用可能に

あるAnonymous Coward曰く、

GoogleがPCとAndroidスマートフォンをBluetoothで接続することで、スマートフォンを物理的なセキュリティキー代わりに利用できるようにすると発表した。WindowsおよびmacOS、Chrome OS上のGoogle ChromeからのGoogleアカウントのログインに利用できるという(ITmdiaEngadget日本版Slashdot)。

対応するAndroidのバージョンは7.0(Nougat)以降で、事前の設定が必要。この機能を有効にしていた場合、PCでのログイン試行時に紐付けられているAndroid端末にBluetooth経由で通知が行われ、Android端末で確認捜査を行うことでログインが行える。

すべて読む | ITセクション | Google | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 2018年08月03日
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日

Uberの運転手、空港に乗客を送り届けた後その乗客の家に戻って空き巣を働く

nemui4曰く、

米カリフォルニア州で、配車サービスUberを利用する運転手が、乗客をその自宅から空港まで送り届けたあと、その乗客の自宅に戻って空き巣に入るという事件が起きたそうだ(GIGAZINEBusiness Insider)。

この事件では設置されていた防犯カメラが犯人の姿を撮影しており、これによって容疑者が逮捕されたようだ。Uberはこの事件を受けて容疑者のUberアプリへのアクセス権を剥奪したうえで捜査に強力しているとのこと。また、設置されていた防犯カメラはAmazon.com傘下のRing製のもので、異変を察知して自動的に撮影した画像や映像をクラウド上にアップロードし通報を行う機能を備えているそうだ(過去記事)。

なお、Uberでは配車サービスを利用する運転手が犯罪行為を起こす事件がたびたび発生している(New York TimesCNN)。

すべて読む | ITセクション | セキュリティ | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
利用者の位置情報を無断で取得していたとしてジャパンタクシーに行政指導 2019年03月26日
中国の配車アプリ「順風車」で運転手による乗客殺人事件が再び発生 2018年08月31日
アマゾン傘下のスマートドアホン会社、不審人物を通報しやすくするアプリを公開 2018年05月11日
休暇を安全に楽しむための対策 2012年04月28日
安易な位置情報の公開に警鐘を鳴らす「Please Rob Me」(どうぞ空き巣に入って) 2010年02月23日

コインハイブ事件、検察側が控訴

サイト閲覧者の端末上でに無断で仮想通貨のマイニング(採掘)を行わせたとして不正指令電磁的記録保管の罪に問われていた男性に対し、横浜地裁が無罪判決を出したが(過去記事)、検察側はこれを不服として控訴したとのこと(弁護士ドットコムITmedia日経新聞)。

横浜地裁はCoinhiveについて「人の意図に反する動作をさせるプログラム」としたもののの、不正な指令を与えるプログラムであるとは判断できないとの結論を出していた。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
一連のCoinhive事件で横浜地裁が初の無罪判決 2019年03月27日
すみだセキュリティ勉強会、神奈川県・埼玉県・千葉県警による不当逮捕を恐れ活動休止 2019年03月19日
毎日新聞のサイバー犯罪に関する報道に対し誤報との指摘 2019年03月08日
トレンドマイクロがCoinhiveの実演時に細工をして意図的にCPU負荷を上げていた疑惑が出る 2019年03月06日
Coinhive事件、高木浩光氏が証人として裁判に出廷 2019年01月17日
WebサイトにCoinhiveを設置して閲覧者にマイニングさせた事案、罰金30万円が命じられる 2018年09月21日

寄生虫が体重増加を抑制するメカニズム

pongchang曰く、

群馬大などの研究グループが、寄生虫での体重増加抑制効果についての論文を発表した(群馬大学の発表、Infection and Immunity誌のInfection and Immunity誌掲載論文 上毛新聞)。

研究では、あらかじめ太らせたマウスに寄生虫を感染させて観察したという。その結果、寄生虫の感染によって体重の増加が抑えられ、脂肪量も低下し、血中の中性脂肪や遊離脂肪酸が優位に低下することが分かったという。

寄生虫の感染によって血中のノルエピネフリン濃度が対照の2倍に増え、交感神経系の活動が活発になっていた。また脂肪の分解を促すミトコンドリア脱共役蛋白質(uncoupling protein;UCP1)の発現が脂肪組織で増加していた。腸内細菌叢をみると、エシュリキア(大腸菌)属とバシラス属(枯草菌などの仲間)が増加していたとのこと。

腸内細菌は腸管内容の脂肪濃度でも異なるが(pdf)寄生虫が脂肪を横取りするなり代謝して酢酸などに変えた結果として腸内細菌叢が変わったのか? 免疫応答なのか? その辺は論文は触れていない。

寄生虫症でノルエピネフリンが上がるのが本当なら高血圧など併発症も懸念される。一方でヒトのやせ薬としてのβ3受容体アゴニストは不成功に終わっている。

すべて読む | セキュリティセクション | セキュリティ | ワーム | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
大幸薬品、正露丸でアニサキスの活動を抑えるという特許を取得 2018年07月10日
オバマ大統領、寄生虫の名前になる 2016年09月10日
2015年のノーベル生理学・医学賞は寄生性生物による疾病の治療法を発見した3氏が共同受賞 2015年10月06日
寄生生物が宿主の行動や性格をゆがめている 2015年04月02日

情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで

オンラインストレージサービス「宅ふぁいる便」利用者の個人情報約480万件が漏洩した事件(過去記事)では、システム構築のためサービスが「当面」休止される事態となっている。そのため、利用者が退会などを行うための特設サイトが設置されたのだが(宅ふぁいる便を運営するオージス総研による告知)、このサイトの「利用時間」が9時から17時45分までとなっていることや、「パスワードの確認」ができることが物議を醸している(はてなブックマーク)。

このサイトでは「宅ふぁいる便に登録されているパスワードをご確認いただける機能」「退会のお申し込み受付機能」「宅ふぁいる便ポイント交換機能」が提供されている。パスワードの確認については、入力されたものが登録されたものと一致するかどうかを確認できるものだが、パスワードの一部がヒントとして平文で表示されることから、未だに平文でパスワードを保存しているのではないか、またとの危惧も出ている。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019-04-01 07:37:00
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019-03-18 23:00:00
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019-03-11 08:36:00
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019-01-30 09:36:00
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019-01-26 08:18:00
Google、「G Suite」の一部パスワードを暗号化せず14年間も保存していたことを報告 2019-05-22 10:15:00

情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで

オンラインストレージサービス「宅ふぁいる便」利用者の個人情報約480万件が漏洩した事件(過去記事)では、システム構築のためサービスが「当面」休止される事態となっている。そのため、利用者が退会などを行うための特設サイトが設置されたのだが(宅ふぁいる便を運営するオージス総研による告知)、このサイトの「利用時間」が9時から17時45分までとなっていることや、「パスワードの確認」ができることが物議を醸している(はてなブックマーク)。

このサイトでは「宅ふぁいる便に登録されているパスワードをご確認いただける機能」「退会のお申し込み受付機能」「宅ふぁいる便ポイント交換機能」が提供されている。パスワードの確認については、入力されたものが登録されたものと一致するかどうかを確認できるものだが、パスワードの一部がヒントとして平文で表示されることから、未だに平文でパスワードを保存しているのではないか、またとの危惧も出ている。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019年03月19日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019年01月30日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日

米中通商協議で中国がハッキング行為を初めて認めたとの報道

4月3日に再開された米中通商協議において、中国が過去の知的財産権侵害や米企業に対する技術移転の強要、ハッキング行為を認めたと報じられている(ロイター時事通信テレビ東京)。

これまでの米中通商協議においては知的財産関連の問題が議題とされていたが、これまで特に大きな進展はなかった(ブルームバーグ)。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国、知的財産保護を強化。知的財産大国となるか 2017年04月19日
中国政府、「あらゆる形態のハッキングに反対」と主張 2017年03月14日
中国、「反中国的」なトランプ米次期大統領に対し、iPhoneなどの規制をちらつかせる 2016年11月18日

ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張

中国・華為技術(Huawei、ファーウェイ)のノートPCにプリインストールされているドライバに脆弱性があり、これを悪用することで不正に管理者権限を取得できる可能性があることをMicrosoftの研究者らが見つけた(Microsoft Defener Research Teamによるブログ大紀元)。

ファーウェイに対してはその製品に中国政府がアクセスできるバックドアが設置されているという疑惑がかけられているが、ファーウェイはこの脆弱性については意図的に仕掛けたバックドアであることを否定、単純なソフトウェア上の欠陥であるとしている(Tom's Hardware)。また、この問題は2019年1月に修正パッチをリリースしているとのこと。

すべて読む | セキュリティセクション | セキュリティ | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ASUSのアップデートツール経由でマルウェアがインストールされる攻撃が確認される 2019年03月29日
昨年逮捕されたHuaweiの孟CFO、逮捕時に所有していた電子機器の過半数がApple製 2019年03月26日
米国、ドイツに対し5G通信網でファーウェイを採用するなら機密情報の共有を制限すると警告 2019年03月16日
Lenovo幹部、中国向け製品にバックドアがあることを示唆 2018年09月21日

カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃

headless曰く、

TeslaのAutopilot機能を車載システムに侵入することなく攻撃する手法について、Tencent Keen Security Labが研究結果を公表している(Keen Security Lab BlogSlashGearArs Technica動画)。

Keen Security LabではTesla車のセキュリティ調査を以前から行っており、昨年のBlack Hat USA 2018ではTesla車のWi-Fi/3G通信機能を経由してAutopilot ECU(APE)に侵入し、のルート権限を取得する研究の成果を発表している。今回の研究ではルート権限を利用して外部からゲームコントローラーでハンドルを操作する手法に加え、車載カメラにadversarial exampleを撮影させ、自動ワイパー機能や車線検出機能のニューラルネットワークを混乱させる手法が検証されている。

従来の自動ワイパーではフロントガラスに落ちた雨粒による光の反射の変化を光センサーで検出する手法が用いられているのに対し、Teslaではカメラで撮影したフロントガラスの映像をニューラルネットワークで処理して降雨を判断しているという。研究ではカメラからの映像にわずかなノイズを加えることで降雨スコアが上昇することを確認しているが、映像を改変する攻撃は現実的ではない。そのため、車両前方に配置したテレビにノイズの画像を表示する実験を行い、ウォーリーノイズを表示した場合に降雨スコアが大きく上昇することを確認した。動画ではウォーリーノイズを画面に表示するとワイパーが動き出しており、先行車両のリアウィンドウや道路脇など、Teslaの魚眼カメラに写る場所へノイズ画像を表示することでワイパーを作動させることができるとみられている。

車線検出機能を混乱させる攻撃としては、車線を見失わせる攻撃と偽の車線を認識させる攻撃を検証している。車線を見失わせる攻撃では、カメラからの映像に強いノイズを加えたり、ペイント部分にパッチを加えたりすることで、ペイントが検出されなくなることが確認された。ただし、現実の道路でAPEが混乱するレベルまでペイント部分にステッカーなどのパッチを貼った場合、ドライバーが気付いてしまう可能性が高い。Teslaではペイントが消えかかっているなど状態の悪い道路の画像を学習させているとみられ、車線を見失わせる攻撃には強いようだ。一方、道路上に小さなステッカーをいくつか配置することで車線のペイントと誤認識することが確認されており、動画では車線を斜めに横切る形で数個のステッカーを貼るだけで対向車線に進ませるデモも行われている。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | 人工知能 | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米フロリダでTesla車が道路を横切る大型車に衝突する事故が発生、自動運転の安全性が疑われる 2019年03月06日
盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる 2019年03月02日
中国・北京の大通りを通行中の電気自動車、システムアップデート開始で立ち往生 2019年02月03日
テスラの自動車が運転者爆睡で暴走。停車させるまでに7分かかる 2018年12月07日

Cloudflare、無料VPNサービスを発表

コンテンツ配信サービスを手がけるCloudflareが、無料VPNサービス「Warp」を発表したITmedia)。

CloudFlareは昨年4月1日にAPNICと協力してパブリックDNSサービス「1.1.1.1」を立ち上げており(過去記事)、また11月にはiOSおよびAndroid向けの設定アプリも公開したが、Warpはこの設定アプリ経由で利用できるようになる予定。

まずはは招待者向けのみに提供される予定で、アプリ経由で招待の申請が行える。

すべて読む | ITセクション | セキュリティ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Cloudflareの規約は「令状のカナリア」 2019年03月05日
Cloudflare、DNSサービス「1.1.1.1」をiOSとAndroidで利用するための設定アプリを公開 2018年11月13日
Cloudflare、海賊版サイト「漫画村」の運営者を開示 2018年10月10日
論文海賊版サイトSci-Hubに対し、取得されていないものまでも含めたドメイン差し止め命令が下る 2018年04月19日
Cloudflare、APNICと協力してパブリックDNSサービス「1.1.1.1」を立ち上げ 2018年04月02日

公開鍵を公開したくないという人に対しどう説得すれば良い?

あるAnonymous Coward 曰く、

公開鍵暗号では公開鍵が一般公開され不特定多数がアクセスできることを前提としているが、それにも関わらず「公開鍵を公開したくない」「公開鍵を平文で送るな」「公開鍵をそのままサーバに保管するな」「公開鍵が盗聴される恐れがある」「公開鍵だけ送るのでは復号ができない」など、主張する人がいるそうだ(@illness072氏のTweet)。

これに対し、「そーゆー間抜けな人たちって、パスワード付きZipで暗号化すると満足したりしません?」という指摘も出ている(@masanork氏のTweet)。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
ZIPのパスワードを直後のメールで送る不思議 2018-12-25 09:37:00
Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 2017-09-24 02:45:00
DNSSECの公開鍵更新でトラブルが発生する可能性、事前の検証を推奨 2017-07-25 23:00:00
PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される 2016-08-23 06:59:00
外務省、公開鍵の情報公開請求を拒否する 2019-04-25 09:33:00

公開鍵を公開したくないという人に対しどう説得すれば良い?

あるAnonymous Coward 曰く、

公開鍵暗号では公開鍵が一般公開され不特定多数がアクセスできることを前提としているが、それにも関わらず「公開鍵を公開したくない」「公開鍵を平文で送るな」「公開鍵をそのままサーバに保管するな」「公開鍵が盗聴される恐れがある」「公開鍵だけ送るのでは復号ができない」など、主張する人がいるそうだ(@illness072氏のTweet)。

これに対し、「そーゆー間抜けな人たちって、パスワード付きZipで暗号化すると満足したりしません?」という指摘も出ている(@masanork氏のTweet)。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ZIPのパスワードを直後のメールで送る不思議 2018年12月25日
Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 2017年09月24日
DNSSECの公開鍵更新でトラブルが発生する可能性、事前の検証を推奨 2017年07月26日
PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される 2016年08月23日

Microsoft、スピアフィッシング攻撃に利用されてきたドメインの差し押さえに成功

あるAnonymous Coward曰く、

Microsoftが、サイバー犯罪集団が取得していたMicrosoftや米Yahooなど有名ブランドの名前が含まれたドメインの差し押さえに成功したという。米国時間3月27日に公開された裁判書類から明らかになった(ZDNet JapanSlashdot)。

これらサイバー犯罪集団は「APT35」「Phosphorus」「Charming Kitten」「Ajax Security Team」などと呼ばれている組織で、問題のドメインは「outlook-verify.net」「yahoo-verify.net」「verification-live.com」「myaccount-services.net」といったものだそうだ。裁判所命令を受けて、これらドメインの管理を行っていたドメイン名登録業者はその管理権限をMicrosoftに移管したという。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Linux.orgのDNSがハイジャックされる 2018年12月13日
「CCleaner」に混入されたマルウェアは特定企業を狙った標的型攻撃だった 2017年09月26日
JPCERT、第三者によって取得されていた「jpcert.org」の管理権を取得 2017年05月12日

30年以上にわたってフランスの海岸へ漂着し続けたガーフィールド型電話機の流出元が見つかる

headless曰く、

フランス・ブルターニュ地方のイロワーズ海沿岸へ30年以上にわたって漂着し続けていたガーフィールド型電話機の流出元が見つかったそうだ(FranceinfoFrance 3 BretagneThe VergeBBC News動画)。

この電話機は漫画「ガーフィールド」のタイトルロール、オレンジ色で太ったトラネコの形をした有線電話機で、受話器を上げると目を開き、受話器を置くと目を閉じる仕掛けが搭載されている。1980年代に海へ落ちたコンテナから少しずつ流出していると考えられていたが、コンテナの場所は特定されておらず、昨年だけでも鮮やかなオレンジ色をした大小さまざまなパーツが200個ほど、海岸で回収されているという。

発見のきっかけとなったのは今年2月、海岸の清掃に取り組む環境団体Ar ViltansoùFranceinfoを通じて情報提供を呼び掛けたことだ。Franceinfoの記事は話題となり、1980年代の初めにコンテナを見たという男性から情報が提供された。当時19~20歳だった男性は嵐の後でガーフィールド型電話機が散乱しているのを砂浜で見つけ、兄弟で探しに行ってコンテナが洞窟に漂着しているのを発見したとのこと。ただし、兄弟がこの発見を誰かに話すことはなく、そのまま忘れ去られていたようだ。

洞窟はイロワーズ海洋公園の中心部にあり、干満の差が大きい日の干潮時にしか入れないため、Ar ViltansoùとFranceinfoは大潮の3月22日を選んで現地調査を実施。洞窟ではコンテナの残骸やばらばらになった電話機のパーツが多数見つかっており、今後回収作業を行う計画だという。ただし、これまでにガーフィールド型電話機が見つかっている海岸と海流の関係を見ると、流出元がここだけではない可能性もあるとのことだ。

すべて読む | idleセクション | 地球 | ハードウェア | アニメ・マンガ | サイエンス | idle | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
東日本大震災の津波の漂流物に乗り、日本の沿岸性海洋生物300種近くが生きたまま米国に漂着 2017年09月30日
海上に柵を作って漂うゴミを集めるシステム、対馬沖へ設置へ 2015年07月03日
米西海岸に漂着した日本の瓦礫、専門家は付着した外来種によって生態系が壊されることを懸念 2012年06月12日
ハーレー社曰く、漂着バイク無償修理し届けたい 2012年05月07日

半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった?

あるAnonymous Coward曰く、

半田ごてメーカーの白光が運営するECサイトで不正アクセスが発生し、利用者の情報が漏洩とのこと。企業トップページには何にも書いていないが、ECサイトは閉鎖されて説明文が出ている

この内容からすると、パスワードも平文で、しかも見えるところに置いていた?とも思えるが、第三者の不正アクセスが原因と、なんとも意味がわからない。未だに平文保存(少なくともハッシュ値ではない)されていたり、見える場所に置いていたりとお粗末さに驚く限りだが、諸兄の見たお粗末な事例はどんなものであろうか。

流出した可能性のあるユーザー情報は9,793名で、流出の可能性がある情報は氏名/住所/電話番号/生年月日/企業名/メールアドレス/ユーザーID/パスワードとのこと。利用者からWebサーバー上に個人情報の含まれたファイルが設置されているとの指摘があり発覚したという。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019年03月19日
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019年01月30日
情報漏洩で妥当と考える補償額、本人特定が難しい情報には寛容 2018年12月28日
聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 2018年10月17日
大阪大学の不正アクセス事件、その後 2018年07月20日

ASUSのアップデートツール経由でマルウェアがインストールされる攻撃が確認される

ASUS製品にプリインストールされているアップデートツール経由でマルウェアがインストールされるという攻撃が確認されているとのこと(CNET JapanPC WatchPC Watchの続報記事)。

この攻撃はKasperskyによって発見されたもので、ASUS製品にプリインストールされている「ASUS Live Update Utility」がマルウェアを含むソフトウェアをインストールしてしまうというもの。このマルウェアはASUSのアップデートサーバーから配信されており、ASUSの証明書で署名もされていたという。

ASUSはこの攻撃の存在を認めており(ASUSの発表)、対策やセキュリティ診断ツールを公開した。また、この攻撃については「国際的組織や団体を標的とした、国家主導の攻撃」としている。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
WinRARの脆弱性を狙ったマルウェアが急増 2019-03-20 05:46:00
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017-08-15 23:00:00
自動更新によって突如マルウェア化する人気Chrome拡張 2016-11-04 09:47:00
米Yahoo!、サイバー攻撃を受けてマルウェア入り広告を配布していた 2015-08-07 06:53:00
ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 2019-04-08 05:10:00

ASUSのアップデートツール経由でマルウェアがインストールされる攻撃が確認される

ASUS製品にプリインストールされているアップデートツール経由でマルウェアがインストールされるという攻撃が確認されているとのこと(CNET JapanPC WatchPC Watchの続報記事)。

この攻撃はKasperskyによって発見されたもので、ASUS製品にプリインストールされている「ASUS Live Update Utility」がマルウェアを含むソフトウェアをインストールしてしまうというもの。このマルウェアはASUSのアップデートサーバーから配信されており、ASUSの証明書で署名もされていたという。

ASUSはこの攻撃の存在を認めており(ASUSの発表)、対策やセキュリティ診断ツールを公開した。また、この攻撃については「国際的組織や団体を標的とした、国家主導の攻撃」としている。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WinRARの脆弱性を狙ったマルウェアが急増 2019年03月20日
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017年08月16日
自動更新によって突如マルウェア化する人気Chrome拡張 2016年11月04日
米Yahoo!、サイバー攻撃を受けてマルウェア入り広告を配布していた 2015年08月07日

「脆弱性の多いプログラミング言語」ランキング、C言語が大差で1位に

WhiteSourceによる脆弱性とプログラミングの関連性に関する調査では、もっとも脆弱性報告が多かったのはCで実装されたプロダクトという結果になったという(マイナビニュース)。

Cに続くのはPHP、Javaとなっている。Cが多いのは多くのプロダクトで使われているだけでなく、さらにLinuxカーネルやOpenSSLといった注目されやすいプロダクトで使われていることがこの理由として挙げられている。

また、記事では過去10年間に置ける脆弱性数の変化も提示されている。

すべて読む | セキュリティセクション | セキュリティ | プログラミング | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Googleの研究者ら曰く、Spectre脆弱性の修正は難しい 2019年02月28日
C言語は滅びるべきか 2017年07月20日
Webプログラミングにおいて、すべての言語はセキュアでない 2010年05月13日
PHPは駄目な言語なのか? 2008年02月03日

一連のCoinhive事件で横浜地裁が初の無罪判決

あるAnonymous Coward曰く、

Webサイトに仮想通貨のマイニング(採掘)を行うスクリプトを設置し、閲覧者の端末で仮想通貨の採掘を実行させたとして不正指令電磁的記録保管罪に問われた男性に対し、横浜地裁が3月27日、無罪を言い渡した(ITmedia弁護士ドットコムニュース)。

検察側が控訴するかどうかは明らかになっていない。控訴が行われ受理されれば、高裁、最高裁と順に審理に誤りがないか、法に誤りがないか詳細に判断されることになる。

なお、Securty NEXTによると、昨今では多くのセキュリティソフトが仮想通貨の採掘ソフトウェアについて「マルウェアではない」と分類しているという。

すべて読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
すみだセキュリティ勉強会、神奈川県・埼玉県・千葉県警による不当逮捕を恐れ活動休止 2019年03月19日
毎日新聞のサイバー犯罪に関する報道に対し誤報との指摘 2019年03月08日
トレンドマイクロがCoinhiveの実演時に細工をして意図的にCPU負荷を上げていた疑惑が出る 2019年03月06日
Coinhive、サービスを終了 2019年03月01日
Coinhive事件、高木浩光氏が証人として裁判に出廷 2019年01月17日
WebサイトにCoinhiveを設置して閲覧者にマイニングさせた事案、罰金30万円が命じられる 2018年09月21日

Windows 7サポート終了に向けた通知を表示する更新プログラムの提供が始まる

headless曰く、

先日告知されていた、Windows 7のサポート終了に向けた通知を表示するための更新プログラムの提供が始まった。残念ながら手元のWindows 7環境にはまだ配信されていないが、Bleeping Computerが詳細を解説している(MicrosoftサポートBleeping Computer)。

記事によると、通知を表示するプログラムの本体はSystem32フォルダーに作成される「sipnotify.exe」という実行ファイルで、このプログラムを実行する2つのタスクがタスクスケジューラーに登録される。タスクの1つはユーザーのログイン時またはロック解除時、もう1つは毎日正午の実行となっている。プログラムは実行時に日時をチェックし、2019年4月18日~2020年1月15日の場合のみ通知を表示するとのこと。通知の内容は%LOCALAPPDATA%\Microsoft\Windows\SipNotifyフォルダーに格納されたHTMLファイルで、必要に応じてCABファイルをダウンロードして更新されるという。

CABファイルから抽出した日本語版のHTMLファイルによると、「長らくご愛用いただきましたWindows 7のサポート終了まで、残すところあと1年を切りました。」「2020年1月14日にWindows 7の全てのサポートが終了し、以降はセキュリティ更新プログラムや無償・有償サポートが受けられなくなります。 サポート終了間際に慌てないために、お早めにWindows 10への移行準備をご検討ください。」と表示され、「詳細を見る」ボタンをクリックするとWindows 7のサポート終了に関する情報ページが開く。画面下のチェックボックスをオンにすれば、以降は通知が表示されなくなるとのこと。

この更新プログラムに関するMicrosoftサポートの記事は「Windows 7 SP1 support notification」という記事タイトルになっているが、Windows Updateでの表示は「2019-03 x64ベースシステム用Windows 7更新プログラム (KB4493132)」といった通常の更新プログラムと同様の表示になるようだ。デフォルトでは非選択状態になっているものの、説明には「この更新プログラムをインストールすると、Windowsの問題が修正されます」と表示されるため、バグの修正だと思ってインストールしてしまう可能性も記事では指摘している。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | スラッシュバック | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Windows 7向けにDirectX 12との互換性を提供するパッチを提供へ 2019年03月19日
Windows 7、サポート終了に向けた通知表示を4月から開始 2019年03月16日
Windows 7延長サポート終了後の有料セキュリティアップデートオプション、4月1日から販売開始 2019年03月09日
Windows 7のDLL読み込みに関する脆弱性、対策はWindows 10へのアップグレード 2019年03月04日

兵庫県警による「無限Alert」摘発事件に対する支援金寄付募集、1日で700万円近くが集まり終了

先日、延々とメッセージを表示させるWebサイトのURLを貼った中学生らが補導・逮捕されるという事件が発生した。この事件については、取り調べを受けた男性がその様子を明らかにしたことでも話題になったが、この事件の容疑者となっている2名を支援するため一般社団法人日本ハッカー協会(過去記事)が寄付を呼びかけたところ、開始から24時間で553名から合計693万4,471円の寄付が集まったという(日本ハッカー協会の寄付呼びかけページ)。これによりひとまず十分な費用が集まったとして、寄付の受付は終了となっている。

寄付を集める理由としては下記が挙げられている。

家宅捜索を受けたうち二人は、現在、費用の問題で弁護士をつけていないとのことです。このままでは、裁判を受ける権利を行使することができないまま略式命令で罰金刑に処されてしまう展開が予想されます。

我々は本件について、後述するように、法の趣旨を逸脱した不当な摘発の可能性があるのではないか、と疑問を持っています。そして、もしもそうであるとすれば、IT技術の開発者と利用者の権利が不当に害されてしまうのではないか、と恐れています。

発起人は「みんなで逮捕されようプロジェクト」 を立ち上げた加藤公一氏、セキュリティ研究者の高木浩光氏、とつげき東北の3人。

すべて読む | ITセクション | 日本 | セキュリティ | 法廷 | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
無限にアラートを表示するようなページのURLをネット投稿して書類送検された男性、取り調べの様子を語る 2019年03月22日
無限ループJavaScriptを含むページを簡単に作成できる「みんなで逮捕されようプロジェクト」 2019年03月11日
延々とメッセージを表示させるWebサイトのURLを貼った中学生ら、補導・逮捕される 2019年03月06日
日本ハッカー協会、設立 2018年09月20日

Nokiaブランドの複数端末でユーザーに無断で中国への端末情報を送信が行われていたことが判明

Nokiaブランドの複数のスマートフォンが、端末の状況やユーザーの位置情報などを利用者に無断で送信しているとの指摘が出ている。送信先は「vnet.cn」というcn(中国)のドメインなどになっているとのことで、フィンランド当局がGDPR違反の疑いで捜査を行う状況になっているようだ(iPhone ManiaEngadget日本版AFP)。

vnet.cnはChina Telecomが保有しているドメインで、また別の送信先として挙げられているaps.c2dms.comも中国企業が管理しているようだ。これら端末を製造しているHMD Globalはこれについて、中国向けのソフトウェアを誤ってほかの国向けの端末に導入してしまったと説明している。

すべて読む | セキュリティセクション | セキュリティ | YRO | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる 2019年01月22日
米大統領の決定により全米の携帯電話に緊急警報メッセージを送信するシステム、初のテスト実施へ 2018年09月17日
Google、アプリで位置情報をオフにしても位置情報を保存していたとの報道を受けてヘルプを修正 2018年08月19日
Galaxy S9/Note 8などのメッセージアプリに端末内の写真が勝手に送信される不具合? 2018年07月03日

英諜報機関、暗号機「エニグマ」などのシミュレータを公開

英国の諜報機関・GCHQが、過去にドイツや英国などで使われた暗号装置「Enigma」「Typex」「Bombe」による暗号化および復号を簡単に試せるシミュレータを公開した(CNET Japan)。

これにより、GCHQがオープンソース(Apache License 2.0)で公開している「CyberChef」というデータ処理ツールで「Enigma」「Typex」「Bombe」による暗号化および復号が可能になる。GitHub上でデモが公開されているが、「Encryption / Encoding」の選択肢に「Enigma」や「Bombe」「Multiple Bombe」「Typex」が用意されており、これらをダブルクリックで選択し、「Input」に暗号化したい文字列を入れると「Output」に暗号化された結果が出力される。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
第二次世界大戦中に使われたドイツ軍暗号機「エニグマ」完動品、オークションにかけられる 2015年07月15日
本物の「エニグマ」がオークションに 2007年07月20日
エニグマ暗号の解読機、複製版が公開 2006年09月12日
エニグマ暗号文、64年ぶりに解読 2006年03月03日

WinRARの脆弱性を狙ったマルウェアが急増

老舗のファイル圧縮・展開ソフト「WinRAR」の脆弱性を悪用するマルウェアが多数登場しているという(SLASH GEARZDNetEngadgetSlashdot)。

この脆弱性は2月に明らかになったもので、細工を行なった圧縮ファイルをWinRARに処理させることで、任意の場所にファイルを設置できるというもの(Security NEXTCVE-2018-20250)。すでに修正版がリリースされているが、バージョン5.61以前のすべてのWinRARにこの脆弱性が含まれている。

この脆弱性が公表されて以来、すぐにこれを悪用するマルウェアが登場したとのことで、100種類以上の攻撃例が確認されているという。具体的な攻撃例としては、人気歌手アリアナ・グランデの最新アルバムを違法にコピーし圧縮したRARファイル中にマルウェアを仕込み、WinRARでこのファイルを展開させるとマルウェアがシステムにインストールされるといったものがあるそうだ。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
「UNLHA32.DLL」が7年ぶりにアップデート 2017-05-17 05:31:00
7-Zipで任意コード実行が可能となる2件の脆弱性 2016-05-15 04:23:00
GNU gzipに脆弱性、1.4リリース 2010-02-05 10:32:00
シマンテック製品に危険度の高い脆弱性 2005-12-23 11:40:00
Microsoft、Remote Desktop Servicesの脆弱性にパッチ適用を呼び掛ける 2019-06-05 06:10:00
ASUSのアップデートツール経由でマルウェアがインストールされる攻撃が確認される 2019-03-29 08:10:00

WinRARの脆弱性を狙ったマルウェアが急増

老舗のファイル圧縮・展開ソフト「WinRAR」の脆弱性を悪用するマルウェアが多数登場しているという(SLASH GEARZDNetEngadgetSlashdot)。

この脆弱性は2月に明らかになったもので、細工を行なった圧縮ファイルをWinRARに処理させることで、任意の場所にファイルを設置できるというもの(Security NEXTCVE-2018-20250)。すでに修正版がリリースされているが、バージョン5.61以前のすべてのWinRARにこの脆弱性が含まれている。

この脆弱性が公表されて以来、すぐにこれを悪用するマルウェアが登場したとのことで、100種類以上の攻撃例が確認されているという。具体的な攻撃例としては、人気歌手アリアナ・グランデの最新アルバムを違法にコピーし圧縮したRARファイル中にマルウェアを仕込み、WinRARでこのファイルを展開させるとマルウェアがシステムにインストールされるといったものがあるそうだ。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「UNLHA32.DLL」が7年ぶりにアップデート 2017年05月17日
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日
GNU gzipに脆弱性、1.4リリース 2010年02月05日
シマンテック製品に危険度の高い脆弱性 2005年12月23日

すみだセキュリティ勉強会、神奈川県・埼玉県・千葉県警による不当逮捕を恐れ活動休止

すみだセキュリティ勉強会が、しばらく勉強会の開催などの活動を休止するという(勉強会の活動休止のお知らせ)。「昨今の警察の動きがあまりにも不穏で、単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねないため」とのこと。

昨今では延々とメッセージを表示させるWebサイトのURLを貼った中学生らが補導・逮捕されたりサイトにCoinhiveを設置していたサイト管理者が不正指令電磁的記録取得・保管罪で摘発されたり「Wizard Bible」管理人がウイルス公開の疑いで略式起訴されるといった事件が発生している。これらはいずれも法的に問題はないと思われていたにもかかわらず警察によって摘発された事案であり、こういった状況では「発表者の方が近隣の神奈川県・埼玉県・千葉県から来られる場合……その発表を元に、各県警により不正指令電磁的記録に関する罪で発表者が逮捕される可能性があります」と懸念している。

すべて読む | セキュリティセクション | 日本 | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
サイバー捜査官は体育会系? 採用後は交番勤務から 2019年03月12日
毎日新聞のサイバー犯罪に関する報道に対し誤報との指摘 2019年03月08日
延々とメッセージを表示させるWebサイトのURLを貼った中学生ら、補導・逮捕される 2019年03月06日
新潟県警のサーバーに攻撃、荒らし行為のための踏み台にされた疑いも 2019年01月23日
「Wizard Bible」管理人、ウイルス公開の疑いで略式起訴。問題のプログラムは一般的なサンプルコード 2018年11月22日
サイトにCoinhiveを設置していたサイト管理者、不正指令電磁的記録取得・保管罪で摘発される 2018年06月12日

広告SDKを通じてアドウェアに感染した200本以上のアプリがGoogle Playで見つかる

headless曰く、

広告SDKを通じたGoogle Playでのアドウェアキャンペーンについて、発見したCheck Point Researchが解説している(Check Point ResearchAndroid PoliceSlashGearThe Verge)。

この広告SDKはRXDroiderと呼ばれるもので、キャンペーンが特定の国をターゲットにしたものではなく、アプリはそれぞれ異なる開発者によるものであることから、アプリ開発者をだまして使わせていたものとみられている。アドウェアに感染したアプリは206本見つかっており、シミュレーションゲームが多いことからCheck Point Researchでは「SimBad」と呼んでいる。

感染したアプリがインストールされると、SimBadは端末の起動完了時とユーザーが端末を使用している時にアクションを実行するようインテントを登録する。また、C&Cサーバーから広告表示のコマンドや、アプリがアンインストールされにくいようランチャーからアイコンを削除するコマンドなどを受け取るとのこと。

主な動作としては広告表示とフィッシングサイトへの誘導、Google Playや9Appsのようなマーケットアプリを開いて別のアプリを表示するほか、リモートアプリをダウンロードしてインストールさせることも可能だという。206本(記事でリストアップされているのは205本だった)の感染アプリは合計1億5千万回近くダウンロードされており、GoogleはCheck Point Researchの報告を受けてすべて削除したとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 広告 | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日
Google Playで発見されるマルウェア、インストール件数は水増しされている? 2018年11月25日
採掘できない暗号通貨にも対応する偽採掘アプリ 2018年10月14日

ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に

今年1月、ファイル送信サービス「宅ふぁいる便」で平文パスワードを含むユーザー情報の漏洩事件が発生したが、同サービスを運営しているオージス総研が被害状況や原因などをまとめ、報告している

これによると、漏洩件数は481万5,399件で、漏洩内容は氏名およびふりがな、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種、居住地の都道府県名など。攻撃に使用された具体的な脆弱性については明らかにされていない。

今後は再発防止策に取り組むほか、宅ふぁいる便のサービスについてはシステム再構築のため当面休止するという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IT従事者でも多くがパスワードの使い回しや同僚との共有を行なっている 2019年03月13日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019年01月30日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日

IoT機器侵入調査「NOTICE」を受けたとの報告例

昨年NICTが国内IPアドレスを対象としたポートスキャンを実施することが話題となった。現段階では実際にポートスキャンが実行されているようだが、このポートスキャンを受けた複数のユーザーが、どのようなアクセスを受けたかを報告している(INTERNET Watch)。

これらの報告によると、ポートスキャンはさまざまなポートを対象に行われていたとのこと。また、SSHについては総当たりでよく使われるようなIDとパスワードの組み合わせでログインを試み、ログインに成功したら「echo foo」コマンドを実行していたという。

すべて読む | セキュリティセクション | セキュリティ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NICT、国内IPアドレスを対象としたポートスキャンを実施へ 2018年11月12日
10000/TCPへのポートスキャンが増加、bashのShellshock脆弱性を狙う? 2014年10月11日

北朝鮮、サイバー攻撃で5億ドル以上を稼いでいたとの試算

北朝鮮のハッカーが世界中の金融機関を狙ってサイバー攻撃を行い不正に金銭を得ていると報じられている(日経新聞Forbes JAPAN毎日新聞)。

北朝鮮が2017年1月から2018年9月までに少なくとも5億ドル以上をこういったサイバー攻撃で稼いでいたとの試算が出たようだ。また、昨年には国内の仮想通貨取引所のコインチェックが不正アクセスを受け多額の仮想通貨を引き出される事件が発生したが、これにも北朝鮮が関わっていたという。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
北朝鮮の関与が疑われるハッカー集団、WindowsとmacOSの両方をターゲットにしたマルウェアを開発 2018年09月07日
平昌オリンピック開会式を狙ったサイバー攻撃は北朝鮮を装ったロシアによるものだったという説 2018年03月01日
北朝鮮のサイバー攻撃部隊、ターゲットを拡大中 2018年02月27日
仮想通貨「Monero」をマイニングして北朝鮮の大学のアドレスに送金するソフトが発見される 2018年02月17日
コインチェックからの仮想通貨流失事件、北朝鮮の犯行か? 2018年02月08日
仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 2018年01月29日

米国、ドイツに対し5G通信網でファーウェイを採用するなら機密情報の共有を制限すると警告

あるAnonymous Coward曰く、

中国の通信機器メーカー大手ファーウェイ(華為技術、Huawei)に対しては、その製品にバックドアが設置されている疑いがあるとして米国やロシアなどがその使用を禁止するよう圧力をかけている(過去記事)。これに対し、カナダイギリスなどはリスクが少ないとして、ファーウェイ排除については懐疑的な姿勢を見せている。こうした中、米国がドイツに対し、5G通信網でのファーウェイの機器を採用する場合、両国間での重要機密情報の共有に問題が発生する可能性があるとの警告を送ったという。

ドイツは、ファーウェイの無線通信機器にデータの外部からの傍受といったスパイ行為や不正動作をするという証拠を得られなかったことから、ファーウェイに5Gネットワーク構築契約の入札許可を出していた。このため、こうした書簡が送られたものとみられている(TheVergeEngadget日本版Slashdot)。

すべて読む | セキュリティセクション | セキュリティ | ネットワーク | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
英政府が5GネットワークでHuaweiを使用するリスクを対応可能なレベルと結論付けたとの報道 2019年02月23日
Huaweiの年間スマートフォン出荷台数が2億台を超える 2018年12月28日
携帯電話大手3社、HUAWEIやZTE製品製品を事実上排除へ? 2018年12月11日
米トランプ政権、同盟国に対しファーウェイ製品の不使用を求める 2018年11月26日
カナダ政府、Huaweiに不審な点があれば発見できるため、5G調達から排除する必要はないと自信を示す 2018年09月29日
ロシアもファーウェイ・ZTEの輸入禁止を検討 2018年09月05日

IT従事者でも多くがパスワードの使い回しや同僚との共有を行なっている

スウェーデンのセキュリティ企業Yubicoや米調査会社Ponemon Instituteによる調査によると、ITやITセキュリティを業務としている人でも、その多くがパスワードの使い回しや共有を行なっているという(INTERNET Watch)。

この調査は米・英・独・仏の4か国を対象にしており、回答者はそれぞれ577人・404人・400人・380人。国ごとにも異なる傾向があり、米国で同僚とパスワードを共有しているのは78%だったのに対し、ドイツは57%だったという。

すべて読む | ITセクション | セキュリティ | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
1日限定で管理権限を与えられた職員、パスワード一覧などをコピーしてその後1年に渡って不正アクセスを繰り返す 2018年04月13日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日

国連の民間航空機関、サイバー攻撃被害を隠蔽していた

あるAnonymous Coward曰く、

2016年11月に国連・国際民間航空機関(ICAO)のサーバーがサイバー攻撃を受けて乗っ取られ、数か月の間、政府や航空会社のコンピューターにマルウェアを拡散させていたことが分かった(AFPサイバーセキュリティ.com)。

この問題をロッキード・マーチンが発見し警告したものの、ICAOは対応を行わず、その結果航空業界全体にマルウェアが拡散したという。

ラジオ・カナダが入手した内部文書によると、この件においては対応の遅れや妨害、過失、スタッフによる隠蔽工作といった対応不備もあったという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日
StatCounterへのサイバー攻撃でビットコインを盗むコードが暗号通貨取引サイトに埋め込まれる 2018年11月10日
米司法省、中国情報機関高官らを起訴。航空機エンジン情報狙ったサイバー攻撃などで 2018年11月06日

フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果

あるAnonymous Coward曰く、

43人のフリーランス開発者を対象にWeb登録フォームを作らせるという調査を行ったところ、そのうち26人がパスワードを平文保存していたという論文が発表された(柴田淳氏のTweet)。

この論文では、開発者を次の4グループに分けて依頼を行った。その結果、22歳から68歳の43人の開発者がこの「業務」を請け負ったという。

  • 報酬100ユーロ、「パスワードを安全に保存するように」との指示あり
  • 報酬200ユーロ、「パスワードを安全に保存するように」との指示あり
  • 報酬100ユーロ、「パスワードを安全に保存するように」との指示なし
  • 報酬200ユーロ、「パスワードを安全に保存するように」との指示なし

その結果、ハッシュ関数を使って不可逆な形でパスワードを保存したのは17人の開発者のみで、残りの26人は可逆的な暗号化もしくは単純なBase64エンコーディングでパスワードを変換して保存していたという。また、可逆的な暗号化やBase64エンコーディングを使っていた開発者に対しセキュリティ的な問題を指摘したところ、12人がハッシュ関数を利用するように変更を行ったそうだ。

また、「パスワードを安全に保存するように」との指示を出していた開発者はその過半数がハッシュ関数を使ってパスワードを変換して保存していた一方、その指示がない開発者らはほとんどがパスワードを可逆的な暗号化もしくはBase64で保存していたという。そのほか論文では各開発者が使ったパスワード変換アルゴリズムや作業時間などについてもまとめられている。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
匿名で質問を募集できるサービス「Peing」でアクセストークンを第三者が閲覧できる問題が発覚 2019年01月31日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日

フリー開発者に登録フォームを作成させたところ半分以上がパスワードを暗号化しなかったという研究結果

あるAnonymous Coward曰く、

43人のフリーランス開発者を対象にWeb登録フォームを作らせるという調査を行ったところ、そのうち26人がパスワードを平文保存していたという論文が発表された(柴田淳氏のTweet)。

この論文では、開発者を次の4グループに分けて依頼を行った。その結果、22歳から68歳の43人の開発者がこの「業務」を請け負ったという。

  • 報酬100ユーロ、「パスワードを安全に保存するように」との指示あり
  • 報酬200ユーロ、「パスワードを安全に保存するように」との指示あり
  • 報酬100ユーロ、「パスワードを安全に保存するように」との指示なし
  • 報酬200ユーロ、「パスワードを安全に保存するように」との指示なし

その結果、ハッシュ関数を使って不可逆な形でパスワードを保存したのは17人の開発者のみで、残りの26人は可逆的な暗号化もしくは単純なBase64エンコーディングでパスワードを変換して保存していたという。また、可逆的な暗号化やBase64エンコーディングを使っていた開発者に対しセキュリティ的な問題を指摘したところ、12人がハッシュ関数を利用するように変更を行ったそうだ。

また、「パスワードを安全に保存するように」との指示を出していた開発者はその過半数がハッシュ関数を使ってパスワードを変換して保存していた一方、その指示がない開発者らはほとんどがパスワードを可逆的な暗号化もしくはBase64で保存していたという。そのほか論文では各開発者が使ったパスワード変換アルゴリズムや作業時間などについてもまとめられている。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
匿名で質問を募集できるサービス「Peing」でアクセストークンを第三者が閲覧できる問題が発覚 2019年01月31日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日

ボルボ、2020年以降発売する全車の最高速度を180km/hに制限

headless曰く、

Volvo Carsは4日、2020年以降発売する全車について最高速度を180km/hに制限する計画を発表した(日本版プレスリリース米国版プレスリリースMashableSlashGear)。

同社は2020年までに新しいボルボ車の事故による死亡や深刻な負傷をなくすという野心的な計画「Vision 2020」を打ち出している。しかし、これを実現するのにテクノロジーだけでは不十分であり、スピードの出し過ぎや、アルコール・薬物の影響、注意散漫というドライバーが関わる3つの問題を解決する必要があることを研究で確認したという。

スピードの出し過ぎの問題については最高速度の制限とは別に、ジオフェンシング技術を用いた学校や病院の周辺での自動的な速度制限の可能性についても研究しているそうだ。アルコール・薬物の影響や注意散漫の問題については、20日にスウェーデンで開催するイベントで提案を行うとのことだ。

すべて読む | ハードウェアセクション | ハードウェア | アップグレード | セキュリティ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
オーストリア、電気自動車のみ高速道路の制限速度を引き上げる方針を導入へ 2018年11月27日
ハイパーループ・ワン、時速1000キロで荷物を輸送するシステムの構想をドバイで発表 2018年05月10日
新東名高速道の新静岡IC−森掛川IC間、最高時速を110kmに引き上げ 2017年10月02日

GoogleのProject Zero、macOSのセキュリティに影響するカーネルの未修正バグを公表

headless曰く、

GoogleのProject Zeroが2月28日、macOSのセキュリティに影響するXNUカーネルの未修正バグを公表した(Project Zero — Issue 1726NeowinThreatpost)。

このバグはユーザーがマウントしたファイルシステムイメージに対するCOW(copy-on-write)の動作に関するもので、攻撃者がディスク上のイメージを直接書き換えても仮想ディスクを管理するサブシステムに通知されないため、COW処理が行われないのだという。その結果、攻撃者がメモリーを圧迫してマッピングされたイメージのページキャッシュを破棄させると、破棄されたページが再び必要になった場合にディスク上の改変されたイメージからの読み込みが行われるとのこと。

Project Zeroは昨年11月30日にAppleへバグを通知しており、Appleは将来のリリースで修正する意思を示したが、2月28日に90日が経過したため自動的に公表された。バグの深刻度は2番目に高い「High」となっている。

すべて読む | アップルセクション | セキュリティ | MacOSX | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
macOS 10.13.1(High Sierra)でパスワードなしで管理者権限を取得できる脆弱性が見つかる 2017年11月29日
Apple、iOSやmacOSなどの脆弱性を多数修正 2017年07月22日

Windows 10 バージョン1809、Spectre 2対策でRetpolineのサポートを追加

headless曰く、

Microsoftが1日にリリースしたWindows 10バージョン1809/Server 2019向けの累積更新プログラムKB4482887(ビルド17763.348)では、パフォーマンス低下の少ないSpectre Variant 2(CVE-2017-5715)緩和策「Retpoline」が一部のデバイスで有効化されたという(Windows Kernel InternalsPhoronix)。

Googleが開発したRetpoline(return+trampoline)は、間接的なブランチを投機実行から分離することでSpectre Variant 2(ブランチターゲットインジェクション)の影響を緩和するというものだ。CPUのマイクロコードアップデートによる新機能を用いてカーネルモードでの間接的な分岐予測を制限する、というMicrosoftの緩和策と比べてパフォーマンス低下が大幅に小さくなるとされ、Linuxでは1年以上前から採用されていた。

MicrosoftはRetpolineをWindows 10 19H1で導入する計画を示し、64ビット版のWindows 10 Insider Previewビルド18272以降で利用可能となっていたが、バージョン1809にもRetpolineのサポートに必要なOSの変更がバックポートされたという。ただし、バージョン1809のRetpolineはデフォルトで無効になっており、ビルド17763.348では一部のデバイスのみ有効化されたということのようだ。他のデバイスでも、今後数か月のうちに順次有効化していくとのこと。なお、実装と変更が複雑なことから、Retpolineはバージョン1809以降のみの提供になるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Googleの研究者ら曰く、Spectre脆弱性の修正は難しい 2019年02月28日
次期Windows 10大型アップデートでは新たなSpectre対策が導入される予定 2018年10月23日
MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される 2018年10月22日
新たな「Spectre」関連の脆弱性が発見される 2018年07月17日

延々とメッセージを表示させるWebサイトのURLを貼った中学生ら、補導・逮捕される

無限ループを使ってメッセージを延々と表示させるようなスクリプトが仕込まれたWebページへのリンクをネット掲示板に書き込んだ13歳中学生など3名が補導・家宅捜索された(NHKサンケイスポーツ)。これに対し批判の声が集まっている(ITmediaEngadget日本版)。

問題のページはFC2でホスティングされていたページ(http://n41050z.web.fc2.com/burakura.html)とのことでで、現在は削除されている(piyolog)。Webアーカイブに保存されているアーカイブによると、次のようなスクリプトが含まれていたようだ。

for( ; ; ){
window.alert(" ∧_∧ ババババ\n( ・ω・)=つ≡つ\n(っ ≡つ=つ\n`/  )\n(ノΠU\n何回閉じても無駄ですよ~ww\nm9(^Д^)プギャー!!\n byソル (@0_Infinity_)")
}

海外でもZDNetが問題となったページのWebアーカイブへのURL付きでこの問題を報じるなど注目されている。また、JavaScriptの生みの親であるBrendan Eich氏はこの報道に対し、「Chromeから10年も前に生まれたNetscape 4ですらJavaScriptループをユーザーに止めさせる機能があるのに」とコメントしている。

なおこの件については「ブラウザクラッシャー(ブラクラ)で逮捕・補導」などとも言われているが、問題のWebページはアクセスしてもWebブラウザがクラッシュしたり操作不能になるわけではなく、タブを閉じたりブラウザを終了させるだけで簡単に対処できることから、ブラクラではないとの指摘も出ている

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ブラウザクラッシャーを作った13歳中学生、「ウイルス作成罪」で補導される 2012年07月05日
ウイルス作成罪で初の逮捕者が出る 2012年01月26日
「ブラウザクラッシャー」作成で逮捕、ウイルス供用罪の初適用事例に 2011年11月02日

トレンドマイクロがCoinhiveの実演時に細工をして意図的にCPU負荷を上げていた疑惑が出る

以前、漫画の海賊版配信サイト「漫画村」で仮想通貨を採掘(マイニング)するスクリプトが埋め込まれていたとトレンドマイクロが指摘していたが(過去記事)、トレンドマイクロがTVでの取材時に事実とは異なる実演を行っていた可能性が指摘されている(Togetterまとめ黒翼猫のコンピュータ日記 2nd Edition)。

漫画村で使われていた採掘スクリプト(Coinhive)の設定では、採掘に使用するCPUリソースを設定するパラメータ「Throttle」が1に設定されていたという。このパラメータはCPUパワーのうちどれだけを採掘に利用するかを設定する物で、「1」だと採掘に使用するCPUリソースを最小限にする設定になるという(トレンドマイクロの翻訳記事)。そのため、この設定でCPU利用率が100%になることはないと指摘されている。

また、問題の取材ではWebブラウザとしてInternet Explorerが使われていたが、CoinhiveはInternet Explorerでは動作しないという。さらに、CPU利用量を示すものとして例示されたグラフも不自然だという。

取材映像ではWebページに外部からスクリプトなどを埋め込めるデバッグツールである「Fiddler」が動いているとの指摘もあり、意図的にCPU使用率を操作しているのではないかとも指摘されている。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
一部のセキュリティソフト体験版では試用期間終了後アンインストールしないとWindows標準のセキュリティ機能も使えなくなる 2019年02月27日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
トレンドマイクロ、個人情報収集問題発覚後にWebサイトにデータ収集に関する記載を追加したことを認める 2018年10月29日
トレンドマイクロの各種アプリ、iOS向けApp Storeから削除される 2018年09月12日
九州大学、セキュリティ対策ソフトの不具合により約500件のトラブル発生 2018年06月18日
漫画海賊版サイトで仮想通貨採掘スクリプトが見つかる、閲覧者の知らぬ間に端末で採掘が実行される 2018年04月02日

Thunderboltポート経由で本来行えないはずのデータの読み取りなどが行える脆弱性が見つかる

Thunderboltではハードウェア同士がソフトウェアを介さずに直接データ転送を行うDMAを使ったデータ転送が可能だが、Thunderbolt経由で接続された機器からDMAを使ってシステムメモリを直接読み書きできてしまうという脆弱性が見つかったことが報じられている。これを悪用し、意図的にデータを盗んだり改変するようなThunderbolt接続のハードウェアを作ることができるようだ(itnewsGIGAZINESlashdot)。

この問題は「Thunderclap」と呼ばれている。DMAによるデータ転送を行う場合、通常は許可されたアドレスへのデータ転送以外は行えないよう制限がかけられる。しかし、多くのOSでこの制限をバイパスしてDMAアクセスを可能にする脆弱性が存在するという。

この問題を指摘した研究者らはFPGAを使い、Thunderbolt経由でPCに接続して攻撃を行うデバイスを実際に作成、さまざまなOSで検証を行った。その結果、WindowsやmaOS、Linux、FreeBSD、PC BSDなどでデータの読み取りといった悪意のある操作を実行できたという。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
TegraのUSBリカバリモードに脆弱性、Nintendo Switch上で任意のコードが実行可能に 2018年04月27日
2.4GHz帯ワイヤレスマウス/キーボードのUSBドングルに存在する脆弱性「Mousejack」 2016年02月28日
ビデオカードの中に隠されたマルウェアを見つけ出せ 2013年10月01日

Windows 7のDLL読み込みに関する脆弱性、対策はWindows 10へのアップグレード

昨年5月、複数のMicrosoft製品でDLL読み込みに関する脆弱性が発見されたが、Microsoftはこれに対し「アプリケーション ディレクトリにおけるDLLの植え付けのカテゴリに該当するDLLの植え付けの問題は、多層防御の問題として扱われ、更新プログラムは将来のバージョンについてのみ検討されます」との見解を出していた(Microsoft TechNet過去記事)。これを受けてJVNが、Windows 7 における DLL 読み込みに関する脆弱性として脆弱性レポートを公表した。

問題の脆弱性は「細工されたDLLファイルが実行ファイルと同一のディレクトリに置かれていた場合、任意のコードを実行される可能性がある」というもの(窓の杜Security NEXT)。これに対しMicrosoftはWindows 7においてはこの問題を修正する予定はないとしている。Windows 10ではこの脆弱性を緩和する機能が導入されており、脆弱性レポートでは対策方法として「Windows 10へのアップグレード」が挙げられている。

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
FirefoxもサードパーティーDLLをブロックへ 2019年01月24日
WindowsアプリのインストーラのDLL読込み脆弱性、Microsoftは自社製品を修正せず 2018年05月22日
Skypeのアップデート機能にDLLハイジャッキング脆弱性が見つかる 2018年02月17日
「UNLHA32.DLL」が7年ぶりにアップデート 2017年05月17日

日本の家庭用ルーターの57%が脆弱な状態、Avastスキャン調査結果

セキュリティソフトウェアを手がけるAvastによると、日本の世帯の29%が1台以上の脆弱なデバイスを保有しているという(Avastの発表)。また、日本の家庭用ルーターの57%が脆弱な状態なのだそうだ。

日本の家庭で使用されているスマートホームデバイスの84%は、パスワードなどの認証が脆弱だったり二要素認証を使用しておらず、また16%がパッチをセキュリティ修正パッチを適用していないという。

脆弱なデバイスとしてはプリンターが42%と最も多く、続いてネットワーク機器(37%)、メディアストリーミング端末(13%)、防犯カメラ(5%)、NAS(1%)が続いている。

この調査は、Avastのセキュリティソフトユーザーが同ソフトに搭載されている「Avast Wi-Fi Inspector」というネットワークスキャン機能を使って収集したデータを元に集計しているという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
家庭で使われている無線LANルータの83%に脆弱性、米NPO調査 2018年10月10日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日
脆弱性が見つかったコレガの無線LANルーター、2019年までのサポートをうたっていたにも関わらず突然サポート打ち切りに? 2018年03月19日

日本の家庭用ルーターの57%が脆弱な状態、Avastスキャン調査結果

セキュリティソフトウェアを手がけるAvastによると、日本の世帯の29%が1台以上の脆弱なデバイスを保有しているという(Avastの発表)。また、日本の家庭用ルーターの57%が脆弱な状態なのだそうだ。

日本の家庭で使用されているスマートホームデバイスの84%は、パスワードなどの認証が脆弱だったり二要素認証を使用しておらず、また16%がパッチをセキュリティ修正パッチを適用していないという。

脆弱なデバイスとしてはプリンターが42%と最も多く、続いてネットワーク機器(37%)、メディアストリーミング端末(13%)、防犯カメラ(5%)、NAS(1%)が続いている。

この調査は、Avastのセキュリティソフトユーザーが同ソフトに搭載されている「Avast Wi-Fi Inspector」というネットワークスキャン機能を使って収集したデータを元に集計しているという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
家庭で使われている無線LANルータの83%に脆弱性、米NPO調査 2018年10月10日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日
脆弱性が見つかったコレガの無線LANルーター、2019年までのサポートをうたっていたにも関わらず突然サポート打ち切りに? 2018年03月19日

盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる

headless曰く、

米国・カリフォルニア州リバーサイドで、盗難にあったTesla車のオーナーが専用アプリで車両の位置情報を取得し、警察に知らせたことが容疑者逮捕につながったそうだ(リバーサイド警察のFacebookページMashableThe Press-Enterprise)。

オーナーは自動車が駐車場で盗難にあったと届け出たのち、アプリで現在位置を追跡し、通報センターにリアルタイムで報告したという。警察はこの情報を用いて車両を特定したが、運転していた容疑者は警察の制止に従わず逃走を続ける。容疑者の運転をみて追跡は危険と判断した警察はパトカーによる追跡をやめ、ヘリコプターからの監視を続けた。最終的にTesla車はバッテリー切れで動かなくなり、ハイウェイパトロールが容疑者を拘束して警察に引き渡したとのことだ。

すべて読む | セキュリティセクション | テクノロジー | 犯罪 | セキュリティ | ソフトウェア | 交通 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国でテスト中のインテリジェント信号システム、1台の車が偽造データを送信するだけで渋滞を引き起こせる 2018年03月14日
ビッグデータを知財として保護 政府、登録・活用へ法整備 2017年03月13日
警察庁、捜査対象者の追跡にGPSを利用していたことを隠すよう指示していた 2017年02月03日
米国内で自動車を販売する主要メーカー、ドライバーのプライバシーを保護する原則に署名 2014年11月17日

Googleの研究者ら曰く、Spectre脆弱性の修正は難しい

あるAnonymous Coward曰く、

昨年1月に「Spectre」などと呼ばれるCPUの脆弱性の存在が報じられた。その後、これらと同様の手法を使った攻撃手法が次々と見つかっているが、Googleの研究者らが2月15日付けで発表した論文によると、これらの脆弱性は修正が難しいという(I Programmer)。

論文では、Spectre脆弱性は投機実行機能を持つすべてのCPUに存在する、プロセス分離という概念は滅びた、個々のソフトウェア実装どころかプログラミング言語でもハードウェアでも解決できない、という事実を改めて明らかにしたうえで、まずサイドチャネル攻撃を模擬して分析できるCPUの状態モデルを作り、その状態モデルを操作できるようにするところから始めないと、脆弱性の解消どころか研究すら手が付けられないとしている。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
CPUのSMT機能に関連した脆弱性が見つかる、SSL秘密鍵を盗む実証コードも公開 2018年11月07日
次期Windows 10大型アップデートでは新たなSpectre対策が導入される予定 2018年10月23日
MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される 2018年10月22日
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 2018年01月04日