投稿者「headless」のアーカイブ

スワッティングで無関係な男性が警官に射殺された事件、虚偽の通報を依頼した男に15か月の実刑判決

あるAnonymous Coward 曰く、

ゲーマー同士の争いが発端のスワッティング(swatting)により、カンサス州ウィチタの無関係な男性が警官に射殺された2017年の事件で、虚偽の通報を依頼した男に15か月の実刑判決が言い渡された(CNNの記事)。

この事件では虚偽の通報をした男が既に20年の実刑判決を受けている。虚偽の通報でターゲットの家に警官隊を出動させるスワッティングは、米国の一部ゲーマーの間で気に入らない相手を黙らせる方法として横行し、問題化していた。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | スラッシュバック | ゲーム | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Krebs on SecurityのBrian Krebs氏、偽通報で自宅が警官隊に制圧される 2013年03月17日
ネット掲示板サービスreddit、オルタナ右翼関連スレッドをアクセス禁止に 2017年02月06日
ネットゲームのトラブルが原因で偽の通報、無関係の人が警察に射殺される事態に 2018年01月02日
米シアトル市警、登録型のスワッティング対策サービスを開始 2018年10月07日

Firefoxの法人向け有料サポート、成功するか

現在は削除されているが、Mozillaは9月初めからFirefoxの法人向けページに有料サポート (Firefox premium support for enterprise)の情報を掲載していた(Internet ArciveのスナップショットNeowinの記事gHacksの記事The Next Webの記事)。

掲載されていた情報によれば、有料サポートの料金設定はサポート対象のFirefoxインストール1件につき10ドルからとなっており、24時間サポートが提供される。また、非公開でのバグ報告や回答時間の保証、サービスレベル契約 (SLA)による重大なセキュリティバグ修正、専用のポータルサイトなども提供される。

ただし、「Contact Sales」ボタンをクリックすると表示されるのは問い合わせフォームとFirefox Enterpriseのサインアップ画面を合わせたようなページで、有料サポートなどの法人向けサービスに興味があるかという設問もみられる。この件に関する発表も特に行われていないようで、本格的に開始している雰囲気ではない。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | Firefox | Mozilla | IT | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefoxのサブスクリプション型プレミアムサービス、サインアップページが見つかる 2019年07月07日
Mozilla、Googleからの収入が0に 2015年12月07日
Mozilla、実験的にVPNサービスの販売を計画 2018年10月26日
Mozilla、Firefoxでサブスクリプション型プレミアムサービスを導入する計画 2019年06月12日
MozillaがFirefox Test Pilotを再開、第一弾はFirefox Private Networkを米国限定でテスト 2019年09月14日

SIMカードの脆弱性を悪用する攻撃「Simjacker」

SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事Android Policeの記事The Next Webの記事Ars Technicaの記事)。

Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているという。

具体的な攻撃としては、ターゲットにSimjacker用に細工したSMSを送り付け、ターゲットに気付かれることなくIMEIや位置情報などを記載したSMSを送信させるというものが挙げられている。エクスプロイトは複数の国の政府が特定の個人を監視するために使用しているそうだ。攻撃用SMSに含めるSTKコマンドを変えることで、偽情報を記載したSMS/MMSを送信することや、ターゲット側から電話をかけさせて音声を聞くこと、Webブラウザーを起動して別のマルウェアを実行させること、SIMカードを無効化することなども可能となる。マルウェアのリンクを送付するなど、SMSがサイバー攻撃に使われるのは珍しくないが、マルウェアそのものを含むSMSが現実の攻撃で使われるのは初めてのようだ。

こういった攻撃を防ぐためAdaptiveMobile Securityでは顧客の携帯通信会社と協力しているほか、GSM Association(GSMA)やSIMallianceと脆弱性情報を共有している。その結果、GSMAではGSMA CVDプログラムを通じたモバイルコミュニティー全体での情報共有が行われ、SIMallianceではS@T仕様に関する新しいセキュリティガイドライン(PDF)を公開している。

なお、Simjackerの詳細については、10月2日~4日に英国・ロンドンで開催されるVirus Bulletin International Conference (VB2019)10月3日に発表予定とのことだ。

すべて読む | セキュリティセクション | モバイル | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Twitter、CEOのアカウントが再びハックされる 2019年09月01日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる 2019年08月30日
米国で携帯会社従業員に賄賂を渡して個人情報を入手していたサイバー犯罪者らが起訴される 2019年05月16日
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日
スマホに隠されている「第2のOS」がもたらす危険 2013年11月15日
SIMカードに脆弱性が発見される。悪用するとSIMカードの乗っ取りが可能に 2013年07月23日
SMS リモートコードの脆弱性を修正した iPhone 3.0.1 リリース 2009年08月03日

Apple、iOSの脆弱性に対する攻撃をGoogleが誇張していると批判

GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明The Vergeの記事[1][2]Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10~12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃に使われていたのがウイグル族向けのWebサイトで幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたWebサイトは1ダースもなく、攻撃が行われていた期間も2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12のゼロデイ脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性を強調している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。

すべて読む | アップルセクション | Google | セキュリティ | アップル | iOS | iPhone | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
iOS 12.3で修正された脆弱性、iOS 12.4で復活していた 2019年08月24日
GoogleのProject Zero、macOSのセキュリティに影響するカーネルの未修正バグを公表 2019年03月08日
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
Google Project ZeroリサーチャーのツイートにiOS脱獄コミュニティがざわつく 2017年12月10日
不具合修正はWindows 10を優先する、というMSの姿勢に対し批判が出る 2017年10月23日
Microsoft、Google Chromeのパッチ提供方針を批判 2017年10月21日
Google、OS Xの未解決の脆弱性を公開 2015年01月27日

ZERODIUMがエクスプロイト買取価格を改定、Androidのエクスプロイト買取価格が初めてiOSを上回る

各種ゼロデイ脆弱性を利用したエクスプロイトの買取を行うZERODIUMが3日、モバイル向けエクスプロイトの買い取り価格一部改訂を発表した(ZERODIUMのツイート価格改定内容Ars Technicaの記事The Registerの記事)。

これまでの最高額はiOSのエクスプロイト緩和策をすべて迂回してユーザーの操作なしに任意のアプリを永続的にインストール可能なエクスプロイト(iOS FCP Zero Click)の最高200万ドルだったが、新たに追加されたAndroidに対する同様のエクスプロイト(Android FCP Zero Click)が最高250万ドルに設定されており、Androidのエクスプロイト買取価格がiOSを初めて上回った。

また、ユーザーの操作なしに任意コード実行およびローカルでの権限昇格が可能なWhatsAppのエクスプロイト(WhatsApp RCE+LPE Zero Click)またはiMessageのエクスプロイト(iMessage RCE+LPE Zero Click)は、これまでの100万ドルから150万ドルにそれぞれ増額されている。一方、ユーザーの操作が必要なエクスプロイトに関しては、iOSのエクスプロイト(iOS FCP One Click)が150万ドルから100万ドルに減額され、iMessageのエクスプロイト(iMessage RCE+LPE)は100万ドルから50万ドルに減額された。

ZERODIUMでは今回の価格改定を市場の動向に従ったものだと説明している。

すべて読む | セキュリティセクション | セキュリティ | バグ | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
iOS 9の脱獄に合計300万ドルの賞金を出すという企業が登場 2015年09月25日
iOS 9のリモート脱獄報奨金プログラム、1チームが100万ドルを獲得 2015年11月06日
ZERODIUMが各種ゼロデイエクスプロイトの買い取り価格を公表 2015年11月23日
Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 2016年08月28日
ZERODIUM、iOSのゼロデイエクスプロイト買取価格を3倍の150万ドルに改定 2016年10月01日
脆弱性の買取会社が買い取り価格をアップ。セキュリティ技術が向上したため 2019年01月12日

ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう

米国で歯科医院向けにクラウドバックアップサービスを提供する企業がランサムウェア攻撃を受け、サービスを利用する歯科医院がカルテなどのデータにアクセスできなくなったそうだ(PerCSoftのFacebookページThe Digital Dental Recordとウィスコンシン歯科医師会の声明: PDFKrebs on Securityの記事The Next Webの記事)。

攻撃を受けたのは米ウィスコンシン州のPerCSoftとThe Digital Dental Record(2社の住所は同じ)が提供する「DDS Safe」という製品だ。クラウドとローカルドライブ、外付けドライブの3か所にバックアップを保存することで、ランサムウェアの影響を最小限に抑えることができるというのが売りとなっている。

The Digital Dental Recordは8月26日8時44分、クライアントデータをバックアップするリモート管理ソフトウェアにランサムウェアが展開されたことに気付いたという。すぐに調査を行って脅威を排除したが、多くの歯科医院が影響を受けることになる。ウィスコンシン歯科医師会(WDA)によると、全米でおよそ400軒の歯科医院がデータにアクセスできなくなったとのこと。PerCSoftはデクリプターを入手してデータの復号を進めており、相当部分が復旧しているようだ。

ZDNetの記事は2社が身代金を払ったと報じており、Krebs on Securityの記事では歯科業界で働くITプロフェッショナル向けFacebookグループに投稿された、身代金を払っていることをPerCSoftが説明したものだというスクリーンショットを掲載している。ただし、2社は表立って身代金支払いを認めてはいない。WDAでは調査が進められている最中なので攻撃の詳細を説明することはできないが、会が身代金を支払ったことはなく、問題解決に会費が使われることはないとも述べている。

現在、クラウドのデータやバックアップサービスはランサムウェアの主要なターゲットになっているという。なお、上述のFacebookグループに投稿されたデクリプターのスクリーンショットから、攻撃に使われたのは「REvil」「Sodinokibi」などと呼ばれるランサムウェアとみられている。

すべて読む | セキュリティセクション | セキュリティ | 医療 | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国市長会議、ランサムウェア攻撃者への身代金支払に反対する決議を採択 2019年07月15日
ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス 2018年12月08日
サイバー攻撃でコンピューターが使用できなくなった米アラスカ州の郡、タイプライターを持ち出して対応 2018年08月04日
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日
サイバー攻撃でキーカードシステムを乗っ取られたオーストリアの豪華ホテル、身代金を支払って解決 2017年02月03日
ランサムウェア「TeslaCrypt」開発者、復号用のマスターキーを公開 2016年05月24日

Twitter、CEOのアカウントが再びハックされる

Twitter CEO ジャック・ドーシー氏のTwitterアカウントが8月31日4時44分ごろから少なくとも15分にわたってハックされ、攻撃者が多数のツイート・リツイートを投稿した(Twitter CommsのツイートThe Vergeの記事[1][2]Windows Centralの記事)。

ドーシー氏のTwitterアカウントは2016年にもハックされている。2016年の攻撃はOutMineによるもので、ドーシー氏のVineアカウントを乗っ取ってTwitterへの投稿が行われた。今回の攻撃はSMSを使用して携帯電話からTwitterに投稿する機能にSIMスワッピングを組み合わせたものだという。

SMSによるTwitter投稿は日本ではサポートされていないが、Twitterでは専用のショートコード宛にSMSを送信することで、携帯電話の電話番号と結びつけられたTwitterアカウントに投稿できる。SIMスワッピングとは本人に成りすまして携帯電話キャリアをだまし、新しいSIMカードへ携帯電話番号を移動するというものだ。Twitterでは今回の件について、携帯電話キャリアのミスだと説明している。

攻撃者は最近ソーシャルメディアの有名人のTwitterアカウントを次々にハックしているChucklingSquadなどと名乗るグループとみられている。Internet Archiveのスナップショットによると、ドーシー氏のTwitterアカウントには日本時間8月31日4時44分以降15分間にわたり、攻撃者が立て続けにツイート・リツイートを投稿している。すべて確認したわけではないが、リツイートされた元の投稿者はアカウント停止になっているようだ。

すべて読む | セキュリティセクション | セキュリティ | Twitter | 携帯電話 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ソニーミュージックとボブ・ディランの公式Twitterアカウントが侵入され、ブリトニー・スピアーズ死去との偽情報を投稿 2016年12月31日
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日
米国で携帯会社従業員に賄賂を渡して個人情報を入手していたサイバー犯罪者らが起訴される 2019年05月16日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日
Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた? 2016年06月08日
Google CEOのQuoraアカウントが乗っ取られ、連携先のTwitterでツイートが送信される 2016年06月30日
Twitter曰く、著名アカウントを通じたビットコイン詐欺ツイートの原因はサードパーティーアプリ 2018年11月18日
Twitter CEO、米大統領がどんな発言をしてもアカウントを停止するつもりはない 2017年05月03日
Twitter、自社CEOのアカウントを短時間停止するトラブル 2016年11月26日
米マテル、中国からのフィッシング攻撃に引っかかる。資金はギリギリのところで回収 2016年04月06日
InfoSec Europe会場での調査、セキュリティ担当者の8割は重役がCEO詐欺の被害にあう可能性があると回答 2016年07月03日
SeagateでもCEOを装ったメールによる個人情報流出が発生していた 2016年03月09日

ふるさと納税返礼品のドライブレコーダー、今年度に入って人気急上昇

Bill Hates曰く、

昨年度からドライブレコーダーをふるさと納税の返礼品に用意している海老名市では、今年度に入ってから毎月の申込件数が前年同月を上回っているそうだ(カナロコの記事)。

返礼品のドライブレコーダーは市内に本社を置くオウルテックの製品。8月の申込件数は22日の段階で昨年8月の6倍に達し、本年度のドライブレコーダー分寄附金額は既に昨年度1年分に並んだという。海老名市商工課はあおり運転対策でドライブレコーダーが選ばれているとみるが、スラド諸氏はドライブレコーダーの選定時にどのような機能を重視するだろうか。

すべて読む | セキュリティセクション | セキュリティ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
海老名市のCCC運営図書館、新たに就任した館長は全くの門外漢? 2019年07月19日
鹿児島県志布志市、ふるさと納税紹介サイトに市職員が組織的にアクセスしてランキングを操作 2017年11月09日
泉佐野市など4自治体、ふるさと納税制度から外れる。泉佐野市は返礼率60%のキャンペーンを開始 2019年05月14日
ふるさと納税の返礼品となったエアガンに対し「危険では」との声、結局提供中止に 2019年08月08日
ドライブレコーダーの販売台数が急増中 2016年07月20日
事故を記録するカメラ搭載型ドライブレコーダー 2004年01月09日
「ドライブレコーダー」完成 2001年08月24日
暴行容疑者がガラケーを使っていたことに注目するメディアたち 2019年08月19日

RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される

RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713The Registerの記事CVE-2019-15224)。

不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。

不正アクセスを受けたメインテナーのHacker Newsへの投稿によると、RubyGems.orgアカウントと他サービスでパスワードを共有しており、そのパスワードは他サービスから漏洩していたという。RubyGems.orgアカウントは10年以上前に作成したもので、最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかったとのこと。攻撃の流れとしては、価値の高いターゲットライブラリを選んでアカウント名を取得し、流出パスワードのリストと照合したとの見方を示している。

RubyGems.orgは影響を受けるバージョンをすべて公開停止し、1.6.9と同じ内容の1.6.14を新バージョンとしてリリースしている。さらに、二要素認証の使用などメインテナーに求めるセキュリティプラクティスの確立や、アクティブなメインテナーの維持に関するポリシーの導入などを計画しているとのこと。なお、これに関連して不正なコードを含むパッケージが多数見つかり、すべて公開停止となっている。

RubyGems.orgアカウントへの不正アクセスとしては、3月にバックドアを含むbootstrap-sass 3.2.0.3が公開されたことがスラドでも話題になったが、6月にもバックドアを含むstrong_password 0.0.7が公開されていたとのことだ。不正アクセスを受けたstrong_passwordのオーナーも他サービスで流出した古いパスワードの使用していた点や最近活動していなかった点など、rest-clientのメインテナーと状況が似通っている。

すべて読む | セキュリティセクション | Ruby | セキュリティ | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 2019年04月07日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日
2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 2017年08月05日
OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入 2016年08月04日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 2015年05月30日
RMS曰く、プロプライエタリーソフトウェアの多くがマルウェア 2015年05月24日

iOS 12.3で修正された脆弱性、iOS 12.4で復活していた

Appleが5月にiOS 12.3で修正した脆弱性が7月リリースのiOS 12.4で復活していることが判明し、最新版のiOSが脱獄可能な状態となっている(Motherboardの記事Mac Rumorsの記事SlashGearの記事The Next Webの記事)。

問題の脆弱性CVE-2019-8605はカーネルの解放済みメモリ使用脆弱性で、悪意あるアプリケーションがシステム権限で任意のコードを実行できるというものだ。iOS 12.3リリース後に発見者のNed Williamson氏がGoogle Project Zeroのスレッドで「SockPuppet」と呼ばれるエクスプロイトを公開しており、このエクスプロイトを利用した脱獄ツールもGitHubで公開されていた。

ところが、このエクスプロイトがiOS 12.4でも動作することが判明し、脱獄ツールもiOS 12.4対応が進められている。脱獄コードの多くはAppleによるパッチを避けるため非公開となっており、最新版のiOSに対応する脱獄コードが公開されるのは久しぶりとのこと。一方、この脆弱性がスパイウェアインストールなどに悪用される可能性もあり、注意が呼びかけられている。

すべて読む | アップルセクション | セキュリティ | バグ | 変なモノ | iOS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IE5/6でエンバグ、セキュリティホール復活 2004年07月01日
Chrome 67で封じたはずのダウンロード爆弾バグが復活。Firefox、Vilvadiなども影響 2018年07月06日
macOS Mojave 10.14.5やiOS 12.3で「令和」がサポートされる 2019年05月14日
Bluetooth BR/EDR接続のデバイスに短い暗号鍵を使わせることができる脆弱性 2019年08月18日
脱獄済みiOS向けアプリストアのCydia Store、アプリ購入機能の提供を終了 2018年12月20日
Google Project ZeroリサーチャーのツイートにiOS脱獄コミュニティがざわつく 2017年12月10日
ZERODIUM、iOSのゼロデイエクスプロイト買取価格を3倍の150万ドルに改定 2016年10月01日
Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 2016年08月28日

Bluetooth BR/EDR接続のデバイスに短い暗号鍵を使わせることができる脆弱性

オーディオストリーミング等に用いられるBluetooth BR/EDR接続で暗号鍵の長さをネゴシエーション(Key Negotiation Of Bluetooth: KNOB)する際、通信範囲内にいる攻撃者が鍵長を短くできる脆弱性CVE-2019-9506が公表された(Bluetooth SIGのセキュリティ情報CERT: VU#918987The Vergeの記事Softpediaの記事)。

鍵長は接続する2台のデバイス間でネゴシエーションして決められるが、Bluetooth BR/EDR Core v5.1までの仕様では最短の鍵長が定められていないため、攻撃者がメッセージをインターセプトして偽のメッセージを送ることで、最短1オクテットの暗号鍵を使わせることが可能になる。

この脆弱性を悪用する攻撃はKNOB Attackと名付けられており、短い暗号鍵を総当たりで解析することで、暗号化された通信内容の読み取りや任意の暗号文の挿入が可能になる。脆弱性を発見した研究チームではBroadcom・Qualcomm・Apple・Intel・Chicony製のBluetoothチップ17モデルを搭載する24種類のデバイスでKNOB Attackが可能なことを確認したという。脆弱性の存在は2018年後半にCERTやBluetooth SIGに報告されており、以降の更新が行われていないデバイスは未修正とみられる。

これを受けてBluetooth SIGではBluetooth Core Specificationを更新し、BR/EDR接続時の鍵長を最短7オクテットにすることを推奨している。Appleは7月公開のiOS 12.4macOS Mojave 10.14.6などで脆弱性を修正しており、MicrosoftもサポートされるバージョンのWindowsを8月の月例更新で修正している。なお、接続する2台のデバイスの一方で脆弱性が修正されていれば攻撃は成功しないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
TI製低電力Bluetoothチップにリモートアクセスを可能にする脆弱性 2018年11月10日
Microsoft、一部のBluetoothデバイスからWindowsへの接続を拒否するよう修正 2019年06月20日

米国ではどこでも銃撃事件が発生する可能性があるという在デトロイト日本総領事館の注意喚起、トランプ大統領も反発

米国のドナルド・トランプ大統領は9日、銃乱射事件を受けて複数の国で渡航注意情報が出されていることについて記者から質問を受け、米国にネガティブなことをする国にはお返しすると回答している(会見全文USA TODAYの記事[1])。

米国への渡航注意情報はウルグアイベネズエラで出されており、Amnesty Internationalも注意喚起している(Los Angeles Timesの記事USA TODAYの記事[2])。

記者からの質問で特に名指しされたのは日本だが、これは渡航注意情報ではなく、4日にオハイオ州で発生した銃乱射事件について在デトロイト日本総領事館が情報提供を呼び掛けたものだ。ただし「銃社会である米国では銃撃事件の可能性は潜在的にどこにでもある」という注意喚起の一文が最後に添えられている。Los Angeles Timesは米国が銃社会と呼ばれたことに強く反応しており、質問した記者は米国で銃撃事件の可能性がどこにでもあるという部分を強調していた。

トランプ大統領は質問に対し、そのようなことは想像もできないが、実際にやられたとすればやり返すだけだと回答。米国は自分を頭とするお返しの国であり、誰かが国レベルで我々にネガティブなことをするなら、同じことを彼らにもするとのこと。米国は同盟国を含め他国に利用され続けてきたが、それはやめたとも述べている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政治 | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
相次ぐ銃乱射事件を受け、Cloudflareが掲示板8chanへのサービス提供を打ち切り 2019年08月08日
トランプ大統領、「銃乱射犯を事前に検知する技術」の開発を求める 2019年08月07日
米国で銃乱射事件が相次ぐ、トランプ大統領は原因の1つとしてビデオゲームを挙げる 2019年08月06日
セールスフォース、規約変更で同社クラウドサービス利用者の銃販売を禁止へ。米国銃器販売業者に影響 2019年06月04日
防弾チョッキを着てお互いをライフルで撃った2人の米男性、加重暴行容疑で逮捕される 2019年04月06日
ふるさと納税の返礼品となったエアガンに対し「危険では」との声、結局提供中止に 2019年08月08日

キャセイパシフィック航空、機内監視カメラで乗客を撮影するとプライバシーポリシーに明記

キャセイパシフィック航空がプライバシーポリシーを更新し、機内の監視カメラによる乗客の撮影を明記している(日本語版プライバシーポリシーCNN Travelの記事SlashGearの記事)。

記述がみられるのは同社が収集する個人情報のうち同社製品・サービスの利用に関する2.1(e)だ。日本語版の該当部分は「弊社空港ラウンジおよび航空機内CCTVによって取得されたお客様の画像」となっている。このほか、同項目では過去の予約やフィードバック、手荷物の紛失、機内エンターテインメントシステムや通信サービスの利用、貨物便の利用、機内での免税品購入などが挙げられている。

同社がCNN Travelに語ったところによると、機内の監視カメラの1台は操縦室のドア近くに設置されており、洗面所には設置されていないとのこと。機内エンターテインメントシステムに搭載されたカメラが数か月前に話題となったが、同社の機内エンターテインメントシステムにはカメラやマイク、センサーといったものは搭載されておらず、各席で乗客を撮影することもないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ユナイテッド航空、プライバシーが懸念されていた機内エンターテインメントシステムのカメラにシールを貼る 2019年04月30日
ヴァージンアメリカ、機内エンターテインメントシステムにAndroidを採用 2015年06月19日
パナソニック、同社製機内エンターテインメントシステムの脆弱性で旅客機乗っ取りが可能になるという主張に反論 2016年12月23日
米ソニー・ピクチャーズ、映画から暴力・性的シーンなどをカットした「Clean Version」を提供 2017年06月17日

LibreOffice 6.3リリース、イベントハンドラーによるLibreLogoマクロの実行をブロック

The Document Foundationは8日、LibreOffice 6.3をリリースした(アナウンスリリースノートThe Registerの記事)。

LibreOfficeのタートルグラフィックス描画機能LibreLogoでは、Writer上に書いた一部のPythonコードがそのまま実行されてしまう問題があり、イベントハンドラーによるマクロ実行と組み合わせることで任意コードが実行可能となっていた。この脆弱性はLibreOffice 6.2.5で修正されたが、ハイパーリンクのイベントハンドラーからのLibreLogoマクロ呼び出しはブロックされるようになったものの、「文書を開いた時」などのイベントではブロックされていなかった。

アナウンスやリリースノートでは特に触れられていないが、LibreOffice 6.3では文書操作などのイベントでもLibreLogoマクロの呼び出しがブロックされるようになったようだ。一方、Writer上のPythonコード実行はブロックされておらず、LibreLogoツールバーから「Logoプログラムの実行」をクリックすればPythonコードを実行できる。また、現在もLibreLogoは標準でインストールされるオプション機能となっている。

なお、LibreOfficeのダウンロードページでは安定版と最新版の2バージョンを提供しており、今回の問題を受けて安定版が一時消えていたが、LibreOffice 6.3リリースに伴ってLibreOffice 6.2.5が安定版に移動している。ただし、LibreOffice 6.2.5では上述のようなイベントからのLibreLogoマクロ呼び出しはブロックされないので注意が必要だ。LibreLogoマクロはマクロのセキュリティ設定にかかわらず、ユーザーに確認を求めることなく実行される。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | スラッシュバック | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない 2019年08月03日

Broadcom、Symantecのエンタープライズセキュリティ事業を107億ドルで買収へ

BroadcomとSymantecは8日、Symantecのエンタープライズセキュリティ事業をBroadcomが買収することで合意に達したことを発表した(BroadcomのプレスリリースSymantecのプレスリリースThe Registerの記事Neowinの記事)。

BroadcomによるSymantec買収の動きは7月初めに報じられたが、7月半ばには買収条件が折り合わずに取りやめになったとも報じられていた。

今回の買収条件には「Symantec」のブランド名使用も含まれ、Broadcomは同社の販路を通じてSymantecのエンタープライズセキュリティ製品を展開していく。一方のSymantecはコンシューマー/スモールビジネス向けセキュリティ製品に注力することで、収益拡大が可能と考えているようだ。

買収総額は現金で107億ドル。米国・EU・日本の規制当局の承認と慣習的な取引完了条件を前提とし、Broadcomの2020会計年度第1四半期中(2019年末まで)に完了する見込みだという。取引完了後、Symantecは同社の株主に1株当たり12ドルの特別配当を実施する計画だ。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | ネットワーク | クラウド | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
SecurityFocusがSymantecに買収 2002年07月18日
Symantec、PGPとGuardianEdgeを買収 2010年05月02日
Symantec、VeriSignの個人認証・電子証明事業を買収 2010年05月21日
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 2017年03月26日
Symantec、同社発行のSSL/TLS証明書を信頼してもらうための対策をGoogleに提案 2017年05月02日
SymantecがSSL証明書関連事業を売却へ 2017年08月08日
Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 2017年09月16日
米トランプ大統領、大統領令でQualcommの買収を阻止へ 2018年03月15日
Broadcom、Qualcommに対する買収提案を取り下げ 2018年03月17日
ブロードコム、CAテクノロジーズを買収 2018年07月17日

ラグビーへの愛を世界に示すためニュージーランド航空がオールブラックス航空に改名、という機内安全ビデオ

ニュージーランド航空がラグビーへの愛を世界に示すため、「オールブラックス航空」に改名する、という新作の機内安全ビデオ「Air All Blacks」を公開している(ニュージーランド航空の記事Mashableの記事動画)。

豪華キャストで知られるニュージーランド航空の機内安全ビデオだが、今回はタイトル通りラグビーニュージーランド代表「オールブラックス」の選手やOBをフィーチャーしている。また、テレビドラマ「Suits」でルイス・リットを演じるリック・ホフマンが顧問弁護士役で出演しており、ジュリアン・デニソンが出演した昨年の機内安全ビデオを批判する場面もみられる。

以前は乗務員が実演する代わりに動画で出演しただけ、という感じのものが多かった機内安全ビデオだが、近年凝った作りもの増えている。最近実際に観たものでは、タイ国際航空の機内安全ビデオが面白いと思った。スラドの皆さんが面白いと感じた機内安全ビデオにはどのようなものがあるだろうか。

すべて読む | idleセクション | 映画 | セキュリティ | 変なモノ | idle | スポーツ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
旅客機の3人掛けの席で真ん中の席を快適にするデザインの座席、米国で認可される 2019年07月27日
KLM India、旅客機の座席の場所による事故時の死亡率に関するツイートを謝罪 2019年07月20日
旅客機の3人掛けの席、真ん中に座った人にアームレストを譲るべき? 2019年06月09日
ユナイテッド航空、プライバシーが懸念されていた機内エンターテインメントシステムのカメラにシールを貼る 2019年04月30日
機内で誤ってAirDropで「模擬事件現場写真」を不特定の相手に送信、離陸が90分遅れるトラブルに 2018年09月07日
フランス旅行から米国に帰国した女性、機内で出されたリンゴを持っていたため税関で制裁金処分を受ける 2018年04月28日
米サウスウェスト航空のボーイング737機、飛行中にエンジンが損傷して緊急着陸。破片で1名が死亡 2018年04月19日
デルタ航空、訓練されていない「精神的サポート動物」の機内持ち込みによるトラブルを受け要件の厳格化を発表 2018年01月24日
2016年に発生した飛行機事故、乗客の多くが手荷物を持って脱出しようとしトラブルになっていた 2017年12月26日
グルテンフリーの機内食はバナナ1本? 2017年05月11日

Teslaの犬モード、エアコンのファンを手動調整すると動作しなくなる深刻なバグ

Tesla車に搭載された「Dog Mode (犬モード)」に深刻なバグが発見され、イーロン・マスク氏が修正を約束している( 発見者のツイートMashableの記事The Vergeの記事 )。

犬モードは車内を犬が快適に過ごせる温度に保つほか、ディスプレイに犬が閉じ込められているわけではないことを通行人に知らせる機能を搭載し、安心して駐車中の車内に犬を残して車を離れられるようにするものだ。しかし、エアコンのファンを調整すると犬モード中にエアコンが動作しなくなることをTesla車のオーナーが発見する。このオーナーは犬を車内に残して車を離れたが、室温をチェックしていて問題に気付いたため、犬は無事だったという。Twitterで報告を受けたイーロン・マスク氏は修正中だと返信しているが、期日は示していない。そのため、現時点ではエアコンのファンを自動設定にしておく必要があるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
乗用車内へ子供を忘れないようにする警告装置の搭載を義務付ける米法案 2019年05月26日
Tesla、駐車中の車内に犬だけを待たせておいても安心な「犬モード」を発表 2019年02月16日
Ford Europe、ノイズキャンセリング機能を搭載した犬小屋を発表 2018年12月22日
Tesla Model 3の制動距離、OTAアップデートで大幅に改善 2018年06月02日

LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない

LibreOfficeで任意コード実行が可能な脆弱性(CVE-2019-9848)が見つかり、バージョン6.2.5で修正されたのだが、完全には修正されていないようだ(The Registerの記事)。

LibreOfficeに標準でインストールされるオプションのコンポーネント「LibreLogo」では、WriterにLOGOのプログラムコードを書くことでタートルグラフィックスの描画ができる。コードはPythonのコードへ変換後に実行されるのだが、適切なチェックが行われていないため、Writer上に書いたPythonのコードは一部がそのまま実行される。これをイベントハンドラーによるマクロ実行と組み合わせ、LibreLogoの「run」マクロを指定すれば警告なしに任意コードが実行可能だ(JRE不要)。

これについてLibreOffice 6.2.5では、ドキュメントのイベントハンドラーからLibreLogを呼び出せないように修正したと説明されているが、Pythonコードのチェックについては触れられていない。実際にLibreLogoツールバーからプログラムを実行すれば、以前のバージョンと同様にPythonコードが実行される。また、脆弱性を発見したERNWが公開しているハイパーリンクのイベントハンドラーを利用するPoCはブロックされるものの、「文書を開いた時」などのイベントにマクロを割り当てれば実行可能だった。この脆弱性を使用するエクスプロイトはMetasploitにも追加され、バージョン6.2.5でも動作するようだと説明されている。そのため、この脆弱性を悪用する攻撃を回避するには、LibreLogoを削除するのが確実だ。

The Document FoundationはThe Registerに対し、バージョン6.2.5では部分的な修正にとどまることを認めている。その理由として別の方法でも脆弱性を呼び出せることを挙げ、近日リリース予定のバージョン6.3/6.2.6で修正するとも述べているが、Pythonコードがそのまま実行される問題を修正するつもりはないようだ。また、マクロのセキュリティ設定にかかわらず実行されることに関しては、実行されるのはマクロではなく、プログラムがPythonを呼び出すのだと主張している。ただし、安全性を高めるためLibreLogoを拡張機能として分離することも検討しているそうだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | プログラミング | バグ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
国税庁が公開する「医療費集計フォーム」がxlsx形式になり、LibreOfficeでも動作確認済みに 2019年01月29日
イタリア・ローマ市、OfficeアプリケーションのLibreOffice移行を本格的に開始 2018年08月04日
LibreOfficeがMicrosoft Storeに登場、ただし…… 2018年07月26日
LibreOfficeの開発元、ミュンヘン市の「脱Linux」に対しWindowsへの移行を懸念する声明を発表 2017年02月18日
LibreOfficeへの移行を計画しているイタリア国防省、OSはWindows 10へ移行する計画 2016年11月11日
英国政府、LibreOffice導入へ 2015年10月25日

Microsoft EdgeのSmartScreen、ユーザーのセキュリティ識別子をサーバーに送信

Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイートBleeping Computerの記事BetaNewsの記事Softpediaの記事)。

SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット | Windows | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ドイツ・ヘッセン州の教育機関でMicrosoft Office 365の使用が禁止される 2019年07月17日
セキュリティアナリスト曰く、Windows 10の顧客情報追跡は過剰で問題がある 2017年06月01日
フランスのデータ保護当局、Windows 10によるデータ収集が改善されたと判断 2017年07月01日
オランダのデータ保護当局、Microsoftがオランダのデータ保護法に違反しているとの見解 2017年10月15日
Windows 10がアクティビティ履歴の送信設定を無視する疑惑、マイクロソフトは名称の問題だと説明 2018年12月16日
Windows 8、インストールするアプリの情報をデフォルトでMicrosoftに送信 2012年08月25日
Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 2016年12月16日
Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 2018年04月21日
Microsoftの広告SDKを通じた不正広告キャンペーン、1か月以上経過しても対策なし 2019年06月08日

暗号通貨Libraの偽情報、FacebookやInstagramでも広がる

FacebookやInstagramで暗号通貨Libra公式のふりをする偽のアカウントやページ、グループの存在をThe Washington Postが報告し、Facebookが削除したそうだ(The Washington Postの記事The Vergeの記事The Next Webの記事Mashableの記事)。

偽アカウントや偽ページの多くはFacebookのロゴやマーク・ザッカーバーグ氏の写真、Libraの資料画像などを使用しているが、Facebookは自力で発見できなかったようだ。「Libra wallet」というアカウントがスポンサー広告として投稿した動画はザッカーバーグ氏がLibraを紹介する内容で、視聴者にLibraコインの値引きを提案していたという。このような偽情報はTwitterなど他社のプラットフォームにも広がっており、Facebookが自社プラットフォームでも偽情報を自力で食い止められなかったことは、Libraへの信頼を勝ち取ろうとするFacebookを中心とした努力を損なうものとなる。また、Libraに批判的な各国政府や議会に新たな批判材料を与えることになるとみられる。

なお、Facebookが提供を予定するLibra用デジタルワレット「Calibra」の公式サイト「calibra.com」についても、6月に偽サイト「calìbra.com」(「i」はアクサングラーブ付き)が出現していたが、現在はホスティング会社にブロックされているようだ。

すべて読む | セキュリティセクション | セキュリティ | Facebook | SNS | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米議会、大手IT企業の仮想通貨参入を防ぐための法案作りに動き出す 2019年07月17日
政府、Libraに関する連絡会を設置 2019年07月15日
Facebook、新しい暗号通貨「Libra」に対応するデジタルワレット「Calibra」を発表 2019年06月21日

ロンドン警視庁のWebサイトや公式Twitterアカウントに偽プレスリリースなどが投稿される

英国夏時間19日深夜、ロンドン警視庁のWebサイトや公式Twitterアカウントにいたずらとみられる偽のプレスリリースなどが複数投稿された。また、ロンドン警視庁の電子メールアドレスから偽のプレスリリース公開を知らせる電子メールも送信されたという(ロンドン警視庁のプレスリリースMetro Newsの記事London Evening Standardの記事The Next Webの記事)。

当時のプレスリリースツイートの一部はInternet Archiveにスナップショットが残されているが、偽のプレスリリースは本文がないか、見出しと同じ内容が記載されているだけのものが大半だ。適当にキーを押しただけのようなものもある。

これについてロンドン警視庁では、プレスリリースなどの発行に使用しているオンラインプロバイダーMyNewsDeskのアカウントでセキュリティ上の問題が発生したとみているそうだ。MyNewsDeskを通じて記事を発行するとロンドン警視庁のWebサイトとTwitterアカウントに表示され、電子メールが自動で生成されて送られる仕組みになっている。そのため、ロンドン警視庁のITインフラストラクチャーが「ハック」されたわけではないとのこと。

ロンドン警視庁は問題の発生を謝罪し、今後はMyNewsDeskへのアクセス手配を見直すと述べている。

すべて読む | セキュリティセクション | 犯罪 | 英国 | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米携帯電話事業者Sprint、SamsungのWebサイト経由でサイバー攻撃を受け顧客情報を漏洩 2019年07月19日
CanonicalのGitHubアカウントが不正アクセスを受ける 2019年07月12日
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は? 2019年04月14日
ロンドン警視庁、ついにWindows XPからの移行が完了へ 2018年01月26日
WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 2017年09月03日
ソニーミュージックとボブ・ディランの公式Twitterアカウントが侵入され、ブリトニー・スピアーズ死去との偽情報を投稿 2016年12月31日
ロンドン警視庁考案、容疑者にiPhoneのロックを解除させる新たな方法とは? 2016年12月10日
ロンドン警視庁、現在稼働中のWindows XPマシンは27,000台 2016年08月12日
Apple社員が警官を偽装して家宅捜索をした疑惑 2011年09月07日

各国政府機関が愛用するスマートフォン用スパイウェア、クラウドのデータも取得可能に

Financial Timesの記事によると、イスラエルのスパイウェア企業NSO Groupが同社のスマートフォン用スパイウェア「Pegasus」で端末内だけでなくクラウド上のデータも取得可能になったと顧客に説明しているそうだ(9to5Macの記事Softpediaの記事Mac Rumorsの記事)。

PegasusはNSO Groupのフラッグシップ製品で、ターゲットのスマートフォンからデータを収集するため、各国政府や諜報機関が何年にもわたって愛用しているという。5月にWhatsAppの脆弱性が公表された際、NSO Groupがスパイウェアをインストールするコードを作成したとFinancial Timesが報じていたが、そのスパイウェアがPegasusだった。

クラウド上のデータにアクセスする仕組みとしては、ターゲットのスマートフォンにインストールされたPegasusがiCloudやGoogle Driveなどの認証キーをコピーしてPegasusのサーバーへ送信する。これを使用することで、サーバー側では二要素認証の要求や警告メールの送信が行われることなく、クラウド上のデータを収集できるとのこと。

これについてAmazonやGoogleはユーザーのアカウントが不正にアクセスされた形跡はないと述べており、Microsoftは同社のテクノロジーが最良の保護を提供できるよう常に進化しているとし、デバイスを健康な(最新の)状態に保つようユーザーに促したという。一方、Appleは同社のOSは世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないとFinancial Timesに回答したとのことだ。

すべて読む | ITセクション | セキュリティ | クラウド | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WhatsApp、音声通話の着信でリモートからのコード実行が可能な脆弱性 2019年05月18日
iPhoneにも「侵入」できる中国製スキャナー 2018年06月11日
最新のiPhone/iOSもアンロック可能な「GrayKey」とは? 2018年03月20日
中国訪問経験者のiCloudデータ、中国サーバに移動する恐れ 2018年01月16日
iCloudで削除したメモ、保持期限を過ぎても復元できることが判明 2017年05月24日
Safariの履歴を消去してもiCloudからすぐには消去されない 2017年02月12日
ロシアのセキュリティ企業曰く、AppleはiPhoneの通話履歴をiCloudに保存している 2016年11月23日
世界最大級のDDoS攻撃サービスを提供していたイスラエル人2人、逮捕される 2016年09月13日
Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 2016年08月28日
iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される 2012年08月07日

Slack、2015年の不正アクセスに関連してアカウントの約1%でパスワードをリセット

Slackは18日、2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたとして、全アカウントの約1%でパスワードをリセットすることを発表した(The Official Slack Blogの記事HackReadの記事The Registerの記事ZDNetの記事)。

2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。

今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。

パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 2019年03月03日
Slack、米国の制裁対象国を数年以内に訪問したユーザーを多数凍結 2018年12月25日

KLM India、旅客機の座席の場所による事故時の死亡率に関するツイートを謝罪

KLMオランダ航空インド支社の公式Twitterアカウント(@KLMIndia)が旅客機の座席の位置による(事故時の)死亡率をトリビアとして投稿し、その後投稿を削除して謝罪した(The Washington Postの記事USA TODAYの記事The Vergeの記事ANI Newsの記事)。

内容としては、Timeの調査によると旅客機の中ほどの座席の死亡率が最も高く、前方の座席がそれよりもやや低いとし、後方3分の1が最も低いというもの。投稿にはハッシュタグ「#Facts」が付けられており、雲の上に浮かぶ座席の上に「Seats at the back of a plane are the safest! (飛行機の後ろの座席が最も安全!)」と書かれた画像が添付されている。

しかし、投稿に対する疑問や批判が相次ぎ、KLM Indiaはおよそ12時間後に投稿を削除。投稿の内容は公表されている事実であり、KLMの意見ではないとしつつ、投稿したこと自体を謝罪している。

これについて米連邦航空局(FAA)のLynn Lunsford氏はThe Washington Postに対し、座席の位置による死亡リスクは事故の状況によって異なるうえ、事故そのものが少ないことから単純な答えは出せないと述べている。また、FAAのGreg Martin氏は、2009年2月以降死亡事故の発生していない米航空会社の座席ならどの場所でも最も安全だと述べたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | Twitter | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ライオンエア610便墜落事故、ボーイングが新機能のトラブル対応手順を知らせていたかどうかで議論に 2018年11月18日
米サウスウェスト航空のボーイング737機、飛行中にエンジンが損傷して緊急着陸。破片で1名が死亡 2018年04月19日
長距離フライトで太った乗客と並びの席を割り当てられた男性、航空会社を訴える 2017年05月09日
旅客機の子供禁止ゾーン、あったら利用する? 2016年10月29日
旅客機のシートサイズ縮小に異議を唱える米上院議員、FAAにシートサイズのガイドラインを設けさせる方針 2016年03月06日
10月末にシナイ半島で旅客機が墜落した事件、ロシア当局がテロと断定 2015年11月20日
広島空港でアシアナ航空162便A320機が着陸に失敗 2015年04月16日
MH17便の事故に関するロシア語版Wikipedia記事、ロシア政府のIPアドレスから編集される 2014年07月21日
マレーシア航空370便が消息を絶ってから1週間が経過する 2014年03月15日
旅客機のシート交換で、より多くの乗客を詰め込む米航空会社 2013年10月20日
ボーイング777、サンフランシスコで着陸に失敗して大破 2013年07月07日
ディスカバリーチャンネル、ボーイング727を実際に墜落させる大がかりな実験を行う 2012年11月06日
飛行機で最も安全な座席は? 2007年07月23日

米国市長会議、ランサムウェア攻撃者への身代金支払に反対する決議を採択

米自治体のランサムウェア被害がたびたび報じられる中、米国市長会議はランサムウェア攻撃者への身代金支払に反対する決議を第87回年次総会で採択した(The Vergeの記事SC Mediaの記事)。

決議によれば2013年以降、少なくとも170の市・郡・州政府がランサムウェア攻撃を受けており、2019年だけでも既に22件のランサムウェア攻撃が発生しているという。ランサムウェア攻撃は数百万ドルの被害を生み、システムやファイルの復旧には数か月を要する一方、攻撃者に身代金を支払えば地方政府への攻撃継続を助長することになる。身代金支払いを拒否することで攻撃者の動機を失わせ、被害の拡大を防ぐのが決議の目的とのことだ。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 政府 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IPA、「情報セキュリティ10大脅威 2019」を発表 2019年02月01日
ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス 2018年12月08日
奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染 2018年10月25日
サイバー攻撃でコンピューターが使用できなくなった米アラスカ州の郡、タイプライターを持ち出して対応 2018年08月04日
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日
ランサムウェアの身代金を横取りするTorプロキシサイト 2018年02月04日

政府、Libraに関する連絡会を設置

財務省が日銀や金融庁とともに、Facebookなどが計画する暗号通貨「Libra」に関する連絡会を設置したそうだ(Reutersの記事日本経済新聞の記事時事ドットコムの記事)。

Reutersによると連絡会は先週から会合を行っており、規制や金融政策、税などへのLibraの影響に取り組むため、政策の調整を目指すという。17日から開催されるG7財務相・中央銀行総裁会議では議長国のフランスが、資金洗浄から消費者保護まで、Libraのようなデジタル通貨をどのように規制していくかを検討するタスクフォースを立ち上げる計画を明らかにしている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政治 | Facebook | 暗号 | 政府 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebook、新しい暗号通貨「Libra」に対応するデジタルワレット「Calibra」を発表 2019年06月21日
ユーロポール、暗号通貨追跡訓練をゲーム化するまじめなゲームを開発中 2019年06月16日
金融商品取引法などの改正案が成立、仮想通貨の呼称を暗号資産に変更するほかインターネットから遮断した環境での管理を義務化 2019年06月05日

Firefoxのサブスクリプション型プレミアムサービス、サインアップページが見つかる

MozillaはFirefoxのサブスクリプション型プレミアムサービスの導入計画を6月に公表していたが、これに関連するとみられるサインアップページがfirstlook.firefox.comサイトで公開(v1v2v3v4)されている(Neowinの記事The Vergeの記事BetaNewsの記事SlashGearの記事)。

v4は広告なしのインターネットを月額4ドル99セントで提供するというもので、提携先のパブリッシャーにはサブスクライバーの閲覧数に応じて月額料金の一部が支払われる。このほか、サブスクライバーにはオーディオ版の記事やデバイス間で同期するブックマークなどが提供されるとのこと。同サイトではv4と同じような内容のページ4月に発見されており、こちらではScrollの広告非表示化サービスを利用することが明記されている。Mozillaでは2月にオンライン広告のエコシステムが壊れているとして他の資金調達モデルを探す計画を示した際、Scrollとの提携を発表していた。

v1~v3はVPNサービス「Firefox Private Network」に関するもので、月額料金が異なる(4.99ドル/9.99ドル/12.99ドル)以外は同じ内容だ。v1~v4いずれもサインアップ用のリンクが用意されているが、クリックすると提供はまだ始まっていないと表示され、アンケートページと電子メールアドレス入力ページへ誘導される。ただし、アンケート回答と電子メールアドレス入力のいずれも必須ではない。v1~v3では電子メールアドレスを入力すれば3か月以内に通知すると表示されるが、v4では電子メールアドレス入力ページの代わりにScrollのWebサイトでサインアップ可能だと表示される。

なお、Mozillaのブログ記事等では特に言及されている様子はなく、これらのページが正式に公開されているものかどうかも不明だ。

すべて読む | セキュリティセクション | セキュリティ | ネットワーク | IT | Firefox | 広告 | お金 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、Firefoxでサブスクリプション型プレミアムサービスを導入する計画 2019年06月12日
Mozilla、AppleにiOSデバイスの広告IDを月1回変更するよう求める 2019年04月20日
Firefox 66.0リリース、音が出る状態でのメディア自動再生ブロック機能が追加 2019年03月21日
Firefoxの新規タブに表示された広告のようなスニペット、Mozillaは広告ではないと説明 2019年01月04日
Mozilla、実験的にVPNサービスの販売を計画 2018年10月26日
Mozilla、Firefoxの新規タブへの広告表示に再挑戦 2018年05月04日
Firefox、特定の種類の広告をデフォルトでブロックする計画を公表 2018年03月30日
Firefox、新しいタブのタイルへの広告表示を中止 2015年12月08日

英ISP協会、Mozillaを「インターネットの悪漢」にノミネート

あるAnonymous Coward 曰く、

英ISP業界団体ISPA UKは2日、2019年版「インターネットの英雄 (ISPA Internet Hero)」「インターネットの悪漢 (ISPA Internet Villain)」の最終候補各3組を発表した(ニュースリリース)。

「英雄」候補はティム・バーナーズ・リー氏、thinkbroadband編集者のアンドリュー・ファーガソン氏、デジタル・文化・メディア・スポーツ省のオスカー・タップ・スコッティング氏とポール・ブレイカー氏。「悪漢」候補がMozilla、EUの改正著作権指令第13条(最終案では第17条)、ドナルド・トランプ米大統領となっている。

Mozillaのノミネート理由は英国のフィルタリング義務とペアレンタルコントロールを迂回するようなやり方でDNS-over-HTTPS(DoH)を提案・導入し、インターネットの安全基準にダメージを与えているというものだ。

これについてMozillaはISPの業界団体がインターネットを改善する仕組みに対して誤った情報を伝えようとしていることに驚き、落胆したと反論、DNSのプライバシー向上はコンテンツフィルターやペアレンタルコントロールの使用を妨げず、DoHは英市民にセキュリティ面で利益をもたらすと述べたとのこと。ちなみに、英国では年齢認証システムによるオンラインポルノへのアクセス制御が7月15日から義務付けられる予定だったが、欧州委員会の承認が得られていなかったとして6か月間の延期が発表されている。

英雄と悪漢の最終選考結果は7月11日開催のISPA Awardsで発表される。

すべて読む | セキュリティセクション | 検閲 | 英国 | セキュリティ | YRO | Mozilla | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IIJ、DNS over TLSやDNS over HTTPSに対応するパブリックDNSサービスを開始 2019年05月09日
EU著作権指令案のアップロードフィルター見直し動議、議員が投票先を誤って否決されていた 2019年03月31日
Google曰く、EU著作権指令が発効するとニュースサイトへのトラフィックは少なくとも45%減少する 2019年02月10日
Google、EU著作権指令発効後の検索結果画面予想図を作成 2019年01月20日
FirefoxがDNS over HTTPなどをサポート、批判も 2018年08月09日
Cloudflare、「DNS over Twitter」サービスを開始 2018年04月10日
田舎のブロードバンドやモバイル接続環境を改善するため、英国政府と英国国教会が提携 2018年02月23日
英国務大臣、自身の名前を冠したアプリをリリース 2018年02月04日

製品のセキュリティ問題で米連邦通信委員会と和解したD-Link、長期の監査を命じられる一方で不正は認められなかったと歓迎

D-Link Systemsが同社のIPカメラやルーターのセキュリティ欠陥により消費者を危険にさらしたとして米連邦通信委員会(FTC)が訴えていた裁判で2日、両社が和解に達したことが発表された(FTCのプレスリリースD-Linkの発表Ars Technicaの記事The Registerの記事)。

FTCはD-Linkが高度なセキュリティを売りにする一方、IPカメラに推測可能な認証情報をハードコードするなど、既知かつ容易に防止可能なセキュリティ上の欠陥を放置していたとして2017年にD-Linkを提訴していた。和解条件としてはD-Linkが20年間にわたって広範なソフトウェアセキュリティ改善プログラムを実施し、同社上級管理職による証明書を年に1回FTCへ提出すること、第三者によるプログラムの評価報告書を2年に1回、10年間にわたってFTCへ提出することなどが盛り込まれている。

ただし、和解によりD-Link側がFTCの主張する違法行為を認めるわけではないとの前提があり、D-Linkでは違法行為に対する同社の責任や、不正なマーケティングは裁判で認定されなかったなどと和解内容を歓迎している。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | ネットワーク | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
総務省、IoT機器調査「NOTICE」の実施状況を発表 2019年07月02日
Microsoft、一部のBluetoothデバイスからWindowsへの接続を拒否するよう修正 2019年06月20日
人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果 2019年02月09日
多くのIoT機器はセキュリティ対策が不十分 2019年02月07日
米カリフォルニア州、ネット接続機器の「デフォルトパスワード」を規制する法律 2018年09月26日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
「連邦取引委員会には企業のITセキュリティを規制する権限がある」との判断 2015年08月29日
ZTEのADSLモデム「ZXV10 W300」ではtelnetの認証情報がハードコードされていた 2014年02月06日
D-Link製ルータにUser-Agent偽装で認証なしに設定変更ができるバックドアが見つかる 2013年10月17日
INAXのスマホ対応便器で脆弱性が発見される 2013年08月05日

Medtronicのインスリンポンプ、近距離から認証なしにインスリン投与を無線制御可能な脆弱性

Medtronicのインスリンポンプで近距離から認証なく無線アクセス可能な脆弱性(CVE-2019-10964)が見つかり、米国ではリコールが行われている(Medtronicのお知らせICSMA-19-178-01The Registerの記事SlashGearの記事)。

対象となるMiniMed 508およびMiniMed Paradigmでは無線を使用して血糖値モニターなどに接続する機能が搭載されているが、適切な認証の仕組みが実装されていない。攻撃者は脆弱性を悪用することで、近距離から無線アクセスして設定変更やインスリン投与の制御が可能になる。インスリンが過剰に投与されれば低血糖症、インスリン投与量が不足すれば高血糖症や糖尿病性ケトアシドーシスを引き起こす可能性がある。

米国内で利用する患者および医療関係者に対しては脆弱性のない製品への交換が呼びかけられており、米国外の利用者に対しては各国・地域に合わせた手順を含む通知が送られるとのこと。一部の機種では特定のソフトウェアバージョンにのみ脆弱性が存在するものの、ソフトウェア更新では対応できないようだ。

このほか、すべての利用者に対し、インスリンポンプ及び接続した機器を常に制御下に置くこと、シリアル番号を他人に知らせないこと、ポンプからの通知や警告に注意を払うこと、意図しない投与はすぐキャンセルすること、などの対策が推奨されている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | バグ | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 2019年03月23日
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
建物への落雷で医療用の植込み型パルス発生装置が停止 2018年05月10日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
2014年内に史上初の「オンライン殺人」が起こる? 2014年10月10日
チェイニー元米副大統領、テロリストからの攻撃を懸念して植え込み型除細動器の無線機能を無効化していた 2013年10月20日
ペースメーカーをハッキングして過電圧を与えることができる脆弱性 2012年10月22日
通信機能を備えた心臓ペースメーカー、クラックされる可能性あり 2008年07月20日

OneDriveに保存したファイルを使用するマルウェア・フィッシング攻撃が急増

FireEyeの2019年第1四半期分Email Threat Reportによると、信頼されるクラウドストレージ・ファイル共有サービスを攻撃用ファイルの保存先として利用し、リンクを電子メールに記載する攻撃が急増したそうだ(プレスリリースOn MSFTの記事Bleeping Computerの記事)。

攻撃者はユーザー数が多く信頼されるファイル共有サービスを選択することで、セキュリティソフトウェアによるドメインの信頼性チェックを通過できる。サービスによってはファイルのプレビュー機能を提供するものもあり、攻撃を効率化するだけでなく検出を困難にしているとのこと。このような攻撃で最も多く使われているのはDropboxだが、OneDriveが2018年第4四半期比で数十倍に急増。その結果、WeTransferやGoogle Driveを上回り、Dropboxに次いで攻撃用に使われるサービスとなっている。

すべて読む | ITセクション | セキュリティ | インターネット | ストレージ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
Google Docsのドキュメント共有を装ったフィッシング攻撃が発生 2017年05月05日
改ざんした複数のWebサイトを連携させて広告ページにリダイレクトする攻撃が急増 2014年03月22日
Google Docsをプロキシとして使うマルウェア 2012年11月21日

Apple、旧世代15インチMacBook Proのバッテリー自主回収プログラムを開始

Appleは20日、15インチMacBook Proバッテリー自主回収プログラムを開始した(プレスリリース)。

対象は主に2015年9月から2017年2月の間に販売された15インチMacBook Pro(Retina, 15-inch, Mid 2015)で、バッテリーが過熱して防火安全上の問題が発生する(つまり発火する)可能性があるとのこと。該当モデルの場合はシリアル番号を自主回収プログラムのページで入力すれば対象かどうかを確認できる。自主回収プログラムの対象になる場合、Apple正規サービスプロバイダまたはApple直営店、Appleサポートで修理を依頼すれば無償でバッテリー交換が行われる。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | 電力 | ノートPC | アップル | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Apple、iPhone Xのディスプレイ交換とMacBook ProのSSD修理プログラムを開始 2018年11月13日
新MacBook Proで発熱問題 2018年07月26日
Apple、MacBookおよびMacBook Pro一部機種でのキーボード無償修理プログラムを発表 2018年06月28日
米国・フロリダ州でAirPodsの破裂事故が発生 2018年02月11日
スイスのApple StoreでiPhoneのバッテリーから発煙し、50名ほどが避難するトラブル 2018年01月12日
旅客機の機内で発火したヘッドフォンはBeats製、Appleはサードパーティーの単4電池が原因と断定? 2017年05月21日
昨年5月のエジプト航空機墜落事故、iPhoneかiPadの過熱で機器が発火した疑いが出る 2017年01月18日
マウンテンバイクで転倒したオーストラリアの男性、ポケットに入れていたiPhoneが発火して大やけど 2016年08月07日
iPod nano の発火による火災が再び発生 2009年07月16日

Dell SupportAssistでまた脆弱性が見つかる

Dell製PCの多くにプリインストールされているサポートツール「Dell SupportAssist」に存在する、DLLハイジャックの脆弱性(CVE-2019-12280)が公表された(DSA-2019-084SafeBreachの記事The Next Webの記事BetaNewsの記事)。

Dell SupportAssistでは4月にも不適切なオリジン検証の脆弱性(CVE-2019-3718)とリモートコード実行の脆弱性(CVE-2019-3719)が公表され、Dell SupportAssist Client バージョン3.2.0.90で修正されている(DSA-2019-051)が、今回の脆弱性はサードパーティー製のPC-Doctorモジュールに存在するものだ。

脆弱性のあるPC-DoctorではDLLの安全な読み込みや署名の検証が行われないため、システムのPATH環境変数で指定されたディレクトリーから任意の無署名DLLを読み込ませることが可能だという。PC診断ツールのPC-DoctorはローレベルのハードウェアにアクセスするためSYSTEMの権限で実行されており、悪用することで権限昇格も可能となる。脆弱性を発見したSafeBreach Labsでは、物理メモリの任意アドレスからデータを読み取るPoCを作成している。ただし、PC-Doctorのプレスリリースでは、管理者権限のないユーザーが書き込み可能なフォルダーをシステムのPATH環境変数で指定する必要があることから、実際に攻撃に使われる可能性は低いとの見解を示している。

脆弱性は開発元のPC-Doctorが直接提供するPC-Doctor Toolbox for Windowsのほか、他社ブランドで提供されているOEM製品にも存在するが、PC-DoctorがDellを通じて脆弱性を通知されたのは5月21日のことであり、既に修正版がリリースされている。Dell Support Assistでは5月28日にリリースされたビジネスPC向けのバージョン2.0.1、ホームPC向けのバージョン3.2.1で脆弱性が修正されており、SupportAssistの自動更新が有効になっていれば何もする必要はないとのこと。なお、これらのバージョンでは不適切な権限管理によりローカルユーザーがSYSTEMに権限昇格可能な脆弱性(CVE-2019-3735)も修正されている(DSA-2019-088)。

すべて読む | ITセクション | セキュリティ | バグ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される 2019年05月22日
ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 2019年04月08日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日
VAIOのプリインストールプログラムに大穴 2002年01月24日

Firefoxにゼロデイ脆弱性、修正版が1日おきにリリースされる

Mozillaは18日、Firefoxの脆弱性(CVE-2019-11707)を公表し、修正版のFirefox 67.0.3/ESR 60.7.1をリリースした(MozillaのセキュリティアドバイザリCISのセキュリティアドバイザリHacker Noonの記事Android Policeの記事)。

脆弱性はArray.popにおける型の取り違えの脆弱性で、JavaScriptオブジェクトを操作する際に発生する。これにより、攻撃に利用可能なクラッシュを引き起こすことができ、成功すれば任意コード実行が可能になるという。Mozillaではこの脆弱性を悪用したターゲット型の攻撃を既に確認しているとのこと。

報告者のSamuel Groß氏(Google Project Zero)のツイートによると、脆弱性を発見して4月15日にMozillaへ報告したが、攻撃の具体的な内容については知らないそうだ。報告者として併記されているCoinbase Securityが何らかの攻撃を確認した可能性もあるが、この時点ではCoinbase側から特に情報は出ていなかった。

さらに20日、Mozillaはサンドボックス迂回の脆弱性(CVE-2019-11708)を修正するFirefox 67.0.4/ESR 60.7.2をリリースした。この脆弱性は親プロセスと子プロセス間のIPCメッセージ「Prompt:Open」で渡されるパラメーターのチェックが不十分なことにより、侵害された子プロセスが選んだWebコンテンツをサンドボックス化されていない親プロセスが開いてしまうというもの。他の脆弱性と組み合わせることで任意コード実行が可能になるとのこと(Mozillaのセキュリティアドバイザリ[2])。

CoinbaseのPhilip Martin氏によると、これら2つの脆弱性を組み合わせた攻撃が同社従業員をターゲットに実行されていることを17日に検出し、ブロックしていたという。また、元NSAハッカーで現在はMac用のセキュリティツールを開発しているPatrick Wardle氏によれば、同じ脆弱性を利用してmacOSにバックドアを送り込む攻撃のサンプルをユーザーから入手したとのことだ(Philip Martin氏のツイートObject-See's Blogの記事Ars Technicaの記事)。

すべて読む | ITセクション | セキュリティ | Firefox | バグ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefox 67.0.2、保存していたログイン情報がセキュリティソフトウェアにより消えるトラブル 2019年06月15日
Mozilla、令和に対応したFirefox 67.0などをリリース 2019年05月23日
Mozilla、拡張機能全滅問題に対応する旧バージョンFirefox向け修正を拡張機能としてリリース 2019年05月18日
Mozilla、Firefoxの拡張機能全滅問題の修正時に収集したテレメトリーデータをすべて削除する計画 2019年05月11日
Firefox 66.0.4 リリース、拡張機能全滅問題を修正 2019年05月06日
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 2019年05月04日
Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止 2019年02月02日

ユーロポール、暗号通貨追跡訓練をゲーム化するまじめなゲームを開発中

ユーロポールが暗号通貨追跡の訓練に使用するため、まじめな(遊びではない)ゲームを開発しているそうだ(プレスリリースThe Next Webの記事)。

プロジェクトの存在はユーロポール本部で14日まで開催された第6回暗号通貨カンファレンスで明らかにされた。このゲームは英シェフィールド・ハラム大学に設置されたCENTRIC(テロリズム・回復力・情報・組織犯罪に関する中核的研究拠点)と緊密に連携して共同開発されているという。ゲームは10月のユーロポールとインターポールの第7回サイバー犯罪カンファレンスでの公開を計画しており、捜査員が暗号通貨の捜査をゲーム化により訓練できる初の機会になるとのことだ。

すべて読む | ITセクション | テクノロジー | 犯罪 | ゲーム | 暗号 | IT | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
McAfee、サイバーセキュリティ担当者の不足はゲーマーの採用で補えるとの調査結果 2018年04月07日
保護者によるスマートフォンの使用制限を守るとギフトカードがもらえるアプリ 2017年05月05日
ゲーミフィケーションされたDDoS攻撃、トルコで確認される 2016年12月11日
IEEE曰く、2020年までに日常生活の85%にゲームの要素が組み込まれる 2014年03月05日
10年間解けなかったタンパク質解析問題、ゲーム化により3週間で解かれる 2011年09月20日
ビジネス成功の鍵は「ゲーム化」にあり ? 2010年09月08日

Firefox 67.0.2、保存していたログイン情報がセキュリティソフトウェアにより消えるトラブル

一部の環境でFirefoxをバージョン67.0.2にアップデートすると、Firefoxに保存されていたログイン情報が消えてしまうトラブルが発生していたそうだ(gHacksの記事MozillaのBugzilla — Bug 1558765BetaNewsの記事Softpediaの記事)。

当初AvastやAVGが原因だと考えられていたが、AVGによるとAVGアンチウイルス本体ではなく、AVG Password Protectionというオプション機能を購入したユーザーだけが影響を受け、Avastユーザーは影響を受けないという。トラブルの原因は、Firefoxが新しいバージョンのブラウザーにサインインするための証明書を更新したが、AVGが新しい証明書に信頼できるとマークしていなかったためとのこと。

影響を受けた環境では、Firefoxのプロファイルフォルダー(通常は「C:\Users\<ユーザー名>\AppData\Roaming\Mozilla\Firefox\Profiles\<ランダムな文字列>.default」)内のログイン情報を格納するファイル「logins.json」がFirefoxにより「logins.json.corrupt」のようにリネームされている。データ自体は削除されていないため、Firefoxを終了してファイルを元の名前に戻せば復旧するそうだ。AVGでは問題を修正する更新プログラムを既に配布しており、製品バージョン「VPS 190614-02」以降では影響を受けないとのことだ。

すべて読む | ITセクション | セキュリティ | Firefox | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 2019年05月04日
Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止 2019年02月02日
AvastやAVGを利用している環境でFirefoxがTLS 1.3を利用できなくなるトラブル 2018年06月29日
Microsoft、Avast使用環境へのWindows 10 バージョン1803の配信を一時停止 2018年05月26日
Googleのエンジニア曰く、行儀のいいアンチウイルスはWindows Defenderだけ 2017年02月05日
Avast、AVGを総額およそ13億ドルで買収へ 2016年07月10日
AVGの正直な新プライバシーポリシー、収入を得るためにブラウズ履歴などを使用すると明言 2015年09月20日
AVGが顔認識技術を無力化する保護メガネを発表 2015年03月05日

Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする

広告ブロック拡張機能の動作を制限するものだと批判されているChrome拡張機能プラットフォームのマニフェスト新バージョンManifest V3について、広告ブロックをだめにするのではなく、より安全にするものだとChrome拡張チームのDevlin Cronin氏が説明している(Google Security Blogの記事VentureBeatの記事The Registerの記事Neowinの記事)。

Manifest V3のドラフトではブロッキング用途でのWeb Request API使用が非推奨(かつ制限される可能性あり)となり、ブロッキング用にはDeclarative Net Request APIが新たに追加される。Web Request APIによるブロッキングではページコンテンツを受け取った拡張機能が広告を除去するのに対し、Declarative Net Request APIでは拡張機能からブロッキング処理内容を受け取ったChrome側が広告を除去することになる。これにより処理は高速化するが、複雑なブロッキングアルゴリズムは使用できなくなる。ルールの数も3万件に制限され、現在広く使われているルール(EasyListだけでも7万件を超える)をすべて使用できない点も批判されている。また、5月下旬にはChrome拡張開発者支援を担当するSimeon Vincent氏が企業ユーザーにはWeb Request APIのブロッキング機能を引き続き提供すると述べたことも批判の対象となった。

Cronin氏はブロッキングをWeb Request APIからDeclarative Net Request APIへ移行すべき理由としてパフォーマンス向上に加え、プライバシーの改善を挙げている。Web Request APIではユーザーの個人情報を含む可能性のあるページコンテンツへのアクセス許可を拡張機能へ与える必要がある。一方、Declarative Net Request APIでは拡張機能のリクエストに応じてChrome側でブロッキングを実行するため、拡張機能に個人情報へのアクセス許可を与える必要がなくなるとのこと。なお、ブロッキングルールについては、グローバルで最大15万件に拡大する計画をChromiumブログでVincent氏が明らかにしている。

すべて読む | セキュリティセクション | Chrome | セキュリティ | 広告 | デベロッパー | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、拡張機能のデータアクセス制限強化などのChromeウェブストアポリシー変更を発表 2019年06月06日
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 2019年05月04日
Chrome拡張のマニフェスト変更で広告ブロック拡張機能の動作が制限される可能性 2019年01月26日
Google、信頼できるChrome拡張にするための対策を発表 2018年10月07日

GoogleがAndroidを米国の輸出制限から除外するよう米商務省と交渉しているとの報道

headless 曰く、

Googleが安全保障上の問題を理由に、Android OSをHuaweiに対する輸出制限から除外するよう米商務省と交渉しているとFinancial Timesが報じている(VentureBeatの記事Ars Technicaの記事The Vergeの記事Bloombergの記事)。

米商務省は5月15日、米国のテクノロジーを販売・移転するのに産業安全保障局(BIS)のライセンスが必要となるエンティティリストにHuaweiを追加したが、5月20日には90日間の一時的な一般ライセンス(TGL)を発行している。これにより、Huaweiは8月19日まで輸出管理規則(EAR)で制限されない米国のテクノロジーを個別のライセンスなしで入手可能となっており、今後商務省ではTGLの期限を延長するかどうかの判断を行なう。

Googleが交渉しているのは、TGLの延長またはライセンスの免除だという。Financial Timesの情報提供者によれば、GoogleがAndroidを輸出制限から除外すべきと主張する根拠は以下のようなものだ。HuaweiがAndroidを入手できなくなればHuaweiはAndroidのオープンソース部分をフォークしたハイブリッド版のAndroidを開発することになる。ハイブリッド版はGoogle版と比べてバグが多くなることが予想され、Huaweiの端末が(特に中国により)ハッキングされる可能性が高まるとのこと。

GoogleはFinancial Timesに対し、商務省の措置を確実に順守するため同省と連携しているとしたうえで、同社が注力しているのは既存のHuawei端末を利用するGoogleユーザーのセキュリティを保護することだと述べたとのことだ。

一方、FacebookがWhatsAppやInstagramを含む同社のアプリについて、Huawei製端末へのプリインストールを停止したとReutersが報じている。ReutersではHuaweiに新たな一撃が加わったと述べているが、Android Policeの記事では最近のHuaweiに関するニュースの中で、ようやくいいニュース(ゴミアプリがプリインストールされなくなる)が出てきたと評している。

すべて読む | セキュリティセクション | Google | セキュリティ | 政治 | Android | アメリカ合衆国 | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IEEE、米商務省の判断を受けてHuawei関係者による査読禁止を解除 2019年06月03日
中国のソフトウェア開発者、米中貿易戦争の影響でGitHubが利用できなくなる可能性を懸念 2019年05月30日
TSMCはHuaweiと取引継続 2019年05月28日
英ArmがHuaweiとの取引を停止するとの報道 2019年05月23日
IntelやQualcomm、Xilinx、BroadcomがHuaweiへの部品供給を停止 2019年05月21日
Google、Huawei端末に対するGoogle公式アプリやGoogle Playの提供を停止へ 2019年05月20日
米政府、HUAWEIを輸出規制リストに追加。米製部品の調達が不可能に 2019年05月17日
2019年第1四半期のスマートフォン出荷台数は3億1,080万台、Huaweiが2位の座を固める 2019年05月04日
米商務省、ZTEに対する輸出特権停止措置を解除 2018年07月15日
米商務省産業安全保障局、ZTEに対する輸出特権停止措置の一部を暫定的に緩和 2018年07月05日
ZTE、米輸出特権停止の解除条件として合計14億ドルの制裁金支払いに合意 2018年06月10日
Huawei、最悪の事態に備えて独自OSを開発していた 2018年04月30日

Microsoftの広告SDKを通じた不正広告キャンペーン、1か月以上経過しても対策なし

Microsoftがストアアプリ向けに提供している広告SDKを通じた不正広告攻撃キャンペーンが4月から発生しており、1か月以上経過しても対策は行われていないようだ(Softpediaの記事The Registerの記事Bleeping Computerの記事Born's Tech and Windows Worldの記事)。

不正広告攻撃の内容としては、アプリのバナー広告に触れなくてもデフォルトブラウザーでWebページが開き、「賞品が当たった」「ウイルスに感染している」などと表示されるというもの。サードパーティー開発者によるアプリだけでなく、Microsoft製のアプリや、Outlook.comなど広告の表示されるMicrosoftのWebサイトでも発生しているらしい。MSDNのフォーラムでは4月17日にアプリ開発者が報告しており、4月19日にはMSDNのコミュニティサポート担当者が広告チームに伝えると回答している。しかし、その後の更新情報はなく、開発者やユーザーから不満の声が数多く投稿されている。修正予定なしとSDKチームから聞いたとのコメントもみられる。当初の報告はドイツのユーザーからのものだったが、英国やオランダからの報告も出ているほか、4月末にはフランスでも発生していたようだ。

Microsoftコミュニティーにボランティアのモデレーターが投稿した記事によれば、不正広告ページの中にはWindows Defender SmartScreenでブロックされるものもあるが、ドメイン単位でのブロックは行われていないという。また、偽のウイルス警告ページがダウンロードページにリダイレクトする偽セキュリティアプリはMicrosoftが望ましくない可能性のあるアプリケーション(PUA)に区分しているものの、Windows Defenderがマルウェアとして検出することはないそうだ。

MicrosoftはThe Registerに対し、同社がユーザーに無断でメッセージを送ることはなく、そのようなメッセージが表示されたらブラウザーのウィンドウを閉じればいいと述べるのみで、広告SDKの問題については触れなかったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | spam | ソフトウェア | 広告 | Windows | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Bing検索結果にGoogle Chromeの偽広告が出現 2018年11月01日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 2018年02月12日
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
MSNやNew York Timesなどの大手Webサイトを通じた不正広告攻撃が急増 2016年03月20日
Let's Encryptの証明書、不正広告攻撃に悪用される 2016年01月11日
Windowsストアアプリ、アプリ内広告の配信数が激減 2013年05月06日

Apple、ペアレンタルコントロールアプリでのMDM使用を認めるガイドライン変更

日本語版には未反映だが、Appleが3日付でApp Store Reviewガイドラインを改訂し、ペアレンタルコントロールアプリでのモバイルデバイス管理(MDM)機能の使用を認める文言を盛り込んだ(英語版ガイドラインThe Vergeの記事)。

AppleはiOS 12のペアレンタルコントロール機能「Screen Time」発表直後からサードパーティーのペアレンタルコントロールアプリにガイドライン違反を通告し、ペアレンタルコントロールアプリとして重要な機能の削除を要求してアプリ開発者から強い批判を浴びている。これについてAppleではこれらのペアレンタルコントロールアプリが「MDMと呼ばれる高度に侵入する技術」を使っており、「App Storeのポリシーに明確に違反」すると反論していた。

改訂版のガイドラインでは新たに「Mobile Device Management」という項が追加され、Appleの許可が必要となるものの、MDMの主目的であるモバイルデバイス管理アプリ以外にもペアレンタルコントロールサービスで利用可能なことが明記された。利用にあたっては収集するデータを事前に提示することや、収集したデータを第三者に提供しないことをプライバシーポリシーで約束することなどが求められている。VPN Appsの項ではペアレンタルコントロールアプリやコンテンツブロッキングアプリ、セキュリティアプリなどでもNEVPNManager APIを利用可能にする文言が追加された。

また、「子ども向け」カテゴリのアプリではサードパーティ広告とアナリティックスを含めることが禁止(これまでは行動ターゲティング広告のみ禁じられていた)され、収集したデータの第三者への送信禁止も明記された。これ以外の項目でもプライバシー関連の制限強化や明確化が行われた。このほか改訂版ガイドラインでは、2.5.5でIPv6完全対応が必須化されており、4.2.7ではリモートデスクトップアプリの接続先にゲームコンソールが追加、4.7ではHTML5ベースアプリで提供を禁止する機能として賭博・慈善活動への寄付・電子商取引の追加などの変更が行われている。

すべて読む | デベロッパーセクション | セキュリティ | アップル | デベロッパー | iOS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Apple曰く、ペアレンタルコントロールアプリの削除理由は「MDMと呼ばれる高度に侵入する技術」の使用 2019年05月02日
カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える 2019年03月23日
Spotify、Appleの不当競争行為是正を欧州委員会に訴える 2019年03月16日
偽のモバイルデバイス管理サーバーからiPhoneに不正アプリを送り込む攻撃 2018年07月16日
Apple、絵文字の使用や暗号通貨採掘の規定などを明記したApp Store審査ガイドライン改定 2018年06月09日
AppleがApp Store審査ガイドラインを改定、VPNアプリの要件などを盛り込む 2017年12月23日
Apple、App Storeのガイドラインを改定しiOS向けのウイルス対策ソフトを禁止 2017年09月21日

米国務省、ビザ申請者の大部分にソーシャルメディアIDの申告を求める新方針を開始

米国務省が非移民ビザを含むビザ申請者の大部分に対し、利用しているソーシャルメディアの情報を申告するよう求める新方針を5月31日に開始したそうだ(The Vergeの記事The Hillの記事)。

ビザ申請フォームにはソーシャルメディア情報を入力する項目が追加され、ドロップダウンリストからソーシャルメディアのサービス名を選択してIDを入力することになるようだ。入力したソーシャルメディアIDは米政府の監視リストによるバックグラウンドチェックと組み合わせて使われるという。ビザ申請者はソーシャルメディアを使用していないというオプションを選択することもできるが、虚偽の申告をした場合は入国時に重大な問題となる可能性もあるとのこと。現在のところドロップダウンリストで選択できるのはメジャーなソーシャルメディアサイトのみだが、今後すべてのサイトを選択できるようになるとのことだ。

ソーシャルメディアIDの要求は、ドナルド・トランプ大統領が入国時のスクリーニング強化を命じた2017年3月の大統領令から派生したものだという。ただし同様の計画はそれ以前から出ており、ビザなしでの入国に必要なESTA電子渡航認証システムの申請フォームでは、2016年12月からソーシャルメディアIDを申告する項目がオプションとして追加されている。

すべて読む | セキュリティセクション | セキュリティ | SNS | アメリカ合衆国 | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国への渡航手続きで誤って自身をテロリストだと申告してしまった英女性 2018年10月07日
米政府、過去5年間に使用したソーシャルメディアのIDをビザ申請者から収集する計画 2018年04月03日
米税関・国境取締局はIC旅券に格納されたデータが正規のものかどうかを検証できない 2018年02月25日
米政府、「危険と思われる渡航者」のビザ審査時にSNSのハンドル名要求を開始 2017年06月15日
米国入国者はSNSアカウントだけでなくパスワードの提示も求められる可能性 2017年02月14日
Google CEO、米大統領令による入国制限の影響を受けるスタッフに対し、米国への即時帰国を求める 2017年01月29日
米政府、外国人の入国時に提示を求める情報にソーシャルメディアアカウントを追加 2016年12月25日
米国税関・国境警備局はあなたがTwitter上ではどんな人物なのかを知りたがっている 2016年08月27日
米税関、入国審査時にSNSのアカウント名を尋ねることを検討中 2016年06月30日

乗用車内へ子供を忘れないようにする警告装置の搭載を義務付ける米法案

米国で子供や世話の必要な人を乗用車内に忘れて閉じ込めてしまうことを防ぐため、警告装置搭載を義務付ける法案が提出された(上院商業・科学・運輸委員会のプレスリリースティム・ライアン下院議員のプレスリリースSlashGearの記事法案: PDF)。

超党派の上院・下院議員による法案「Helping Overcome Trauma for Children Alone in the Rear Seat(HOT CARS) Act of 2019」は、成立から2年以内に新車への警告装置搭載義務付けに関する最終規則の制定を運輸長官に求めている。警告装置は運転者がエンジンを切った後で作動して後部座席を確認するよう促すもので、光や音による警告が必須、振動による警告がオプションとなる。このほか、各州に対してはエンジンを切った車内へ子供や世話の必要な人を残していくことの危険性に関する教育プログラムの実施を求める条項や、運輸長官には既存の乗用車への警告装置追加に関する第三者機関による調査の実施を求める条項が盛り込まれている。

すべて読む | セキュリティセクション | セキュリティ | 政治 | アメリカ合衆国 | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
子供がプレイするビデオゲームで課金プレイ提供を禁止する米法案、超党派で提出される 2019年05月26日
Tesla、駐車中の車内に犬だけを待たせておいても安心な「犬モード」を発表 2019年02月16日
マコーレー・カルキン、28年の時を経て「ホーム・アローン」をGoogleのCMで再び演じる 2018年12月24日
米国でボットによる買い占めを禁止する法案が提出される 2018年12月01日
米国でAmazon.comなどを標的とする法案「BEZOS Act(ベゾス法)」が提案される 2018年09月12日
米フォード、車載顔認識システムの研究を進める 2014年07月02日

「全世界で重大な被害を与えた6種のマルウェアに感染しているノートPC」という芸術作品、オークション入札額が120万ドルを超える

全世界で重大な被害を与えた6種のマルウェアに感染しているノートPC、という芸術作品「The Persistence of Chaos」がオークションにかけられており、入札額は120万ドルを超えている(オークションページHackReadの記事Motherboardの記事)。

The Persistence of Chaosは中国のインターネットアーティスト郭偶東(Guo O Dong)氏の作品だ。米サイバーセキュリティ―企業Deep Instinctの協力により、ネットオークションが行われている。本体は10.2インチディスプレイ(WSVGA)を搭載したSamsungのネットブックNC10-14GB(2008年製)で、OSはWindows XP SP3。総額950億ドルの金銭的被害を出した6種のマルウェア「ILOVEYOU」「MyDoom」「SoBig」「WannaCry」「DarkTequila」「BlackEnergy」に感染しており、オークションページでは感染が広がらないようエアギャップ環境でのライブ中継が行われている。

現在はニューヨークで保管されているようだが、米国ではマルウェアを運用目的で販売することは違法となる。そのため、入札にあたっては芸術作品として、または学術目的での購入であり、マルウェア拡散が目的ではないことに合意する必要があるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 変なモノ | ノートPC | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Windows XPのセキュリティ更新プログラムを公開 2017年05月14日
件名が「Here you have」の電子メール・ワームが猛威を振るうが、既に終わってるっぽい 2010年09月14日
MyDoom狂想曲 2004年01月28日
Sobigに黒幕の影 2003年08月26日

自動運転の実用化に向けた改正道路運送車両法が成立

northern 曰く、

来年をめどに高速道路でのレベル3自動運転、過疎地でのレベル4自動運転の実用化を目指し、安全基準を定める改正道路運送車両法が成立した(日本経済新聞の記事)。

自動車メーカーの開発も間に合いそうとのこと。

改正道路運送車両法では自動運行装置を保安基準の対象装置に追加するほか、自動運行装置のプログラム改変による改造に対する許可制度の創設、自動車検査証の電子化等が盛り込まれている。プログラム改変による改造(特定改造等)許可のポイントとしては、1)申請者の特定改造等実施能力・体制が国土交通省の基準に適合していること、2)改変後の自動車が保安基準に適合すること、となっており、これらの審査は独立行政法人自動車技術総合機構が行う(参議院 - 議案情報国土交通省 - 法案閣議決定時の報道発表資料)。

また、国連自動車基準調和世界フォーラム(WP29)の自動運転分科会では自動車メーカーにサイバーセキュリティ対策を義務付ける国際基準案の策定を進めており、国土交通省では国際基準を保安基準に取り入れる方針だという(日本自動車会議所の記事)。

すべて読む | セキュリティセクション | 日本 | セキュリティ | ロボット | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
自動運転レベル3対応の法律改正案が閣議決定される、スマホを使用しながらの運転がOKに 2019年03月12日
国交省が自動車システムのプログラム更新を「許可制」にするとの報道 2019年02月07日
オーストラリア・ニューサウスウェールズ州、カンガルーへの対応を主眼とする自律走行車のテストを来年実施 2018年12月24日
自律走行車のブレーキが故障した場合に誰を助けるべきか判断するゲーム、プレイヤーはどう判断した? 2018年10月28日
国交省、2030年の日本社会を想定した政策提言を発表 2018年08月03日
Uberの自律走行タクシーによる歩行者の死亡事故はソフトウェアが歩行者を無視したのが原因との報道 2018年05月09日
日本郵便、自動運転車による輸送実験を実施へ。完全無人運転を視野に 2018年03月06日
内閣府、日本初という公道でのバス自動走行システム実証実験を沖縄で開始 2017年04月03日
輪島市、ゴルフカートを市街地の交通システムとして利用 2017年02月12日
日産、NASAの技術を応用して自律走行車を安全に誘導する「シームレス・オートノマス・モビリティ」を発表 2017年01月09日
秋田県仙北市で無人運転バスの公道走行実験が行われる 2016年11月15日
DeNA、無人運転バスを千葉市イオンモール幕張新都心隣接の豊砂公園にて運行開始 2016年07月12日

「Call of Duty: Mobile」の偽物、Google Playに登場

一見本物に見える「Call of Duty: Mobile」の偽物がGoogle Playストアに登場したそうだ(Android Policeの記事)。

開発者名は「Activision Publishing, Inc」となっており、Webサイトやメールアドレス、住所などは本物のActivisionのものが記載されていたという。さらに、アプリIDは本物と同じ「com.activision」から始まっている。ただし、本物の「Call of Duty: Mobile」は現在事前登録受付中の無料アプリなのに対し、偽物は31ドル99セントで販売されていたようだ。

また、本物のアプリIDは「com.activision.callofduty.shooter」だが、偽物は「com.activision.callofduty.shootrrrrr」となっており、Tencentのロゴが入ったアイコンや低解像度のスクリーンショット、GameSpotの動画記事がアプリの動画として使われているなど、怪しい点が数多くみられたとのこと。さらに、本物のActivisionは「Activision Publishing, Inc.」であり、偽物は最後のドット「.」が抜けている。

Android PoliceのRita El Khoury氏は偽物をPlayストアアプリから「不適切なコンテンツとして報告」し、読者にも同様のアクションを取るよう呼び掛けていたが、その後短時間で偽物は削除されたとのことだ。

すべて読む | セキュリティセクション | モバイル | セキュリティ | ゲーム | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国のApp Store、偽のAmazon Alexaセットアップアプリが一時チャート上位に 2019年01月01日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
Google Playに偽WhatsAppが複数出現 2017年11月05日
シマンテック、Amazon AndroidアプリストアとGoogle Playで偽アプリを発見 2013年07月07日

ハッキング集団、米大手アンチウィルス企業3社からソースコードなどを入手したと主張

モスクワ在住者が運営するとも伝えられるハッキング集団「Fxmsp」が米国の大手アンチウィルス企業3社のシステムに侵入し、ソースコードなどを入手したと主張しているそうだ(AdvIntelのブログ記事Ars Technicaの記事The Registerの記事HackReadの記事)。

米セキュリティ企業のAdvanced Intelligence(AdvIntel)によれば、Fxmspは数年にわたって政府や企業から盗み出した機密情報を販売し、ロシア語圏と英語圏のアンダーグラウンドコミュニティでの評価を高めているという。Fxmspは最近、企業内ネットワークの認証情報を盗み出すことを可能にする大規模なボットネット構築に成功したと主張しており、3月には米大手アンチウィルス企業3社からソフトウェア開発に関連するソースコードなどを入手したと述べていたそうだ。4月24日には第1四半期中の絶え間ない尽力により、米大手アンチウィルス企業3社の内部ネットワークへのアクセスを確実にしたことを明らかにしており、30万ドル以上でソースコードとネットワークアクセスを販売していたとのこと。

Fxmspは具体的な企業名を明かしていないものの、入手したファイルのリストやスクリーンショットから特定可能であり、AdvIntelでは3社や米連邦捜査局(FBI)に通報したとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ボットネット | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
BuildFeed創始者、Microsoftへの不正アクセスで執行猶予付きの有罪判決を受ける 2019年03月31日
特定の企業や個人を狙ったマルウェアが増加 2017年12月20日
セキュリティ企業の社員、ウイルス保管容疑で逮捕される 2017年11月02日
カスペルスキー氏、Kaspersky Labの製品が原因でNSAの機密情報が盗まれたという報道を批判 2017年10月08日
各国政府機関に監視ツールを提供する「Hacking Team」、サイバー攻撃を受けて脆弱性情報などを漏らす 2015年07月10日
Symantec、ソースコード流出を受けpcAnywhereの無効化を呼びかける 2012年01月28日
Symantec、同社製品のソースコード流出を発表 2012年01月19日
Kaspersky Internet Security のソースコードの一部がインターネットに流出 2011年02月03日

Mozilla、Firefoxの拡張機能で難読化コードの使用を禁止へ

Mozilaは2日、難読化コードの禁止などを盛り込んだアドオン(拡張機能)レビューポリシー変更を発表した(Mozilla Add-ons Blogの記事BetaNewsの記事The Next Webの記事ポリシー改訂版)。

これまでのレビューポリシーではコードの圧縮処理やトランスパイルとともに、元のソースコードと再現方法の提供を条件として難読化コードの使用も認められていた。新しいポリシーでは許可される処理から難読化コードが削除され、難読化コードの使用を禁止する記述が別途追加された。また、悪意ある拡張機能のブロッキングを迅速化するため、ブロッキングに関する記述がより明確化され、ブロッキングプロセスの新しい解説記事も公開されている。新ポリシーは6月10日に発効するため、現在拡張機能で難読化コードを使用している開発者は、それまでに修正版を送ることが必要となる。

GoogleはChromeウェブストアで1月初めから難読化コードの使用を禁止している。

なお、この件とは無関係に、Firefoxの拡張機能がすべて動作しなくなって(再)インストールもできなくなる問題が発生しており、修正およびテストが進められているそうだ(MozillaのアナウンスBug #1548973)。原因は中間証明書の期限切れとみられている。手元の作業環境ではFirefoxを起動したままになっていたためか発生していなかったが、別の環境でFirefoxを起動してみると再現した。具体的な証明書の期限は5月4日00:09:46 GMTで、この時刻よりも前に時刻を変更して拡張機能を再インストールすれば動作するようになった。ただし、時刻を現在時刻に戻すと、しばらくして再び動作しなくなるようだ。

すべて読む | デベロッパーセクション | セキュリティ | Firefox | Mozilla | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefox 66.0リリース、音が出る状態でのメディア自動再生ブロック機能が追加 2019年03月21日
Firefoxの実験的機能をテストするFirefox Test Pilot、終了へ 2019年01月19日
Google、信頼できるChrome拡張にするための対策を発表 2018年10月07日
Mozilla、ブログで推奨したプライバシー拡張機能でプライバシー問題が指摘され、説明なく記述を削除 2018年08月18日
人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 2018年07月05日
Mozilla、Firefoxで2つのWebページを並べて表示する機能を実験中 2018年06月08日
Mozilla、他サイトでFacebookに追跡されにくくするFirefox用拡張機能を公開 2018年03月31日
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日

MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生

Mozilaは2日、難読化コードの禁止などを盛り込んだアドオン(拡張機能)レビューポリシー変更を発表した(Mozilla Add-ons Blogの記事BetaNewsの記事The Next Webの記事ポリシー改訂版)。

これまでのレビューポリシーではコードの圧縮処理やトランスパイルとともに、元のソースコードと再現方法の提供を条件として難読化コードの使用も認められていた。新しいポリシーでは許可される処理から難読化コードが削除され、難読化コードの使用を禁止する記述が別途追加された。また、悪意ある拡張機能のブロッキングを迅速化するため、ブロッキングに関する記述がより明確化され、ブロッキングプロセスの新しい解説記事も公開されている。新ポリシーは6月10日に発効するため、現在拡張機能で難読化コードを使用している開発者は、それまでに修正版を送ることが必要となる。

GoogleはChromeウェブストアで1月初めから難読化コードの使用を禁止している。

なお、この件とは無関係に、Firefoxの拡張機能がすべて動作しなくなって(再)インストールもできなくなる問題が発生しており、修正およびテストが進められているそうだ(MozillaのアナウンスBug #1548973)。原因は中間証明書の期限切れとみられている。手元の作業環境ではFirefoxを起動したままになっていたためか発生していなかったが、別の環境でFirefoxを起動してみると再現した。具体的な証明書の期限は5月4日00:09:46 GMTで、この時刻よりも前に時刻を変更して拡張機能を再インストールすれば動作するようになった。ただし、時刻を現在時刻に戻すと、しばらくして再び動作しなくなるようだ。

すべて読む | デベロッパーセクション | セキュリティ | Firefox | Mozilla | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefox 66.0リリース、音が出る状態でのメディア自動再生ブロック機能が追加 2019年03月21日
Firefoxの実験的機能をテストするFirefox Test Pilot、終了へ 2019年01月19日
Google、信頼できるChrome拡張にするための対策を発表 2018年10月07日
Mozilla、ブログで推奨したプライバシー拡張機能でプライバシー問題が指摘され、説明なく記述を削除 2018年08月18日
人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 2018年07月05日
Mozilla、Firefoxで2つのWebページを並べて表示する機能を実験中 2018年06月08日
Mozilla、他サイトでFacebookに追跡されにくくするFirefox用拡張機能を公開 2018年03月31日
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日

Apple曰く、ペアレンタルコントロールアプリの削除理由は「MDMと呼ばれる高度に侵入する技術」の使用

Appleは4月28日、サードパーティーのペアレンタルコントロールアプリに対するApp Storeでの扱いが批判を受けている問題について声明を公開した(SlashGearの記事VentureBeatの記事Mac Rumorsの記事The Registerの記事)。

3月にKaspersky Labがペアレンタルコントロールアプリに関するAppleの反競争行為をロシア連邦反独占庁(FAS)へ訴えているが、4月25日には人気のペアレンタルコントロールアプリを開発するKidsloxとQustodioが欧州の競争当局へAppleを訴えたそうだ。これを報じたThe New York Timesの記事では、App Storeで数多くのペアレンタルコントロールアプリが重要な機能を制限するよう修正を求められ、修正が間に合わなければ削除されたことを指摘。このような制限はAppleが自前のペアレンタルコントロール機能「Screen Time」を発表した直後から強制されるようになったことや、サードパーティーのペアレンタルコントロールアプリからScreen Timeに乗り換えることで制限レベルが低下すること、親子ともにiPhoneを使っていなければ親が子供のデバイスを管理できないことなどを批判している。

これに対してAppleの声明では、修正を求めた理由としてアプリが「(企業向けにAppleが用意している)モバイルデバイスマネジメントあるいはMDMと呼ばれる高度に侵入する技術」を使用していたことが判明したためだと反論。MDMはデバイス内の個人情報やカメラへのアクセス許可などを第三者がコントロールしたりアクセスしたりすることを可能にするもので、一般消費者向けのアプリで使用することはリスクが高く、App Storeのポリシーに明確に違反すると述べている。

Appleは非エンタープライズ開発者によるMDMの利用を調査した結果に基づいて2017年半ばにガイドラインを更新したと説明しているが、Kaspersky Labが修正を求められる根拠となったApp Store Reviewガイドラインの2.5.1にAPIの目的外使用を禁止する記述が追加されたのは2017年末のことだ。いずれにしてもAppleの説明は、何年も前から公開していたアプリのガイドライン違反がScreen Time発表直後に指摘された、と感じている開発者の不満を解消するものにはなっていないようだ。元Appleのトニー・ファデル氏はAppleがユーザーの選択を制限するのではなく、サードパーティーがペアレンタルコントロールを実現できるようにするAPIを提供すべきだと述べている。

すべて読む | デベロッパーセクション | セキュリティ | アップル | デベロッパー | iOS | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える 2019年03月23日
Spotify、Appleの不当競争行為是正を欧州委員会に訴える 2019年03月16日
Apple、プッシュ通知で元Apple Musicユーザーに2度目の無料トライアルを提案 2019年02月13日
FacebookやGoogle、Appleの規約に違反する形で個人情報を取得するアプリを希望者に報酬付きで提供していた 2019年02月05日
Apple、iOSユーザーの一部に宣伝をプッシュ通知して批判を浴びる 2018年12月23日
TumblrアプリがApp Storeから突然消えた理由は児童ポルノ 2018年11月23日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
AppleのDevice Enrollment Program、弱点が指摘される 2018年10月01日
Mac App Store、不正な処理を行っていたアプリについて通報後も1か月放置 2018年09月13日
App Store、新規公開または更新するすべてのアプリでプライバシーポリシーが必要に 2018年09月03日
偽のモバイルデバイス管理サーバーからiPhoneに不正アプリを送り込む攻撃 2018年07月16日
Apple、絵文字の使用や暗号通貨採掘の規定などを明記したApp Store審査ガイドライン改定 2018年06月09日
AppleがApp Store審査ガイドラインを改定、VPNアプリの要件などを盛り込む 2017年12月23日
Apple、App Storeのガイドラインを改定しiOS向けのウイルス対策ソフトを禁止 2017年09月21日
iOSデバイス上の正規アプリを不正アプリに置き換える攻撃手法の詳細が明らかに 2014年11月13日

モバイル版Chromeに偽アドレスバーを表示するフィッシング手法

モバイル版Chromeに偽のアドレスバーを表示するという新たなフィッシング手法「inception bar」をソフトウェア開発者のJames Fisher氏が公開している(Fisher氏のブログ記事Neowinの記事SlashGearの記事)。

Chromeなどのモバイルブラウザーはページをスクロールダウンしたときにアドレスバーを非表示化し、コンテンツの表示エリアを拡大する仕組みを備えている。inception barはこの仕組みを利用したもので、本物のアドレスバーが非表示化されたタイミングで偽のアドレスバーを表示するdivエレメントとページコンテンツを表示するdivエレメントを追加する。ページコンテンツを表示するdivエレメントは画面サイズに応じたサイズが指定されており、CSSプロパティのoverflowにscrollを指定することでコンテンツのスクロールがブラウザー側で検出されないようにしている。これにより、ページをスクロールアップしても本物のアドレスバーが表示されない仕組みだ。

仕組みとしてはChrome以外のブラウザーでも利用可能だが、微妙な動作の差異により本物のアドレスバーが表示されたままになることや、偽のアドレスバーの表示が崩れたり、コンテンツブロッカーでブロックされたりすることもあるようだ。Chromeの場合でも2本のアドレスバーが表示されるといった報告が出ている。また、偽アドレスバー部分はoverflowプロパティが指定されていないため、スクロールしようとしてこの部分に触れると本物のアドレスバーが表示される。

Fisher氏のブログ記事はそれ自体がPoCとなっており、モバイルブラウザーで表示することで動作を確認できる。PoCの偽アドレスバーは画像のみだが、実際にアドレスバーのような機能を追加することも可能だ。コンテンツ領域に偽のUI要素を表示する手法は以前からあるものだが、Fisher氏はinception barに対するChromeの動作をセキュリティ上の欠陥と考えており、わずかなスペースを犠牲にしてでも本物のアドレスバーが隠されていることを示すような修正を提案している。

すべて読む | ITセクション | モバイル | Chrome | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、フィッシングメールの見分け方を学習できるクイズを公開 2019年01月25日
WebページをSafariに読み込ませるだけでiOSデバイスが再起動するCSSベースの攻撃 2018年09月19日
スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中 2018年06月29日
CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 2018年06月03日
AndroidのWebView、バージョン66ではSafe Browsingがデフォルト有効に 2018年04月21日
偽のSymantecブログを通じてMacのマルウェアが配布される 2017年11月29日
ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 2017年04月21日
Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 2016年12月16日
Google Chrome開発版、アドレスバーを非表示にするオプション搭載 2011年05月22日
ブラウザのタブごと書き換えてしまうフィッシング手法「Tabnabbing」 2010年05月28日
Netscape/Mozillaに偽のURL表示が可能な脆弱性 2003年05月19日

Google Play プロテクトのマルウェア検出性能は向上していないのか?

GoogleがAndroid標準のマルウェア防御サービスとして2017年に導入した「Google Play プロテクト」だが、ドイツの独立系ITセキュリティ機関 AV-TESTが2か月ごとに実施しているAndroid向けアンチウィルスソフトウェアのテスト結果によると、2年近く経過した現在もマルウェア検出性能は向上していないようだ(The best antivirus software for Android: March 2019Softpediaの記事)。

AV-TESTのAndroid向けアンチウィルスソフトウェアのテストでは、マルウェア(AV-TESTが初めて検知してから24時間以内の最新マルウェア/最近4週間に流行中のマルウェア)の検出率を評価する「Protection」と、パフォーマンスへの影響や誤検出(Google Playで公開されているアプリ/サードパーティーのアプリストアで公開されているアプリ)を評価する「Usability」にそれぞれ最大6点、追加機能を評価する「Features」に最大1点が割り当てられる。AV-TESTの認定証が授与されるのは、合計13点満点中8.5点以上取得したソフトウェアだ。

Google Play プロテクトは2017年9月分から評価対象に追加されているが、認定証は一度も獲得できていない。検出率はテスト対象の平均が最新マルウェア/流行中のマルウェアともに90%台後半なのに対し、Google Play プロテクトのスコアはいずれも40%台~70%台を推移しており、Protectionのスコアは常に0点だった。一方、Usabilityではパフォーマンスへの影響(バッテリー消費/速度低下/データ通信量)はなく、昨年7月分までは誤検出も0だったため、6点満点を獲得していた。しかし、以降は少数の誤検出がみられるようになり、スコアが低下していた。3月分ではGoogle Playで公開されているアプリの誤検知数が189(サンプル数1,867)、サードパーティアプリストアで公開されているアプリの誤検知数が26(サンプル数936)まで大幅に増加し、スコアは3点となった。Featuresのスコアは0点であり、合計のスコアも3点にとどまる。

3月分でテストされたのは合計19本。Google Play プロテクト以外はすべて検出率が99%を超えており、誤検出数は最大5。12本が誤検出0だ。13点満点を獲得した8本のうち、ESET Endpoint Security/Kaspersky Internet Security/Norton Mobile Security/Trend Micro Mobile Securityの4本は検出率100%。Usabilityのスコアは誤検出による減点が大きいようで、満点を獲得した8本はすべて誤検出0となっている。

すべて読む | セキュリティセクション | Google | セキュリティ | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで新規公開/更新するアプリのターゲットAPI最低要件、引き上げへ 2019年02月24日
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日
Google、AndroidのOEMパートナーに定期的なセキュリティパッチ提供を義務付けか 2018年05月14日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
Google、ユーザーの合意なく個人情報を収集するAndroidアプリで警告を表示する計画 2017年12月06日
Androidのセキュリティ、Google Playプロテクトのマルウェア検出性能は不十分? 2017年10月29日
Googleのエンジニア曰く、行儀のいいアンチウイルスはWindows Defenderだけ 2017年02月05日
Microsoftのセキュリティー製品の検出性能は向上している? 2016年01月30日

Facebook、最大150万人のユーザーからサインアップ時に連絡先情報を無断収集していたことを認める

FacebookがBusiness Insiderに対し、最大150万人のユーザーがサインアップする際に使用した電子メールアカウントから連絡先情報を無断収集していたことを認めたそうだ(Business Insiderの記事Mashableの記事The Guardianの記事SlashGearの記事)。

問題発覚のきっかけとなったのは、一部の電子メールサービスのアカウントを使用してFacebookにサインアップする際、電子メールアカウントのパスワード入力が求められると3月末に指摘されたことだ。パスワード入力が求められていたのはYandexなどoAuthに対応しない電子メールアカウントを確認するためとされていたが、批判を受けてFacebookは電子メールアカウントに送信したコードによる確認へ変更している。

ところが、変更前にBusiness InsiderがYandexで作成したアカウントを使用してFacebookへのサインアップを試したところ、パスワード入力後に「連絡先をインポート中」といったタイトルでキャンセル不能なダイアログボックスが表示されたのに続き、連絡先がなかった旨表示されたそうだ。Facebookによれば、電子メールパスワードによる確認とともに連絡先をアップロードするオプションを2016年5月以降削除したが、アップロード機能自体を削除しておらず、一部のユーザーが意図せずサインアップ時に連絡先をアップロードする結果となっていたようだ。

連絡先アップロード機能は電子メールパスワードによる確認処理の廃止に伴って機能しなくなったとみられるが、Facebookによれば最大150万人のユーザーが影響を受けるという。連絡先情報がアップロードされていたユーザーには個別に通知するが、連絡先情報は誰とも共有したことはなく、削除中だとも述べているとのことだ。

なお、Facebookが3月に数億人分のパスワードが可読状態で保存されていたと発表した際、影響を受けるInstagramのユーザーを数万人としていたが、18日にブログ記事が更新され、影響を受けるInstagramユーザーの数が数百万人に変更されている。

すべて読む | セキュリティセクション | セキュリティ | バグ | Facebook | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 2019年03月25日
Facebook、プライバシー重視の新方針を表明 2019年03月21日
Facebook、データプライバシーデーにちなんでプライバシー設定の確認を呼び掛ける 2019年02月02日
複数のスマホアプリがユーザーに無断でFacebookに情報を送信していたとの指摘 2019年01月03日
非公開の写真にサードパーティーアプリがアクセス可能なFacebook APIのバグ、最大680万人に影響 2018年12月16日
Facebook、アクセストークン不正取得問題で被害状況を確認可能なヘルプページを公開 2018年10月16日
Facebook、アカウントへの不正アクセス発生を伝えるニュース記事へのリンク投稿を一時ブロック 2018年09月30日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
Facebook、端末メーカー60社以上にFacebookユーザーの情報を取得できるAPIを提供していた 2018年06月08日
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
Facebook、データ不正使用の報告に対する報奨金プログラムを開始 2018年04月12日
Facebook、Androidユーザーからの通話/SMS履歴収集はオプトインによるものだと主張 2018年03月29日
Facebook、Brexitキャンペーンや米大統領選の結果に大きな影響を与えたとされる企業のアカウントを停止 2018年03月21日

ホテルのオンライン予約システム、3分の2が意図せず外部サービスに予約情報を送信するとの調査結果

Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ(Symantec Blogsの記事PCMag.comの記事SlashGearの記事)。

調査は54か国・1,500軒以上の2つ星~5つ星ホテルを対象に行われた。調査対象はランダムに目的地を決めてホテルをWeb検索し、検索結果上位に含まれるホテルを抽出したという。

予約が完了すると確認メールが送られてくるが、57%は予約情報ページへの直リンクを記載していたそうだ。リンクはURLに予約番号と客のメールアドレスが引数として付加されており、客はログインすることなく予約情報の閲覧・変更が可能となる。しかし、多くのWebサイトは外部サービスプロバイダーによる広告やWeb解析、ソーシャルメディアアイコンといった外部のリソースを配置しているため、リソースをリクエストする際に引数を含めたURLがサービスプロバイダーへ送信されることになる。

これ自体はサービスプロバイダー側の責任ではないのだが、サービスプロバイダーに悪意のある従業員がいれば、予約情報へログインして個人情報を閲覧することや予約をキャンセルすることも可能となる。中には予約情報ページに個人情報を記載しない予約システムもあるものの、大半が客の名前や電子メールアドレス、住所、携帯電話番号、クレジットカード番号の下4桁、パスポート番号といった個人情報を記載しているそうだ。

さらに29%はHTTPSリンクを使用せず、HTTPリンクを確認メールに掲載しているため、空港などの公衆Wi-Fi接続でリンクをクリックすると攻撃者に盗み見られる可能性もある。予約手続きの過程や、ユーザーが自分でログインした後に予約情報をサービスプロバイダーへ送信するものもあるという。ホテルの比較・予約サービス5社についても調査したところ、2社が予約番号をサービスプロバイダーへ送信し、1社はHTTPリンクを使用していたとのこと。

このほか、予約番号が単なる連番であることから、総当たり攻撃により予約情報ページへログインできる可能性もある。予約情報ページへのアクセスが可能になった攻撃者は個人情報を収集してスパム送信に使用することや、勝手に予約をキャンセルするいやがらせも可能になる。競合他社が妨害のため予約をキャンセルする可能性も指摘されている。Symantecは各ホテルへ調査結果を連絡しているが、ホテル側の反応は鈍いようだ。

すべて読む | セキュリティセクション | セキュリティ | YRO | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日
RSA Conferenceの公式モバイルアプリに脆弱性 2018年04月24日
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス 2018年04月20日
日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる 2017年04月13日
東横INNの予約サイトのセキュリティが改善 2016年04月23日

バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる

RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事GitHub — Issue 1195Computingの記事CVE-2019-10842)。

発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。

この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。

すべて読む | セキュリティセクション | Ruby | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入 2016年08月04日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 2015年05月30日
RMS曰く、プロプライエタリーソフトウェアの多くがマルウェア 2015年05月24日
Rubyは死につつあるのか? いやそうではない 2013年12月26日
DebianのRubyパッケージ管理者、Ruby開発コミュニティに不満を持ち辞任 2011年01月04日

BuildFeed創始者、Microsoftへの不正アクセスで執行猶予付きの有罪判決を受ける

英国・ロンドンのブラックフライアーズ刑事法院が3月28日、元MalwarebyteのリサーチャーZammis Clark氏とWindowsのビルド番号情報サイトBuildFeedの創始者Thomas Hounsell氏に執行猶予付きの有罪判決を下したそうだ(The Vergeの記事The Registerの記事Ars Technicaの記事Evening Standardの記事)。

Clark氏はMalwarebyteのリサーチャーだった2017年1月、Microsoft内部のユーザー名とパスワードを入手してMicrosoftのサーバーに侵入、Webシェルを設置してWindowsの内部ビルドを格納するサーバーからファイルを盗み出した。さらにIRCを通じて他の人々とMicrosoftのサーバーへのアクセス情報を共有したという。Hounsell氏はClark氏から得た情報を使用して17日間以上にわたりMicrosoftのサーバーへ不正アクセスし、プリリリース版Windowsのビルド情報などを取得したとのこと。

Microsoftのサーバーへの侵入はClark氏がマルウェアをアップロードしたところで終わり、2017年6月にClark氏は英コンピューター不正使用法(CMA)違反の容疑で逮捕された。しかし、コンピューターの使用制限なしに保釈されたClark氏は昨年3月、任天堂の内部ネットワークに侵入したという。2015年に玩具メーカーVTechのサーバーへ不正アクセスした容疑者の逮捕が話題になったが、この容疑者もClark氏だったようだ。

BuildFeedは今年1月に閉鎖を発表し、Hounsell氏は最近2年間日々の運営にかかわっていなかったと述べているが、時期的にMicrosoftのサーバーへの不正アクセスが行われた時期と一致する。The Registerによれば、2017年6月にClark氏が逮捕された際、Hounsell氏も逮捕されていたとみられ、2人は昨年9月に罪状認否を行っていたという。さらに、BuildFeedの閉鎖が発表されたのは刑事法院での審理が始まる1週間ほど前だったとのこと。

Clark氏はCMA違反3件で禁錮15か月執行猶予18か月に加え、5年間の重大犯罪禁止命令と刑罰賦課金140ポンドの支払いも命じられている。Hounsell氏はCMA違反1件で禁錮6か月・執行猶予18か月のほか、100時間の奉仕活動と115ドルの刑罰賦課金が命じられたとのことだ。

すべて読む | セキュリティセクション | 犯罪 | 英国 | セキュリティ | マイクロソフト | 法廷 | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windowsのビルド番号情報サイトBuildFeedが閉鎖 2019年01月18日
英国会議員の不正アクセス行為が謝罪だけで許されそうになっていることをLulzSec元メンバーが批判 2018年04月14日
英国政府、玩具メーカー「VTech」ハッキング事件の犯人を逮捕 2015年12月19日
英政府、法改正をひっそりと修正、諜報機関によるサイバー攻撃に裁量の余地? 2015年05月22日
英国、重大なサイバー犯罪に対しては無期懲役を科すことを検討 2014年06月06日

墜落したボーイング737 MAX、オプション扱いの安全機能を搭載していなかった

昨年10月29日と今年3月10日に墜落事故を起こした2機のボーイング737 MAX型機では、オプション扱いとなっていた異常発生時の安全を向上させる2つの機能がいずれも搭載されていなかったそうだ(The New York Timesの記事SlashGearの記事The Vergeの記事Ars Technicaの記事)。

搭載されていなかったオプション扱いの機能とは、2つの迎角(AOA)センサーから読み取ったデータを表示するインジケーターと、2つのAOAセンサーから読み取ったデータが一致しない場合に警告を表示するAOA Disagree alertだ。昨年10月のライオンエア610便墜落事故では、737 MAXの新型失速防止システム(MCAS)にAOAセンサーから誤ったデータが入力されたことが事故の原因とされていた。

昨年11月にボーイングが発行したOperation Manual Bulletin(OMB)では、AOAの異常を操縦士へ知らせる複数の機能のうち、AOA Disagree alertはオプションのAOAインジケーターが搭載されている場合のみ利用できることが記載されている。ただし、ライオンエア610便の737 MAXにAOAインジケーターが搭載されていたかどうかについては記載がなかった。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | ソフトウェア | スラッシュバック | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
墜落事故を起こしたボーイング737MAX8と737MAX9に対し米当局も全機運航停止命令を出す 2019年03月15日
ライオンエア610便墜落事故、ボーイングが新機能のトラブル対応手順を知らせていたかどうかで議論に 2018年11月18日
アメリカン航空、ボーイング737 MAX導入に伴ってシートピッチを縮小する計画 2017年05月07日

Microsoft、エンドポイントセキュリティソリューションをMacにも提供へ

Microsoftは21日、同社のエンドポイントセキュリティソリューションをMacコンピューター向けにも提供することを発表した(Microsoft Tech Communityの記事Neowinの記事Softpediaの記事The Registerの記事)。

MicrosoftではWindows Defender Advanced Threat Protection(ATP)を使用する顧客がWindows以外のデバイスも一括して保護できるよう、パートナー企業と作業を進めてきたという。Mac向けの提供を開始するにあたり、Windows Defender ATPはMicrosoft Defender ATPに改称された。

Mac版のMicrosoft Defender ATPは顧客がWindows 10で使用しているのと同様の操作が可能なユーザーインターフェイスを持ち、macOS Mojave/High Sierra/Sierraで実行できるとのこと。現在、Microsoft Defender ATPの顧客限定でプレビュープログラム参加を受け付けている。

すべて読む | アップルセクション | セキュリティ | マイクロソフト | MacOSX | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
MicrosoftがWindows 10の利用統計情報をFireEyeに提供するとの報道、Microsoftは否定 2016年11月27日
Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 2016年11月03日
Windows 10ではホームユーザーへの月例更新が廃止され、更新プログラムは随時配布に 2015年05月06日

植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性

Medtronicの植込み型除細動器(ICD)や心臓再同期療法除細動器(CRT-D)とプログラマーやモニターとの通信に使われるMedtronic Conexusプロトコルに存在する、患者を攻撃可能な脆弱性2件が公表された(セキュリティ情報: PDFICS-CERTのアドバイザリArs Technicaの記事The Registerの記事)。

CVE-2019-6538はプロトコルに認証の仕組みが備わっていないというものだ。この脆弱性を悪用することで、攻撃者はデバイスの設定変更が可能となる。CVSS v3スコアは9.3(Critical)。CVE-2019-6540はプロトコルに通信内容を暗号化する仕組みが備わっていないというもので、攻撃者は患者のプライバシーにかかわる情報を含むすべての通信内容を傍受できる。CVSS v3スコアは6.5(Medium)。

ただし攻撃を成功させるには、攻撃者がConexusプロトコルで通信可能な機器を持ち、通信機能がオンになったデバイスの通信可能範囲内(最大6m程度)にいる必要がある。病院での診療時にはデバイスの通信機能が必要となるが、病院外での通信機能の利用は限定的だ。Medtronicはアップデートを開発中だが、リモート監視機能による利点が脆弱性によるリスクを上回るとして、処方されたとおりに使用することを推奨している。発表時点ではこれらの脆弱性を悪用した攻撃等は確認されていないとのこと。

なお、MedtronicのプログラマーではCareLink 2090とCareLink 29901でソフトウェアアップデート機能の脆弱性が昨年発見されているが、今回の脆弱性の影響を受けるプログラマーはCareLink 2090のみとなっている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
心臓ペースメーカー1100台余りに停止のおそれ、プログラムを無線通信で修正することを検討 2019年01月23日
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
建物への落雷で医療用の植込み型パルス発生装置が停止 2018年05月10日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
2014年内に史上初の「オンライン殺人」が起こる? 2014年10月10日
総務省が「LTE端末によるペースメーカーへの特別な影響はない」と発表 2013年12月26日
チェイニー元米副大統領、テロリストからの攻撃を懸念して植え込み型除細動器の無線機能を無効化していた 2013年10月20日
電気自動車の充電器で心臓ペースメーカーが誤動作する恐れ 2013年06月28日
ペースメーカーをハッキングして過電圧を与えることができる脆弱性 2012年10月22日
通信機能を備えた心臓ペースメーカー、クラックされる可能性あり 2008年07月20日
総務省、医療器具への電波の影響調査結果を発表 2005年08月13日

カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える

Kaspersky Labは19日、App StoreにおけるAppleの反競争行為に関する訴状をロシア連邦反独占庁(FAS)へ提出したことを発表した(Kaspersky Lab公式ブログの記事Softpediaの記事Mac Rumorsの記事9to5Macの記事)。

きっかけとなったのは昨年、同社のペアレンタルコントロールアプリ「Kaspersky Safe Kids」のiOS版がApp Store Reviewガイドラインの2.5.1に違反するとAppleから通告を受けたことだ。同社はAppleの要求に従い、App Storeのポリシーに違反するという構成プロファイルを使用する機能を削除。その結果、iOS版Kaspersky Safe Kidsはアプリの使用制限および、安全な内蔵ブラウザーのみでWebページを表示するという2つの重要な機能を失うことになったそうだ。

しかし、Kaspersky Safe Kidsは3年近くにわたって特に何の問題も指摘されずにApp Storeで公開されていたという。通告がiOS 12のペアレンタルコントロール機能「Screen Time」の発表直後だったことから、同社はAppleがプラットフォームのオーナー兼監督者の立場を利用してサードパーティーの開発者に不利な条件を押し付けていると受け取ったようだ。これによりペアレンタルコントロール市場は独占に向かい、停滞していくと同社は主張する。

先日SpotifyがAppleの不当競争行為是正を欧州委員会へ訴えたように、App Storeで不利な扱いを受けているのはKaspersky Labだけではないという。同社は問題を解決しようとAppleにたびたび接触しているが、実りのある結果は得られていないとのこと。今後もAppleと良好な関係を続けていくには、App Storeで全開発者が公平な条件で健全な競争が行われる必要があるため、今回の訴えに至ったとのことだ。

すべて読む | アップルセクション | ビジネス | セキュリティ | ソフトウェア | 法廷 | アップル | iOS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Spotify、Appleの不当競争行為是正を欧州委員会に訴える 2019年03月16日
Apple、プッシュ通知で元Apple Musicユーザーに2度目の無料トライアルを提案 2019年02月13日
インド電気通信規制庁開発のiOS版スパム電話/SMS報告アプリ、ようやくApp Storeで公開 2018年12月02日
TumblrアプリがApp Storeから突然消えた理由は児童ポルノ 2018年11月23日
Kaspersky曰く、「iOS向けアンチウイルスソフト」は存在しない 2018年09月28日
開発者が持続可能なApp Storeを目指す「The Developers Union」結成 2018年05月23日
マイクロソフトがAVベンダーサポート改善を発表、カスペルスキーは独占禁止法違反の訴えを取り下げへ 2017年08月11日
カスペルスキー、セキュリティソフトに関するMicrosoftの反競争行為を欧州委員会などに訴える 2017年06月08日
開発者とAppleへの恐怖 2015年03月28日
Dropbox SDKを使用したアプリ、App Storeで軒並み却下 2012年05月05日
iOS 5のWi-Fi SyncはApp Storeで却下されたアプリそっくり 2011年06月12日

Windows Defender Application Guard、他社ブラウザー用拡張を提供開始

Microsoftは15日、Windows Defender Application Guard(Application Guard)がGoogle ChromeとMozilla Firefoxでも利用可能になったことを発表した(Windows Experience Blogの記事BetaNewsの記事)。

Application Guardは隔離したコンテナ内でMicrosoft Edgeを実行することによりブラウザーベースの攻撃を防ぐ機能だ。そのためSLATおよび、VT-xまたはAMD-V対応に対応した4コア以上の64ビットプロセッサーや8GBのRAMなどがハードウェア要件となっている。Windows 10 Insider Preview ビルド18358(19H1)のアナウンス記事内で発表されているが、Windows 10 Enterprise バージョン1709以降/Windows 10 Pro バージョン1803以降で利用可能となっており、Insiderビルドは必要ない。

現在、Chrome用拡張機能Firefox用拡張機能コンパニオンアプリが提供されており、これらをインストールしてコントロールパネルの「Windowsの機能の有効化または無効化」で「Windows Defender Application Guard」を有効にすればApplication Guardを使用できるようになる。なお、Application Guardウィンドウを開くと、コンパニオンアプリが起動して隔離環境でMicrosoft Edgeセッションを実行する。隔離環境でChromeやFirefoxが実行されるわけではない。

Application GuardにはWindows 10 Enterpriseのみで利用可能な企業管理モードと、Windows 10 Enterprise/Proともに利用可能なスタンドアロンモードという2つのモードがある。企業管理モードでは信頼されるサイトのポリシー設定に従い、コンパニオンアプリと元のブラウザーの間で自動的にリダイレクトされる。一方、スタンドアロンモードでは拡張機能のボタンから手動でコンパニオンアプリを開いて利用することになる。コンパニオンアプリは他のアプリとの間でテキストをコピー/貼り付けできないため、スタンドアロンモードでの利用は制約が大きい。

すべて読む | セキュリティセクション | Chrome | セキュリティ | Firefox | インターネット | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
MSが「IEを友人や同僚に薦める可能性」をユーザーに調査? 2019年03月14日
Microsoft、特設サイト「Microsoft Edge Insider」をオープン 2018年12月23日
Microsoft、EdgeブラウザをChromiumベースにすることを発表 2018年12月07日
Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 2018年04月21日
Windows 10の次期大型アップデートはSpring Creators Update? 2018年02月08日

HPのバッテリパック自主回収プログラム対象拡大、米政府機関一部閉鎖で2か月間話題にならず

HPが昨年から実施していたノートPCおよびモバイルワークステーション用バッテリパックの自主回収プログラムで、対象を拡大している(日本HPの告知自主回収プログラム専用サイトCPSCのリコール情報SlashGearの記事)。

対象のバッテリパックは異常過熱が報告され、HPでは昨年1月から自主回収を実施していたが、当初は回収対象外とされていたバッテリパックでも異常が報告されたため今年1月に対象を拡大したという。ただし、米政府機関の一部閉鎖の影響で米消費者製品安全委員会(CPSC)によるリコール情報公開が遅れ、3月12日付で公開されるまで話題になっていなかったらしい。日本HPでは1月18日付で告知ページを更新しており、国内販売モデルではHP Probook 4xx(G4/G5)などの修理交換したバッテリパックが新規で対象に追加されている。消費者庁のリコール情報は更新されていないようだ。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | HP | 電力 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
国境の壁をめぐる対立で予算が成立せず、米政府機関の一部が閉鎖される 2018年12月23日
富士通のノートPC約1712万台で発火の恐れ、対策のためのアップデートをWindows Updateで配信 2018年11月05日
パナソニックのバッテリ不具合対策ツール「バッテリー診断・制御プログラム」、インストール時にトラブルの可能性 2018年06月28日
Lenovo、ThinkPad X1 Carbonの一部で脱落したネジによりバッテリーが傷付き、過熱のおそれがあるとして無償点検を実施 2018年02月11日
HPもバックパック型PCを発表 2017年08月18日
HP、ノートPCのバッテリパック自主回収プログラムを実施 2016年06月26日
HPが世界最薄ノートPC「HP Spectre」を発表、厚さは10.4mm 2016年04月08日

キョードー東京のチケット販売サイト、他人の個人情報が表示されるトラブル

キョードー東京は16日、同社のチケット販売サイト「キョードー東京チケットオンライン」にアクセスした顧客の情報が別の顧客に誤って表示されるトラブルが発生していたことを発表した(大切なお知らせ読売新聞オンラインの記事)。

同サイトは15日から高負荷によりアクセスしづらい状態になっていたためシステム会社が16日4:07に改善措置を実施したとのことだが、これに不十分な点があったことが原因だという。漏洩の可能性があるのは16日4:07~8:17に同サイトへアクセスした最大1,600件分で、氏名・性別・電話番号・住所・生年月日・メールアドレス・秘密の質問と答え・ID・パスワードが含まれるとのこと。銀行口座やクレジットカード番号などは含まれない。

同サイトは現在停止しており、16日4:07~8:17に同サイトへアクセスした顧客は復旧後にメールアドレスとパスワードの変更が必要になる。今後はシステム会社との連携強化や作業内容確認の徹底といった再発防止策をとるとのことだ。

すべて読む | セキュリティセクション | バグ | 娯楽 | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
チケット販売サイト「e+」、ボット対策の導入によりチケット自動購入ボットをほぼ殲滅 2018年12月30日
米国でボットによる買い占めを禁止する法案が提出される 2018年12月01日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
ITパスポート試験から団体申込者の個人情報が漏洩、排他制御漏れが原因 2018年03月15日

Google、Chromeのゼロデイ脆弱性と組み合わせて攻撃に使われていたWindowsのゼロデイ脆弱性を公表

GoogleのThreat Analysis Groupは7日、Windowsのゼロデイ脆弱性を公表した(Google Security Blogの記事Softpediaの記事9to5Googleの記事Ars Technicaの記事)。

この脆弱性はwin32k.sysにおけるローカルでの特権昇格で、悪用するとサンドボックス迂回が可能になるというものだ。先日Chrome 72.0.3626.121で修正されたゼロデイ脆弱性(CVE-2019-5786)とともに攻撃に使われており、それぞれ2月27日に脆弱性を報告していたという。

ゼロデイ攻撃は32ビット版のWindows 7をターゲットにしたものが確認されており、より新しいバージョンのWindowsでは脆弱性の新しい緩和技術が追加されていることから、実際に影響を受けるのはWindows 7のみとみられる。Chromeの脆弱性は修正されているものの、他のブラウザーの脆弱性と組み合わせてサンドボックス迂回に使われる可能性がある。Microsoftは修正を進めているとのことだが、ゼロデイ攻撃が確認されている場合は報告から7日後に公表するというGoogleの脆弱性開示方針に基づいて脆弱性が公表された。

ブログ記事では緩和策として、古いバージョンのWindowsを使用している場合はWindows 10へのアップグレードを検討すること、Windowsのパッチが公開されたら適用することを推奨している。

すべて読む | セキュリティセクション | Google | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
GoogleのProject Zero、macOSのセキュリティに影響するカーネルの未修正バグを公表 2019年03月08日
Microsoft Edgeブラウザに新たな脆弱性、リモートコード実行が可能 2018年11月09日
Windowsのゼロデイ脆弱性が再びTwitterで公表される 2018年10月28日
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
Microsoft、Google Chromeのパッチ提供方針を批判 2017年10月21日
Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 2017年06月01日
Windowsをクラッシュさせるゼロデイ・エクスプロイトコードがGitHubで公開 2017年02月10日
Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 2016年11月03日

米国家安全保障局、リバースエンジニアリングツール「Ghidra」を予告通り公開

米国家安全保障局(NSA)が5日、リバースエンジニアリングツール「Ghidra」を公開した(特設サイトNSAの紹介ページRSA Confereneのセッション紹介The Registerの記事)。

GhidraはNSAがマルウェア解析などを目的として開発したもので、1月に公開が予告されていた。ライセンスはApache 2.0となっており、ソースコードも公開予定のようだが、GitHubのリポジトリは現在のところプレースホルダーのみとなっている。バイナリは特設サイトからダウンロード可能で、実行にはJavaが必要だ。

NSAのシニアアドバイザー、ロバート・ジョイス氏は同日、RSA Conference 2019でGhidraを紹介している。ジョイス氏はGhidraがバックドアを備えていないと主張したが、デバッグモードで実行するとローカルネットワーク上からコマンドを実行可能なバグらしきものが見つかっているとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | スラッシュバック | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国家安全保障局、WikiLeaksが存在を明らかにしたリバースエンジニアリングツールを公開へ 2019年01月13日
WikiLeaksがCIAのハッキング手口を多数公開 2017年03月11日
米NSA、オープンソースのセキュリティー管理プラットフォーム「SIMP」を公開 2015年07月19日

Windows 7延長サポート終了後の有料セキュリティアップデートオプション、4月1日から販売開始

Microsoftは4月1日からWindows 7 Extended Security Updates(ESU)を販売開始する(Microsoft 365 Blogの記事Computerworldの記事)。

Windows 7 ESUはボリュームライセンスでWindows 7 Professional/Enterpriseを利用しているユーザーを対象に、Windows 7の延長サポートが終了する来年1月14日以降も最大3年間、有料でセキュリティアップデートを提供するというものだ。

ESUはデバイス単位で販売され、1年ごとに価格が上昇する。WindowsソフトウェアアシュアランスまたはWindows 10 Enterprise/Educationサブスクリプションのユーザーに対しては値引きがある。Microsoftは価格を公表していないが、Computerworldによれば1年目は50ドル(値引きが適用される場合は25ドル)で毎年倍増していくとのこと。

昨年9月に発表されていた通り、ESUが有効なデバイスでは2023年1月までOffice 365 ProPlusを使い続けることが可能だ。また、Microsoft 365ユーザー向けのWindows Virtual DesktopではESUが2023年1月まで無料提供される。

Windows 7は延長サポート終了まで1年を切っているが、StatCounterのWindowsバージョン別シェアデータでは2月も33.89%となっている。延長サポート終了後も高いシェアを維持して話題になったWindows XPでも、同時期(2013年5月)のシェアは24.85%だった。スラドの皆さんの職場では、ESUの購入を検討しているだろうか。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2月のWindowsバージョン別シェア、ロシアでWindows 10が初の1位に 2019年03月06日
Windows 7のDLL読み込みに関する脆弱性、対策はWindows 10へのアップグレード 2019年03月04日
Windows Media Playerのメディア情報取得機能、Windows 7のみ廃止へ 2019年02月01日
サポート終了まで残り1年のWindows 7、依然として高いシェアを保つ 2019年01月14日
Microsoft、企業・教育機関向けWindows 10のサポート期間延長などを発表 2018年09月09日

Google Playのアプリセキュリティ向上プログラム、修正を助けたアプリが累計100万本を超える

Googleは2月28日、Google Playで公開されるアプリのセキュリティを向上させるApplication Security Improvement Program (アプリセキュリティ向上プログラム)により修正されたアプリが累計100万本を超えたことを明らかにした(Android Developers Blogの記事VentureBeatの記事)。

Application Security Improvement ProgramはGoogle Playに送信されたアプリをスキャンし、脆弱性が見つかった場合には開発者に通知して修正を助けるというもの。その後も定期的なスキャンが行われ、新たに脆弱性が見つかれば通知される。脆弱性の種類によっては、修正が完了するまでアップデートは公開されなくなるが、公開済みのAPKには影響しない。

Googleは5年前にプログラムを開始してから、現在までに30万人以上の開発者による100万本以上のアプリの脆弱性修正を助けており、昨年1年間だけでも3万人以上の開発者による7万5千本以上のアプリが修正されたとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | デベロッパー | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで新規公開/更新するアプリのターゲットAPI最低要件、引き上げへ 2019年02月24日
Google、AndroidのプリインストールアプリをGoogleアカウントなしでも自動更新する計画 2019年02月20日
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日
Google Playで公開するAndroidアプリの64ビット対応必須化、詳細が発表される 2019年01月19日
インド電気通信規制庁開発のiOS版スパム電話/SMS報告アプリ、ようやくApp Storeで公開 2018年12月02日
Google Playで発見されるマルウェア、インストール件数は水増しされている? 2018年11月25日
Google Playで配布されている無料アプリの約9割がサードパーティによるトラッキングを導入している 2018年10月31日
DMCA削除要請の対象になっていないアプリがDMCAに基づいてGoogle Playから削除されるトラブル 2018年10月24日
Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 2018年10月22日
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
Google Playで新規公開/更新するアプリ、最新APIをターゲットにすることが必須に 2017年12月23日

テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン

EFFは2月28日、テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう要求するキャンペーン「Fix It Already」を開始した(Deeplinks Blogの記事Mac Rumorsの記事Softpediaの記事)。

キャンペーンの対象は9社。AppleにはiCloudバックアップの暗号化、Android (Google)にはAndroidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること、Microsoft (Windows 10)には「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。

このほかの6社に対する要求は以下の通り。
  • Facbook: セキュリティ目的でユーザーが提供した連絡先情報を他の目的に使用しない
  • Slack: 無料ワークスペースの管理者にもメッセージ保持期限の設定を可能にする
  • Twitter: ダイレクトメッセージをエンドツーエンドで暗号化する
  • Venmo: 友達リストを非公開化できるようにする
  • Verizon: 端末へのスパイウェアインストールをやめる
  • WhatsApp: グループへ追加する前にユーザーの了承を受ける

すべて読む | セキュリティセクション | テクノロジー | ビジネス | セキュリティ | YRO | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米人権団体、米司法省がFacebook Messengerの暗号解除を求めた裁判の情報開示を求める 2018年12月04日
Facebook、閲覧者のマウス操作や周囲のデバイスなどを含むさまざまな情報収集を認める 2018年06月19日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日
EFF、パテントトロールに特許を売却する米大学を批判 2017年04月07日
EFF、Microsoftがユーザーの選択とプライバシーを無視していると批判 2016年08月20日
政府機関からユーザーのデータを保護する姿勢に関するEFFの年次リポート、WhatsAppが最低評価 2015年06月20日
EFF曰く、Appleの開発者規約が原因でEFFアプリのiOS版を提供できない 2015年01月11日

Google Playで新規公開/更新するアプリのターゲットAPI最低要件、引き上げへ

Googleは21日、Google Playで新規公開/更新するアプリのターゲットAPIレベル引き上げ計画を発表した(Android Developers Blogの記事9to5Googleの記事VentureBeatの記事Neowinの記事)。

Googleは2017年12月にGoogle Playで新規公開/更新するアプリについて、AndroidManifest.xmlの「targetSdkVersion」で最新APIの指定を必須とする計画を発表し、2018年にはAPI 26(Android 8.0)が最低要件となっていた。これにより、2018年中に15万本以上のアプリで実行時パーミッションのサポートが追加されるなど、ユーザーが最新APIのメリットを享受できるようになったという。

2019年には8月から新規アプリでターゲットAPIをAPI 28(Android 9)以上にすることが必須となり、11月からは既存アプリのアップデートに対しても適用される。更新されない既存アプリについては影響を受けず、「minSdkVersion」により旧バージョンのAndroidも引き続きサポートできる。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | デベロッパー | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、AndroidのプリインストールアプリをGoogleアカウントなしでも自動更新する計画 2019年02月20日
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日
Google Playで公開するAndroidアプリの64ビット対応必須化、詳細が発表される 2019年01月19日
Google Play開発者サービス、Ice Cream Sandwichのサポート終了へ 2018年12月11日
Android Q、Lollipop以前をターゲットにしたアプリの実行時に毎回警告が表示される可能性 2018年09月09日
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
AndroidのWebView、バージョン66ではSafe Browsingがデフォルト有効に 2018年04月21日
Google Playで新規公開/更新するアプリ、最新APIをターゲットにすることが必須に 2017年12月23日

英政府が5GネットワークでHuaweiを使用するリスクを対応可能なレベルと結論付けたとの報道

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)が5Gネットワークの機材調達について、Huawei製品を使用するリスクは対応可能なレベルとの結論に達した、とFinancial Timesが報じている(BetaNewsの記事The Vergeの記事Mashableの記事)。

この情報は結論に詳しい2名が語ったもので、公式発表されたものではない。ファイブアイズ5か国では米国とオーストラリアが中国製品を5G調達から排除するよう圧力をかけており、ニュージーランドが同調している。一方、カナダでは国防省サイバーセキュリティセンターの責任者が昨年、5G調達からHuaweiを排除する必要はないとの考えを示していた。Huawei CFOの拘束を発端としてカナダと中国の外交関係は悪化しているものの、現在のところHuaweiを排除する計画はないようだ。

欧州各国でも米豪に同調する動きがある一方で、ドイツではHuaweiを全面的に排除するよりも監視を厳しくして参入を認める方がいいとの考えに傾いている。英国が米国などからHuaweiを排除しない場合のリスクに関する情報を提供されたうえで、そのリスクは対応可能と判断したとすれば、各国政府の判断にも影響を与える可能性がある。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 通信 | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
携帯電話大手3社、HUAWEIやZTE製品製品を事実上排除へ? 2018年12月11日
ファーウェイのCFO、カナダで身柄を拘束される。イラン経済制裁に対する違反の疑い 2018年12月06日
2018年第3四半期のスマートフォン販売台数は548万台増の3億3,907万台、中国ブランドが支える 2018年12月06日
米トランプ政権、同盟国に対しファーウェイ製品の不使用を求める 2018年11月26日
NEC、5G携帯電話基地局の開発・販売でSamsungと業務提携へ 2018年10月24日
カナダ政府、Huaweiに不審な点があれば発見できるため、5G調達から排除する必要はないと自信を示す 2018年09月29日

Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増

Googleによれば、昨年Google Playストアへ登録申請があったアプリのうち、却下したアプリの数は前年よりも55%以上多かったそうだ(Android Developers Blogの記事VentureBeatの記事SlashGearの記事Softpediaの記事)。

現在もGoogle Playでのマルウェアを含むアプリの発見はたびたび報じられるが、昨年Googleでは新たな不正の手口からユーザーを守るほか、悪意ある開発者を発見・排除し、ストアで悪意あるアプリの増加を防ぐための新たなポリシーを導入したという。

その結果、却下したアプリが前年比55%以上増加したのに加え、公開停止したアプリも前年比66%以上増加したとのこと。さらに、Google Play Protectが毎日500億本以上のアプリをスキャンしており、Google Playで入手したアプリは他の場所で入手したアプリよりもユーザーを害する可能性が8分の1以下になっているとのこと。

2019年は不正行為で排除された開発者が別アカウントで再参入することを防ぐ技術の強化や、不正アプリを検出する技術の強化などを行うほか、ユーザーのプライバシーを保護するため、新たなポリシーの追加も行っていくとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | Android | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで発見されるマルウェア、インストール件数は水増しされている? 2018年11月25日
Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 2018年10月22日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
Google Playから2017年に削除された不正アプリは70万本以上 2018年02月03日
子供向けアプリを装ってアダルト広告を表示するマルウェア、Google Playで60本以上見つかる 2018年01月14日
Androidのセキュリティ、Google Playプロテクトのマルウェア検出性能は不十分? 2017年10月29日
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017年08月16日
Google Playでゲーム攻略アプリに偽装したマルウェアが公開される。200万台以上が被害に? 2017年05月03日
開発に使われたPCがウイルスに感染していたためにウイルスが混入したと見られるAndroidアプリ、多数見つかる 2017年03月08日

Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開

Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事GoogleアカウントヘルプThe Keywordブログの記事Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019年01月30日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日

人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果

ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクトThe Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 通信 | ソフトウェア | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
多くのIoT機器はセキュリティ対策が不十分 2019年02月07日
IPA、「情報セキュリティ10大脅威 2019」を発表 2019年02月01日
米カリフォルニア州、ネット接続機器の「デフォルトパスワード」を規制する法律 2018年09月26日
単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き 2018年01月23日
総務省、ネット上のIoT機器全調査を行うと発表 2017年09月11日
IoTが引き起こす問題は誰が責任を負うべきか 2017年09月01日
米上院でIoTデバイスのセキュリティ対策を求める法案が提出される 2017年08月10日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日
IoTマルウェア「Mirai」やその亜種による攻撃が増加中 2017年01月26日
IoTアダルトグッズのセキュリティ問題が指摘される、遠隔から第三者がバイブレーターを操作できる可能性 2016年12月22日
中国メーカー、大規模DDoS攻撃の原因機器となっているWebカメラを米国でリコールへ 2016年10月26日
IoTデバイスを乗っ取ってDDoS攻撃を行うマルウェアのソースコードが公開される 2016年10月07日
再び話題になるIoT検索サイト「Shodan」 2016年01月28日
IoTバービー人形でさまざまなセキュリティ上の問題が見つかる 2015年12月06日
サムスンのスマート冷蔵庫に脆弱性、Googleサービスへのログイン情報が盗まれる恐れ 2015年08月27日
Microsoftなどの企業団体、IoTにおける個人情報保護ガイドラインを提示 2015年08月17日
IoTはパスワードを不要にする、かもしれない 2015年06月24日

Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止

先日リリースされたFirefox 65でセキュリティソフトウェアによる問題が発生し、MozillaがWindows版の自動更新による提供を一時中止したそうだ(Bug 1523701Softpediaの記事Techdowsの記事)。

この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。

Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。

すべて読む | ITセクション | セキュリティ | Firefox | バグ | Windows | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Firefox 64リリース、シマンテックの証明書が無効に 2018年12月13日
Firefox 65ナイトリービルド版がWebP画像形式に対応 2018年11月23日
主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画 2018年10月18日
Mozilla、ページ読込みを遅くするトラッカーなどをFirefoxのデフォルトでブロックする計画 2018年09月02日
AvastやAVGを利用している環境でFirefoxがTLS 1.3を利用できなくなるトラブル 2018年06月29日
WindowsにDefender以外のアンチウイルスソフト不要論にカスペルスキーが反論 2017年02月14日
Googleのエンジニア曰く、行儀のいいアンチウイルスはWindows Defenderだけ 2017年02月05日
Windows 8.1/10ではサードパーティーのアンチウイルス製品を避けるべき? 2017年01月29日

ニューアーク国際空港で遅延を発生させた上空でのドローン目撃情報、実際にはドローンではなかった可能性も

ニューアーク・リバティー国際空港で22日、上空からのドローン目撃情報による遅延が発生したそうだ(ABC Newsの記事The Vergeの記事SlashGearの記事CNNの記事)。

目撃情報は2件。いずれもニューアークへ向かう旅客機からの報告で、24kmほど離れたところにある同じニュージャージー州内のテターボロ空港上空約3,500フィートで目撃されたという。機長の1人は最終着陸態勢中にドローンのようなものが右翼の30フィート以内まで接近したと述べているそうだ。これを受けて連邦航空局ではニューアークへの到着便の受け入れを一時停止した。その後さらなる目撃情報がなかったため短時間で再開されたものの、ニューアークへ向かう一部の便は出発地で一時待機することになったとのこと。

しかし、FAAでは目撃された物体がドローンかどうか確認できていないという。また、DJIのBrendan Schulman氏は風船か何かをドローンと見間違えたのではないかとの見方を示しているそうだ。ドローンは高度3,500フィートで目撃されたが、FAAでは高度400フィートを超えるドローンの飛行を許可していない。個別に許可を得れば高度400フィート以上での飛行も可能とはいえ、その可能性は非常に低いとSchulman氏は語る。ロンドン・ガトウィック空港やヒースロー空港でのドローン侵入騒ぎ以降、人々は空を飛ぶ物体をドローンと判断してしまいがちになっているとのことだ(Chicago Tribuneの記事)。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ロンドン・ガトウィック空港とヒースロー空港、ドローン対策システムを導入 2019年01月11日
英警察、ロンドン・ガトウィック空港へのドローン無許可侵入容疑で2名を逮捕 2018年12月23日
ロンドン・ヒースロー空港で旅客機に衝突した「ドローンのようなもの」はビニール袋だった? 2016年04月23日
イギリス・ヒースロー空港でドローンが乗客を乗せた旅客機とニアミスを起こす 2014年12月11日

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩

オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせYOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 2018年10月16日
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日

どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半

電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事KrebsOnSecurityの記事Ars Technicaの記事Mashableの記事)。

Have I Been Pwned?のToy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
Mozilla、個人情報が流出したWebサイトの通知機能をFirefoxに追加する計画 2017年11月26日
米Yahooで2013年に発生していた情報漏洩、全利用者のアカウント情報が流出していた可能性 2017年10月05日
米Yahoo!、今度は10億人分のユーザー情報を漏洩。以前のものとはまた別 2016年12月17日
米Yahoo、ユーザー5億人超の個人情報が流出したことを発表 2016年09月27日
Dropbox、4年以上パスワードを変更していないユーザーにパスワード変更を促す 2016年08月27日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日
ロシアのサイバー犯罪グループが12億件以上のアカウントを不正入手していた? 2014年08月12日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日
LinkedInから650万件のパスワードが漏洩か 2012年06月07日

米国家安全保障局、WikiLeaksが存在を明らかにしたリバースエンジニアリングツールを公開へ

米国家安全保障局(NSA)のシニアアドバイザー、ロバート・ジョイス氏が3月のRSA Conference 2019で、リバースエンジニアリングツール「GHIDRA」のデモを行い、同時に一般提供も行うそうだ(RSA Conferenceのセッション情報BetaNewsの記事HackReadの記事)。

GHIDRAはWikiLeaksのVault 7プロジェクト第一弾として2017年3月に存在が明らかにされた米中央情報局(CIA)のハッキングツールの1本で、NSAが開発したものだ。WindowsやMac OS、Linuxを含むさまざまなOSに対応し、各種プロセッサーの命令セットをサポートするという。GHIDRAプラットフォームには、商用のハイエンドツールに期待されるすべての機能が含まれるとのこと。Vault 7で公開された情報によれば、実行にはJavaが必須となるようだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | デベロッパー | アメリカ合衆国 | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WikiLeaksがソースコードを公開したCIAのハッキングツール、カスペルスキーの偽証明書を生成するサンプルも 2017年11月12日
WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 2017年09月03日
米政府機関をターゲットにしたCIAのハッキングツール「ExpressLane」 2017年08月26日
ターゲットPCへの物理的なアクセスの証拠を消すCIAのツール「Dumbo」 2017年08月06日
LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 2017年07月04日
特定ユーザーが共有フォルダから実行ファイルをコピーした場合のみマルウェアに置き換えるCIAのツール 2017年06月07日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日
WikiLeaksがCIAのハッキング手口を多数公開 2017年03月11日

金を払わなければ殺し屋を送る、と脅迫する詐欺メール

メール受信者を殺害するよう依頼されたが、金を払うなら見逃す、と脅迫する詐欺メールをBleeping Computerが入手し、全文を公開している(Bleeping Computerの記事HackReadの記事)。

下手な英文で書かれたメール本文は、差出人がターゲットを殺害したり、負傷させたりする仕事をダークウェブで請け負っており、今回のターゲットがメール受信者であるという説明から始まる。代金は4,000ドルだが支払いは仕事の後であり、しばしば殺し屋を消すことになるなど負担が大きいため、受信者が1,200ドルをビットコインで支払うなら殺し屋を送らず、依頼人に関する情報も提供すると述べている。

まだ実際にだまされた人はいないようで、記載されているビットコインアドレスに入金された形跡はないとのことだ。同様の詐欺メールはこれまでにも米国で出回っており、FBIが注意喚起していた。

すべて読む | セキュリティセクション | セキュリティ | spam | 変なモノ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米国で殺されたくなければ金を支払えと脅迫するメールに対しFBIが注意喚起 2018年01月31日
「殺す」との脅迫メールを送った男性、メール内に書かれていた名前や住所でバレて逮捕される 2016年10月17日
海外大手出会い系サイトで性的嗜好などを含む会員情報が流出 2015年05月26日

英警察、ロンドン・ガトウィック空港へのドローン無許可侵入容疑で2名を逮捕

英サセックス警察は22日、ロンドン・ガトウィック空港にドローンが無許可で侵入した事件について、2名の逮捕を発表した(プレスリリースThe Registerの記事London Evening Standardの記事Express.co.ukの記事)。

逮捕されたのは空港に近いクローリーに住む47歳の男性と54歳の女性。男性はラジコン自動車や小型ドローンなどを趣味にしているという。しかし、男性の知人からは事件が発生した時刻に男性とお茶を飲んでいた(ドローンを操作していたはずはない)といった証言が相次いでいるようだ。

ガトウィック空港では19日、無許可のドローンが滑走路に侵入しているのが確認され、同日21時(GMT)に滑走路を閉鎖21日6時に再開されるまで、閉鎖は1日半近くにおよんだ。

これについて pongchang 曰く、

複数回の目撃情報がありクリスマスを数日後に控える中で数万人の乗客が足止めを余儀なくされている。英当局は、フェンスの周囲で猟銃を構えたり、近隣の屋上で監視をするなど、警察に加え軍隊も投入して操縦者の捜索を急いでいる。ガドウィック空港はハブ機能があるので英国のみならず欧州や世界各地にダイヤの乱れがある。乗客も離陸待機で数時間機内に閉じ込められた末、フライトがキャンセルになるなど混乱が続き、当然ながら預かり荷物の紛失などの混乱も重なっている(FlyTeamニュースの記事AFPBB Newsの記事)。

すべて読む | セキュリティセクション | 犯罪 | 英国 | セキュリティ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
英国でドローン関連の苦情が急増 2017年04月07日
ストーカーから軍事用途、テロ、刑務所内への密輸などさまざまな運用がされるドローン 2016年05月07日
ロンドン・ヒースロー空港で旅客機に衝突した「ドローンのようなもの」はビニール袋だった? 2016年04月23日
ドローンの飛行規則を定めた改正航空法が成立 2015年09月08日
イギリス・ヒースロー空港でドローンが乗客を乗せた旅客機とニアミスを起こす 2014年12月11日
無人飛行機(ドローン)の飛行禁止区域を地図上にまとめるプロジェクト 2014年07月30日

Microsoft、アプリケーションを安全に実行できるWindows Sandboxを発表

Microsoftは18日、信頼できない実行ファイルを安全に実行できるというWindows Sandboxを発表した(Windows Kernel Internalsの記事The Vergeの記事BetaNewsの記事Neowinの記事)。

Windows Sandboxは軽量のバーチャルマシンがベースになっており、ディスクイメージを動的に生成するため、専用のVHDをダウンロードする必要はない。起動すると仮想デスクトップ画面が表示され、ホストからコピーした実行ファイルをテストできる。テスト終了後にWindows Sandboxを閉じれば、インストール・実行したプログラムファイルおよび関連データはすべて削除される。

Windows Sandboxは19日にファーストリング向けの提供が始まったWindows 10 Insider Preview ビルド18305(19H1)のPro/Enterpriseエディションで利用可能となっている。システム要件としては2コア以上(4コア+HT推奨)のAMD64環境に4GB以上(8GB推奨)のRAM、1GB以上のディスク空き領域(SSD推奨)となっており、BIOSで仮想化機能を有効に設定しておく必要がある。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows Defenderウイルス対策、サンドボックス内実行が可能になる 2018年10月31日
WindowsストアでLinuxが提供されてもWindows 10 Sでは使用できない 2017年05月24日

PETA、反動物的な慣用表現の置き換えを主張

PETAが動物に対する残酷な行為などを含む反動物的な慣用表現を動物にやさしい表現に置き換えるべきだと主張している(PETAのツイートPETA.orgの記事プレスリリース)。

PETAは人種差別や同性愛差別、障害者差別を含む表現が許容されなくなっているのと同様、種差別的な表現も排除する必要があると主張。「Kill two birds with one stone (1つの石で2羽の鳥を殺す: 一石二鳥)」ではなく「Feed two birds with one scone (1つのスコーンで2羽の鳥を満腹にする)」のように表現するといった例を挙げている。

すべて読む | セキュリティセクション | 変なモノ | インターネット | idle | ワーム | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
PETA、動物型を描いたクラッカーのパッケージデザインが残酷だとして変更させる 2018年08月28日
猿が撮影した写真の著作権侵害をめぐる裁判、米控訴裁判所が棄却 2018年04月28日
PETAが英語辞書への追加を目指す料理「トーファッキン」とは? 2017年11月23日
動物愛護団体PETA、ポケモンGOに便乗してポケモンを捕まえる人間を倒すゲームを公開 2016年07月26日

ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス

独自の技術でランサムウェアにより暗号化されたファイルの復号ができると称し、実際にはランサムウェア作者から購入した復号鍵にマージンを乗せて被害者に売るサービスの存在をCheck Pointの研究者が発見したそうだ(BetaNewsの記事The Registerの記事TechRadarの記事SC Media UKの記事)。

研究者はランサムウェアDharmaについて調査中、ロシアでランサムウェア感染マシンの復旧サービスを提供するDr. ShifroのWebサイトを発見する。しかし、まだ復号鍵の公開されていないDharmaのバリアントにも対応することを謳うなど、怪しい点がみられたという。

そこで研究者はDharmaのアルゴリズムを使用した偽の感染ファイルと偽のランサムウェア作者の電子メールアドレスを用意し、被害者を装ってDr. Shifroに連絡。2日ほどのち、偽ランサムウェア作者に仲介人を名乗るメールが届いたそうだ。送信者は2015年からクライアントに代わって復号鍵を取得していると述べ、身代金を偽ランサムウェアが要求する0.2 BTCから0.15 BTCへ値引くよう交渉してきたという。その後、被害者としてDr. Shifroに再び連絡すると、値引き前の身代金に1,000ドルほど上乗せした金額を提示されたとのこと。

研究者はこのようなサービスの提供が非倫理的なだけではなくランサムウェア被害者の支払額を増大させ、サイバー犯罪者の資金源としてランサムウェアの利用を勧める結果になると批判しているとのことだ。

すべて読む | セキュリティセクション | ビジネス | 犯罪 | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日
ランサムウェアの身代金を横取りするTorプロキシサイト 2018年02月04日
「偽ランサムウェア」による攻撃が増加 2017年02月06日
身代金ではなくセキュリティ記事を読むように要求するランサムウェア「Koolova」 2017年01月09日
他のユーザーを感染させることで無料暗号化解除を提供するランサムウェアが登場 2016年12月15日
データを復元できないのに身代金を要求する新種のランサムウェア 2016年07月16日
ランサムウェア「TeslaCrypt」開発者、復号用のマスターキーを公開 2016年05月24日
トレンドマイクロが「ランサムウェア無料ご相談窓口」を開設、非ユーザーも無料相談可能 2016年05月11日

米企業、あらゆるスマートフォンのパスコードロックを100%解除できると主張

米国のDriveSaversという企業が11月26日、パスコードロックされたあらゆるスマートフォンをアンロックできるというコンシューマー向けサービスを発表した(プレスリリースサービス紹介ページThe Vergeの記事Mac Rumorsの記事)。

DriveSaversによれば、プロプライエタリな新技術を用い、すべてのメーカー・モデル・OSのスマートフォンやタブレットデバイスでパスコードロックを100%解除できるという。パスコードの長さも問わず、長い複雑なパスコードでも対応可能とのこと。

捜査機関向けにパスコード解除サービスを提供している企業は既に存在するが、DriveSaversは捜査機関にサービスを提供することはなく、デバイスの所有者、もしくは死亡した所有者の相続人限定のサービスとなる。そのため、サービスを申し込むにはデバイスのデータにアクセスする法的権利を証明する書類などの提出が必要となる。

デバイスはアンロックされた状態で所有者に返され、データを外部メディアにコピーするオプションも用意されるという。アンロックの料金は3,900ドル(約44万円)ほどとのことで、安くはない。

しかし、米捜査機関の人気ガジェットとなっていたiPhoneアンロックツールGrayKeyAppleがiOS 12で対策をして使用できなくなったとみられており、すべてのスマートフォンのパスコードロックを100%解除可能といった主張には疑問の目も向けられている。現在一般に知られていない技術をDriveSaversが持っている可能性もあるが、詳細については不明だ。

すべて読む | アップルセクション | セキュリティ | 携帯電話 | 暗号 | iPhone | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
USB制限モードを搭載したiOS 11.4.1が一般リリース 2018年07月12日
Grayshift、iOS 12に搭載予定のUSB制限モードを既に突破か 2018年06月17日
米捜査機関では遺体の指を使用したiPhoneのアンロック試行が一般的になりつつある 2018年03月25日
最新のiPhone/iOSもアンロック可能な「GrayKey」とは? 2018年03月20日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは? 2016年03月05日
ニューヨーク州議会に「暗号解読できないスマートフォンの販売に罰金を科す法案」が提出される 2016年01月18日

Google Playで発見されるマルウェア、インストール件数は水増しされている?

Google Playでマルウェアが見つかり、多数インストールされていたという話はたびたび報じられるが、実際のインストール件数は少ないという説をSlashGearが提唱している(SlashGearの記事)。

最近ではドライビングゲームを装った同一の開発者によるマルウェア13本がGoogle Playで発見された。実際にはゲームとして動作せず、起動するとバックグラウンドで別のAPKをダウンロードしてインストールするというものだが、合計56万回以上インストールされ、2本はTrendingのランキングにも入っていたという。Google Playでは星2~3.5個の評価が付けられていたようだ。

マルウェア1本あたり数万人がインストールしていたとすれば、相当数の苦情が出てもおかしくないが、特に騒ぎになる様子もない。そのため、SlashGearでは、表示されるインストール件数に対して実際のユーザー数はごくわずかである可能性を指摘している。アプリのインストール件数や評価を水増ししたり、偽のレビューを投稿したりといった行為もしばしば問題となるが、インストール件数の多いマルウェアでも水増し行為が行われている可能性があるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 2018年10月22日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
Google Playから2017年に削除された不正アプリは70万本以上 2018年02月03日
子供向けアプリを装ってアダルト広告を表示するマルウェア、Google Playで60本以上見つかる 2018年01月14日
正規アプリの署名を維持したまま内容を改変できるAndroidの脆弱性「Janus」 2017年12月12日
Google Playに偽WhatsAppが複数出現 2017年11月05日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日
Androidのセキュリティ、Google Playプロテクトのマルウェア検出性能は不十分? 2017年10月29日
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017年08月16日
Google Playでゲーム攻略アプリに偽装したマルウェアが公開される。200万台以上が被害に? 2017年05月03日
Google Playのワンクリック詐欺アプリ、一時大量に増殖 2013年04月06日
Google Playのマルウェア、数百万人分の個人情報を収集か 2012年04月17日

NASA、違法薬物の有無など職場環境の安全性評価をSpaceXとBoeingに実施する計画

NASAがSpaceXとBoeingに対し、職場環境の安全性評価を行うそうだ(The Vergeの記事Ars Technicaの記事GeekWireの記事The Washington Postの記事)。

The Washington Postに情報を提供した3名の職員によると、9月にYouTubeのライブ番組に出演したイーロン・マスク氏がカメラの前でマリファナを喫煙したことが評価実施の理由だという。番組の収録されたカリフォルニア州では娯楽用途での大麻利用は合法だが、国レベルでは禁止されている。NASAでは違法薬物のない職場環境実現のため、職員に対して大麻やコカインなど5種の薬物検査を行っている。

NASAは評価実施の理由について回答を避けているが、違法薬物のない環境を含め、職場の安全性がNASAの基準を満たしているかどうかを確認するため、企業文化の評価を民間パートナーに対して実施すると述べているとのことだ。

なお、NASAは21日、米民間宇宙船による国際宇宙ステーション(ISS)へのクルー輸送ミッションについて、SpaceXによる1回目のテストフライト(Demo-1、無人)を2019年1月7日に実施すると発表した。その他のスケジュールに関しては10月の発表から変更されていない。

すべて読む | セキュリティセクション | 国際宇宙ステーション | セキュリティ | 医療 | NASA | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米民間宇宙船によるISSへのクルー輸送ミッション、テストフライトが再延期 2018年10月12日
米証券取引委員会、証券詐欺容疑でイーロン・マスクを告発 2018年09月29日
水没したタイの洞窟で救助活動を行った英国人洞窟探検家、小児性愛者呼ばわりしたイーロン・マスクを提訴 2018年09月22日
コカ・コーラ、機能性飲料の原料として向精神作用のない大麻抽出成分に注目 2018年09月21日
Tesla Motorsイーロン・マスクCEOのツイートが原因で集団訴訟が発生 2018年08月16日
NASA、米民間宇宙船による初の有人宇宙飛行に乗務するクルー9名を発表 2018年08月05日
米民間宇宙船によるISSのクルー交代ミッション、最悪2020年8月まで遅れる可能性も 2018年07月16日
大麻合法化を行った米3州で自動車の衝突事故が増加 2017年07月05日

Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く

米国や欧州のAmazonが電子メールアドレスなどをWebサイトで誤って公開したことを謝罪する通知を顧客に送り、受信者を驚かせたようだ(BetaNewsの記事The Vergeの記事GeekWireの記事CNBCの記事)。

内容としては、技術的な問題であなたの電子メールアドレス(または名前と電子メールアドレス)をうっかりAmazonのWebサイトに表示してしまったというもの。さらに、既に問題は修正済みであること、あなたがしたこと(設定など)が原因ではなく、パスワード変更やその他の対応は不要であることが記載されている。

しかし、具体的にどのページで公開されたのか、誰がアクセスした可能性があるのか、といった情報がないうえ、お知らせするが何もすることはないという文面が混乱を招くことになる。米国版の通知のフッターに記載されたURLが「http://Amazon.com」という表記である点も指摘されている。

通知を受信したという報告は米国英国イタリアフランスの出品者向けフォーラムに投稿されているが、影響範囲が出品者だけなのかどうかは不明だ。Amazonはメディアの問い合わせに対し、問題は修正済みであり、影響を受けた可能性のある顧客に通知したとのみ回答しているという。

すべて読む | セキュリティセクション | セキュリティ | EU | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
Google、GDPRに違反しているとのBraveの主張に反論 2018年09月16日
米郵便公社、自由の女神の写真を間違えて350万ドル以上の賠償金を支払うことに 2018年07月08日
Sony、予告編と間違えて(?)映画本編をYouTubeで無料公開 2018年07月06日
GMOインターネットから漏洩した個人情報、Amazonで販売される 2017年11月07日

Microsoft、新元号に関連するOffice 2010の更新プログラム2本などを提供中止

Microsoftは16日、6日にリリースしたOffice 2010向け更新プログラム2本の提供中止を発表した(KB4461522KB2863821Ars Technicaの記事BetaNewsの記事)。

KB4461522とKB2863821はいずれも日本の新元号に備えるもので、新元号開始時に正しく元号が表示されるようにOffice 2010の和暦カレンダーを修正する。ただし、実際の新元号を表示するには新元号発表後に提供される更新プログラムが必要となるようだ。

しかし、これらの更新プログラムをインストールすると、Accessやその他のアプリケーションがクラッシュする可能性があるという。そのため、提供を中止しただけでなく、更新プログラムのアンインストールが推奨されている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 October 2018 Update再リリース、問題も増加 2018年11月17日
Microsoft Office、新規インストールでは64ビット版がデフォルトになる 2018年09月29日
Windows 10、秋リリースの大型アップデートでは新元号の仮データがレジストリから削除される 2018年09月25日
Adobe、新元号対応のため新たな文字集合規格「Adobe-Japan1-7」をリリースへ 2018年08月22日
MSやユニコード、新元号への移行は2000年問題に匹敵する大問題となると指摘 2018年07月30日
.NET Frameworkに新たな新元号対応機能が追加される 2018年06月26日
一部の国会議員が新元号公表は即位当日にすべしと主張 2018年06月08日
新元号公表は改元1か月前 2018年05月18日

Twitter曰く、著名アカウントを通じたビットコイン詐欺ツイートの原因はサードパーティーアプリ

著名Twitterアカウントを通じた詐欺ツイート投稿が続発している問題について、TwitterはThe Next WebのHard Forkに対し、サードパーティーソフトウェアプロバイダーが原因だと伝えたそうだ(The Next Webの記事)。

詐欺ツイートの内容としてはビットコインを送金するとその10倍のビットコインをプレゼントするといったものだ。最近では米小売大手TargetGoogle G Suiteなどのアカウントから詐欺ツイートが投稿されたことが報じられている。当初、Targetでは同社のアカウントが不正アクセスを受けたとの見解を示していた。しかし、Twitterと協力して調査した結果、投稿を代行するサードパーティーのマーケティングアプリが不正アクセスを受けたとの結論に達したとHard Forkに伝えたという。

TwitterはTargetだけでなく一連の詐欺投稿がサードパーティーアプリを通じたものだと認める一方、具体的なアプリの名称については回答しなかったとのこと。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | Twitter | 暗号 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
朝日新聞のTwitterアカウント、乗っ取られて詐欺の宣伝に使われる 2018年11月13日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
ウォズ、ビットコインを詐取された体験を語る 2018年03月02日
コンビニからビットコイン口座への入金を求める架空請求詐欺が増加中 2017年07月31日
Facebookで友人と「同姓同名」のアカウントが多数出現中 2013年07月11日
吉野家のTwitterアカウントが乗っ取られた可能性 2013年04月24日

米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記

米連邦検事補のミスにより、米政府が既にジュリアン・アサンジ氏を刑事告発したのではないかとの憶測が広がっている(The Guardianの記事The Washington Postの記事The Registerの記事The Telegraphの記事)。

発端となったのは、連邦検事補が作成し、連邦検事の名前でバージニア西地区連邦地裁へ8月に提出されたアサンジ氏と無関係な事件に関する文書(PDF)だ。この文書は児童虐待事件に関するもので、被疑者のKokayi氏による証拠隠滅や逃亡などを防ぐため刑事告発状や宣誓供述書、逮捕状の秘匿を申し立てている。しかし、文書の「3」と「5」では唐突に「Assange」という人物を対象とした記述が出現する。

文書には「Assange」としか書かれていないが、事件の注目度が高い点や国外からの身柄引き渡しに言及していることから、ジュリアン・アサンジ氏について書かれているようだ。アサンジ氏が実際に刑事告発されているのか、刑事告発の準備が進められている段階なのかは不明だが、この連邦検事補はWikiLeaksの事件も担当しており、今回の文書は過去の秘匿申立書を元に作成されたものとみられる。

本来はこの文書自体も秘匿の対象だが、不明な理由で秘匿が解除され、存在が明るみに出ることとなった。バージニア西地区連邦検事局の報道官は、文書が誤って作成されたものであり、(アサンジ氏の名前は)この申し立てで意図した名前ではないと述べているとのこと。なお、この件と前後して、米司法省がアサンジ氏を米国の法廷に立たせるべく起訴する準備を進めている、とWSJが報じている

すべて読む | セキュリティセクション | セキュリティ | 法廷 | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 2018年10月20日
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaksに情報を流した裏切り者を探すCIAとFBI 2017年04月28日
オバマ大統領、大統領選挙を狙ったロシアのサイバー攻撃を調査するよう命令 2016年12月16日
ウィキリークス、2回目の米大統領討論会に合わせてクリントン陣営責任者のメールとされる内容を公開 2016年10月14日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
新たなtypoスタイル「Mis-paste」 2011年11月12日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日
Wikileaks、Amazonから締め出されDNSサーバーも停止。アサンジュ氏は逮捕間近? 2010年12月03日

指紋認証デバイスで多数の指紋に一致する合成指紋「DeepMasterPrints」

ニューヨーク大学とミシガン州立大学の研究グループが機械学習を用い、スマートフォンなどの指紋認証機能で「マスターキー」のように多数の指紋と一致する「DeepMasterPrints」の生成に成功したそうだ(論文: PDFThe Guardianの記事Android Policeの記事Motherboardの記事)。

指紋認証デバイスの中でもスマートフォンなどに搭載されるものは操作性の問題で小型に作られており、指紋全体ではなく一部分だけで一致を判定する。指紋の一部分では情報エントロピーが低下するため、別の指の指紋と一致する可能性が高くなる。また認識失敗を防ぐため、エンロール時に複数の指の指紋を登録させるものもあり、さらに誤一致の可能性が高まる。

今回の研究グループ5名のうち3名は昨年、多数のユーザーの指紋に一致する合成指紋「MasterPrints」を生成する研究成果を発表している。ただし、MasterPrintsは指紋テンプレートの細部を変更することで生成するもので、画像は生成されなかったという。一方、DeepMasterPrintsは本物の指紋画像セットを敵対的生成ネットワーク(GAN)に学習させ、潜在変数進化(LVE)を用いて一致する指紋の数を最大にしたもので、外見は普通の指紋画像に似ており、より多くの指紋に一致するとのこと。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | 人工知能 | Transmeta | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
指紋認証での課金登録にご注意を 2018年06月04日
Android端末メーカー、顔認識は開発コストが高いとして指紋認証システムを強化する方針 2018年03月30日
iPhone XのFace IDは人間の目とブラックオリーブを区別できない? 2017年11月18日
Chaos Computer Club、Galaxy S8の虹彩認証を突破 2017年05月27日
ピースサインの写真から指紋情報が流出する恐れ? 2017年01月11日
指紋認証突破用の「指」を3Dプリンターで作成していたミシガン州立大学、結局2Dプリントで認証突破 2016年08月05日
ミシガン州立大の研究者、指紋認証を突破するための「指」を3Dプリンターで作成中 2016年07月24日
インクジェットプリンタで印刷した指紋でスマホの指紋認証を突破 2016年03月10日
Chaos Computer Club、iPhone 5sの指紋認証を突破 2013年09月23日

米裁判所、ベリーズでの殺人事件についてジョン・マカフィー氏の法的責任を認める

米国のフロリダ中部地区連邦地裁は14日、ベリーズで2012年に米国人男性が殺害された事件について、ジョン・マカフィー氏に法的責任があるとの判断を示した(裁判所文書: PDFThe Registerの記事)。

この事件は2012年11月、ベリーズに住んでいた米国籍の男性が頭部に銃弾を受けて死亡しているのを清掃に来たハウスキーパーが発見したというもの。男性は当時隣の家に住んでいたマカフィー氏の迷惑行為に対する訴状を提出していたこともあり、マカフィー氏は事件の重要参考人だった。しかし、地元警察による事情聴取が行われる前にマカフィー氏は出国してしまう。これにより捜査は行き詰る一方で、男性の相続人がマカフィー氏を相手取った民事訴訟を米国で提起していた。

The Registerによると、マカフィー氏は弁護士も雇わず、法廷に一切顔を見せなかったようで、原告は法的責任に関する懈怠判決と損害額に関する陪審員裁判を請求していた。審理を担当するGregory Presnell判事は懈怠判決の請求については認めたが、このような状況で連邦法は陪審員裁判を必要としないとして、来年1月10日に裁判官による審理で損害額を確定するよう命じている。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | スラッシュバック | アメリカ合衆国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは? 2016年03月05日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日
John McAfee 氏、殺人容疑で指名手配 2012年11月13日

自己暗号化SSDの中にはパスワードを知らなくてもデータを復元できる製品があるという研究結果

ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事ラドバウド大学によるアドバイザリ: PDF論文ドラフト: PDFThe Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | ソフトウェア | 暗号 | ストレージ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「コールドブート攻撃」への対策機能を無効化する手法が発見される 2018年09月19日
新MacBook Pro、ロジックボードが故障するとSSDのデータを救出できない可能性 2018年07月27日
Windows 10の新たな脆弱性、アップデート時にキーを押すだけで暗号解除と管理者権限取得が可能に 2016年12月05日
ファームウェアを狙うマルウェア、攻撃者にとっての利点は 2015年03月24日
東芝、取り外すとデータが読み出せなくなる HDD を開発 2010年08月12日
暗号化ストレージに関する標準仕様が策定される 2009年01月30日
DRAMに残った情報からディスクエンクリプションを解く 2008年02月23日

StatCounterへのサイバー攻撃でビットコインを盗むコードが暗号通貨取引サイトに埋め込まれる

世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事Gate.ioの発表The Registerの記事Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterのトラッキングコードを使用するサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。悪意あるコードは既にcounter.jsから削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。

すべて読む | セキュリティセクション | セキュリティ | 統計 | インターネット | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
アジアでWindows 10のシェアがWindows 7を超える 2018年11月04日
仮想通貨取引所Zaif、不正アクセスで約67億円相当の仮想通貨を流出させる 2018年09月21日
ビットコインゴールド(BTG)で51%攻撃が行われる。約20億円の損失が発生 2018年06月04日
コインチェックの仮想通貨流出事件、犯人らによる偽アカウントは同社社員と半年以上前から交流を持っていた 2018年05月15日
コインチェックから流出したNEMの追跡打ち切り、犯人らはすでに匿名で換金済みか 2018年03月22日
仮想通貨を不正に入手するトロイの木馬を作った高校生が逮捕される 2018年02月01日
仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 2018年01月29日
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
仮想通貨マイニングプール「NiceHash」、システムが乗っ取られ約76億円相当のビットコインが盗まれる 2017年12月11日
香港のビットコイン取引所が攻撃され7200万ドル相当のビットコインが盗まれる 2016年08月09日
Mt.Goxからのビットコイン盗難、被害の報告は虚偽だった? 2014年03月31日

Windows 10のUWPアプリ、ユーザーの承認なくファイルシステムへのアクセスが許可されるバグ

Windows 10では、ユーザーの承認なくUWPアプリにファイルシステムへのアクセスを許可してしまうバグがあるそうだ(Bleeping Computerの記事On MSFTの記事)。

UWPアプリではアクセス可能なファイルシステム上の場所が制限されており、既定ではアプリのインストールフォルダーやデータフォルダー、一時フォルダー内のファイルやフォルダーにのみアクセスできる。ほかの場所にアクセスするにはファイルピッカーを使用するか、アプリのマニフェストで宣言する必要がある。

マニフェストでは「DocumentsLibrary」や「MusicLibrary」のようにライブラリフォルダーへのアクセスを指定するほか、「broadFileSystemAccess」でユーザーがアクセス権を持つすべての場所へのアクセスを指定することも可能だ。しかし、broadFileSystemAccessを宣言した場合、最初の実行時にシステムがユーザーにアクセスを許可するかどうか要求することになっているが、実際には何も表示されないままアクセスが可能になってしまうのだという。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft Store、Windows 8.xアプリの新規受付を10月末で終了 2018年08月23日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
LibreOfficeがMicrosoft Storeに登場、ただし…… 2018年07月26日
Google ChromeのインストーラをダウンロードするアプリがMicrosoft Storeに登場、その後削除される 2017年12月21日

Windowsのゼロデイ脆弱性が再びTwitterで公表される

Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事Ars Technicaの記事On MSFTの記事PoC)。

今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。

ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。

なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日

プライバシーとセキュリティを念頭に置いたFacebookの新デバイス、データはターゲティング広告に

Facebookは8日に発表したビデオコミュニケーションデバイス「Potral」について、プライバシーとセキュリティを念頭に置いて作ったと主張しているが、それでもユーザーのデータは収集してターゲティング広告に使用するという(Recodeの記事The Vergeの記事Android Policeの記事)。

Portalのマーケティングを率いるDave Kaufman氏はRecodeのKurt Wagner氏に対し、通話ログやアプリ利用状況などPortalが収集する一切のデータをターゲティング広告に使用することはない、と説明していたが、その説明は誤りだったそうだ。

後日Facebookの広報担当者がRecodeに電子メールで伝えたところによると、Portalの通話機能はMessengerのインフラストラクチャー上に構築されているため、通話ログはMessengerを実行する他のデバイスと同様に収集されるのだという。通話ログに加え、アプリ利用状況などPortalで収集されるデータは、Facebookのプラットフォーム上で広告を表示するための情報として使われるとのこと。

これについて製品担当VPでPortalの責任者を務めるRafa Camargo氏は、不正確な情報を提供したことをWagner氏に電話で謝罪。技術的にデータを広告ターゲティングに利用可能であっても、実際に使われることは知らなかったという。Portal自体は広告を表示しないため、Portalチームではデータをターゲティングに使用する計画はなく、それが混乱の原因になったとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 通信 | YRO | Facebook | 広告 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebook、アクセストークン不正取得問題で被害状況を確認可能なヘルプページを公開 2018年10月16日
WhatsAppの創設者、WhatsAppをFacebookに売ったことを後悔していると発言 2018年10月01日
Facebook、テレビCMに反応してスマホに周囲の音を録音・送信させテレビ視聴状況を分析する特許を出願 2018年07月02日
Facebook、閲覧者のマウス操作や周囲のデバイスなどを含むさまざまな情報収集を認める 2018年06月19日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
「Facebookはすべてを知っている」のか 2018年04月04日
Facebook、Androidユーザーからの通話/SMS履歴収集はオプトインによるものだと主張 2018年03月29日
Facebook、Brexitキャンペーンや米大統領選の結果に大きな影響を与えたとされる企業のアカウントを停止 2018年03月21日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日

在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む)

英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事The Gateway Punditの記事The Guardianの記事The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。

すべて読む | セキュリティセクション | 検閲 | セキュリティ | 通信 | 政治 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaks創設者のジュリアン・アサンジ氏の生存が確認される 2016年12月02日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
WikiLeaks、公式ショップオープン 2011年02月26日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
WIkileaksの創設者が投獄されるか死亡すると公開される「情報の核爆弾」 2010年12月12日
WikiLeaks問題、支持者がサイバー攻撃 2010年12月09日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日
Wikileaks、Amazonから締め出されDNSサーバーも停止。アサンジュ氏は逮捕間近? 2010年12月03日

採掘できない暗号通貨にも対応する偽採掘アプリ

採掘のできない暗号通貨を含むAndroid向けの偽採掘アプリが多数発見されたとして、Fortinetが注意喚起している(Fortinetのブログ記事Softpediaの記事)。

膨大な計算が必要となる暗号通貨取引等の検証に協力することで報酬を得る採掘(マイニング)は、消費電力増大やWebサイトへのスクリプト埋め込みなどが話題になることも多い。ただし、暗号通貨の中にはRipple(XRP)やTether(USDT)のように採掘の仕組みを用意していないものもあり、こういった暗号通貨への対応をうたう採掘アプリは確実に偽物だ。Rippleの偽採掘アプリはESETが2月にGoogle Playで公開されているのを発見・報告しているが、今回の偽採掘アプリはGoogle Play以外でAPKを配布する、いわゆる野良アプリらしい。

偽採掘アプリの画面には、採掘した暗号通貨の金額とハッシュ値の計算速度表示、「START」ボタンが配置されている。STARTを押すと現在の計算速度が表示されるのだが、数字は単に乱数を生成して表示しているだけだという。また、暗号通貨の採掘量は関数が実行されるたびに一定の数値を加算するだけのようだ。メニューには採掘した暗号通貨を引き出すオプションも用意されているが、確認画面で「Yes」を選ぶとワレットのアドレスが正しくないといったエラーメッセージが必ず表示され、決して引き出すことはできない。

このアプリの開発者「lovecoin」は暗号通貨の名前部分を入れ替えた同様のアプリを複数公開しているという。アプリには広告を表示するコードが含まれており、広告収入を得ることが目的とみられる。そのため、Fortinetではこれらのアプリについて、ユーザーをだましてアドウェアをダウンロードさせるものだと述べている。

すべて読む | セキュリティセクション | セキュリティ | spam | 広告 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
バックグラウンドで秘密裏に仮想通貨のマイニングを実行するゲームが見つかる 2018年08月03日
Google Playで暗号通貨採掘アプリが禁止される 2018年07月29日
Apple、絵文字の使用や暗号通貨採掘の規定などを明記したApp Store審査ガイドライン改定 2018年06月09日
Ubuntu向けのパッケージ配信サービスでマイニングコード入りのパッケージが配信される 2018年05月16日
プレミアム機能と引き換えに暗号通貨を採掘する無料アプリがMac App Storeで公開されていた 2018年03月16日
仮想通貨の採掘をバックグラウンドで行うツールを同梱するフリーウェアが登場 2018年03月14日
アイスランドでは仮想通貨採掘に消費される電力量が家庭の消費量を超える見込みに 2018年02月15日
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日

Windows 10 Creators Updateのサポートが終了

Windows 10 バージョン1703(Creators Update) Home/Proエディションのサポートが10月9日で終了した(WindowsライフサイクルのファクトシートComputerworldの記事Softpediaの記事Neowinの記事)。

Windows 10 バージョン1703のHome/Proエディションに対する更新プログラム提供は、9日にリリースされたKB4462937(OSビルド 15063.1387)が最後となる。一方、Enterprise/Educationエディションは2019年10月までバージョン1703のサポートが続く。また、Windows 10 Mobile バージョン1703は2019年6月までサポートされることになっている。

ただし、2016年8月にリリースされたWindows 10 Mobile バージョン1607(Anniversary Update)のサポートも10月9日で終了となっているが、こちらは4月の更新プログラムKB4093119(OSビルド 14393.2189)を最後に更新プログラムは提供されていないようだ。Home/Proエディションではバージョン1607のサポートが4月に終了しており、これに合わせて終了してしまった感じにも見える。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 MobileのInsider Programは終わるのか 2017年11月28日
Windows 10 バージョン1511のサポート期間が6か月延長 2017年11月18日
Microsoft、Windows 10のサービスモデル変更を発表 2017年07月29日
Windows 10 バージョン1507のサポートが終了 2017年05月11日
4月11日、Windows Vistaがサポート終了を迎える 2017年04月13日
Windows 10 RTMは3月26日でサービス終了 2017年01月23日
Windows 10 Anniversary UpdateがCurrent Branch for Businessに 2016年12月04日

Apple T2チップを搭載したMac、サードパーティー修理業者や個人での修理が困難になる可能性

Mac RumorsやMotherboardが入手したAppleの内部文書によると、Apple T2チップを搭載したMacコンピューターでは、特定の部品を交換した場合に専用の診断プログラムを実行しなければシステムが使用できなくなると記載されているそうだ(Mac Rumorsの記事Motherboardの記事)。

現在のところT2チップを搭載しているのはiMac Proと2018年モデルのMacBook Pro。T2チップにはセキュアブートやストレージ暗号化、Touch IDの認証に用いられるSecure Enclaveコプロセッサが搭載されているほか、従来は独立したコンポーネントだったシステム管理コントローラや画像信号プロセッサ、オーディオコントローラ、SSDコントローラなどが統合されている。

そのため、特定の部品を修理した場合、Apple Service Toolkit 2 (AST 2)と呼ばれる診断プログラムを実行して診断を行わない限り修理は完了せず、システムが使用不能になるとのこと。iMac Proの場合はロジックボードやフラッシュストレージ、2018年モデルのMacBook Proの場合はディスプレイやロジックボード、Touch ID、トップケース(キーボードやトラックパッド、バッテリーなどを含む)が該当する。

すべて読む | アップルセクション | 検閲 | ハードウェア | セキュリティ | ノートPC | ハードウェアハック | アップル | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
新MacBook Pro、ロジックボードが故障するとSSDのデータを救出できない可能性 2018年07月27日
iPhone 7/7 Plusの一部でiOS 11.3以降にアップデートするとマイクが使用できなくなる問題が確認される 2018年05月08日
iOS 11.3、非純正ディスプレイに交換したiPhone 8のタッチスクリーンが機能しなくなる問題 2018年04月14日
米FTC、指定のパーツやサービスの使用を要件とする保証規定は違法だと大手6社に警告 2018年04月13日
米国・カリフォルニア州でも「修理する権利」法制化の動き 2018年03月11日
バッテリーの取り外しを困難にすることを禁じる米ワシントン州の「修理する権利」法案 2018年01月30日
iPhoneのバッテリー問題を受け、米国で勢いを増す「修理する権利」法制化の動き 2018年01月23日
Apple、同社製品の修理をサードパーティにも認める方向で譲歩中? 2017年06月22日
トラクターの修理問題がきっかけで修理の自由問題が注目を浴びる 2017年04月15日
米国で「修理する権利」法制化の動き、複数の州に広がる 2017年02月18日
iOSのアップデートで発生するエラー53の原因は? 2016年02月06日