PC」カテゴリーアーカイブ

流出したクレジットカード番号がPayPay経由で使われる懸念

「20%還元キャンペーン」が話題になったキャッシュレス決済サービスPayPayだが、第三者が不正に入手した他人のクレジットカード番号をPayPayに紐付けて不正利用するという被害が出ているという(情報科学屋さんを目指す人のメモITmedia)。

PayPayアプリでのクレジットカードの登録時にはカード番号および有効期限、セキュリティコードの登録が必要となるが、セキュリティコードを間違えてもロックなどの対応が行われないため、総当たり的な攻撃で不正に登録ができてしまう可能性があるとの指摘がある。あるAnonymous Coward曰く、

セキュリティコードを何度間違えてもロックがかからないということは、カード番号も自動生成で総当たりできるということ。例えばvisaならば前6桁は発行元により固定で、生成するカード番号は残り9桁となる(残り1桁はチェックディジット。ロック機構が無ければこれも無意味)。つまり9×60(有効期限5年×12)×999の約53万回、チェックディジットを含めても530万回の試行で他人のカードが登録できてしまう。

PCや今のスマホでも一日あれば突破できてしまうが、これからどうなるのだろうか。

すべて読む | セキュリティセクション | セキュリティ | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
キャッシュレス決済サービスPayPay、「20%還元キャンペーン」開始で利用者が集中し不具合が発生 2018年12月06日
ICチップ搭載クレカでも不正利用は止められない 2018年11月14日
無料のスマホゲームを利用して盗難クレジットカードでの資金洗浄が行われていた 2018年07月23日
三井住友カード、パスコードを入力しないと使えないクレジットカードを発表 2018年01月10日

2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に

nemui4曰く、

パスワードマネージャサービスを手がけるSplashdataが、「2018年最も悪いパスワードトップ100」を発表した(100~50位49~1位)。

トップ50は以下の通り。"!@#$%^&*"って英語キーボードの並び? 日本の"くぁzwsx"みたいなのかな。

  • #01 123456
  • #02 password
  • #03 123456789
  • #04 12345678
  • #05 12345
  • #06 111111
  • #07 1234567
  • #08 sunshine
  • #09 qwerty
  • #10 iloveyou

すべて読む | セキュリティセクション | セキュリティ | 変なモノ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
「大文字小文字が必須です」はパスワードを脆弱にする 2018年12月07日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日

PayPay、『クレカ不正利用』で対策 セキュリティーコード入力に上限 – Engadget 日本版

PayPay、『クレカ不正利用』で対策 セキュリティーコード入力に上限 - Engadget 日本版

PayPay、『クレカ不正利用』で対策 セキュリティーコード入力に上限 - Engadget 日本版

スマホ決済「PayPay」でクレジットカードの不正利用が報告されている問題で、PayPay側が対策を発表しました。 PayPayを巡っては、100億円キャンペーンで世間が熱狂した一方、『利用した覚えのないPayPayからの請求がクレジットカードに来た』という報告があり、PayPay側も注意喚起していました。 この件について広報担当...

はてなブックマーク - PayPay、『クレカ不正利用』で対策 セキュリティーコード入力に上限 - Engadget 日本版 はてなブックマークに追加

PayPayの「クレジットカード不正利用」はなぜ起きたのか? – ITmedia Mobile

PayPayの「クレジットカード不正利用」はなぜ起きたのか? - ITmedia Mobile

PayPayの「クレジットカード不正利用」はなぜ起きたのか? - ITmedia Mobile

PayPayを経由したクレジットカードの不正利用が起きている。PayPayはアプリのレシートを見るか、カード会社に連絡をするよう呼び掛けている。なぜ不正利用が起きたのか? PayPayが、コード決済サービス「PayPay」から身に覚えのない請求が発生した際の対応について、注意喚起を行っている。 PayPayは、身に覚えのないPay...

はてなブックマーク - PayPayの「クレジットカード不正利用」はなぜ起きたのか? - ITmedia Mobile はてなブックマークに追加

実はPayPay、送金相手の携帯番号さえわかればお金を送ることが可能!ただ送金時にパスワード入力が不要なのは激しく心配です。 – クレジットカードの読みもの

実はPayPay、送金相手の携帯番号さえわかればお金を送ることが可能!ただ送金時にパスワード入力が不要なのは激しく心配です。 - クレジットカードの読みもの

実はPayPay、送金相手の携帯番号さえわかればお金を送ることが可能!ただ送金時にパスワード入力が不要なのは激しく心配です。 - クレジットカードの読みもの

100億円あげちゃうキャンペーンで話題になった、スマホ決済のPayPay(ペイペイ)。 このPayPayのアプリをいじくって遊んでいたら、あまり知られていない面白い送金機能を発見したので、今回はその件について記事にさせてもらおうと思います。 PayPayの送金機能について: 携帯番号さえわかれば送金できるPayPay: 電話番...

はてなブックマーク - 実はPayPay、送金相手の携帯番号さえわかればお金を送ることが可能!ただ送金時にパスワード入力が不要なのは激しく心配です。 - クレジットカードの読みもの はてなブックマークに追加

“余計なもの”って何? 「Mate 20 Pro」の疑惑を晴らす (1/3) – EE Times Japan

“余計なもの”って何? 「Mate 20 Pro」の疑惑を晴らす (1/3) - EE Times Japan

“余計なもの”って何? 「Mate 20 Pro」の疑惑を晴らす (1/3) - EE Times Japan

製品分解で探るアジアの新トレンド(34):“余計なもの”って何? 「Mate 20 Pro」の疑惑を晴らす (1/3) Huaweiの2018年におけるフラグシップ機「Mate 20 Pro」。この機種には、“余計なもの”が搭載されているとのうわさもある。本当にそうなのだろうか。いつものように分解し、徹底的に検証してみた。 弊社(テカナリエ...

はてなブックマーク - “余計なもの”って何? 「Mate 20 Pro」の疑惑を晴らす (1/3) - EE Times Japan はてなブックマークに追加

「SQLite」データベースに脆弱性–「Chromium」ベースのブラウザにも影響 – ZDNet Japan

「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響 - ZDNet Japan

「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響 - ZDNet Japan

広く普及している「SQLite」データベースエンジンにセキュリティ上の脆弱性が発見された。この脆弱性により、膨大な数のデスクトップアプリやモバイルアプリがリスクにさらされているという。 TencentのBladeセキュリティチームによって発見されたこの脆弱性が悪用された場合、被害者のコンピュータ上において悪意のある...

はてなブックマーク - 「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響 - ZDNet Japan はてなブックマークに追加

FTP、FTPS、SFTP、SCPの違いってなんなんだ? | 東京上野のWeb制作会社LIG

FTP、FTPS、SFTP、SCPの違いってなんなんだ? | 東京上野のWeb制作会社LIG

FTP、FTPS、SFTP、SCPの違いってなんなんだ? | 東京上野のWeb制作会社LIG

ども!LIGでWebディレクターをやっていますZIMAです。 先日、上司から「FTP、FTPS、SFTP、SCPの違いについてZIMAは説明できる?」と聞かれました。その返答の途中、 「いやいや、待ってくださいよ。そんなの僕だって〜わっかりま……(あれ?FTP、FTPSは理解しているつもりだけど、SFTP、SCPについては、謎だ!)」 と、途...

はてなブックマーク - FTP、FTPS、SFTP、SCPの違いってなんなんだ? | 東京上野のWeb制作会社LIG はてなブックマークに追加

PayPayクレカ無限登録事件に見る決済の闇について – novtanの日常

PayPayクレカ無限登録事件に見る決済の闇について - novtanの日常

PayPayクレカ無限登録事件に見る決済の闇について - novtanの日常

そもそも、クレカ登録する必要あるならクレカ自体が100億円キャンペーンやればよかったんじゃね?(天才 タイトル詐欺ですが別に闇については大して書いてません。 どうもここ最近、政府筋の話(消費税還元のあれとか)を含めて決済高度化(とあえていっておく)の導入が性急に過ぎる気がしています。大体の人が口をそろ...

はてなブックマーク - PayPayクレカ無限登録事件に見る決済の闇について - novtanの日常 はてなブックマークに追加

3Dプリンターで作った石膏の「顔」でスマホの顔認証は突破される危険性あり – GIGAZINE

3Dプリンターで作った石膏の「顔」でスマホの顔認証は突破される危険性あり - GIGAZINE

3Dプリンターで作った石膏の「顔」でスマホの顔認証は突破される危険性あり - GIGAZINE

スマートフォンのロック画面の解除には、従来の指紋認証に代わってAppleの「Face ID」などのように顔認証を利用するものが増えてきました。しかし、顔認証機能の安全性に関して、3Dプリンターで出力した「顔」を使ってロック解除できる危険性が指摘されています。 We Broke Into A Bunch Of Android Phones With A 3D-Pr...

はてなブックマーク - 3Dプリンターで作った石膏の「顔」でスマホの顔認証は突破される危険性あり - GIGAZINE はてなブックマークに追加

自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ – @IT

自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ - @IT

自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ - @IT

40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。今回は魔王を防御側の組織の長に、主人公を攻撃者に例えた内容を記したい。 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載「RPGに学ぶセキュリティ」。第1章は「レベルアップ」...

はてなブックマーク - 自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ - @IT はてなブックマークに追加

ヨドバシ・ドット・コムではセキュリティコードを間違えてもお買い物ができてしまうらしい – Togetter

ヨドバシ・ドット・コムではセキュリティコードを間違えてもお買い物ができてしまうらしい - Togetter

ヨドバシ・ドット・コムではセキュリティコードを間違えてもお買い物ができてしまうらしい - Togetter

PayPayのクレカの不正利用問題でセキュリティコード総当たりできるのはPayPay固有の問題みたいな言い方してるからヨドバシでセキュリティコード000にしたら試したらもっと大変なことが起きたぞ 総当たりとか以前の問題やないか pic.twitter.com/ND3mFn6y0w

はてなブックマーク - ヨドバシ・ドット・コムではセキュリティコードを間違えてもお買い物ができてしまうらしい - Togetter はてなブックマークに追加

Facebookストーリーの写真、無許可でサードパーティアプリがアクセス可能に 680万人に影響 – ITmedia NEWS

Facebookストーリーの写真、無許可でサードパーティアプリがアクセス可能に 680万人に影響 - ITmedia NEWS

Facebookストーリーの写真、無許可でサードパーティアプリがアクセス可能に 680万人に影響 - ITmedia NEWS

FacebookのAPIのバグで、ユーザーが許可していない写真にサードパーティ製アプリがアクセスできていた。バグは9月に発見・修正された。ユーザー680万人が影響を受けた可能性があり、ユーザーは影響の有無をヘルプページで確認できる。 米Facebookは12月14日(現地時間)、ユーザーが許可していない写真にサードパーティ...

はてなブックマーク - Facebookストーリーの写真、無許可でサードパーティアプリがアクセス可能に 680万人に影響 - ITmedia NEWS はてなブックマークに追加

アカウント削除機能に意味はない – Qiita

アカウント削除機能に意味はない - Qiita

アカウント削除機能に意味はない - Qiita

Webサービスでアカウント削除機能を要求するユーザの話はよく聞くわけですが、これには残念ながら全く意味が無いと、1Webエンジニアであるぼくは思っているのですが、その理由をだらだらと書いてみようと重います。非エンジニアでも分かるように書いたつもりですが、作者が特にそういう能力に秀でているわけでもないので...

はてなブックマーク - アカウント削除機能に意味はない - Qiita はてなブックマークに追加

PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も – ねとらぼ

PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も - ねとらぼ

PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も - ねとらぼ

決済サービス「PayPay」が、クレジットカードに身に覚えのない請求があった場合の注意喚起を行っています。 PayPayの利用について、クレジットカード会社から身に覚えのない利用を尋ねられたり、数十万円単位の「不審な利用」があったとの連絡を受けたとの報告がSNS等で上がっていることに関連し、PayPayの運営会社は次...

はてなブックマーク - PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も - ねとらぼ はてなブックマークに追加

Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」 – CIOニュース:CIO Magazine

Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」 - CIOニュース:CIO Magazine

Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」 - CIOニュース:CIO Magazine

分散処理を活用することで高速化できる作業はいろいろあるが、クレジットカード詐欺もその1つであることが分かった。英ニューカッスル大学の研究チームが、多数のeコマースサイトに対する分散処理でカード情報を割り出す手法を考案し、調査結果を論文として発表した。 eコマースサイトの決済でクレジットカードを使う時...

はてなブックマーク - Visaカードの有効期限やセキュリティコードを数秒で割り出す「分散型推測攻撃」 - CIOニュース:CIO Magazine はてなブックマークに追加

ファーウェイ、「余計なものが見つかった」フジ報道を否定 – Engadget 日本版

ファーウェイ、「余計なものが見つかった」フジ報道を否定 - Engadget 日本版

ファーウェイ、「余計なものが見つかった」フジ報道を否定 - Engadget 日本版

11月、「米国が同盟国へ、ファーウェイ製品を使用の中止を勧告した」という報道に端を発したファーウェイを巡る問題。ファーウェイ製品が中国のスパイ活動の踏み台となることを懸念した米国の思惑もあり、12月頭にはファーウェイの最高財務責任者(CFO)の逮捕につながるなど、米中は関連各国を巻き込んだ緊張状態に入り...

はてなブックマーク - ファーウェイ、「余計なものが見つかった」フジ報道を否定 - Engadget 日本版 はてなブックマークに追加

Arel.sqlを付けるだけじゃダメ!? Railsで"Dangerous query method …”の警告が出たときの対応方法 – Qiita

Arel.sqlを付けるだけじゃダメ!? Railsで"Dangerous query method …”の警告が出たときの対応方法 - Qiita

Arel.sqlを付けるだけじゃダメ!? Railsで"Dangerous query method …”の警告が出たときの対応方法 - Qiita

Arel.sqlを付けるだけじゃダメ!? Railsで"Dangerous query method …”の警告が出たときの対応方法 TL; DR(長いので最初に結論) この記事で言いたいことはこちらです ↓ Rails 5.2で"Dangerous query method ..."の警告が出たからといって、機械的にArel.sqlを適用してはいけません。 警告が出たらまず、該当したコードに...

はてなブックマーク - Arel.sqlを付けるだけじゃダメ!? Railsで"Dangerous query method …”の警告が出たときの対応方法 - Qiita はてなブックマークに追加

Real-Time Attacks Against Two-Factor Authentication – Schneier on Security

Real-Time Attacks Against Two-Factor Authentication - Schneier on Security

Real-Time Attacks Against Two-Factor Authentication - Schneier on Security

Attackers are targeting two-factor authentication systems: Attackers working on behalf of the Iranian government collected detailed information on targets and used that knowledge to write spear-phishing emails that were tailored to the targets' level of operational security, researchers with secu...

はてなブックマーク - Real-Time Attacks Against Two-Factor Authentication - Schneier on Security はてなブックマークに追加

「住民票の写し」など取り違え、別人に誤郵送 住信SBIネット銀行が謝罪 – ITmedia NEWS

「住民票の写し」など取り違え、別人に誤郵送 住信SBIネット銀行が謝罪 - ITmedia NEWS

「住民票の写し」など取り違え、別人に誤郵送 住信SBIネット銀行が謝罪 - ITmedia NEWS

口座開設を申し込んだ2人の顧客の書類を返却する際、別人に誤って郵送したとして、住信SBIネット銀行が謝罪。 住信SBIネット銀行は12月14日、口座開設を申し込んだ2人の顧客の書類を返却する際、別人に誤って郵送したと発表した。互いの住民票の写しなどを取り違えて送り、住所、氏名、性別、生年月日が漏えいした。 13...

はてなブックマーク - 「住民票の写し」など取り違え、別人に誤郵送 住信SBIネット銀行が謝罪 - ITmedia NEWS はてなブックマークに追加

PayPayの不正利用、Paypayが一応「対処法」を掲載。原因はクレジットカードのザル登録・認証システムか

PayPayの不正利用、Paypayが一応「対処法」を掲載。原因はクレジットカードのザル登録・認証システムか

PayPayの不正利用、Paypayが一応「対処法」を掲載。原因はクレジットカードのザル登録・認証システムか

昨日から急増している(いた)電子決済サービス、PayPay経由でのクレッジットカード不正利用の被害。 Twitterなどを中心におびただしい数の被害報告があがっており、金額も数万円から数十万円、ときには100万近く不正使用されていたというケースも報告されています。 この一連の問題、もちろん悪いのは不正利用をした人...

はてなブックマーク - PayPayの不正利用、Paypayが一応「対処法」を掲載。原因はクレジットカードのザル登録・認証システムか はてなブックマークに追加

安全なWebアプリケーションの作り方2018

安全なWebアプリケーションの作り方2018

安全なWebアプリケーションの作り方2018

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ...

はてなブックマーク - 安全なWebアプリケーションの作り方2018 はてなブックマークに追加

PayPayで約50万円のクレカ不正利用の被害に遭いました【原因と対策】

PayPayで約50万円のクレカ不正利用の被害に遭いました【原因と対策】

PayPayで約50万円のクレカ不正利用の被害に遭いました【原因と対策】

PayPayの不正利用の原因は?PayPayの不正利用の対策方法を知りたいPayPayの不正利用に遭ったらどういう手続きを取ればいい? PayPayで約50万円の不正利用の被害に遭いました 2018年12月11日〜14日にかけてtwitterでなにやらPayPayの不正利用に関する不穏なツイートをたくさん見かけました。 PayPay 経由で僕のクレジット...

はてなブックマーク - PayPayで約50万円のクレカ不正利用の被害に遭いました【原因と対策】 はてなブックマークに追加

製品のセキュリティ上の懸念に関する根拠のない報道について – Huawei Japan

製品のセキュリティ上の懸念に関する根拠のない報道について - Huawei Japan

製品のセキュリティ上の懸念に関する根拠のない報道について - Huawei Japan

Australia - English Belarus - Pусский Brazil - Portuguese Canada - English China - 简体中文 Germany - Deutsch Japan - 日本語 Kazakstan - русский Malaysia - English Mexico - Español Myanmar - ျမန္မာ Russia - русский South Africa - English Spain - Español Switzerland - English Thailand - ภาษาไทย Tu...

はてなブックマーク - 製品のセキュリティ上の懸念に関する根拠のない報道について - Huawei Japan はてなブックマークに追加

製品のセキュリティ上の懸念に関する根拠のない報道について

製品のセキュリティ上の懸念に関する根拠のない報道について

製品のセキュリティ上の懸念に関する根拠のない報道について

Australia - English Belarus - Pусский Brazil - Portuguese Canada - English China - 简体中文 Germany - Deutsch Japan - 日本語 Kazakstan - русский Malaysia - English Mexico - Español Myanmar - ျမန္မာ Russia - русский South Africa - English Spain - Español Switzerland - English Thailand - ภาษาไทย Tu...

はてなブックマーク - 製品のセキュリティ上の懸念に関する根拠のない報道について はてなブックマークに追加

安全なWebアプリケーションの作り方2018 – slideshare

安全なWebアプリケーションの作り方2018 - slideshare

安全なWebアプリケーションの作り方2018 - slideshare

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ...

はてなブックマーク - 安全なWebアプリケーションの作り方2018 - slideshare はてなブックマークに追加

SunshinePHP 2019

In February 2019 come to Miami, Florida and escape the cold to learn more about PHP and speak with other developers, like you, to see what others are doing. The SunshinePHP 2019 speaker list has been announced, and we've assembled a great line-up with the most current PHP related topics for you.

Topics include:

  • API Development
  • Middleware
  • Security
  • Blockchain
  • DevOps
  • Progressive Web Apps (PWA)
  • Continuous Delivery
  • Databases
  • Javascript
  • PHP Core
  • Unit Testing
  • UI/UX
  • Async PHP
  • Scalability
  • Team Development

Come celebrate our 7th year from February 7th to 9th, 2019 in sunny Miami, Florida. There will be a full tutorial day featuring 3-hour sessions followed by 2 days of 1-hour talks and inspirational keynotes.

Register now! SunshinePHP.com

Ruby 2.6.0-rc2 Released

Ruby 2.6.0に向けた二番目のリリース候補である、Ruby 2.6.0-rc2がリリースされました。

Ruby 2.6.0-rc2 は添付する Bundler のバージョンを 2.0 から 1.17 にダウングレードしています。

JIT

Ruby 2.6ではJIT (Just-in-time) コンパイラが導入されました。

JITコンパイラはあらゆるRubyプログラムの実行を高速化することを目的としています。 他言語の一般的なJITコンパイラと異なり、RubyのJITコンパイラはC言語のソースコードをファイルとしてディスクに書き、通常のCコンパイラを用いてネイティブコードに変換することでJITコンパイルを行うという手法を用いています。(参考: MJIT organization by Vladimir Makarov)

JITコンパイルを有効にするには --jit オプションをコマンドラインまたは$RUBYOPT環境変数を指定します。--jit-verbose=1を指定すれば指定すれば実行中のJITコンパイルの基本的な情報を表示します。その他のオプションについては ruby --help を参照ください。

今回のリリースはこのJITコンパイル機能を皆さんの環境で動作を確認して頂くとともに、セキュリティ上の問題が無いかを早期に確認するために行っています。 現在のJITコンパイラを利用するためには、GCC、Clang、あるいはMicrosoft VC++によってビルドされたRubyでかつ、そのコンパイラが実行時に利用可能である必要があります。

Ruby 2.6.0-rc1の時点で、OptcarrotというCPU負荷中心のベンチマークにおいてRuby 2.5の約1.7倍の性能向上を達成しました。 https://gist.github.com/k0kubun/d7f54d96f8e501bbbc78b927640f4208 Railsアプリケーションなどのメモリ負荷の高い環境における性能は現在改善中です。

引き続き新時代のRubyの実効性能にご期待ください。

RubyVM::AbstractSyntaxTree [Experimental]

Ruby 2.6では RubyVM::AbstractSyntaxTree モジュールが導入されました。

このモジュールには、文字列をパースしてAST(抽象構文木)のNodeを返すparseメソッド、ファイルをパースするparse_fileメソッドが実装されています。 RubyVM::AbstractSyntaxTree::Node も導入されました。このクラスのインスタンスから位置情報や子ノードを取得することができます。この機能はexperimentalです。また、ASTの構造に関する互換性は保証されていません。

新機能

  • Kernel#yield_self の別名として then が追加されました [Feature #14594]

  • rescue 無しの else が文法エラーとなるようになりました [EXPERIMENTAL][Feature #14606]

  • ASCII以外の大文字でも定数を定義出来るようになりました [Feature #13770]

  • 終端なしRange [Feature #12912]

    終端なしRange (1..) が導入されました。これは終端を持ちません。これが典型的な用途です:

    ary[1..]                          # マジックナンバー -1 なしで ary[1..-1] と同じ意味
    (1..).each {|index| ... }         # index が 1 から始まる無限ループ
    ary.zip(1..) {|elem, index| ... } # ary.each.with_index(1) { ... }
    
  • Binding#source_location の追加 [Feature #14230]
    • bindingのソースコード上の位置を __FILE____LINE__ の二要素配列として返します。従来でも eval("[__FILE__, __LINE__]", binding) とすることでこれらの情報は得られましたが、将来的に Kernel#eval はbindingのソースコード行を無視する変更を予定しているため [Bug #4352]、この新しいメソッドを用いることが今後は推奨されます。
  • Kernel#system の失敗時に、falseを返す代わりに例外を上げさせる :exception オプションを追加 [Feature #14386]

  • Coverage の oneshot_lines モードの追加 [Feature#15022]
    • This mode checks “whether each line was executed at least once or not”, instead of “how many times each line was executed”. A hook for each line is fired at most once, and after it is fired the hook flag is removed, i.e., it runs with zero overhead.
    • Add :oneshot_lines keyword argument to Coverage.start.
    • Add :stop and :clear keyword arguments to Coverage.result. If clear is true, it clears the counters to zero. If stop is true, it disables coverage measurement.
    • Coverage.line_stub, which is a simple helper function that creates the “stub” of line coverage from a given source code.
  • FileUtils#cp_lr. [Feature #4189]

パフォーマンスの改善

  • 後述の$SAFEの変更に伴って考慮すべきことが減ったため、Proc#callが高速化されました [Feature #14318] Proc#call を大量に呼び出す lc_fizzbuzz ベンチマークにおいては、1.4倍高速化されています [Bug #10212]
  • block がブロックパラメータである時、block.callが高速化されました [Feature #14330] Ruby 2.5ではブロック渡しの性能が改善されましたが [Feature #14045]、加えてRuby 2.6では渡されたブロックの呼び出しも改善されました。 マイクロベンチマークにおいては2.6倍高速化されています。
  • Transient Heap (theap) is introduced. [Bug #14858] [Feature #14989] theap is managed heap for short-living memory objects which are pointed by specific classes (Array, Hash, Object, and Struct). For example, making small and short-living Hash object is x2 faster. With rdoc benchmark, we observed 6-7% performance improvement.

その他の注目すべき 2.5 からの変更点

  • $SAFE はプロセスグローバルで扱われることになると共に、0以外を設定した後に0に戻せるようになりました [Feature #14250]
  • ERB.newsafe_levelを渡すのは非推奨になりました。また、trim_modeeoutvarはキーワード引数に変更されました。 [Feature #14256]
  • サポートする Unicode のバージョンを 11 に更新しました。Ruby 2.6 では今後の TEENY リリースで、12 そして 12.1 への更新が予定されています。
  • RubyGems 3.0.0.beta3 をマージしました。 --ri--rdoc オプションは使えなくなりました。--document または --no-document を利用してください。
  • Bundler を Default gems として標準添付しました。

その他詳細については、NEWS ファイルまたはコミットログを参照してください。

なお、こうした変更により、Ruby 2.5.0 以降では 6411 個のファイルに変更が加えられ、228864 行の追加と 97600 行の削除が行われました !

みなさんもRuby 2.6.0-rc2で楽しいプログラミングを!

Download

  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.0-rc2.tar.gz

    SIZE:   16723556 bytes
    SHA1:   a4d7f8c8c3584a60fe1a57d03d80162361fe3c78
    SHA256: 9c0245e96379246040f1fd0978f8e447e7f47cdccbdaffdb83302a995276b62b
    SHA512: 789f608f93db6e12835911f3105d9abe2fabb67cd22dc3bafdff38716ac56974925738e7f7788ebef5bdf67b6fd91f84a4ee78a3e5d072cfc8ee0972de737b08
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.0-rc2.zip

    SIZE:   20643747 bytes
    SHA1:   c1a2898949d929dd952880f1c1c2bac2ef2609b4
    SHA256: e8a446cf1f2ffc14483604de0a5e12c2578dd2f672ae87798ca2bbb9b7b73899
    SHA512: 2d06feae13f485f5da59574672b14d03881ed532d652648f94e2435f5d81df623b5ef532b8ba8e0b9bc4ee6baf7c0328a5610eab753a9020a0fea2673254c76c
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.0-rc2.tar.bz2

    SIZE:   14581998 bytes
    SHA1:   94bbee97de4955e67effb7f512c58300617a3a09
    SHA256: b3d03e471e3136f43bb948013d4f4974abb63d478e8ff7ec2741b22750a3ec50
    SHA512: 9bfbe83fd3699b71bae2350801d8c967eb128e79b62a9d36fc0f011b83c53cab28a280939f4cc9f0a28f9bf02dce8eea30866ca4d06480dc44289400abf580ba
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.0-rc2.tar.xz

    SIZE:   11908088 bytes
    SHA1:   13a7f06d832dc28989e3e4321490a6ba528ed023
    SHA256: d620b3d87b3190867304067f3ce77f5305f7ec1b2e73b09c17710c97c028986d
    SHA512: a3dc43c0bc70dfdb9ff0d18b5b9797bbf332524f5d3bbb7940cf4e32286ca715808acfd11ebf3cdbe358a2466b7c6b5be3a7a784af7eb95c071fe1f8b4ab1261
    

Posted by naruse on 15 Dec 2018

移動“貸し切りしない” 皇太子さまが検討(日本テレビ系(NNN)) – Yahoo!ニュース

移動“貸し切りしない” 皇太子さまが検討(日本テレビ系(NNN)) - Yahoo!ニュース

移動“貸し切りしない” 皇太子さまが検討(日本テレビ系(NNN)) - Yahoo!ニュース

皇太子さまが新天皇に即位後、国内移動の新幹線などの貸し切りをやめることも検討されていることが分かった。 来年、皇太子さまが新天皇に即位された後、国内移動の飛行機や新幹線は貸し切りとせず、一般客を乗せることも検討されていることが関係者への取材で分かった。 これまで天皇皇后両陛下の移動では、警備上の理...

はてなブックマーク - 移動“貸し切りしない” 皇太子さまが検討(日本テレビ系(NNN)) - Yahoo!ニュース はてなブックマークに追加

国税庁委託先がマイナンバーなど個人情報70万件漏えい – 毎日新聞

国税庁委託先がマイナンバーなど個人情報70万件漏えい - 毎日新聞

国税庁委託先がマイナンバーなど個人情報70万件漏えい - 毎日新聞

国税庁は14日、東京、大阪両国税局からデータ入力を委託されていた業者が契約に反して別業者に再委託し、マイナンバーなど個人情報が含まれる約70万件の書類を流していたと発表した。 両国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナンバ...

はてなブックマーク - 国税庁委託先がマイナンバーなど個人情報70万件漏えい - 毎日新聞 はてなブックマークに追加

PayPayで「クレジットカードを不正利用された」報告相次ぐ PayPay「情報流出した事実ない」 被害の声はサービス未登録者からも|BIGLOBEニュース

PayPayで「クレジットカードを不正利用された」報告相次ぐ PayPay「情報流出した事実ない」 被害の声はサービス未登録者からも|BIGLOBEニュース

PayPayで「クレジットカードを不正利用された」報告相次ぐ PayPay「情報流出した事実ない」 被害の声はサービス未登録者からも|BIGLOBEニュース

PayPayで「クレジットカードを不正利用された」報告相次ぐ PayPay「情報流出した事実ない」 被害の声はサービス未登録者からも スマートフォン決済サービスの「PayPay」で、見に覚えのないクレジットカード利用があったとの報告がTwitterで相次いでいる。PayPay社に確認したところ、同社から情報が流出した事実はない...

はてなブックマーク - PayPayで「クレジットカードを不正利用された」報告相次ぐ PayPay「情報流出した事実ない」 被害の声はサービス未登録者からも|BIGLOBEニュース はてなブックマークに追加

データ入力、無断で丸投げ=69万件、マイナンバー記載分も-国税庁:時事ドットコム

データ入力、無断で丸投げ=69万件、マイナンバー記載分も-国税庁:時事ドットコム

データ入力、無断で丸投げ=69万件、マイナンバー記載分も-国税庁:時事ドットコム

データ入力、無断で丸投げ=69万件、マイナンバー記載分も-国税庁 2018年12月14日18時12分 国税庁は14日、源泉徴収票などのデータ入力を委託した会社が、国内の別の業者に無断で再委託していたと発表した。再委託されたのは約69万件分で、うち少なくとも約55万人分のマイナンバー(社会保障と税の共通番号)が...

はてなブックマーク - データ入力、無断で丸投げ=69万件、マイナンバー記載分も-国税庁:時事ドットコム はてなブックマークに追加

2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 | スラド セキュリティ

2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 | スラド セキュリティ

2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 | スラド セキュリティ

headless曰く、 パスワードマネージャーサービスのDashlaneは12日、パスワードを正しく使用していない人・団体のランキング「Worst Password Offenders」2018年版を発表した(Dashlane Blog、BetaNews)。 ランキング1位はミュージシャンのカニエ・ウェスト。彼はホワイトハウスでトランプ大統領と会談した際、「0」を連...

はてなブックマーク - 2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 | スラド セキュリティ はてなブックマークに追加

2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省

headless曰く、

パスワードマネージャーサービスのDashlaneは12日、パスワードを正しく使用していない人・団体のランキング「Worst Password Offenders」2018年版を発表した(Dashlane BlogBetaNews)。

ランキング1位はミュージシャンのカニエ・ウェスト。彼はホワイトハウスでトランプ大統領と会談した際、「0」を連打してiPhoneのロックを解除している。この様子を取材に集まっていたTVカメラがとらえ、パスコードが「000000」だと全世界に知られることになった。

ランキング2位は米国防総省。米会計検査院(GAO)が国防総省を監査した際、システムにさまざまな脆弱性が見つかっただけでなく、監査チームが9秒で管理者パスワードを当てたという。さらに、複数の兵器システムのソフトウェアのパスワードがデフォルトのままになっていたとのこと。国防総省は昨年の4位から2ランク上昇している。

3位~10位は以下の通り。

  • (3位)暗号通貨所有者 スラドでは昨年末に話題となったが、パスワードを忘れて使用できなくなるというトラブルが相次いでいる
  • (4位)NutellaWorld Password Dayに投稿したツイート で、パスワードに「Nutella」を設定するよう推奨
  • (5位)英法律事務所:上位500社の企業メールアドレスとパスワードの組み合わせが100万件以上ダークウェブに流出。多くは平文で保存されていたという
  • (6位)米テキサス州:1,400万人以上の有権者情報を保存したサーバーにパスワードを設定せず、インターネットで公開状態になっていた
  • (7位)米ホワイトハウス職員:暗号メールサービスProtonmailのメールアドレスとパスワードをホワイトハウスのメモ用紙にメモし、他の文書と一緒にバス停に置き忘れる
  • (8位)Google:YouTubeの放送衛星とYouTube TVの管理者ページに空のユーザー名とパスワードでログインできる状態だったことが見つかる
  • (9位)国連:TrelloやJira、Google Docsなどでパスワードを設定せずに非公開情報も含むデータを共有していたため、Googleの検索結果からアクセス可能な状態だった
  • (10位)ケンブリッジ大学:Facebookアプリで収集した300万人分以上の個人情報へアクセスするためのパスワードを平文でGitHubに保存していた

すべて読む | セキュリティセクション | セキュリティ | idle | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「大文字小文字が必須です」はパスワードを脆弱にする 2018年12月07日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日
フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 2018年10月16日
ビットコイン長者の悲劇、「パスワード忘れ」 2017年12月30日

「最悪なパスワード」2018年版ランキング発表 トップ2は6年連続で「123456」「password」 「donald」も人気 – ねとらぼ

「最悪なパスワード」2018年版ランキング発表 トップ2は6年連続で「123456」「password」 「donald」も人気 - ねとらぼ

「最悪なパスワード」2018年版ランキング発表 トップ2は6年連続で「123456」「password」 「donald」も人気 - ねとらぼ

パスワード管理サービスを提供する米SplashDataが12月13日(現地時間)、インターネットで漏えいしたパスワードの中でも多用されている「最悪なパスワード」の2018年版ランキングを発表しました。1位は「123456」、2位は「password」と、上位2つは6年連続同じ結果となりました。 なぜ皆使い続けるのか…… ランキングは同...

はてなブックマーク - 「最悪なパスワード」2018年版ランキング発表 トップ2は6年連続で「123456」「password」 「donald」も人気 - ねとらぼ はてなブックマークに追加

PayPayアカウントは削除できない – Engadget 日本版

PayPayアカウントは削除できない - Engadget 日本版

PayPayアカウントは削除できない - Engadget 日本版

「100億円あげちゃうキャンペーン」で話題を呼び、実際に10日間で100億円相当をばらまいて話題となったバーコード決済アプリ「PayPay」。このキャンペーンのためにアカウントを作ったという方も多いのではないでしょうか。このPayPayのアカウントは、現時点では削除できない仕様となっています。 PayPayのヘルプページに...

はてなブックマーク - PayPayアカウントは削除できない - Engadget 日本版 はてなブックマークに追加

PayPayに登録していないクレカで高額不正利用された被害を訴える声多数…PayPayのセキュリティのザルさを疑う声も – Togetter

PayPayに登録していないクレカで高額不正利用された被害を訴える声多数…PayPayのセキュリティのザルさを疑う声も - Togetter

PayPayに登録していないクレカで高額不正利用された被害を訴える声多数…PayPayのセキュリティのザルさを疑う声も - Togetter

PayPay経由クレジットカード不正利用が横行している。さっきクレジットカード会社から「PayPay利用の買い物をしましたか?」と確認電話が入った。PayPayなんて使ったことないし、そんなニュース、他人事かと思っていたら自分も被害者だった。50000円弱、ソッコー請求取り下げと再発行手続き!超迷惑 pic.twitter.com/amk...

はてなブックマーク - PayPayに登録していないクレカで高額不正利用された被害を訴える声多数…PayPayのセキュリティのザルさを疑う声も - Togetter はてなブックマークに追加

普及が進むパスワードなし生体認証規格「FIDO」

あるAnonymous Coward曰く、

寡聞にして知らなかったが、パスワードなしで利用できる生体認証の標準規格「FIDO(Fast IDentity Online、ファイド)」というものがあるらしい。物理的なログインキーや生体認証などを使った認証のための標準規格で、現在さまざまな企業がアライアンスに参加しているという(Engadget Japanese)。

すでにNTTドコモやソフトバンク、Yahoo! JAPANがAndroid版のChromeブラウザでFIDOを使った生体認証によるログインがサポートされているほか、KDDIやLINEも今後サポートを行うという。

Google ChromeやFirefoxもFIDOをサポートしているほか、EdgeやOperaも対応を進めている一方でAppleはFIDOアライアンスに参加していないため動向が不明だが、Safariでサポートが実験的に行われているようだ。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「ペニスによる生体認証」を導入したアダルトチャットサービス 2017年07月14日
IoTはパスワードを不要にする、かもしれない 2015年06月24日
大垣共立銀行、「手のひら」認証によるカードレス取引のできるATMを9月より導入 2012年04月14日

はてなから怒られた話

はてなから怒られた話

はてなから怒られた話

悪意は無かったのだが、タイトルを長く入れる裏技があるというので、トラバで試してみた。 長いタイトルを入れ、確認する をクリックせずに、この内容を登録する をいきなり押してみた。 かなり長いタイトルが入ることが分かり、それが表示されることも分かった。 だがしかし、数日後はてなからメールが届いた。 要約...

はてなブックマーク - はてなから怒られた話 はてなブックマークに追加

paypayでクレジットカード不正利用・詐欺による被害報告多発まとめ!セキュリティは安全なのか

paypayでクレジットカード不正利用・詐欺による被害報告多発まとめ!セキュリティは安全なのか

paypayでクレジットカード不正利用・詐欺による被害報告多発まとめ!セキュリティは安全なのか

緊急情報!「100億円あげちゃうキャンペーン」が大盛況のうちに終了した電子決済サービス「paypay」。そのpaypayでクレジットカードの不正利用、詐欺が多発しているとの報告がSNS上で多発しています!数件なんてレベルではありません! paypayを利用している家族・知人がいたら早く教えてあげて下さい! paypayによるク...

はてなブックマーク - paypayでクレジットカード不正利用・詐欺による被害報告多発まとめ!セキュリティは安全なのか はてなブックマークに追加

GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している – GIGAZINE

GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している - GIGAZINE

GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している - GIGAZINE

by pixelcreatures イラン政府とつながりのあるハッカー集団が、ターゲットの情報を収集し、ターゲットのセキュリティレベルに合わせたスピアフィッシングのメールを作成していると、セキュリティー企業「Certfa」の研究者らがブログで報告しています。ハッカーたちはリアルタイムでターゲットの様子を見ることができる...

はてなブックマーク - GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している - GIGAZINE はてなブックマークに追加

「DDoS攻撃、次の大きな標的はIoT機器に使われるCoAPプロトコル」–米研究者が指摘 – ZDNet Japan

「DDoS攻撃、次の大きな標的はIoT機器に使われるCoAPプロトコル」--米研究者が指摘 - ZDNet Japan

「DDoS攻撃、次の大きな標的はIoT機器に使われるCoAPプロトコル」--米研究者が指摘 - ZDNet Japan

「DDoS攻撃、次の大きな標的はIoT機器に使われるCoAPプロトコル」--米研究者が指摘 Catalin Cimpanu (ZDNet.com) 翻訳校正: 矢倉美登里 長谷睦 (ガリレオ) 2018年12月14日 06時30分 RFC 7252、またの名をConstrained Application Protocol(CoAP)というプロトコルが、DDoS攻撃に最も悪用されるプロトコルの1つにな...

はてなブックマーク - 「DDoS攻撃、次の大きな標的はIoT機器に使われるCoAPプロトコル」--米研究者が指摘 - ZDNet Japan はてなブックマークに追加

とある金融機関で、不備で返ってきた書類の中に、とんでもないものが入っていて「重大な事故」「メタクソヤバいやつ」と戦慄が走る – Togetter

とある金融機関で、不備で返ってきた書類の中に、とんでもないものが入っていて「重大な事故」「メタクソヤバいやつ」と戦慄が走る - Togetter

とある金融機関で、不備で返ってきた書類の中に、とんでもないものが入っていて「重大な事故」「メタクソヤバいやつ」と戦慄が走る - Togetter

@CWZ @MORASHIMU5 金融庁案件だとは思いますが、住信SBIだけでなく、さらに引いては金融業界だけではなく、日本の色んなところでこういったものの誤配送は日常的に起きているのが現状です。個人情報漏洩が気になるならこういったサービスを自粛する必要があるでしょう。セキュリティに関してはまだまだ発展途上です。

はてなブックマーク - とある金融機関で、不備で返ってきた書類の中に、とんでもないものが入っていて「重大な事故」「メタクソヤバいやつ」と戦慄が走る - Togetter はてなブックマークに追加

最悪のパスワード2018年版、トップは安定の「123456」 – GIGAZINE

最悪のパスワード2018年版、トップは安定の「123456」 - GIGAZINE

最悪のパスワード2018年版、トップは安定の「123456」 - GIGAZINE

セキュリティ企業のSplashDataから2018年版の「最悪のパスワード・ワースト100」が発表されました。ワースト1は安定の「123456」で、上位は常連が顔を並べています。 The Worst Passwords of 2018 100-50 | SplashData https://www.teamsid.com/100-worst-passwords-top-50/ 1位から100位までを一気に見ると以下の通りで...

はてなブックマーク - 最悪のパスワード2018年版、トップは安定の「123456」 - GIGAZINE はてなブックマークに追加

関空連絡橋に衝突「船長は最善を尽くした」:日経ビジネスオンライン

関空連絡橋に衝突「船長は最善を尽くした」:日経ビジネスオンライン

関空連絡橋に衝突「船長は最善を尽くした」:日経ビジネスオンライン

9月4日、関西国際空港と対岸を結ぶ連絡橋に、弊社所有タンカーの「宝運丸」が衝突し、甚大な被害を与えてしまいました。多くの方々にご迷惑をおかけしましたこと、申し訳なく思っております。心よりおわびいたします。 様々なご指摘があることは存じています。結果として宝運丸は常識では考えられない台風21号の暴風にあ...

はてなブックマーク - 関空連絡橋に衝突「船長は最善を尽くした」:日経ビジネスオンライン はてなブックマークに追加

身に覚えのない「PayPay(ペイペイ)」利用・クレジットカードの不正利用被害に注意

身に覚えのない「PayPay(ペイペイ)」利用・クレジットカードの不正利用被害に注意

身に覚えのない「PayPay(ペイペイ)」利用・クレジットカードの不正利用被害に注意

2018年12月11日頃より、「クレジットカードが悪用され、PayPayで利用された」との声が増えています。おそらく第三者が不正にクレジットカード情報を入手するか一部推測を行ってPayPayアプリにクレジットカードを勝手に登録し、そうした上でPayPayアプリでの支払いを行い、PayPayアプリ経由でクレジットカードを不正利用...

はてなブックマーク - 身に覚えのない「PayPay(ペイペイ)」利用・クレジットカードの不正利用被害に注意 はてなブックマークに追加

ふるさと納税の偽サイトに飛びついてしまう理由 | 日経 xTECH(クロステック)

ふるさと納税の偽サイトに飛びついてしまう理由 | 日経 xTECH(クロステック)

ふるさと納税の偽サイトに飛びついてしまう理由 | 日経 xTECH(クロステック)

居住地以外の自治体に寄付を行うと、居住地の地方税などの税金が控除される「ふるさと納税」。寄付の金額によってお礼の品(返礼品)を送る自治体が多く、寄付金を集める自治体同士の返礼品競争が激化している。 こうした状況に総務省はたびたび、「返礼品の金額は寄付金額の3割以下」「返礼品は地場産品に限る」といっ...

はてなブックマーク - ふるさと納税の偽サイトに飛びついてしまう理由 | 日経 xTECH(クロステック) はてなブックマークに追加

マザーボードに不正なチップが埋め込まれていたと報じられたSuper Micro、改めてこの問題を否定

今年10月、中国によって不正チップが埋め込まれたサーバーが米国に納入されているという報道があったが、問題があったと報じられている製品を製造するSuper Microが、第三者による調査結果を公表した。その結果、報じられたような不正なハードウェアの埋め込みは確認できなかったという(CNET JapanITmedia)。

マザーボードへの不正チップ埋め込み問題については、Super MicroだけでなくAppleやAmazonもこういった不正行為が確認された事例はないと否定していた(PC Watch)。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ICチップ搭載クレカでも不正利用は止められない 2018年11月14日
中国によって不正チップが埋め込まれたサーバーが米国に納入されているという報道、事実はいかに 2018年10月11日
Intel x86プロセッサに含まれている遠隔管理システムに危険性? 2016年06月24日

アジャイル手法でのセキュリティは困難–シマンテックのCTOが見解 – ZDNet Japan

アジャイル手法でのセキュリティは困難--シマンテックのCTOが見解 - ZDNet Japan

アジャイル手法でのセキュリティは困難--シマンテックのCTOが見解 - ZDNet Japan

Symantecは12月12日、アジア太平洋・日本地域における2019年のセキュリティ動向予測を発表した。同地区の最高技術責任者(CTO)を務めるNick Savvides氏は、アジャイルのアプローチによる開発と運用とセキュリティの取り組みはうまく機能しないと指摘した。 同氏が挙げたアジア太平洋・日本地域における2019年のセキュリ...

はてなブックマーク - アジャイル手法でのセキュリティは困難--シマンテックのCTOが見解 - ZDNet Japan はてなブックマークに追加

NTT社長、ファーウェイ製スマホ「データ抜かれるなら売らない」 – 産経ニュース

NTT社長、ファーウェイ製スマホ「データ抜かれるなら売らない」 - 産経ニュース

NTT社長、ファーウェイ製スマホ「データ抜かれるなら売らない」 - 産経ニュース

NTTの澤田純社長は13日までに産経新聞のインタビューに応じ、日米政府が政府調達機器からの排除方針を示している中国通信機器大手の華為技術(ファーウェイ)について、第5世代(5G)移動通信方式の基地局で採用しない方針を改めて示した。 一方、NTTドコモが投入しているファーウェイ製のスマートフォンにつ...

はてなブックマーク - NTT社長、ファーウェイ製スマホ「データ抜かれるなら売らない」 - 産経ニュース はてなブックマークに追加

J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日|Guest|note

J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日|Guest|note

J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日|Guest|note

気になるのは"Cipher Suites"(暗号スイート)の少なさ。いずれもFoward Securityに対応していないため暗号強度が"WEAK"(弱い)となっているが、アクセス不能とは別件だ。 これだけではわかりづらいので、現時点でアクセス可能だったJSTのHTTPS接続仕様も比較してみる。 JSTのホームページではTLS 1.0/1.1がまだ無効化...

はてなブックマーク - J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日|Guest|note はてなブックマークに追加

MIT Tech Review: 量子コンピューターの開発速度に、耐量子暗号は追いつけるのか?

MIT Tech Review: 量子コンピューターの開発速度に、耐量子暗号は追いつけるのか?

MIT Tech Review: 量子コンピューターの開発速度に、耐量子暗号は追いつけるのか?

従来の暗号技術は強力な量子コンピューターを使えば破られてしまう可能性が高い。専門家らは、強力な量子コンピューターの登場までの期間を10年と見積もる一方、「量子耐性」を持つ暗号技術の開発・普及には早くとも20年はかかると指摘する。 by Martin Giles2018.12.13 7 4 クレジットカードの取引から健康記録などの重...

はてなブックマーク - MIT Tech Review: 量子コンピューターの開発速度に、耐量子暗号は追いつけるのか? はてなブックマークに追加

Firefox 64リリース、シマンテックの証明書が無効に

あるAnonymous Coward曰く、

12月11日、Firefox 64がリリースされ、以前から予告されていた通りシマンテックの証明書がついに無効になった(リリースノート)。

シマンテックが適切な確認を行わずに大量のSSL/TLS証明書を発行していたという問題に対処するもの(過去記事)。すでにGoogle Chromeではバージョン70からシマンテックが発行したSSL証明書の失効対応が開始されている。

すべて読む | セキュリティセクション | セキュリティ | Firefox | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 2018年03月06日
Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 2017年09月16日
Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 2017年05月05日
Symantec、同社発行のSSL/TLS証明書を信頼してもらうための対策をGoogleに提案 2017年05月02日
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 2017年03月26日

ソフトバンク大規模通信障害の深層、問われる当事者意識 | 日経 xTECH(クロステック)

ソフトバンク大規模通信障害の深層、問われる当事者意識 | 日経 xTECH(クロステック)

ソフトバンク大規模通信障害の深層、問われる当事者意識 | 日経 xTECH(クロステック)

ソフトバンクの携帯電話サービスに2018年12月6日午後、大規模な障害が起こった。約3千万回線が日中の4時間半にわたって通話や通信できない異例の事態に陥った。原因は通信の要となる、交換機のソフトの不具合だった。ソフトの異常により認証などの処理が進まず、端末が通信できなくなった。再発防止と信頼回復に向け、通...

はてなブックマーク - ソフトバンク大規模通信障害の深層、問われる当事者意識 | 日経 xTECH(クロステック) はてなブックマークに追加

マカフィーが2018年10大セキュリティ事件を発表

セキュリティソフトウェアを手がけるマカフィーが、「2018年の10大セキュリティ事件ランキング」を発表した(マカフィーのプレスリリース日経xTECH)。

このランキングは日本国内の経営層や情報システム部門などのビジネスパーソンを対象に行なった「2018年のセキュリティ事件に関する意識調査」に基づき、認知度が高かった事件をまとめたもの。発表されたトップ10は以下の通り。

  1. 仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される
  2. 佐川急便を騙って偽アプリをインストールさせる攻撃が急増
  3. 漫画海賊版サイトで仮想通貨採掘スクリプトが見つかる、閲覧者の知らぬ間に端末で採掘が実行される
  4. 性的な映像をばらまくと脅して仮想通貨を要求するスパムメール
  5. Amazon.co.jpを騙り偽サイトへ誘導するフィッシング攻撃
  6. Facebookユーザーの情報流出(プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響など)
  7. ルーターを狙ったサイバー攻撃(ルーターのDNS設定が改ざんされる被害が相次ぐ、攻撃方法は特定できず家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃ルーターに感染し採掘コードを埋め込むマルウェアが流行、マンションの共有ルータへの感染が疑われる例もなど)
  8. JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる
  9. Twitter、偽アカウントなどの「ロックされたアカウント」をフォロワーとしてカウントしないよう仕様変更
  10. 「セゾンNetアンサー」をかたるフィッシングメール

すべて読む | セキュリティセクション | セキュリティ | ニュース | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ルーターに感染し採掘コードを埋め込むマルウェアが流行、マンションの共有ルータへの感染が疑われる例も 2018年08月27日
佐川急便を騙って偽アプリをインストールさせる攻撃が急増 2018年07月31日
Twitter、偽アカウントなどの「ロックされたアカウント」をフォロワーとしてカウントしないよう仕様変更 2018年07月13日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃 2018年05月25日
漫画海賊版サイトで仮想通貨採掘スクリプトが見つかる、閲覧者の知らぬ間に端末で採掘が実行される 2018年04月02日
ルーターのDNS設定が改ざんされる被害が相次ぐ、攻撃方法は特定できず 2018年03月29日
仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 2018年01月29日
JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる 2017年12月21日

「テレワーク」が法人ネットワークの新たな弱点に:2019年の脅威動向を予測

2018年を通じ、世界的にフィッシング詐欺の攻撃が急拡大しました。また、7月前後からはメールの文面のみで脅迫する「簡略版セクストーション」スパムも登場し、世界各国で被害を与えました。トレンドマイクロでは、こうした最新の脅威動向や IT技術を取り巻く市場動向を基に、来年2019年のセキュリティ脅威予測を行いました。

■2019年のセキュリティ脅威予測

2018年までの脅威動向や市場動向を踏まえ、セキュリティの脅威がどのように変化していくのかについて、トレンドマイクロでは以下のカテゴリに対する予測を行いました。

  • 個人利用者
  • 企業・法人
  • 社会・政治状況
  • セキュリティ
  • 産業制御システム
  • クラウドインフラ
  • スマートホーム

これら7つのカテゴリの脅威予測から見出された共通点として、以下の3つのポイントが浮かび上がってきました。

  1. AIによるセキュリティ対策を回避する攻撃や、AIを悪用したサイバー攻撃の登場
    「人工知能(AI)」、中でも「機械学習」の分析手法はセキュリティの分野で活用が進んでおり、未知脅威の検知技術として大きな成果が上がっています。サイバー犯罪者は当然、このような検知技術を回避する手段を模索し、既にファイルレス活動や正規ファイルの改変による偽装など様々な手口を繰り出してきました。2019年にはこの傾向は一層顕著化し、より様々な手法を組み合わせた巧妙な検出回避を行うでしょう。また逆に、AIを悪用したサイバー攻撃が特に高度な標的型サイバー攻撃の分野で見られるでしょう。一般の利用者に対する攻撃では、広く普及するチャットボットを悪用し利用者をだます「自動サポート詐欺」と呼べるような攻撃も登場するでしょう。
  2. 「テレワーク」の普及が法人セキュリティにおける新たな弱点に
    日本でも「働き方改革」などが叫ばれる中、欧米ではオフィス外で業務を行う「テレワーク」の普及が進んでいます。中でも「在宅勤務」が進むにつれ、サイバー犯罪者はホームネットワーク経由で組織のネットワークを侵害する攻撃を狙うでしょう。テレワークを支援するツールやクラウドサービスの導入が進むと、クラウドの認証情報とツールの脆弱性が攻撃に利用されるようになります。クラウドサービスへのデータ移行が進む中、設定ミスによる情報漏えい事例も発生するでしょう。漏えいした認証情報を利用してクラウドサービスの侵害やネットワークへの侵入を狙う攻撃の多発も予想されます。
  3. 「ソーシャルエンジニアリング」が再び攻撃の中心に
    2017年には「Eternal Blue」などとも呼ばれた「MS17-010」の脆弱性を利用する「WannaCry」など、「システムの弱点」を狙った攻撃が多発しました。しかし、Web経由でシステムの弱点を狙う「脆弱性攻撃ツール(Exploit Kit)」を不正サイトの攻撃は年々減少傾向にあるなど、全体として脆弱性を利用した攻撃は停滞気味です。
    世界における脆弱性攻撃サイトのアクセスブロック数の推移(2018年は1月~9月のデータ)
    図:世界における脆弱性攻撃サイトのアクセスブロック数の推移(2018年は1月~9月のデータ)


    その代り、常に存在する「人の弱点」を狙う「ソーシャルエンジニアリング」手法は急拡大しています。ソーシャルエンジニアリング、つまり人をだます攻撃の代表格である「フィッシング詐欺」の攻撃は実際のデータでも急増の傾向にあります。
    世界におけるフィッシング詐欺サイトのアクセスブロック数の推移(2018年は1月~9月のデータ)
    図:世界におけるフィッシング詐欺サイトのアクセスブロック数の推移(2018年は1月~9月のデータ)

    脆弱性攻撃サイトに代表されるシステムの弱点を狙う攻撃の減少とフィッシング詐欺に代表される人の弱点を狙う攻撃の増加、この2つの傾向は2019年も続くでしょう。今後の拡大が予想される「人をだます」攻撃手法としては、フィッシング詐欺をはじめ、実世界のビッグイベントに便乗した手口、「ネット有名人」アカウントの乗っ取り、以前に漏えいした個人情報を使用した偽アカウントの悪用、「CEO」より低い役職を狙うビジネスメール詐欺、などがあります。

その他、トレンドマイクロが予測する2019年の脅威動向の詳細は以下のレポートをご一読ください。このレポートを今後に問題となるセキュリティの注力領域に関する意思決定の参考としてお役立てください。


・詳細レポートはこちら:
「2019年セキュリティ脅威予測」

表紙

マリオットの情報流出、背後に中国の影–米中関係が緊張する中 – CNET Japan

マリオットの情報流出、背後に中国の影--米中関係が緊張する中 - CNET Japan

マリオットの情報流出、背後に中国の影--米中関係が緊張する中 - CNET Japan

Marriottホテルで最大5億人の顧客の個人情報が流出した大規模なハッキング事件に、中国の諜報活動が関与していた可能性が高いと、The New York Times(NYT)が米国時間12月11日に報じた。 ハッカーらは中国の国家安全部の指示で活動していたとみられると、NYTは、暫定的な調査結果の報告を受けた複数の関係者らの話とし...

はてなブックマーク - マリオットの情報流出、背後に中国の影--米中関係が緊張する中 - CNET Japan はてなブックマークに追加

AlterLock 盗難を知らせるアラームとGPSトラッカーを搭載した新サービス&デバイスが誕生 – 新製品情報2019 | cyclowired

AlterLock 盗難を知らせるアラームとGPSトラッカーを搭載した新サービス&デバイスが誕生 - 新製品情報2019 | cyclowired

AlterLock 盗難を知らせるアラームとGPSトラッカーを搭載した新サービス&デバイスが誕生 - 新製品情報2019 | cyclowired

盗難を検知し、バイクの現在地を発信してくれる新サービス「AlterLock」が開始されている。万が一、ワイヤーなどの鍵が破壊され持ち去られるという不運に見舞われても、直ぐに気がつくことができる上、場所まで把握することができるという新しいサービスだ。 AlterLockはボトルケージ台座に装着して使用する盗難防止アラ...

はてなブックマーク - AlterLock 盗難を知らせるアラームとGPSトラッカーを搭載した新サービス&デバイスが誕生 - 新製品情報2019 | cyclowired はてなブックマークに追加

WebSocketでチャットを作ったらN高生たちにめちゃくちゃに壊された件 – Qiita

WebSocketでチャットを作ったらN高生たちにめちゃくちゃに壊された件 - Qiita

WebSocketでチャットを作ったらN高生たちにめちゃくちゃに壊された件 - Qiita

はじめに N高等学校2年のKakudoです、初めてアドベントカレンダーを書かせていただきます。よろしくお願いします。 さて、WebSocketを使ってみようと簡単なWebアプリを作って公開したところ先輩方にありがたい「ご指導」をたくさんいただいたので、身をもって学んだことを書こうと思います。 今回の話は同意の上でやって...

はてなブックマーク - WebSocketでチャットを作ったらN高生たちにめちゃくちゃに壊された件 - Qiita はてなブックマークに追加

「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由 (1/2) – ITmedia NEWS

「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由 (1/2) - ITmedia NEWS

「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由 (1/2) - ITmedia NEWS

ITりてらしぃのすゝめ:「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由 (1/2) バナー広告などでよく利用される「サードパーティーCookie」。かつてはこれを無効にしてもWebサイト閲覧に支障が出ることはありませんでしたが、最近はサイト利用に支障が出ることもあるようです。 私は最近、macOSで使うW...

はてなブックマーク - 「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由 (1/2) - ITmedia NEWS はてなブックマークに追加

ファーウェイ排除念頭、民間に協力要請 政府 14分野で  :日本経済新聞

ファーウェイ排除念頭、民間に協力要請 政府 14分野で  :日本経済新聞

ファーウェイ排除念頭、民間に協力要請 政府 14分野で  :日本経済新聞

政府は情報漏洩や機能停止の懸念がある情報通信機器を調達しないよう重要インフラを担う民間企業・団体に要請する。電力や水道、金融、情報通信、鉄道など14分野が対象。悪意のあるプログラムで社会機能が麻痺(まひ)するなど安全保障上の懸念があるためだ。米国が取引を禁じる中国通信機器最大手、華為技術(ファーウ...

はてなブックマーク - ファーウェイ排除念頭、民間に協力要請 政府 14分野で  :日本経済新聞 はてなブックマークに追加

Linux.orgのDNSがハイジャックされる

あるAnonymous Coward曰く、

12月7日にLinuxユーザー向けコミュニティサイト「Linux.org」のドメインが乗っ取られる事件が発生した(Linux.orgThe RegisterMOTHERBOARDSlashdot)。

攻撃者はレジストラのアカウントを窃取し、ドメイン名に紐付けられているIPアドレスを攻撃者の所有するサーバーのものに変更することでトップページを書き換えたように見せたという。このページには「G3T 0WNED L1NUX N3RDZ」というメッセージと、尻の穴を広げている人物の写真が映し出されていたとのこと(Webアーカイブのログ)。反多様性を主旨とした内容のようだが、現在はサイト管理者であるMike McLagan氏により元通りに復元されている。

MOTHERBOARDの記事によると、Linux.org内ではセクハラやLGBTなどの多様性問題に対応するための新しい行動規範規則が設定されたという。しかし、これに反発する意見もあり、コミュニティ内で論争が起きていたという。今回の事件は新規則への抗議行動として行われたことが犯人のTwitterから判明しているとのこと

すべて読む | セキュリティセクション | Linux | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Linuxの開発指針変更を巡り一部開発者が「社会正義戦士に乗っ取られた」と反発、反対運動も起こる 2018年09月27日
AmazonのDNSサービスを狙ったBGPハイジャッキング攻撃が発生 2018年04月27日
ドメイン名登録サービスVALUE-DOMAINの会員サイトに脆弱性 2016年04月11日
ネットのドメインの85%は乗っ取り攻撃から逃れられない 2006年04月29日

Android Developers Blog: New Keystore features keep your slice of Android Pie a little safer

Android Developers Blog: New Keystore features keep your slice of Android Pie a little safer

Android Developers Blog: New Keystore features keep your slice of Android Pie a little safer

December 2018 (6) November 2018 (9) October 2018 (13) September 2018 (5) August 2018 (13) July 2018 (9) June 2018 (16) May 2018 (16) April 2018 (8) March 2018 (8) February 2018 (7) January 2018 (9) December 2017 (9) November 2017 (13) October 2017 (14) September 2017 (12) August 2017 (19) July 20...

はてなブックマーク - Android Developers Blog: New Keystore features keep your slice of Android Pie a little safer はてなブックマークに追加

Windows Defenderの性能、他社製ソフトとの比較結果 | 日経 xTECH(クロステック)

Windows Defenderの性能、他社製ソフトとの比較結果 | 日経 xTECH(クロステック)

Windows Defenderの性能、他社製ソフトとの比較結果 | 日経 xTECH(クロステック)

Windowsに標準搭載される「Windows Defender」。従来はセキュリティーソフトの名称だったが、今ではセキュリティー機能のブランド名になった。その機能の数々を紹介する。 Windows Defenderウイルス対策は、Windowsに標準で装備されているウイルス対策機能である。このため「おまけのソフト」と思われて、性能を低く見ら...

はてなブックマーク - Windows Defenderの性能、他社製ソフトとの比較結果 | 日経 xTECH(クロステック) はてなブックマークに追加

Web制作で気になることのアンケート結果(2018年版) | Stocker.jp / diary

Web制作で気になることのアンケート結果(2018年版) | Stocker.jp / diary

Web制作で気になることのアンケート結果(2018年版) | Stocker.jp / diary

Webニュース Web制作で気になることのアンケート結果(2018年版) Wednesday, December 12th, 2018 Web制作で以前から気になっていたことについて、Twitter の投票機能でアンケートを取ってみました。 アンケートの実施期間は2017年12月〜2018年12月です。 回答者の属性について Twitter のアンケート機能では「誰が回答...

はてなブックマーク - Web制作で気になることのアンケート結果(2018年版) | Stocker.jp / diary はてなブックマークに追加

Apple、macOSのウィルス定義データベース「XProtect」をv2101にアップデートし、古いFlash Player Pluginをブロック。 | AAPL Ch.

Apple、macOSのウィルス定義データベース「XProtect」をv2101にアップデートし、古いFlash Player Pluginをブロック。 | AAPL Ch.

Apple、macOSのウィルス定義データベース「XProtect」をv2101にアップデートし、古いFlash Player Pluginをブロック。 | AAPL Ch.

AppleがmacOSのウィルス定義データベース「XProtect」をv2101にアップデートし、古いFlash Player Pluginをブロックしています。詳細は以下から。  Appleは現地時間2018年12月

はてなブックマーク - Apple、macOSのウィルス定義データベース「XProtect」をv2101にアップデートし、古いFlash Player Pluginをブロック。 | AAPL Ch. はてなブックマークに追加

ハックしてゲームを自由に追加できる「PlayStation Classic」のソフトウェア暗号キーは端末自体に保存されていた – GIGAZINE

ハックしてゲームを自由に追加できる「PlayStation Classic」のソフトウェア暗号キーは端末自体に保存されていた - GIGAZINE

ハックしてゲームを自由に追加できる「PlayStation Classic」のソフトウェア暗号キーは端末自体に保存されていた - GIGAZINE

初代PlayStationの20タイトルを含んだゲーム機「PlayStation Classic」は、発売直後からハッカーの格好の"おもちゃ"となっており、すでにUSBメモリに保存したゲームを自由にプレイできる状況になっています。そんな中、ハッキングされた原因は「暗号を解読するキー自体が端末に保存されていたから」であることが明らかに...

はてなブックマーク - ハックしてゲームを自由に追加できる「PlayStation Classic」のソフトウェア暗号キーは端末自体に保存されていた - GIGAZINE はてなブックマークに追加

Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを作成するマルウェアが発見される。 | AAPL Ch.

Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを作成するマルウェアが発見される。 | AAPL Ch.

Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを作成するマルウェアが発見される。 | AAPL Ch.

Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを開けるWordファイル型マルウェアが発見されたそうです。詳細は以下から。  米セキュリティ企業Malwareby

はてなブックマーク - Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを作成するマルウェアが発見される。 | AAPL Ch. はてなブックマークに追加

サイバー犯罪集団「Lazarus」が中南米の金融機関を狙うサイバー銀行強盗を継続

サイバー犯罪集団「Lazarus」の下位集団「Bluenoroff」は、アジアおよび中南米の金融機関を攻撃してきた歴史があります。2018 年 11 月上旬には、Lazarus がアジアおよびアフリカの ATM から数千万米ドル(2018 年 12 月 11 日時点で数十億円)を窃取したことが報告されているように、彼らの活動は最近再び活発化しているようです。

トレンドマイクロは、2018 年 10 月上旬、Lazarus が中南米の金融機関の複数の PC にバックドア型マルウェア「AuditCred.dll/ROptimizer.dll」(「BKDR_BINLODR.ZNFJ-A」として検出)を送り込んでいたことを確認しました。ローダコンポーネントとして機能するこのマルウェアのサービス作成日時から、このマルウェアが対象 PC にインストールされたのは 2018 年 9 月 19 日だと考えられます。このような、モジュール化したバックドア型マルウェアの利用は、アジアを狙った 2017 年の攻撃でも確認されています。セキュリティ企業「BAE Systems」の解析によると、2017 年の攻撃では、モジュール化されたバックドア型マルウェア「FileTokenBroker.dll」の利用がその鍵となっていました。

  FileTokenBroker.dll
(2017 年の攻撃)
AuditCred.dll/ROptimizer.dll
(2018 年の攻撃)
起動方法 サービスとして起動 サービスとして起動
機能 ローダコンポーネント ローダコンポーネント
作業ディレクトリ %Windows%\System32 %Windows%\System32
ローダが読み込むコンポーネントのパス %Windows%\System32\en-US %Program Files%\Common Files\System\ado
ローダが読み込むコンポーネントが利用するファイル 複数の「.mui」ファイル 複数の ActiveX Data Object DLL ファイル

表 1:2017 年の事例と 2018 年の事例で利用されたローダコンポーネントの類似点

■バックドア型マルウェアの解析

Lazarus は、今回トレンドマイクロが確認した攻撃において、以下の 3 つを主要なコンポーネントとする一連のバックドア型マルウェアを利用した複雑な手口を採用しています。

  • サービスとして起動するローダ「AuditCred.dll/ROptimizer.dll」(「BKDR_BINLODR.ZNFJ-A」として検出)
  • 暗号化されたバックドア型マルウェア「Msadoz<n>.dll」(「BKDR64_BINLODR.ZNFJ-A」として検出、<n>はファイル名の文字数)
  • 暗号化された設定ファイル「Auditcred.dll.mui/rOptimizer.dll.mui」(「TROJ_BINLODRCONF.ZNFJ-A」として検出)

モジュール化された一連のバックドア型マルウェアを読み込む流れ
図 1:モジュール化された一連のバックドア型マルウェアを読み込む流れ

このローダ DLL はサービスとしてインストールされます。PC 毎に異なるファイル名「AuditCred.dll」または「ROptimizer.dll」を使用しますが、同じ機能を備えた実質的に同一のファイルです。このローダの目的は、メインのバックドア型マルウェア「Msadoz<n>.dll」を読み込んで復号し、メモリ上で実行することです。

「AuditCred/ROptimizer」サービスのプロパティ
図 2:「AuditCred/ROptimizer」サービスのプロパティ

メインのバックドア型マルウェア「Msadoz<n>.dll」は、以下のような機能を備えており、対象にとって非常に大きな脅威となります。

  • ファイル、フォルダ、ドライブの情報収集
  • ファイルおよび追加のマルウェアのダウンロード
  • プロセスの起動、停止、列挙
  • 設定情報の更新
  • ファイルの削除
  • 実行中プロセスにファイルからコードを注入
  • プロキシの利用
  • リバースシェルの開始
  • ポートを開いてリッスンし、コマンド&コントロール(C&C)サーバからのコマンドをパッシブモードで受信

「Msadoz<n>.dll」は、C&C サーバの情報を抽出して接続するために、暗号化された設定ファイル「Auditcred.dll.mui/rOptimizer.dll.mui」を読み込みます。C&C サーバへの接続は、活動を実行する上で必要となります。

「Auditcred.dll.mui/rOptimizer.dll.mui」は、2 段階の手順で復号されます。第 1 段階では、終端のバイトから2番目のバイトまで、1つ前の隣接バイトと XOR 演算を行います。

復号の第 1 段階は XOR 演算
図 3:復号の第 1 段階は XOR 演算

第 2 段階の手順は、第 1 段階の計算結果の最初の0x20 バイトを鍵とした RC4 方式の復号です。

第 1 段階の計算結果を鍵とする RC4 方式の復号
図 4:第 1 段階の復号計算結果を鍵とする RC4 方式の復号

図 5 は、「Auditcred.dll.mui/rOptimizer.dll.mui」の復号結果です。C&C サーバの IP アドレスが確認できます。

暗号化された設定ファイル(上)と復号した設定ファイル(下)
図 5:暗号化された設定ファイル(上)と復号した設定ファイル(下)

ローダコンポーネントと設定ファイルは同一ディレクトリ「%windows%\system32」に位置していますが、暗号化されたバックドア型マルウェアは別のディレクトリ「%Program Files%\Common Files\System\ado」に存在します。これは、すべてのマルウェアの検出および削除をより困難にしする活動隠ぺい手法だと言えます。

■被害に遭わないためには

複雑な手法を用い、大きな被害をもたらし得る機能を備えた巧妙なマルウェアに対しては、それと同様に巧妙なセキュリティ対策が必要です。経験を積んだサイバー犯罪集団 Lazarus は、組織のセキュリティ対策をかいくぐるために、系統的にそのツールを変化させています。本記事で解説したバックドア型マルウェアは検出が難しく、侵入された場合、情報窃取、ファイルの削除、マルウェアのインストールなど、企業のプライバシーとセキュリティに重大な影響を与える脅威となります。

Lazarus が利用するツールの影響は、組織全体で定期的にネットワークをスキャンし、不正活動の有無を監視してマルウェアの侵入と拡散を防ぐことで緩和可能です。加えて、組織の従業員やその他の重要人物が何に気を付けるべきか特定できるように、ソーシャルエンジニアリングの手法について教育することも重要です。

その他の緩和策として、エンドポイントの強化、不正なアプリケーションやプロセスの実行を防ぐアプリケーションコントロールの採用など、組織の境界を保護するための多層的なアプローチが挙げられます。

■トレンドマイクロの対策

トレンドマイクロの法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。メール攻撃対策製品「Deep Discovery™ Email Inspector」は、不正な添付ファイルや URLをブロックして法人組織を保護し、システムの感染および最終的な情報の窃取を防ぎます。

クロスジェネレーションで進化を続ける「XGen™セキュリティ」は、AI 技術をはじめとする先進技術と実績の高いスレットインテリジェンスを融合した防御アプローチにより、データを保管するサーバ、データを交換するネットワーク、データを利用するユーザの各レイヤーで最適化されたセキュリティを提供します。Web/URLフィルタリング、挙動解析、カスタムサンドボックスのような機能を備えたクロスジェネレーション(XGen)セキュリティアプローチは、既知または未知/未公開の脆弱性を狙い、個人情報の窃取や暗号化、不正な仮想通貨発掘活動を行う脅威をブロックします。XGen は「Hybrid Cloud Security」、「User Protection」、そして「Network Defense」へのソリューションを提供するトレンドマイクロ製品に組み込まれています。

■侵入の痕跡(Indicators of Compromise、IoC)

関連する C&C サーバは以下の通りです。

  • 107[.]172[.]195[.]20
  • 192[.]3[.]12[.]154
  • 46[.]21[.]147[.]161

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)