PC」カテゴリーアーカイブ

November 2019 security updates are available!

We have released the November security updates to provide additional protections against malicious attackers. As a best practice, we encourage customers to turn on automatic updates. More information about this month’s security updates can be found in the Security Update Guide. As a reminder, Windows 7 and Windows Server 2008 R2 will be out of …

November 2019 security updates are available! Read More »

The post November 2019 security updates are available! appeared first on Microsoft Security Response Center.

Announcing the Bytecode Alliance: Building a secure by default, composable future for WebAssembly – Mozilla Hacks – the Web developer blog

Announcing the Bytecode Alliance: Building a secure by default, composable future for WebAssembly - Mozilla Hacks - the Web developer blog

Announcing the Bytecode Alliance: Building a secure by default, composable future for WebAssembly - Mozilla Hacks - the Web developer blog

Today we announce the formation of the Bytecode Alliance, a new industry partnership coming together to forge WebAssembly’s outside-the-browser future by collaborating on implementing standards and proposing new ones. Our founding members are Mozilla, Fastly, Intel, and Red Hat, and we’re looking...

はてなブックマーク - Announcing the Bytecode Alliance: Building a secure by default, composable future for WebAssembly - Mozilla Hacks - the Web developer blog はてなブックマークに追加

「安全」を理由にした言論・表現の萎縮を招かないために(江川紹子) – 個人 – Yahoo!ニュース

「安全」を理由にした言論・表現の萎縮を招かないために(江川紹子) - 個人 - Yahoo!ニュース

「安全」を理由にした言論・表現の萎縮を招かないために(江川紹子) - 個人 - Yahoo!ニュース

富山県朝日町の教育委員会は11月11日、13日に予定していた、作家、竹田恒康氏の教育講演会を中止すると発表した。開催を妨害する趣旨の予告連絡があり、会場の安全確保に支障があると判断したという。これまでにも、精神科医の香山リカ氏の講演会やあいちトリエンナーレの『表現の不自由展・その後』などが「安全」を理...

はてなブックマーク - 「安全」を理由にした言論・表現の萎縮を招かないために(江川紹子) - 個人 - Yahoo!ニュース はてなブックマークに追加

“記述式問題” 事業者が事前に正答例把握 大学入学共通テスト | NHKニュース

“記述式問題” 事業者が事前に正答例把握 大学入学共通テスト | NHKニュース

“記述式問題” 事業者が事前に正答例把握 大学入学共通テスト | NHKニュース

英語の民間試験が延期された「大学入学共通テスト」に新たな懸念です。共通テストには、国語と数学に記述式の問題が導入されますが、採点を任された民間事業者に、大学入試センターから問題と正答例が試験を実施する前に知らされる仕組みになっていることが分かりました。センターは、採点を迅速に行うためとしています...

はてなブックマーク - “記述式問題” 事業者が事前に正答例把握 大学入学共通テスト | NHKニュース はてなブックマークに追加

Googleがセキュリティ企業3社と提携し、Google Playストアでのマルウェア公開を防ぐ「App Defense Alliance」を発表

headless曰く、

Googleは6日、ESET・Lookout・Zimperiumのセキュリティ企業3社と提携し、不正なアプリがユーザーのデバイスに届く前に阻止する「App Defense Alliance」の開始を発表した(Google Security BlogESETのプレスリリースLookout BlogZimperium's Mobile Security Blog)。

GoogleはGoogle Playストアで不正アプリの公開を防ぐためのさまざまな対策を行っているが、それでもマルウェアたびたび発見されている。App Defense Allianceの最大の目的はGoogle Playストアの安全性を確実なものにすることだ。そのため、既存のGoogle Playプロテクトの不正アプリ検知システムに3社のマルウェアスキャンエンジンを統合するという。複数のヒューリスティックエンジンが協力することで有害な可能性のあるアプリの検出効率が向上し、アプリベースのマルウェアによるリスクの低減や新たな脅威の特定が可能になるとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
マルウェア感染アプリ17本がApp Storeで発見される 2019年10月27日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果 2019年06月28日
Google Play プロテクトのマルウェア検出性能は向上していないのか? 2019年04月27日

ついに「BlueKeep」脆弱性を利用する攻撃が登場、早急な更新を

5月中旬に確認された「CVE-2019-0708」の脆弱性(通称「BlueKeep」)はWindowsのリモートデスクトッププロトコル(RDP)の脆弱性であり、本ブログの記事でもその詳細について解説しています。この脆弱性の危険性については、Microsoftが「WannaCry」のような強力なワームの登場に繋がりかねないとして、既にサポート終了済みのWindows XP以前のOSに対しても更新プログラムを公開したほどでした。そして公表から5か月近くが経過した11月頭、ついにこの脆弱性を利用する攻撃が実際に発生していることが初めて報告されました。この攻撃の存在はリサーチャが運用するハニーポットネットワークのクラッシュにより、観測されたものです。「BlueKeep」脆弱性に関しては既に6月の時点で複数のセキュリティ団体により攻撃方法が確認されており、実際の攻撃は時間の問題とされていました。攻撃に関する報告では、更新プログラムがまだ適用されていない多くのレガシーシステムが、「BlueKeep」を悪用する攻撃キャンペーンのターゲットになっていることが明らかにされており、実被害としては、コインマイナーの侵入による不正マイニングが行われていました。

この攻撃の実害が不正マイニングに留まっていることで、状況を楽観視する向きもあるようです。しかし、攻撃が初めて確認されたことを受け、Microsoftは「BlueKeep」を利用した更なる攻撃の可能性について注意喚起を行っています。実際、「BlueKeep」脆弱性に関しては2017年の「WannaCry」の際の教訓がすべて当てはまります。「WannaCry」が利用した「MS17-010」脆弱性はその時点で既に修正プログラムが公開されていましたが、「WannaCry」の大規模感染の発生により、多くの利用者が更新していなかったことが明らかになりました。「MS17-010」はファイル共有などのためのSMBの脆弱性です。SMBのポートがインターネットに露出していることは稀であり、この脆弱性を利用した組織内ネットワークへの侵入の危険はあまりないものと見られていました。しかし、実際には多くの組織のネットワークが侵入を受け、中には工場や駅の運行表示システムなど一般にはクローズドとみなされている環境での被害もありました。「BlueKeep」に関しても、5月のMicrosoftセキュリティアップデート、および6月の米国国家安全保障局(NSA)による警告にもかかわらず、80万以上のシステムが対処されないままになっていると推定されています。今回の事例では侵入したコインマイナーは自己拡散(ワーム)機能を備えていませんでしたが、BlueKeepはワーム化することが可能な脆弱性です。つまり、インターネット経由や侵入したネットワーク内で、更なる拡散と感染拡大を引き起こす危険性があります。2017年確認の「MS17-010」脆弱性は、現在でも組織内ネットワーク侵入後の横展開の活動において使用される事例が見られています。「BlueKeep」脆弱性に関しても同様に、LAN内の端末やサーバに対する攻撃に利用され続けることが予想されます。実際の攻撃事例が確認された今、脆弱性を早急に更新することが必要です。運用上の都合などにより、直ちに更新が行えない場合には他の一時的な回避策を検討してください。

■被害に遭わないためには

トレンドマイクロの「2019年上半期セキュリティラウンドアップ」で報告されているように、執拗なサイバー犯罪者や犯罪グループは、組織のシステムに存在するこれらのセキュリティのギャップを不法利益の源として利用します。以下のベストプラクティスに従って、このような脆弱性を利用する攻撃に狙われやすい領域を最小限に抑えてください。

  • 最新の更新プログラムを適用してシステムを最新の状態に保つ。古くなったレガシーシステムまたはサポートが終了したシステムには、正規ベンダーから提供される仮想パッチ、または迅速に提供されるホットフィックスを利用する。
  • 利用していないポートやリモートデスクトップサービスを閉じる、制限する、あるいは保護することによって、攻撃対象となりうる領域を最小限に抑える。
  • 侵入に利用される可能性のあるアクセスの許可や、ツールへのアクセス、またプログラミング技術を制限し、最小特権の原則を採用する。暗号化、ロックアウトポリシー、その他役割に基づくアクセス制御などのセキュリティルールを適用して、リモートデスクトップの侵害を伴う攻撃に対するセキュリティ層を強化する。

■トレンドマイクロの対策

法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™」や総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では以下の DPIルールによってこの脆弱性を利用する攻撃を検出します。

  • 1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability

ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterによりこの脆弱性を利用する攻撃を検出します。

  • 35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP

記事構成:岡本勝之(セキュリティエバンジェリスト)
参考記事:

翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)

「フリースウェア」と隠れた定額利用料請求:どう防ぐ? | カスペルスキー公式ブログ

「フリースウェア」と隠れた定額利用料請求:どう防ぐ? | カスペルスキー公式ブログ

「フリースウェア」と隠れた定額利用料請求:どう防ぐ? | カスペルスキー公式ブログ

映画『パルプ・フィクション』の中で、殺し屋のヴィンセント・ベガ(Vincent Vega)が、5ドルもするというだけの理由でミルクシェイクを飲みたがった場面を覚えていますか?これは実によくある反応です。多くの人は、高い値段と素晴らしい品質を無意識のうちに関連付けます。そのため、高価な製品を無料で試すことができ...

はてなブックマーク - 「フリースウェア」と隠れた定額利用料請求:どう防ぐ? | カスペルスキー公式ブログ はてなブックマークに追加

【セキュリティ ニュース】トレンド複数製品に管理画面回避のおそれ – パッチリリース(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】トレンド複数製品に管理画面回避のおそれ - パッチリリース(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】トレンド複数製品に管理画面回避のおそれ - パッチリリース(1ページ目 / 全1ページ):Security NEXT

トレンドマイクロが提供する複数の法人向け製品に「ディレクトリトラバーサル」の脆弱性が含まれていることがわかった。 「ウイルスバスターコーポレートエディション」や「Apex One」に「ディレクトリトラバーサル」の脆弱性「CVE-2019-18189」が明らかとなったもの。共通脆弱性評価システムであるCVSSv3のスコアは「8....

はてなブックマーク - 【セキュリティ ニュース】トレンド複数製品に管理画面回避のおそれ - パッチリリース(1ページ目 / 全1ページ):Security NEXT はてなブックマークに追加

早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 – エンジニアHub|若手Webエンジニアのキャリアを考える!

早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 - エンジニアHub|若手Webエンジニアのキャリアを考える!

早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 - エンジニアHub|若手Webエンジニアのキャリアを考える!

こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語...

はてなブックマーク - 早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 - エンジニアHub|若手Webエンジニアのキャリアを考える! はてなブックマークに追加

トレンドマイクロ製品にセキュリティーの問題、注意喚起が相次いだ真相 | 日経 xTECH(クロステック)

トレンドマイクロ製品にセキュリティーの問題、注意喚起が相次いだ真相 | 日経 xTECH(クロステック)

トレンドマイクロ製品にセキュリティーの問題、注意喚起が相次いだ真相 | 日経 xTECH(クロステック)

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年10月末から11月初めの注目ニュースは3件。最初は、トレンドマイクロ製品の脆弱性を取り上げる。 1カ月前と同じディレクトリートラバーサルの脆弱性(10月28日) トレンドマイクロは同社の法人向けウイ...

はてなブックマーク - トレンドマイクロ製品にセキュリティーの問題、注意喚起が相次いだ真相 | 日経 xTECH(クロステック) はてなブックマークに追加

セコムしてたら盗まれた……セコム警備員が顧客宅で窃盗 警察の捜査に圧力も? | 文春オンライン

セコムしてたら盗まれた……セコム警備員が顧客宅で窃盗 警察の捜査に圧力も? | 文春オンライン

セコムしてたら盗まれた……セコム警備員が顧客宅で窃盗 警察の捜査に圧力も? | 文春オンライン

セコムの警備員が顧客宅で窃盗。そんな耳を疑うような事件が兵庫県尼崎市で起きた。警報機が誤作動した留守の医師宅に合鍵を使って侵入し、カルティエの高級腕時計など計125万円相当の貴金属を盗んだとしてセコム社員の坂上直希容疑者(24)が11月1日、逮捕された。 「事件は9月28日朝に発生。坂上容疑者は盗んだ貴金属...

はてなブックマーク - セコムしてたら盗まれた……セコム警備員が顧客宅で窃盗 警察の捜査に圧力も? | 文春オンライン はてなブックマークに追加

「ゴミだと思って荷物廃棄」ホテルと客が示談成立 宿泊から2か月「多大なご心労をおかけした」 : J-CASTニュース

「ゴミだと思って荷物廃棄」ホテルと客が示談成立 宿泊から2か月「多大なご心労をおかけした」 : J-CASTニュース

「ゴミだと思って荷物廃棄」ホテルと客が示談成立 宿泊から2か月「多大なご心労をおかけした」 : J-CASTニュース

「ゴミだと思った」ことを理由に、預けた荷物が勝手に捨てられたとして、東京の宿泊先ホテルに賠償を求めていた男性が2019年11月9日、同ホテルとの示談が成立したことをツイッターで報告した。 同ホテルも11日、代理人弁護士を通じてコメントを寄せた。「当該お客様に多大なご心労をおかけしたことにつきましては、今後...

はてなブックマーク - 「ゴミだと思って荷物廃棄」ホテルと客が示談成立 宿泊から2か月「多大なご心労をおかけした」 : J-CASTニュース はてなブックマークに追加

大容量ファイルのSCP転送を高速にする方法 (ver.2019) – 元RX-7乗りの適当な日々

大容量ファイルのSCP転送を高速にする方法 (ver.2019) - 元RX-7乗りの適当な日々

大容量ファイルのSCP転送を高速にする方法 (ver.2019) - 元RX-7乗りの適当な日々

9年ほど前にこういうエントリを書いたのですが、まだそれなりに見られているようなので、最近はどうなのかなーと、再検証・再計測してみたエントリーです。 ↑の過去エントリにも記載しているのですが、SSH/SCP では暗号化方式(強度)によってファイル転送のスループットが変わります。 もちろん、オープンなネットワー...

はてなブックマーク - 大容量ファイルのSCP転送を高速にする方法 (ver.2019) - 元RX-7乗りの適当な日々 はてなブックマークに追加

悪用されたらヤバイ!専門家が危険視する文章生成AI(人工知能)の完全版がリリースされる : カラパイア

悪用されたらヤバイ!専門家が危険視する文章生成AI(人工知能)の完全版がリリースされる : カラパイア

悪用されたらヤバイ!専門家が危険視する文章生成AI(人工知能)の完全版がリリースされる : カラパイア

11月5日(現地時間)、実業家のイーロン・マスク氏らが設立した非営利団体「オープンAI(Open AI)」により、新しくも恐ろしいAI(人工知能)がリリースされてしまったようだ。 そのAIとは、自然言語文章生成モデル「GPT-2」である。 ある文章の断片からそれに続く文字を正確に予測することができ、この機能を利用して生...

はてなブックマーク - 悪用されたらヤバイ!専門家が危険視する文章生成AI(人工知能)の完全版がリリースされる : カラパイア はてなブックマークに追加

バーチャルユーチューバーが不審者に凸されてしまった話

バーチャルユーチューバーが不審者に凸されてしまった話

バーチャルユーチューバーが不審者に凸されてしまった話

生放送を主体に活動しているバーチャルYoutuber(ライバー)の月ノ美兎です!この動画では、敢えて細かなフェイクを入れたり若干ソフトに描写したりしていますが、決してそれっぽいエピソードをでっち上げるような趣旨の動画ではありません。 もしお友達や身内の方にこのような行為を企てている人がいたら、その時は止め...

はてなブックマーク - バーチャルユーチューバーが不審者に凸されてしまった話 はてなブックマークに追加

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しておりEV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 2019年08月13日
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 2018年06月07日
EV証明書を使用して既知の企業になりすませる可能性が指摘される 2017年12月16日
はてな、Let's Encryptへの継続的な寄付を開始 2018年06月05日
Let's Encrypt、ワイルドカード証明書の発行を開始 2018年03月16日

ハッキングコンテストでEcho Show 5をハックしたチームが優勝。総額2100万円以上の賞金を獲得 – Engadget 日本版

ハッキングコンテストでEcho Show 5をハックしたチームが優勝。総額2100万円以上の賞金を獲得 - Engadget 日本版

ハッキングコンテストでEcho Show 5をハックしたチームが優勝。総額2100万円以上の賞金を獲得 - Engadget 日本版

11月6日~7日の2日間、表参道で開催された国際的なセキュリティカンファレンス「PacSec 2019」の一環として、恒例となっているハッキングコンテストPwn2Ownが行われました。今回のコンテストでは、はじめてホームオートメショーンカテゴリーが追加され、さっそくAmazonのスマートディスプレイEcho Show 5がハッキングさ...

はてなブックマーク - ハッキングコンテストでEcho Show 5をハックしたチームが優勝。総額2100万円以上の賞金を獲得 - Engadget 日本版 はてなブックマークに追加

不要になったAirPodsを手放す前にすべきこと – iPhone Mania

不要になったAirPodsを手放す前にすべきこと - iPhone Mania

不要になったAirPodsを手放す前にすべきこと - iPhone Mania

AirPods Proを購入して、使わなくなったAirPodsを手放すことを考えている方も多いと思います。AirPodsを手放す前にすべきことをご紹介します。 不要になったAirPods、譲る?売る?その前に ノイズキャンセリングが魅力のAirPods Proを購入して、今まで使っていたAirPodsを知人に譲ったり、フリマアプリで売却する方も多...

はてなブックマーク - 不要になったAirPodsを手放す前にすべきこと - iPhone Mania はてなブックマークに追加

次のパラダイムシフトは「ブロックチェーン」、a16zが仕掛ける“クリプト・スクール”が開講へ – THE BRIDGE(ザ・ブリッジ)

次のパラダイムシフトは「ブロックチェーン」、a16zが仕掛ける“クリプト・スクール”が開講へ - THE BRIDGE(ザ・ブリッジ)

次のパラダイムシフトは「ブロックチェーン」、a16zが仕掛ける“クリプト・スクール”が開講へ - THE BRIDGE(ザ・ブリッジ)

Image Credit: Andreessen Horowitz ピックアップ:Introducing a16z Crypto Startup School ニュースサマリー:米投資ファンド「Andreessen Horowitz(通称a16z)」は、10月に立ち上げたクリプト(仮想通貨)スタートアップ向けブートキャンプ「a16z Crypto Startup School」の書類受付を11月8日より開始すると発表した...

はてなブックマーク - 次のパラダイムシフトは「ブロックチェーン」、a16zが仕掛ける“クリプト・スクール”が開講へ - THE BRIDGE(ザ・ブリッジ) はてなブックマークに追加

VeraCrypt – TrueCrypt後継の暗号化イメージ作成ツール MOONGIFT

VeraCrypt - TrueCrypt後継の暗号化イメージ作成ツール MOONGIFT

VeraCrypt - TrueCrypt後継の暗号化イメージ作成ツール MOONGIFT

ノートPCを電車に忘れた、盗まれたといった事故が後をたちません。重要なデータが蓄積されているノートPCをなくすのは重大なインシデントであり、機密データが抜き取られる可能性もあります。 今回紹介するVeraCryptはストレージを暗号化したり、暗号化イメージを作成できるソフトウェアです。 VeraCryptの使い方 メイン...

はてなブックマーク - VeraCrypt - TrueCrypt後継の暗号化イメージ作成ツール MOONGIFT はてなブックマークに追加

YouTube、12月10日に利用規約変更 アカウント停止についてが詳細に – ITmedia NEWS

YouTube、12月10日に利用規約変更 アカウント停止についてが詳細に - ITmedia NEWS

YouTube、12月10日に利用規約変更 アカウント停止についてが詳細に - ITmedia NEWS

従来「アカウントの終了に関する方針」として説明されていたユーザーのアカウント停止に関する項目が「アカウントの停止と解除」という項目になり、より具体的になった。このサブ項目の「正当な理由に基づくYouTubeによる解除および停止」と「本サービスの変更に基づくYouTubeによる解除」は、一読した方がよさそうだ。 ...

はてなブックマーク - YouTube、12月10日に利用規約変更 アカウント停止についてが詳細に - ITmedia NEWS はてなブックマークに追加

メールを媒介とするダウンローダーなどを多数確認 2019年に国内で検出されたマルウェアの傾向 – ログミーBiz

メールを媒介とするダウンローダーなどを多数確認 2019年に国内で検出されたマルウェアの傾向 - ログミーBiz

メールを媒介とするダウンローダーなどを多数確認 2019年に国内で検出されたマルウェアの傾向 - ログミーBiz

メールを媒介とするダウンローダーなどを多数確認 2019年に国内で検出されたマルウェアの傾向 2019年に日本国内で確認されたマルウェアのトレンド 最新の脅威動向とセキュリティ対策が学べる「Security Days Fall 2019」が2019年10月4日に大阪で、10月9日~11日に東京で開催されました。この記事では、東京で行われた「2...

はてなブックマーク - メールを媒介とするダウンローダーなどを多数確認 2019年に国内で検出されたマルウェアの傾向 - ログミーBiz はてなブックマークに追加

モバイル決済を侵害する偽カメラアプリ、Google Playで拡散

Googleは、今年2019年に入ってAndroidアプリのアクセス権限のリクエストに関するデベロッパーポリシーを更新しました。中でも、「通話履歴に関する権限グループ」と「SMS に関する権限グループ」への制限は、不正アプリがアクセス権限を利用することにより、マルウェアの拡散や個人情報の窃取といった不正活動を行うことを抑止するために設けられました。しかしサイバー犯罪者は、制限があればその回避方法を見つけるなどして攻撃を巧妙化させ、常に利益を追って活発に活動しています。その典型的な例が、最近トレンドマイクロが確認した、美しく撮れるカメラアプリを偽装し不正にモバイル決済を行うAndroid向け不正アプリ「AndroidOS_SMSNotfy」です。

図1:「Yellow Camera」と類似の不正な機能を含む偽アプリ
図1:「Yellow Camera」と類似の不正な機能を含む偽アプリ

この不正アプリは「Yellow Camera」のアプリ名で、正規マーケットであるGoogle Play上で頒布されていたことを確認しています。正規のアプリに情報窃取機能を備えたマルウェアやアドウェアを混入させる偽アプリの手口は、サイバー犯罪者の常套手段となっており、今年も多数確認されています。今回確認した偽のカメラアプリは、その売り込み文通りの機能を備えてはいるものの、Androidのシステム通知からSMS認証コードを読み取る機能が埋め込まれており、読み取った情報により「Wireless Application Protocol(WAP)」を使用したモバイルでのウェブ決済を有効化します。結果的に利用者の意図しない課金が実行されてしまいます。

トレンドマイクロでは、図1のように、Yellow Camera以外にも様々な名称で類似した偽アプリが頒布されていたことも確認しています。今回の不正アプリによってダウンロードされたファイル名からは、タイ、マレーシアなど主に東南アジア諸国のユーザを狙っていることがうかがえます。一方では、中国語話者を対象とする偽アプリも確認されており、徐々にその狙いを変化あるいは拡大させている状況であると考えられます。弊社はこの調査結果をすでにGoogleに報告しており、問題の偽アプリと、他の類似のアプリは既にGoogle Playストアから削除されています。

WAPを使用した決済サービスは、ユーザがWAP対応のWebサイトからコンテンツを購入する際の支払い方法として広く使用されています。WAP対応の利点として、コンテンツの代金を直接ユーザの携帯電話の利用料、またはクレジットの利用分として請求することができるため、サービスの登録をして認証情報を入力しクレジットカードやデビットカードを使用するといった手間が簡易化されることがあります。しかし残念なことに、今回の不正アプリではこの利便性がサイバー犯罪者に狙われてしまったことになります。以下の図2は今回の偽アプリのレビュー画面の例ですが、モバイルのクレジット残高を失ってしまったことを訴える利用者の書き込みが確認できます。

図2:偽アプリ「Yellow Camera」のレビュー画面、「アプリのインストール後にスマホのクレジット残高がなくなった」と書かれている
図2:偽アプリ「Yellow Camera」のレビュー画面、「アプリのインストール後にスマホのクレジット残高がなくなった」と書かれている

■偽アプリ「Yellow Camera」の感染の流れ

以下は、偽アプリ「Yellow Camera」の感染の流れの概要図です。

図3:「Yellow Camera」の感染の流れ
図3:「Yellow Camera」の感染の流れ

  • WAPの決済サイトのアドレスとJavaScriptのペイロードを含む「[MCC + MNC] .log」が、「hxxp://<省略>[-]yellowcamera[.]s3[-]ap[-]southeast[-]1[.]<省略>[.]com」からダウンロードされます。「MCC(Mobile Country Code、モバイル国コード) 」は、SIMカードの運用地域を表す国コードです。 一方、「MNC(Mobile Network Code、モバイルネットワークコード)」は、モバイル通信キャリアごとの識別コードを表します。
  • WAP決済サイトはバックグラウンドで実行されます。アクセス/表示されるサイトは、「[MCC + MNC] .log」に基づいたモバイル通信キャリア固有のものです。
  • JavaScriptのペイロードは、ワイヤレス電話のモデル識別番号「Type Allocation Code(TAC)」のリクエストボタンを自動クリックします。このコードは、ワイヤレスデバイスを個別に識別するために使用されます。

図4:アプリによってダウンロードされるファイル「[MCC + MNC] .log」
図4:アプリによってダウンロードされるファイル「[MCC + MNC] .log」

図5:TACがリクエストされ、サブスクリプションが認証されたWAP決済サイト
図5:TACがリクエストされ、サブスクリプションが認証されたWAP決済サイト

偽アプリの活動を持続化させるため、「startForeground API」を利用してサービスをフォアグラウンド状態にします。システムは、ユーザが認識しているものとみなすため、デバイスのメモリが不足していたとしてもサービスはそのまま動作し続けます。

確認されたYellow Camera以外の偽アプリも同様にWAP使用の決済サービスを利用し、一定期間ごとに利用料を徴収する「サブスクリプション」のサービスを契約します。これらの偽アプリには類似のコードが利用されていましたが、Yellow Cameraアプリと同一の作成者あるいはグループによるものなのかは確認できていません。

■被害に遭わないためには

WAP決済サービスやプレミアムサービスへのサブスクリプションを利用した詐欺はこれまでにも確認されています。しかし、今回の不正アプリの事例では、デバイスの機能、特に通知機能の悪用の抑止を目的として設計されたセキュリティ制御を迂回する、以前とは異なる攻撃方法であると言えます。たとえば、以前確認された事例では、認証コードの取得はSMS(ショートメッセージサービス)に依存していました。そのため、「SMS に関する権限グループ」への制限が行われましたが、今回の事例は不正アプリをユーザにインストールさせれば、デバイス上の他の機能を悪用して、最終的に金銭の窃取が可能になることを示しています。
また、利用者に人気のアプリを偽装し、不正アプリをインストールさせる手口は常套手段となっています。特に、写真を美しく撮れる、あるいは加工できることをうたったカメラアプリやフォトアプリは、SNS(ソーシャルネットワーキングサービス、Social Networking Service)の流行により人気が高まっていることから、偽装されることが多くなっています。マーケットからアプリを入手する際は、デベロッパーなどの情報に注意して確認してください。特に、アプリのレビューを確認しましょう。他のユーザによるレビューは、不正アプリ、もしくは不審な動作を行うアプリを判別するのに役立ちます。

■トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けにはGoogle Playで利用可能な「ウイルスバスター モバイル for Android」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正 Web サイトのブロックに対応しています。

■侵入の痕跡(Indicators of Compromise、IoC)

侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。

参考記事:

翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)

「これはなるほどと思った」とある激安弁当屋が”店内をYouTubeで生配信”することで店長がタワマンに住むほど繁盛してしまった話 – Togetter

「これはなるほどと思った」とある激安弁当屋が"店内をYouTubeで生配信"することで店長がタワマンに住むほど繁盛してしまった話 - Togetter

「これはなるほどと思った」とある激安弁当屋が"店内をYouTubeで生配信"することで店長がタワマンに住むほど繁盛してしまった話 - Togetter

これはなるほど〜!ってなった。激安弁当なのに黒字にできている理由が常時YouTube配信で、客は在庫確認してから買いに行けるし、それが実質監視になっているから、万引きも無くなるわ人件費も削減できるわで、結果、店長さんはタワマンにお住まいだと。#TBS pic.twitter.com/umueLJKbWs

はてなブックマーク - 「これはなるほどと思った」とある激安弁当屋が"店内をYouTubeで生配信"することで店長がタワマンに住むほど繁盛してしまった話 - Togetter はてなブックマークに追加

組み体操「ピラミッド」岐路 伝統か安全か…各地で段数減や中止|文化・ライフ|地域のニュース|京都新聞

組み体操「ピラミッド」岐路 伝統か安全か…各地で段数減や中止|文化・ライフ|地域のニュース|京都新聞

組み体操「ピラミッド」岐路 伝統か安全か…各地で段数減や中止|文化・ライフ|地域のニュース|京都新聞

藤ノ森小で行われた組み体操のピラミッド。2段目の児童は足を地面につけ、安全に配慮した(10月16日、京都市伏見区) 小中学校の運動会で花形となってきた「組み体操」で、規模を縮小したり実施を取りやめたりと見直す動きが出ている。四つんばいで積み上がっていく「ピラミッド」や、肩の上に立って塔をつくる「タ...

はてなブックマーク - 組み体操「ピラミッド」岐路 伝統か安全か…各地で段数減や中止|文化・ライフ|地域のニュース|京都新聞 はてなブックマークに追加

マイクロソフト、「BlueKeep」脆弱性を悪用するさらなる攻撃の可能性について注意喚起 – ZDNet Japan

マイクロソフト、「BlueKeep」脆弱性を悪用するさらなる攻撃の可能性について注意喚起 - ZDNet Japan

マイクロソフト、「BlueKeep」脆弱性を悪用するさらなる攻撃の可能性について注意喚起 - ZDNet Japan

Microsoftは米国時間11月7日、「BlueKeep」脆弱性を突く、より破壊力の高い攻撃が迫りつつあるとし、パッチをまだ適用していないユーザーや企業に対して早急に適用するよう呼びかけた。 Microsoftによる警告は、BlueKeep脆弱性を悪用する初のマルウェアキャンペーンが複数のセキュリティリサーチャーらによって2日に発見...

はてなブックマーク - マイクロソフト、「BlueKeep」脆弱性を悪用するさらなる攻撃の可能性について注意喚起 - ZDNet Japan はてなブックマークに追加

人はロボットを信頼し過ぎる?「ソーシャルロボットが人間の行動に与える社会的な影響と潜在的なリスク」カスペルスキーとゲント大学の共同検証 | ロボスタ

人はロボットを信頼し過ぎる?「ソーシャルロボットが人間の行動に与える社会的な影響と潜在的なリスク」カスペルスキーとゲント大学の共同検証 | ロボスタ

人はロボットを信頼し過ぎる?「ソーシャルロボットが人間の行動に与える社会的な影響と潜在的なリスク」カスペルスキーとゲント大学の共同検証 | ロボスタ

シェア 6 ツイート 15 はてブ 3 サービスのデジタル化やモバイル化が世界中で急速に進み、多くの産業や家庭が自動化やロボットの使用に大きく期待したり、依存しようとしている。そんな中で、ロボットに関連するこれまで予想されていなかった新たな側面、「ロボットが人間の行動に与える社会的な影響と潜在的なリスク」...

はてなブックマーク - 人はロボットを信頼し過ぎる?「ソーシャルロボットが人間の行動に与える社会的な影響と潜在的なリスク」カスペルスキーとゲント大学の共同検証 | ロボスタ はてなブックマークに追加

認証の世界も「AI対AI」の戦いに? botを見破る技術「CAPTCHA」のハナシ (1/4) – ITmedia NEWS

認証の世界も「AI対AI」の戦いに? botを見破る技術「CAPTCHA」のハナシ (1/4) - ITmedia NEWS

認証の世界も「AI対AI」の戦いに? botを見破る技術「CAPTCHA」のハナシ (1/4) - ITmedia NEWS

ほとんどの人が日常的に行っている、ログイン(サインイン)などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受ける被害も多く、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者が対策するだけでなく、サービスの利用者も正しい知識を持...

はてなブックマーク - 認証の世界も「AI対AI」の戦いに? botを見破る技術「CAPTCHA」のハナシ (1/4) - ITmedia NEWS はてなブックマークに追加

プライベートクラウドとは?パブリッククラウドとの違いやそれぞれのメリットデメリットについて【テクノロジー・AI入門編】 | スマートホーム(スマートハウス)情報サイト | iedge

プライベートクラウドとは?パブリッククラウドとの違いやそれぞれのメリットデメリットについて【テクノロジー・AI入門編】 | スマートホーム(スマートハウス)情報サイト | iedge

プライベートクラウドとは?パブリッククラウドとの違いやそれぞれのメリットデメリットについて【テクノロジー・AI入門編】 | スマートホーム(スマートハウス)情報サイト | iedge

IT化によって業務のあり方も大きく変化してきています。特に最近になって大きなトレンドとなっているのが、「クラウド化」というキーワード。しかし、誰でもアクセスできる、カスタマイズ性が低いなどの点から、クラウドを危険視してなかなか導入に踏み切れない企業も少なくありません。 そんな企業におすすめなのが「プ...

はてなブックマーク - プライベートクラウドとは?パブリッククラウドとの違いやそれぞれのメリットデメリットについて【テクノロジー・AI入門編】 | スマートホーム(スマートハウス)情報サイト | iedge はてなブックマークに追加

githubで最もやべー関数を発掘する – Qiita

githubで最もやべー関数を発掘する - Qiita

githubで最もやべー関数を発掘する - Qiita

はじめに 先日、職場で「自分が 改修したor 書いちゃった いちばんやべー関数」ネタで盛り上がりました。 みんないろいろ話してくれましたが、やっぱり僕の書いた「コマンドパターンのメインループ関数(1500行)」の圧勝でした。 なんであんなコード書いたんだろ。 そこで、今日は僕の傷ついたプライド癒すべくgithubから...

はてなブックマーク - githubで最もやべー関数を発掘する - Qiita はてなブックマークに追加

Yakumoのコンテナの脆弱性検知と対応フローの紹介 – Cybozu Inside Out | サイボウズエンジニアのブログ

Yakumoのコンテナの脆弱性検知と対応フローの紹介 - Cybozu Inside Out | サイボウズエンジニアのブログ

Yakumoのコンテナの脆弱性検知と対応フローの紹介 - Cybozu Inside Out | サイボウズエンジニアのブログ

こんにちは、Yakumoチームの@ueokandeです。 好きなAWSサービスはCloudFormationです。 Yakumoプロジェクトは、US市場にKintoneを展開することをゴールとしたプロジェクトで、 その一環としてUS向けのお客様をターゲットにAmazon Web Service (AWS) 上にKintoneを移行しています。 本日はYakumoチームで取り組んでいるコ...

はてなブックマーク - Yakumoのコンテナの脆弱性検知と対応フローの紹介 - Cybozu Inside Out | サイボウズエンジニアのブログ はてなブックマークに追加

SMSで送信元の電話番号を偽装したメッセージを送る · Akaki I/O

SMSで送信元の電話番号を偽装したメッセージを送る · Akaki I/O

SMSで送信元の電話番号を偽装したメッセージを送る · Akaki I/O

SMSGangによる電番偽装 SMSGangから偽装したメッセージを送るには事前にPINコードを購入する必要がある。テストメッセージは無料で送信できるため、デバイスで受信できることを確認してからPINコードを購入したい。SMSGangがサポートしている通信事業者を確認すると、日本ではDOCOMO回線とSoftBank回線が対象になってい...

はてなブックマーク - SMSで送信元の電話番号を偽装したメッセージを送る · Akaki I/O はてなブックマークに追加

MESSAGETAP:あなたのSMSは密かに読まれている? | FireEye Inc

MESSAGETAP:あなたのSMSは密かに読まれている? | FireEye Inc

MESSAGETAP:あなたのSMSは密かに読まれている? | FireEye Inc

FireEye Mandiantは先ごろ、APT41(中国のAPTグループ)が使用する新しいマルウェア・ファミリーを発見しました。このマルウェアは、後で盗み出すために、特定の電話番号、IMSI番号、キーワードからSMSトラフィックを監視し、保存します。MESSAGETAPと命名されたこのツールは、中国のスパイ活動を支援するため、APT41に...

はてなブックマーク - MESSAGETAP:あなたのSMSは密かに読まれている? | FireEye Inc はてなブックマークに追加

大澤昇平 :: AI 救国論 🇺🇳 on Twitter: “俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09”

大澤昇平 :: AI 救国論 🇺🇳 on Twitter: "俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09"

大澤昇平 :: AI 救国論 🇺🇳 on Twitter: "俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09"

俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09

はてなブックマーク - 大澤昇平 :: AI 救国論 🇺🇳 on Twitter: "俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09" はてなブックマークに追加

macOSのデフォルトメールアプリ「Apple Mail」で暗号化されたメッセージの内容が、Siriで利用するデータベースにプレーンテキストのまま保存されてしまう問題が確認される。 | AAPL Ch.

macOSのデフォルトメールアプリ「Apple Mail」で暗号化されたメッセージの内容が、Siriで利用するデータベースにプレーンテキストのまま保存されてしまう問題が確認される。 | AAPL Ch.

macOSのデフォルトメールアプリ「Apple Mail」で暗号化されたメッセージの内容が、Siriで利用するデータベースにプレーンテキストのまま保存されてしまう問題が確認される。 | AAPL Ch.

macOSのデフォルトメールアプリ「Apple Mail」で暗号化されたメッセージの内容が、Siriのデータベースに暗号化されないまま保存されてしまう問題が確認されているそうです。詳細は以下から。  アメリカ国立標準技

はてなブックマーク - macOSのデフォルトメールアプリ「Apple Mail」で暗号化されたメッセージの内容が、Siriで利用するデータベースにプレーンテキストのまま保存されてしまう問題が確認される。 | AAPL Ch. はてなブックマークに追加

「WEP」を無線LANのセキュリティに使ってはいけない理由 専門家の推奨は?:無線LANのセキュリティプロトコルを知る【前編】 – TechTargetジャパン セキュリティ

「WEP」を無線LANのセキュリティに使ってはいけない理由 専門家の推奨は?:無線LANのセキュリティプロトコルを知る【前編】 - TechTargetジャパン セキュリティ

「WEP」を無線LANのセキュリティに使ってはいけない理由 専門家の推奨は?:無線LANのセキュリティプロトコルを知る【前編】 - TechTargetジャパン セキュリティ

関連キーワード Wi-Fi | 無線LAN | 暗号化 | セキュリティ 無線LANのセキュリティを確保するには、適切なレベルのセキュリティプロトコルを選ぶことが重要だ。その選択次第で、無線LANは攻撃に弱い“わらの家”にもなれば、強固に防御された“とりで”にもなる。 ほとんどの無線LANアクセスポイント(AP)は、無線LANセキュ...

はてなブックマーク - 「WEP」を無線LANのセキュリティに使ってはいけない理由 専門家の推奨は?:無線LANのセキュリティプロトコルを知る【前編】 - TechTargetジャパン セキュリティ はてなブックマークに追加

なぜ、IT技術者は普通の人に情報モラルを教えられないのか #KOF2019 – Togetter

なぜ、IT技術者は普通の人に情報モラルを教えられないのか #KOF2019 - Togetter

なぜ、IT技術者は普通の人に情報モラルを教えられないのか #KOF2019 - Togetter

リンク k-of.jp 197 なぜ、IT技術者は普通の人に情報モラルを教えられないのか 子どもたちやIT系でない人たちが誤解しがちな、情報モラルやセキュリティ。IT技術者が普通の人に正しく伝えるための方法を、「理解ではなく共感」「頭ではなく体」などのコツと共にお伝えします。

はてなブックマーク - なぜ、IT技術者は普通の人に情報モラルを教えられないのか #KOF2019 - Togetter はてなブックマークに追加

JVNDB-2019-000068 – JVN iPedia – 脆弱性対策情報データベース

JVNDB-2019-000068 - JVN iPedia - 脆弱性対策情報データベース

JVNDB-2019-000068 - JVN iPedia - 脆弱性対策情報データベース

楽天株式会社が提供するスマートフォンアプリ「ラクマ」には、認証に関する情報が漏えいする脆弱性 (CWE-200) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 ...

はてなブックマーク - JVNDB-2019-000068 - JVN iPedia - 脆弱性対策情報データベース はてなブックマークに追加

ランサムウェアに感染したら、再起動はしない – 研究者らアドバイス | マイナビニュース

ランサムウェアに感染したら、再起動はしない - 研究者らアドバイス | マイナビニュース

ランサムウェアに感染したら、再起動はしない - 研究者らアドバイス | マイナビニュース

Fossbytesは11月6日(米国時間)、「Don't Reboot Your PC After A Ransomware Attack, Warn Experts」において、ランサムウェアに感染した場合はPCを再起動しないようにと伝えた。セキュリティ研究者らのアドバイスを引用する形で、ランサムウェア感染後にPCを再起動すると状況がより悪化すると指摘している。 記事では、...

はてなブックマーク - ランサムウェアに感染したら、再起動はしない - 研究者らアドバイス | マイナビニュース はてなブックマークに追加

全省庁に20年秋からクラウド 安保に配慮し採用  :日本経済新聞

全省庁に20年秋からクラウド 安保に配慮し採用  :日本経済新聞

全省庁に20年秋からクラウド 安保に配慮し採用  :日本経済新聞

政府は全省庁のシステムを2020年秋から順次、データを集中管理してインターネット経由で使うクラウドに切り替える。12月にもクラウド企業の採用基準を決め、海外の企業に日本国内へのデータセンター設置などを求める。安全保障に配慮し、基準を満たした企業を公開して民間にも活用を呼びかける。データ管理を国内に制限...

はてなブックマーク - 全省庁に20年秋からクラウド 安保に配慮し採用  :日本経済新聞 はてなブックマークに追加

Curl to shell isn’t so bad

Curl to shell isn't so bad

Curl to shell isn't so bad

Piping curl to s(hell) claims that using curl example.com/install.sh | sh to install software is a “glaring security vulnerability”. I’ve seen this claim many times in other places as well, with strong terms like “malpractice”. I don’t get it. you’re not running some random shell script from a ra...

はてなブックマーク - Curl to shell isn't so bad はてなブックマークに追加

スパイもサイバー空間に進出、数十億ドルの投資が無駄になる深刻事情 |ビジネス+IT

スパイもサイバー空間に進出、数十億ドルの投資が無駄になる深刻事情 |ビジネス+IT

スパイもサイバー空間に進出、数十億ドルの投資が無駄になる深刻事情 |ビジネス+IT

「espionage」(エスピオナージ)という言葉は、もともと「スパイ活動」「諜報活動」を指すが、最近では「各国の諜報機関がサイバー空間上で政府機関や企業情報を盗み出す攻撃手法という意味で用いられる。そこで、国立情報学研究所 サイバーセキュリティ研究開発センター 特任准教授の安藤類央氏がサイバー空間における...

はてなブックマーク - スパイもサイバー空間に進出、数十億ドルの投資が無駄になる深刻事情 |ビジネス+IT はてなブックマークに追加

気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 | AbemaTIMES

気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 | AbemaTIMES

気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 | AbemaTIMES

気象庁は6日、「気象庁の報道発表を装ったメール」に対する注意喚起をTwitterやホームページで行った。 気象庁の発表によると、偽メールは「津波と地震の『早期警報モバイルアプリ』が開発され、そのアプリをダウンロードすると地震活動の開始後、数秒以内に携帯電話やパソコンに通知が届く」という内容で、アプ…

はてなブックマーク - 気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 | AbemaTIMES はてなブックマークに追加

桜を見る会関係のSNS投稿記事が続々削除(笑) – Togetter

桜を見る会関係のSNS投稿記事が続々削除(笑) - Togetter

桜を見る会関係のSNS投稿記事が続々削除(笑) - Togetter

参院予算委。共産・田畑智子議員による「桜を見る会」関連の質問がとてもいい。田畑議員による質問に政府や安倍首相はまともに答えていないが、質問内容が事実だとすると同会が自民党の集票システム、後援会活動になっている疑いが強い。早速、官邸から参加議員のブログ削除の指令が出るのでは…。

はてなブックマーク - 桜を見る会関係のSNS投稿記事が続々削除(笑) - Togetter はてなブックマークに追加

「桜を見る会」の私物化

「桜を見る会」の私物化

「桜を見る会」の私物化

Photo by Anthony DELANOIX on Unsplash 毎年4月に新宿御苑で開催される「桜を見る会」の、首相・安倍晋三による私物化が指摘されて久しい。 この問題について2019年11月8日、参院予算委員会で日本共産党の田村智子議員が安倍を徹底的に追及した。 安倍は例によってまともに答えることもできず、答弁を押し付けられた官...

はてなブックマーク - 「桜を見る会」の私物化 はてなブックマークに追加

東大大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 – Togetter

東大大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter

東大大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter

1. 概要 東京大学大学院情報学環の大澤昇平特任准教授(@Ohsaworks)が、信頼できるサイトの見分け方と称して 「ブラウザで鍵マークがつき、緑色の表示がされたサイトは90%安全」(要約) と発言。 これに対し「技術的に根拠がない」「一般の方に誤った印象を与えかねない発言」といった趣旨の批判が多く寄せられ、一部のセ...

はてなブックマーク - 東大大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter はてなブックマークに追加

東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 – Togetter

東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter

東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter

【2019/11/09 20:00】コメント・一部記述を追加。 【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。 【2019/11/10 17:50】大澤氏のコメントを追加。 【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。

はてなブックマーク - 東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。 - Togetter はてなブックマークに追加

Googleが2段階認証の仕様を変更、キャリアメールアドレスへの送信が不可に

hylom 曰く、

Googleは12月1日に2段階認証プロセスを変更し、キャリアメールへのログイン確認コード送信を廃止する(Google Japan Blogの記事Impress Watchの記事)。

これにより携帯電話キャリアが提供する「docomo.ne.jp」「ezweb.ne.jp」「softbank.ne.jp」などのドメインのメールアドレスを確認コードの送信先として設定しているユーザーはログインできなくなるため、12月1日までに変更するようアナウンスが行われている。

すべて読む | モバイルセクション | Google | セキュリティ | 携帯電話 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Avast、サプライチェーン攻撃を受けていたことを公表 2019年10月24日
Twitter、ユーザーがセキュリティ目的で提供した情報を広告に使用していた可能性があると発表 2019年10月11日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる 2019年08月30日
Google、二要素認証用の「Titanセキュリティーキー」を日本でも発売 2019年08月02日
クロネコメンバーズの二段階認証、スマホ向けログイン画面には実装されていなかった 2019年07月29日
Android端末が物理セキュリティキー代わりに、Bluetooth経由で接続して利用可能に 2019年04月15日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 2016年07月26日
Googleが使い勝手の良い二段階認証を導入。PCのサインインをスマホ側で承認可能に 2016年06月23日
JALが携帯電話を使わない二段階認証を採用 2014年08月04日
Googleの2段階認証を突破する方法が発見される 2013年02月27日

macOS暗号化メールの一部が平文保存されるバグ発見。アップルは修正を約束 – Engadget 日本版

macOS暗号化メールの一部が平文保存されるバグ発見。アップルは修正を約束 - Engadget 日本版

macOS暗号化メールの一部が平文保存されるバグ発見。アップルは修正を約束 - Engadget 日本版

この脆弱性を報告したのは、アップル製品を専門としたITスペシャリストであるBob Gendler氏です。Gendler氏によると、この不具合はSiriに関連したバグによるもの。Siriはユーザーに適切に応答するために、純正メールやその他のアプリからの情報を保存したmacOS内のデータベースを使用しています。それ自体はSiriがユーザ...

はてなブックマーク - macOS暗号化メールの一部が平文保存されるバグ発見。アップルは修正を約束 - Engadget 日本版 はてなブックマークに追加

AWS での多エレメント認証 (MFA) の使用 – Qiita

AWS での多エレメント認証 (MFA) の使用 - Qiita

AWS での多エレメント認証 (MFA) の使用 - Qiita

はじめに セキュリティ対策はいつでもどこでも十分対応する必要があります。 特に重要な情報管理ではID/PWでログインだけは危ないと思われます。 ID、PWの強度設計は強化するほか、多エレメント認証 (MFA) の使用でリスクを低減できます。 MFAとは MFAはMulti-Factor Authenticationです。「多要素認証」、「多エレメン...

はてなブックマーク - AWS での多エレメント認証 (MFA) の使用 - Qiita はてなブックマークに追加

池袋暴走事故、運転の飯塚元院長「おごりあった」 TBS NEWS

池袋暴走事故、運転の飯塚元院長「おごりあった」 TBS NEWS

池袋暴走事故、運転の飯塚元院長「おごりあった」 TBS NEWS

東京・池袋で乗用車が暴走し12人が死傷した事故で、運転していた飯塚幸三元院長が先月、JNNの取材に対し「体力に自信があったが、おごりもあった」と話しました。警視庁は、元院長を来週にも書類送検する方針です。 この事故は今年4月、東京の池袋駅近くの路上で乗用車が暴走し、松永真菜さん(31)と娘の莉子ち...

はてなブックマーク - 池袋暴走事故、運転の飯塚元院長「おごりあった」 TBS NEWS はてなブックマークに追加

首里城火災、屋内の配線近くの延長コードにショート痕、火災前の現場動画には剥き出しで通路に這わせてる杜撰さが残る – Togetter

首里城火災、屋内の配線近くの延長コードにショート痕、火災前の現場動画には剥き出しで通路に這わせてる杜撰さが残る - Togetter

首里城火災、屋内の配線近くの延長コードにショート痕、火災前の現場動画には剥き出しで通路に這わせてる杜撰さが残る - Togetter

動画に残された状況観るに、工事業務の人がっていうより電気系統の知識のない県職員もしくは管理関係者が家庭用のを持ち込んで仮置き状態だったってカンジ。 んにしたって、ノートルダム大聖堂の件があってからきちんとした対応取ってればもしかしたら、ってこういう情報が出てくると思ってしまいますね…。

はてなブックマーク - 首里城火災、屋内の配線近くの延長コードにショート痕、火災前の現場動画には剥き出しで通路に這わせてる杜撰さが残る - Togetter はてなブックマークに追加

Galaxy S8+などAndroid端末にベースバンド脆弱性、通話傍受から個人情報窃取も | TechCrunch Japan

Galaxy S8+などAndroid端末にベースバンド脆弱性、通話傍受から個人情報窃取も | TechCrunch Japan

Galaxy S8+などAndroid端末にベースバンド脆弱性、通話傍受から個人情報窃取も | TechCrunch Japan

セキュリティ専門家は人気あるAndroid端末多数に脆弱性を発見した。アクセサリーのアプリが端末のベースバンド情報にアクセスできてしまう脆弱性を利用しており、被害は所有者のプライバシー情報の漏洩から接続の完全なブロックまでさまざまな可能性がある。 攻撃者はアクセサリーのアクセスを利用して、脆弱性のある端...

はてなブックマーク - Galaxy S8+などAndroid端末にベースバンド脆弱性、通話傍受から個人情報窃取も | TechCrunch Japan はてなブックマークに追加

ネットでさらされる民主派の個人情報 背後に中国政府か 香港 写真1枚 国際ニュース:AFPBB News

ネットでさらされる民主派の個人情報 背後に中国政府か 香港 写真1枚 国際ニュース:AFPBB News

ネットでさらされる民主派の個人情報 背後に中国政府か 香港 写真1枚 国際ニュース:AFPBB News

ガイ・フォークスの仮面をつけたデモ参加者。香港にて(2019年10月6日撮影)。(c)Nicolas ASFOURI / AFP 【11月9日 AFP】香港民主活動家らの個人情報が、「鉄壁」ともいえるほど匿名性の高いウェブサイトでさらされている。ロシアのサーバーを使っているこのサイトは中国共産党関連団体の後押しを受けており、掲載を止め...

はてなブックマーク - ネットでさらされる民主派の個人情報 背後に中国政府か 香港 写真1枚 国際ニュース:AFPBB News はてなブックマークに追加

Twitter社従業員、サウジアラビア王室批判投稿者の個人情報をサウジアラビア関係者に売る

Twitter社の従業員2名が、Twitterでサウジアラビア王室を批判するような投稿を行っていたTwitterユーザーのメールアドレスや生年月日、電話番号などをサウジアラビア当局関係者に提供し、見返りに腕時計や現金などを受け取っていたという(日経新聞)。

この従業員2名は米司法省によってスパイ容疑で起訴されているとのこと。不正にアクセスされた個人情報は6000件以上に上るという。

すべて読む | セキュリティセクション | Twitter | 情報漏洩 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Twitter、政治広告を禁止に 2019年11月02日
テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 2019年03月03日
サウジ政府公式アプリの親族女性の位置を追跡できる機能に対し批判、同政府は問題なしと主張 2019年02月20日
朝日新聞のTwitterアカウント、乗っ取られて詐欺の宣伝に使われる 2018年11月13日
Twitter、自社CEOのアカウントを短時間停止するトラブル 2016年11月26日

次期iOS 13.3のSafariではU2FやFIDO2/WebAuthn準拠のUSB/Lightning/NFCセキュリティキーがサポートされるもよう。 | AAPL Ch.

次期iOS 13.3のSafariではU2FやFIDO2/WebAuthn準拠のUSB/Lightning/NFCセキュリティキーがサポートされるもよう。 | AAPL Ch.

次期iOS 13.3のSafariではU2FやFIDO2/WebAuthn準拠のUSB/Lightning/NFCセキュリティキーがサポートされるもよう。 | AAPL Ch.

次期iOS 13.3のSafariではU2FやFIDO2/WebAuthn準拠のUSB/Lightning/NFCセキュリティキーがサポートされるようです。詳細は以下から。  Appleは2019年06月に開催したWW

はてなブックマーク - 次期iOS 13.3のSafariではU2FやFIDO2/WebAuthn準拠のUSB/Lightning/NFCセキュリティキーがサポートされるもよう。 | AAPL Ch. はてなブックマークに追加

Security assessment techniques for Go projects | Trail of Bits Blog

Security assessment techniques for Go projects | Trail of Bits Blog

Security assessment techniques for Go projects | Trail of Bits Blog

The Trail of Bits Assurance practice has received an influx of Go projects, following the success of our Kubernetes assessment this summer. As a result, we’ve been adapting for Go projects some of the security assessment techniques and tactics we’ve used with other compiled languages. We started ...

はてなブックマーク - Security assessment techniques for Go projects | Trail of Bits Blog はてなブックマークに追加

キャリアメールは使えません。Googleの2段階認証がポリシー変更 – Engadget 日本版

キャリアメールは使えません。Googleの2段階認証がポリシー変更 - Engadget 日本版

キャリアメールは使えません。Googleの2段階認証がポリシー変更 - Engadget 日本版

Google Japanは2段階認証のポリシーを変更。認証コードの送付先からキャリアメールを排除すると発表しました。 この変更はセキュリティの向上を目的としたもの。12月1日以降はキャリアメール(@ezweb.ne.jp、@docomo.ne.jp、@softbank.ne.jp等)で認証コードを受け取れなくなります。 2段階認証のコードを受信できないと...

はてなブックマーク - キャリアメールは使えません。Googleの2段階認証がポリシー変更 - Engadget 日本版 はてなブックマークに追加

パソコンのウイルス感染による情報流出の可能性に関するお知らせとお詫び |ニッポンレンタカー

パソコンのウイルス感染による情報流出の可能性に関するお知らせとお詫び |ニッポンレンタカー

パソコンのウイルス感染による情報流出の可能性に関するお知らせとお詫び |ニッポンレンタカー

2019年11月5日 この度、弊社のお客様からの問い合わせ等へのメール対応を行っていたパソコン1台(以下、「当該パソコン」といいます)が、コンピューターウイルスに感染したことにより、当該パソコンに保存されていたお客様情報が流出した可能性について調査していることをご報告申し上げます。 このような事態を招き、...

はてなブックマーク - パソコンのウイルス感染による情報流出の可能性に関するお知らせとお詫び |ニッポンレンタカー はてなブックマークに追加

『ゼロトラストネットワーク』を読んだ感想 – 虎の穴開発室ブログ

『ゼロトラストネットワーク』を読んだ感想 - 虎の穴開発室ブログ

『ゼロトラストネットワーク』を読んだ感想 - 虎の穴開発室ブログ

皆さんこんにちは。 虎の穴ラボのY.Fです。 今回は、いつものプログラミング系の記事とは趣向を変えて、株式会社オライリー・ジャパン様から発刊されている『ゼロトラストネットワーク』を読んだので、感想などをつらつら書いていきたいと思います。 www.oreilly.co.jp 読んだ動機 弊社ではオライリーの年間定期購読に申...

はてなブックマーク - 『ゼロトラストネットワーク』を読んだ感想 - 虎の穴開発室ブログ はてなブックマークに追加

首里城火災 コード溶けた痕30カ所 正殿北東の電気設備 火災直前に白い発光体の映像も(琉球新報) – Yahoo!ニュース

首里城火災 コード溶けた痕30カ所 正殿北東の電気設備 火災直前に白い発光体の映像も(琉球新報) - Yahoo!ニュース

首里城火災 コード溶けた痕30カ所 正殿北東の電気設備 火災直前に白い発光体の映像も(琉球新報) - Yahoo!ニュース

那覇市首里当蔵町の首里城正殿など主要7棟が焼失した火災で、那覇市消防局は7日、市銘苅の同消防局で記者会見した。電気系統設備が最も集中している正殿北東の部屋が出火場所とみており、その部屋の分電盤の床下配線と、分電盤側面のコンセントに取り付けられていた延長コードが見つかった。その両方に、溶融痕があった...

はてなブックマーク - 首里城火災 コード溶けた痕30カ所 正殿北東の電気設備 火災直前に白い発光体の映像も(琉球新報) - Yahoo!ニュース はてなブックマークに追加

生活保護費と同額支給の代わりに、プライベート情報を全て収集・マネタイズする社会実験Exographがスタート|株式会社Plasmaのプレスリリース

生活保護費と同額支給の代わりに、プライベート情報を全て収集・マネタイズする社会実験Exographがスタート|株式会社Plasmaのプレスリリース

生活保護費と同額支給の代わりに、プライベート情報を全て収集・マネタイズする社会実験Exographがスタート|株式会社Plasmaのプレスリリース

株式会社Plasma(東京都目黒区、代表取締役 遠野宏季)は、11月1日からデータ経済と資本主義の次を模索する社会実験Exographを行います。 この社会実験では、東京都内23区の30歳前後の人々に支給される生活保護費用132,930円を提供する代わりに、その私生活データを動画で収集し、その費用を賄うことに挑戦します。 株...

はてなブックマーク - 生活保護費と同額支給の代わりに、プライベート情報を全て収集・マネタイズする社会実験Exographがスタート|株式会社Plasmaのプレスリリース はてなブックマークに追加

東急、全車両にソフトバンク回線を使った通信機能付きの防犯カメラを設置へ

nemui4曰く、

東急電鉄が2020年7月までにLED蛍光灯一体型の防犯カメラを導入する(東急電鉄の発表ITmedia)。

さすが東急、電鉄系で一番稼いでるんでしたっけ。痴漢が多いとの噂のJR路線にもこれ入れないのかな。

この防犯カメラはソフトバンクの4Gデータ通信モジュールを内蔵しており、トラブル発生時に遠隔地からでもほぼリアルタイムで記録映像を確認できるという。2019年に一部車両ですでに試験導入が行われていたが、今回正式導入が決まったとのこと。

すべて読む | セキュリティセクション | セキュリティ | 交通 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ユナイテッド航空、プライバシーが懸念されていた機内エンターテインメントシステムのカメラにシールを貼る 2019年04月30日
中国の人工知能スタートアップ、歩き方で個人を特定する技術を開発 2019年03月01日
AIによる防犯カメラの解析で万引き犯逮捕 2018年12月13日
東京メトロと都営地下鉄、車内に監視カメラを設置へ 2017年03月16日
米国で鉄道やバスなどの公共交通機関が乗客の会話を録音していたことが発覚 2016年07月06日

AWS セキュリティが IoT セキュリティのホワイトペーパー(日本語版)を公開しました | Amazon Web Services ブログ

AWS セキュリティが IoT セキュリティのホワイトペーパー(日本語版)を公開しました | Amazon Web Services ブログ

AWS セキュリティが IoT セキュリティのホワイトペーパー(日本語版)を公開しました | Amazon Web Services ブログ

Amazon Web Services ブログ AWS セキュリティが IoT セキュリティのホワイトペーパー(日本語版)を公開しました IoT デバイスや IoT デバイスが生成するデータセキュリティについて、理解を深めて適切に対処していただけるように、AWS による IoT ( モノのインターネット) のセキュリティ保護ホワイトペーパーを発行しま...

はてなブックマーク - AWS セキュリティが IoT セキュリティのホワイトペーパー(日本語版)を公開しました | Amazon Web Services ブログ はてなブックマークに追加