月別アーカイブ: 2018年8月

ユーザーに改変してほしくない処理をJavaScriptで書いてしまう危険性について

ユーザーに改変してほしくない処理をJavaScriptで書いてしまう危険性について

ユーザーに改変してほしくない処理をJavaScriptで書いてしまう危険性について

ユーザーに改変してほしくない処理をJavaScriptで書いてしまうことは、とても危険です。なぜ危険で、どれほどクリティカルな問題なのかということを書いていきたいと思います。 ユーザーを信用してはいけない まず、大前提としてプログラミングの世界ではユーザーから入力されるデータや送られてくるデータを信用しては...

はてなブックマーク - ユーザーに改変してほしくない処理をJavaScriptで書いてしまう危険性について はてなブックマークに追加

Firefox、表示を遅くする広告トラッキングをデフォルトで無効化へ。バージョン63で採用 – Engadget 日本版

Firefox、表示を遅くする広告トラッキングをデフォルトで無効化へ。バージョン63で採用 - Engadget 日本版

Firefox、表示を遅くする広告トラッキングをデフォルトで無効化へ。バージョン63で採用 - Engadget 日本版

Mozillaが、Firefoxブラウザーのトラッキング防止機能をデフォルトで有効化すると発表しました。 ウェブサイトではユーザーの行動を追跡することで広告の最適化などを図っているものの、大量のトラッカーがユーザーをつけまわしている状態はブラウザーの処理速度を低下させるというのがその理由。ただし、設定でトラッキ...

はてなブックマーク - Firefox、表示を遅くする広告トラッキングをデフォルトで無効化へ。バージョン63で採用 - Engadget 日本版 はてなブックマークに追加

最先端セキュリティは物理鍵にあり! Google社内で使われているFIDO認証キー「Titan Security Key」が一般販売スタート

最先端セキュリティは物理鍵にあり! Google社内で使われているFIDO認証キー「Titan Security Key」が一般販売スタート

最先端セキュリティは物理鍵にあり! Google社内で使われているFIDO認証キー「Titan Security Key」が一般販売スタート

最先端セキュリティは物理鍵にあり! Google社内で使われているFIDO認証キー「Titan Security Key」が一般販売スタート2018.08.31 18:00 そうこ これは使ってみたい! Google(グーグル)が、新たなセキュリティ対策として、物理キー「Titan Security Key」の販売を、スタートしました。BluetoothキーとUSAキータイプの2つが...

はてなブックマーク - 最先端セキュリティは物理鍵にあり! Google社内で使われているFIDO認証キー「Titan Security Key」が一般販売スタート はてなブックマークに追加

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

2018年7月観測レポートサマリー DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントトピック セキュリティインシデントカレンダー 2018年7月観測レポートサマリー 当月も前月までと同様に、DDoS攻撃やマルウェアを利用した攻撃など、様々...

はてなブックマーク - wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ はてなブックマークに追加

韓国を狙うサプライチェーン攻撃「Red Signature作戦」について解説

トレンドマイクロは、マルウェア解析を専門とするグループ「IssueMakersLab」と共同で、韓国の法人組織を標的とするサプライチェーン攻撃「Red Signature 作戦」に関する調査を行いました。サプライチェーン攻撃とは、ソフトウェアもしくはハードウェアのライフサイクルを侵害する攻撃です。ソフトウェアの場合、不正プログラムが混入した正規ソフトによってその利用者が感染被害に遭うというような事例が典型的です。本記事で解説する攻撃は、2018 年 7 月下旬に確認され、韓国の報道機関によって 8 月 6 日に報告されました。

Red Signature 作戦の攻撃者は、まず初めに遠隔支援ツールプロバイダの電子証明書を窃取してマルウェアに署名し、攻撃者が管理するサーバにアップロードします。次に、遠隔支援ツールの更新サーバを侵害し、遠隔支援ツールの更新プロセスを通して攻撃者の関心を引くユーザに「9002 RAT」と呼ばれる「Remote Access Tool(RAT)」を送り込みます。侵害した更新サーバは、標的企業の IP アドレスの範囲からアクセスされた場合にのみ不正ファイルを送信するように設定されています。

9002 RAT は、Microsoft Internet Information Services(IIS)6.0 の WebDAV コンポーネントの脆弱性「CVE-2017-7269」を利用する脆弱性攻撃ツールや、SQL データベースからパスワードを出力するツールを追加でインストールします。これらのツールの機能から、攻撃者は標的企業の Web サーバおよびデータベースに保存された情報を狙っていることがうかがえます。

「Red Signature 作戦」の攻撃の流れ

図 1:「Red Signature 作戦」の攻撃の流れ

Red Signature 作戦の攻撃の流れは以下の通りです。

  1. 遠隔支援ツールプロバイダからコード署名に使用する電子証明書を窃取(トレンドマイクロが2018 年 4 月 8 日に確認したマルウェア「ShiftDoor」(ハッシュ値:4ae4aed210f2b4f75bdb855f6a5c11e625d56de2)がこの証明書によって署名されていたことから、この証明書は 2018 年 4 月頃には窃取されていたと考えられる)
  2. 不正な更新ファイルを準備し、窃取した証明書を利用して署名、攻撃者のサーバ「207[.]148[.]94[.]157」にアップロード
  3. 遠隔支援ツールプロバイダの更新サーバをハッキング
  4. 遠隔支援ツールのユーザが標的企業の IP アドレスの範囲からアクセスした場合に、攻撃者のサーバから不正な更新ファイル “update.zip” を受信するように更新サーバを設定
  5. 遠隔支援ツール実行時に不正な更新ファイル “update.zip” をユーザに送信
  6. 遠隔支援ツールは、不正な更新ファイル”update.zip” を通常の更新ファイルとして認識し、含まれている 9002 RAT を実行
  7. 9002 RAT が、攻撃者のサーバから追加の不正ファイルをダウンロードして実行

■技術的な解析

不正な更新ファイル “update.zip” には、”update.ini” というファイルが含まれています。遠隔支援ツールは、”update.ini” で指定されたファイル “file000.zip” および “file001.zip” をダウンロードし、”rcview40u.dll” および “rcview.log”というファイル名でインストールフォルダに解凍します。

次に、遠隔支援ツールが、Windows の正規ツール「Microsoft register server(regsvr32.exe)」を使用し、窃取した証明書によって署名された不正なダイナミック・リンク・ライブラリ(DLL)ファイル “rcview40u.dll” を実行します。この不正な DLL は、暗号化された “rcview.log” を復号し、メモリ内で実行します。この “rcview.log” に含まれた 9002 RATがコマンド&コントロール(C&C)サーバ「66[.]42[.]37[.]101」と通信します。

遠隔支援ツールの不正な更新設定

図 2:遠隔支援ツールの不正な更新設定

図

侵害された更新プロセスが「9002 RAT」を起動

図 3:侵害された更新プロセスが「9002 RAT」を起動

暗号化された

図 4:暗号化された “rcview.log” で、「9002 RAT」の既知の文字列パターンを確認

■「9002 RAT」の相関分析

9002 RAT を解析したところ、この RAT は 2018 年 7 月 17 日にコンパイルされており、”update.zip” 内の設定ファイルは 7 月 18 日に作成されていることが分かりました。

「9002 RAT」のコンパイル日時

図 5:「9002 RAT」のコンパイル日時

図 6:”update.zip” 内の不正な設定ファイルの更新日時

更新ログを解析したところ、遠隔支援ツールは 7 月 18 日 13 時 35 分頃に更新プロセスを開始し、9002 RAT をダウンロードおよび実行していました。

遠隔支援ツールの更新ログ

図 7:遠隔支援ツールの更新ログ

今回確認された攻撃で利用された 9002 RAT は、2018 年 8 月に活動を停止する設定になっていました。つまり、この RAT の活動期間は、7 月 18 日から 7 月 31 日という非常に短い期間だったと考えられます。

システム時刻が 2018 年 8 月以降だった場合動作を停止するコード

図 8:システム時刻が 2018 年 8 月以降だった場合動作を停止するコード

■追加の不正ツール

9002 RAT は、追加の不正ツールを送り込む役割も担っています。不正ツールのほとんどは、「Microsoft Cabinet 形式(拡張子:「.cab」)」で圧縮されたファイルとしてダウンロードされます。これは、セキュリティ対策ソフトによる検出を逃れるための手法だと考えられます。

ダウンロードされたキャビネットファイル

図 9:ダウンロードされたキャビネットファイル “Web.ex_”(左)解凍された “Web.exe”(右)

以下は、9002 RAT が感染 PC にダウンロードするファイルの一覧です。

ファイル名 ツール 目的
dsget.exe DsGet Windows のディレクトリサービス「Active Directory」のオブジェクトの照会
dsquery.exe DsQuery Active Directory のオブジェクトの検索
sharphound.exe SharpHound Active Directory の情報を収集
aio.exe All In One (AIO) ハッキング

(AIO は一般公開されたハッキングツール)

ssms.exe SQL データベースのパスワードダンピングツール SQL データベースからパスワードを出力
printdat.dll 「PlugX(※注)」の亜種 RAT 活動
w.exe IIS 6 WebDav 脆弱性攻撃ツール 「CVE-2017-7269 (IIS 6)」を利用する脆弱性攻撃
Web.exe WebBrowserPassView ブラウザに保存されたパスワードの復旧
smb.exe Scanner PC のWindows のバージョンとコンピュータ名をスキャン
m.exe カスタマイズした「Mimikatz」(32bit版と64bit版を含む) PC のパスワードとActive Directoryの認証情報を検証

※注:遠隔操作ツール「PlugX」は、株式会社 地理情報開発から提供されている PlugX(R) シリーズとは無関係な不正なプログラムです。

表 1:「9002 RAT」が感染 PC に送り込むファイル一覧

ダウンロードされるファイルの 1 つ”printdat.dll” は、RAT「PlugX」の亜種です。この RAT は、C&Cサーバ「66[.]42[.]37[.]101」と通信します。図 10 のような日付けと思われる dword 型のデータは PlugX で確認される特徴の 1 つです。

図 10:”printdat.dll” 内の PlugX で確認された dword 型の日付け

■サプライチェーン攻撃の被害に遭わないためには

サプライチェーン攻撃は、ユーザおよび企業に直接被害を与えるだけでなく、ベンダと顧客との信頼関係にも影響を与えます。不正なソフトウェアまたはアプリケーションを密かに送り込んだり、それらを実行するインフラストラクチャやプラットフォームを操作したりすることにより、サプライチェーン攻撃は、標的企業が提供する商品やサービスの整合性とセキュリティに影響を与えます。例えば、サードパーティ製またはクラウドベースのサービスに大きく依存しているヘルスケア業界では、サプライチェーン攻撃は、個人情報の機密性や知的財産をリスクにさらし、病院業務の中断や、さらには患者の健康被害さえ引き起こす可能性があります。また、EU 一般データ保護規則(GDPR)のような規則の対象に該当する場合、その影響はさらに深刻なものとなります。

以下は、サプライチェーン攻撃に対処するベストプラクティスです。

  • サードパーティ製の製品やサービスを監視すること
    更新プログラムの適用や認証の仕組みにより、自社システムのセキュリティを担保するだけでなく、利用しているサードパーティ製アプリケーションのセキュリティを管理することも重要です。
  • プロアクティブなセキュリティインシデント対応戦略の立案および実行すること
    サプライチェーン攻撃は多くの場合標的型の攻撃です。法人組織は、サードパーティのベンダに関連したリスクを、完全に理解、管理、および監視しなければなりません。
  • ネットワークをプロアクティブに監視し、異常な活動の有無を確認すること
    ファイアウォールおよび侵入検知/防御システムは、ネットワークベースの脅威の緩和に役立ちます。
  • 最小権限の原則を適用すること
    ネットワークのセグメント化データの分類、PowerShell のようなシステム管理ツール制限、そしてアプリケーションコントロールは、情報探索を阻止し、データ漏えいを最小化するために有効です。

■トレンドマイクロの対策

トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処できます。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しで脅威を検知します。

エンドポイントセキュリティ対策製品「ウイルスバスター™ クラウド」や「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルや関連する不正なURLをすべてブロックすることによって個人ユーザおよび中小企業をこのような脅威から保護します。

■侵入の痕跡(Indicators of Compromise、IoC)

関連する SHA256 値は以下の通りです。

  • 「ShiftDoor」(「BKDR_SETHC.D」として検出):0703a917aaa0630ae1860fb5fb1f64f3cfb4ea8c57eac71c2b0a407b738c4e19
  • “aio.exe”(「HKTL_DELOG」として検出):c14ea9b81f782ba36ae3ea450c2850642983814a0f4dc0ea4888038466839c1e
  • “m.exe”(「HKTL_MIMIKATZ」として検出):a3a1b1cf29a8f38d05b4292524c3496cb28f78d995dfb0a9aef7b2f949ac278b
  • “printdat.dll”(「TSPY_KORPLUG.AN」として検出):9415ca80c51b2409a88e26a9eb3464db636c2e27f9c61e247d15254e6fbb31eb
  • “rcview.log”(「TROJ_SIDELOADR.ENC」として検出):52374f68d1e43f1ca6cd04e5816999ba45c4e42eb0641874be25808c9fe15005
  • “rcview40u.dll”(「TROJ_SIDELOADR.A」として検出):bcfacc1ad5686aee3a9d8940e46d32af62f8e1cd1631653795778736b67b6d6e
  • “sharphound.exe”(「HKTL_BLOODHOUND」として検出):279cf1773903b7a5de63897d55268aa967a87f915a07924c574e42c9ed12de30
  • “ssms.exe”(「HKTL_PASSDUMP」として検出):e5029808f78ec4a079e889e5823ee298edab34013e50a47c279b6dc4d57b1ffc
  • “w.exe”(「TROJ_CVE20177269.MOX」として検出):e530e16d5756cdc2862b4c9411ac3bb3b113bc87344139b4bfa2c35cd816e518
  • “Web.exe”(「HKTL_BROWSERPASSVIEW.GA」として検出):28c5a6aefcc57e2862ea16f5f2ecb1e7df84b68e98e5814533262595b237917d

不正な更新ファイルに関連するURLは以下の通りです。

  • hxxp://207[.]148[.]94[.]157/update/rcv50/update.zip
  • hxxp://207[.]148[.]94[.]157/update/rcv50/file000.zip
  • hxxp://207[.]148[.]94[.]157/update/rcv50/file001.zip

追加でダウンロードされる不正ファイルに関連するURLは以下の通りです。

  • hxxp://207[.]148[.]94[.]157/aio.exe
  • hxxp://207[.]148[.]94[.]157/smb.exe
  • hxxp://207[.]148[.]94[.]157/m.ex_
  • hxxp://207[.]148[.]94[.]157/w
  • hxxp://207[.]148[.]94[.]157/Web.ex_

PlugX の亜種および 9002 RAT に関連する C&C サーバは以下の通りです。

  • 66[.]42[.]37[.]101

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム – マイクロソフト

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム - マイクロソフト

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム - マイクロソフト

こんにちは、垣内ゆりかです。 マイクロソフトでは、Transport Layer Security (TLS) 1.0, 1.1 の利用を廃止し、より安全なプロトコルである TLS 1.2 以降への移行を推奨しています。(参考: 過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています) 2018 年 10 月 31 日より、Microsoft Office 365 では TLS 1.0...

はてなブックマーク - 2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム - マイクロソフト はてなブックマークに追加

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム

こんにちは、垣内ゆりかです。 マイクロソフトでは、Transport Layer Security (TLS) 1.0, 1.1 の利用を廃止し、より安全なプロトコルである TLS 1.2 以降への移行を推奨しています。(参考: 過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています) 2018 年 10 月 31 日より、Microsoft Office 365 では TLS 1.0...

はてなブックマーク - 2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム はてなブックマークに追加

Googleの多言語暗号ライブラリ「Tink」、クラウドやAndroid、iOSに対応 – ITmedia エンタープライズ

Googleの多言語暗号ライブラリ「Tink」、クラウドやAndroid、iOSに対応 - ITmedia エンタープライズ

Googleの多言語暗号ライブラリ「Tink」、クラウドやAndroid、iOSに対応 - ITmedia エンタープライズ

Googleによると、Tinkの目的は、セキュアで簡単に正しい使用ができ、悪用が難しい暗号APIを提供することにある。 米Googleは8月30日、多言語のクロスプラットフォーム暗号ライブラリ「Tink」のバージョン1.2.0を公開し、初めてクラウドとAndroidおよびiOSをサポートしたと発表した。 Googleによると、Tinkはプロジェクト...

はてなブックマーク - Googleの多言語暗号ライブラリ「Tink」、クラウドやAndroid、iOSに対応 - ITmedia エンタープライズ はてなブックマークに追加

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を!

こんにちは、垣内ゆりかです。

 

マイクロソフトでは、Transport Layer Security (TLS) 1.0, 1.1 の利用を廃止し、より安全なプロトコルである TLS 1.2 以降への移行を推奨しています。(参考: 過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています)

 

2018 10 31 日より、Microsoft Office 365 では TLS 1.0 および 1.1 のサポート廃止を予定しています。

Office 365 サービスに正常に接続するためには、2018 10 31 日までに、クライアントとサーバー間、ブラウザーとサーバー間のすべての組み合わせで TLS バージョン 1.2 (またはそれ以降のバージョン) を使用するように設定する必要があります。期日までに、対応を行っていない場合、Office 365 に接続する際に、接続できないなどの問題が発生する可能性があります。

TLS 1.2 を使用できないクライアントの一例としては以下のものが挙げられます。サービスに継続的にアクセスするために、クライアントを更新してください。

  • Android 4.3 およびそれ以前のバージョン
  • Firefox 5.0 およびそれ以前のバージョン
  • Windows 7 上の Internet Explorer 8 10 およびそれ以前のバージョン
  • Windows Phone 8.0 上の Internet Explorer 10
  • Safari 6.0.4/OS X10.8.4 およびそれ以前のバージョン

 

また、フェデレーション環境では、AD FS および WAP (Windows Server 2012 以前は AD FS Proxy) TLS 1.2 による接続を有効にする必要があります。詳細は、Office 365 TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応を参考にしてください。

 

 

参考情報一覧

 

Webサーバをセキュアに保つ設定のまとめ

Webサーバをセキュアに保つ設定のまとめ

Webサーバをセキュアに保つ設定のまとめ

はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Conf...

はてなブックマーク - Webサーバをセキュアに保つ設定のまとめ はてなブックマークに追加

弁護士ドットコム/怒られているのにふざける子どもは「お母さんに笑ってほしい」から<体罰・虐待防止シンポ>

弁護士ドットコム/怒られているのにふざける子どもは「お母さんに笑ってほしい」から<体罰・虐待防止シンポ>

弁護士ドットコム/怒られているのにふざける子どもは「お母さんに笑ってほしい」から<体罰・虐待防止シンポ>

日本弁護士連合会は8月28日、体罰や虐待問題についてのシンポジウム「禁止立法で体罰・虐待の予防を!~科学的に明らかになってきた体罰の弊害と効果的施策~」を、東京・千代田区の日比谷コンベンションホールで開催した。 児童虐待に詳しい西澤晢教授(山梨県立大学人間福祉学部・福祉コミュニティ学科)や、瀬角南氏...

はてなブックマーク - 弁護士ドットコム/怒られているのにふざける子どもは「お母さんに笑ってほしい」から<体罰・虐待防止シンポ> はてなブックマークに追加

ImageMagickを使うWebアプリのセキュリティ – 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

MBSDトップページ> MBSD Blog> ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 Webサイトの診断でImageMagickを使ったアップロード画像の処理を見ることがあります。診断の結果、特有の興味深い挙動が見つかることもあるため、今回時間を取って検証してみました。 その結果を3回に分...

はてなブックマーク - ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog はてなブックマークに追加

Firebaseを使い始めたら人生が変わった(ような気がした)

Firebaseを使い始めたら人生が変わった(ような気がした)

Firebaseを使い始めたら人生が変わった(ような気がした)

最近、僕の周りでFirebaseを使った人たちは、 「サーバーの処理をFirebaseに置き換えたら、筋肉がつきました!」(29歳, 社会人) 「Firebaseを使ったら友達も増えてわっしょいわっしょい」(11歳, 小学生) 「もうFirebase無しじゃ生きられない」(38歳, エンジニア) 「にゃーん」(1歳4ヶ月, うちの猫) と言っていました。嘘...

はてなブックマーク - Firebaseを使い始めたら人生が変わった(ような気がした) はてなブックマークに追加

「ネットを制限している企業ほど情報漏洩事故を起こしている」あまりにお粗末なその実態に呆れ&心当たりの声「うちの会社かと」 – Togetter

「ネットを制限している企業ほど情報漏洩事故を起こしている」あまりにお粗末なその実態に呆れ&心当たりの声「うちの会社かと」 - Togetter

「ネットを制限している企業ほど情報漏洩事故を起こしている」あまりにお粗末なその実態に呆れ&心当たりの声「うちの会社かと」 - Togetter

自分の観測範囲だとネットを制限している企業ほど情報漏洩事故を起こしている。事故の再発防止で厳しくしていったんだろうが、でも報道発表資料読むとパソコン使えないので紙に印刷して持ち出したら風で飛ばされただの、ネット禁止だからUSBメモリに入れて運んだら盗まれただの、そんなのばっか

はてなブックマーク - 「ネットを制限している企業ほど情報漏洩事故を起こしている」あまりにお粗末なその実態に呆れ&心当たりの声「うちの会社かと」 - Togetter はてなブックマークに追加

ASCII.jp:AWSをやめたDropbox、自社DCに移行した背景とメリットを語る

ASCII.jp:AWSをやめたDropbox、自社DCに移行した背景とメリットを語る

ASCII.jp:AWSをやめたDropbox、自社DCに移行した背景とメリットを語る

2018年8月30日、クラウドストレージサービス「Dropbox」を展開するDropbox Japanは、グローバルのストレージインフラやネットワークについての説明会を実施。AWSにあったシステムを自社データセンターに移した背景やそのメリットなどをDropbox Japanの保坂大輔氏が説明した。 エクサバイトに向け加速度に増え続ける超巨...

はてなブックマーク - ASCII.jp:AWSをやめたDropbox、自社DCに移行した背景とメリットを語る はてなブックマークに追加

PHP 7.3.0.beta3 Released

The PHP team is glad to announce the release of the seventh PHP 7.3.0 version, PHP 7.3.0beta3. The rough outline of the PHP 7.3 release cycle is specified in the PHP Wiki.

For source downloads of PHP 7.3.0beta3 please visit the download page. Windows sources and binaries can be found on windows.php.net/qa/.

Please carefully test this version and report any issues found in the bug reporting system.

THIS IS A DEVELOPMENT PREVIEW - DO NOT USE IT IN PRODUCTION!

For more information on the new features and other changes, you can read the NEWS file, or the UPGRADING file for a complete list of upgrading notes. Internal changes are listed in the UPGRADING.INTERNALS file. These files can also be found in the release archive.

The next release would be RC1, planned for September 13th.

The signatures for the release can be found in the manifest or on the QA site.

Thank you for helping us make PHP better.

大規模バージョンアップ!新しくなったFutureVulsを触ってみた | Developers.IO

大規模バージョンアップ!新しくなったFutureVulsを触ってみた | Developers.IO

大規模バージョンアップ!新しくなったFutureVulsを触ってみた | Developers.IO

はじめに 2018/08/27にFutureVulsが大規模バージョンアップしました。無料で触れるデモサービスが提供されているので触ってみました。 デモ環境にはAmazon Linux、RedHat、CentOS、Ubuntuが用意されています。今回はWindows Serverの場合どのように表示されるかは触れません。 画面が刷新 パッチ未適用な脆弱性も検知可能 2要素...

はてなブックマーク - 大規模バージョンアップ!新しくなったFutureVulsを触ってみた | Developers.IO はてなブックマークに追加

あなたのファクスもハッカーの標的に? ネットワークへの侵入を許す脆弱性の危険度|WIRED.jp

あなたのファクスもハッカーの標的に? ネットワークへの侵入を許す脆弱性の危険度|WIRED.jp

あなたのファクスもハッカーの標的に? ネットワークへの侵入を許す脆弱性の危険度|WIRED.jp

PHOTOGRAPH COURTESY OF HP ファクスのことを、8トラックのテープと同じように過去の遺物だと考える人もいるだろう。だが、医療機関や官公庁では、いまでも毎日のようにファクスを使用している。 それだけではない。あなたの家にあるオールインワンプリンターにも、ファクス機能が付いているのではないだろうか。しかし...

はてなブックマーク - あなたのファクスもハッカーの標的に? ネットワークへの侵入を許す脆弱性の危険度|WIRED.jp はてなブックマークに追加

セキュリティ人材は足りている?

あるAnonymous Coward曰く、

サイバー攻撃の増加を背景に、経済産業省は2016年に「2020年には国内で19万3000人のセキュリティ人材が不足する」との予測を発表しているのだが、日経新聞が報じたところによると、実際の企業は人手不足にあると感じていないようだ(日経新聞)。

こうした温度差が生じたのは、経産省の予測は一般企業の各部門にもセキュリティ人材が必要、という「あるべき姿」に基づいて算出されたためだという。ところが実際には、多くの企業が自社でセキュリティ人材を揃えず外部に委託するという選択肢を選んだため、人手不足が発生していないという。またAI技術の進歩により、単純な監視業務などには人手が要らなくなったことも挙げられている。

セキュリティ予算を増やす企業も限られており、記事では、自社でセキュリティ人材を揃えたものの深刻な問題が起きないことから削減を検討している、といった例まで言及している。一方でサイバー攻撃の被害は年々深刻化しており、また今後はオリンピックに向けて攻撃が増えることも懸念されている。

なお、「情報セキュリティ人材の不足」に関しては以前より「情報セキュリティ人材」の定義が幅広すぎるのではないか、という指摘もある(デジタル・フォレンジック研究会)。

すべて読む | セキュリティセクション | 日本 | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
McAfee、サイバーセキュリティ担当者の不足はゲーマーの採用で補えるとの調査結果 2018年04月07日
ヤフー、年収650万以上を提示する「エンジニアスペシャリストコース」採用を発表 2018年03月13日
総務省、高度な専門的知識を必要とする人員を日給8,000円の非常勤で募集して再び話題に 2018年03月01日
経済産業省、2030年には78.9万人の IT人材不足と予想 2016年06月12日
政府、サイバー攻撃に対応するための新組織を設置する方針 2016年05月21日

Windowsのタスクスケジューラのゼロデイ脆弱性が公表される | スラド セキュリティ

Windowsのタスクスケジューラのゼロデイ脆弱性が公表される | スラド セキュリティ

Windowsのタスクスケジューラのゼロデイ脆弱性が公表される | スラド セキュリティ

headless曰く、Windowsのタスクスケジューラに存在するゼロデイ脆弱性がTwitterで公表された(Register、VU#906424、Softpedia、BetaNews)。 この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、ローカルユーザーがSYSTEM権限を取得できるというものだ。引退したセキュリティ...

はてなブックマーク - Windowsのタスクスケジューラのゼロデイ脆弱性が公表される | スラド セキュリティ はてなブックマークに追加

Windowsのタスクスケジューラのゼロデイ脆弱性が公表される

headless曰く、

Windowsのタスクスケジューラに存在するゼロデイ脆弱性がTwitterで公表された(RegisterVU#906424SoftpediaBetaNews)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、ローカルユーザーがSYSTEM権限を取得できるというものだ。引退したセキュリティリサーチャーだという発見者は、GitHubでPOCも公開している。Microsoftの報奨金プログラムに不満があるようで、Microsoftには報告しないとも述べている。

CVSSスコアは6.4(Environmental)~6.8(Base)で、いずれも深刻度は中となっている。CERT/CCでは公表されているエクスプロイトが動作することを64ビット版Windows 10およびWindows Server 2016で確認しているが、ほかのバージョンのWindowsでも改造により動作する可能性があると説明している。

MicrosoftはThe Registerに対し、できるだけ早く更新するという定型のコメントを出したそうだが、深刻度が高くないことから9月の月例更新までは修正されないとみられている。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Intelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートを提供 2018年08月25日
WindowsアプリのインストーラのDLL読込み脆弱性、Microsoftは自社製品を修正せず 2018年05月22日
Microsoft、3月のWindows 10向け月例更新でAVソフトウェアの互換性チェックを撤廃 2018年03月18日
仮想通貨の採掘をバックグラウンドで行うツールを同梱するフリーウェアが登場 2018年03月14日

Windowsのタスクスケジューラのゼロデイ脆弱性が公表される

headless曰く、

Windowsのタスクスケジューラに存在するゼロデイ脆弱性がTwitterで公表された(RegisterVU#906424SoftpediaBetaNews)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、ローカルユーザーがSYSTEM権限を取得できるというものだ。引退したセキュリティリサーチャーだという発見者は、GitHubでPOCも公開している。Microsoftの報奨金プログラムに不満があるようで、Microsoftには報告しないとも述べている。

CVSSスコアは6.4(Environmental)~6.8(Base)で、いずれも深刻度は中となっている。CERT/CCでは公表されているエクスプロイトが動作することを64ビット版Windows 10およびWindows Server 2016で確認しているが、ほかのバージョンのWindowsでも改造により動作する可能性があると説明している。

MicrosoftはThe Registerに対し、できるだけ早く更新するという定型のコメントを出したそうだが、深刻度が高くないことから9月の月例更新までは修正されないとみられている。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Intelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートを提供 2018年08月25日
WindowsアプリのインストーラのDLL読込み脆弱性、Microsoftは自社製品を修正せず 2018年05月22日
Microsoft、3月のWindows 10向け月例更新でAVソフトウェアの互換性チェックを撤廃 2018年03月18日
仮想通貨の採掘をバックグラウンドで行うツールを同梱するフリーウェアが登場 2018年03月14日

2014年のiCloudハッキング事件、最後の被告に懲役8カ月の刑罰 – iPhone Mania

2014年のiCloudハッキング事件、最後の被告に懲役8カ月の刑罰 - iPhone Mania

2014年のiCloudハッキング事件、最後の被告に懲役8カ月の刑罰 - iPhone Mania

2014年に発生した有名人のiCloudデータへの不正アクセス事件(4人が関与したとされる事件)の裁判で最後の被告に懲役8カ月の刑が言い渡されました。これで有名人も多く被害にあったiCloudへの不正アクセス事件の一連の裁判が終わったことになります。 8カ月から16カ月の懲役 2014年に発覚したiCloudへの不正アクセス事件...

はてなブックマーク - 2014年のiCloudハッキング事件、最後の被告に懲役8カ月の刑罰 - iPhone Mania はてなブックマークに追加

多くのAndroidデバイスはATコマンド経由でハックできる? | スラド モバイル

多くのAndroidデバイスはATコマンド経由でハックできる? | スラド モバイル

多くのAndroidデバイスはATコマンド経由でハックできる? | スラド モバイル

taraiok曰く、多くのAndroidデバイスではUSB経由で「ATコマンド」というコマンドを使って外部から操作が可能になっているそうだが、各社がそれぞれ独自のATコマンドを提供しており、それによって脆弱性が生まれているそうだ(Bleeping Computer、Slashdot)。 研究チームによると、主要Androidメーカーの多くの製品がAT...

はてなブックマーク - 多くのAndroidデバイスはATコマンド経由でハックできる? | スラド モバイル はてなブックマークに追加

Epic Games、Googleのバグ開示方針を批判

headless曰く、

バグを開発元に報告してから90日後、またはパッチが広く入手可能になった時点でバグを公表する、というGoogleのバグ開示方針をEpic Gamesが批判している(Mashable)。

Epic Gamesは人気ゲーム「Fortnite」のAndroid版を直接配信しており、ユーザーがインストーラーアプリ「Fortnite Installer」をインストールして実行し、インストーラーがゲーム本体のAPKを外部ストレージにダウンロードしてインストールする仕組みになっていた。しかし、外部ストレージへの書き込み権限を持つ攻撃用アプリが存在すると、ダウンロードして検証した正規のAPKを偽APKに置き換え可能という脆弱性をGoogleが発見する。

報告を受けたEpic Gamesは2日後の17日、APKの保存先を内部ストレージに変更した修正版を配信。その一方で、ユーザーがパッチをインストールする時間をとれるよう、特別に脆弱性開示を90日後まで待ってほしいとGoogleに要望したのだが、Googleはパッチの配信開始から7日経過したとして該当のIssue Trackerを24日に一般公開(閲覧にはGoogleアカウントでのログインが必要)した。

Epic Games CEOのTim Sweeney氏はGoogleの迅速な脆弱性発見と報告に感謝する一方、多くのユーザーにパッチが行き渡っていない時点でバグを開示したことは無責任だと批判。Google Playで配信されていないFortniteを妨害するため、ユーザーを危険にさらしたなどと主張するコメントをMashableに送ったとのこと。

しかし、Google Play以外で入手したアプリをインストールするにはAndroidの設定で「提供元不明のアプリ」のインストールを許可する必要がある。Epic GamesはGoogle Playでの売り上げに課される手数料を回避するために直接配信を選んだとみられており、ユーザーの安全よりも利益を重視したとの批判も出ている。

Googleが自ら定めたルールに従ってバグを開示するのはよくあることであり、Google Playで配信されないアプリを妨害する意識が働いたのかどうかは不明だ。また、GoogleはGoogle PlayでFortniteが配信されていないことを警告するなど、偽アプリのインストール防止に努めている。Mashableの記事はGoogleとEpic Gamesのどちらが正しく、どちらが間違っているともいえないと評している。

すべて読む | ITセクション | Google | セキュリティ | バグ | ゲーム | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
人気ゲーム「フォートナイト」、Android版はPlayストアではなく販売元が独自に配信へ 2018年08月08日
AMD CPUの脆弱性問題、AMD株価の操作を狙って公表したのではないかという疑いが出る 2018年03月20日
AMDのRyzenおよびEPYCプロセッサに脆弱性があるとの報告、開示プロセスを巡っては批判 2018年03月15日
Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 2016年11月03日
Google、Windowsの未修正脆弱性をさらに公表 2015年01月18日
IETFが「責任ある開示」ガイドラインを却下 2002年03月22日

とある映像制作会社(仮)からゲーム本等の資料を貸して欲しいという依頼条件が無報酬で紛失補償できないと借りパク満々の内容だった – Togetter

とある映像制作会社(仮)からゲーム本等の資料を貸して欲しいという依頼条件が無報酬で紛失補償できないと借りパク満々の内容だった - Togetter

とある映像制作会社(仮)からゲーム本等の資料を貸して欲しいという依頼条件が無報酬で紛失補償できないと借りパク満々の内容だった - Togetter

文化の片隅に生息するレトロゲーム愛妻家で兼業作家!? ヤングエースUPで連載中のSNKラブコメ【レバガチャアーカイブ】で原作を担当しています。(漫画:カネコマサルさん @MSL666) カクヨム発、KADOKAWAより発売中のエッセイ小説【モノクローム・サイダー】他をよろしくお願いします。御連絡はDMまでどうぞ。 https://t.co/...

はてなブックマーク - とある映像制作会社(仮)からゲーム本等の資料を貸して欲しいという依頼条件が無報酬で紛失補償できないと借りパク満々の内容だった - Togetter はてなブックマークに追加

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン

トヨタファイナンスは名が表すように、自動車メーカー系金融会社。トヨタ車の販売や購入はじめ、ライフスタイルを金融面でサポートする事業などを展開している。金融会社ゆえに顧客の個人情報保護が何よりも重要な課題だ。どのように取り組んでいるのか、同社 事務リスク管理部長 丹羽浩二氏におうかがいした。 顧客の個...

はてなブックマーク - 『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン はてなブックマークに追加

Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 – エンジニアHub|若手Webエンジニアのキャリアを考える!

Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 - エンジニアHub|若手Webエンジニアのキャリアを考える!

Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 - エンジニアHub|若手Webエンジニアのキャリアを考える!

「Firebaseならバックエンドエンジニアを必要としない開発ができる」 そんな話を聞いたことがある人もいるかもしれません。「Firebase」は2011年にFirebase社がサービスを開始し、2014年にGoogleが買収したMBaaS(mobile backend as a Service)で、開発者が作成したアプリやWebサイトのインフラ部分を任せることができ...

はてなブックマーク - Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 - エンジニアHub|若手Webエンジニアのキャリアを考える! はてなブックマークに追加

Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 – エンジニアHub|若手Webエンジニアのキャリアを考える!

Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 - エンジニアHub|若手Webエンジニアのキャリアを考える!

Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 - エンジニアHub|若手Webエンジニアのキャリアを考える!

「Firebaseならバックエンドエンジニアを必要としない開発ができる」 そんな話を聞いたことがある人もいるかもしれません。「Firebase」は2011年にFirebase社がサービスを開始し、2014年にGoogleが買収したMBaaS(mobile backend as a Service)で、開発者が作成したアプリやWebサイトのインフラ部分を任せることができ...

はてなブックマーク - Firebaseでバックエンドエンジニア不在のアプリ開発 クックパッドが体感した、メリットと課題 - エンジニアHub|若手Webエンジニアのキャリアを考える! はてなブックマークに追加

中国の大手ホテルHuazhu、1億3000万人の宿泊客情報が流出か – ITmedia NEWS

中国の大手ホテルHuazhu、1億3000万人の宿泊客情報が流出か - ITmedia NEWS

中国の大手ホテルHuazhu、1億3000万人の宿泊客情報が流出か - ITmedia NEWS

Huazhu Hotels Group(華住酒店集団)の系列ホテルに宿泊した客1億3000万人あまりの個人情報が、中国のダークWebフォーラムで売りに出されているという。 技術情報サイトのBleeping Computerは8月28日、中国の大手ホテルチェーンHuazhu Hotels Group(華住酒店集団)の利用客1億3000万人あまりの個人情報が、中国のダー...

はてなブックマーク - 中国の大手ホテルHuazhu、1億3000万人の宿泊客情報が流出か - ITmedia NEWS はてなブックマークに追加

GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 – GeekOut

GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 - GeekOut

GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 - GeekOut

ITやビジネス関連のニュースを見ていると、GDPRという単語を目にする機会が増えてきました。GDPRとは、EUが人々のプライバシーや個人に関わるさまざまなデータを保護するため、この5月から実施し始めたばかりの新しい法律で、日本語では「一般データ保護規則(General Data Protection Regulation)」と呼ばれます。日本...

はてなブックマーク - GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 - GeekOut はてなブックマークに追加

GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 – GeekOut

GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 - GeekOut

GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 - GeekOut

ITやビジネス関連のニュースを見ていると、GDPRという単語を目にする機会が増えてきました。GDPRとは、EUが人々のプライバシーや個人に関わるさまざまなデータを保護するため、この5月から実施し始めたばかりの新しい法律で、日本語では「一般データ保護規則(General Data Protection Regulation)」と呼ばれます。日本...

はてなブックマーク - GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係 - GeekOut はてなブックマークに追加

世界で初めて性別適合手術を受けた「リリー・エルベ」を描いた映画「リリーのすべて」の原題は?ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

世界で初めて性別適合手術を受けた「リリー・エルベ」を描いた映画「リリーのすべて」の原題は?ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

世界で初めて性別適合手術を受けた「リリー・エルベ」を描いた映画「リリーのすべて」の原題は?ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

世界で初めて性別適合手術を受けた「リリー・エルベ」を描いた映画「リリーのすべて」の原題は? 答えは 「The Danish Girl」 です。 関連情報はこちらから クイズポイントサイト無料入会はこちらから! クイズでお小遣い稼ぎ。 クイズに参加で、ポイント獲得!! 貯まったポイントは手数料無料でネットバンクへ換金可能...

はてなブックマーク - 世界で初めて性別適合手術を受けた「リリー・エルベ」を描いた映画「リリーのすべて」の原題は?ネット小遣い稼ぎ紹介所 -クイズ回答もあります- はてなブックマークに追加

W杯期間中のサイバーセキュリティの実態 | InfoComニューズレター

W杯期間中のサイバーセキュリティの実態 | InfoComニューズレター

W杯期間中のサイバーセキュリティの実態 | InfoComニューズレター

2018年6月中旬から7月中旬にかけての約1カ月の間、特に政治とスポーツの分野において、国際的に極めて重要なイベントが続いた。6月14日~7月15日にロシアで開催された2018 FIFA World Cup(以下、「W杯」)に加え、その前後に行われた2つの首脳会談――ひとつは6月11~12日にシンガポールで開催された米朝首脳会談、もうひ...

はてなブックマーク - W杯期間中のサイバーセキュリティの実態 | InfoComニューズレター はてなブックマークに追加

dポイントが加盟店で不正利用される被害: 独房の中

dポイントが加盟店で不正利用される被害: 独房の中

dポイントが加盟店で不正利用される被害: 独房の中

dポイント盗まれたわ……。docomoで現在、原因究明中。2、3日前から急増しているようだから、もしポイント持ってるなら使用できないよう停止をお勧めする。 pic.twitter.com/6CQq3WN9Jc — 石倉力 (@Chikara1112) 2018年8月26日 帰宅った~。 せっかく貯めたdポイントが不正に利用された。調べてもらうけどもう帰ってこない...

はてなブックマーク - dポイントが加盟店で不正利用される被害: 独房の中 はてなブックマークに追加

dポイントが加盟店で不正利用される被害: 独房の中

dポイントが加盟店で不正利用される被害: 独房の中

dポイントが加盟店で不正利用される被害: 独房の中

dポイント盗まれたわ……。docomoで現在、原因究明中。2、3日前から急増しているようだから、もしポイント持ってるなら使用できないよう停止をお勧めする。 pic.twitter.com/6CQq3WN9Jc — 石倉力 (@Chikara1112) 2018年8月26日 帰宅った~。 せっかく貯めたdポイントが不正に利用された。調べてもらうけどもう帰ってこない...

はてなブックマーク - dポイントが加盟店で不正利用される被害: 独房の中 はてなブックマークに追加

SafariではHTTPSサイトと見間違わないよう、タイトルに「鍵」系の絵文字を表示しない仕様に。 | AAPL Ch.

SafariではHTTPSサイトと見間違わないよう、タイトルに「鍵」系の絵文字を表示しない仕様に。 | AAPL Ch.

SafariではHTTPSサイトと見間違わないよう、タイトルに「鍵」系の絵文字を表示しない仕様に。 | AAPL Ch.

SafariではHTTPSサイトと見間違わないよう、タイトルに「鍵」系の絵文字を表示しない仕様になっているそうです。詳細は以下から。  Unicodeで絵文字の標準化を担当するUnicode Emoji Subcomm

はてなブックマーク - SafariではHTTPSサイトと見間違わないよう、タイトルに「鍵」系の絵文字を表示しない仕様に。 | AAPL Ch. はてなブックマークに追加

Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】

Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】

Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】

Instagramがアプリの二段階認証を現在のSMSを使ったものから、サードパーティ製の認証アプリを使ったタイプの認証方法を追加することを発表しています。 設定メニューから二段階認証を選択すると、「認証アプリ」の項目が追加され、認証アプリが該当のスマホ内にある場合は自動的に判別し認証コードが送信され、アプリが...

はてなブックマーク - Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】 はてなブックマークに追加

Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】

Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】

Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】

Instagramがアプリの二段階認証を現在のSMSを使ったものから、サードパーティ製の認証アプリを使ったタイプの認証方法を追加することを発表しています。 設定メニューから二段階認証を選択すると、「認証アプリ」の項目が追加され、認証アプリが該当のスマホ内にある場合は自動的に判別し認証コードが送信され、アプリが...

はてなブックマーク - Instagramが2段階認証にサードパーティ製のアプリを使っての認証を追加へ | 面白いアプリ・iPhone最新情報ならmeeti【ミートアイ】 はてなブックマークに追加

「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) – Yahoo!ニュース

「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) - Yahoo!ニュース

「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) - Yahoo!ニュース

吉田さんたちが、7月の豪雨の被害は人災だと考える理由の1つは、小田川の中に生えていたたくさんの木や草です。 (り災者の会/吉田勤さん) (Q.前々から問題視していた?) 「ずっと以前からです。以前から(指摘)したにも関わらず切ってなかった、それで今回慌てて切られたと思うんだけれど」 参加者の1人、難波伸一...

はてなブックマーク - 「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) - Yahoo!ニュース はてなブックマークに追加

「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) – Yahoo!ニュース

「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) - Yahoo!ニュース

「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) - Yahoo!ニュース

吉田さんたちが、7月の豪雨の被害は人災だと考える理由の1つは、小田川の中に生えていたたくさんの木や草です。 (り災者の会/吉田勤さん) (Q.前々から問題視していた?) 「ずっと以前からです。以前から(指摘)したにも関わらず切ってなかった、それで今回慌てて切られたと思うんだけれど」 参加者の1人、難波伸一...

はてなブックマーク - 「天災ではなく人災」豪雨被災者が国などに賠償求める会を結成 倉敷・真備町(KSB瀬戸内海放送) - Yahoo!ニュース はてなブックマークに追加

QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に – ねとらぼ

QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ

QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ

アララが提供する、デンソーウェーブ公式の(※)QRコードリーダーアプリ「公式QRコードリーダー“Q”」に、特定の環境でコードを読み取ると、ユーザーの位置情報がコード作成者に送信される機能があることが分かり物議を醸しています。デンソーウェーブに問い合わせたところ、提供元のアララとしては、指摘を受けて現在は...

はてなブックマーク - QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ はてなブックマークに追加

プログラムのコードには、個人を識別できる“指紋”が残されている:研究結果|WIRED.jp

プログラムのコードには、個人を識別できる“指紋”が残されている:研究結果|WIRED.jp

プログラムのコードには、個人を識別できる“指紋”が残されている:研究結果|WIRED.jp

IMAGE BY CASEY CHIN 「計量文体学」とは、言語の文体を統計的に分析する学問だ。研究者たちはずっと以前から、文章を書くという行為が個人的で、かつ人によって手法が異なるものだと知っていた。 書く人が選ぶ語彙や言い回し、文法上の選択には、まるで署名を残したかのように、その人に固有の特徴が表れる。自動化ツー...

はてなブックマーク - プログラムのコードには、個人を識別できる“指紋”が残されている:研究結果|WIRED.jp はてなブックマークに追加

【速報: 角川の代表取締役、個人がDNSを立てられないようにしようと公言】OP53Bは内容規制で情報アクセスそのものを遮断する。フィルタリングのポートが違うだけ、ではない。 – Togetter

【速報: 角川の代表取締役、個人がDNSを立てられないようにしようと公言】OP53Bは内容規制で情報アクセスそのものを遮断する。フィルタリングのポートが違うだけ、ではない。 - Togetter

【速報: 角川の代表取締役、個人がDNSを立てられないようにしようと公言】OP53Bは内容規制で情報アクセスそのものを遮断する。フィルタリングのポートが違うだけ、ではない。 - Togetter

OP25BはSPAM低減という内容中立規制かつネットワーク自体の保護が目的(メールが送れないわけではない) DNSサーバは、一度は世界に13台(クラスタ)しかないrootサーバへつなげないと正確な情報が手に入りません。OP53Bが行われるということは、個人はrootサーバにつながせないということですから、URLなどで示される接...

はてなブックマーク - 【速報: 角川の代表取締役、個人がDNSを立てられないようにしようと公言】OP53Bは内容規制で情報アクセスそのものを遮断する。フィルタリングのポートが違うだけ、ではない。 - Togetter はてなブックマークに追加

「Windows」タスクスケジューラに脆弱性–現時点で解消策なし – ZDNet Japan

「Windows」タスクスケジューラに脆弱性--現時点で解消策なし - ZDNet Japan

「Windows」タスクスケジューラに脆弱性--現時点で解消策なし - ZDNet Japan

Microsoftは、「Windows」に存在する未知の脆弱性について公開されれば、素早く反応してきた。 米国時間8月27日に、SandboxEscaperと名乗るTwitterユーザーが、Twitter上で脆弱性の存在について公開した。同ユーザーは、この脆弱性の概念実証コードが掲載されているとみられるGitHubのページへのリンクを公開している。 ...

はてなブックマーク - 「Windows」タスクスケジューラに脆弱性--現時点で解消策なし - ZDNet Japan はてなブックマークに追加

「Windows」タスクスケジューラに脆弱性–現時点で解消策なし – CNET Japan

「Windows」タスクスケジューラに脆弱性--現時点で解消策なし - CNET Japan

「Windows」タスクスケジューラに脆弱性--現時点で解消策なし - CNET Japan

Microsoftは、「Windows」に存在する未知の脆弱性について公開されれば、素早く反応してきた。 米国時間8月27日に、SandboxEscaperと名乗るTwitterユーザーが、Twitter上で脆弱性の存在について公開した。同ユーザーは、この脆弱性の概念実証コードが掲載されているとみられるGitHubのページへのリンクを公開している。 ...

はてなブックマーク - 「Windows」タスクスケジューラに脆弱性--現時点で解消策なし - CNET Japan はてなブックマークに追加

35124784

35124784

35124784

Microsoftは、「Windows」に存在する未知の脆弱性について公開されれば、素早く反応してきた。 米国時間8月27日に、SandboxEscaperと名乗るTwitterユーザーが、Twitter上で脆弱性の存在について公開した。同ユーザーは、この脆弱性の概念実証コードが掲載されているとみられるGitHubのページへのリンクを公開している。 ...

はてなブックマーク - 35124784 はてなブックマークに追加

便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) – 個人 – Yahoo!ニュース

便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース

便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース

今やフィンテック業界が挙って導入するなど、まさに飛ぶ鳥を落とす勢いで多方面から注目される2次元バーコードの「QRコード」であります。 で、このQRコード、同規格の開発元であるデンソーウェーブが特許権を所有しておりますが、面白いことにこの特許権を行使せず世界中の誰もが自由に利用できるように公開しています...

はてなブックマーク - 便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース はてなブックマークに追加

Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される – GIGAZINE

Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される - GIGAZINE

Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される - GIGAZINE

by Richard Patterson スパイウェアとはユーザーに関する情報を秘密裏に収集し、特定の人物や団体に自動的に送信する機能を持つソフトウェアのことです。広告ブロッカーを開発する「AdGuard」のブログに、「Chrome拡張機能とAndroidアプリに偽装されたスパイウェアが、Facebookのユーザーデータをこっそりと送信している...

はてなブックマーク - Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される - GIGAZINE はてなブックマークに追加

Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される – GIGAZINE

Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される - GIGAZINE

Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される - GIGAZINE

by Richard Patterson スパイウェアとはユーザーに関する情報を秘密裏に収集し、特定の人物や団体に自動的に送信する機能を持つソフトウェアのことです。広告ブロッカーを開発する「AdGuard」のブログに、「Chrome拡張機能とAndroidアプリに偽装されたスパイウェアが、Facebookのユーザーデータをこっそりと送信している...

はてなブックマーク - Chrome拡張機能やモバイルアプリに偽装してFacebookデータを収集するスパイウェアが発見される - GIGAZINE はてなブックマークに追加

VBScript エンジンのメモリ解放後使用(Use After Free)の脆弱性「CVE-2018-8373」により、IE でシェルコードの実行が可能に

トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は、2018 年 7 月 11 日、Internet Explorer(IE)の危険度の高い脆弱性が実際の攻撃で利用されていることを確認しました。これは、Microsoft の 7 月の月例セキュリティ更新プログラム公開のちょうど翌日のことでした。ZDI は、脆弱性の修正を支援するためにすぐに詳細情報を Microsoft に通知しました。問題の脆弱性には「CVE-2018-8373」という識別番号が割り当てられ、8 月の月例セキュリティ更新プログラムにて修正されています。CVE-2018-8373 は、IE でメモリ内のオブジェクトを処理する VBScript エンジンにおける脆弱性です。影響を受ける IE のバージョンは、IE9、IE10、および IE11 です。ただし、Windows 10 Redstone 3(RS3) の IE11 は、初期設定で VBScript が無効化されているため影響を受けません。影響を受けるバージョンの詳細はこちらを参照してください。

ZDI は、CVE-2018-8373 を利用した不正な Web トラフィックを確認しました。図 1 は問題の URL です。

CVE-2018-8373 を利用する不正な Web サイトの URL

図 1:CVE-2018-8373 を利用する不正な Web サイトの URL

この脆弱性攻撃では、マルウェアに特徴的な挙動(ヒューリスティック)が確認されています。これにより、より詳細な解析が可能となりました。興味深いことに、VBScript エンジンにおける「遠隔でのコード実行(Remote Code Execution、RCE)」脆弱性「CVE-2018-8174」を利用した攻撃と同一の難読化手法が今回の攻撃で確認されました。CVE-2018-8174 に対処する更新プログラムは2018 年 5 月に公開されています。

「CVE-2018-8373」および「CVE-2018-8174」を利用する VBScript

図 2:「CVE-2018-8373」および「CVE-2018-8174」を利用する VBScript

さらに図 3 は、各脆弱性を利用してシェルコードを実行する攻撃手法です。

「CVE-2018-8373」および「CVE-2018-8174」を利用してシェルコードを実行する VBScript

図 3:「CVE-2018-8373」および「CVE-2018-8174」を利用してシェルコードを実行する VBScript

ZDI は、今回確認された CVE-2018-8373 を利用する検体が、CVE-2018-8174 を利用する攻撃と同一の作成者によるものと推測しています。

■脆弱性の原因

では、CVE-2018-8373 の詳細について見ていきましょう。この脆弱性は、VBScript エンジン ”vbscript.dll” で新しく確認された「Use-After-Free(メモリ解放後使用、UAF)」の脆弱性です。実際に確認された攻撃コードには高度な難読化が施されているため、ここでは概念実証(Proof of Concept、PoC)を使って解説します。

IE の脆弱性「CVE-2018-8373」を利用する概念実証コード

図 4:IE の脆弱性「CVE-2018-8373」を利用する概念実証コード

この PoC は、「array」というメンバ変数と、「Class_Initialize」および「Default Property Get P」というメンバ関数が定義された「MyClass」という名前のクラスを定義しています。「Class_Initialize」プロシージャを直接呼び出すのは非推奨のため、オブジェクトをインスタンス化する際は「New」プロシージャを使用します。「Class_Initialize」プロシージャはオブジェクトが初めてインスタンス化される際に自動的に呼び出されます。この PoC では、「Class_Initialize」プロシージャはオーバーロードされており、「VBScriptClass::InitializeClass」関数が呼び出されると、オーバーロードされた関数に処理が移ります。

デフォルトプロパティは、プロパティ名を指定せずにクラス名だけでアクセスすることが可能です。この PoC では、「Default Property Get P」プロシージャは、「MyClass」のデフォルトプロパティをオーバーロードしています。「MyClass」のインスタンス「cls」が呼び出されると、オーバーロードされたプロシージャに処理が移ります。

CVE-2018-8373 を利用して不具合を引き起こす流れは、簡単に以下の 3 段階に分かれています。

  1. クラスのインスタンス化:「Set cls = New MyClass」

    このコードは、オーバーロードされたプロシージャ「Class_Initialize」を呼び出します。「Class_Initialize」内の「ReDim array(2)」は、要素を 3 つ持つ配列を生成するために「vbscript!RedimPreserveArray」関数を呼び出します。

    「ReDim array(2)」実行時のメモリ

    図 5:「ReDim array(2)」実行時のメモリ

  2. 配列要素のアドレスを取得:「cls.array(2)」

    このコードは、配列要素のアドレスを取得するために「vbscript!AccessArray」関数を呼び出します。「vbscript!AccessArray」関数は、初めに配列要素のインデックスが有効範囲内にあることを確認します。

    「vbscript!AccessArray」関数は配列要素のインデックスを確認

    図 6:「vbscript!AccessArray」関数は配列要素のインデックスを確認

    次に、指定された配列要素のアドレスを計算してスタックに格納し、戻り値として返します。

    指定された配列要素のアドレスをスタックに格納

    図 7:指定された配列要素のアドレスをスタックに格納

  3. 配列に要素を格納:「cls.array(2)=cls」

    このコードは、「vbscript!AssignVar」関数を呼び出し、「MyClass」のデフォルトプロパティの値を「cls.array(2)」に格納します。デフォルトプロパティを取得する際、「Public Default Property Get P」プロシージャが呼び出され、プロシージャ内の「ReDim array(1)」が実行されます。これにより、元の配列の既存データ「pvData」が解放されます。

    元の配列の既存データ「pvData」が解放される

    図 8:元の配列の既存データ「pvData」が解放される

    しかし、「array(2)」のアドレスは、上述した 2 段階目の状態のままスタックに格納されています。そのため、「Public Default Property Get P」プロシージャの戻り値が解放されたメモリ領域にアクセスし、結果として「vbscript!AssignVar」関数でメモリの解放後使用が発生します。

    「vbscript!AssignVar」関数が解放されたメモリを使用

    図 9:「vbscript!AssignVar」関数が解放されたメモリを使用

    上述したように、「vbscript!AccessArray」関数は、配列要素のインデックスが有効範囲内にあることを確認します。しかし、「vbscript!AssignVar」関数によって配列の要素に値を代入する際に、再度インデックスの範囲を確認することはありません。そのため、インデックスの範囲を確認した後で、クラスのデフォルトプロパティの値を取得する「Default Property Get P」プロシージャが配列の長さを変更すると、解放されたメモリ領域へのアクセスが発生してしまいます。これが、CVE-2018-8373 の原因です。

■脆弱性攻撃の手順

CVE-2018-8373 を利用する攻撃は、簡単に以下の 3 段階で実行されます。

  1. 脆弱性を利用し、2 次元配列の長さを 0x0FFFFFFF に変更
  2. メモリへの書き込み/メモリからの読み取りを行うプリミティブ関数の実行
  3. メモリのコンテキスト構造を細工し、シェルコードを実行
  1. 2 次元配列の長さを変更

    初めに、2 つの配列を定義します。ここでは「array1」と「array2」とします。「array1」は上述した PoC の配列で、「array2」は各要素の値が「3」の 2 次元配列です。

    「array2」の定義

    図 10:「array2」の定義

    次に、元の「array1.pvData」を解放し、新しく「array2」を代入するために、「Default Property Get P」プロシージャを呼び出します。元の「array1.pvData」のメモリ上のサイズは、「array2.SAFEARRAY」構造体と同じ 0x30 バイトであるため、「array2.SAFEARRAY」構造体のいくつかは、元の「array1.pvData」の解放されたメモリを再利用します。一方、「Default Property Get P」プロシージャの戻り値 0x0FFFFFFFF を「array2.SAFEARRAY」の「SAFEARRAYBOUND」構造体に設定し、「array2」の長さを 0x0FFFFFFF に変更します。

    「Default Property Get」プロシージャの定義

    図 11:「Default Property Get」プロシージャの定義

    配列の長さを変更する手順

    図 12:配列の長さを変更する手順

  2. メモリへの書き込み/メモリからの読み取りを行うプリミティブ関数の実行

    手順 1 により、UAF を利用することで長さを変更した配列「array1(index_vuln)(0x0FFFFFFE, 2)」が得られます。図 13 のスクリプトにより、「array1」の要素の中から「index_vuln」を検索することが可能です。

    「array1(index_vuln)(0x0FFFFFFE, 2)」を検索するスクリプト

    図 13:「array1(index_vuln)(0x0FFFFFFE, 2)」を検索するスクリプト

    次に、「array1(index_vuln)(0x0FFFFFFE, 2)」を利用して、これは「アウト・オブ・バウンド(OOB)」を引き起こし、「type confusion(型の取り違え)」を発生させる要素を 2 つの配列中から検索します。

    2 つの配列の要素を検索

    2 つの配列の要素を検索

    図 14 および 15:2 つの配列の要素を検索

    図 14 および 15 により、2 つの配列の要素「array1(index_B)(0, 0)」と「array1(index_vuln)(index_A, 0)」を取得します。これら 2 つの要素はメモリ上で 8 バイトの距離に位置しています。メモリ内を検索する手順は図 16 の通りです。

    メモリ内を検索する手順

    図 16:メモリ内を検索する手順

    最後に、2 つの配列の要素を使用し、型の取り違えによってメモリへの書き込み/メモリからの読み取りを行うプリミティブ関数を実行します。

    メモリへの書き込み/メモリからの読み取りを行うプリミティブ関数

    図 17:メモリへの書き込み/メモリからの読み取りを行うプリミティブ関数

  3. メモリのコンテキスト構造を細工し、シェルコードを実行

    メモリからの読み取りを行うプリミティブ関数によって、モジュールのアドレスを漏えいします。

    モジュールのアドレスを漏えい

    図 18:モジュールのアドレスを漏えい

    いくつかの VARIANT 型変数について、VarType を 0x4d に、値を 0 に変更することにより、「vbscript!VAR::Clear」関数を呼び出します。これにより、コールスタックのリターンアドレスが「NtContinue」のアドレスに変更され、細工したコンテキスト構造でシェルコードが実行されます。

    VARIANT 型変数の型と値を変更

    図 19:VARIANT 型変数の型と値を変更

    シェルコードの実行

    図 20:シェルコードの実行

トレンドマイクロの解析では、安定してこの脆弱性攻撃を成功させることができました。本記事で解説した CVE-2018-8373 は、CVE-2018-8174 に続き、2018 年に入ってから VBScript エンジンで確認された 2 件目の脆弱性です。将来、VBScript エンジンにおいて別の脆弱性が確認されることも十分予想されます。

■トレンドマイクロの対策

脆弱性対策の第一段階として、利用可能になり次第最新の更新プログラムを適用してください。脆弱性に対処するセキュリティ対策製品の導入も有効です。

ゲートウェイやエンドポイントから、ネットワークそしてサーバにいたる多層的で積極的なセキュリティ対策が、脆弱性を狙う脅威に対抗する鍵となります。トレンドマイクロの法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処します。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しで攻撃を検知します。

総合サーバセキュリティ製品「Trend Micro Deep Security™」をご利用のお客様は、以下の DPIルールによってこの脆弱性を利用する脅威から保護されています。

  • 1009218 – Microsoft Windows VBScript Engine Use-After-Free Vulnerability

ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterにより今回の脅威をブロックします。

  • 32721: Microsoft VBScript Engine Sub Default Property Use-After-Free Vulnerability

■侵入の痕跡(Indicator of Compromise、IoC)

関連するSHA256値は以下の通りです。

  • HTML_EXPLOIT.YYRV:0d6fe137790e2ebdf4fac2dd500656f3a6f74c0d1598251929ea3558f965675f

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」について | FAQ for YAMAHA RT Series / Security

「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」について | FAQ for YAMAHA RT Series / Security

「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」について | FAQ for YAMAHA RT Series / Security

対策方法につきましては以下をご確認ください。 なお、ヤマハ無線LANアクセスポイント と ヤマハL2/L3スイッチ はこの脆弱性の影響を受けません。 ○ヤマハ ルーター および ファイアウォール について 脆弱性と概要 本脆弱性を使用することにより、ヤマハルーターおよびファイアウォールの「かんたん設定ページ」の特定...

はてなブックマーク - 「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」について | FAQ for YAMAHA RT Series / Security はてなブックマークに追加

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開 – ITmedia エンタープライズ

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開 - ITmedia エンタープライズ

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開 - ITmedia エンタープライズ

米MicrosoftのWindowsに未解決の脆弱性が発覚し、米セキュリティ機関のCERT/CCが8月27日付でセキュリティ情報を公開した。既に悪用コードも公開されているという。 CERT/CCによると、脆弱性はWindowsタスクスケジューラの「Advanced Local Procedure Call(ALPC)」に存在する。ローカルユーザーに悪用された場合、権限...

はてなブックマーク - Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開 - ITmedia エンタープライズ はてなブックマークに追加

【衝撃事件の核心】教員パソコンをカンニングで大阪医科大生逮捕 患者カルテなど46万件流出(1/4ページ) – 産経WEST

【衝撃事件の核心】教員パソコンをカンニングで大阪医科大生逮捕 患者カルテなど46万件流出(1/4ページ) - 産経WEST

【衝撃事件の核心】教員パソコンをカンニングで大阪医科大生逮捕 患者カルテなど46万件流出(1/4ページ) - 産経WEST

パソコン内のデータを別の場所に自動保存する「バックアップソフト」。インターネット上では無料ソフトも多数公開されている。本体故障時に役立つこの便利ツールを、あまりに不届きな用途に使った医大生が大阪府警に逮捕された。教員用のパソコンにこのソフトを仕込み、成績アップのためにデータを“カンニング”していた...

はてなブックマーク - 【衝撃事件の核心】教員パソコンをカンニングで大阪医科大生逮捕 患者カルテなど46万件流出(1/4ページ) - 産経WEST はてなブックマークに追加

【逮捕マダー?】ここまで騙す気マンマンなのは5年ぶりか。今回のは完全に騙しに来ている。ミスということはあり得ない。 – Togetter

【逮捕マダー?】ここまで騙す気マンマンなのは5年ぶりか。今回のは完全に騙しに来ている。ミスということはあり得ない。 - Togetter

【逮捕マダー?】ここまで騙す気マンマンなのは5年ぶりか。今回のは完全に騙しに来ている。ミスということはあり得ない。 - Togetter

リンク 【公式】QRコード作成|QRの解析 無料 142 12 users QRコード作成|QRの解析 無料【公式】|商用利用可|QRコードメーカー QRコードの無料作成サイトです。商用利用も可能です。作成したQRコードで簡単にアクセス集計、解析ができます。本サイトはQRコードとフレームQRを開発した株式会社デンソーウェーブと、公...

はてなブックマーク - 【逮捕マダー?】ここまで騙す気マンマンなのは5年ぶりか。今回のは完全に騙しに来ている。ミスということはあり得ない。 - Togetter はてなブックマークに追加

Dropboxが匿名データを研究目的で大学に提供、その倫理的な是非|WIRED.jp

Dropboxが匿名データを研究目的で大学に提供、その倫理的な是非|WIRED.jp

Dropboxが匿名データを研究目的で大学に提供、その倫理的な是非|WIRED.jp

IMAGE BY HOTLITTLEPOTATO ノースウェスタン大学の研究者たちは過去2年間、何万人という科学者たちの習慣を分析してきた。彼らが分析に使ったのはDropboxだ。 科学者たちのフォルダ共有の習慣を調べた研究者たちは、成功している科学者たちの共同研究時の行動にいくつかの共通点があることを発見した。そして7月20日、彼...

はてなブックマーク - Dropboxが匿名データを研究目的で大学に提供、その倫理的な是非|WIRED.jp はてなブックマークに追加

電話番号の流出はパスワード流出よりもタチが悪いかもしれない

あるAnonymous Coward曰く、

米T-Mobileで顧客情報の流出事件が発生した(ITmedia)。

不正アクセスが原因で、流出した個人情報は約200万件。流出した情報には氏名、郵便番号、電話番号、メールアドレス、ハッシュ化されたパスワードなどが含まれていたという。ハッシュ化アルゴリズムには容易にクラックが可能なMD5が使われていたという話もある。

この事件を受けて、WIRIDに掲載された記事では電話番号が流出したことは、パスワードの流出よりも大きな問題だと批判している。今の電話番号は他人と話すだけでなく、スマートフォンでの二要素認証などに使われているためだ。アイデンティティ管理の専門家は、電話番号の過度の依存について何年も前から警告してきた。電話番号が個人のロックとキーという両方の役割を果たしている現状は、攻撃者が電話番号を盗むいわゆるSIMスワップ攻撃を引き起こす原因ともなっているとしている(WIRIDSlashdot)。

すべて読む | モバイルセクション | セキュリティ | 携帯電話 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
メールアドレスを無断使用したらしい他人の個人情報が送られてくること、ある? 2018年07月28日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日
Yahoo! JAPAN、パスワードでのログインを行えなくする設定が可能に 2018年05月21日

Rubyist Magazine 0058号 発行

日本Rubyの会有志による、ウェブ雑誌Rubyist Magazine0058号がリリースされました([ruby-list:50698])。 今号は、

という構成となっています。 お楽しみください。

Posted by miyohide on 28 Aug 2018

スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた

あるAnonymous Coward曰く、

子供や従業員などのスマートフォン利用状況を監視するアプリ「SpyFone」で収集されたデータが、ネット上で誰もがアクセスできる状態で公開されていたという(GIGAZINEMOTHERBOARD)。

このデータはAmazonのストレージサービス「S3」上にアップロードされていたもの。これを発見した研究者によると、このデータが実際にダウンロードできることや、少なくとも2208件の利用者のデータが格納されていたことが確認できたそうだ。このデータにはスマートフォン内の写真やテキストメッセージ、音声録音、連絡先、位置情報などが含まれていたという。

すべて読む | モバイルセクション | セキュリティ | 携帯電話 | 情報漏洩 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
個人を監視している企業はFacebookだけではない 2018年04月04日
大学の講義出欠確認用スマホアプリが話題に、GPSで学生を追跡している? 2018年01月02日
米コムキャスト、職場監視用のビデオカメラサービス開始 2017年03月30日
千葉県柏市、スマートフォン向け監視アプリを中学生の保護者に無償配布する実験を開始 2016年04月04日

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。 答え 「武田真治」 です。 関連情報はこちらから クイズポイントサイト無料入会はこちらから! クイズでお小遣い稼ぎ。 クイズに参加で、ポイント獲得!! 貯まったポイントは手数料無料でネットバンクへ換金可能。楽天銀行...

はてなブックマーク - 2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります- はてなブックマークに追加

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります-

2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。 答え 「武田真治」 です。 関連情報はこちらから クイズポイントサイト無料入会はこちらから! クイズでお小遣い稼ぎ。 クイズに参加で、ポイント獲得!! 貯まったポイントは手数料無料でネットバンクへ換金可能。楽天銀行...

はてなブックマーク - 2018年8月、NHKにて「筋肉は裏切らない」が合言葉の「みんなで筋肉体操」が放送。○○らが出演。ネット小遣い稼ぎ紹介所 -クイズ回答もあります- はてなブックマークに追加

PHP UK Conference 2019 CFP is Open

Dates announced for PHP UK 2019

We are pleased to announce that PHP UK is back in 2019 for our 14th annual conference. As always PHP UK will feature an optional workshop day followed by two days of amazing talks, plentiful networking opportunities and great social events.

20th*, 21st & 22nd February 2019
The Brewery, London

Our Call for Papers is now open! Submit your papers until September 18th 2018.

We are looking for speakers and instructors to give talks and hands-on classroom sessions. We are seeking talks covering mainstream, advanced, niche or non-technical topics aimed at a multitude of skill levels.

Early bird tickets are on sale now as well!

パスワードで重要なのは記号を含むことよりも長くすること | スラド セキュリティ

パスワードで重要なのは記号を含むことよりも長くすること | スラド セキュリティ

パスワードで重要なのは記号を含むことよりも長くすること | スラド セキュリティ

JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている。 提示されている「安全なパスワードの条件」は次の通り。...

はてなブックマーク - パスワードで重要なのは記号を含むことよりも長くすること | スラド セキュリティ はてなブックマークに追加