月別アーカイブ: 2019年3月

Nokiaブランドの複数端末でユーザーに無断で中国への端末情報を送信が行われていたことが判明

Nokiaブランドの複数のスマートフォンが、端末の状況やユーザーの位置情報などを利用者に無断で送信しているとの指摘が出ている。送信先は「vnet.cn」というcn(中国)のドメインなどになっているとのことで、フィンランド当局がGDPR違反の疑いで捜査を行う状況になっているようだ(iPhone ManiaEngadget日本版AFP)。

vnet.cnはChina Telecomが保有しているドメインで、また別の送信先として挙げられているaps.c2dms.comも中国企業が管理しているようだ。これら端末を製造しているHMD Globalはこれについて、中国向けのソフトウェアを誤ってほかの国向けの端末に導入してしまったと説明している。

すべて読む | セキュリティセクション | セキュリティ | YRO | 中国 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる 2019年01月22日
米大統領の決定により全米の携帯電話に緊急警報メッセージを送信するシステム、初のテスト実施へ 2018年09月17日
Google、アプリで位置情報をオフにしても位置情報を保存していたとの報道を受けてヘルプを修正 2018年08月19日
Galaxy S9/Note 8などのメッセージアプリに端末内の写真が勝手に送信される不具合? 2018年07月03日

元CS1.6プロゲーマーが配信でチートを使用、眼鏡に反射したスクリーンより不正が発覚

元CS1.6プロゲーマーが配信でチートを使用、眼鏡に反射したスクリーンより不正が発覚

元CS1.6プロゲーマーが配信でチートを使用、眼鏡に反射したスクリーンより不正が発覚

Sponsored link 元CS1.6プロゲーマーのKristoffer ‘Faken’ Anderssonが自身のTwitchのストリーミング配信にてチートを使用した事が明らかになっています。チートは眼鏡に反射したスクリーンを視聴者が発見し、チートの使用が発覚しました。 fakenはスウェーデンのプレイヤーで、CS1.6ではSSV Lehnitzといったチームでzet...

はてなブックマーク - 元CS1.6プロゲーマーが配信でチートを使用、眼鏡に反射したスクリーンより不正が発覚 はてなブックマークに追加

Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表

bero曰く、

Kreb on Securityが匿名の関係者からの情報として、Facebookが一部ユーザーのパスワードを暗号化せずに保存しており、さらにこれらのパスワードには多数のFacebook従業員がアクセスできたことを伝えている。Facebookはこれについて事実と認めたとのこと(ITmediaSlashdot)。

これら報道によると、Facebookでは大半のパスワードをハッシュ化して保存しているが、一部で平文パスワードが記録されていたという。この問題は2012年から始まっており、またそのデータは2万人以上の従業員が検索できたという。実際、アクセスログを確認したところ約2000人がプレーンテキストのパスワードを含むデータに対し約900万回のクエリを実行していたという。

バスワードのハッシュ化は常識であり、それを知らなかったとはさすがに思えないので、おそらくデバックかユーザビリティ調査のために入力を全部ログとってて、そこにパスワードも含まれる、とかじゃなかろうか。

すべて読む | セキュリティセクション | セキュリティ | Facebook | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
電話番号の流出はパスワード流出よりもタチが悪いかもしれない 2018年08月29日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日

S3のサーバアクセスログで署名バージョンの確認ができるようになりました | DevelopersIO

S3のサーバアクセスログで署名バージョンの確認ができるようになりました | DevelopersIO

S3のサーバアクセスログで署名バージョンの確認ができるようになりました | DevelopersIO

確認 Regex101 を利用して、S3のアクセスログのパースに利用できる正規表現を確認してみました。 正規表現のデバッグに重宝した神サイトを紹介してみる 正規表現 (\S+) (\S+) (\S+ \S+) (\S+) (\S+) (\S+) (\S+) (\S+) (\"[^\"]*\") (\S+) (\S+) (\S+) (\S+) (\S+) (\S+) (\"[^\"]*\") (\"[^\"]*\") (\S+) (\S+) (\S+) (...

はてなブックマーク - S3のサーバアクセスログで署名バージョンの確認ができるようになりました | DevelopersIO はてなブックマークに追加

GoogleとFacebookに偽の請求書を送って110億円以上をせしめた男が有罪に、その手口とは? – GIGAZINE

GoogleとFacebookに偽の請求書を送って110億円以上をせしめた男が有罪に、その手口とは? - GIGAZINE

GoogleとFacebookに偽の請求書を送って110億円以上をせしめた男が有罪に、その手口とは? - GIGAZINE

by Don Hankins GoogleとFacebookの従業員をだまして1億ドル(約110億円)以上を銀行口座に振り込ませたとして、リトアニア人の男が逮捕された件で、有罪判決が下りました。男は通信詐欺・なりすまし・3件のマネーロンダリングの罪で4970万ドル(約55億円)が没収されることに。また2019年7月24日に行われる裁判で、最大30年...

はてなブックマーク - GoogleとFacebookに偽の請求書を送って110億円以上をせしめた男が有罪に、その手口とは? - GIGAZINE はてなブックマークに追加

安全なWebサイトのつくりかた ざっくりまとめpart1 – Qiita

安全なWebサイトのつくりかた ざっくりまとめpart1 - Qiita

安全なWebサイトのつくりかた ざっくりまとめpart1 - Qiita

情報推進機構「安全なWebサイトのつくりかた」を読んだけど 情報量が多すぎて頭がフリーズしたので、現時点で最低限理解できる内容までを記録しておきます。 誰にでもわかるというより、僕にでもわかる文章で書いていますのでご了承ください。 Webアプリケーションのセキュリティ実装 例として、11種類のセキュリティ...

はてなブックマーク - 安全なWebサイトのつくりかた ざっくりまとめpart1 - Qiita はてなブックマークに追加

最新のmacOS 10.14.3 MojaveやSafari 12にKext LoadingやTCCのセキュリティ機能がバイパスされてしまう脆弱性が複数発見される。 | AAPL Ch.

最新のmacOS 10.14.3 MojaveやSafari 12にKext LoadingやTCCのセキュリティ機能がバイパスされてしまう脆弱性が複数発見される。 | AAPL Ch.

最新のmacOS 10.14.3 MojaveやSafari 12にKext LoadingやTCCのセキュリティ機能がバイパスされてしまう脆弱性が複数発見される。 | AAPL Ch.

最新のmacOS 10.14.3 MojaveやSafari 12にKext LoadingやTCCのセキュリティ機能がバイパスされてしまう脆弱性が複数発見されているそうです。詳細は以下から。  ドイツの18歳のセキュ

はてなブックマーク - 最新のmacOS 10.14.3 MojaveやSafari 12にKext LoadingやTCCのセキュリティ機能がバイパスされてしまう脆弱性が複数発見される。 | AAPL Ch. はてなブックマークに追加

アラートループ家宅捜索(いわゆる「兵庫県警ブラクラ摘発」)事件に関する寄付の呼びかけ – 一般社団法人日本ハッカー協会

アラートループ家宅捜索(いわゆる「兵庫県警ブラクラ摘発」)事件に関する寄付の呼びかけ - 一般社団法人日本ハッカー協会

アラートループ家宅捜索(いわゆる「兵庫県警ブラクラ摘発」)事件に関する寄付の呼びかけ - 一般社団法人日本ハッカー協会

~IT技術の開発者と利用者の権利を守るために~ 下記発起人による寄稿 弁護士・裁判費用の援助 3月4日に報道されたように、繰り返しアラートボックス(警告メッセージ)が出るウェブページへのリンクを掲示板に貼った行為が、刑法の「不正指令電磁的記録の罪」に当たるとして、一人の中学生と二人の成人が兵庫県警察の家...

はてなブックマーク - アラートループ家宅捜索(いわゆる「兵庫県警ブラクラ摘発」)事件に関する寄付の呼びかけ - 一般社団法人日本ハッカー協会 はてなブックマークに追加

Quint Dental Gate – 弊社運営サイトへの不正アクセス発生についてのご報告とお詫び

Quint Dental Gate - 弊社運営サイトへの不正アクセス発生についてのご報告とお詫び

Quint Dental Gate - 弊社運営サイトへの不正アクセス発生についてのご報告とお詫び

このたび、弊社運営サイトのウェブサーバーに外部からの不正アクセスがあり、その内容を調査いたしましたところ、お客様の個人情報が、流出した可能性があることを確認いたしました。 お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけする事態になりましたことを深くお詫び申し上げます。 弊社では、今回の事態...

はてなブックマーク - Quint Dental Gate - 弊社運営サイトへの不正アクセス発生についてのご報告とお詫び はてなブックマークに追加

狙い撃ちされたMonappy モナコイン詐取した18歳ハッカー少年「ゲームを攻略する気持ちでやった」 (1/2) – ITmedia NEWS

狙い撃ちされたMonappy モナコイン詐取した18歳ハッカー少年「ゲームを攻略する気持ちでやった」 (1/2) - ITmedia NEWS

狙い撃ちされたMonappy モナコイン詐取した18歳ハッカー少年「ゲームを攻略する気持ちでやった」 (1/2) - ITmedia NEWS

仮想通貨の保管サイトから、当時の価値で約1500万円相当の仮想通貨「モナコイン」をだまし取ったなどとして、電子計算機使用詐欺と組織犯罪処罰法違反の疑いで宇都宮市の18歳のハッカー少年を書類送検した事件。システムの欠陥を狙った犯行で、元日に“犯行声明”も出ていたことが話題になったが、専門家は「完全な狙い撃...

はてなブックマーク - 狙い撃ちされたMonappy モナコイン詐取した18歳ハッカー少年「ゲームを攻略する気持ちでやった」 (1/2) - ITmedia NEWS はてなブックマークに追加

退職者のパソコンが危ない、piyokango注目の機密情報持ち出し事件 | 日経 xTECH(クロステック)

退職者のパソコンが危ない、piyokango注目の機密情報持ち出し事件 | 日経 xTECH(クロステック)

退職者のパソコンが危ない、piyokango注目の機密情報持ち出し事件 | 日経 xTECH(クロステック)

著名なセキュリティーリサーチャーのpiyokango氏が注目するシステムトラブルをピックアップ。今週の注目ネタは…。 2019年3月初めの注目ニュースは3件。最初は、機密情報を持ち出した従業員が書類送検された事件を取り上げる。 退職する従業員のパソコンから機密情報持ち出しの痕跡(3月8日) 臨床検査機器メーカーのアー...

はてなブックマーク - 退職者のパソコンが危ない、piyokango注目の機密情報持ち出し事件 | 日経 xTECH(クロステック) はてなブックマークに追加

「R2-D2」はハッキング上手? 「スター・ウォーズ」で考えるセキュリティ (1/3) – ITmedia NEWS

「R2-D2」はハッキング上手? 「スター・ウォーズ」で考えるセキュリティ (1/3) - ITmedia NEWS

「R2-D2」はハッキング上手? 「スター・ウォーズ」で考えるセキュリティ (1/3) - ITmedia NEWS

この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第13回『フォースで認証を突破できるか?【スター・ウォーズ】」(2018年1月11日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合...

はてなブックマーク - 「R2-D2」はハッキング上手? 「スター・ウォーズ」で考えるセキュリティ (1/3) - ITmedia NEWS はてなブックマークに追加

シンクホールの運用について – bomb_log

シンクホールの運用について - bomb_log

シンクホールの運用について - bomb_log

これまで当blogおよびtwitterにて、マルウェア感染の被害を減らす為の情報として活用できるように、主にマルウェアに誘導するばらまき型の不審メールの情報の蓄積や解析を行ってきました。 これまでは感染を防ぐ為の情報発信が主でしたが、今後は更に、感染してしまった端末を減らすべく、シンクホールの運用を始めまし...

はてなブックマーク - シンクホールの運用について - bomb_log はてなブックマークに追加

当社に関する一部報道について – JapanTaxi株式会社

当社に関する一部報道について - JapanTaxi株式会社

当社に関する一部報道について - JapanTaxi株式会社

平素よりJapanTaxi株式会社のサービスをご利用頂き、誠にありがとうございます。 2019年3月24日、日本経済新聞において、ユーザーの皆様に十分に説明せずに位置情報などを利用し、個人情報保護委員会から指導を受けていたとの報道がなされております。本件に関する当社の対応について、以下の通りご報告いたします。 1....

はてなブックマーク - 当社に関する一部報道について - JapanTaxi株式会社 はてなブックマークに追加

墜落したボーイング737 MAX、オプション扱いの安全機能を搭載していなかった

昨年10月29日と今年3月10日に墜落事故を起こした2機のボーイング737 MAX型機では、オプション扱いとなっていた異常発生時の安全を向上させる2つの機能がいずれも搭載されていなかったそうだ(The New York Timesの記事SlashGearの記事The Vergeの記事Ars Technicaの記事)。

搭載されていなかったオプション扱いの機能とは、2つの迎角(AOA)センサーから読み取ったデータを表示するインジケーターと、2つのAOAセンサーから読み取ったデータが一致しない場合に警告を表示するAOA Disagree alertだ。昨年10月のライオンエア610便墜落事故では、737 MAXの新型失速防止システム(MCAS)にAOAセンサーから誤ったデータが入力されたことが事故の原因とされていた。

昨年11月にボーイングが発行したOperation Manual Bulletin(OMB)では、AOAの異常を操縦士へ知らせる複数の機能のうち、AOA Disagree alertはオプションのAOAインジケーターが搭載されている場合のみ利用できることが記載されている。ただし、ライオンエア610便の737 MAXにAOAインジケーターが搭載されていたかどうかについては記載がなかった。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | ソフトウェア | スラッシュバック | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
墜落事故を起こしたボーイング737MAX8と737MAX9に対し米当局も全機運航停止命令を出す 2019年03月15日
ライオンエア610便墜落事故、ボーイングが新機能のトラブル対応手順を知らせていたかどうかで議論に 2018年11月18日
アメリカン航空、ボーイング737 MAX導入に伴ってシートピッチを縮小する計画 2017年05月07日

ビッグデータとプライバシー:Suica利用履歴販売、JR東は「個人情報に当たらない」との見解 (1/2) – ITmedia ビジネスオンライン

ビッグデータとプライバシー:Suica利用履歴販売、JR東は「個人情報に当たらない」との見解 (1/2) - ITmedia ビジネスオンライン

ビッグデータとプライバシー:Suica利用履歴販売、JR東は「個人情報に当たらない」との見解 (1/2) - ITmedia ビジネスオンライン

ビッグデータとプライバシー:Suica利用履歴販売、JR東は「個人情報に当たらない」との見解 (1/2) 7月1日から、JR東日本が日立製作所にSuicaの利用履歴を販売していたことが、「個人情報を無断で販売した」「気持ち悪い」と問題になっている。JR東はどのようなスタンスなのか、取材した。 データを販売した相手は日立製...

はてなブックマーク - ビッグデータとプライバシー:Suica利用履歴販売、JR東は「個人情報に当たらない」との見解 (1/2) - ITmedia ビジネスオンライン はてなブックマークに追加

位置情報アプリ「Family Locator」からリアルタイムで情報が流出していた | TechCrunch Japan

位置情報アプリ「Family Locator」からリアルタイムで情報が流出していた | TechCrunch Japan

位置情報アプリ「Family Locator」からリアルタイムで情報が流出していた | TechCrunch Japan

人気の位置情報追跡アプリ「Family Locator」(日本でのアプリ名は「ファミリーロケータ」)から、数週間にわたって23万8千人以上のユーザーの位置情報がリアルタイムで流出していた。これはアプリ開発者がサーバにパスワードをかけずに公開していたことによる。 このアプリはオーストラリアのソフトウェアハウス、React...

はてなブックマーク - 位置情報アプリ「Family Locator」からリアルタイムで情報が流出していた | TechCrunch Japan はてなブックマークに追加

Microsoft、エンドポイントセキュリティソリューションをMacにも提供へ

Microsoftは21日、同社のエンドポイントセキュリティソリューションをMacコンピューター向けにも提供することを発表した(Microsoft Tech Communityの記事Neowinの記事Softpediaの記事The Registerの記事)。

MicrosoftではWindows Defender Advanced Threat Protection(ATP)を使用する顧客がWindows以外のデバイスも一括して保護できるよう、パートナー企業と作業を進めてきたという。Mac向けの提供を開始するにあたり、Windows Defender ATPはMicrosoft Defender ATPに改称された。

Mac版のMicrosoft Defender ATPは顧客がWindows 10で使用しているのと同様の操作が可能なユーザーインターフェイスを持ち、macOS Mojave/High Sierra/Sierraで実行できるとのこと。現在、Microsoft Defender ATPの顧客限定でプレビュープログラム参加を受け付けている。

すべて読む | アップルセクション | セキュリティ | マイクロソフト | MacOSX | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
MicrosoftがWindows 10の利用統計情報をFireEyeに提供するとの報道、Microsoftは否定 2016年11月27日
Microsoft、パッチ公開前にWindowsのゼロデイ脆弱性を公表したGoogleを批判 2016年11月03日
Windows 10ではホームユーザーへの月例更新が廃止され、更新プログラムは随時配布に 2015年05月06日

Mid-Atlantic Developer Conference

Mid-Atlantic Developer Conference is a 2nd year polyglot event taking place August 1-2, 2019 near Baltimore, MD. It is designed to bring together programmers from the region for two full days of learning from each other and building a stronger regional community. We are currently hosting an open Call for Speakers, which will end on April 13th!

We are looking for a broad range of submissions covering a wide range of topics that are of interest to today’s computer developers. This means not only programming topics, such as various sessions on PHP, but also broader topics related to development such as: deployment, DevOps, databases, caching, performance, scalability, APIs, etc — We also are looking for non-technical proposals that will appeal to a tech audience: open source, leadership, mentoring, health, work-life balance, management, customer service, and more!

Given the nature of the event, extra emphasis will be placed on submissions that appeal to a larger range of developers, as well as submissions from more local/regional presenters.

位置情報で日常「捕捉」、ジャパンタクシーに行政指導  :日本経済新聞

位置情報で日常「捕捉」、ジャパンタクシーに行政指導  :日本経済新聞

位置情報で日常「捕捉」、ジャパンタクシーに行政指導  :日本経済新聞

日本交通系のジャパンタクシー(東京・千代田)がユーザーに十分に説明せずに位置情報などを利用したとし、個人情報保護委員会から行政指導を受けていたことが分かった。ゲームやSNS(交流サイト)など主要アプリの5割が位置情報を広告や機能向上に生かし、個人の利便性は高まっている。ただ本人が知らないままプライバ...

はてなブックマーク - 位置情報で日常「捕捉」、ジャパンタクシーに行政指導  :日本経済新聞 はてなブックマークに追加

植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性

Medtronicの植込み型除細動器(ICD)や心臓再同期療法除細動器(CRT-D)とプログラマーやモニターとの通信に使われるMedtronic Conexusプロトコルに存在する、患者を攻撃可能な脆弱性2件が公表された(セキュリティ情報: PDFICS-CERTのアドバイザリArs Technicaの記事The Registerの記事)。

CVE-2019-6538はプロトコルに認証の仕組みが備わっていないというものだ。この脆弱性を悪用することで、攻撃者はデバイスの設定変更が可能となる。CVSS v3スコアは9.3(Critical)。CVE-2019-6540はプロトコルに通信内容を暗号化する仕組みが備わっていないというもので、攻撃者は患者のプライバシーにかかわる情報を含むすべての通信内容を傍受できる。CVSS v3スコアは6.5(Medium)。

ただし攻撃を成功させるには、攻撃者がConexusプロトコルで通信可能な機器を持ち、通信機能がオンになったデバイスの通信可能範囲内(最大6m程度)にいる必要がある。病院での診療時にはデバイスの通信機能が必要となるが、病院外での通信機能の利用は限定的だ。Medtronicはアップデートを開発中だが、リモート監視機能による利点が脆弱性によるリスクを上回るとして、処方されたとおりに使用することを推奨している。発表時点ではこれらの脆弱性を悪用した攻撃等は確認されていないとのこと。

なお、MedtronicのプログラマーではCareLink 2090とCareLink 29901でソフトウェアアップデート機能の脆弱性が昨年発見されているが、今回の脆弱性の影響を受けるプログラマーはCareLink 2090のみとなっている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | 医療 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
心臓ペースメーカー1100台余りに停止のおそれ、プログラムを無線通信で修正することを検討 2019年01月23日
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
建物への落雷で医療用の植込み型パルス発生装置が停止 2018年05月10日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
2014年内に史上初の「オンライン殺人」が起こる? 2014年10月10日
総務省が「LTE端末によるペースメーカーへの特別な影響はない」と発表 2013年12月26日
チェイニー元米副大統領、テロリストからの攻撃を懸念して植え込み型除細動器の無線機能を無効化していた 2013年10月20日
電気自動車の充電器で心臓ペースメーカーが誤動作する恐れ 2013年06月28日
ペースメーカーをハッキングして過電圧を与えることができる脆弱性 2012年10月22日
通信機能を備えた心臓ペースメーカー、クラックされる可能性あり 2008年07月20日
総務省、医療器具への電波の影響調査結果を発表 2005年08月13日

カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える

Kaspersky Labは19日、App StoreにおけるAppleの反競争行為に関する訴状をロシア連邦反独占庁(FAS)へ提出したことを発表した(Kaspersky Lab公式ブログの記事Softpediaの記事Mac Rumorsの記事9to5Macの記事)。

きっかけとなったのは昨年、同社のペアレンタルコントロールアプリ「Kaspersky Safe Kids」のiOS版がApp Store Reviewガイドラインの2.5.1に違反するとAppleから通告を受けたことだ。同社はAppleの要求に従い、App Storeのポリシーに違反するという構成プロファイルを使用する機能を削除。その結果、iOS版Kaspersky Safe Kidsはアプリの使用制限および、安全な内蔵ブラウザーのみでWebページを表示するという2つの重要な機能を失うことになったそうだ。

しかし、Kaspersky Safe Kidsは3年近くにわたって特に何の問題も指摘されずにApp Storeで公開されていたという。通告がiOS 12のペアレンタルコントロール機能「Screen Time」の発表直後だったことから、同社はAppleがプラットフォームのオーナー兼監督者の立場を利用してサードパーティーの開発者に不利な条件を押し付けていると受け取ったようだ。これによりペアレンタルコントロール市場は独占に向かい、停滞していくと同社は主張する。

先日SpotifyがAppleの不当競争行為是正を欧州委員会へ訴えたように、App Storeで不利な扱いを受けているのはKaspersky Labだけではないという。同社は問題を解決しようとAppleにたびたび接触しているが、実りのある結果は得られていないとのこと。今後もAppleと良好な関係を続けていくには、App Storeで全開発者が公平な条件で健全な競争が行われる必要があるため、今回の訴えに至ったとのことだ。

すべて読む | アップルセクション | ビジネス | セキュリティ | ソフトウェア | 法廷 | アップル | iOS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Spotify、Appleの不当競争行為是正を欧州委員会に訴える 2019年03月16日
Apple、プッシュ通知で元Apple Musicユーザーに2度目の無料トライアルを提案 2019年02月13日
インド電気通信規制庁開発のiOS版スパム電話/SMS報告アプリ、ようやくApp Storeで公開 2018年12月02日
TumblrアプリがApp Storeから突然消えた理由は児童ポルノ 2018年11月23日
Kaspersky曰く、「iOS向けアンチウイルスソフト」は存在しない 2018年09月28日
開発者が持続可能なApp Storeを目指す「The Developers Union」結成 2018年05月23日
マイクロソフトがAVベンダーサポート改善を発表、カスペルスキーは独占禁止法違反の訴えを取り下げへ 2017年08月11日
カスペルスキー、セキュリティソフトに関するMicrosoftの反競争行為を欧州委員会などに訴える 2017年06月08日
開発者とAppleへの恐怖 2015年03月28日
Dropbox SDKを使用したアプリ、App Storeで軒並み却下 2012年05月05日
iOS 5のWi-Fi SyncはApp Storeで却下されたアプリそっくり 2011年06月12日

自民党本部に「託児ルーム」:時事ドットコム

自民党本部に「託児ルーム」:時事ドットコム

自民党本部に「託児ルーム」:時事ドットコム

自民党本部に「託児ルーム」 2019年03月22日12時10分 自民党で女性議員活躍の環境整備を進める議員連盟「女性議員飛躍の会」は22日、子育て中の議員のための「託児ルーム」や女性議員らが交流できる部屋を4月から党本部に設けることを決めた。二階俊博幹事長も了解しているという。 託児ルームには保育士を置かず、子...

はてなブックマーク - 自民党本部に「託児ルーム」:時事ドットコム はてなブックマークに追加

Nokiaスマホ、中国にユーザーの位置情報など送信との報道。当局が捜査開始 – iPhone Mania

Nokiaスマホ、中国にユーザーの位置情報など送信との報道。当局が捜査開始 - iPhone Mania

Nokiaスマホ、中国にユーザーの位置情報など送信との報道。当局が捜査開始 - iPhone Mania

ノルウェーのユーザーが使っているNokiaのスマートフォンが、ユーザーの位置情報などを中国のサーバーに送信していたことが発見された、と報じられています。Nokiaブランドを保有するHMD Globalが本社を置くフィンランド当局が捜査を開始しています。 中国に送信されるユーザーの位置情報 複数のNokiaブランドスマートフ...

はてなブックマーク - Nokiaスマホ、中国にユーザーの位置情報など送信との報道。当局が捜査開始 - iPhone Mania はてなブックマークに追加

OpenPGP の電子署名は「ユーザーの身元を保証し」ない — OpenPGP の実装 | text.Baldanders.info

OpenPGP の電子署名は「ユーザーの身元を保証し」ない — OpenPGP の実装 | text.Baldanders.info

OpenPGP の電子署名は「ユーザーの身元を保証し」ない — OpenPGP の実装 | text.Baldanders.info

重箱の隅を突っつくような記事で申し訳ないのだが 「GitKraken 5.0」がリリース ~GPGコミットや“Interactive Rebase”をサポート - 窓の杜 という記事で メジャーアップデートとなる本バージョンでは、“GNU Privacy Guard (GPG)”による署名付きのコミットがサポートされた。ユーザーの身元を保証し、他のユーザーによる...

はてなブックマーク - OpenPGP の電子署名は「ユーザーの身元を保証し」ない — OpenPGP の実装 | text.Baldanders.info はてなブックマークに追加

Facebook、最大6億ユーザーのパスワードを社内に平文保存。2万人の従業員がアクセス可能な状態に – Engadget 日本版

Facebook、最大6億ユーザーのパスワードを社内に平文保存。2万人の従業員がアクセス可能な状態に - Engadget 日本版

Facebook、最大6億ユーザーのパスワードを社内に平文保存。2万人の従業員がアクセス可能な状態に - Engadget 日本版

たびたび報じられるFacebookのセキュリティ・プライバシー問題。3月初めには2段階認証で使う電話番号でユーザー検索が可能になっていることが判明しましたが、今度は、最大6億人におよぶユーザーのパスワードがFacebookの社内システムに暗号化されていない平文で保存されていたのが見つかりました。 これは、1月に実施し...

はてなブックマーク - Facebook、最大6億ユーザーのパスワードを社内に平文保存。2万人の従業員がアクセス可能な状態に - Engadget 日本版 はてなブックマークに追加

Microsoft DefenderがMacにやってくる、MS製セキュリティ対策ソリューション | TechCrunch Japan

Microsoft DefenderがMacにやってくる、MS製セキュリティ対策ソリューション | TechCrunch Japan

Microsoft DefenderがMacにやってくる、MS製セキュリティ対策ソリューション | TechCrunch Japan

Microsoft(マイクロソフト)は、米国時間3月21日、Microsoft Defender Advanced Threat Protection(ATP)をMacでも動くようにすると発表した。これまでは、Microsoft 365に加入するマシンを保護するためのWindows用ソリューションであり、Windowsマシンを安全に保つための、IT管理者の重要なツールだった。名前も、今...

はてなブックマーク - Microsoft DefenderがMacにやってくる、MS製セキュリティ対策ソリューション | TechCrunch Japan はてなブックマークに追加

iOS 構成プロファイルの署名 – Qiita

iOS 構成プロファイルの署名 - Qiita

iOS 構成プロファイルの署名 - Qiita

とりあえず初めに 署名されている = 信頼できる安全なものってわけではない事に注意 署名済みプロファイルを入れさせようとするフィッシングサイトも出てきています。 佐川急便を騙り、デバイス登録チャレンジペイロードを含むプロファイル。 一般的にはMDM(iOSの遠隔監視ツール)の登録をさせようとするもの。 インス...

はてなブックマーク - iOS 構成プロファイルの署名 - Qiita はてなブックマークに追加

無料で高機能のリバースエンジニアリングツール「Ghidra」とは? NSAが公開:「バックドアは仕込んでいない」と強調 – TechTargetジャパン セキュリティ

無料で高機能のリバースエンジニアリングツール「Ghidra」とは? NSAが公開:「バックドアは仕込んでいない」と強調 - TechTargetジャパン セキュリティ

無料で高機能のリバースエンジニアリングツール「Ghidra」とは? NSAが公開:「バックドアは仕込んでいない」と強調 - TechTargetジャパン セキュリティ

関連キーワード NSA(米国家安全保障局) | オープンソース | OSS NSAはGhidraをOSSとして無償公開した(画面はGhidraの紹介ページ)《クリックで拡大》 米国家安全保障局(NSA)がマルウェア対策用のリバースエンジニアリングツール「Ghidra」のオープンソースソフトウェア(OSS)版を公開した。セキュリティプロフェッ...

はてなブックマーク - 無料で高機能のリバースエンジニアリングツール「Ghidra」とは? NSAが公開:「バックドアは仕込んでいない」と強調 - TechTargetジャパン セキュリティ はてなブックマークに追加

英諜報機関、暗号機「エニグマ」などのシミュレータを公開

英国の諜報機関・GCHQが、過去にドイツや英国などで使われた暗号装置「Enigma」「Typex」「Bombe」による暗号化および復号を簡単に試せるシミュレータを公開した(CNET Japan)。

これにより、GCHQがオープンソース(Apache License 2.0)で公開している「CyberChef」というデータ処理ツールで「Enigma」「Typex」「Bombe」による暗号化および復号が可能になる。GitHub上でデモが公開されているが、「Encryption / Encoding」の選択肢に「Enigma」や「Bombe」「Multiple Bombe」「Typex」が用意されており、これらをダブルクリックで選択し、「Input」に暗号化したい文字列を入れると「Output」に暗号化された結果が出力される。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
第二次世界大戦中に使われたドイツ軍暗号機「エニグマ」完動品、オークションにかけられる 2015年07月15日
本物の「エニグマ」がオークションに 2007年07月20日
エニグマ暗号の解読機、複製版が公開 2006年09月12日
エニグマ暗号文、64年ぶりに解読 2006年03月03日

「虐待が脳を変えてしまう」脳科学者からの目を背けたくなるメッセージ | テクノロジー | 最新記事 | ニューズウィーク日本版 オフィシャルサイト

「虐待が脳を変えてしまう」脳科学者からの目を背けたくなるメッセージ | テクノロジー | 最新記事 | ニューズウィーク日本版 オフィシャルサイト

「虐待が脳を変えてしまう」脳科学者からの目を背けたくなるメッセージ | テクノロジー | 最新記事 | ニューズウィーク日本版 オフィシャルサイト

<児童虐待は脳に傷を負わせる。ではその子どもたちは、大人になっても悲惨な人生を送るしかないのか。どうすれば虐待経験者を救うことができるのか> 『虐待が脳を変える――脳科学者からのメッセージ』(友田明美、藤澤玲子著、新曜社)の著者である友田明美氏は、小児発達学、小児精神神経学、社会融合脳科学を専門とす...

はてなブックマーク - 「虐待が脳を変えてしまう」脳科学者からの目を背けたくなるメッセージ | テクノロジー | 最新記事 | ニューズウィーク日本版 オフィシャルサイト はてなブックマークに追加

リポジトリ管理ソフトウェア「Nexus Repository Manager」に遠隔からのコード実行が可能になる脆弱性

「Sonatype」が開発する「Nexus Repository Manager(NXRM)3」で重大な脆弱性「CVE-2019-7238」が確認されました。この脆弱性を利用すると、認証されていないユーザが細工したリクエストを送信することによって遠隔から任意のコードを実行することが可能になります。NXRMは、ソフトウェア開発、アプリケーションのデプロイ、ハードウェアの自動的な割り当てなどに必要なコンポーネントを管理することができるオープンソースのソフトウェアです。Sonatypeによると、NXRMは15万台以上のサーバで稼働しています。

問題の脆弱性は「Tencent Security Yunding Lab」のRico氏と「Chaitin Tech」のvoidfyoo氏によって報告されました。この脆弱性に対処する更新プログラムが適用されたNXRM 3.15が2019年1月11日に公開されています。

■適切なアクセス制御の欠如により遠隔からのコード実行が可能に

CVE-2019-7238はExpression Language(EL)インジェクション攻撃が可能になる脆弱性です。具体的には、「previewAssets()」メソッドがCSEL(Content Selector Expression Language)式を無害化(サニタイズ)せずに評価することに起因します。CSELは、軽量なバージョンのJEXL(Java Expression Language)で、特定のパスとcoordinate属性に対するクエリをリポジトリマネージャーのフォーマットに即して記述する際に使用します。

トレンドマイクロはこの脆弱性について解析を行いました。「previewAssets()」メソッドは「previewAssets」リクエスト内の「expression」プロパティの値として脆弱性を引き起こすパラメータを受け取ります。次に、このメソッドは受け取った値をサニタイズすることなく「checkJexlExpression()」メソッドを呼び出します。続いて、「ContentExpressionFunction.java」の「execute()」メソッドが呼び出され、任意のコードが実行されます。

図1はJSON形式の「previewAssets」リクエストの例です。キー「method」には「previewAssets」が、キー「property」には「expression」が値として設定されています。そしてキー「value」には不正なコードが含まれています。このリクエストがNXRM 3に送信されると、適切なアクセス制御が行われていないため、不正なコードが実行されてしまいます。

「previewAssets」リクエストの例

図1:「previewAssets」リクエストの例

■CVE-2019-7238を利用する攻撃の前提条件

CVE-2019-7238を利用するためには以下の条件が両方満たされている必要があります。

  • NXRM 3 サーバのバージョンが3.15より前であること
  • NXRM 3 のリポジトリのいずれかにファイルが存在していること

NXRM 3のリポジトリにファイルが存在

図2: NXRM 3のリポジトリにファイルが存在

この前提条件が満たされている場合、攻撃者は問題の脆弱性を利用して遠隔のサーバをコントロールすることが可能になります。

遠隔のホストでリバースシェルを実行

図3:遠隔のホストでリバースシェルを実行

■CVE-2019-7238の修正プログラム

CVE-2019-7238を修正するにはパーミッション要件を追加する必要があります。図4のハイライト部が追加されたコードです。このコードによって、NXRM 3にインポートされたレジストリに対して、、「previewAssets()」メソッドが呼ばれる前にパーミッションのチェックが実行されます。これは、Javaのクラスファイル「org.apache.shiro.authz.annotation.RequiresPermissions」のインターフェイス「@RequiresPermissions(‘nexus:selectors:*’)」によって実現されています。

CVE-2019-7238に対処する修正プログラム

図4:CVE-2019-7238に対処する修正プログラム

■被害に遭わないためには

NXRM 3のようなリポジトリ管理ソフトウェアは、ソフトウェア開発の速度および効率を向上するために利用可能なツールです。しかし、CVE-2019-7238のような脆弱性が見つかった場合、悪用されてしまう恐れがあります。ソフトウェア開発においては、脆弱性の特定およびそれを利用するマルウェアや攻撃コードの有無を継続的に監視する必要があります。サードパーティのコンポーネントによってリスクがもたらされているかどうかを判定し、リスクがある場合それを発見および対処するために、自動化されたセキュリティを実装することが可能です。

サーバ向け総合セキュリティ製品「Trend Micro Deep Security™以下の DPIルールによってこの脆弱性を利用する脅威から保護されています。

  • 1009553 – Sonatype Nexus Repository Manager Remote Code Execution Vulnerability (CVE-2019-7238)

ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterにより今回の脅威をブロックします。

  • 34706 – HTTP: Sonatype Nexus Repository Manager Code Injection Vulnerability

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

Facebookが数億件分のパスワードを暗号化しないままサーバーに保存していたことが明らかに – GIGAZINE

Facebookが数億件分のパスワードを暗号化しないままサーバーに保存していたことが明らかに - GIGAZINE

Facebookが数億件分のパスワードを暗号化しないままサーバーに保存していたことが明らかに - GIGAZINE

セキュリティ研究者のBrian Krebs氏が、自身のブログ上で「Facebookは数億件分のアカウントパスワードを平文のままサーバー上に保存している」と報じました。サーバー上のデータには少なくとも2万人以上のFacebook従業員がアクセス可能となっており、アクセスログによると約2000人のエンジニアが情報にアクセスした可能...

はてなブックマーク - Facebookが数億件分のパスワードを暗号化しないままサーバーに保存していたことが明らかに - GIGAZINE はてなブックマークに追加

先週のサイバー事件簿 – Windows 7へのゼロデイ攻撃が活発化 | マイナビニュース

先週のサイバー事件簿 - Windows 7へのゼロデイ攻撃が活発化 | マイナビニュース

先週のサイバー事件簿 - Windows 7へのゼロデイ攻撃が活発化 | マイナビニュース

3月11日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。 Windows 7に標的型攻撃 Googleのセキュリティブログによると、Windows 7にゼロデイ脆弱性が確認されている。脆弱性はWindowsのカーネルモードドライバ「win32k.sys」に存在。権限の昇格が生じるNULLポインタ参照の危険が...

はてなブックマーク - 先週のサイバー事件簿 - Windows 7へのゼロデイ攻撃が活発化 | マイナビニュース はてなブックマークに追加

人生初の脆弱性報告をした話 – P_N_Dの日記

人生初の脆弱性報告をした話 - P_N_Dの日記

人生初の脆弱性報告をした話 - P_N_Dの日記

概要 最近、とあるWebサイトでそこそこ深刻な脆弱性を発見しました。そのサイトでは企業のキャンペーンの一環として、くじ引きで商品が当たる企画をやっていました。私が発見した脆弱性は、そのくじで100%確実に当たりを引けるというものです。 すぐに運営のメール宛に事実を報告し、その後実際にサイトが修正されている...

はてなブックマーク - 人生初の脆弱性報告をした話 - P_N_Dの日記 はてなブックマークに追加

某Webサイトの脆弱性を発見しました – P_N_Dの日記

某Webサイトの脆弱性を発見しました - P_N_Dの日記

某Webサイトの脆弱性を発見しました - P_N_Dの日記

概要 最近、とあるWebサイトでそこそこ深刻な脆弱性を発見しました。そのサイトでは企業のキャンペーンの一環として、くじ引きで商品が当たる企画をやっていました。私が発見した脆弱性は、そのくじで100%確実に当たりを引けるというものです。 すぐに運営のメール宛に事実を報告し、その後実際にサイトが修正されている...

はてなブックマーク - 某Webサイトの脆弱性を発見しました - P_N_Dの日記 はてなブックマークに追加

AgileBits、数億件のFacebookやInstagramユーザーのパスワードが読める形で保管されていた問題でFacebookなどを「1Password Watchtower」の警告対象にすると発表。 | AAPL Ch.

AgileBits、数億件のFacebookやInstagramユーザーのパスワードが読める形で保管されていた問題でFacebookなどを「1Password Watchtower」の警告対象にすると発表。 | AAPL Ch.

AgileBits、数億件のFacebookやInstagramユーザーのパスワードが読める形で保管されていた問題でFacebookなどを「1Password Watchtower」の警告対象にすると発表。 | AAPL Ch.

AgileBitsが数億件のFacebookやInstagramユーザーパスワードが読める形で保管されていた問題でFacebookなどを「1Password Watchtower」の警告対象にすると発表しています。詳細

はてなブックマーク - AgileBits、数億件のFacebookやInstagramユーザーのパスワードが読める形で保管されていた問題でFacebookなどを「1Password Watchtower」の警告対象にすると発表。 | AAPL Ch. はてなブックマークに追加

Microsoft、Windows 7の画面に「サポート終了」通知を表示へ – ITmedia エンタープライズ

Microsoft、Windows 7の画面に「サポート終了」通知を表示へ - ITmedia エンタープライズ

Microsoft、Windows 7の画面に「サポート終了」通知を表示へ - ITmedia エンタープライズ

Windows 7のサポートが2020年1月14日で終了する。Microsoftは移行を促すため、4月からWindows 7の画面にサポート終了についての告知を表示する。 米Microsoftは3月20日、Windows 7のサポート終了通知に関する更新プログラムを公開した。Windows 7は2020年1月14日でサポートが終了する。以後はたとえ脆弱性が発覚したとし...

はてなブックマーク - Microsoft、Windows 7の画面に「サポート終了」通知を表示へ - ITmedia エンタープライズ はてなブックマークに追加

Windows 7のサポート、2020年1月で終了 Microsoftが移行促す通知 – ITmedia エンタープライズ

Windows 7のサポート、2020年1月で終了 Microsoftが移行促す通知 - ITmedia エンタープライズ

Windows 7のサポート、2020年1月で終了 Microsoftが移行促す通知 - ITmedia エンタープライズ

Windows 7のサポートが2020年1月14日で終了する。Microsoftは移行を促すため、4月からWindows 7の画面にサポート終了についての告知を表示する。 米Microsoftは3月20日、Windows 7のサポート終了通知に関する更新プログラムを公開した。Windows 7は2020年1月14日でサポートが終了する。以後はたとえ脆弱性が発覚したとし...

はてなブックマーク - Windows 7のサポート、2020年1月で終了 Microsoftが移行促す通知 - ITmedia エンタープライズ はてなブックマークに追加

Facebookが数億人のパスワードを平文で保存していたと認める | TechCrunch Japan

Facebookが数億人のパスワードを平文で保存していたと認める | TechCrunch Japan

Facebookが数億人のパスワードを平文で保存していたと認める | TechCrunch Japan

Facebookでまたセキュリティー上の問題が見つかった。 コンピューターセキュリティを専門とする調査報道ジャーナリストのBrian Krebsは自身のサイトで「長年にわたってFacebookは数億アカウントのパスワードを平文で保存している」とするレポートを発表した。 Facebookは米国時間3月21日、公式ブログで事実だと認めた。...

はてなブックマーク - Facebookが数億人のパスワードを平文で保存していたと認める | TechCrunch Japan はてなブックマークに追加

ǝunsʇo ıɯnɟɐsɐɯ on Twitter: “Librahack事件やCoinhive騒動で警察が得た教訓が「サイバー捜査でHP制作会社やエンジニアを逮捕すると、技術論で反論されたり裁判で徹底的に反論してくるから、技術の素人やフリーターや中学生を狙おう」というの、あまりにもヤバすぎるでしょ。”

ǝunsʇo ıɯnɟɐsɐɯ on Twitter: "Librahack事件やCoinhive騒動で警察が得た教訓が「サイバー捜査でHP制作会社やエンジニアを逮捕すると、技術論で反論されたり裁判で徹底的に反論してくるから、技術の素人やフリーターや中学生を狙おう」というの、あまりにもヤバすぎるでしょ。"

ǝunsʇo ıɯnɟɐsɐɯ on Twitter: "Librahack事件やCoinhive騒動で警察が得た教訓が「サイバー捜査でHP制作会社やエンジニアを逮捕すると、技術論で反論されたり裁判で徹底的に反論してくるから、技術の素人やフリーターや中学生を狙おう」というの、あまりにもヤバすぎるでしょ。"

Librahack事件やCoinhive騒動で警察が得た教訓が「サイバー捜査でHP制作会社やエンジニアを逮捕すると、技術論で反論されたり裁判で徹底的に反論してくるから、技術の素人やフリーターや中学生を狙おう」というの、あまりにもヤバすぎるでしょ。

はてなブックマーク - ǝunsʇo ıɯnɟɐsɐɯ on Twitter: "Librahack事件やCoinhive騒動で警察が得た教訓が「サイバー捜査でHP制作会社やエンジニアを逮捕すると、技術論で反論されたり裁判で徹底的に反論してくるから、技術の素人やフリーターや中学生を狙おう」というの、あまりにもヤバすぎるでしょ。" はてなブックマークに追加

昨年12月のPayPay不正利用にも悪用されたダークウェブの最新動向 〜Torプロジェクトへの寄付金が過去最高額に——BCCC第16回リスク管理部会レポート – 仮想通貨 Watch

昨年12月のPayPay不正利用にも悪用されたダークウェブの最新動向 〜Torプロジェクトへの寄付金が過去最高額に——BCCC第16回リスク管理部会レポート - 仮想通貨 Watch

昨年12月のPayPay不正利用にも悪用されたダークウェブの最新動向 〜Torプロジェクトへの寄付金が過去最高額に——BCCC第16回リスク管理部会レポート - 仮想通貨 Watch

はてなブックマーク - 昨年12月のPayPay不正利用にも悪用されたダークウェブの最新動向 〜Torプロジェクトへの寄付金が過去最高額に——BCCC第16回リスク管理部会レポート - 仮想通貨 Watch はてなブックマークに追加

Microsoft ships antivirus for macOS as Windows Defender becomes Microsoft Defender | Ars Technica

Microsoft ships antivirus for macOS as Windows Defender becomes Microsoft Defender | Ars Technica

Microsoft ships antivirus for macOS as Windows Defender becomes Microsoft Defender | Ars Technica

Comment activity Sign up or login to join the discussions! Stay logged in | Having trouble? Microsoft is bringing its Windows Defender anti-malware application to macOS—and more platforms in the future—as it expands the reach of its Defender Advanced Threat Protection (ATP) platform. To reflect t...

はてなブックマーク - Microsoft ships antivirus for macOS as Windows Defender becomes Microsoft Defender | Ars Technica はてなブックマークに追加

WiresharkでのQUICの復号(decrypt) – ASnoKaze blog

WiresharkでのQUICの復号(decrypt) - ASnoKaze blog

WiresharkでのQUICの復号(decrypt) - ASnoKaze blog

WiresharkはIETF版 QUICパケットのdecryptに対応しているので、やってみる。 Wiresharkの細かい対応状況については以下の通りです。 Tools · quicwg/base-drafts Wiki · GitHub 最新のソースコード内に書かれているTODOとしては、以下の通り。 * to-do list: * DONE key update via KEY_PHASE bit (untested) * TODO 0-R...

はてなブックマーク - WiresharkでのQUICの復号(decrypt) - ASnoKaze blog はてなブックマークに追加

【それってネット詐欺ですよ】 怖すぎるリアルタイムアタック機能付きフィッシング詐欺 【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 – INTERNET Watch

【それってネット詐欺ですよ】 怖すぎるリアルタイムアタック機能付きフィッシング詐欺 【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch

【それってネット詐欺ですよ】 怖すぎるリアルタイムアタック機能付きフィッシング詐欺 【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch

はてなブックマーク - 【それってネット詐欺ですよ】 怖すぎるリアルタイムアタック機能付きフィッシング詐欺 【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch はてなブックマークに追加

Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 – ITmedia NEWS

Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 - ITmedia NEWS

Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 - ITmedia NEWS

Facebookが、Facebook、Instagram、Facebook Liteの数億人分のパスワードが社内に可読な状態で保存されていることに1月に気づき、修正したと発表した。該当したユーザーにはこれから連絡する。不正アクセスなどはなかったとしている。 米Facebookは3月21日(現地時間)、Facebook、Instagram、Facebook Liteの数億人分の...

はてなブックマーク - Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 - ITmedia NEWS はてなブックマークに追加

Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた – piyolog

Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた - piyolog

Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた - piyolog

KrebsOnSecurityが関係筋からの情報として、一部のFacebookユーザーのパスワードが暗号化されずに社内のデータストレージに読取可能な方式(平文)で保管されていたセキュリティ上の問題が生じていたと明らかにしました。Facebookはその後、この問題に関する見解を公開しています。ここでは関連する情報をまとめます。 K...

はてなブックマーク - Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた - piyolog はてなブックマークに追加

フェイスブック “パスワード数億人分 社内の誰でも見られた” | NHKニュース

フェイスブック “パスワード数億人分 社内の誰でも見られた” | NHKニュース

フェイスブック “パスワード数億人分 社内の誰でも見られた” | NHKニュース

世界最大の交流サイトを運営するフェイスブックは、数億人規模の利用者のパスワードが、社内の人間であれば誰でも見ることができる状態にあったことを明らかにし、ずさんな管理体制に対する批判が高まりそうです。 本来、パスワードは、社内でも見られないよう、暗号化する必要があったにもかかわらず、その措置がとられ...

はてなブックマーク - フェイスブック “パスワード数億人分 社内の誰でも見られた” | NHKニュース はてなブックマークに追加

Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security

Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security

Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security

Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2012, KrebsOnSecurity has learned. Facebook says an ongoing investigation has so far found no indication that employees have abus...

はてなブックマーク - Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security はてなブックマークに追加

Rails の CVE-2019-5418 は RCE (Remote code execution) です · GitHub

Rails の CVE-2019-5418 は RCE (Remote code execution) です · GitHub

Rails の CVE-2019-5418 は RCE (Remote code execution) です · GitHub

CVE-2019-5418_is_RCE.md Rails の CVE-2019-5418 は RCE (Remote code execution) です 前置き これは休日に書いた記事で所属している組織とは一切の関係がない。 概要 CVE-2019-5418 は実際のところ高確率でRCEなのだが File Content Disclosure という聞き慣れない名前で公表されて、CVE-2019-5419 で DoSが出来ると...

はてなブックマーク - Rails の CVE-2019-5418 は RCE (Remote code execution) です · GitHub はてなブックマークに追加

韓国ホテルに隠しカメラ、カップル800組超の盗撮映像を生配信 写真5枚 国際ニュース:AFPBB News

韓国ホテルに隠しカメラ、カップル800組超の盗撮映像を生配信 写真5枚 国際ニュース:AFPBB News

韓国ホテルに隠しカメラ、カップル800組超の盗撮映像を生配信 写真5枚 国際ニュース:AFPBB News

韓国・ソウル警察庁で公開された、隠しカメラが設置されたコンセント(2019年3月20日撮影)。(c)YONHAP / AFP 【3月21日 AFP】韓国・ソウル警察庁は21日、ラブホテルにスパイカメラ(隠し撮り用小型カメラ)を設置して盗撮した映像をインターネットで生配信したとして、男2人を逮捕、さらに別の2人の事情聴取を行ってい...

はてなブックマーク - 韓国ホテルに隠しカメラ、カップル800組超の盗撮映像を生配信 写真5枚 国際ニュース:AFPBB News はてなブックマークに追加

【明日は我が身】破産者マップ騒動・閉鎖はしたものの… – アラフォーでニートになりました。

【明日は我が身】破産者マップ騒動・閉鎖はしたものの… - アラフォーでニートになりました。

【明日は我が身】破産者マップ騒動・閉鎖はしたものの… - アラフォーでニートになりました。

www.itmedia.co.jp 破産者マップという、全国の破産者を網羅したサイトが開設され、騒ぎのうちに閉鎖されたのはつい最近のこと。 該当サイトには実名で自己破産をした人の情報が公開されており、ネット上でも紛糾。サイト運営者には情報の削除申請が殺到し、無断で掲載されてしまった方々の中には、司法に助けを求める人...

はてなブックマーク - 【明日は我が身】破産者マップ騒動・閉鎖はしたものの… - アラフォーでニートになりました。 はてなブックマークに追加

Announcing Microsoft Defender ATP for Mac – Microsoft Tech Community – 378010

Announcing Microsoft Defender ATP for Mac - Microsoft Tech Community - 378010

Announcing Microsoft Defender ATP for Mac - Microsoft Tech Community - 378010

Today, we’re announcing our advances in cross-platform next-generation protection and endpoint detection and response coverage with a new Microsoft solution for Mac. Core components of our unified endpoint security platform, including the new Threat & Vulnerability Management also announced today...

はてなブックマーク - Announcing Microsoft Defender ATP for Mac - Microsoft Tech Community - 378010 はてなブックマークに追加

NZ、アサルトライフルと半自動小銃を販売禁止に モスク銃乱射事件 写真2枚 国際ニュース:AFPBB News

NZ、アサルトライフルと半自動小銃を販売禁止に モスク銃乱射事件 写真2枚 国際ニュース:AFPBB News

NZ、アサルトライフルと半自動小銃を販売禁止に モスク銃乱射事件 写真2枚 国際ニュース:AFPBB News

ニュージーランド南島クライストチャーチのモスク(イスラム礼拝所)で起きた銃乱射事件を受け、犠牲者追悼のために同市にあるカンタベリー難民センターを訪れたジャシンダ・アーダーン首相(2019年3月17日撮影)。(c)Con Chronis / AFP 【3月21日 AFP】ニュージーランドの南島のクライストチャーチ(Christchurch)にあ...

はてなブックマーク - NZ、アサルトライフルと半自動小銃を販売禁止に モスク銃乱射事件 写真2枚 国際ニュース:AFPBB News はてなブックマークに追加

Windows Defender Application Guard、他社ブラウザー用拡張を提供開始

Microsoftは15日、Windows Defender Application Guard(Application Guard)がGoogle ChromeとMozilla Firefoxでも利用可能になったことを発表した(Windows Experience Blogの記事BetaNewsの記事)。

Application Guardは隔離したコンテナ内でMicrosoft Edgeを実行することによりブラウザーベースの攻撃を防ぐ機能だ。そのためSLATおよび、VT-xまたはAMD-V対応に対応した4コア以上の64ビットプロセッサーや8GBのRAMなどがハードウェア要件となっている。Windows 10 Insider Preview ビルド18358(19H1)のアナウンス記事内で発表されているが、Windows 10 Enterprise バージョン1709以降/Windows 10 Pro バージョン1803以降で利用可能となっており、Insiderビルドは必要ない。

現在、Chrome用拡張機能Firefox用拡張機能コンパニオンアプリが提供されており、これらをインストールしてコントロールパネルの「Windowsの機能の有効化または無効化」で「Windows Defender Application Guard」を有効にすればApplication Guardを使用できるようになる。なお、Application Guardウィンドウを開くと、コンパニオンアプリが起動して隔離環境でMicrosoft Edgeセッションを実行する。隔離環境でChromeやFirefoxが実行されるわけではない。

Application GuardにはWindows 10 Enterpriseのみで利用可能な企業管理モードと、Windows 10 Enterprise/Proともに利用可能なスタンドアロンモードという2つのモードがある。企業管理モードでは信頼されるサイトのポリシー設定に従い、コンパニオンアプリと元のブラウザーの間で自動的にリダイレクトされる。一方、スタンドアロンモードでは拡張機能のボタンから手動でコンパニオンアプリを開いて利用することになる。コンパニオンアプリは他のアプリとの間でテキストをコピー/貼り付けできないため、スタンドアロンモードでの利用は制約が大きい。

すべて読む | セキュリティセクション | Chrome | セキュリティ | Firefox | インターネット | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
MSが「IEを友人や同僚に薦める可能性」をユーザーに調査? 2019年03月14日
Microsoft、特設サイト「Microsoft Edge Insider」をオープン 2018年12月23日
Microsoft、EdgeブラウザをChromiumベースにすることを発表 2018年12月07日
Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 2018年04月21日
Windows 10の次期大型アップデートはSpring Creators Update? 2018年02月08日

アシックス元社員の機密情報持ち出しについてまとめてみた – piyolog

アシックス元社員の機密情報持ち出しについてまとめてみた - piyolog

アシックス元社員の機密情報持ち出しについてまとめてみた - piyolog

2019年3月13日、アシックスから社外へ機密情報を持ち出したとして元社員の男が不正競争防止法違反の疑いで逮捕されました。ここでは関連する情報をまとめます。 インシデントタイムライン 時系列にまとめると次の通り。 日時 出来事 2014年2月 元社員が品質管理部で勤務開始。 2018年3月末 元社員の転職が内定。 2018年3...

はてなブックマーク - アシックス元社員の機密情報持ち出しについてまとめてみた - piyolog はてなブックマークに追加

Lifebear サーバーへの不正アクセスに関するお詫びとご報告

Lifebear サーバーへの不正アクセスに関するお詫びとご報告

Lifebear サーバーへの不正アクセスに関するお詫びとご報告

2019年3月20日 22:30更新 この度、弊社が提供しております電子手帳サービス「Lifebear」に対して第三者による不正アクセスが行われ、情報が不正に取得されたことが判明致しました。弊社では連絡を受け直ちに調査を開始した結果、弊社が管理するデータベースに対し不正なアクセスが行われたことを確認致しました。 調査の...

はてなブックマーク - Lifebear サーバーへの不正アクセスに関するお詫びとご報告 はてなブックマークに追加

「パソコンなんて分からない同人女がHDDを壊したので奮闘する話」マンガのHDDをぶん回す展開がヤバい。アドバイスをする人たちも – Togetter

「パソコンなんて分からない同人女がHDDを壊したので奮闘する話」マンガのHDDをぶん回す展開がヤバい。アドバイスをする人たちも - Togetter

「パソコンなんて分からない同人女がHDDを壊したので奮闘する話」マンガのHDDをぶん回す展開がヤバい。アドバイスをする人たちも - Togetter

パソコンなんて分からない同人女にいろいろアドバイス頂いてありがとうございます!ぜんぶ描き終わって時間ができてから、言葉の意味やアイテムがどんなものなのかを確認しながら検討してみます! 同人女からはお礼に、鍋無しで作れるおいしいコーヒーゼリーのレシピを置いておきます pic.twitter.com/3pLcNDxJkZ

はてなブックマーク - 「パソコンなんて分からない同人女がHDDを壊したので奮闘する話」マンガのHDDをぶん回す展開がヤバい。アドバイスをする人たちも - Togetter はてなブックマークに追加

パロアルト、DNSセキュリティ対応の新OSと5G通信を保護できる次世代FW | ビジネスネットワーク.jp

パロアルト、DNSセキュリティ対応の新OSと5G通信を保護できる次世代FW | ビジネスネットワーク.jp

パロアルト、DNSセキュリティ対応の新OSと5G通信を保護できる次世代FW | ビジネスネットワーク.jp

パロアルトネットワークスは2019年3月20日、同社の次世代ファイアウォール(次世代FW)向けOSの最新版「PAN-OS 9.0」の国内提供を開始すると発表した。 PAN-OS 9.0には、ポリシー最適化機能など60以上の新機能が追加された。最大の特徴は、機械学習を活用してDNS経由の攻撃をブロックする「DNS Securityサービス」が利用で...

はてなブックマーク - パロアルト、DNSセキュリティ対応の新OSと5G通信を保護できる次世代FW | ビジネスネットワーク.jp はてなブックマークに追加

WinRARの脆弱性を狙ったマルウェアが急増 | スラド セキュリティ

WinRARの脆弱性を狙ったマルウェアが急増 | スラド セキュリティ

WinRARの脆弱性を狙ったマルウェアが急増 | スラド セキュリティ

老舗のファイル圧縮・展開ソフト「WinRAR」の脆弱性を悪用するマルウェアが多数登場しているという(SLASH GEAR、ZDNet、Engadget、Slashdot)。 この脆弱性は2月に明らかになったもので、細工を行なった圧縮ファイルをWinRARに処理させることで、任意の場所にファイルを設置できるというもの(Security NEXT、CVE-2018-...

はてなブックマーク - WinRARの脆弱性を狙ったマルウェアが急増 | スラド セキュリティ はてなブックマークに追加

WinRARの脆弱性を狙ったマルウェアが急増

老舗のファイル圧縮・展開ソフト「WinRAR」の脆弱性を悪用するマルウェアが多数登場しているという(SLASH GEARZDNetEngadgetSlashdot)。

この脆弱性は2月に明らかになったもので、細工を行なった圧縮ファイルをWinRARに処理させることで、任意の場所にファイルを設置できるというもの(Security NEXTCVE-2018-20250)。すでに修正版がリリースされているが、バージョン5.61以前のすべてのWinRARにこの脆弱性が含まれている。

この脆弱性が公表されて以来、すぐにこれを悪用するマルウェアが登場したとのことで、100種類以上の攻撃例が確認されているという。具体的な攻撃例としては、人気歌手アリアナ・グランデの最新アルバムを違法にコピーし圧縮したRARファイル中にマルウェアを仕込み、WinRARでこのファイルを展開させるとマルウェアがシステムにインストールされるといったものがあるそうだ。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「UNLHA32.DLL」が7年ぶりにアップデート 2017年05月17日
7-Zipで任意コード実行が可能となる2件の脆弱性 2016年05月15日
GNU gzipに脆弱性、1.4リリース 2010年02月05日
シマンテック製品に危険度の高い脆弱性 2005年12月23日

「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (1/3) – ねとらぼ

「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (1/3) - ねとらぼ

「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (1/3) - ねとらぼ

「あなたがやったことはこれだけ大きな罪なんですよ」――インターネット上の掲示板に「不正なプログラム」を書き込んだとして検挙された男性がねとらぼ編集部の取材に応じ、兵庫県警に受けた取り調べの一部始終を語りました。「ブラクラ」という言葉すら知らなかった男性はなぜ書類送検されたのでしょうか(関連記事)。 ...

はてなブックマーク - 「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (1/3) - ねとらぼ はてなブックマークに追加

セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け – ITmedia NEWS

セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け - ITmedia NEWS

セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け - ITmedia NEWS

セキュリティ勉強会「すみだセキュリティ勉強会」が休止。いたずらURL投稿者がウイルス供用未遂の疑いで摘発された事件などで警察に不信感を募らせており、「単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねない」と懸念したためという。 セキュリティエンジニアのozuma...

はてなブックマーク - セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け - ITmedia NEWS はてなブックマークに追加

「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた (1/3) – ITmedia エンタープライズ

「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた (1/3) - ITmedia エンタープライズ

「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた (1/3) - ITmedia エンタープライズ

『徳丸本 第二版』についても直撃:「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた (1/3) 10連休を迎える2019年のゴールデンウイーク、改元に合わせて想定される具体的なリスクと対処法とは――情報セキュリティ専門家の徳丸浩さんに詳しく聞きました。 年末年始、あるいは夏期休暇や...

はてなブックマーク - 「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた (1/3) - ITmedia エンタープライズ はてなブックマークに追加

米Google、サンドボックスプロジェクト「Sandboxed API」をオープンソースに – ITmedia エンタープライズ

米Google、サンドボックスプロジェクト「Sandboxed API」をオープンソースに - ITmedia エンタープライズ

米Google、サンドボックスプロジェクト「Sandboxed API」をオープンソースに - ITmedia エンタープライズ

Sandboxed APIでは、サンドボックスを個々のソフトウェアライブラリに実装することが可能で、同APIをベースとするライブラリは簡単に他のプロジェクトに再利用できるという。 米Googleは、社内で使っていたセキュリティ対策プロジェクトの「Sandboxed API」をオープンソースとして公開した。セキュリティ対策のサンドボ...

はてなブックマーク - 米Google、サンドボックスプロジェクト「Sandboxed API」をオープンソースに - ITmedia エンタープライズ はてなブックマークに追加