月別アーカイブ: 2019年5月

(朗報?)プリウスミサイルの原因、ほぼ判明する – Togetter

(朗報?)プリウスミサイルの原因、ほぼ判明する - Togetter

(朗報?)プリウスミサイルの原因、ほぼ判明する - Togetter

#プリウスミサイル の原因確定!要は、 何らかの原因でNレンジにレバーが入る ↓ アクセルベタ踏みして何で加速しないんだろ~?ってボケ倒す ↓ 何故かそのままDレンジにレバー入れてミサイル発動! ↓ ハイブリッドフルパワーでF1レーシング開始!ボケ運転手卒倒でミサイル止まらねえ! ↓ どかーん

はてなブックマーク - (朗報?)プリウスミサイルの原因、ほぼ判明する - Togetter はてなブックマークに追加

【セキュリティ ニュース】フィッシング対策GLを改訂 – 「送信メールはテキスト形式で」(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】フィッシング対策GLを改訂 - 「送信メールはテキスト形式で」(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】フィッシング対策GLを改訂 - 「送信メールはテキスト形式で」(1ページ目 / 全1ページ):Security NEXT

フィッシング対策協議会は、事業者向けおよび一般ユーザー向けの「フィッシング対策ガイドライン」を改訂し、「同2019年版」を公開した。 同ガイドラインは、ウェブサイト運営者および利用者が、フィッシング攻撃に対して講ずるべき有効な対策について整理、示したもの。昨今の攻撃動向や対策技術などを踏まえ、複数の要...

はてなブックマーク - 【セキュリティ ニュース】フィッシング対策GLを改訂 - 「送信メールはテキスト形式で」(1ページ目 / 全1ページ):Security NEXT はてなブックマークに追加

大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」 (1/2) – MONOist(モノイスト)

大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」 (1/2) - MONOist(モノイスト)

大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」 (1/2) - MONOist(モノイスト)

日本シノプシスが各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。 日本シノプシスは2019年5月29日、東京都内で会見を開き、各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オ...

はてなブックマーク - 大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」 (1/2) - MONOist(モノイスト) はてなブックマークに追加

佐世保共済病院 | コンピュータシステムの一部停止による受診制限について

佐世保共済病院 | コンピュータシステムの一部停止による受診制限について

佐世保共済病院 | コンピュータシステムの一部停止による受診制限について

現在、当院のコンピュータシステムにおきまして、点検作業を実施しており、診療に時間を要する状況にあるため、外来受診につきましては、予約の患者様の受診だけに制限をさせていただいています。 6月3日(月)からは通常の体制で診療できるよう、職員全員で復旧に向けて全力で取り組んでおります。 なお、このたびの停...

はてなブックマーク - 佐世保共済病院 | コンピュータシステムの一部停止による受診制限について はてなブックマークに追加

佐世保共済病院 システム障害で診察制限 新規・救急患者 受け入れ困難 | 長崎新聞

佐世保共済病院 システム障害で診察制限 新規・救急患者 受け入れ困難 | 長崎新聞

佐世保共済病院 システム障害で診察制限 新規・救急患者 受け入れ困難 | 長崎新聞

長崎県佐世保市島地町の佐世保共済病院で、コンピューターウイルス感染によるシステム障害が発生し、新規患者と救急患者の受け入れが困難になっていることが30日、分かった。原因の特定を急いでいる。復旧は早くても週明けになる見通し。 病院によると、28日午後5時すぎ、放射線検査の機器を接続したパソコンからコンピ...

はてなブックマーク - 佐世保共済病院 システム障害で診察制限 新規・救急患者 受け入れ困難 | 長崎新聞 はてなブックマークに追加

病院パソコンがウイルス感染 救急患者など受け入れ中止 長崎 | NHKニュース

病院パソコンがウイルス感染 救急患者など受け入れ中止 長崎 | NHKニュース

病院パソコンがウイルス感染 救急患者など受け入れ中止 長崎 | NHKニュース

長崎県の佐世保共済病院でパソコンからコンピューターウイルスが検知され、院内のネットワークを遮断した影響で、新規や救急の患者の受け入れを原則見合わせていることが分かりました。 病院は被害の拡大を防ぐため、院内のパソコンや検査機器をつないで電子カルテの情報などをやり取りするシステムのネットワークを遮断...

はてなブックマーク - 病院パソコンがウイルス感染 救急患者など受け入れ中止 長崎 | NHKニュース はてなブックマークに追加

ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性

家電量販店大手のヤマダ電機が、同社のネットショッピングサイトに不正アクセスがあり顧客の情報が漏洩したとの発表を行った

これによると、不正アクセスによって決済アプリケーションが改ざんされており、3月18日から4月26日の間に同サイトに登録されたクレジットカードの情報が流出した可能性があるという。流出した可能性があるクレジットカード情報はクレジットカード番号および有効期限、セキュリティコード最大37832件とのこと。

同サイトではセキュリティコードの保存は行っていなかったが、アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ(Yahoo!ニュース)。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 2018年12月30日
ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話 2018年12月20日
Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 2017年03月11日
印刷通販を手がけるグラフィック、クレジットカード情報を流出させる 2016年09月07日

佐世保共済病院で院内PCがウイルス感染、新規患者の受け入れ困難に | 日経 xTECH(クロステック)

佐世保共済病院で院内PCがウイルス感染、新規患者の受け入れ困難に | 日経 xTECH(クロステック)

佐世保共済病院で院内PCがウイルス感染、新規患者の受け入れ困難に | 日経 xTECH(クロステック)

長崎県佐世保市の佐世保共済病院で、院内の複数のパソコンがコンピューターウイルスに感染し、新規患者と救急患者の受け入れができないなど、診察に支障を来していることが2019年5月31日までに分かった。現在も状況は変わっておらず、原因の特定を急いでいる。 担当者によると、5月28日の午後5時過ぎに、放射線検査の機...

はてなブックマーク - 佐世保共済病院で院内PCがウイルス感染、新規患者の受け入れ困難に | 日経 xTECH(クロステック) はてなブックマークに追加

遠隔実行によるワーム攻撃の可能性、リモートデスクトップの脆弱性「CVE-2019-0708」を詳細解説

Microsoftは、2019年5月の月例セキュリティ情報において、リモート・デスクトップ・サービス(Remote Desktop Services、RDS)における脆弱性「CVE-2019-0708」を修正する更新プログラムを公開しました。「BlueKeep」とも呼ばれるこの脆弱性は、細工したメッセージを遠隔から対象のサーバに送信することで攻撃に利用可能です。この脆弱性を利用した攻撃に成功すると、管理者権限で任意のコードを実行できます。これはつまり、2017年に登場し現在に至るまで拡散を続けている「WannaCry」のように、自律的なワーム活動による自動的な拡散が容易に可能になることを意味します。外部のセキュリティ研究者の調査では、リモートデスクトップ機能が標準で使用するポート3389を露出させているデバイスが100万台近く存在していることが分かっており、攻撃発生の危険性が高まっています。前出の通り、既に本脆弱性に対する修正プログラムは公開済みですので、速やかに修正プログラムを適用することを推奨します。

緩和策と防御策に焦点を当てた初期調査の一方で、Trend Micro ResearchのPengsu Cheng、Kamlapati Choubey、Saran Netiは、この脆弱性に対する詳細な解析に取り組みました。本記事は、CVE-2019-0708に関するトレンドマイクロの詳細解析結果をまとめたものです。

■「CVE-2019-0708」の仕組み

以前はTerminal Servicesと呼ばれていたMicrosoftのRDSは、遠隔からセッションを開始しWindowsを操作することを可能にします。RDSは、複数のターミナル(クライアント)が単一のホスト(サーバ)に接続するターミナルベースの環境に似た機能も提供します。ユーザは遠隔からホストコンピュータにログオンし、データへのアクセスやアプリケーションの実行のような操作を行うことが可能です。クライアントは、初期設定で、遠隔サーバの3389/TCPポートに対してリモート・デスクトップ・プロトコル(Remote Desktop Protocol、RDP)を使用して通信します。

RDPは、共有されたプログラムを閲覧および共同で操作するカンファレンスの参加人数を指定します。RDPは「ITU-T T.128 Application Sharing Protocol」をMicrosoftが拡張したプロトコルで、「T.124 Generic Conference Control(GCC)」や「T.122 Multipoint Communication Services(MCS)」などの「T.120標準」の下位プロトコルが提供するその他のサービスを利用します。

RDP接続は、図1のように「Remote Desktop Protocol: Basic Connectivity and Graphics

Remoting」で定義された接続シーケンスメッセージによって開始されます。各メッセージのフォーマットは同資料を参照してください。

RDPの接続シークエンスメッセージ

図1:RDPの接続シークエンスメッセージ

問題の脆弱性は、「MCS Connect Initial and GCC Create」リクエストに関連しています。このリクエストは、クライアントが「X.224 Connection Confirm」レスポンスを受信した後にサーバに送信されます。この「MCS Connect Initial and GCC Create」リクエストにはセキュリティ関連の情報、仮想チャンネルの作成に関する情報、対応しているRDPクライアントの機能に関する情報が含まれます。図2は「MCS Connect Initial and GCC Create」リクエストの構造です。

「MCS Connect Initial and GCC Create」の構造

図2:「MCS Connect Initial and GCC Create」の構造

「tpktHeader」フィールドを除くすべてのマルチバイト整数のバイトオーダーはリトルエンディアンです。

  • X.224レイヤは一般に任意の長さから成るいくつかのProtocol Data Unit(PDU)タイプを持つことができますが、「MCS Connect Initial and GCC Create」パケットは3バイトのx224構造体を持ちます。
  • 「mcsCi」構造体は、「ASN.1 DER」でエンコードされた「T.125 MULTIPOINT-COMMUNICATION-SERVICE Connect-Initial PDU」です。この構造体の定義はこちらを参照してください。
  • 「gccCrq」構造体は「T.124 Generic Conference Control ConnectData」です。この構造体の定義はこちらを参照してください。

「Settings Data Blocks」は1つ以上の「Settings Data Block」を連結したものです。各「Settings Data Block」は図3のフォーマットに従います。

「Settings Data Block」の構造

図3:「Settings Data Block」の構造

Settings Data Block」には「CS_CORE (0xC001)」、「CS_SECURITY (0xC002)」、「CS_NET (0xC003)」のようなさまざまな種類が存在します。

tpktHeader」フィールドの構造は図4の通りです。

「tpktHeader」フィールドの構造

図4:「tpktHeader」フィールドの構造

「tpktHeader」フィールド内のすべてのマルチバイト整数のバイトオーダーはビッグエンディアンです。「version」は「0x03」でなければならず、「tpktLength」がパケット全体の長さを定義します。問題の脆弱性は「clientNetworkData」とも呼ばれる「CS_NET Settings Data Block」に関連しています。

clientNetworkData」には、リクエストされた仮想チャンネルのリストが含まれています。「clientNetworkData」の構造は図5の通りです。

「clientNetworkData」の構造

図5:「clientNetworkData」の構造

「clientNetworkData」のための「CS_NETHeader」フィールドは「0xC003」です。これをリトルエンディアンで表現すると「\x03\xc0」となります。「channelCount」フィールドは、リクエストされた静的な仮想チャンネルを示しています。「channelNamen(nは1,2,…,N)」フィールドは、終端がnull値の8バイトのチャンネル名を定義し、「channelOption_n」フィールドは当該チャンネルの属性を指定します。

RDPは静的な仮想チャンネルに対応しています。これは、さまざまなRDPコンポーネントとユーザの拡張機能との通信を接続するための使用を想定したものです。これらのチャンネルは8バイトのチャンネル名によって識別され、Microsoftがサポートしている「rdpdr(リダイレクト)」、「rdpsnd(音声)」、「cliprdr(クリップボードの共有)」のような標準的なチャンネルを含みます。ユーザはその他のチャンネルに対応するためにRDP APIを使用してモジュールを作成することが可能です。前述したチャンネルに加え、Microsoftは初期設定で「MS_T120(RDP自体のために使用)」および「CTXTW(Citrix ICAで使用)」という2つのチャンネルを作成します。これらのチャンネルは、ネットワーク上でクライアントによって作成されることは期待されていません。代わりに、接続が確立された際に、Windows RDPによって内部的に初期化されます。

チャンネルは「termdd!IcaCreateChannel()」を使用して作成されます。この関数は指定されたチェンネル名が存在するかチェックし、存在しない場合チャンネル構造体を割り当てます。このチャンネル構造体へのポインタ(「ChannelControlStructure」と呼ぶことにします)は、あるテーブル(「ChannelPointerTable」と呼ぶことにします)に格納されます。すべてのRDP接続は、図6のような「ChannelPointerTable」から始まります。最初の5つのスロットはユーザが操作することができないため表示されていません。クライアントが書き込むことのできる最初のチャンネルが「Slot Number」が「0」のチャンネルです。

RDP接続開始時の「ChannelPointerTable」

図6:RDP接続開始時の「ChannelPointerTable」

図6のテーブルは、各スロットに「ChannelControlStructure」ポインタを格納することができます。「Empty」と表示されているスロットにはNULLポインタが格納されています。RDPクライアントが「clientNetworkData」内でチャンネルを指定することにより、接続を開始してチャンネルを開く際、対応する「ChannelControlStructure」が作成され、それらのポインタがスロット0から「ChannelPointerTable」に格納されます。ただし、CTXTWへのポインタは常にスロット7、「MS_T120」へのポインタは常にスロット0x1Fであることに留意してください。

Microsoft WindowsのRDPカーネルドライバ「termdd.sys」には解放後使用の脆弱性が存在します。「clientNetworkData」と「ChannelControlStructure」を含む「MCS Connect Initial and GCC Create」パケットを受信した際に、そこで指定されたチャンネルが作成されます。例えばスロット10で「MS_T120\x00」というチャンネル名が指定された場合、「termdd!IcaCreateChannel()」は「termdd!IcaFindChannelByName()」を呼び出し、スロット0x1Fに格納された「MS_T120」構造体へのポインタが指す「ChannelControlStructure」を返します。スロット0x1Fと同一のこのポインタは、「termdd!IcaBindVirtualChannels()」の中でユーザが指定したスロット(この例ではスロット10)に格納されます。次に、「MCS Channel Join Request」を使用して各チャンネルが開かれる際、この「MS_T120」チャンネルも開かれます。攻撃者が細工したデータを「MS_T120」に送信すると、「termdd.sys」はエラーメッセージを返信し、「termdd!IcaCloseChannel()」を使用してこのチャンネルを閉じようとします。この関数は「termdd!_IcaFreeChannel()」を呼び出し、「MS_T120」チャンネルの「ChannelControlStructure」を開放してユーザが指定した「ChannelPointerTable」内のポインタ(この例ではスロット10)をクリアします。しかし、スロット0x1Fに格納された同一のポインタはクリアされません。その結果、接続が終了する際に、「RDPWD!SignalBrokenConnection()」が呼び出されます。続いて「RDPWD!SignalBrokenConnection()」は「termdd!IcaChannelInputInternal()」を呼び出し、スロット0x1Fのポインタを使用して、開放された「ChannelControlStructure」に書き込もうとします。これにより、解放後使用が発生します。

認証されていない遠隔の攻撃者は、対象サーバとRDP接続を確立して「MS_T120」チャンネルを開き、細工したデータを送信することでこの脆弱性を利用することができます。脆弱性の利用に成功すると、攻撃者はカーネルレベルの管理者権限で任意のコードを実行することが可能になります。

■ソースコードの概観:「CVE-2019-0708」を利用する攻撃を検出する方法

下の図は「termdd.sys version 6.1.7601.24056」のソースコードです。コメントはここまでの解説に沿ってトレンドマイクロが追加したものです。

「termdd.sys version 6.1.7601.24056」のソースコード

図7:「termdd.sys version 6.1.7601.24056」のソースコード

CVE-2019-0708を利用する攻撃を検出するために、検出デバイスは、割り当てられたポート上のトラフィックを監視して構文解析する必要があります。初期設定の使用ポートは3389/TCPです。

上述したように、RDP接続は一連の接続シーケンスメッセージから始まります。この接続シーケンスメッセージは下図のように「Remote Desktop Protocol: Basic Connectivity and Graphics Remoting(MS-RDPBCGR)」で定義されています。

RDPの接続シークエンスメッセージ

図8:RDPの接続シークエンスメッセージ(図1を再掲)

注:

  • この検出方法は「MCS Connect Initial and GCC Create」に関連したものです。
  • RDPには、カスタム暗号化方式およびTLSを使用した暗号化方式という2種類の暗号化方式があります。前者の場合、「MCS Connect Initial and GCC Create」メッセージは平文に含まれ、後者の場合は、TLS通信の確立後最初に送信されるパケットが「MCS Connect Initial and GCC Create」メッセージになります。
  • 後者の場合、最初のリクエストとレスポンスの交換後、トラフィックはTLSを使用して暗号化されています。これを確かめる最も簡単な方法は、サーバに送信される2番目のパケットが「\x16\x03」で始まるかチェックすることです。「\x16\x03」は、ハンドシェイクにおける「Client Hello」とTLSのバージョンを表します。

検出デバイスにはRDPサーバとRDPクライアント間のRDP通信を解析する機能が必要です。RDP通信がTLSを使用している場合、検出デバイスはまずトラフィックを復号しなければなりません。

検出デバイスは、入力トラフィックから「MCS Connect Initial and GCC Create」リクエストを見つける必要があります。「MCS Connect Initial and GCC Create」の構造は図9の通りです。

「MCS Connect Initial and GCC Create」の構造

図9:「MCS Connect Initial and GCC Create」の構造(図2を再掲)

「tpktHeader」フィールドを除くすべてのマルチバイト整数のバイトオーダーはリトルエンディアンです。

  • X.224レイヤは一般に任意の長さから成るいくつかのProtocol Data Unit(PDU)タイプを持つことができますが、「MCS Connect Initial and GCC Create」パケットは3バイトのx224構造体を持ちます。
  • 「mcsCi」構造体は、「ASN.1 DER」でエンコードされた「T.125 MULTIPOINT-COMMUNICATION-SERVICE Connect-Initial PDU」です。この構造体の定義はこちらを参照してください。
  • 「gccCrq」構造体は「T.124 Generic Conference Control ConnectData」です。この構造体の定義はこちらを参照してください。

「Settings Data Blocks」は1つ以上の「Settings Data Block」を連結したものです。各「Settings Data Block」は図3のフォーマットに従います。

「Settings Data Block」の構造

図10:「Settings Data Block」の構造(図3を再掲)

Settings Data Block」には「CS_CORE(0xC001)」、「CS_SECURITY(0xC002)」、「CS_NET(0xC003)」のようなさまざまな種類が存在します。

「MCS Connect Initial and GCC Create」リクエストが見つかった場合、検出デバイスは各「Settings Data Block」を解析し、「CS_NET (0xC003)」を探します。このような「Settings Data Block」は「clientNetworkData」と呼ばれ、以下の構造を持っています。

「CS_NET(0xC003)」を含む「clientNetworkData」の構造

図11:「CS_NET(0xC003)」を含む「clientNetworkData」の構造

「clientNetworkData」が見つかると、検出デバイスは各「channelName_n(nは1,2,…,N)」を列挙し、文字列「MS_T120」(大文字小文字を区別)が含まれていないかチェックします。もしそのようなチャンネルが見つかった場合、このトラフィックは不正なものだと考えられます。つまり、CVE-2019-0708を利用した攻撃が進行中だということです。

■「CVE-2019-0708」を利用した攻撃に関するデバッグ情報

対象システムにデバッガをアタッチし、CVE-2019-0708を利用した攻撃を実行したところ、以下のバクチェックが発生しました。

「CVE-2019-0708」を利用する攻撃のデバッグ情報

図12:「CVE-2019-0708」を利用する攻撃のデバッグ情報

■結論

Microsoftは、サポート対象のOSに対してCVE-2019-0708の修正プログラムを公開した際、サポート対象外のWindows XPとWindows Server 2003に対しても修正プログラムを公開することを決定しました。これは、同社がこの脆弱性の深刻度を非常に高いものだと考えているということを示しています。実際の攻撃の検出に関して議論が続けられてきましたが、脆弱性が利用可能だということについては疑いの余地はありませんでした。CVE-2019-0708の深刻度は明らかに「緊急(Critical)」であり、影響を受けるシステムには直ちに修正プログラムを適用するべきです。

Microsoftが修正プログラムを提供した「termdd.sys」には、「IcaBindVirtualChannels()」および「IcaReBindVirtualChannels()」という2つの脆弱な関数があるということに留意してください。これらの2つの関数は、異なるものの類似した2つの攻撃経路となります。本記事は「IcaBindVirtualChannels()」を利用した攻撃経路に焦点を当てた解説です。

■被害に遭わないためには

Microsoftでは既にCVE-2019-0708の修正プログラムを公開済みです。また、既にサポート終了したWindows XPとWindows Server 2003にも修正プログラムが公開されています。2017年5月に発生した「WannaCry」の事例では「MS17-010」の脆弱性が利用されていましたが、実際にはその2か月前の3月には既に修正プログラムが公開されていました。同様の被害に遭わないためにも、速やかに修正プログラムを適用してくだい。運用上の理由などにより、速やかに修正プログラムが適用できない場合には、RDSの使用を制限する、脆弱性を利用する攻撃をブロックする仮想パッチなどの対策を導入する、などの緩和策を行ってください。

■トレンドマイクロの対策

総合サーバセキュリティ「Trend Micro™ Deep Security™ 」や 「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」では以下の DPIルールによってこの脆弱性を利用する攻撃を検出します。

  • 1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability

ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterによりこの脆弱性を利用する攻撃を検出します。

  • 35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP

※調査協力:Trend Micro ResearchのRichard Chen、Pengsu Cheng、Kamlapati Choubey、Saran Neti

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

英諜報機関による暗号化通信の傍受提案、アップルやグーグルらが公開書簡で批判 – CNET Japan

英諜報機関による暗号化通信の傍受提案、アップルやグーグルらが公開書簡で批判 - CNET Japan

英諜報機関による暗号化通信の傍受提案、アップルやグーグルらが公開書簡で批判 - CNET Japan

Apple、Google、Microsoft、WhatsAppのほか、43のセキュリティ専門家やプライバシー保護団体などが、英政府通信本部(GCHQ)の「ゴースト提案」を批判する公開書簡に署名した。 テクノロジー企業各社は、捜査のために暗号を解読したがっている各国政府や法執行機関と対立している。 GCHQの提案は2018年11月に示されたも...

はてなブックマーク - 英諜報機関による暗号化通信の傍受提案、アップルやグーグルらが公開書簡で批判 - CNET Japan はてなブックマークに追加

悪夢再び、iTunesでクレカ13万3600円不正利用される(顛末記) – Engadget 日本版

悪夢再び、iTunesでクレカ13万3600円不正利用される(顛末記) - Engadget 日本版

悪夢再び、iTunesでクレカ13万3600円不正利用される(顛末記) - Engadget 日本版

もはやセキュリティーコードも無意味 前回の件で「2度あることは3度ある」とならないよう、PayPalが使えるところは極力PayPal経由にしていたのですが、いくつかのサイトで今回被害にあったクレジットカードを利用していました。一応、セキュリティソフトをインストールしたパソコンでアクセスし、接続が保護されているか...

はてなブックマーク - 悪夢再び、iTunesでクレカ13万3600円不正利用される(顛末記) - Engadget 日本版 はてなブックマークに追加

Linuxを狙うマルウェア「HiddenWasp」に注意 | マイナビニュース

Linuxを狙うマルウェア「HiddenWasp」に注意 | マイナビニュース

Linuxを狙うマルウェア「HiddenWasp」に注意 | マイナビニュース

Intezerは5月19日(米国時間)、Linuxシステムを標的とした新しいマルウェア「HiddenWasp」を発見したと「Intezer - HiddenWasp Malware Stings Targeted Linux Systems」で伝えた。 このマルウェアは現在も活動を継続しており、主要なアンチウィルスシステムで検出することができないと指摘されている。発見されたHiddenW...

はてなブックマーク - Linuxを狙うマルウェア「HiddenWasp」に注意 | マイナビニュース はてなブックマークに追加

新しく確認されたサイバー犯罪集団「Mirrorthief」、米国とカナダの201の大学オンラインストアにスキミング攻撃

トレンドマイクロは、2019年4月、「Magecart」として知られるスキミング攻撃を確認しました。この攻撃は、新たに確認されたサイバー犯罪集団「Mirrorthief」によって実行されたもので、米国とカナダの大学が運用する201のオンラインストアが影響を受け、ユーザのクレジットカード情報が窃取されました。

「Magecart」は、電子商取引(eコマース)サイトを狙ったスキミング攻撃を実行するいくつかのサイバー犯罪集団を包括的に呼ぶ用語で、彼らが使用するスキミングツールやそれを使用した攻撃を指す場合もあります。

■スキミング攻撃を受けたシステム

複数の大学オンラインストアに対する攻撃は、2019年4月14日に検出され始め、攻撃を受けたWebサイトの支払いページには不正なスキミングスクリプト(「Trojan.JS.MIRRORTHEIF.AA」として検出)が注入されていました。このスクリプトは、支払いページで入力された個人情報と合わせてクレジットカード情報を窃取し、遠隔のサーバに送信する機能を備えています。解析により、この攻撃では、大学向けの書籍等を扱う米企業「Nebraska Book Company」の子会社で大学キャンパスの小売業にソリューションを提供する「PrismRBS」が設計したeコマースプラットフォーム「PrismWeb」が改ざんされていたことが判明しました。

攻撃者は、PrismWeb上に構築されたオンラインストアが共通で使用するJavaScriptのライブラリにスキミングスクリプトを注入していました。このスクリプトは、書籍および商品を販売する201の大学キャンパス向けオンラインストアに読み込まれていました。内訳は米国の大学のオンラインストアが176、カナダの大学のオンラインストアが21でした。窃取された支払い情報の件数は分かっていません。

トレンドマイクロが開示した調査結果を受け、PrismRBSはこのスキミング攻撃に関して以下のような公式声明を発表しました。

2019年4月26日、PrismRBSは、認証されていない第三者がPrismRBSがホストする顧客のeコマースサイトのいくつかに対するアクセスを取得していたことに気付きました。PrismRBSは、このインシデントについて認識するや、直ちに現在の攻撃を止めるための措置を取り、調査を開始し、外部のITフォレンジック企業に協力を依頼し、法執行機関および支払いカード企業への通知を行いました。どの顧客のどのような情報かも含めた影響範囲を決定するために、現在も調査を継続しています。今日までの調査を通して、認証されていない第三者が、顧客のいくつかのeコマースサイトに、支払いカード情報を窃取するために設計した不正なソフトウェアをインストールしていたことが判明しています。
PrismRBSは、影響を受けた可能性のある顧客に対して、インシデントとそれに対処するためにPrismRBSが講じている措置、そして顧客がエンドユーザを保護するために取ることのできる手順について知らせるために積極的な通知を行っています。PrismRBSは、このインシデントがもたらし得る懸念や不満に対して深く遺憾に思っています。情報のセキュリティおよびプライバシーを保護することは依然として最優先事項であり、クライアントサイドおよびバックエンドの監視ツールと包括的なエンド・ツー・エンドの監査も含め、システムのセキュリティをさらに強化するための措置を講じています。調査の結論が得られ次第、追加の情報と案内を提供します。

今回のスキミング攻撃は、Magecartの特徴をいくつか備えてはいるものの、以前に確認されたどの集団とも結びつけることはできませんでした。

■スキミング攻撃の仕組み

攻撃の流れ

図1は今回確認されたスキミング攻撃の流れです。

サイバー犯罪集団「Mirrorthief」による攻撃の流れ

図1:サイバー犯罪集団「Mirrorthief」による攻撃の流れ

スキミングスクリプトの注入

攻撃者は2019年4月14日、PrismWebが使用する決済用のライブラリにスクリプトを注入しました。影響を受けたオンラインストアにおける注入された決済用ライブラリのパスは以下の通りです。

  • hxxps://<オンラインストアのドメイン>/innerweb/v4.0/include/js/checkout_payment[.]js
  • hxxps://<オンラインストアのドメイン>/innerweb/v3.1/include/js/checkout_payment[.]js

「PrismWeb」の決済用ライブラリに注入されたスクリプト

図2:「PrismWeb」の決済用ライブラリに注入されたスクリプト

注入されたスクリプトはGoogle Analyticsのスクリプトの形式に偽装していましたが、実際は攻撃者のサーバから別のスクリプトを読み込んでいました。読み込まれるスクリプトは支払い情報を窃取するメインのスクリプトです。

オンラインストアの決済ページが読み込むスキミングスクリプト

図3:オンラインストアの決済ページが読み込むスキミングスクリプト

窃取する情報

通常のスキミング攻撃では、さまざまなeコマースサイトの決済ページから情報を窃取するのが一般的です。しかし、Mirrorthiefによる今回の攻撃はPrismWebの決済ページに特化して設計されており、問題のスキミングスクリプトは特定のIDを持ったHTML要素からのみ情報を窃取します。窃取される情報には、カード番号、有効期限、カードの種類、認証番号(CVN)、氏名のようなクレジットカード情報と、請求先の住所および電話番号が含まれます。

HTML要素のID JSONデータのスキーマ 情報
_cc_number aa クレジットカード番号
_cc_expmonth bb 有効期限(月)
_cc_expyear cc 有効期限(年)
cc_type dd クレジットカードの種類
_cc_cvn ee クレジットカードのCVN
cc_first_name ff カード保有者の名前
cc_last_name gg カード保有者の苗字
bill_to_phone hh 請求先電話番号
bill_to_country ii 請求先住所(国)
bill_to_state jj 請求先住所(州)
bill_to_street1 kk 請求先住所(ストリート1)
bill_to_street2 ll 請求先住所(ストリート2)
bill_to_city mm 請求先住所(市)
bill_to_zip nn 請求先住所(郵便番号)


表1:スキミングスクリプトが窃取する個人情報

ユーザが支払いフォームの入力を終え、入力内容の確認ボタンをクリックすると、スキミングスクリプトは窃取した情報をJavaScript Object Notation(JSON)形式のデータにコピーし、AESアルゴリズムで暗号化した上でBase64方式でエンコードします。次に、暗号化した決済情報をクエリ文字列として含むURLにアクセスするHTML画像要素を作成し、窃取した情報を遠隔のサーバに送信します。遠隔サーバは窃取した情報をクエリ文字列から受け取り、1ピクセルのPNG画像を返信します。

窃取した情報をJSON形式のデータにコピーしAESアルゴリズムで暗号化するコード

図4:窃取した情報をJSON形式のデータにコピーしAESアルゴリズムで暗号化するコード(難読化解除済み)

■Magecartを使用するサイバー犯罪集団の比較

Mirrorthiefは、侵害したライブラリに正規Google Analyticsのスクリプトに偽装したスクリプトを注入していました。また、攻撃のために登録したドメインも正規Google Anlayticsのドメインに似せたものでした。活動を偽装するためにGoogle Analyticsのサービスになりすます手口は、サイバー犯罪集団「Magecart Group 11」によっても利用された既知の手口です。Magecart Group 11は、眼鏡用品をオンラインで販売する「Vision Direct」の情報漏えい事例の背後にいた集団です。「ReactGet」と呼ばれる別の集団は世界中で多くのeコマースサイトを感染させました。この集団もまた類似したなりすましの手口を利用していたことが確認されています。

「Magecart Group 11」が注入したコード

図5:「Magecart Group 11」が注入したコード

「ReactGet」が注入したコード

図6:「ReactGet」が注入したコード

「Mirrorthief」が注入したコード

図7:「Mirrorthief」が注入したコード

トレンドマイクロは、Mirrorthiefのネットワークインフラストラクチャを調査しましたが、既知のサイバー犯罪集団との重複は確認できませんでした。加えて、Mirrorthiefが攻撃に使用していたスキミングスクリプトは、PrismWebの支払いフォームに特化して設計されたもので、その他のスキミングスクリプトとは大きく異なるものでした。また、Mirrorthiefのスキミングスクリプトは、窃取した情報を固有のJSONスキーマを使用して送信します。これは、この集団が広く利用されているスキミングツールの代わりに、固有のバックエンドシステムで情報を受信していることを示唆しています。さらに、これら3つの集団は窃取した情報を転送する前に暗号化しますが、それぞれ異なるJavaScriptのライブラリを使用しています。以下は3つの集団を比較した表です。

集団名 暗号化アルゴリズム JavaScriptのライブラリ
Magecart Group 11 AES Gibberish-AES
ReactGet RSA JSEncrypt
Mirrorthief AES Crypto-JS


表2:各集団が使用する暗号化アルゴリズムとJavaScriptのライブラリ

■被害に遭わないためには

Magecartは過去数年間、その手口を進化させながら多くのWebサイトにスキミング攻撃を仕掛けて来ました。このようなサイバー犯罪集団は、Webサイトの改ざんが検知されないように常に新しい手口を考案しようとしています。このような脅威に対抗するために、Webサイトの管理者は定期的な修正プログラムの適用やネットワークのセグメンテーションによってセキュリティを強化してください。また、特に機密情報を保存および管理するWebサイトには、強力な認証の仕組みを実装するべきです。ITおよびセキュリティチームは、古くなったコンポーネントを制限または無効化し、定期的にWebサイトとアプリケーションを監視することで、情報漏えい、未知のスクリプトの実行、不正アクセス、不正な変更をもたらし得る不審な活動の指標が無いか確認してください。

■トレンドマイクロの対策

XGen™セキュリティ」に支えられたトレンドマイクロの以下のセキュリティ対策製品/ソリューションはこのような脅威からユーザを保護します。

■侵入の痕跡(Indicators of Compromise、IoCs)

侵入の痕跡はこちらを参照してください。

※調査協力:「abuse.ch」、「The Shadowserver Foundation

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

入力業務3万件 不正に再委託か|NHK 熊本県のニュース

入力業務3万件 不正に再委託か|NHK 熊本県のニュース

入力業務3万件 不正に再委託か|NHK 熊本県のニュース

マイナンバーなどの個人情報の記載がある給与支払報告書の入力業務を熊本市から委託された会社が、法律に違反し、およそ3万件分の入力業務を無断で別の業者に再委託していたことがわかり、市はこの会社に損害賠償を求める方針です。 熊本市によりますと、おととし、個人住民税の資料となる給与支払報告書のデータ入力業...

はてなブックマーク - 入力業務3万件 不正に再委託か|NHK 熊本県のニュース はてなブックマークに追加

Python Insider: Use two-factor auth to improve your PyPI account’s security

Python Insider: Use two-factor auth to improve your PyPI account's security

Python Insider: Use two-factor auth to improve your PyPI account's security

To increase the security of Python package downloads, we're beginning to introduce two-factor authentication (2FA) as a login security option on the Python Package Index. This is thanks to a grant from the Open Technology Fund; coordinated by the Packaging Working Group of the Python Software Fou...

はてなブックマーク - Python Insider: Use two-factor auth to improve your PyPI account's security はてなブックマークに追加

ヤマダ電機の3.8万件流出、一体何が起こったのか? ── 利用者の対策手段に限界も | BUSINESS INSIDER JAPAN

ヤマダ電機の3.8万件流出、一体何が起こったのか? ── 利用者の対策手段に限界も | BUSINESS INSIDER JAPAN

ヤマダ電機の3.8万件流出、一体何が起こったのか? ── 利用者の対策手段に限界も | BUSINESS INSIDER JAPAN

ヤマダ電機のオンラインサイト「ヤマダウエブコム・ヤマダモール」で不正アクセスによりクレジットカード情報が盗まれる事態が発生した。決済系のウェブアプリケーションを狙った攻撃は流行しているが、専門家は「利用者側の対策は困難」としており、事業者側の対策が急務だ。 ヤマダ電機の発表によると、ヤマダウエブコム・...

はてなブックマーク - ヤマダ電機の3.8万件流出、一体何が起こったのか? ── 利用者の対策手段に限界も | BUSINESS INSIDER JAPAN はてなブックマークに追加

死後に自分のGoogleアカウントを自動的に消去する方法 – GIGAZINE

死後に自分のGoogleアカウントを自動的に消去する方法 - GIGAZINE

死後に自分のGoogleアカウントを自動的に消去する方法 - GIGAZINE

by Matt Botsford GmailやGoogleドキュメント、Googleドライブなど、Googleの提供するさまざまな無料サービスが、日常生活を送る上で不可欠になっている人も多いはず。しかし、もし自分が死んでしまっても、自分のプライベートと密接に結びついたGoogleアカウントは、Googleが続く限りずっと残ってしまうこととなります...

はてなブックマーク - 死後に自分のGoogleアカウントを自動的に消去する方法 - GIGAZINE はてなブックマークに追加

録画なし取り調べ8時間「お前がどう思おうが関係ねえ」:朝日新聞デジタル

録画なし取り調べ8時間「お前がどう思おうが関係ねえ」:朝日新聞デジタル

録画なし取り調べ8時間「お前がどう思おうが関係ねえ」:朝日新聞デジタル

【動画】「コインハイブ」のプログラム導入を巡る容疑で、男性が警察の任意の取り調べを受けたとみられる音声 大阪地検の証拠改ざん事件をきっかけに2016年に成立した刑事司法改革関連法が、6月1日に完全施行される。最後に実現するのは取り調べの録音・録画(可視化)だ。長年の試行を経て、捜査の軸足は容疑者の...

はてなブックマーク - 録画なし取り調べ8時間「お前がどう思おうが関係ねえ」:朝日新聞デジタル はてなブックマークに追加

PHP 7.2.19 Release Announcement

The PHP development team announces the immediate availability of PHP 7.2.19. This is a security release which also contains several minor bug fixes.

All PHP 7.2 users are encouraged to upgrade to this version.

For source downloads of PHP 7.2.19 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

そして滑落 | GRiPS

そして滑落 | GRiPS

そして滑落 | GRiPS

「チキン南蛮かー、やっぱり地鶏かなー」 なんて考えながらルンルンで下り始めた。 もちろん体がルンルンしてるわけではなく、心だけ。 登りのことも事もあるし慎重に慎重に。 だって時間はたっぷりあるのですから。 これだけ多くの時間を山で過ごしていれば、ヒヤリ・ハっとした瞬間なんてもちろんある。 こうなればこ...

はてなブックマーク - そして滑落 | GRiPS はてなブックマークに追加

AWSをこれから始める学生への圧倒的なインプット – Speaker Deck

AWSをこれから始める学生への圧倒的なインプット - Speaker Deck

AWSをこれから始める学生への圧倒的なインプット - Speaker Deck

学生がAWSを学習し始めるにあたり必要な情報をまとめました。 「AWSを勉強し始めよう」「使ってみよう」となってEC2の作り方とかベーシック話をつらつら説明したりドキュメントが並んでいても面白くないので、AWSの魅力と無数のサービスの情報を出来る限り詰め込んで圧倒的なインプットの形にしました。 いろんなサービ...

はてなブックマーク - AWSをこれから始める学生への圧倒的なインプット - Speaker Deck はてなブックマークに追加

リバースエンジニアリングツール新時代?!-Ghidraのお話- – セキュリティごった煮ブログ|ネットエージェント

リバースエンジニアリングツール新時代?!-Ghidraのお話- - セキュリティごった煮ブログ|ネットエージェント

リバースエンジニアリングツール新時代?!-Ghidraのお話- - セキュリティごった煮ブログ|ネットエージェント

2019/05/30 コース:こってり リバースエンジニアリングツール新時代?!-Ghidraのお話- みなさんこんにちは(&はじめまして)、ねこざめです。 先日、隣の席の先輩に誘われ、立川の方に荒野をかの隼で飛び回る作品の上映会&トークショーを見てきました。 隼のカッコよさにしびれたついでに、 例のサメを買って帰ったので...

はてなブックマーク - リバースエンジニアリングツール新時代?!-Ghidraのお話- - セキュリティごった煮ブログ|ネットエージェント はてなブックマークに追加

危険性高いウイルスの取り扱い 住民に伝達 国立感染症研究所 | NHKニュース

危険性高いウイルスの取り扱い 住民に伝達 国立感染症研究所 | NHKニュース

危険性高いウイルスの取り扱い 住民に伝達 国立感染症研究所 | NHKニュース

国立感染症研究所はエボラ出血熱など危険性が最も高いとされる5種類のウイルスを海外から輸入して、東京 武蔵村山市にある専用の施設で取り扱うことを決め、30日、地元の住民の代表に正式に伝えました。研究所は、東京オリンピック・パラリンピックに向けて感染症対策を強化するためだとしていますが、住民からは不安は...

はてなブックマーク - 危険性高いウイルスの取り扱い 住民に伝達 国立感染症研究所 | NHKニュース はてなブックマークに追加

PHP 7.3.6 Release Announcement

The PHP development team announces the immediate availability of PHP 7.3.6. This is a security release which also contains several bug fixes.

All PHP 7.3 users are encouraged to upgrade to this version.

For source downloads of PHP 7.3.6 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

研修でWebサービス作らせたら「嘘の進捗」「終盤でPMが病欠」「サビ残」「メールでソースをやり取り」など引くほど崩壊した→聞いてるだけで胃痛が…あなたならどうする – Togetter

研修でWebサービス作らせたら「嘘の進捗」「終盤でPMが病欠」「サビ残」「メールでソースをやり取り」など引くほど崩壊した→聞いてるだけで胃痛が…あなたならどうする - Togetter

研修でWebサービス作らせたら「嘘の進捗」「終盤でPMが病欠」「サビ残」「メールでソースをやり取り」など引くほど崩壊した→聞いてるだけで胃痛が…あなたならどうする - Togetter

ベーチェット病と痔瘻という難病に侵されたナプキンを付けた社畜です。優しく 接してあげて下さい。尻穴方面/IT方面/社畜方面/下ネタ方面のツイートが多い ですが、病気なので許してあげて下さい(傲慢) 【概要】 ・新卒くんたちだけでwebサービスを作る ・ITに詳しいリーダーがほぼ全ての仕様等を決める ・作業進捗にだ...

はてなブックマーク - 研修でWebサービス作らせたら「嘘の進捗」「終盤でPMが病欠」「サビ残」「メールでソースをやり取り」など引くほど崩壊した→聞いてるだけで胃痛が…あなたならどうする - Togetter はてなブックマークに追加

IP制限を減らす取り組み – mixi developers – Medium

IP制限を減らす取り組み – mixi developers – Medium

IP制限を減らす取り組み – mixi developers – Medium

モンスト事業本部SREGの伊藤です。 普段はモンストに関するシステムの改善・運用を様々な面から行っています。 今回もサービスの直接的な改善ではないですが、ツール等のIP制限を減らす取り組みについてご紹介します。 サービスの直接的な改善もいつか書ければなと思っております。 皆さんはIP制限をしているツール等は...

はてなブックマーク - IP制限を減らす取り組み – mixi developers – Medium はてなブックマークに追加

ヤマダ電機のクレジットカード情報流出事件、「セキュリティコードを保存」の誤解広がる(篠原修司) – 個人 – Yahoo!ニュース

ヤマダ電機のクレジットカード情報流出事件、「セキュリティコードを保存」の誤解広がる(篠原修司) - 個人 - Yahoo!ニュース

ヤマダ電機のクレジットカード情報流出事件、「セキュリティコードを保存」の誤解広がる(篠原修司) - 個人 - Yahoo!ニュース

ヤマダ電機が5月29日にクレジットカード番号が流出した恐れがあると発表した件において、同社に対し「セキュリティコードを保存していたのか」と誤解にもとづく批判が広がっています。 原因はアプリケーションの改ざんによるもの 発表によると、流出した恐れがある情報は「クレジットカード番号」、「有効期限」、「セ...

はてなブックマーク - ヤマダ電機のクレジットカード情報流出事件、「セキュリティコードを保存」の誤解広がる(篠原修司) - 個人 - Yahoo!ニュース はてなブックマークに追加

「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避

トレンドマイクロは、スパムメールに記載されたリダイレクトURLを利用して拡散するバンキングトロジャン「Trickbot」の亜種(「TrojanSpy.Win32.TRICKBOT.THDEAI」として検出)を確認しました。この亜種は、「url?q=<不正なURL>」のようなクエリ文字列(URLパラメータ)を利用してユーザを不正なURLにリダイレクトします。そして、この特定の事例では、「hxxps://google[.]dm:443/url?q=<TrickbotのダウンロードURL>」のようにリダイレクト元のURLとしてGoogleが利用されました。正規URLからリダイレクトするこの手口は実際にスパムメールが届いた際、Trickbotをブロックする可能性のあるスパムフィルタを回避することに役立ちます。

一見すると、スパムメールは正規のものとしてフィルタを回避し、ユーザの視点から見ても正規のものであるように見えてしまう可能性があると考えられます。しかも、正規のものであると信じ込ませるためにソーシャルメディアのアイコンも使用します。このスパムメールの内容では、処理されて出荷の準備が完了した注文について示されています。このメールには荷物の貨物番号、配達免責事項、そして売り手の連絡先などの情報が記載されています。サイバー犯罪者は、メールに含まれるGoogleのリダイレクトURLを利用して、何も知らないユーザを騙し、ハイパーリンクの実際の意図からユーザの注意をそらします。さらに、URLは一般的に知られているサイトからのものであるため、電子メールとリダイレクトにある程度の信頼性が生じます。

図1:リダイレクトURLを含むスパムメールの例
図1:リダイレクトURLを含むスパムメールの例

電子メールに記載されているURLは、GoogleからTrickbotのダウンロードサイトへユーザをリダイレクトするために使用されます。ブラウザには、ユーザを「Order Review(注文確認)」ページのリンクに転送することを示すリダイレクト通知が表示されます。

図2:リダイレクト通知
図2:リダイレクト通知

図2の通知画面でリダイレクト先のリンクをクリックすると、注文確認ページとして偽装されている不正なWebページに誘導されます。このWebページは、3秒以内に注文が利用可能になることをユーザに知らせるメッセージが表示されます。

図3:注文確認ページに偽装した不正なサイト
図3:注文確認ページに偽装した不正なサイト

しかし実際は、このサイトでは、TrickbotのダウンローダであるVisual Basic Script(VBS)を含む「.zip」ファイルがダウンロードされます。

図4:難読化を解除したスクリプト
図4:難読化を解除したスクリプト

実行されると、Trickbotは不正な機能を実行します。

図5:Trickbotのプロセス
図5:Trickbotのプロセス

モジュール型の構造により、Trickbotはダウンロードしてインストールするモジュールに応じて新しい機能を素早く展開することができます。Trickbotが使用する各モジュールは別々の機能を担っており、簡単に交換することができます。これにより、カスタマイズされた攻撃が可能になります。下の図6は、今回確認されたTrickbotの亜種が使用するモジュールを示しています。

図6: Trickbotのモジュール
図6: Trickbotのモジュール

各モジュールの機能は以下の通りです。

  • importDll32 – 閲覧履歴、クッキー(cookies)などのブラウザデータを窃取する
  • injectDll32 – 不正なコードをWebブラウザに注入して、ユーザのオンラインバンキング情報を監視する
  • mailsearcher32 – 影響を受けたコンピュータ上のファイルを検索して電子メールアドレスを収集する
  • networkDll32 – 影響を受けたコンピュータのネットワーク情報を収集し、それらをC&Cサーバに送信する
  • psfin32 – LDAPを利用しネットワーク内の「販売時点情報管理(Point of Sales、POS)」システムの情報を収集する
  • pwgrab32 –「Filezilla」、「Microsoft Outlook」、「WinSCP」などのアプリケーションから認証情報を窃取する
  • shareDll32 – URLからTrickbotのローダをダウンロードする。さらに、影響を受けたコンピュータに接続されているネットワーク共有ストレージにローダを伝播し、そのローダを持続的なサービスとしてインストールする
  • systeminfo32 –CPU、OS、メモリ情報のようなシステム情報、ユーザアカウント、インストールされているプログラムとサービスのリストなどの情報を収集する。
  • wormDll32 – ネットワーク内で拡散するためにMS17-010の脆弱性を悪用する

Trickbotを拡散するためにマルウェアのダウンロードリンクを含むスパムメールを使用することは特に新しい手口ではありません。しかし、この昔ながらの手口を使用する今回確認された方法は、「安全なURL」を利用してスパムフィルタを回避し、それらのサービスや機能を悪用するための、最新の試みと言えるかもしれません。スパムメールに記載されたURLはよく知られているサービスのURLであるため、Trickbotを利用するサイバー犯罪者は、その中に不正なURLを隠ぺいし、感染チェーンに数クリックのユーザによる操作を追加するだけで、より気付かれにくい方法で感染させることができると踏んでいるのかもしれません。

■スパムメール、マクロなどを利用するTrickbotの多くの手口

トレンドマイクロは、以前からTrickbotをペイロードとする一連のスパムメール送信活動を確認して来ました。。通常、スパムメールに関連した活動では、Microsoft Excelファイルに偽装した不正な添付ファイル付きのスパムメールが使用されます。他の事例では、よく名の知られている銀行や金融機関から送信されたメールを装った偽の支払い通知が使用されました。しかし、本記事の事例では、サイバー犯罪者は注文の確認を装ったメールを送信します。この添付ファイルは、PowerShellコマンドの実行、不正なリンクへのアクセス、およびTrickbotペイロードのダウンロードにつながるマクロを有効にするようにユーザに促します。

Trickbotは、マクロ、パスワードで保護された文書、およびリンクを含むさまざまな方法で届きます。多数のアプリケーションから認証情報を窃取することから、検出回避および画面ロックまで、さまざまな機能を備えた亜種が確認されています。

■被害に遭わないためには

Trickbotは、典型的なバンキングトロジャンを越えて機能追加を繰り返しており、そのような傾向は今後も続いていくと考えられます。たとえば、Emotetのようなマルウェアを利用した攻撃によってペイロードとして配信されていることも判明しています。Trickbotを悪用するサイバー犯罪者は、ユーザをだまして添付ファイルをダウンロードさせたり、不正なサイトにアクセスさせたりするために主にフィッシングの手法を使います。

ユーザや企業は、スパムメールやその他のフィッシング攻撃から身を守るために以下のベストプラクティスを講じることを推奨します。

  • 疑わしい送信元アドレスや明らかな文法上の誤りなど、スパムメールの明らかな兆候には気を付けること
  • 未確認のソースからの電子メールの添付ファイルを開くことを控えること
  • ネットワークイベントに関する包括的なログを保存すること。これにより、IT担当者が不正なURLからのトラフィックなどの疑わしいアクティビティを追跡できます
  • 潜在的な脅威についてネットワークを監視すること。これは、従来のセキュリティソリューションでは検出できない可能性がある不正な活動を法人が特定するのに役立ちます

■トレンドマイクロの対策

クロスジェネレーションで進化を続ける「XGen™ セキュリティ」に支えられた以下のソリューション/セキュリティ対策製品は、不正なドメインにアクセスするスクリプトをブロックすることにより、法人および個人を保護します。

この脅威に関連する侵入の痕跡(IoC)の一覧は、こちらを参照してください。

参考記事:

翻訳: 下舘 紗耶加(Core Technology Marketing, TrendLabs)

2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記

2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記

2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記

株式会社ヤマダ電機の運営するECサイトから、最大37,832件のクレジットカード情報が漏洩したと昨日発表されました。ヤマダ電機のように日本を代表する家電量販店のサイトからクレジットカード情報が漏洩したことに私自身驚きました。 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流...

はてなブックマーク - 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記 はてなブックマークに追加

トレンドマイクロのシニアリサーチャーがループアラートが 非常に悪質な行為と言う資料を作って講演していたことが発覚 – Windows 2000 Blog

トレンドマイクロのシニアリサーチャーがループアラートが 非常に悪質な行為と言う資料を作って講演していたことが発覚 - Windows 2000 Blog

トレンドマイクロのシニアリサーチャーがループアラートが 非常に悪質な行為と言う資料を作って講演していたことが発覚 - Windows 2000 Blog

Twitter上でブラクラURLを含む投稿の拡散を確認、iPhoneでも被害 | トレンドマイクロ セキュリティブログ トレンドマイクロでは、2013年に ループ アラートをするURLを貼る事をブラクラと称して、ブログに紹介し、2011年に 44歳の岡山の荒らし行為を行っていた男性が腹いせにブラウザを多重起動してクラッシュさせる、正...

はてなブックマーク - トレンドマイクロのシニアリサーチャーがループアラートが 非常に悪質な行為と言う資料を作って講演していたことが発覚 - Windows 2000 Blog はてなブックマークに追加

プログラムからのアクセス利用時に AWS アカウントを保護するためのガイドライン | Amazon Web Services ブログ

プログラムからのアクセス利用時に AWS アカウントを保護するためのガイドライン | Amazon Web Services ブログ

プログラムからのアクセス利用時に AWS アカウントを保護するためのガイドライン | Amazon Web Services ブログ

Amazon Web Services ブログ プログラムからのアクセス利用時に AWS アカウントを保護するためのガイドライン AWS を利用する際に最も重要なこととして、AWS リソースのセキュリティの確保があります。誰にリソースにアクセスさせるのか、注意深くコントロールする必要があります。これは、AWS ユーザーがプログラムを使...

はてなブックマーク - プログラムからのアクセス利用時に AWS アカウントを保護するためのガイドライン | Amazon Web Services ブログ はてなブックマークに追加

世界最大の学会が「Huaweiの科学者による論文査読を禁止する」と決定 – GIGAZINE

世界最大の学会が「Huaweiの科学者による論文査読を禁止する」と決定 - GIGAZINE

世界最大の学会が「Huaweiの科学者による論文査読を禁止する」と決定 - GIGAZINE

アメリカ・ニューヨークに本部を置く米国電気電子学会(IEEE)は通信・電子・情報工学とその関連分野を対象とし、世界160カ国以上に42万3000人以上の会員を抱える世界最大規模の学会です。中国の電子機器メーカーHuaweiがアメリカの大統領令によって排除される動きが強まる中、IEEEは「Huaweiの科学者による論文査読を禁止...

はてなブックマーク - 世界最大の学会が「Huaweiの科学者による論文査読を禁止する」と決定 - GIGAZINE はてなブックマークに追加

Palo Alto Networks to acquire container security startup Twistlock for $410M – TechCrunch

Palo Alto Networks to acquire container security startup Twistlock for $410M – TechCrunch

Palo Alto Networks to acquire container security startup Twistlock for $410M – TechCrunch

At KubeCon last week in Barcelona, container security was a hot topic, so it shouldn’t come as a surprise that Palo Alto Networks announced today that it was buying container security startup Twistlock for $410 million. The company also announced it was buying serverless security startup PureSec....

はてなブックマーク - Palo Alto Networks to acquire container security startup Twistlock for $410M – TechCrunch はてなブックマークに追加

Ruby 2.7.0-preview1 リリース

Ruby 2.7シリーズの最初のプレビュー版である、Ruby 2.7.0-preview1をリリースします。

プレビュー版は、年末の正式リリースに向け、新たな機能を試し、フィードバックを集めるために提供されています。 Ruby 2.7.0-preview1では、多くの新しい機能やパフォーマンスの改善が含まれています。 その一部を以下に紹介します。

Compaction GC

断片化したメモリをデフラグするCompaction GCが導入されました。

一部のマルチスレッドなRubyプログラムを長期間動かし、マーク&スイープ型GCを何度も実行していると、メモリが断片化してメモリ使用量の増大や性能の劣化を招くことが知られています。

Ruby 2.7ではGC.compact というメソッドを導入し、ヒープをコンパクションすることが出来るようになります。ヒープ内の生存しているオブジェクトを他のページに移動し、不要なページを解放できるようになるとともに、ヒープをCoW (Copy on Write) フレンドリーにすることが出来ます。 #15626

Pattern Matching [Experimental]

関数型言語で広く使われているパターンマッチという機能が実験的に導入されました。 渡されたオブジェクトの構造がパターンと一致するかどうかを調べ、一致した場合にその値を変数に代入するといったことができるようになります。 #14912

case JSON.parse('{...}', symbolize_names: true)
in {name: "Alice", children: [{name: "Bob", age: age}]}
  p age
  ...
end

詳細については Pattern matching - New feature in Ruby 2.7 を参照してください。

REPL improvement

Ruby に添付されている REPL (Read-Eval-Print-Loop) である irb で、複数行編集がサポートされました。これは reline という readline 互換のピュア Ruby 実装によるものです。 また、rdoc 連携も提供されるようになっています。irb 内で、クラス、モジュール、メソッドのリファレンスをその場で確認できるようになりました。 #14683, #14787, #14918 これに加え、binding.irbで表示される周辺のコードや、コアクラスのオブジェクトのinspect結果に色がつくようになっています。

主要な新機能

  • メソッド参照演算子 .: が試験的に導入されました。#12125, #13581

  • デフォルトのブロックの仮引数として番号指定パラメータが試験的に導入されました。#4475

  • 開始値省略範囲式が試験的に導入されました。これは終了値省略範囲式ほど有用ではないと思われますが、しかし DSL のような目的には役立つかもしれません。 #14799

    ary[..3]  # identical to ary[0..3]
    rel.where(sales: ..100)
    
  • Enumerable#tally が追加されました。各要素の出現回数を数えます。

    ["a", "b", "c", "b"].tally
    #=> {"a"=>1, "b"=>2, "c"=>1}
    

パフォーマンスの改善

  • JIT [Experimental]

    • 最適化の際の仮定が無効とされた場合、JIT 化されていたコードがより最適化度が低いコードに再コンパイルされるようになりました。

    • あるメソッドが「純粋」であると判定された場合、メソッドのインライン化が行われるようになりました。この最適化はまだ実験的であり、また多数のメソッドが今はまだ「純粋」と判定されないままです。

    • --jit-min-calls オプションのデフォルト値が 5 から 10,000 に変更されました。

    • --jit-max-cache オプションのデフォルト値が 1,000 から 100 に変更されました。

その他の注目すべき 2.6 からの変更点

  • ブロックを渡すメソッド呼び出し中の、ブロックを伴わない Proc.newproc が警告されるようになりました。

  • ブロックを渡すメソッド呼び出し中の、ブロックを伴わない lambda はエラーとなるようになりました。

  • Unicode および Emoji のバージョンが 11.0.0 から 12.0.0 になりました。[Feature #15321]

  • Unicode のバージョンが 12.1.0 となり、新元号「令和」を表す合字 U+32FF がサポートされました。[Feature #15195]

  • Date.jisx0301, Date#jisx0301, および Date.parse で非公式に新元号に仮対応しました。これは JIS X 0301 の新しい版で正式な仕様が決定されるまでの暫定的なものです。[Feature #15742]

  • Ruby のビルドに C99 に対応したコンパイラが必要になりました。[Misc #15347]

なお、こうした変更により、Ruby 2.6.0 以降では 1727 個のファイルに変更が加えられ、76022 行の追加と 60286 行の削除が行われました !

Ruby 2.7 でプログラミングをお楽しみください!

Download

  • https://cache.ruby-lang.org/pub/ruby/2.7/ruby-2.7.0-preview1.tar.gz

    SIZE:   16021286 bytes
    SHA1:   2fbecf42b03a9d4391b81de42caec7fa497747cf
    SHA256: c44500af4a4a0c78a0b4d891272523f28e21176cf9bc1cc108977c5f270eaec2
    SHA512: f731bc9002edd3a61a4955e4cc46a75b5ab687a19c7964f02d3b5b07423d2360d25d7be5df340e884ca9945e3954e68e5eb11b209b65b3a687c71a1abc24b91f
    
  • https://cache.ruby-lang.org/pub/ruby/2.7/ruby-2.7.0-preview1.zip

    SIZE:   20283343 bytes
    SHA1:   7488346fa8e58203a38158752d03c8be6b1da65b
    SHA256: fdf25573e72e1769b51b8d541d0e1a894a5394dbfdf1b08215aa093079cca64c
    SHA512: b3b1f59dce94c242ef88a4e68381a4c3a6f90ba0af699083e5a1a00b0fb1dce580f057dad25571fe789ac9aa95aa6e9c071ebb330328dc822217ac9ea9fbeb3f
    
  • https://cache.ruby-lang.org/pub/ruby/2.7/ruby-2.7.0-preview1.tar.bz2

    SIZE:   14038296 bytes
    SHA1:   f7e70cbc2604c53a9e818a2fc59cd0e2d6c859fa
    SHA256: d45b4a1712ec5c03a35e85e33bcb57c7426b856d35e4f04f7975ae3944d09952
    SHA512: a36b241fc1eccba121bb7c2cc5675b11609e0153e25a3a8961b67270c05414b1aa669ce5d4a5ebe4c6b2328ea2b8f8635fbba046b70de103320b3fdcb3d51248
    
  • https://cache.ruby-lang.org/pub/ruby/2.7/ruby-2.7.0-preview1.tar.xz

    SIZE:   11442988 bytes
    SHA1:   45e467debc194847a9e3afefb20b11e6dc28ea31
    SHA256: 8c546df3345398b3edc9d0ab097846f033783d33762889fd0f3dc8bb465c3354
    SHA512: d416e90bfa3e49cc0675c4c13243c8ec319b7a0836add1bd16bd7662d09eaf46656d26e772ef3b097e10779896e643edd8a6e4f885147e3235257736adfdf3b5
    

Ruby とは

Rubyはまつもとゆきひろ (Matz) によって1993年に開発が始められ、今もオープンソースソフトウェアとして開発が続けられています。Rubyは様々なプラットフォームで動き、世界中で、特にWebアプリケーション開発のために使われています。

Posted by naruse on 30 May 2019

ヤマダ電機通販サイトの不正アクセスについてまとめてみた – piyolog

ヤマダ電機通販サイトの不正アクセスについてまとめてみた - piyolog

ヤマダ電機通販サイトの不正アクセスについてまとめてみた - piyolog

2019年5月29日、ヤマダ電機は自社運営の通販サイトが不正アクセスを受け、クレジットカード情報が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。 公式発表 2019年5月29日 www.yamada-denki.jp 調査結果を踏まえ、システムのセキュリティ対策、監視体制の強化を図っている。 カード情報...

はてなブックマーク - ヤマダ電機通販サイトの不正アクセスについてまとめてみた - piyolog はてなブックマークに追加

東京五輪関連と偽装、不正サイト続々「アドレスに注意」:朝日新聞デジタル

東京五輪関連と偽装、不正サイト続々「アドレスに注意」:朝日新聞デジタル

東京五輪関連と偽装、不正サイト続々「アドレスに注意」:朝日新聞デジタル

2020年東京五輪と関係があるかのように装ったサイトが多数存在することが、情報セキュリティー大手トレンドマイクロと朝日新聞の調べでわかった。詐欺に悪用される恐れのある不正サイトも見つかり、同社は注意を呼びかけている。 大会組織委員会によると、東京五輪公式サイトに接続されるアドレスは「tokyo2020.org...

はてなブックマーク - 東京五輪関連と偽装、不正サイト続々「アドレスに注意」:朝日新聞デジタル はてなブックマークに追加

痴漢者にスタンプする護身用シャチハタ、開発へ

nemui4曰く、

ゴム印などで知られるシャチハタが、護身用のスタンプを開発するという(毎日新聞)。

どうか冤罪ネタには使われませんように。このネタ関係のtogetter見たけど、安全ピンでグサグサやっていいと思うよ。痴漢するやつは階段でコケて足くじいてしまえ。

痴漢された際にこのスタンプを相手の手などに押すことで証拠を残すというもの。まだ具体的な完成形については検討中だそうだが、真剣に商品化を目指すそうだ。

すべて読む | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加 関連ストーリー:
痴漢通報機能を搭載したスマートブラ 2018-07-13 07:01:00
電車内で痴漢に間違えられた際に適切な対応を支援してくれるスマホアプリ 2017-01-24 04:54:00
「チカン抑止シール」は抑止力となるか 2015-04-17 09:19:00
インドの学生、痴漢撃退下着を開発 2013-04-25 05:20:00
埼京線の全編成に痴漢防止目的の車内防犯カメラを設置へ 2010-04-06 08:30:00

Building Facebook’s service encryption infrastructure – Facebook Code

Building Facebook's service encryption infrastructure - Facebook Code

Building Facebook's service encryption infrastructure - Facebook Code

We run one of the largest microservices deployments in the world, with thousands of services that perform billions of requests per second. Keeping information secure as these services communicate globally is a complex job that requires thoughtful consideration of tradeoffs between performance, se...

はてなブックマーク - Building Facebook's service encryption infrastructure - Facebook Code はてなブックマークに追加

CakeFest 2019 Tokyo Japan, the Official CakePHP Conference

CakeFest 2019 - our annual conference dedicated to CakePHP. Two full workshop days (7th and 8th November) that are an ideal way to learn as both beginners and advanced users, followed by two jam packed days of presentations, discussions and talks on CakePHP related technologies (9th and 10th November). CakeFest 2019 will be held in Tokyo, Japan - we are excited to see you there!

Check out the full schedule on CakeFest.org

【セキュリティ ニュース】ホビーショップでクレカ情報流出 – 委託先のログ削除で被害範囲特定できず(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】ホビーショップでクレカ情報流出 - 委託先のログ削除で被害範囲特定できず(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】ホビーショップでクレカ情報流出 - 委託先のログ削除で被害範囲特定できず(1ページ目 / 全2ページ):Security NEXT

フィギュアやゲームなどホビー商品の販売、買い取りなどを展開するジャングルは、不正アクセスを受け、通信販売を利用した顧客のクレジットカード情報が流出した可能性があることを明らかにした。 同社によれば、顧客情報を保存していたサーバが不正アクセスを受け、同社通販でクレジットカード決済を利用した顧客のクレ...

はてなブックマーク - 【セキュリティ ニュース】ホビーショップでクレカ情報流出 - 委託先のログ削除で被害範囲特定できず(1ページ目 / 全2ページ):Security NEXT はてなブックマークに追加

痴漢者にスタンプする護身用シャチハタ、開発へ

nemui4曰く、

ゴム印などで知られるシャチハタが、護身用のスタンプを開発するという(毎日新聞)。

どうか冤罪ネタには使われませんように。このネタ関係のtogetter見たけど、安全ピンでグサグサやっていいと思うよ。痴漢するやつは階段でコケて足くじいてしまえ。

痴漢された際にこのスタンプを相手の手などに押すことで証拠を残すというもの。まだ具体的な完成形については検討中だそうだが、真剣に商品化を目指すそうだ。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
痴漢通報機能を搭載したスマートブラ 2018年07月13日
電車内で痴漢に間違えられた際に適切な対応を支援してくれるスマホアプリ 2017年01月24日
「チカン抑止シール」は抑止力となるか 2015年04月17日
インドの学生、痴漢撃退下着を開発 2013年04月25日
埼京線の全編成に痴漢防止目的の車内防犯カメラを設置へ 2010年04月06日

ヤマダ電機 カード情報3万7000件余流出か 不正利用のおそれも | NHKニュース

ヤマダ電機 カード情報3万7000件余流出か 不正利用のおそれも | NHKニュース

ヤマダ電機 カード情報3万7000件余流出か 不正利用のおそれも | NHKニュース

家電量販店のヤマダ電機は、自社で運営する通販サイトに不正なアクセスがあり、最大で3万7000件余りのクレジットカードの情報が流出した可能性があると発表しました。発覚してから1か月以上たっての公表で、一部のカード情報は不正に利用されたおそれがあるということです。 流出のおそれがある情報はことし3月18日か...

はてなブックマーク - ヤマダ電機 カード情報3万7000件余流出か 不正利用のおそれも | NHKニュース はてなブックマークに追加

アラートループ事件の被疑者2名に対する起訴猶予処分を受けて | 横浜パーク法律事務所

アラートループ事件の被疑者2名に対する起訴猶予処分を受けて | 横浜パーク法律事務所

アラートループ事件の被疑者2名に対する起訴猶予処分を受けて | 横浜パーク法律事務所

インターネット掲示板に,真実は,特定の文字などが表示され続けるだけであり,ブラウザを閉じれば終了するプログラムのリンクを掲載しただけであるのに,兵庫県警が,これを「不正なプログラムに誘導するリンクを貼り付けた」と問題視して,平成31年3月に捜索差押を強制的に行い,神戸地方検察庁に送検し,被疑者と...

はてなブックマーク - アラートループ事件の被疑者2名に対する起訴猶予処分を受けて | 横浜パーク法律事務所 はてなブックマークに追加

ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 約3万7000件 – ITmedia NEWS

ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 約3万7000件 - ITmedia NEWS

ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 約3万7000件 - ITmedia NEWS

ヤマダ電機は、同社が運営するオンラインストアが不正アクセスを受け、約3万7000件のクレジットカード情報が流出した可能性があると発表した。一部は不正利用された形跡もあるという。 ヤマダ電機は5月29日、同社が運営するオンラインストア「ヤマダウェブコム」「ヤマダモール」が不正アクセスを受け、約3万7000件のク...

はてなブックマーク - ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 約3万7000件 - ITmedia NEWS はてなブックマークに追加

ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 最大3万7000件 – ITmedia NEWS

ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 最大3万7000件 - ITmedia NEWS

ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 最大3万7000件 - ITmedia NEWS

ヤマダ電機は、同社が運営するオンラインストアが不正アクセスを受け、最大3万7000件のクレジットカード情報が流出した可能性があると発表した。一部は不正利用された可能性もあるという。 ヤマダ電機は5月29日、同社が運営するオンラインストア「ヤマダウェブコム」「ヤマダモール」が不正アクセスを受け、約3万7000件...

はてなブックマーク - ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 最大3万7000件 - ITmedia NEWS はてなブックマークに追加

ヤマダ電機、約3.8万件のクレカ情報流出か–ECに不正アクセス、セキュリティコード含む – CNET Japan

ヤマダ電機、約3.8万件のクレカ情報流出か--ECに不正アクセス、セキュリティコード含む - CNET Japan

ヤマダ電機、約3.8万件のクレカ情報流出か--ECに不正アクセス、セキュリティコード含む - CNET Japan

ヤマダ電機は5月29日、同社が運営するECサイト「ヤマダウエブコム・ヤマダモール」への不正アクセスがあり、個人情報が流出した可能性があると発表した。 流出した可能性があるのは、カード番号、有効期限、セキュリティコードなど約3万7832人分のクレジットカード情報。2019年3月18日~2019年4月26日の期間中に、同社EC...

はてなブックマーク - ヤマダ電機、約3.8万件のクレカ情報流出か--ECに不正アクセス、セキュリティコード含む - CNET Japan はてなブックマークに追加

神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず – ねとらぼ

神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず - ねとらぼ

神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず - ねとらぼ

インターネット上の掲示板に「不正なプログラム」を書き込んだとして検挙された39歳男性と47歳の男性に対し、神戸地検が起訴猶予処分とする見通しであることが5月27日、関係者への取材で分かりました。 兵庫県警が「ブラクラ」だと主張しているページ。実際には「無限アラート」であり、「ブラクラではない」という意見...

はてなブックマーク - 神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず - ねとらぼ はてなブックマークに追加

13歳でAppleをハッキングした少年が「前歴つかず」の特例に、「才能は邪悪ではなく善のために」 – GIGAZINE

13歳でAppleをハッキングした少年が「前歴つかず」の特例に、「才能は邪悪ではなく善のために」 - GIGAZINE

13歳でAppleをハッキングした少年が「前歴つかず」の特例に、「才能は邪悪ではなく善のために」 - GIGAZINE

by Mechki 13歳の時から2度にわたってAppleにハッキングを行った少年が、裁判において無罪判決を下されました。判決では少年が「明らかに才能ある人物」であること、そして少年は当時「ハッキングがバレたらAppleに雇ってもらえる」という考えだったことが認められています。 Adelaide teen hacked into Apple twice hop...

はてなブックマーク - 13歳でAppleをハッキングした少年が「前歴つかず」の特例に、「才能は邪悪ではなく善のために」 - GIGAZINE はてなブックマークに追加

5,400個のアプリトラッカーがiPhoneから外部へデータを送信していた – iPhone Mania

5,400個のアプリトラッカーがiPhoneから外部へデータを送信していた - iPhone Mania

5,400個のアプリトラッカーがiPhoneから外部へデータを送信していた - iPhone Mania

米紙The Washington Postが監視ソフトウェアを使って調査を行った結果、iPhone向けの5,400個以上のアプリが、iPhone内のデータを外部に送信していたことが判明しました。中には位置情報や電話番号などのデータも含まれていたとのことです。 監視ソフトウェアを使って実験 同紙のフェフリー・ファウラー記者とプライバシ...

はてなブックマーク - 5,400個のアプリトラッカーがiPhoneから外部へデータを送信していた - iPhone Mania はてなブックマークに追加

弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD.

弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD.

弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD.

2019年5月29日 お客様各位 株式会社 ヤマダ電機 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流...

はてなブックマーク - 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD. はてなブックマークに追加

中国、政府へのデータ提供義務化=ファーウェイ問題で米に対抗:時事ドットコム

中国、政府へのデータ提供義務化=ファーウェイ問題で米に対抗:時事ドットコム

中国、政府へのデータ提供義務化=ファーウェイ問題で米に対抗:時事ドットコム

中国、政府へのデータ提供義務化=ファーウェイ問題で米に対抗 2019年05月29日14時21分 【北京時事】中国国家インターネット情報弁公室は28日、中国でネットサービスを運営する内外の企業に政府へのデータ提供を義務付ける「データ安全管理規則」原案を公表した。米企業への規制強化となり、共産党機関紙・人民日報系...

はてなブックマーク - 中国、政府へのデータ提供義務化=ファーウェイ問題で米に対抗:時事ドットコム はてなブックマークに追加

マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 – JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019年4月から5月にかけて、日本の組織に対して、不正なショートカットファイルをダウンロードさせようとする標的型攻撃メールが送信されていることを確認しています。これらの標的型攻撃メールにはリンクが記載されており、クリックするとクラウドサービスからショートカットファイルがダウンロードされます。このショ...

はてなブックマーク - マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ はてなブックマークに追加

「データを暗号化する標的型攻撃」が表面化、2019年第1四半期の脅威動向を分析

トレンドマイクロでは2019年第1四半期(1~3月)における国内外での脅威動向について分析を行いました。数年前まで全世界的に猛威を振るっていたランサムウェアの攻撃は2018年には急減し、既に終わった脅威のように思われているかもしれません。しかし法人でのランサムウェア被害事例の中からは、明確に法人組織を狙った標的型攻撃の中でランサムウェアが使用されたと言える事例が複数確認されており、事業継続を脅かすような深刻な被害を与える存在となっています。

図

図1:日本で確認されたランサムウェアを感染させるマルウェアスパムの例

日本では新年を迎えた1月1日から、上図のようなランサムウェアを感染させるマルウェアスパムの拡散が開始され、その後の3か月間で合わせて1,000万件を越える大規模拡散となりました。しかし、このマルウェアスパムの拡散規模に反し、国内でのランサムウェア検出台数は顕著な増加を示しておらず、攻撃は未然に防がれている状況と考えられます。

しかし法人組織ではこの1~3月の間にも深刻なランサムウェア被害が発生していました。ノルウェーの大手製造業での事例フランスの大手コンサルティング企業の事例アメリカの飲料会社での事例などが顕著な被害例として挙げられます。特にノルウェーの事例では、ランサムウェアの感染により複数の工場が操業停止となる深刻な被害が発生しました。この事例で使用されたランサムウェア「LockerGoga」は感染コンピュータを起動不能にさせるなどの破壊的活動を行うものであり、攻撃の真の目的は事業継続を脅かすことだった可能性もあります。このような公表・報道された事例と共に、米国と日本でトレンドマイクロが調査した複数の事例からは、明確に法人組織や特定の企業を攻撃対象としたと言えるランサムウェアの活動や、遠隔操作ツール(RAT)を使用するなど標的型の攻撃手法を使用した事例が明らかになっています。

図

図2:アメリカの飲料会社などで確認されたランサムウェア「BitPaymer」の身代金要求メッセージ
冒頭の「Hello」の後には標的となった企業の実名が入っており、特定企業を標的とした攻撃と言える

その他の脅威としては、フィッシング詐欺の攻撃が2018年から継続して確認されています。特に日本国内ではフィッシングサイトへ誘導された利用者の数が、前四半期比で約1.6倍に拡大しています。国内ネットバンキングに対してリアルタイムでワンタイムパスワードを破る手法が新たに確認されるなど、攻撃の巧妙化も続いています。また海外では3月に台湾のIT企業が配信する正規ソフトが侵害されるサプライチェーン攻撃が発生しました。この事例はMACアドレスを条件に標的とされた環境でのみ被害が発生するようになっており、実際には攻撃対象を特定した標的型攻撃であったことが確認されています。標的型攻撃においてはこのような正規を隠れ蓑とする攻撃手法が継続して確認されており、2月に確認されたバックドア「SLUB」の事例では「Slack」や「GitHub」のような正規サービスが遠隔操作の通信に利用されていました。

2019年1~3月に確認された様々な脅威動向についてより深く知るためには、以下のレポートをご一読ください。

・詳細レポートはこちら:
2019年第1四半期セキュリティラウンドアップ
『データを暗号化する標的型攻撃』

図
・本レポートに関するウェビナーはこちら:
「最新の脅威を知るウェビナー」

依然として100万台弱のWindowsシステムに「BlueKeep」の脆弱性 – ZDNet Japan

依然として100万台弱のWindowsシステムに「BlueKeep」の脆弱性 - ZDNet Japan

依然として100万台弱のWindowsシステムに「BlueKeep」の脆弱性 - ZDNet Japan

セキュリティ企業の調査で、「BlueKeep」の脆弱性が存在するWindows PCは100万台弱であることが分かった。BlueKeep(CVE-2019-0708)は旧バージョンのWindowsに存在するリモートデスクトップ(RDP)の脆弱性だ。 この問題の存在は、2019年5月の月例パッチで明らかになった。Microsoftはセキュリティパッチを公開したが、...

はてなブックマーク - 依然として100万台弱のWindowsシステムに「BlueKeep」の脆弱性 - ZDNet Japan はてなブックマークに追加

Flipboard、データベースへの不正アクセス確認で全ユーザーのパスワードをリセット – ITmedia NEWS

Flipboard、データベースへの不正アクセス確認で全ユーザーのパスワードをリセット - ITmedia NEWS

Flipboard、データベースへの不正アクセス確認で全ユーザーのパスワードをリセット - ITmedia NEWS

ソーシャル雑誌アプリのFlipboardが、データベースに不正アクセスがあり、ユーザーの氏名やメールアドレスが盗まれた可能性があると発表した。パスワードも盗まれた可能性があるが、ハッシュ化されているため、解読は非常に難しいとしている。 米ソーシャル雑誌アプリのFlipboardは5月28日(現地時間)、過去数カ月にわ...

はてなブックマーク - Flipboard、データベースへの不正アクセス確認で全ユーザーのパスワードをリセット - ITmedia NEWS はてなブックマークに追加

街中で知らない男に2度もついてこられる→次の日には家を突き止められていた…いい対応・悪い対応のまとめも含めて心しておきたい – Togetter

街中で知らない男に2度もついてこられる→次の日には家を突き止められていた…いい対応・悪い対応のまとめも含めて心しておきたい - Togetter

街中で知らない男に2度もついてこられる→次の日には家を突き止められていた…いい対応・悪い対応のまとめも含めて心しておきたい - Togetter

すごいリプとか引用とかで 男の人にバレないですか? 安全は大丈夫ですか?って多いので すごい心配ありがとうございますって思います…( ᵕ̩̩ㅅᵕ̩̩ ) 一応引越し決まって彼も引っ越すまで一緒に住むことになったので そのところは大丈夫です!

はてなブックマーク - 街中で知らない男に2度もついてこられる→次の日には家を突き止められていた…いい対応・悪い対応のまとめも含めて心しておきたい - Togetter はてなブックマークに追加

【OSS】サイバーセキュリティ対策用OSSツール7選—NSA(アメリカ国家安全保障局)が主導して開発する「Ghidra」他

【OSS】サイバーセキュリティ対策用OSSツール7選---NSA(アメリカ国家安全保障局)が主導して開発する「Ghidra」他

【OSS】サイバーセキュリティ対策用OSSツール7選---NSA(アメリカ国家安全保障局)が主導して開発する「Ghidra」他

【OSS】サイバーセキュリティ対策用OSSツール7選---NSA(アメリカ国家安全保障局)が主導して開発する「Ghidra」他 オープンソースのサイバーセキュリティツールを紹介。 Ghidra Ghidraは、NSA(アメリカ国家安全保障局)が主導して開発しているもので、フル機能のハイエンドソフトウェア解析ツールが含まれている。 https:/...

はてなブックマーク - 【OSS】サイバーセキュリティ対策用OSSツール7選---NSA(アメリカ国家安全保障局)が主導して開発する「Ghidra」他 はてなブックマークに追加

セキュリティー上の出来事に関する通知 – Flipboard

セキュリティー上の出来事に関する通知 - Flipboard

セキュリティー上の出来事に関する通知 - Flipboard

2019年5月 28日更新 Flipboardは、最近一部のユーザーデータに関連したセキュリティー上の出来事を特定し、対処しました。弊社は、Flipboardコミュニティへの透明性を重視しております。このページは、弊社の調査から得た情報、弊社が実施した対策、そしてユーザーの皆様が対応できる措置についてお伝えするために作成し...

はてなブックマーク - セキュリティー上の出来事に関する通知 - Flipboard はてなブックマークに追加

セキュリティが目指す高度な自動化の方向が見えた – @IT

セキュリティが目指す高度な自動化の方向が見えた - @IT

セキュリティが目指す高度な自動化の方向が見えた - @IT

今回は、2019年5月8~10日に開催された「第16回情報セキュリティExpo」の展示会場から、サイバーセキュリティの新しいトレンドを見据えた製品を幾つかピックアップした。APIのセキュリティを支援する製品や、人手が足りない現場を助ける高度な自動化ツール、DNSにアクセスした段階で脅威を取り除くソリューションなどが...

はてなブックマーク - セキュリティが目指す高度な自動化の方向が見えた - @IT はてなブックマークに追加

14年分の「情報セキュリティ10大脅威」を振り返り “変わらない”5つの対策 (1/2) – ITmedia NEWS

14年分の「情報セキュリティ10大脅威」を振り返り “変わらない”5つの対策 (1/2) - ITmedia NEWS

14年分の「情報セキュリティ10大脅威」を振り返り “変わらない”5つの対策 (1/2) - ITmedia NEWS

情報処理推進機構(IPA)が毎年発表する「10大脅威」。過去14年分をまとめて振り返ると、脅威と対策の中で「変わったこと」と「変わらないこと」が見えてくる。 情報処理推進機構(IPA)は毎年、前年に発生した脅威のうち社会的に大きな影響を与えた動きを、識者の意見を踏まえながら「10大脅威」としてまとめています。...

はてなブックマーク - 14年分の「情報セキュリティ10大脅威」を振り返り “変わらない”5つの対策 (1/2) - ITmedia NEWS はてなブックマークに追加

米上院議員、令状無しでの国境での電子機器の検閲を防止する法案を提出

taraiok曰く、

国土安全保障省(DHS)の国境担当は、米国に出入りする旅行者に対して、令状なしでスマートフォンやラップトップPCといったデジタル機器の中身を自由に検閲できる。米上院議員の二人は超党派的な法案により、この状況を変えることを望んでいる。この二人はオレゴン州の民主党員であるRon Wyden、ケンタッキー州の共和党員であるRand.Par Paulの両氏。二人はProtecting Data at the Border Act[PDF]という法案を発表した(CNETCNETその2Slashdot)。

DHSによる国境での電子機器の検閲数は、ここ4年間で急増しているという。2015年には4,764件であったのに対し、2018年の検閲数は33,000件にまで増加。Ron Wyden上院議員は、「国境は頻繁に移動するアメリカ人にとって、権利のない地域になりつつある。休暇を取った、仕事のために移動しなければならないという理由で、政府があなたの電子機器を検閲することはおかしい」とWyden上院議員は声明で述べている。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
空港における日本人の出入国審査、原則として顔認証システムを使用する方針に 2017年07月03日
米税関、入国審査時にSNSのアカウント名を尋ねることを検討中 2016年06月30日
米国入国時の生体データ採取、「ほぼ全ての外国人」に対象を広げる 2008年12月27日
アメリカへの入出国ではPCの中身にご注意を 2008年04月24日

oss-sec: CVE-2018-15664: docker (all versions) is vulnerable to a symlink-race attack

oss-sec: CVE-2018-15664: docker (all versions) is vulnerable to a symlink-race attack

oss-sec: CVE-2018-15664: docker (all versions) is vulnerable to a symlink-race attack

oss-sec mailing list archives By Date By Thread CVE-2018-15664: docker (all versions) is vulnerable to a symlink-race attack From: Aleksa Sarai <cyphar () cyphar com> Date: Tue, 28 May 2019 14:25:13 +1000 There is no released Docker version with a fix for this issue at the time of writing. I've s...

はてなブックマーク - oss-sec: CVE-2018-15664: docker (all versions) is vulnerable to a symlink-race attack はてなブックマークに追加

アップル、非公開の施設で「iPhone」部品などのストレステスト?–プライバシー保護重視 – CNET Japan

アップル、非公開の施設で「iPhone」部品などのストレステスト?--プライバシー保護重視 - CNET Japan

アップル、非公開の施設で「iPhone」部品などのストレステスト?--プライバシー保護重視 - CNET Japan

Appleは顧客のプライバシーを保護することを重視しているが、その取り組みには、「iPhone」に搭載されているプロセッサーやコンポーネントに一連の過酷な試験を課し、攻撃に対して脆弱ではないことを確認するというものがあるようだ。 Appleの新キャンパス「Apple Park」に近い非公開の施設で実施されるテストには、プロ...

はてなブックマーク - アップル、非公開の施設で「iPhone」部品などのストレステスト?--プライバシー保護重視 - CNET Japan はてなブックマークに追加

iframeを利用した新しいサポート詐欺の手口を確認

トレンドマイクロは、新しい「Tech Support Scam」(テクサポ詐欺、サポート詐欺)キャンペーンを確認しました。このサポート詐欺は、ユーザのブラウザを操作不能にするために、ベーシック認証のポップアップと組み合わせながらiframeを利用します。この手法は新しくあまり知られていないため、セキュリティ対策ソフトによる検出を回避できる可能性があります。多くのサポート詐欺活動同様に、標的となったユーザを惹きつけるために、正規または有名なブランドのサービスプロバイダを装います。この活動では特にMicrosoftを使用しています。

■検出回避の手口

今回の攻撃の手口で使用されるURLは、Microsoftの典型的な技術サポート窓口と見せかけたWebページを表示します。しかし、このWebページはいくつかの異なる機能を隠し持っています。この手口に関連するURLのいずれかを入力すると、2つのポップアップウィンドウが開きます。1つはユーザ認証を要求するもの、もう1つは単にユーザに対して技術サポートを依頼するようにを促すものです。この時点で、ユーザは知らず知らずのうちにこの手口のループに入ってしまいます。認証ポップアップの「キャンセル」ボタンをクリックしたとしても、元のURLに戻ってしまうだけです。ポップアップの「閉じる」ボタンと「OK」ボタンは機能しないか、何も起こりません。このポップアップは、このWebページが正規のものであると見せかけるためだけのものだからです。

図1:サポート詐欺活動で使用されている偽のMicrosoftサポート窓口
図1:サポート詐欺活動で使用されているフリーズした偽のMicrosoftサポート窓口

サポート詐欺活動では、繰り返し表示されるポップアップを作成してブラウザを操作不能にすることが一般的な方法です。この活動で使われている、ベーシック認証とiframeを組み合わせてブラウザを操作不能にする方法は、一般的な手口と比べると新しくあまり知られていません。 一般的なサポート詐欺活動の場合、サイバー犯罪者は「alert()」や「confirm()」のような基本的なJavaScriptのコードを利用します。これらのコードを利用して、サイバー犯罪者はポップアップボタンをクリックしても同じポップアップウィンドウに戻ってしまうというループにユーザを陥れます。

本記事の事例では、JavaScriptの基本的な関数を使用したポップアップの代わりに、iframe要素(現在のHTML文書に別のHTML文書を埋め込むためのHTML文書)を追加し続けます。この動作は、「showLogin()」と名付けられた関数によって実行されます。iframeのコンテンツを指定するsrc属性は偽の認証ページのURLとなっているため、この認証ページが繰り返し表示されます。

図2:iframe要素を繰り返し表示する「showLogin()」関数のコード
図2:Iframe要素を繰り返し表示する「showLogin()」関数のコード

図3:「showLogoin()」関数内のループで使用される偽の認証ポップアップページ「useragent.php」
図3:「showLogoin()」関数内のループで使用される偽の認証ポップアップページ「useragent.php」

サポート詐欺活動は操作不能になったブラウザが原因でパニックに陥ったユーザの心理を利用します。冷静さを欠くことで、ユーザはブラウザに示された一連の動作にすぐに対応しようとするだろうと考えられるためです。この示される動作というのは、通常、画面上の番号に電話をかけ、テクニカルサポート担当者と思われる人物が提案する指示すべてに従うことなどです。

今回のサポート詐欺で使用されたURLにおける更なる特徴は、ブラウザのバージョンまたはFirefox、Chrome、Edgeなどの種類によって、URIの表示形式が異なることです。これは以下の図4において赤くハイライトした部分のソースコードで示されています。ただし、このソースコードは、このキャンペーンをさまざまなブラウザに適応させるためだけのものだと考えられます。

図4:ブラウザごとにURIの表示形式を変えるソースコード
図4:ブラウザごとにURIの表示形式を変えるソースコード

以下の図5に示されているように、この活動に関連するURLが1日に最大575回アクセスされたことが、トレンドマイクロの調査でわかりました。また、今回の調査で記録されたアクセスは、複数の異なるURLからのものでした。なぜなら、この活動で講じられた他の検出回避の手口として、サポート詐欺ページをホストするIPアドレスを1日に約12回変更することが含まれているからです。これらのURLがどのように拡散されるのかを最終的に説明できる十分な証拠はありませんが、今回の事例が過去のサポート詐欺活動に連なるものである場合、これらのURLはおそらく配信された広告を通じて拡散されます。

図5:今回のサポート詐欺事例に関連するURLの1日あたりアクセス数
図5:今回のサポート詐欺事例に関連するURLの1日あたりアクセス数

■被害に遭わないためには

幸いなことに、サポート詐欺攻撃が成功するかどうかは、ユーザーが攻撃者の手口にどのようにして対応するかによって大きく変わります。この新しい活動の事例で強調されているように、ユーザは見慣れないURL、認証を求めるポップアップ、パニックや警告を引き起こすあらゆる種類の情報やメッセージのような、不審なWebページの特徴に注意することができます。サポート詐欺活動の脅威を防ぐために、ユーザは自分のブラウザを復旧させる他の方法があることを留意しましょう。具体的には、サポート詐欺攻撃を受けたユーザは、タスクマネージャを使用してブラウザを閉じることが可能になります。また、表示されたメッセージを安易に信用せずに、その他の正しい手段を用いてシステムの状態を確認することが大切です。

■トレンドマイクロの対策

トレンドマイクロの「Web レピュテーション(WRS)」技術は、本記事で解説したような詐欺サイトからユーザを保護します。WRSは、Webサイトの経過日数、配置場所の変更履歴、および不正プログラムの挙動分析により検出された不審な活動の兆候などの要素に基づいてレピュテーションスコアを割り当てることにより、Webドメインの信頼性を追跡します。サイトは継続的に検索され、感染サイトへのユーザアクセスがブロックされます。
以下のエンドポイント製品ではWRS技術により、不正サイトへのアクセスをブロックします。
個人向け:「ウイルスバスタークラウド
法人向け:「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」など
また、「InterScan Web Security Virtual Appliance」、「Cloud Edge」などの法人向けゲートウェイ製品ではWRS技術により、法人のネットワーク内全体からの不正サイトへのアクセスを一括してブロックすることができます。

この脅威に関連する侵入の痕跡(IoC)の一覧は、こちらを参照してください。

参考記事:

翻訳: 下舘 紗耶加(Core Technology Marketing, TrendLabs)

Appleのクレイグ・フェデリギ氏、GoogleピチャイCEOの「プライバシーを贅沢品として提供」に反論 – Engadget 日本版

Appleのクレイグ・フェデリギ氏、GoogleピチャイCEOの「プライバシーを贅沢品として提供」に反論 - Engadget 日本版

Appleのクレイグ・フェデリギ氏、GoogleピチャイCEOの「プライバシーを贅沢品として提供」に反論 - Engadget 日本版

Googleのスンダー・ピチャイCEOはThe New York Timesへの寄稿にて、「私たちにとって、プライバシーはプレミアム製品とサービスを買う余裕がある人々にだけ提供される贅沢品ではないことを意味します」と主張。特定の社名を挙げてこそいませんが、これがGoogleやFacebookといった利用者のデータを収集している企業のサー...

はてなブックマーク - Appleのクレイグ・フェデリギ氏、GoogleピチャイCEOの「プライバシーを贅沢品として提供」に反論 - Engadget 日本版 はてなブックマークに追加

はてなブックマークのすべてのページで HTTPS が使われるようになりました – はてなブックマーク開発ブログ

はてなブックマークのすべてのページで HTTPS が使われるようになりました - はてなブックマーク開発ブログ

はてなブックマークのすべてのページで HTTPS が使われるようになりました - はてなブックマーク開発ブログ

本日、2019年5月28日から、はてなブックマークのすべてのページの通信に HTTPS が使われるようになりましたのでお知らせいたします。 これは「常時SSL化 (AOSSL: Always On SSL) 」と呼ばれるもので、SSL接続による通信の暗号化を、明確に秘匿すべき情報があるログインページや決済関係のページだけでなく、サイト全体に...

はてなブックマーク - はてなブックマークのすべてのページで HTTPS が使われるようになりました - はてなブックマーク開発ブログ はてなブックマークに追加