海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事、 TorrentFreakの記事、 HackRead の記事、 Ars Technica の記事)。

Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージ…

もっと読む »

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookie…

もっと読む »

Googleは昨年から一部のユーザーを対象に、ChromeのOminibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目…

もっと読む »

今回はTrusted Typesに対する個人の見解を書いてみます。 Trusted Typesはブラウザが文字列を文字列以外の型として扱うSinkに対して、開発者に型の変換を強制するセキュリティ機能です。Trusted TypesによりDOM-based XSSを原理的に減らし、DOM-based XSSに対するセキュリティレビューを簡潔にすることが出来ます。 安全…

もっと読む »

by Paul Downey 「バトルフィールド」シリーズや「FIFA」シリーズ、「The Sims」シリーズ、「Apex Legend」などのパブリッシャーとして知られるElectronic Arts(EA)がハッキングされ、大量のソースコードと内部ツールが盗み出されました。このハッカーはダークウェブ上で盗み出したデータを販売しています。 Hackers Ste…

もっと読む »

by jlhervàs 2021年6月4日、アメリカの企業に対して行われたランサムウェア攻撃で国内に被害が出たことを受け、アメリカの司法省が「ランサムウェア攻撃の対応の優先度をテロと同等にまで引き上げている」と述べたと報じられました。 Exclusive: U.S. to give ransomware hacks similar priority as terrorism | Reuters…

もっと読む »

ランサムウェアは絶えず進化し続けています。これは大企業を狙うランサムウェアファミリや、標的型のアプローチを採用するランサムウェアファミリだけではなく、新種のランサムウェアファミリにも言えることです。 今回は、新たに発見さ…

The post 新種ランサムウェア解説:Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker first appeared on トレンドマイクロ セキュリティブログ.

もっと読む »

headless 曰く、Microsoftの多要素認証アプリ「Microsoft Authenticator」の名前とアイコンを使用した偽のChrome拡張機能がChromeウェブストアで公開され、少なくとも1か月近く公開され続けていたそうだ(Ghacksの記事、 The Registerの記事、 Windows Centralの記事、 Neowinの記事)。

この拡張機能は開発者名がMicrosoftではなく「Extension」となっており、多要素認証機能は搭載されていないという。Ghacks…

もっと読む »

headless 曰く、カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事、 Ghacksの記事、 HackReadの記事、 デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

すべて読む | YROセクション | Chrome | Firefox | セキュリティ | Safari | インターネット | Chromium | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
全WiFiデバイスに影響する脆弱性「FragAttack」が公開される 2021年05月15日
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
小規模ウェブサイトの約1割はノーガード戦法 2021年04月12日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日

もっと読む »

Like any web browser, Firefox loads code from untrusted and potentially hostile websites and runs it on your computer. To protect you against new types of attacks from malicious sites and to meet the security principles of Mozilla, we set out to redesign Firefox on desktop. Site Isolation builds …

もっと読む »

ランサムウェア攻撃を受けて操業を停止していたアメリカ最大の石油パイプライン企業・Colonial Pipelineが、身代金として500万ドル(約5億4800万円)以上を支払ったことがわかりました。 Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom – Bloomberg https://www.bloomberg.com/news/articles/2021-05-13/col…

もっと読む »

2021年4月21日に発売されたAppleの落とし物トラッカー「AirTag」が、セキュリティ研究者によりさっそくハッキングされました。 Security researcher hacks AirTag; modifies NFC URL for Lost Mode https://the8-bit.com/airtags-hacked-for-first-time/ AirTag hacked for the first time by security researcher [Vide…

もっと読む »

Microsoft Edge Canaryの最新版で、HTTPでのナビゲーション時に自動でHTTPSへ切り替える「自動HTTPS」オプションが使用できるようになっている(Ghacksの記事)。

このオプションを使用するには、「試験段階の機能 (edge://flags/)」「Automatic HTTPS」を「Enabled」に設定する。Microsoft Edgeを再起動すると設定画面の「プライバシー、検索、サービス」に「自動HTTPSを使用してセキュリティで保護された接続に自動的に切り替える」…

もっと読む »

英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、…

もっと読む »

4月29日にリリースされたVivaldi 3.8では、cookieの合意要求(ダイアログボックスやバナー)を非表示化する「Cookie Crumbler」が利用可能になっている(Vivaldiのブログ記事、 The Vergeの記事、 Ghacksの維持、 SlashGearの記事)。 Cookie Crumblerを使用するには、Vivaldi設定画面の「プライバシー→トラッカー・広告ブロ…

もっと読む »

headless 曰く、Mozillaは19日、Firefox 88.0をリリースした(リリースノート、 Mozilla Hacksの記事)。

本バージョンではFTPサポートがデフォルト無効になっている。現在のところ高度な設定(about:config)で「network.ftp.enabled」を「true」に変更すればFTPサポートが有効になるが、Firefox 90ではFTP実装が削除される。FTP無効化に伴い、Web拡張機能が自身をFTPのプロトコルハンドラーとして登録することが可能になっ…

もっと読む »

北朝鮮は、ランサムウェアやマルウェアを利用して各国にサイバー攻撃を仕掛けていることが明らかになっています。そんな北朝鮮のサイバー攻撃に関する歴史や現状について、ジャーナリストのエド・シーザー氏が解説しています。 The Incredible Rise of North Korea’s Hacking Army | The New Yorker https://www.newyork…

もっと読む »

English version is available here: https://blog.ryotak.me/post/homebrew-security-incident-en/ (公式インシデント報告はこちらから読むことができます: https://brew.sh/2021/04/21/security-incident-disclosure/) はじめにHomebrewプロジェクトはHackerOne上で脆弱性開示制度(Vulnerability Disclosure Program)…

もっと読む »

Transcript OWASP SENDAI #47 (OWASP NAGOYA/FUKUOKA/OKINAWA リレー) 匿名認証で守る セキュリティ akakou ( 間滉星) akakou ( 間滉星) 義 ⼤ 情 2 年⽣ 情 処理 保 援⼠ (未 ) SecHack365 2 期⽣ Hack U ( ⽣向けハッカソン) 3 回 優 賞受賞 Hack Day (⽇ ⼤ ハッカソン) 2 回 受賞 グループ署 式のアルゴリ…

もっと読む »

経緯 字下げ.icon2021年3月23日12時半頃、いつも使っていたアカウント@yanmaが急に知らないものになっていることに気付いた。下記はgoogle cacheからのため若干表示が崩れているが、乗っ取られる前のスクリーンショットである。日頃からなんでもないtweetしかしていないのだが、10年以上使っている愛着のあるアカウント…

もっと読む »