街で拾ったUSBメモリを使う人は少なくない | スラド セキュリティ
公共の場所に放置されたUSBメモリを拾い、さらにそれに不用意にアクセスしてしまう人が多いことが、米国で行われた実験により明らかにされた(ITmedia)。 この実験はシカゴ、クリーブランド、サンフランシスコ、首都ワシントンの4都市で行われたもの。人通りの多い公共の場所にUSBメモリ200個を放置したところ、放置されたUSBメモリの5個に1個が拾われ、さらにそれがPCなどに接続されたという。さらに含まれていたテキストファイルやリンク、電子メールアドレスへのアクセスも行われていたそうだ。 なお、1200人の会社員に対し行ったアンケート調査では、1980年代~2000年代初頭に生まれた「ミレニアル世代」では44%、1961年から1981年までに生まれた「ジェネレーションX世代」では22%、1946年~1959年までに生まれた「ベビーブーマー世代」は9%が公共の場で見付けたUSBメモリを拾ってしま
国勢調査オンラインのフィッシングサイトが登場 | スラド セキュリティ
今年行われている国勢調査ではPCやスマートフォンなどでの回答が可能になっているが、その国勢調査オンライン回答サイトのフィッシングサイトが発見された。偽サイトのアドレスは http://www.e-kokusei-go.jp/ で、本物のサイト(http://www.e-kokusei.go.jp/)のドメインと見分けがつきにくい。 偽サイトのトップページは1つの画像で構成され、クリックすると「このサイトは偽サイトです。気をつけてください。正しいサイトは下記です。http://www.e-kokusei.go.jp/」というページが表示される。ドメインの登録社名は株式会社のらねこ、となっている。 これから回答される方は、調査員から受け取った書類で十分にドメインを確認してアクセスされたい。 なお、すでに上記のサイトは削除されており、アクセスすると「関係者の皆様をはじめ、多くの皆様に多大なご迷惑
SNSに自撮り写真をアップしたISIL兵、空爆され物理的に炎上 | スラド セキュリティ
イラク・シリアで活動を続ける武装組織ISIL(イスラム国)はインターネット上でも活発な活動を行っていることで知られているが、一部の兵士が司令部の前で撮った写真をSNS上にアップしてしまい、それを目にした米軍により速やかに空爆されるという珍事が発生していたそうである(Newsweek日本版、CNN.co.jp、Slashdot、AirForceTimes)。 これは米空軍のHawk Carlisle司令官が6月1日の空軍の会合で語ったもの。報道によると、SNSの投稿をチェックしていた軍はある日ISILの司令部とみられる建物をバックに立っている間抜けな兵士の写真を発見。彼らはほかにもSNS上で司令官やISILについて自慢げに吹聴しており、一連の情報により司令部の所在が特定されてしまったという。これを受けて、軍は投稿からわずか22時間後に3発のJDAM(誘導爆弾)を投下、建物全体を吹き飛ばしたと
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
Androidのroot権限はもう要らない? | スラド セキュリティ
Android 4.3ではユーザーの権限に対するより強力な制限機構が追加されているそうで、root権限でのプログラム実行や、プロセスが実行できる操作がより強く制限されているそうだ。これを受け、Androidのカスタムファームウェア「CyanogenMod」の開発者Steve Kondik氏が、「root権限の死」というエントリをGoogle+で公開した。 このような制限下では、root権限を取得したとしても実行できる処理は限られるという。さらに、バックアップやリストアツール、ファイアウォール/DNS解決者管理、カーネル・チューニングといった必要とされる多くの機能はroot権限なしでも実現できるそうだ。このためリスクの大きなrootの開示は必要ないのではないかと氏は考えているようだ。そのため、今後はAPIや拡張機能を提供することによって必要な機能を追加していくほうがよいのではと考えているとい
ロシア、機密保持のため電子タイプライターを導入 | スラド セキュリティ
ロシア連邦警護庁(FSO)が、電子タイプライター20台の購入を決めた。元米中央情報局職員が暴露した情報監視問題を受けて、PCで作成した極秘文書を第三者に読み取られるリスクを回避するための措置だそうである(時事通信の記事)。 電子タイプライターは現在でも、ロシア国防省などで極秘文書作成に使われている.そして元ロシア連邦保安局長官のコワレフ下院議員は「セキュリティの観点からいうと、電子的なコミュニケーションには脆弱性がある」「秘密保持のためには、手書きやタイプライターのような原始的な方法が好ましい」などと述べている(Telegraphの記事)。 /.Jer諸氏には,ハイテクな問題へのローテクな対処法や、「一方ロシアは……」をネタにして盛り上がっていただければ幸いである. 時事通信の記事では「ワープロ」となっているが、電子タイプライターはワープロとは異なるもので、ディスプレイは搭載されておらず、
Internet Explorer 6~9に修正予定がない脆弱性 | スラド セキュリティ
あるAnonymous Cowardのタレコミより。6月7日、IE 6~9に「細工されたXML ファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする可能性がある」という脆弱性が発見された(JVN#63901692)。Microsoft側は、この問題についてIE 6~9での修正を行う予定はないとのことで、IE 10への移行が推奨されている。 ただし、偏執狂的日記によると、あくまでローカルに細工されたXMLファイルを開いた際の問題であるため、実際にはIEの利用を即刻停止しなければならないような危険な脆弱性ではないとのこと。そのため、ローカルに危険なファイルを保存しなければ問題無いようだ。
キーレスエントリー装備の自動車のドアを解錠する謎の小型装置、米国の監視カメラでその存在が明らかに | スラド セキュリティ
キーレスエントリーを装備した自動車のドアを、手の平に納まる小さな装置を使って楽々と開けてしまう泥棒の様子を、カルフォルニア州ロングビーチの監視カメラが撮影していた。同装置を車の方に向けるだけで、泥棒は遠隔操作でいとも簡単に解錠していた。不審な行動を伴わないため、持ち主が普通にドアを開けているようにしか見えないという(本家/.、Today News記事)。 地元警察によれば、どういった技術が使われているのか一切分かっていないとのこと。同装置はAcura SUVには対応していたがFord SUVやCadillacには対応しておらず、また泥棒が常に助手席側のドアを開けているなど謎な点が幾つかある。警察もセキュリティー専門家もまったくのお手上げ状態であり、警察が一刻も早く同装置を入手してどういった技術が使われているのか調べる必要があるとのこと。
米空港保安検査、泣いて嫌がる 4 歳の少女にパットダウン | スラド セキュリティ
米カンザス州のウィチタ・ミッド・コンティエント空港の保安検査場で今月 14 日、パットダウン (全身くまなく触れられるボディチェック) を受けるよう指示された 4 歳の少女、Isabella Brademeyer ちゃんが泣いて嫌がった騒動が物議をかもしているとのこと (本家 /. 記事、The Associated Press の記事より) 。 最初、少女は通常の検査を問題なく通過していた。だがパットダウンによる再検査を指示され列に並んでいた祖母の Lori Croft 氏に駆け寄ってしまったため、少女も同様にパットダウン検査を受けることになってしまったのだそうだ。最も問題視されているのは、同検査場にいた TSA 職員の態度である。パットダウンを嫌がって逃げ出した少女の保護者に「子供を捕まえないと空港を閉鎖することになる」と大声を出したとのこと。騒動の一連を Facebook に投稿した
携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか? | スラド セキュリティ
米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか? そして、そのセキュリティをどれだけ気にしているだろうか? 6/24の高木浩光氏の日記「ケータイWebはそろそろ危険」では、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘がなされている。サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、ユーザを保護する仕組みは旧来の前提を頑なに固持したまま実装されている、という事が解る。一方で、海外のケータイはどうかというと、ITmediaの7月2日の記事などが一つの参考になるだろう。 また、高木氏の6/29の日記「EZwebサイトでSession Fixatio
スラッシュドット ジャパン | 会社が個人PCを調査することに同意しますか?
情報漏洩問題を受けて、勤め先の会社が、個人が所有しているパソコンを第三者の立会いで調査することになりました。詳細は伏せますが、大体の経緯は次の通りです。 情報漏洩が発生(ニュースにもなりました)。原因は、業務ファイルを持ち帰ってウィルス感染した自宅PC上で仕事したため。流出させた方は懲戒免職。第二の情報漏洩を起こさないため、社員の自宅PCを第三者の立会いで調査するとの指示。調査内容は、業務ファイルが無いことと、会社で禁止しているソフトが使われていないかを確認するとのことでした。 会社からはたしかに個人PCで業務を行わないよう指示を受けていましたが、同意もなしに私物を調査されるのは納得できません。 皆さんは会社が行う個人PCの調査についてどのように思われますか?
個人のブログが google.com サブドメイン名で公開される不具合 | スラド セキュリティ
Google Blogoscoped のブログによると、 Google のミスにより、google.com のサブドメインで個人のブログがホストされてしまうという 珍事件が起きました。 問題は Google のブログサービス Blogger で始まった Blogger Custom Domains にあったようです。このサービスは CNAME を使って、 個人で取得したドメインの元で Blogger で作ったブログを使えるというものです。 今回この個人ブログの公開者が、本来自分のドメインを入力する欄に ghs.google.com と書いたところ、Google 側でチェックを何もしていなかったらしく、 そのまま ghs.google.com でその個人ブログが公開されてしまったようです。 google.com のクッキーがすべて取得できてしまうため、セキュリティ的にはかなり危なかった可能性
スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ペニスによる生体認証」を導入したアダルトチャットサービス | スラド セキュリティ
「生きている指」のみで認証できる指紋認証システム | スラド セキュリティ