Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える | スラド IT
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出するという事件が発生したが、この犯人を自称する人物がTwitter上で犯行の理由について語っている(Togetterまとめ)。 犯人は窃取したアクセストークンを使い、「ツイート数カウントくん」との連携設定を行っていたユーザーのアカウントを操作し、特定のユーザーをブロックしたり、フォローさせるといった操作を行っていた模様。ブロックされたユーザーが「一晩で大量にブロックされた」ことをTwitterで報告したことから流出が明るみになったようだ。いっぽう犯人はTwitter上で『単純に「私はこんな人をブロックしているよ!」みたいな感じで画像をあげていたのが気に喰わない』としてブロック行為を行ったと発言している。
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
Chaos Computer Club、iPhone 5sの指紋認証を突破 | スラド アップル
ヨーロッパ最大のハッカーグループで、ドイツ・ハンブルグに拠点を置くChaos Computer Club(CCC)は、同グループの生体認証ハッキングチームがiPhone 5sの指紋認証「TouchID」を突破することに成功したと発表した(CCCのニュース記事、 Parity Newsの記事、 本家/.)。 方法としては、CCCのStarbug氏が9年前に解説している手順そのままだ。ただし、Starbug氏によると、iPhone 5sの場合は解像度を高くする必要があるとのこと。まず、コップなどに付着したターゲットの指紋を2,400dpiで撮影。画像を反転したら、トナー濃度を高くしたレーザープリンターでOHPシートに1,200dpiで出力する。あとは木工用ボンドやラテックスを印刷部分に塗りつけ、乾いてから剥がして指紋を写し取れば完成だ。これをセンサーに押し当てることでロック解除が可能となる。
ロシア、機密保持のため電子タイプライターを導入 | スラド セキュリティ
ロシア連邦警護庁(FSO)が、電子タイプライター20台の購入を決めた。元米中央情報局職員が暴露した情報監視問題を受けて、PCで作成した極秘文書を第三者に読み取られるリスクを回避するための措置だそうである(時事通信の記事)。 電子タイプライターは現在でも、ロシア国防省などで極秘文書作成に使われている.そして元ロシア連邦保安局長官のコワレフ下院議員は「セキュリティの観点からいうと、電子的なコミュニケーションには脆弱性がある」「秘密保持のためには、手書きやタイプライターのような原始的な方法が好ましい」などと述べている(Telegraphの記事)。 /.Jer諸氏には,ハイテクな問題へのローテクな対処法や、「一方ロシアは……」をネタにして盛り上がっていただければ幸いである. 時事通信の記事では「ワープロ」となっているが、電子タイプライターはワープロとは異なるもので、ディスプレイは搭載されておらず、
Internet Explorer 6~9に修正予定がない脆弱性 | スラド セキュリティ
あるAnonymous Cowardのタレコミより。6月7日、IE 6~9に「細工されたXML ファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする可能性がある」という脆弱性が発見された(JVN#63901692)。Microsoft側は、この問題についてIE 6~9での修正を行う予定はないとのことで、IE 10への移行が推奨されている。 ただし、偏執狂的日記によると、あくまでローカルに細工されたXMLファイルを開いた際の問題であるため、実際にはIEの利用を即刻停止しなければならないような危険な脆弱性ではないとのこと。そのため、ローカルに危険なファイルを保存しなければ問題無いようだ。
キーレスエントリー装備の自動車のドアを解錠する謎の小型装置、米国の監視カメラでその存在が明らかに | スラド セキュリティ
キーレスエントリーを装備した自動車のドアを、手の平に納まる小さな装置を使って楽々と開けてしまう泥棒の様子を、カルフォルニア州ロングビーチの監視カメラが撮影していた。同装置を車の方に向けるだけで、泥棒は遠隔操作でいとも簡単に解錠していた。不審な行動を伴わないため、持ち主が普通にドアを開けているようにしか見えないという(本家/.、Today News記事)。 地元警察によれば、どういった技術が使われているのか一切分かっていないとのこと。同装置はAcura SUVには対応していたがFord SUVやCadillacには対応しておらず、また泥棒が常に助手席側のドアを開けているなど謎な点が幾つかある。警察もセキュリティー専門家もまったくのお手上げ状態であり、警察が一刻も早く同装置を入手してどういった技術が使われているのか調べる必要があるとのこと。
コッポラ監督が泥棒の被害、「バックアップは返してほしい」 | スラド
本家/.の記事より。『地獄の黙示録』や『ゴッドファーザー』で知られ、現在アルゼンチンに在住のフランシス・フォード・コッポラ監督の自宅が強盗に入られ、コンピュータやカメラ等の家財が奪われた。 奪われたコンピュータのひとつには新作『Tetro』の台本が入っていたが、これはコピーが別のところにあり無事とのこと。しかし、バックアップデバイスまで奪われたため、この15年間に書かれた書き物や家族の写真がすべて無くなってしまったと言う。コッポラ監督は地元メディアの取材に応え、他はともかくバックアップデバイスは返してほしいと訴えたそうだ(BBS Newsの記事)。 バックアップはとっても、バックアップをオリジナルと同じところに保管しているという人は多いと思うが、泥棒はともかく、火事やその他の災害でオリジナルと共にバックアップまで失われるという事態は大いに考えられる。/.Jの諸氏はどうされているだろうか。
ソニーのUSBメモリに「rootkit的」技術 | スラド
ITMediaの記事によると、 フィンランドのセキュリティ企業F-Secureは8月27日、ソニーのUSBメモリのドライバにrootkit的な隠し技術が組み込まれているのを見つけたとして、ブログで概略を公表した。 F-Secureによると、問題があるのは指紋認証機能を組み込んだソニー製USBメモリのソフトドライバ。 2種類のUSBメモリで指紋認証ソフト「MicroVault USM-F」をインストールしたところ、 ドライバが「c:\windows\」以下の通常では見えないフォルダにインストールされ、 Windows APIではこのフォルダが表示されない状態になるそうだ。 フォルダ名を知っていればこの隠しフォルダに新しいファイルを作ることも可能で、しかも一部のウイルス対策ソフトではこのフォルダ内のファイルは検出されないため、理論的にはマルウェアがこの隠しフォルダを利用することが可能だとしてい
携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか? | スラド セキュリティ
米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか? そして、そのセキュリティをどれだけ気にしているだろうか? 6/24の高木浩光氏の日記「ケータイWebはそろそろ危険」では、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘がなされている。サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、ユーザを保護する仕組みは旧来の前提を頑なに固持したまま実装されている、という事が解る。一方で、海外のケータイはどうかというと、ITmediaの7月2日の記事などが一つの参考になるだろう。 また、高木氏の6/29の日記「EZwebサイトでSession Fixatio
Wiiの旧版Operaに脆弱性、悪用の可能性あり? | スラド
4月21日のITmediaの記事 Wiiのネット機能悪用の動き、Opera旧版の脆弱性に起因 によると、任天堂のWiiで使うことの出来るインターネットブラウザ"Opera"の脆弱性を悪用しようとする動きがあったとセキュリティ企業のMcAfeeが伝えている。 この問題は、インターネットチャンネル試験版のOperaにおいて細工を施されたjpg画像を掲載したWebページを閲覧するとOperaがクラッシュし、 理論上は悪質なコードの実行が可能になるものであった。 実際にクラッカーによって悪質なコードの実行を試みる動きもあったとの事。 最新版のOperaを使用することで悪用の危険は薄れる見通しだそうだ。 しかしゲーム機でブラウザの脆弱性を気にする時代が来るとは…
MS幹部が「Windows Vistaは脆弱性対応で群を抜く」と主張 | スラド
ITmediaに脆弱性対応で群を抜くWindows Vistaという記事が掲載されている。 Microsoftのセキュリティ技術部門戦略ディレクターであるジェフ・ジョーンズ氏が書いたレポートについての記事なのだが、Windows XP、Red Hat(RHEL4WS)、Ubuntu 6.06、Novell SLED10、Mac OS X 10.4と Windows Vistaとのリリース後最初の90日間の脆弱性発見・対応状況を調べたもの。Windows XPはリリースから90日の時点で修正された脆弱性が14件、未修正は4件、RHEL4WSは181件が修正され、未修正は85件、Mac OS X 10.4は修正20件、未修正17件とのことだが、 Windows Vistaは最初の90日で発見された脆弱性が5件で、そのうち4件が未修正。 この結果から「競合するOSに比べるとはるかに優れていること
はてなのサーバーに不正侵入 | スラド
INTERNET Watchの記事によると、株式会社はてなのサービスを提供する2台のサーバに9日から不正な侵入が行なわれ、サーバ上にFTPスキャナやIRCボットを設置されるなどの被害が発生したとのこと。はてな側は14日未明までに侵入の事実を把握、ただちに不正なアクセスを遮断した。データベースサーバなどへのアクセスの形跡などは確認されておらず、ユーザー情報の流出やサービスのデータ改竄が行われた可能性は低いとしている。 はてなによると、今回の攻撃ははてなサーバ群の入り口にあたるサーバのうち2台に対しブルートフォースアタックをかけるというもの。侵入されたサーバはパスワードによる認証が可能となっており、他のサーバよりも侵入を受けやすい状態となっていた。これは、はてなが社内で定めていたセキュリティポリシーに違反した状態であり、改めてセキュリティ対策の見直しと業務の改善を行うとしている。
Xbox 360に権限昇格の脆弱性 | スラド
BugTraqにXbox 360の権限昇格脆弱性が報告されている。カーネル4532および4548の sc (システムコール) のパラメータ・チェックに漏れがあったというもの。これを利用して不正なデータをメモリー領域に書き込むことで権限昇格すれば、認証を受けていない任意のコードをハイパーバイザー・モードで動かせてしまう。Microsoftはこの報告を受けて、問題を修正したカーネル4552を2007年1月9日にリリース済みだ。また、4532未満はこの影響を受けない。 Engadget Japaneseの記事では、絶好のハック機会が失われたことを面白く伝えている。タレコミ子は4532でエンバグした過程、つまり64ビットのパラメーターの下位32ビットしかチェックしていなかったことに興味がある。
JavaランタイムにGIFファイルにより攻略可能な脆弱性 | スラド
Secunia アドバイザリによると、SUN Java ランタイムにリモートからシステムにアクセスできる脆弱性(SUN による発表)が報告されています。幅0ピクセルの攻略GIFファイルでヒープオーバフローを起こし、任意のコードが実行できるそうな。とはいえZERO DAY INITIATIVEによると、鴨となるユーザーが、攻略ファイルをしかけた悪意あるサイトを訪問する必要があるようです。脆弱性の緊急度は 5 段階の 4 (Highly critical)で、すでに Java 1.3/1.4/5.0 で対策バージョン(1.3.1_19/1.4.2_13/5.0 update 10)が提供されています。
北海道警の捜査情報Winny流出事件の国家賠償請求訴訟で最高裁が上告を棄却 | スラド
Anonymous Coward曰く、"一昨年のストーリー「北海道警によるWinny経由の個人情報流出で賠償請求訴訟」で話題になったこの事件は、一審で40万円の慰謝料を認める判決が出たものの、高裁で逆転敗訴(「Winnyによる道警の捜査情報流出、損害賠償訴訟で原告敗訴」)となり、原告が上告していましたが、北海道新聞の19日の記事によると、最高裁第一小法廷(甲斐中辰夫裁判長)は19日、原告の上告を棄却する決定をしたとのこと。 高裁判決では「当時、このウイルスの情報は広く知られておらず、道警に流出の予見可能性はなかった」というのが理由だったようですが、その後に起きた、岡山県警の流出や愛媛県警の流出の被害者の方々なら賠償請求すれば勝てるのではないでしょうか。ケジメを付けておかないと今後に禍根を残すと思います。"
スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、高周波を使って認証を行う技術を持つ企業を買収 | スラド IT
ソフトバンクの「Wi-Fiスポット設定用ソフトウェア」に脆弱性 | スラド IT
「生きている指」のみで認証できる指紋認証システム | スラド セキュリティ
Googleが無断リダイレクトに警告 | スラド IT