Let's Encrypt、証明書およそ300万件の強制失効処理を取りやめ | スラド セキュリティ
Let's Encryptでは標準に準拠せずに発行した可能性のある証明書およそ300万件を3月5日12時までに失効させる計画を示していたが、最終的に取りやめたそうだ(Let's Encrypt Community Supportの記事[1]、 [2]、 MozillaのBugzilla、 Ars Technicaの記事、 The Registerの記事)。 この問題はLet's EncryptのCAソフトウェアBoulderがCAAレコードを再チェックするコードのバグが原因で発生した。Let's Encryptではドメイン所有者確認を30日間有効としているが、CAAレコードは証明書発行の8時間以内のチェックが必要だ。そのため、ドメイン所有者確認から8時間以上経過した証明書発行申請に対してはCAAレコードの再チェックが行われることになる。しかし、申請にN個のドメインが含まれていた場合、Bou
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される | スラド セキュリティ
RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713、 The Registerの記事、 CVE-2019-15224)。 不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。 不正アクセスを受けたメインテナーのHacker Newsへの投稿に
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? | スラド セキュリティ
半田ごてメーカーの白光が運営するECサイトで不正アクセスが発生し、利用者の情報が漏洩とのこと。企業トップページには何にも書いていないが、ECサイトは閉鎖されて説明文が出ている。 この内容からすると、パスワードも平文で、しかも見えるところに置いていた?とも思えるが、第三者の不正アクセスが原因と、なんとも意味がわからない。未だに平文保存(少なくともハッシュ値ではない)されていたり、見える場所に置いていたりとお粗末さに驚く限りだが、諸兄の見たお粗末な事例はどんなものであろうか。 流出した可能性のあるユーザー情報は9,793名で、流出の可能性がある情報は氏名/住所/電話番号/生年月日/企業名/メールアドレス/ユーザーID/パスワードとのこと。利用者からWebサーバー上に個人情報の含まれたファイルが設置されているとの指摘があり発覚したという。
Kaspersky、同社のセキュリティソフトが米当局のハッキングツール情報を収集していたことを認める | スラド セキュリティ
先日、Kaspersky Labのセキュリティソフトによって米国家安全保障局(NSA)の機密情報が盗まれたという報道があったが(過去記事)、Kasperskyがこれを否定する内容の内部調査報告を発表した(ZDNet、CNET Japan、Reuters、Slashdot)。 問題となっているのは、NSA職員の個人用PCにインストールされていたKaspersky LabのセキュリティソフトがNSAが使用するハッキングツールをマルウェアと判断し、そのハッキングツールの情報をKasperskyに送信していたというもの。ここで送信された情報がKaspersky経由でロシア政府のハッカーに渡った疑いがもたれている。 Kaspersky Labの発表などによると、一連の問題はNSA職員が個人のPCにMicrosoft Officeのアクティベーションキーを不正に作成するツールをダウンロードしたことが発
Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 | スラド セキュリティ
AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイート、 Ars Technicaの記事、 The Registerの記事)。 PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。 なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開
.NET Framework 1.1のサポート期間が終了 | スラド セキュリティ
Visual Studioサポートチームblogにあるように、10月8日をもって統合開発環境の「Visual Studio .NET 2003」ならびに「.NET Framework 1.1」の延長サポート期間が終了した(同blogの記事)。 サポート終了は以前より公開されていたMSのサポートライフサイクルに基づくもの。これにより同製品のサポートと、セキュリティ更新プログラムサポートが終了する。 .NET Framework 1.1はWindows 7/8では既にサポートされていないものの、本格的に普及した最初の.NET Frameworkということで、今なお現役というところも残っていると思われる。しかし、2.0以降と比べると差異が大きく開発者泣かせであるため、これを機に移行が進むことを期待したい。
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
「1行のJavaScriptコードを追加するだけで二要素認証を実現」というサービス、別の意味で注目される | スラド セキュリティ
「実践クラウド」なる企業が、「日本初となるJavascriptコードを一行貼るだけで電話認証の仕組みが導入出来る」というサービス「JISSENスマートオース」を発表したのだが、実装の微妙さとWebサイトにある文言で別の意味で注目を集めている。 二要素認証はGoogleなどが採用している認証方式で、Webブラウザ上でのログイン時に、携帯電話にSMSなどを送信することで認証を行うもの。仕組み上携帯電話番号の登録が必要なのだが、スマートオースのWebサイトには当初「取得した電話番号を使ってSMS等によるCRM戦略も展開可能になります」との文言があり、これは個人情報の目的外使用に相当するという指摘が寄せられた模様。そのためWebサイトは早々に修正され、お詫びと訂正が掲載されている。 これ以外にもツッコミどころは多く、クライアント側で動作するJavaScriptで認証を行うということでクライアント側
ANAマイレージクラブでも不正アクセスによりマイルが盗まれる被害が発生 | スラド セキュリティ
全日空(ANA)の「ANAマイレージクラブ」で不正アクセスが発生、マイルが盗まれる被害が発生した模様(朝日新聞、日経ITpro、ANAの発表)。 同様の事件として、日本航空(JAL)が運営する会員サービスである「JALマイレージバンク」のWebサイトに不正アクセスが発生し、顧客のマイルが盗まれる被害が発生していたが、その問題点として、ログインには数字7桁もしくは9桁の「マイレージ番号」を使用し、またパスワードは数字6桁でアルファベットなどを含めることができないという、同サイトの仕様が挙げられていた(過去記事)。 ANAマイレージクラブもJALマイレージバンクと同様、数字10桁の会員番号と数字4桁のパスワードを使用しており、数字4桁のパスワードの危険性はかねてから指摘されていた(JALマイレージWebサイトへの不正アクセスに関する高木浩光先生のつぶやき)。
Adobeから漏洩した3000万以上のアカウント情報からのパスワード解析方法 | スラド セキュリティ
先日、Adobeが同社サービスなどで利用しているAdobe IDに関連する情報が大規模に流出する事件があった。流出した情報はアカウントIDや暗号化されたパスワードなどだが、この暗号化されたパスワードから実際のパスワードを解析する手法について、徳丸浩氏が解説している。 詳しくは元記事を参照してほしいが、Adobeが使用していた暗号化方式は「平文パスワードが同じであれば暗号化パスワードも同じになる」というものであったため、たとえば同じ暗号化パスワードが多く存在していたら、そのパスワードは「password」や「123456」といった多く使われているパスワードの可能性が高い、といった推測と簡単な攻撃で平文パスワードを取得できる可能性が高かった模様。さらに、「パスワードのヒント」については平文で保存されていた、という問題もあったという。
脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定 | スラド セキュリティ
バグの発見者に対する報奨金プログラムを導入する企業が増えており、高額な報奨金が支払われることもあるが、米Yahoo!のXSS脆弱性1件に対する報奨金額は12.5ドルだったという(High-Tech Bridgeの記事、 本家/.)。 スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は既に報告されたものだとして報奨金の対象にならなかったが、さらに調査をして3件のXSS脆弱性を報告したという。発見したXSS脆弱性は、いずれもYahooにログインしたユーザーに細工したリンクをクリックさせることで@yahoo.comのメールアカウントを乗っ取れるといったもの。しかし、返信があったのは2件分のみで、感謝の言葉とともに25ドルの報奨金額が提示されたという。しかも報奨金は現金ではなく、Ya
i モードブラウザ 2.0 のアップデートにより閲覧できないサイトが発生 | スラド セキュリティ
ストーリー by reo 2009年11月10日 11時30分 隠してることと知らないことは、外からは見分けがつかない 部門より 鈴の音情報局 blog の記事で話題にあがっているが、2009 年夏の i モードブラウザ 2.0 搭載機種に、10 月 27 日以降に開始された JavaScript の再有効化アップデートを当てた端末は、i モードブラウザ・フルブラウザ共に、80 番ポート (http) 以外のウェルノウンポート (ポート番号 0 ~ 1023) への接続ができなくなっているようだ (= ポート 80, 1024 ~ 65535 にはアクセスできる) 。 事前の告知もなく、i モードブラウザ 2.0 の仕様にも記述がないことからユーザーの一部で混乱が起きている。ドコモに問い合わせをしたが、何番ポートはアクセスできなくなったかなどについては教えられないという回答をされたという声
英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺 | スラド セキュリティ
英国を拠点とするISP、VAservのバーチャルサーバインフラがzero-day攻撃を受け、10万ものウェブサイトのデータが削除されたそうだ(本家/.、The Register、Computerworldより)。 VAservの顧客の半数程は、同社が提供していたバックアップ無しの安価なプランに申し込んでいたとのこと。同社は安価なホスティングサービスに人気というHyperVMというバーチャライゼーションソリューションを導入していたが、今回の攻撃はこのHyperVMの脆弱性を突いたものであった。ハッカーらはデータを削除しただけでなく顧客のクレジットカードデータやその他のサーバ上の情報を入手した可能性が高いという。 この事件はその後更なる展開をみせ、HyperVMを開発・販売していたインドのLxLabs社の社長、KT Ligesh氏が8日、バンガロールの自宅で死んでいるのが見つかったとのこと。自
MITMアタックを完全に防止可能な「蒸発鍵」方式を実用化? | スラド セキュリティ
三重県四日市市のベンチャー企業、エヌクリプトが、OATHに準拠したワンタイムパスワード技術を応用し、 暗号通信ラインの双方向常時認証を実現する「Dynamic OATH認証システム」を開発したそうだ(日経BPnetの記事)。記事によれば、MITM(Man-In-The-Middle)アタックを完全に防止できる蒸発鍵方式を、世界で初めて実用化した認証システムとして注目を集めている、とのこと。タレコミ子は寡聞にして「蒸発鍵方式」というものを聞いたことがなかったのだが、この会社のページで説明されている瞬在鍵というのが実装のようだ。これを見ると、セッション鍵を大量に更新させ続けるだけにも見えるわけだが、これこそ 画期的な技術なのだろうか? 「超非線形アルゴリズムを用いた暗号発生メカニズム」というあたりも興味深い。
データセンタ内のARP spoofing攻撃で通信改ざんが発生、対策の定石は? | スラド セキュリティ
INTERNET Watchの記事によると、さくらインターネットのレンタルサーバの1台がクラックされ、6月1日1時52分〜6月2日17時23分の期間、ARP spoofing攻撃が発生していたとのことです。これにより、さくらインターネットの「専用サーバ10Mスタンダード」プランの「219.94.145.0〜219.94.145.127」のIPアドレスのサーバの通信経路が変更されてしまい、クラックされたマシンを通して外部と通信する状態になっていたとのこと。セキュリティホールmemoの記事によりますと、さくらでホストされていたethna.jp や jp2.php.net などのウェブサイトで、HTMLにウイルスを埋め込む<iframe>タグが差し込まれていたと報告されており、どうやらクラックされたマシン上で通信の改ざんが行われたようです。 さくらインターネットは、障害情報のページで「6月4日追
GmailのCAPTCHAが破られている | スラド セキュリティ
ストーリー by nabeshin 2008年02月29日 11時59分 hotmailやYahoo同様にGmailもデフォルト拒否のサービスが増えてしまうか 部門より 本家ストーリーより。WebsenseによるとGmailのCAPTCHAが破られ、成功率2割でボットがアカウントを作っているとのこと。Websenseのレポートに詳細が載っているが、それによるとボットネット内の2つのコンピュータを組み合わせて処理が行われている模様。第二のホストの役割は、第一のホストが失敗した場合のバックアップか、もしくは何らかの精度チェックをしている可能性があるとのこと。さらに、ボットはCAPTCHAを解読している間ヘルプを読むふりをしてタイムアウトを防いでいるという。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
秀逸なXSSの練習サイト | スラド セキュリティ