iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
2021年、ウクライナ侵攻直前のロシアから安価な密造酒で人々が死んだというニュースが度々伝わってきた。同年8月以降、安価な密造ウォッカが広まり、正規のお酒を買うお金のない人たちが飲んでいたが、メタノールが混入した有害なものも多く少なくとも70人以上が死亡したという。 幸い日本では、このようなことが起きる心配は少ない。日本ではお酒の取り扱いは国税庁が厳しく一元管理している。梅酒作りなどのわずかな例外を除けば、原則、酒税法に則ってきちんと審査されたお酒しか売買できない。最近、ブームのクラフトビールやクラフトジンなども、実は裏でちゃんとこれらの手続きを取っている。 節度のない自由が招く混乱 薬に関しても同様で、薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)で厳しく管理している。このコロナ禍で、塩野義製薬が開発した新型コロナウイルス用の飲み薬のために、通常手続きを省き短時
iOS 16の対象外となったiPhone 6s/7/SE(第1世代)、どのiPhoneに乗り換えるべき? iOS 16の対応機種は「iPhone 8」「iPhone SE(第2世代)」以降。iOS 15までは対応していた「iPhone 6s/6s Plus」「iPhone 7」「iPhone SE(第1世代)」が非対応になりました。セキュリティアップデートが提供されないという点を考えても、乗り換えは検討しておきたいところです。 6月に開催されたAppleの年次開発者会議WWDC 2022において、次期iOS 16が発表されました。これに合わせて、サポート対応機種も明らかになりました。 iOS 16の対応機種は「iPhone 8」「iPhone SE(第2世代)」以降となり、iOS 15までは対応していた「iPhone 6s/6s Plus」「iPhone 7」「iPhone SE(第1世代
■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している(今月10日23時59分まで)。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた(はてブの反応、スラドの反応)。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題
Appleは自社の製品セキュリティについて割と詳細に解説したホワイトペーパーを公開している。何故か日本語版もある。 (PDF版) https://manuals.info.apple.com/MANUALS/1000/MA1902/ja_JP/apple-platform-security-guide-j.pdf EDIT: 日本語版は無くなったようだ (PDF版) https://help.apple.com/pdf/security/ja_JP/apple-platform-security-guide-j.pdf EDIT: 新しいURLで公開された (PDF版) https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf このドキュメントは言わば ユーザのプライバシで商売をすることの決意表明
Adrian Kingsley-Hughes (Special to ZDNET.com) 翻訳校正: 湯本牧子 高森郁哉 (ガリレオ)2021年06月21日 11時02分 「iPhone」を特定の名称のWi-Fiホットスポットに接続させると、Wi-Fi機能が無効になり、再起動しても直らない問題が生じている。 After joining my personal WiFi with the SSID “%p%s%s%s%s%n”, my iPhone permanently disabled it’s WiFi functionality. Neither rebooting nor changing SSID fixes it :~) pic.twitter.com/2eue90JFu3 — Carl Schou (@vm_call) June 18, 2021 このバグは、「リバースエン
カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル
Office 365やAzureの管理者アカウントで多要素認証(MFA)が利用できますが、多要素の1つとしてMicrosoft Authenticatorアプリが利用できます。 Microsoft AuthenticatorアプリをiOSやAndroid上で構成すると単にMFA用のコードを表示するだけではなく、対応していればPush通知で知らせてくれるのでいちいちコードを入力しなくても承認/却下するだけですごくお手軽です。 さてそんな風に便利にAuthenticatorを使ってたのはいいですが機種変更やデバイスが壊れて新しくなったなど不慮の事故の際はどうしたらいいでしょうか。最近のAuthenticatorアプリはバックアップと復元機能が付いているのでそちらを使うといいでしょう。 Microsoft Authenticator アプリを使用してアカウント資格情報をバックアップおよび復旧する
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
A History of system-level offensive security researches: How is your system compromised by nation state hacking, APT attack はじめに 企業や個人に対するサイバー攻撃の頻度は年々増加の一途を辿っているが、これらはskiddyによる悪戯程度の物から、企業を標的とした高度な標的型攻撃、あるいは政府による諜報活動に至るまで多岐にわたっている。 特に大規模な組織や政府による綿密に練られたサイバー攻撃は、確実に目的を果たすために高度な手段が講じられる事が多い。 本記事では高度標的型攻撃や政府による諜報活動で用いられる手法の一つとして、"システムソフトウェアに対する攻撃"について紹介する。 これはオペレーティングシステム (OS) や仮想マシン、ファームウェアといった基盤システムを
日本ではスマートフォンを使ったモバイル決済の認知度は高いものの、利用率は低い状況が続いている。一方中国では、日本とは対照的に、AlipayやWeChat Payが急速に市民権得ている。今回は、日本を含む世界の決済事情について読み解いていく。 MMD研究所が2017年12月に行った調査報告によれば、スマートフォンを使ったモバイル決済の認知度は85%と高いものの、その利用率は7.5%と1割に満たない水準だったという。また同年6月に日本銀行が発表した「モバイル決済の現状と課題(※PDF)」という資料では、日本の電子マネー利用率が年々減少して1割を割っている現状を報告しつつ、ケニアでの携帯電話加入者の約76.8%(2015年6月時点)がモバイル決済を利用しており、さらに中国の都市部での過去3カ月間(2016年5月時点)の都市部でのモバイル決済利用率が98.3%というデータを紹介し、一部で話題となっ
顛末 iOS 10.3 beta でアンインストールすると keychain が削除される問題が発見される これはバグか?という議論がなされる中、 Apple スタッフから 「これは仕様だ」とコメントが入る しかし iOS 10.3 beta7 でアンインストールしても keychain から消えない、元の仕様に戻った iOS 10.3 Public でもアンインストールしても keychain は消えない ← イマココ! 以下 keychain 削除について nextstep.fm by nextstep.fm on iTunes で iOS 10.3 について話されていて、どうやらアプリをアンインストールすると Keychain が削除されるらしい。 これはバグでそうなっている可能性もあるらしく、修正されるかもしれない。 → 仕様とのこと。 → iOS 10.3 beta7 からアンイ
Appleが、Frederic Jacobs氏を雇用した。同氏は、国家安全保障局(NSA)を内部告発したEdward Snowden氏愛用の暗号化チャットアプリ「Signal」の「iPhone」版と「Android」版の開発に貢献した主要な開発者の1人だ。 Jacobs氏は、ベルギー生まれのプライバシー擁護活動家で、暗号技術に詳しいプログラマーだ。同氏は、2016年夏にインターンとしてAppleに加わり、「Core OS」セキュリティチームで働く。Jacobs氏は米国時間2月25日、Appleで働くことを「Twitter」で発表した。 Core OSは、「OS X」と「iOS」を構成するレイヤーで、iOSでは、iPhoneが外部のハードウェアと接続する際、アプリのセキュリティ管理に利用されている。 Jacobs氏はインターンにすぎないが、AppleがiPhoneの暗号化をめぐって米国の国会
アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側から他人の車を操作する実証ビデオも公開している。 セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。 詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、個々の車に割り当てられている車両識別番号(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く