LINE傘下のLINE Credit、担当者が誤って個人情報を含むExcelファイルをオープンチャットに投稿 | スラド セキュリティ
LINE傘下のLINE Creditが、個人向けローンサービス「LINE Pocket Money」申込者の個人情報を含むExcelファイルを、誤ってLINEのチャットサービス「OpenChat」に投稿してしまい、チャット参加者がファイルをダウンロードできる状態になっていたと発表した(LINE Creditの発表)。 誤って投稿されたファイルは2分後に削除されたが、削除までの間、4名がこのファイルをダウンロードしていたという。漏洩したデータは280人分で、氏名および生年月日、自宅/携帯電話番号、LINE Creditで扱う管理番号、指定信用情報機関から取得した情報の一部が含まれていたとのこと。
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる | スラド セキュリティ
無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweet、Shigeki Ohtsu氏のTweet)。 SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。 (以下、追記と訂正@6/8 0:55)セキュリティ研究家の高木浩光氏によると、「TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能は
Microsoft、Google Chromeのパッチ提供方針を批判 | スラド セキュリティ
Microsoftが9月に発見したGoogle Chromeの脆弱性を例に、Googleのパッチ提供方針を批判している(Windows Security blogの記事、 The Vergeの記事、 Neowinの記事、 The Registerの記事)。 CVE-2017-5121はChromeのV8 JavaScriptエンジンで境界外メモリーアクセスが可能になるというもの。MicrosoftはGoogleのProject Zeroチームがよく使用するFuzzingという手法で脆弱性を検出し、リモートからのコード実行が可能になることも確認したとのこと。 GoogleはMicrosoftから9月14日に脆弱性の通知を受け、9月21日に安定版をリリースしたChrome 61.0.3163.100で修正している。ただし、この脆弱性に関するバグトラッカーは一般公開されていないが、修正がGitH
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
ドイツの家電メーカーMiele(ミーレ)の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られ
ハッカー集団が米国家安全保障局のサイバー攻撃ソフトを奪取、競売で売る計画 | スラド セキュリティ
以前、米国家安全保障局(NSA)がネット監視を行っていたことが話題になったが、このNSAが使用していたと見られるサイバー攻撃ツールが流出した模様。これを入手したハッカー集団はオークション形式でこのツールを売却するという(Business Insider、日本経済新聞、Slashdot)。 このツールはルーターの脆弱性を使ってシステムに侵入するものと見られており、NSAが外国機関のシステムから情報を収集するために使っていたという。ハッカー集団は「Shadow Brokers」と名乗っているが、ロシア政府と関連がある可能性もあり、FBIが捜査を進めているという。なお、Business Insiderによると、このツールは本物だろうと元NSA関係者が発言しているそうだ。
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる | スラド セキュリティ
アレゲ人ならきっと読んでるセキュリティホール memoによると、認証プロトコル「MS-CHAPv2」がご臨終とのこと。MS-CHAPv2はVPNの1つであるPPTPなどで一般に使われていますが、「All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.」とまで書かれています。とはいえ代替となるOpenVPNはメジャーなOSに統合されていないようでrootやJailbreakを要するため、PPTPほど気軽に使えるものではなさそうです。
トレンドマイクロ、B-CAS書換えツールをマルウェアとして認定 | スラド セキュリティ
先日B-CASカードの有効期限を書き換える件が話題になったが、ネットで出回っている「書き換えツール」に対し、トレンドマイクロがマルウェアと認定、削除対象としている(トレンドマイクロのマルウェア情報ページ)。 これはおかしくはないだろうか? 知らない間に勝手に入りこんだり裏に隠れて悪さを働く類のプログラムと違い、ユーザがその機能を理解し必要としてPCに入れたプログラムをマルウェア扱いにして消そうとするのはいかがなものか。DeCSSをウィルス扱いして消して回っているようなものではないのか。 不正は不正である。B-CASカードを書換えてタダ見をたくらむ連中を擁護する気はない。しかし、いくら現行法でこの書換え行為を取り締まることは難しいからといって、いきなり削除対象にするのはやりすぎだ(削除するかどうか最終判断はユーザに有るとしても)。 トレンドマイクロは越えてはならない一線を越えたような気がする
パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性 | スラド セキュリティ
Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み
航空機のリアルタイム飛行情報は「セキュリティ上の脅威」? | スラド セキュリティ
iPhone 上でリアルタイムに飛行している航空機の情報を地図上で見ることのできるアプリケーション「Plane Finder AR」が「セキュリティの脅威」であると専門家らによって指摘されているそうだ (NDTV の記事、本家 /. 記事より) 。 このアプリケーションは、航空機から発信される空中衝突防止のための放送型自動従属監視 (ADS-B: Automatic Dependent Surveillance-Broadcast) 信号を傍受し、地図上に飛行中の航空機の航空会社および便名、出発地、目的地、そして予想飛行ルートをリアルタイムで表示するというものである。iPhone 版および Android 版がリリースされており、App Store では先月のリリース開始からすでに 2000 ダウンロードを記録しているとのこと。ちなみに App Store での価格は 350 円。 セキュ
Windows の全バージョンに危険な脆弱性が見つかる | スラド セキュリティ
USB メモリを差し込んだり、ブラウザ経由で WebDAV を表示したり、Microsoft Office などの埋め込みショートカットに対応したファイルを表示するだけで感染してしまう可能性のある危険な脆弱性が見つかった (CVE-2010-2568、RBB TODAY の記事、エフセキュアブログの記事) 。この脆弱性は Windows ショートカット (*.lnk) に存在するため、AutoRun/AutoPlay を切るだけでは回避できない。Windows の全バージョンで影響を受ける。 この脆弱性を利用したワームの「Stuxnet」が既にイランやインドネシア、インドを中心として広がっている (security-jounral の記事)。このワームは公共インフラにも使われる SCADA (産業制御システム) をターゲットとしており、このワームに含まれるルートキットは適切にデジタル署名さ
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
Mozilla、「CSS による Web ブラウズ履歴漏えい」をブロックする方向へ | スラド セキュリティ
「JavaScriptを使わずにWebブラウザの閲覧履歴を盗む」や「楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査」などで過去話題に上った「HTML/CSS仕様の不備」について、Mozilla が対策を行う方針で検討を進めるようだ (Mozilla Japan ブログ記事、Mozilla Security Blog の記事、Mozilla Developer Street (modest) の記事) 。 問題となっている「HTML/CSS仕様の不備」というのは、「すでに訪問済みのリンクを別の色で表示する」というもの。これは長らく使われてきた仕様であり、ユーザビリティの向上にも役立っている。しかし、たとえばページ内に大量の隠しリンクを埋め込み JavaScript でその表示状態をチェックする、といった手法を用いることで、URL に対し訪問の有
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ペニスによる生体認証」を導入したアダルトチャットサービス | スラド セキュリティ
北朝鮮の平壌放送、数分にわたって延々と数字を読み上げ続ける | スラド セキュリティ
WikiLeaks 事件、情報セキュリティへの不安を世に与える | スラド セキュリティ