サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
円安とは
security.srad.jp
1990年代に活発な活動をしていた伝説ハッカー、ケビン・ミトニック氏が膵臓がんとの闘病の末に亡くなったと報じられている。59歳だった。同氏はPacific Bell(現在のAT&T)にハッキングをし、FBIの最重要指名手配犯としておよそ2年半にわたる逃亡生活を送り、そののち1995年に逮捕された。その後はFBIに協力する形でホワイトハッカーとして活動した。SecurityWeekによると、ラスベガスの葬儀場に掲示された記事で死亡が確認されたという(SecurityWeek、GIGAZINE)。
Google が 8 月 31 日に Play Console 要件に関するポリシーを更新し、アプリの公開に必要なデベロッパーの身元情報を拡充する (Android Developers Blog の記事、 新ポリシー、 ポリシー変更情報、 BleepingComputer の記事)。 現行ポリシーには提出の必要な身元情報が明記されておらず、「連絡先情報が最新であることを確認する」のみにとどまっている。新ポリシーでは住所・氏名・連絡先メールアドレス・電話番号のほか、組織として登録するアカウントでは D-U-N-S ナンバーが必須となる。 D-U-N-S ナンバーは米 Dun & Bradstreet が開発したユニークな 9 桁のビジネス識別番号で、日本では東京商工リサーチを通じて取得できる。Android Developers Blog の記事では無償で取得できると記載されているが、無償
Brave が今後リリースするバージョン 1.5.4 以降のデスクトップ版 / Android 版 Brave ブラウザーで、ユーザーがウェブサイトによるローカルホストリソースへのアクセスをコントロール可能にする計画を示している。メジャーブラウザーにこのような機能が搭載されるのは Brave が初となる (Brave のブログ記事、 Ars Technica の記事、 Ghacks の記事、 BleepingComputer の記事)。 ウェブサイトによるローカルホストリソースアクセスが可能になっているのは、プライバシーが重視されていなかった時代の名残だという。ウェブインターフェイスを通じたハードウェアの設定など、ユーザーに利益をもたらす形での利用もみられるが、ポートスキャンによるユーザーのフィンガープリンティングや攻撃の入り口となる脆弱性検出など、悪意ある利用も多い。 そのため、既に B
日本近海の光ファイバー海底ケーブルに中国製の盗聴装置が仕掛けられていた疑いが持たれている。在沖縄米軍を対象とした情報誌「This week on OKINAWA」6月4日号が、通信会社関係者の証言に基づいた内容として報じた。中国のスパイ活動の一環とみられている(The News Lens Japan)。 この記事によれば、中国製の盗聴装置は沖縄近海の光ファイバー海底ケーブルに約5年前とされ、2018年頃から設置されていたとみられる。証言をおこなった通信会社の技術担当者によれば、総務省の職員から中国製の盗聴装置のサンプル写真を見せられ、海底ケーブルの検査を強化するように要請されたと述べている。別の総務省の元職員もこれが一度だけではなく複数回行われていた可能性も指摘されている。 一般的に、光ファイバーケーブルを通じて光信号を盗聴することは技術的に困難とされているが、海底ケーブルでは一定区間ごと
はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている(はてな匿名ダイアリー)。 あるAnonymous Coward 曰く、 - モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある - 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される - ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。 証拠動画 080-1234-5677 とい
Rubrik Japanが22日発表した調査によると、ランサムウェアの身代金支払い後、攻撃者からの復号化ツールで全データを復旧できたのは日本国内ではわずか13%ほどしかなかったという(Rubrik Zero Labs調査結果、ITmedia)。 あるAnonymous Coward 曰く、 この調査は10カ国1600人以上のITおよびセキュリティリーダー (最高情報責任者(CIO)および最高情報セキュリティ責任者(CISO)が約半数、 ITおよびセキュリティ担当副社長やディレクタが約半数)が調査対象となっている。 2023年2月10日~2月21日にかけて日本や米国、英国、フランス、ドイツ、イタリア、オランダ、オーストラリア、シンガポール、インドで実施された。 タレコミ子のポイントだけ引用すると ・悪意のあるアクターのサイバー攻撃に際し、(日本の)組織の9割で、データバックアップに影響する試
ストーリー by nagazou 2023年05月23日 15時51分 缶のようなケースに入れて車内に置くと起きる? 部門より 最近の新しい車両のスマートキーでは、鍵を施錠した車内に閉じ込めたためにドアが開かなくなる「インキー」の状態が起きないような仕組みが用意されている。新型「プリウス」の場合は、スマートキーを車内に置き忘れている場合に警告音が鳴るようになっている。しかしくるまのニュースの記事によると、実際にはスマートキーでもロックがかかってしまうケースも起きるそうだ(安全運転補完計画ユズリアイの該当ツイート、くるまのニュース)。 このハックは安全運転の知識などを発信する安全運転補完計画ユズリアイが7日にツイートしたもので、最初のシーンでは、スマートキーが車内に置かれていることを認識し、インキーにならないことを実演。続いてのシーンでは、運転席のワンタッチパワーウィンドウで窓を自動で閉めつ
AV-TEST の Windows 版セキュリティ製品テストで Microsoft Defender のパフォーマンス低評価が続いている (AV-TEST のニュース記事、 Neowin の記事、 Ghacks の記事)。 先日発表された 2 月分 (2023 年 1 月 ~ 2 月) のコンシューマー製品テスト結果では 18 製品がテストされ、Microsoft Defender は Protection と Usability で 6 点満点を獲得したものの、Performance のスコアが 5.0 点にとどまる。そのため、トータルスコアで 18 点満点中 17.5 点以上が必要な「TOP PRODUCT」の認定を逃している。 Microsoft Defender の評価を項目別にみると、ファイルコピーの速度低下が特に大きく、業界平均の 5% 低下に対し、1 月は 48%、2 月は
Microsoft は 4 月 27 日、Windows クライアントのロードマップ更新を発表した (Windows IT Pro Blog の記事、 The Verge の記事、 Neowin の記事、 Ars Technica の記事)。 Windows 10 のサポート終了日は 2025 年 10 月 14 日のまま変更されないが、現在最新のバージョン 22H2 が全エディションで最終バージョンとなる。これに伴い、バージョン 22H2 のサポート期間が変更された。一般提供チャネルでのリリースとなったバージョン 21H2 以降の Windows 10 では Home / Pro / Pro Education / Pro for Workstation の各エディションで 18 か月間、Enterprise / Education / IoT Enterprise の各エディションで
横浜市のコンビニの証明書交付サービス「Fujitsu MICJET コンビニ交付」で3月27日、別人の住民票が発行されるトラブルが発生したそうだ。日経クロステックの報道によると、このサービスを提供しているベンダーの富士通Japanは3月30日、このトラブルに関する原因を発表した。それによると、システムへのアクセス集中により印刷処理の待ちが生じ、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまったという(日経クロステック、その2)。 当該ファイルは申請者しか印刷できないようロックがかかる仕様だが、システムにはタイムアウトの上限が設定されていたため、アクセス集中で処理が遅れた際にタイムアウトとなってロックが解除されたという。同社は対策としてタイムアウトでロックが解除されないようプログラムを改修したとしている。
問:下記のどちらが強力なパスワードですか? という問題が出たようだ(しんやさんツイート、Togetter)。 1.「w6!j38?pa7J」 2.「CanYouCelebrate?」
昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事、 Android Police の記事)。 LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワード
英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事、 The Guardian の記事、 Ars Technica の記事)。 英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。 ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいと
ウェブサービスで用いられているパスワードの入力規則を集めたウェブサイト「Dumb Password Rules」が話題になっているらしい。このDumb Password Rulesで紹介されている変なパスワード入力規則の例としては、「(パスワードは)7で始まる必要があります」というもの。「大文字2文字以上、小文字2文字以上、数字2文字以上、句読点2文字以上」「aを@、iを!、oを0といったありがちな置換をした単語の使用禁止」といった細かい点にまで指摘したものまで存在するとのこと。いかにとち狂ったパスワードルールが存在しているかが一望できるとのこと。すでにウェブサイトの登録数はすでに300近くに及んでいるそうだ(INTERNET Watch)。
ソースネクストは14日、同社サイトが第三者による不正アクセスを受け、利用者のクレジットカード情報11万2132件と個人情報12万982件が漏えいした可能性があると発表した。同社が依託した調査機関によると、2022年11月15日~2023年1月17日の期間にクレジットカード情報を登録した顧客のクレジットカード情報および個人情報が漏えい、一部に関してはクレジットカード情報が不正利用された可能性があるとしている(ソースネクストリリース、ケータイ Watch、NHK)。 漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。
2022年10月に起きた那覇市立図書館でランサムウエアによる攻撃を受けて、貸し出しや検索ができないなどのシステム障害が発生している。琉球新報による最新の報道によると、この攻撃を受けた原因としてネットワークを保護するためのファイアウォールとVPN装置がランサムウエアの感染経路になった可能性が高いという(琉球新報、沖縄タイムス)。 いずれも2019年に運用を開始して以来、アップデートなどがおこなわれておらず、脆弱性が残ったままだったとしている。同館の館長によれば、「セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた」としている。
東京大学空間情報科学研究センターらの研究グループは、「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。いわゆるPPAPの脆弱性に関しては、政府なども告知している状態にもかかわらず、まだ企業間で使い続けられている。この研究では利用状況や理由、脆弱性の認識はあるかなどの質問を344社に行ったものとなっている(情報処理学会、ITmedia)。 調査の結果、64%にあたる219社がPPAPを今も採用していると回答。現時点では廃止していると回答したのが16%の54社であったため、回答した組織の約80%がPPAPを使っていた実績を持っていることが判明した。また現在PPAPを採用中の219社のうち42%に当たる93社がPPAPの廃止を検討中であるとしている。 PPAPを現在でも使っている219社に対して、PPAPの有害性や無効性を認識しているかを確認したところ、約88%は認識し
富士通は1月23日、開発中の量子コンピュータのシミュレーターを使い、公開鍵暗号方式の一つであるRSA暗号の安全性を評価する実験を実施したそうだ。量子コンピュータは高速に素因数分解できることが知られており、これが登場するとRSAの安全性が大きく損なわれる可能性が懸念されていた(日経クロステック)。 同社が2048ビット合成数の素因数分解に必要な量子回路の計算リソースを見積もった結果、約1万量子ビットに加え、ゲート数が約2兆2300億、量子計算を行うために必要なステップ数が約1兆8000億の量子回路が必要なことが判明したとのこと。このため、現時点での量子コンピュータの技術ではRSAの解読はまだ困難であるとの結論になったようだ。
ストーリー by nagazou 2023年01月19日 16時01分 眠らない、眠ら~せない 部門より 米スタンフォード大学、米UCLA、カナダのウォータールー大学の研究者が発表した論文によると、Wi-Fi機器に偽のデータパケットを継続的に送信することで、機器のバッテリーの電気を急速に低下させる攻撃が可能になるという。この研究は、IEEE 802.11規格に存在する二つの脆弱性を活用して攻撃をおこなった(ITmedia)。 一つ目の脆弱性は、応答すべきでないときに応答する仕様。ネットワーク外の不正なWi-Fiデバイスから受信した偽のパケットに対しても、ACK(Acknowledgment、受信完了通知)で応答を返してしまうこと。二つ目はWi-Fi無線が起動してはいけない時に起動している仕組み。 Wi-Fi機器の大半では、節電のためのスリープモードを搭載しているが、Wi-Fi機器は定期的に
英国の郵便サービス Royal Mail が輸出業務に問題が生じていることを明らかにし、問題が解決するまで国外あての物品を送らないよう呼びかけている (Royal Mail のツイート、 The Telegraph の記事、 Sky News の記事、 Cyber Security Hub の記事)。 本件を Royal Mail では「サイバー インシデント」と呼んでいるが、The Telegraph によるとランサムウェアの被害にあったようだ。このランサムウェアは LockBit Black と呼ばれるもので、Royal Mail が国際小包の税関ラベルを印刷するコンピューターに感染したのだという。北アイルランドの Royal Mail ディストリビューションセンターではプリンターがランサムノートを大量に印刷し始めたとも報じられている。The Telegraph が入手したランサムノー
LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事、 9to5Mac の記事、 The Verge の記事)。 LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。 LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。 少なくとも 12 文字、長ければ長いほどいい 大文字・小文字・数
米ニューヨーク南部地区連邦検事局は 20 日、ジョン F ケネディ国際空港 (JFK) のタクシー配車システムをハックしていた米国人の男 2 人の逮捕を発表した (プレスリリース、 The Verge の記事、 Ars Techinica の記事)。 JFKではタクシーが公平に客を乗せられるよう配車システムが導入されており、空港で客を乗せたいドライバーは待機場の駐車場で配車を待つ必要がある。しかし、待ち時間は数時間に及ぶこともあり、ドライバーの売り上げへの影響が大きい。 そこで 2 人は配車システムを悪用して料金を支払ったタクシーに優先的な配車を行うビジネスを考案。ロシアのハッカーの力を借りて配車システムのハックに成功し、2019 年 9 月から 2021 年 9 月にかけて料金 10 ドルで優先的な配車を行っていたという。 他のドライバーを勧誘することによる料金免除やグループチャットを利
LastPass が不正アクセスに関するブログ記事を更新し、11 月に発表した 2 回目の不正アクセスでは攻撃者が顧客のパスワード保管庫のバックアップをコピー可能な状態であったことを明らかにした (LastPass のブログ記事、 The Verge の記事、 Ars Technica の記事、 The Register の記事)。 8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。 これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップ
米教育出版大手マグロウヒルが Amazon S3 バケットの誤設定により、同社のオンライン学習プログラムを利用する学生 10 万人以上のデータを公開状態にしていたそうだ (vpnMentorのブログ記事、 The Register の記事、 HackRead の記事)。 発見した vpnMentor は今年 6 月 12 日、マグロウヒルのものとみられる 2 つの S3 バケットが公開状態になっているのを発見。1 つは本番用バケットでデータ量 12 TB 以上、4,700 万個以上のファイルを含む。もう 1 つは開発用バケットでデータ量 10 TB 以上、6,900 万個以上のファイルを含んでおり、合計でデータ量は 22 TB 以上、ファイルは 1 億 1,700 万個以上におよぶ。 vpnMentor では倫理的なルールに従って調査を行い、少数のサンプルのみを確認したため全容は不明だが、
認証セキュリティをもくぐり抜ける新手の詐欺「SIMスワップ詐欺」が日本国内でも発生しているという。SIMスワップ詐欺は、「SIMハイジャック」や「SIM分割」とも呼ばれるもので、SNS上などで個人情報を集め、こうした人物の情報を元に本来の持ち主になりすましてSIMを再発行、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける手口だという(TBS NEWS DIG)。 TBS NEWS DIGによれば、このSIM再発行をアルバイトにさせるという闇バイトがSNS上で横行しているという。この報道によれば、報酬1回8万円ほどであるようだ。犯行をおこなっているグループは、貯金など現金を持っている人をリスト化してターゲットにし、端末の電話番号を乗っ取った上で2要素認証などをクリアし、ネットバンキングの口座から現金を奪うという方法を用いているとしている。
米国立標準技術研究所 (NIST) は 15 日、限定的な場面で使われている SHA-1 アルゴリズムをより新しくセキュアなアルゴリズムに置き換えるよう IT プロフェッショナルに勧告すると発表した (ニュースリリース、 The Register の記事)。 SHA-1 は 2017 年に現実的な時間でハッシュの衝突を生成する方法が公開されるなど、十分な安全性が確保できないとして置き換えが進められている。NIST は今回、SHA-1 を 2030 年 12 月 31 日までに廃止すべきだと発表し、SHA-1 にセキュリティを依存するすべての人に対して可能な限り早く SHA-2 または SHA-3 へ移行することを推奨している。 NIST はこれに伴い、2030 年 12 月 31 日までに SHA-1 仕様を削除した FIPS 180-5 を発行し、SHA-1 廃止計画を反映するため SP
Microsoft は 16 日、来年 2 月 14 日に予定している Internet Explorer 11 (IE11) 完全無効化の詳細を発表した (Windows message center、 Windows IT Pro Blog の記事)。 以前の発表では 2 月の月例更新プログラム (B リリース) で IE11 を完全無効化する計画だったが、Microsoft Edge アップデートを通じた完全無効化に変更された。これに伴い、1 月 17 日に予定されていたオプションの更新プログラム (C リリース) での一足早い IE11 完全無効化はとりやめとなった。 IE11 のサポートは 6 月に終了しており、現在は IE11 から Microsoft Edge へのリダイレクトを順次増加させている段階だ。まだリダイレクトされていないデバイスに関しては、2 月 14 日以降の
楽天グループは2023年1月17日付で「楽天会員規約」を一部改定するという(「楽天会員規約」改定のお知らせ)。改訂されるのはパスワードに関連する項目で、改定前では、
NordPass が 2022 年版の流出パスワードトップ 200 を公開している (Top 200 Most Common Password List、 The Register の記事)。 今回のランキングは NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、3TB のデータベースを調査したという。各社調査では 10 年以上にわたり「123456」「12345」といったパスワードがトップを占めているが、今回の調査では「password」が約 493 万件で 1 位となった。2 位の「123456」は約 152 万件であり、大きな差がついた。3 位以下は「123456789」「guest」「qwerty」が続く。 日本では昨年「password」が 1 位だったが、今年は「123456」が逆転して 1 位になり、順位が入れ替わった。ただし、「
次のページ
このページを最初にブックマークしてみませんか?
『スラド -- アレゲなニュースと雑談サイト』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く