アメリカの電子投票機、DEF CONで簡単にハックされる | スラド セキュリティ
7月末に米国で開催された大規模セキュリティカンファレンス「DEF CON 25」で、アメリカの選挙で利用されている電子投票機のハッキングチャレンジが行われた。その結果、1時間程度で電子投票機への侵入や投票結果の改ざんに成功したという(GIGAINE、THE HILL、Slashdot)。 このイベントでは30台の投票機が用意されたが、最終的にはすべてがハックされてしまったという。これら投票機のファームウェアは2007年に作成されたもので、すでに多数の脆弱性が知られている状態だそうだ。 ただ、実際の選挙の際には電子投票機はインターネットには接続されず、独立したネットワークに接続されることや、電子投票機は地方毎に購入や利用が行われるため、全国の電子投票機を一斉に不正操作するといったことは難しい点などから、実際に電子投票機を攻撃して選挙結果を変えるようなことは簡単ではないという。
北米のカジノに設置されていた水槽、サイバー攻撃を受けて乗っ取られる | スラド セキュリティ
サイバー脅威検知技術を提供するDarktraceが発表した「Global Threat Report 2017」(PDF)にて、インターネットに接続されたカジノの水槽がサイバー攻撃を受けていたことが明かされている。カジノの名前は明記されていないが、北アメリカに存在するという(CNN)。 この水槽は温度調整や水質調整、自動餌やりなどの機能を備えており、インターネット経由でこれらの設定や監視ができるというものだったようだ。このカジノではVPNを利用してこの水槽をほかのネットワークとは分離していたようだが、Darktraceが調査したところ不審なネットワーク通信が検出されたという。通信先はフィンランドで、10GBほどのデータが送信されていたほか、水槽が外部からコントロールできる状態になっていたようだ。 Darktraceによると、この水槽から脆弱性を持つほかのデバイスを探索していたことも確認され
中国メーカー、大規模DDoS攻撃の原因機器となっているWebカメラを米国でリコールへ | スラド セキュリティ
中国杭州のXiongMai(雄邁)社製のWebカメラが米国でリコールになった(BBC、guardian、TechCrunch)。 最近ではWebカメラやネットワークプリンタなどの機器を乗っ取ってDDoS攻撃に参加させるマルウェアによる被害が増えているが、XiongMaiのWebカメラはセキュリティが脆弱で乗っ取られやすいそうで、そのためのリコールとなったようだ。 先月からいろいろなサイトがダウンしてイライラしてる人も多いのではないだろうか。このカメラはデフォルトで遠隔操作可能であり、かつその設定が変更できない点もリコールの理由一因かもしれない。何も考えずネットにつなぐと簡単にサイバー攻撃の踏み台に使われてしまう。 地獄谷野猿公苑ライブカメラとか様々な映像を見て喜んでたけどIoT機器の管理人さん達には今一度パスワードの確認をして欲しいと思った。
SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 | スラド セキュリティ
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。 しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、挙句の果てに画面ロックまで解除されてしまいます。 アカウントを奪う方法は簡単で、 何らかの隙にターゲット(恋人・知人・同級生・家族その他)の
連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 | スラド セキュリティ
米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ
AnonymousによるISISへのサイバー攻撃、事態を悪化させるだけ? | スラド セキュリティ
ISISに宣戦布告し、既にISIS関連のTwitterアカウント5,500件を閉鎖に追い込んだAnonymousだが、一般の人が作戦に参加するためのハッキングガイドを公開している(Softpediaの記事、 The Hacker Newsの記事)。 公開されているハッキングガイドは「The Noob Guide」「Twatter Reporter」「Search Terms」の3本。The Noob GuideはDDoS攻撃やパスワードクラック初心者向けの手引きで、ツールやOSの選択からツールのインストール方法などを解説している。Twatter Reporterは監視用のTwitterボット「Twitter Reporter」の解説、Search TermsではISIS関連リンクの検索と報告方法の解説となっている。 これに対し、ISISではAnonymousのサイバー攻撃を避けるためのセキ
LogMeInがLastPassを買収 | スラド セキュリティ
9日、LogMeInによるLastPassの買収が発表された。買収総額は最高で1億2,500万ドル(LogMeInのプレスリリース、 LastPassのブログ記事、 Ars Technicaの記事、 VentureBeatの記事、 BetaNewsの記事)。 LogMeInはリモートアクセスサービス「LogMeIn」などを提供するSaaS企業。LastPassはWebベースのパスワードマネージャーで、既にLogMeInのサービス一覧に追加されている。 LastPassでは既存のサービスが変更されることはないとし、LogMeIn傘下となることで開発リソースが増え、より良い製品を提供できるようになると述べている。しかし、LogMeInでは昨年、無料サービスを突如終了してユーザーをパニックに陥らせている。 LastPassのブログ記事に付けられたユーザーのコメントは否定的なものが多く、別のパスワ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
