タグ

ブックマーク / security.srad.jp (19)

  • QRコードにレーザーを照射し、任意の時間帯だけ別URLへ誘導するハック | スラド セキュリティ

    ストーリー by nagazou 2023年03月28日 18時04分 遠距離だとスナイパー並みの腕が必要な気が 部門より 東海大学の研究チームは、遠隔からレーザー光をQRコードに当て一時的にだけ偽装QRコードに変える攻撃をすることで、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する手法を考案したという。QRコードの誤り訂正機能を悪用、レーザー光を照射したときにだけ高確率に悪性サイトへ誘導するように設計されている。この方法を用いればQRコードを撮影しているときに遠くからレーザー光で照射。別の悪意あるサイトへ誘導することが可能になるとしている(ITmedia)。 以前から正規QRコードを外部から書き換える方法に関してはいくつか提案されてきたそうだ。正規QRコード上に偽装QRコードのステッカーを張り付ける方法や、QRコードの特定部位をマジックなどで塗りつぶす方法などが提示されて

  • 米クラスアクション訴訟、AirTag によるストーカー被害の責任を Apple に問う | スラド セキュリティ

    AirTag を悪用したストーカーの被害にあった 2 人の米女性が Apple を提訴している (訴状: PDF、 Ars Technica の記事、 Neowin の記事、 Mac Rumors の記事)。 訴状によれば、AppleAirTag を発表するとストーカーによる悪用を懸念する声がサイバーセキュリティーの専門家やドメスティックバイオレンス被害者の支援団体などから寄せられたが、AppleAirTag が「ストーカープルーフ」だなどと称して製品を発売。しかし、Apple のストーカー対策は十分ではなく、AirTag を悪用した追跡の被害が相次いだ。Apple はさまざまな対策を発表したが、いずれも十分な効果を上げるには至っていない。米国では AirTag によるストーキングの末に被害者が殺害された事件が少なくとも 2 件発生しているという。 原告はいずれも AirTag

  • 報告から 1 年以上経っても完全に修正されない IKEA のスマート電球の脆弱性 | スラド セキュリティ

    IKEA の TRÅDFRI (トロードフリ) シリーズ スマートホーム製品 2 点で脆弱性が見つかり、発見者の Synopsys Cybersecurity Research Center (CyRC) が詳細を報告している (The Register の記事)。 CVE-2022-39064 はスマート電球 (LED1732G11) の脆弱性。不正な IEEE 802.15.4 (Zigbee) フレームを 1 回送ると電球が点滅を始め、同じフレームの送信を複数回繰り返すとファクトリーリセットが実行されてしまうという。これにより電球は Zigbee ネットワークに関する設定情報や輝度設定を失い、最大輝度で点灯するほか、ユーザーはアプリやリモコンでの操作ができなくなる。 CVE-2022-39065 はすべての IKEA Home Smart 製品をアプリから操作可能にするゲートウェイデ

  • 通話内容をAIが解析する「特殊詐欺対策アダプタ」、アラートをきっかけに受け子逮捕に成功 | スラド セキュリティ

    埼玉県草加市の14歳の少年が6日、80代の女性から現金をだまし取ろうとした疑いで逮捕された。被害に遭いそうになった女性は特殊詐欺を見破るAI機能がついた装置を電話機に取り付けており、その機能により自動アラートを受けた役所の職員が、すぐに110番通報したという。それにより女性から封筒を受け取ったところで警察が登場。現行犯逮捕されたとしている(テレ朝NEWS、スポニチ)。 このAI機能付きの装置は、NTT東日などが開発したもので固定電話に取り付けるものだという(特殊詐欺対策サービスの提供について)。端末が音声を録音、リアルタイムで特殊詐欺解析サーバーに転送。AIが言葉を解析して人や連絡先にメールなどで注意喚起を行う仕組みであるという。NTT東日によるとこの装置で逮捕まで至ったのは今回が初めてであるそうだ。

  • 北洋銀行、Webサービスでキャッシュカードの暗証番号の入力を求める | スラド セキュリティ

    北海道に拠点を置く北洋銀行(第二地方銀行)では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。 ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。 はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装った

  • GnuPG2のフォーク「NeoPG」、開発中 | スラド セキュリティ

    PGPやGnuPGには近年いくらかの批判もありますが、開発は情熱的に続いています(過去記事:PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される、PGPは有害無益?)。 とはいえ、GnuPGは20年以上の開発によって内部構造が複雑になりすぎています。これに伴う種々の問題に取り組むため、NeoPGという新たなプロジェクトが発足しています。 スライドによると、GnuPGは49万行のコードから成り、400近くのコマンドラインオプション、2種類のOpenPGPパーザ、自前のHTTPクライアントやDNSリゾルバ関連コードを持つ、重厚長大なプロジェクトです。NeoPGでは、できるだけレガシーコードを減らし、外部ライブラリを積極的に利用することで、開発を容易にするつもりです。スライドの時点で、すでに行数はほぼ半減し、コマンドラインオプションも120ほど減っているそうで

  • Kaspersky、ライバルが誤検出するよう妨害工作をしていた? | スラド セキュリティ

    Kaspersky Labがライバルのアンチウィルスソフトを妨害するため、誤検出を引き起こすように仕向けていたと元従業員2名が証言しているそうだ(Reutersの記事、 TNW Newsの記事、 V3.co.ukの記事)。 ターゲットとなったのはMicrosoftやAVG、Avastなどのライバル製品で、一部の妨害工作はユージン・カスペルスキー氏が指示していたそうだ。現在ではセキュリティーソフトウェアを開発する企業間で情報が共有され、検出エンジンを互いにライセンスすることで迅速な脅威の検出が可能となっている。 しかし、カスペルスキー氏はライバル企業が独自の技術を開発せず、同社の技術を盗んでいると考えていたのだという。実際に同社の技術が盗まれていることを証明するため、Kasperskyは10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして

    AmaiSaeta
    AmaiSaeta 2015/08/17
    うん? "セキュリティーソフトウェアを開発する企業間で情報が共有され"る場所に誤った情報を登録して、それを他所も採用する事がどうして"技術を盗んでいる"事になるんだ???意味不明。真実だとしたら酷い話。
  • Lenovo、ノートPCにWindowsを再インストールしても復活するダウンローダを仕込んでいた | スラド セキュリティ

    2015年8月3日、ノートPCLenovo Y40-80」のBIOSがクリーンインストールされたWindowsのファイルシステムに対しブート前に変更を加えていることが発見された(Ars Technica、The Next Web News、Slashdot、Hacker News)。 この変更により、Windowsの起動時にBIOSによって仕込まれたアプリケーションが実行され、特定のサーバーから非セキュアな方法でデータがダウンロードされるという。Lenovoはこれを受けて、修正パッチの配布を開始した(Lenovo)。 Slashdotやhacker newsでは、Lenovoに対する不満を述べる声や不買キャンペーンを起こす者がいる一方で、これはWindowsが提供している「Windows Platform Binary Table」(Microsoftによるドキュメント。注:Word形式

  • 「秘密の質問」をネット上でカジュアルに聞き出そうとする試みに注意 | スラド セキュリティ

    「あなたはどこで生まれましたか?」という質問に答えることがセキュリティリスクになる、という話が話題だ(Askの日の質問が危ない — Togetterまとめ)。 利用にログインが必要になるようなサービスでは、パスワードを忘れた際の対策として「出身地」や「好きなべ物」「母親の旧姓」といった、「秘密の質問」を設定できるようになっているものがある。「あなたはどこで生まれましたか?」という質問に答えてしまうと、このような「秘密の質問」の答えを提供してしまうことになる可能性があるという話だ。「秘密の質問」の危険性については以前から議論されているが、最近はますますネットで気軽にコミュニケーションを取れるようになっているため、より危険性が増しているのかもしれない。 対策としては、「秘密の質問」には正直に回答を設定せず、必ず嘘の回答を設定するようにするというものがある。何を設定したか忘れてしまうというデ

    AmaiSaeta
    AmaiSaeta 2014/03/06
    「秘密の質問」なのに、内容が別に秘密でも何でもない物だというのがそもそも…… | 「無意味な解答を設定する」という対策があるけど、そもそも「秘密の質問」なんて使うような所のセキュリティ信じるなという。
  • 人工知能の進化で変形文字「CAPTCHA」が解除可能に | スラド セキュリティ

    Vicarious社というソフトウェア企業が、90%以上の精度でCAPTCHAを識別することが可能になったと発表している(Science、家/.)。 解除には人工知能を利用したコンピュータアルゴリズムが採用されているとのこと。GoogleYahoo!、PaypalなどのCAPTCHAを解除する様子が動画で公開されている。 このシステムの開発には著名な研究者が数多く関わっているそうだ。これにより、新しいセキュリティシステムが必要とされるようになるかもしれない。 なおGoogleが10月25日に改良型CAPTCHAを発表しているが、これには対応できるのだろうか。

  • 人気ダウンロードツール「Orbit Downloader」にDDoS攻撃用のコンポーネントが含まれていたことが判明 | スラド セキュリティ

    人気ダウンロードツール「Orbit Downloader」に、外部からの遠隔操作によってDDoS攻撃を行うコンポーネントが含まれていたことが判明した(Security Next)。開発元のInnoshockからの発表などはなく、故意に含めたのか、それとも外部からの攻撃などによって混入したのかは不明。 セキュリティ企業ESETが解析して発見したもので、同社はOrbit Downloaderとトロイの木馬として認定、一部ダウンロードサイトなどではこれを受けて公開を停止している。

  • キーレスエントリー装備の自動車のドアを解錠する謎の小型装置、米国の監視カメラでその存在が明らかに | スラド セキュリティ

    キーレスエントリーを装備した自動車のドアを、手の平に納まる小さな装置を使って楽々と開けてしまう泥棒の様子を、カルフォルニア州ロングビーチの監視カメラが撮影していた。同装置を車の方に向けるだけで、泥棒は遠隔操作でいとも簡単に解錠していた。不審な行動を伴わないため、持ち主が普通にドアを開けているようにしか見えないという(家/.、Today News記事)。 地元警察によれば、どういった技術が使われているのか一切分かっていないとのこと。同装置はAcura SUVには対応していたがFord SUVやCadillacには対応しておらず、また泥棒が常に助手席側のドアを開けているなど謎な点が幾つかある。警察もセキュリティー専門家もまったくのお手上げ状態であり、警察が一刻も早く同装置を入手してどういった技術が使われているのか調べる必要があるとのこと。

    AmaiSaeta
    AmaiSaeta 2013/06/19
    .。oO(あれ? この手の鍵が出てきて直ぐぐらいに、TVで解除やって見せてる番組見た記憶があるぞ……?)
  • エジプト政治家、TV生中継に気づかず外国への妨害工作について議論 | スラド セキュリティ

    エジプトにて大統領出席の会合がTVに生中継される中、参加した議員がそれに気づかず、エチオピアへの妨害工作について議論するという珍事が発生したという(AFPBBニュース)。 この議論は、ナイル川上流のエチオピアが、ダム建設のために川の流路を変更する決定をしたことに対して行われたもので、ダム建設により下流の水量が減少することが懸念されている。議題の重要性から直前に生中継が決定されたが、関係者への周知がされなかったという。会合が非公開と考えていた議員たちは、ダム建設を阻止するため生中継の中「内政干渉せよ」「うわさを流せ」「反政府勢力支援で圧力を」といった活発な提案を行ったという。 こうした工作が行われているのではないか、といった陰謀論は良くあるが、それがテレビの生中継という形で明るみになってしまったのは極めて稀であろう。

  • Firefox 22はサードパーティーのCookieをデフォルトでブロック | スラド セキュリティ

    Firefox 22ではサードパーティーのCookieをブロックする設定がデフォルトで有効になるそうだ(Ars Technicaの記事、 Bugzillaの該当ページ、 Web Policyブログの記事、 家/.)。 現在でもFirefoxでは設定によりサードパーティーのCookieをブロックできるが、Firefox 22以降はデフォルトで実際に訪れたWebサイトが発行するCookieのみを受け入れるようになる。しかし、Webサイトに表示される広告の多くが情報収集のためにサードパーティーのCookieを使用しており、広告業界からは否定的な反応も出ている。Interactive Advertising BureauのMike Zaneis氏は、広告業界に対する初めての核攻撃だなどとツイートしているが、すでにSafariはデフォルトでサードパーティーのCookieをブロックする設定になってお

    AmaiSaeta
    AmaiSaeta 2013/02/24
    支持。ただ、そうする事で「Firefoxのせいでインターネットが壊れた!」って喚く奴が出てきそうな予感。
  • トレンドマイクロ、B-CAS書換えツールをマルウェアとして認定 | スラド セキュリティ

    先日B-CASカードの有効期限を書き換える件が話題になったが、ネットで出回っている「書き換えツール」に対し、トレンドマイクロがマルウェアと認定、削除対象としている(トレンドマイクロのマルウェア情報ページ)。 これはおかしくはないだろうか? 知らない間に勝手に入りこんだり裏に隠れて悪さを働く類のプログラムと違い、ユーザがその機能を理解し必要としてPCに入れたプログラムをマルウェア扱いにして消そうとするのはいかがなものか。DeCSSをウィルス扱いして消して回っているようなものではないのか。 不正は不正である。B-CASカードを書換えてタダ見をたくらむ連中を擁護する気はない。しかし、いくら現行法でこの書換え行為を取り締まることは難しいからといって、いきなり削除対象にするのはやりすぎだ(削除するかどうか最終判断はユーザに有るとしても)。 トレンドマイクロは越えてはならない一線を越えたような気がする

    AmaiSaeta
    AmaiSaeta 2012/06/14
    コメント欄と合わせて考えるに、B-CAS書き換えツールの「今」でなく、とうの昔から"ウィルスバスター自身がマルウェア"へと変化していたって話では。こわいこわい
  • 蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる | スラド セキュリティ

    オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(家/.、University of Twente公式サイト)。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き

    AmaiSaeta
    AmaiSaeta 2012/02/20
    "職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまった" " パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。"
  • Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記

    今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す

    AmaiSaeta
    AmaiSaeta 2010/06/07
    なんと…… | "JVN / IPAが脆弱性として(なぜか)受理しなかったため"ええええええ……なにその理由…… | ところでパッと見た感じでは停止についての報がMicco氏のサイトに見あたらなかった。何処?
  • 「街頭インタビュー」形式で個人情報を取得する実験 | スラド セキュリティ

    個人情報といえば、以前会社で有給取れた時に 丁度とある場所で開催されていた大規模な技術展を見学しに行ったのですが、 その時、受付とこんな会話をしました。 (ちょっとした遊び心です) 受付「名刺ありますか?」 私「無職なので無いです」 受付「ではここに、名前と住所・電話番号を(ry」 私「書かなければ入場出来ないのですか?」 受付「任意ですので強制ではありません」 私「では、書かなくて問題ないですね」 受付「それは・・・・」 と受付嬢が困ってると、上司がきて、 "もういいから、通しちゃって"的な会話がなされたようで、 名前だけ適当に書いて入場しました。 こういうそれなりのイベントになると、 個人情報などを躊躇せずに記入する人は多いんではないでしょうか?(自分も含め) 量販店などでもポイントカードなるものを 作る際に個人情報を記入させられたりしますし、 案外、個人情報って集められるものなのかも

  • スラッシュドット ジャパン | 会社が個人PCを調査することに同意しますか?

    情報漏洩問題を受けて、勤め先の会社が、個人が所有しているパソコンを第三者の立会いで調査することになりました。詳細は伏せますが、大体の経緯は次の通りです。 情報漏洩が発生(ニュースにもなりました)。原因は、業務ファイルを持ち帰ってウィルス感染した自宅PC上で仕事したため。流出させた方は懲戒免職。第二の情報漏洩を起こさないため、社員の自宅PCを第三者の立会いで調査するとの指示。調査内容は、業務ファイルが無いことと、会社で禁止しているソフトが使われていないかを確認するとのことでした。 会社からはたしかに個人PCで業務を行わないよう指示を受けていましたが、同意もなしに私物を調査されるのは納得できません。 皆さんは会社が行う個人PCの調査についてどのように思われますか?

  • 1