MySQL.com と関連するサイトが米国時間 27 日にクラックされ、情報が漏洩した模様。手法はブラインド SQL インジェクションによるものと考えられている (Techie Buzz の記事、本家 /. 記事より) 。 被害に遭ったのは本家 MySQL.com の他、フランス、ドイツ、イタリアの MySQL のサイト。漏洩した情報には MySQL 関係者の Email アドレスや認証情報の他、顧客情報や内部ネットワーク情報も含まれているという。また XSS 脆弱性についても詳細に報告されており漏洩がさらに拡大する恐れもあるとのことで、さらには Sun.com にあるデータベースの内容も既にクラックされている報告もある。 今のところ MySQL からはこの件に関するニュースリリースが出ていないが、是非とも MySQL の矜恃 (そういうものがあるのなら) を賭して対策を施して欲しいもので

今年は世界初のコンピュータウィルス Creeper が出現してから 40 年となるそうだ (Help Net Security の記事、本家 /. 記事より) 。 1970 年代に ARPANET に出現したから Creeper から最近猛威を奮った Stuxnet まで、40 年の間にマルウェアは様々な形に進化を遂げてきた。1990 年には 1,300 であったマルウェアインスタンスの数は 2000 年には 50,000 を数え、そして 2010 年には 2 億を超えたとされている。 数だけでなく、ウィルスの目的も年月を掛け変化してきた。元々はプルーフ・オブ・コンセプトとして開発されるのが主だったが、その後 Geek が悪ふざけに利用するようになり、そして犯罪目的で使われるようにもなった。2005 年にはコンピュータウィルスは収益目的で利用されるようになり、現在のウィルスは複雑なビジネス

シマンテックは、Kingsoft Internet Securityの「WebShield」モジュールを悪用してInternet Explorerのスタートページを書き換えたり、特定のドメインへのアクセスを広告サイトにリダイレクトしたりするマルウェアを発見した(Symantec Connectの記事)。 これはWebShieldの設定がテキスト形式のファイルに書き込まれていることを悪用したもので、設定ファイルを置き換えてリパッケージングしたトロイの木馬として配布されているようだ。すべてのモジュールは正しく署名されており、その他の機能は正常に動作するため、インストールしてしまうと発見するのが困難になる。セキュリティソフトとマルウェアが紙一重、という点でなかなか興味深い話といえそうだ。 なお、キングソフトのアナウンスによれば、「Kingsoft Internet Security日本語版」には

ストーリー by reo 2011年02月23日 11時30分 パソコンは居間に、1 日 1 時間、でいいんじゃ ? 部門より 米ニュージャージー州、モーウォーの警察署長および刑事たちが、セミナーで保護者らにキーロガーの導入を勧めているそうだ (LiveScience の記事、本家/.記事より）。 Facebook などの SNS、またその他のコミュニティにおいて、子供たちは性犯罪などに巻き込まれる危険に常に晒されているという。その子供たちを守るため、彼らのオンライン上での行動を監視できるキーロガーが有効であると彼らはアドバイスしているとのこと。 このような手法は子供の机やタンスの中をチェックすることの延長線上にあり、一概に勧められるものではないと指摘する専門家ももちろんいるとのこと。キーロガーで監視していることが判明したら親子の信頼関係に大きなヒビが入るのは目に見えている。監視せざるを得

EU の統計局が 2010 年に行った調査によれば、インターネットユーザーの 84 % がウイルス対策ソフトなどのセキュリティソフトを利用していたにもかかわらず、過去 1 年にウイルスに感染したことのあるユーザーは 31 % にも上ったそうだ (ITmedia News の記事より) 。 被害として挙げられているのはインターネットで送った個人情報の悪用やプライバシーの侵害が 4 %、フィッシング詐欺やクレジットカード悪用などの金銭被害が 3 % とのことだが、確かにこのような被害はセキュリティソフトでは防ぎにくい。セキュリティソフトを入れたからといって安心せず、注意してインターネットを利用するための啓蒙も必要なようだ。

マイクロソフトは、USBメモリーなどリムーバブルドライブの「AutoRun」機能を無効にするアップデートを公開した(Windows の自動再生機能の更新プログラム 、本家/.、it news記事)。 対象となるのはWindows XP/VistaおよびServer 2003/2008。ファームウェアによりCDドライブとして認識されるUSBメモリーのAutoRunは無効化されない。 「AutoRun」機能はその利便性と裏腹に、USBメモリー経由で浸入するワームに悪用されており、被害が多数報告されていた。 今回のアップデートは明らかにセキュリティ対策に見えるが、マイクロソフトはAutoRunをWindowsの機能であり、セキュリティ上の欠陥ではないという位置付けから、通常の更新プログラムとして提供している。

産総研が赤外線の反射を利用した暗闇でのカラー撮影技術を開発したとのこと (朝日新聞の記事)。 物体の色により赤外線の反射強度が異なることに注目し、画像処理により色を再現しているらしい。このような暗闇でのカラー撮影技術は、防犯カメラや野生動物の観察に活用できる。実用化に向けて、装置の小型化と色の再現性向上を進めているとのことだ。 なお、SIGGRAPH 2009では、ニューヨーク大学のDilip Krishnan氏とRob Fergus氏による、赤外線と紫外線のフラッシュを使ったDark Flash Photographyが発表されている 。 タレコミ主としては消費電力と有効距離が気になるところ。

Google はハッカーコンテスト「Pwn2Own」のスポンサーとなった (TechCrunch の記事より) 。 昨年の Pwn2Own 2010 では、参加者が Google Chrome 以外の主要 Web ブラウザすべてのハッキングに成功した (Download Squad の記事) 。その前年の Pwn2Own 2009 では IE8 のハックに成功した人物が Chrome にも挑戦したのだがハックできなかったという経緯もあってか、2010 年の参加者は誰も Chrome を相手にしなかったらしい。 そういう経緯で今年の Pwn2Own 2011 では Chrome がそもそものハック対象から外されていたのだが、そこで Google は自ら「賞金を提供」することで、同イベントに参加することになったそうだ。ちなみに Google が提供する賞金は 2 万ドル。この額は前年までの賞金

セキュリティソフト Kaspersky Internet Security の 2007 年末時点でのソースコードがインターネットに流出したそうだ (本家 /. 記事、The H Security の記事より) 。 流出したコードは 2008 年初頭に Kaspersky 社に不満を持っていた元従業員によって持ち出されたと見られるものだそうで、ブラックマーケットへの販売も試みられていたという。ウイルス作者がこのコードを参考にした可能性もあるが、Kaspersky 社によると現在の製品には流出したコードの一部しか使われておらず、また流出したコードは保護機能に関するものではないと主張、ユーザーは不安を感じる必要はないと述べている。

ドイツの独立系アンチウイルス調査機関AV-Testは1月27日の午前5時6分（GMT）、5千万件目にあたるマルウェアをレポジトリに登録したとのこと（The H Security記事より）。 栄えある(?)5千万件目のマルウェアの座を射止めたのは、Adobe Readerのセキュリティーホールを突いてWindowsのシステムに感染するPDFファイル。現段階では全貌が明らかになっておらず、名前すらない状態であるが、Authentium、Eset、F-Prot、Kaspersky、McAfeeなどのヒューリスティック機能では「HEUR:Exploit. Script.Generic」として検出されるそうだ。 最近のマルウェアはOSやブラウザのセキュリティーホールよりも、サードパーティのアプリケーションを狙う傾向がある。このマルウェアもAdobe Readerだけでなく、FlashプラグインやJa

数年前であれば、携帯電話を盗まれたとしてもメールを読まれたり、いたずら電話をかけらる位の被害で済んだかもしれない。しかし今日、携帯電話は何よりも「紛失してはマズイもの」となってしまった (CNNMoney.com の記事、本家 /. 記事より) 。 今日人々はスマートフォンを使って銀行振込みをしたり支払をしたり、財産管理などを行っている。また電子マネー機能を備えているものもあり、窃盗犯にとって非常に魅力的な一品となっているとのこと。電話をロックするのは一つの対策ではあるが、その気になればパスワードは役に立たないことは /.Jer ならお分かりだろう (CSMonitor.com の記事)。 スマートフォンや携帯電話は、いまや財布よりも落としたり盗まれたりした場合のリスクが高くなってしまったのだろうか ? /.J 諸兄方の「落としたら最もマズイもの」は何だろうか ?

米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ（IT WORLD、本家/.）。 容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。 容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、

解雇された業界団体の会長に嫌がらせをする目的でサーバーに侵入し、営業秘密情報を不正に取得した人物を、警視庁ハイテク犯罪対策総合センターが不正競争防止法違反などの疑いで逮捕した (日本経済新聞の記事より) 。 容疑者は 2004 年に、パチンコ業界団体である東日本遊技機商業協同組合の顧問を解雇されていた。中古パチンコ台販売会社に損害を与える目的で同団体が管理する加盟各社のパチンコ台の流通情報を保持するサーバに 260 回にわたって不正アクセスをし、得られた秘密情報をもとに怪文書を作成して加盟会社各社に送りつけていた。 不正競争防止法では、同業他社などが「不正の競争」を目的として営業秘密を不正取得した場合が刑事罰の対象となっていたが、昨年 7 月の改正で「不正の利益を得る」と改正され、不満や怨恨を晴らすなど「損害を加える目的」があれば処罰が可能となった。

昨年の暮れ、GoogleはNFC技術を搭載したSamsung製新型スマートフォン"Nexus S"を発売した。Nexus SはLinuxをベースに含むAndroid 2.3をOSとして採用しているが、Android搭載端末には現在のところ端末を所有するユーザであってもシステム領域への書き込みやスーパーユーザ特権の取得ができない制限がかけられており、パワーユーザの間ではアプリケーションのlocal root exploitやブートローダの脆弱性利用などによってこれを回避する「root化(rooting)」と呼ばれる行為が広く行われている。Nexus Sでもユーザコミュニティによって端末のroot特権を得る方法がすぐに発見された。 発売からroot化の完了までの期間が短いことが話題になったが、これについてAndroidのセキュリティチームメンバーであるNick Kralevich氏は先月20日

iPhone/iPadアプリがユーザーによる確認/承諾無しで個人情報を広告ネットワークに送信しているとして、Appleが訴えられているそうだ（本家/.）。InformationWeekによると、訴えられているのは個人情報を送信するアプリを作成したBackflip、Dictionaty.com、Pandora、The Weather ChannelなどとApple。 日本ではまだあまり騒ぎにはなっていないが、同様のことをする日本向けアプリが存在する可能性もあるので、注意したほうがよいかもしれない。

英国のクレジット／デビッドカード等のカード関連業界の団体であるUK Cards Associationが、ケンブリッジ大学に対して、Omar Choudary氏の「No-PIN攻撃」に関する論文の掲載を取りやめるよう訴えていたが、きっぱり断られたとのこと（The H）。 同氏の論文はEMV規格のICチップを採用したカードに、どんな暗証番号でも認証させる方法を説明しており、UK Cards Associationはケンブリッジ大学に対してオンライン上の論文掲載をやめるよう訴えていた。しかし、同大学のRoss Anderson氏は「権力層の意にそぐわないことを理由に検閲行為を行うことは我々の真意に反する」とし、訴えに応じない姿勢を表明したとのこと。「No-PIN攻撃」は2009年に発表、詳しくは2010年2月にウェブ掲載されていた。 Anderson氏は自身のブログで、以前は「No-PIN攻撃

11月頃に中国の政府機関CNCERTが発表した情報で、今年９月末時点で中国国内の１００万部の携帯がゾンビ化してる というニュースがありました。 主にSymbianOSで動くマルウェアだそうで、正規のセキュリティ対策のソフトウェアと偽ってDL→インストールさせたり、 SMSでURLを送り、便利なソフトであるかのように見せかけてDL→インストールさせたりという手順が紹介されていました。 ワールドカップの動画を使った着信動画をDLできます、とSMSでURLを送り、「このサイトを利用するには、 こちらのアプリをインストールする必要があります」という感じでDLさせる手口です。 感染すると、端末のSIMカードの情報をコントロールしてるサーバに送り、コントロールしてるサーバは端末のSMS送信機能を 制御下に入れられるそうで、電話帳に載ってない番号でもコントロールしてるサーバが指定した不特定多数の相手に

先日 12 月 22 日頃から Skype に接続しづらいという状況に遭遇した人も少なくないと思うが、Skype ブログの記事によると、多くのスーパーノードに障害が発生したためだという。 スーパーノードとは、P2P ネットワークにおいてリレーやプロキシの役割を提供したり、他ユーザへの接続を取り持つ存在。Skype においては電話帳のような役割を担う。今回の障害はこのスーパーノードが「Skype のバージョンに影響を及ぼす障害」によってオフライン状態となってしまったことが原因という。 Skype はこの問題に対処するため「メガ・スーパーノード」を作成しているという。障害に強い特別なピアという意味なのか、あるいはメタな存在なのか、とりあえずこの素晴らしいネーミングセンスに本誌編集者も思わず失禁。

過去に何回か廃案になったウィルス作成罪 (正式には不正指令電磁的記録に関する罪) だが、2011 年の通常国会に提出される (YOMIURI ONLINE の記事) 。 過去には 2 回国会に提出されたが同じ法案に入っていた共謀罪創立への反発の余波で廃案となっていた。今度は単体で出される模様。2004 年に提出されたときの法案は法務省の WEB で閲覧できるので、第百六十八条の二あたりを読むと参考になる。この法案では、他人の電子計算機で使う目的でのウィルスの作成と配布や保有が罪になるというもので、単純所持 (解析のためとかコレクションのためとか) を罰することにはなっていない。 なお、今回の法案が 2004 年の法案のウィルス作成罪と同じなのかどこか変わる予定なのかは報じられていない。

連日話題となっている WikiLeaks による機密外交公電の公開事件だが、これを機に情報セキュリティへの不安が上昇しているそうだ (ComputerWorld.jp の記事より) 。 今回の事件では、政府の機密情報ですら流出しうるということを世に知らしめた点で意義深いが、これを受けて米 Gartner は「機密情報の漏洩は基本的には避けられない」と声明を述べている。対策としては「公になっては困る情報を記録しない」ということにつきるようだ。