Microsoftアカウント、2年以上サインインしないと削除される可能性 | スラド セキュリティ
headless曰く、 Microsoftが1日付で公開したサポートドキュメントによると、Microsoftアカウントが非アクティブとみなされるまでの期間が短縮されるようだ(Microsoft account activity policy、Neowin、Windows Central)。 Microsoftサービス規約(MSA)ではMicrosoftアカウントをアクティブな状態に保つようユーザーに求めており、少なくとも5年に1回はサインインしなければ非アクティブとみなされることが明記されている。非アクティブとみなされたMicrosoftアカウントはMicrosoftにより停止(削除)されることになる。なお、Outlook.comの受信トレイおよびOneDriveについては少なくとも年に1回は個別にサインインする必要がある。 一方、新しいアカウントポリシーでは、少なくとも2年に1回サインイ
AI搭載の「ラブドール」がハッキングされ人間を襲う危険性が指摘される | スラド セキュリティ
以前、人工知能を搭載したラブドールが開発されているという話があったが、こうした人工知能搭載ラブドールがハッキングされ、ユーザーを襲う危険性が懸念されている(DailyStar、カラパイア)。 サイバーセキュリティを専門とするオーストラリア・Deakin UniversityのNick Patterson教授によると、人間の労働者が人間のようなロボットに置き換えられる時代はすぐ来るという。それらには携帯電話やタブレット、PCのようにOSが搭載され、またこれらがインターネットに接続されることは容易に想定できる。そのときに問題となるのが、サイバー攻撃の標的となることだという。そして、「セックスロボット」の登場や、それがハッキングされる可能性も十分に考えられるという。 リアルな人間のような動きが可能なロボットがもし実現したとすると、それらは人間に危害を加える能力を十分に備えている。セックスロボット
カナダの14歳2人組、モントリオール銀行のATMをハックして銀行に報告 | スラド セキュリティ
14歳のカナダ人少年、Matthew Hewlett君とCaleb Turon君が、ランチタイム中に学校を抜け出し、モントリオール銀行のATMのセキュリティー上の脆弱性を指摘したという一件があったそうだ(Winnipeg Sun、Slashdot記事)。 2人はオンライン上でATMのオペレーターマニュアルを発見、そこにATMをオペレーターモードに切り替える方法が載っていたとのこと。そこで、学校のランチタイム中にモントリオール銀行のATMに行き、システムに入り込めるか試してみたという。「まさかできるとは思わなかった」ものの、数字6桁のパスワード認証では「ありふれたデフォルトのパスワード」を適当に打ったところ、システムに入り込むことができてしまったとのこと。 慌ててモントリオール銀行に連絡したものの、銀行側は顧客の暗証番号の一つが盗まれてしまったのだと誤解。そこで2人は、ATMをハックできてし
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
Heartbleed脆弱性発表から1か月、現在も脆弱性の影響を受けるサーバーは30万件以上 | スラド セキュリティ
OpenSSLの「Heartbleed」脆弱性の存在が明らかになってから1か月経過したが、現在も30万件以上のサーバーが脆弱性の影響を受ける状態にあるそうだ(Errata Securityブログの記事、 Vivaldi.net blogの記事、 International Business Timesの記事、 本家/.)。 Errata Securityが先月実行したスキャンでは、Heartbeat拡張が有効と検出されたサーバーは100万件、パッチが当たっていたのは3分の1程度だったという。今回のスキャンではHeartbeat拡張が有効なサーバーは150万件に増加し、うち318,239件が脆弱性の影響を受けるバージョンだったとのこと。Heartbeat拡張を使用するサーバーの増加については、一時的な対処方法としてHeartbeat拡張を無効化していたが、更新により再度Heartbeat拡張
遠隔操作事件、「被告のプログラミング能力」が1つの争点に | スラド セキュリティ
現在裁判が進んでおり、たびたび話題となっているPC遠隔操作事件だが、その争点の1つには「被告は遠隔操作ウイルスを作成できるスキルを持っているのか」ということがあるそうだ。 この事件について追いかけているジャーナリストの江川紹子氏が公判についてレポートしているところによると、検察側は「被告は高いプログラミング技量を持つ」と主張、いっぽう弁護側は「被告のプログラミング技量は低い」とそれぞれ主張する事態になっているらしい。 検察側は「被告は業務で数千行のC#コードの修正を行った」との証言を出したという。ただ、この作業は5~6人のチームで行ったもので、被告がどれほどこれに関わったのかは不明だ。いっぽうで弁護側は、被告が書いたコードはバグだらけで使い物にならなかったためチームリーダーが書き直したということや、会社から出されたASP.NETとC#の『課題』について、初歩的なものについても『どういったこ
Windows XPの影に隠れて忘れられがちな「Office 2003のサポート終了」にも要注意 | スラド セキュリティ
今年4月8日を持ってWindows XPのサポートが終了することはすでに各所で大きく取り上げられているが、同時にOffice 2003のサポートが終了することについてはあまり話題になっていない。 これについて、Microsoftのセキュリティチームがサポート終了後にOffice 2003を使い続けることについての危険性を述べている。これによると、非Windows XP環境であったとしても、Office 2003を使い続けることは危険であるとのこと。Officeの脆弱性を狙った攻撃は過去に多数登場しており、今後も登場する可能性は低くない。 Windows Vista発売直後にはOffice 2007がリリースされていることもあり、非Windows XP環境でOffice 2003を使っているユーザーは少ないと思われるが、Office 2007ではUIが大きく変更されたこともあり、それを嫌って
KDDIが個人情報を自動で伏せ字にするソフトを開発 | スラド セキュリティ
KDDI研究所は2月4日、SNSなどの書き込みから個人情報を自動検出するツールを開発したと発表した。ツールには検出した個人情報部分を自動的に伏せ字化する機能もあり、サイト運営者の管理業務の効率化に役立つとしている。ツールは月内にも販売を開始し、価格はカスタマイズ内容により応相談だが約80万円とのこと(プレスリリースPDF、ITmedia、日経新聞)。 識別対象は電話番号、人名、氏名、メールアドレス、日時の5種。ツールに書き込みのテキストを入力すると、Webブラウザ上に検出結果と伏せ字処理結果を1件ずつ表示する。処理速度は毎分1200件。検出精度は約94%。管理者による最終確認は必要だが、従来の目視確認で1件あたり約30秒かかっていた作業が3分の1の10秒まで短縮可能という。また、単語を登録することで、個人情報以外のキーワードの検出も可能。 なお、人名については「一般的」と注釈がある。ハンド
MS、Windows XPセキュリティ製品向けアップデートを2015年7月まで延長 | スラド セキュリティ
Microsoftは同社のセキュリティ製品のWindows XP向けサポートを2015年7月14日まで延長することを発表したそうだ(TNW、slashdot)。 MicrosoftはWindows XPのサポート終了を2014年4月8日に設定し、その後一切のアップデートやサポートは提供しないとしていた。しかしこの度同社のセキュリティ製品に関してはWindows XP向けのアップデートを2015年7月14日まで延長することが発表されたとのこと。 これはエンタープライズカスタマに関してはWindows XP向けのSystem Center Endpoint Protection、Forefront Client Security、Forefront Endpoint Protection及びWindows Intuneのアップデートが継続されることを意味する。また個人ユーザに関してはMicro
豪公共交通システム、Webサイトの脆弱性を報告した少年を警察に通報 | スラド セキュリティ
16歳の少年がオーストラリア・ビクトリア州の公共交通システム、Public Transport Victoria(PTV)のWebサイトで脆弱性を発見して報告したが、PTVは不正アクセスを受けたとして警察に通報したそうだ(The Ageの記事1、 The Ageの記事2、 Wiredの記事、 本家/.)。 この少年が見つけたのはSQLインジェクションの脆弱性で、旧公共交通システムMetlinkのオンラインストア利用者の名前や住所、電話番号、メールアドレス、クレジットカード番号の一部といった個人情報が保存されたデータベースにアクセス可能だったとのこと。少年は12月26日にPTVに脆弱性を報告したが、何の反応もなかったという。その後、少年からこの件について連絡を受けたFairfax Mediaが1月6日に問い合わせたところ、PTVは不正アクセスを受けたとして警察に通報。少年に対する警察からの接
活用されない運転免許証のIC機能 | スラド セキュリティ
2007年より運転免許証にICチップが付けられるようになったが、このICチップの活用が進んでいないと読売新聞が報じている。 ICチップは免許証の偽造対策として導入されたが、現在身分証明書として免許証が利用される際にICチップによる確認が行われる例はほとんどない状態。当初は銀行での口座開設や携帯電話の契約の際などで利用することが想定されていたが、警察庁などからの要請などもなかったとのことで、導入は進んでいない。 IC化によって免許証の交付手数料は値上げされていることもあり、警察庁は活用を進めるべく対策を検討中だそうだ。
Android 4.3で追加されたパーミッション設定機能、Android 4.4.2で削除される | スラド セキュリティ
Android 4.3では個人情報などへのアクセス許可をアプリごとに設定できる「App Ops」という隠し機能が追加されていたが、先日リリースされたAndroid 4.4.2で取り除かれてしまったそうだ(Electronic Frontier Foundationの記事、 The Vergeの記事、 本家/.)。 Androidアプリには、システムリソースや個人情報などへのアクセスを要求するパーミッション設定がある。アプリの中には無断で個人情報を外部送信するものも多いが、各項目へのアクセス許可をユーザーが指定することはできず、インストール時に確認してアプリを使うかどうかを選択することしかできなかった。Android 4.3ではApp Opsを使用することで、アプリが要求するアクセス許可の項目をリストアップし、望ましくない項目を無効化できるようになっていた。しかし、Android 4.4.2
GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に | スラド セキュリティ
日本政府は政府関連サービス向けに認証基盤(GPKI)を提供しているが、Firefoxではそのサポートが遅れており、そのためハローワークなどのサイトがFirefoxでのアクセス時に「接続の安全性が確認できない」と表示される事態になっている(mozillaのbugzilla)。 GPKIの証明書がWindows Updateで配布されたことも以前話題になったが、Firefoxは独自にルート証明書を管理しており、今回は更新された新しいルート証明書がFirefoxに含まれていないために問題が発生しているようだ。 証明書の配布も行われているが、証明書を配布しているwww.gpki.go.jpについてもアクセスすると「接続の安全性が確認できない」という表示がされる状況になっている。
米国の核ミサイルの発射パスワードは「00000000」だった | スラド セキュリティ
冷戦中、米国では領土への攻撃が行われた場合、迅速に核弾頭ミサイルによる反撃が行えるよう準備をしていた。核弾頭ミサイルの発射にはPermissive Action Link(PAL)と呼ばれるデバイスに発射コード(暗証番号)の入力が必要だが、この発射コードは、「00000000」という数字に設定されていたそうだ(TODAY I FOUNDOUT、本家/.)。 00000000になった理由は「入力時間を最小化するため」らしい。このパスワードは約20年間ほど使われていたとのこと。
チェイニー元米副大統領、テロリストからの攻撃を懸念して植え込み型除細動器の無線機能を無効化していた | スラド セキュリティ
米国の元副大統領ディック・チェイニー氏は昨年71歳で心臓移植を受けて健康を取り戻したが、以前使用していた植え込み型除細動器がテロリストの攻撃ターゲットになることを懸念して無線機能を無効化していたそうだ(The Washington Postの記事、 CBS Newsの記事、 本家/.)。 若いころから心臓病をわずらっていたチェイニー氏は、37歳で最初の心臓発作を起こしたという。2001年には心拍の異常を検出して電気的な刺激を送り、心拍を正常に戻す植え込み型除細動器を心臓の近くに植え込む手術を受けている(CNN.com — Dick Cheney Fast Facts)。植え込み型除細動器は2007年に交換しているが、搭載されている無線機能をテロリストが悪用し、チェイニー氏を殺害するために強い電気ショックを与えることが懸念された。そのため、チェイニー氏は医師とも相談の上で無線機能を無効化する
Anonymousにあこがれる高校1年生、不正アクセス禁止法違反で書類送検 | スラド セキュリティ
京都府警公安課とサイバー犯罪対策課などは、滋賀県大津市の高校1年生の少年が不動産会社のサーバーに侵入したとして、不正アクセス禁止法違反の容疑で書類送検したそうだ(YOMIURI ONLINEの記事、 日本経済新聞の記事、 毎日jpの記事、 ZAKZAKの記事)。 Twitterやブログなどで少年はAnonymousのメンバーを自称しており、不正アクセスで入手した社員のIDやパスワードなどを情報共有サイトに掲載していたという。ただし、実際にAnonymousの活動に参加したことはなく、将来Anonymousに参加するためにハッキング技術を磨いていたなどと供述しているとのこと。今回の事件は、4月に発足したサイバー攻撃特別捜査隊による全国初の摘発とのことだ。
米国でウソ発見器を騙す方法を教えていた男性、逮捕され8か月の服役へ | スラド セキュリティ
「ウソ発見器」などとして知られ、一部の警察などが導入しているポリグラフという機械がある。実際にはポリグラフはウソ発見器ではなく、被験者の動揺や心の変化を可視化するための装置であるのだが、このポリグラフを「騙す」方法を教えていた米インディアナ州の男性が起訴された(The Seatle Times)。 起訴の理由は、彼を調査していた覆面調査員に対する「通信詐欺」そして「訴訟妨害」とのことで、最終的に8か月の服役が科せられたようだ。 この男性は70~100人に対し、1日1000ドル(約10万円)でこの「トレーニング」を行っていたそうだ。トレーニングを受けた人には性犯罪者や法務・警察関連への就職希望者などが含まれており、不正な目的のために使おうとしていた人もいたという。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自動車のエンジンを外部から止められるバックドア搭載に向けてEUが動き出す | スラド セキュリティ
楽天への不正アクセス、不正に窃取したポイントは紙おむつにして換金していた | スラド セキュリティ
人工知能の進化で変形文字「CAPTCHA」が解除可能に | スラド セキュリティ