Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち | スラド セキュリティ
国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした(プレスリリース、時事通信、ITpro)。 Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。 漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており
FBI、アンロックに成功したiPhoneを誤って水没させる | スラド セキュリティ
銃乱射事件容疑者が使用していたiPhoneのロック解除成功の喜びもつかの間、FBIが誤ってiPhoneに水をこぼしたため、使い物にならなくなってしまったそうだ(The New Yorker — The Borowitz Report)。 ロック解除成功後、喜びに沸く現場はハイタッチの嵐となり、その勢いで水の入ったグラスが倒れてiPhoneを水没させてしまったという。これについてFBIのスポークスマンは、FBI史上最も恥ずかしい出来事の一つだと語る。FBIではなんとかiPhoneを起動しようと繰り返し試みたが成功せず、Appleのサポートフォーラムの情報も当たったが役には立たなかったそうだ。ティム・クック氏はFBIとの関係を改善するため、新品のiPhoneとの交換を749ドルまたは2年契約付きで299ドルで提案しているとのこと。 The Borowitz ReportはコメディアンのAndy
セキュリティ専門家曰く、ソニーピクチャーズに対するサイバー攻撃への対応は最悪 | スラド セキュリティ
米国では大きな話題になっている、ソニー・ピクチャーズエンタテインメント(SPE)へのサイバー攻撃だが、この事件に対し、米国の著名なサイバーセキュリティ専門家であるピーター·ウォーレン·シンガー氏が「SPEがハッキング後に取った対応は最悪といえるものだ」とし、SPEや政府の対応に対し問題提起を行っている(MOTHERBOARD、Slashdot)。 同氏によれば、今回の件を米同時多発テロ(いわゆる「9.11」事件)のような物理的な攻撃と同一視することは信じられないという。映画を上映しなかったこともまずかった。この行為は(The Interviewのような映画を作る)チャレンジする精神を失わせ、業界全体を萎縮させる悪しき先例を作った可能性があるという。 例えば、ボストンマラソンのテロ事件があった。もし、あのときに炊飯器爆弾2個でボストン全体を閉鎖していたとしたら、テロリストにどういうメッセージ
北朝鮮の金第1書記の暗殺計画を題材にした映画、脅迫を受け公開中止へ | スラド セキュリティ
ソニー・ピクチャーズ・エンターテインメント(SPE)は12月25日に公開予定であったコメディ映画「ザ・インタビュー」の公開中止を決めたそうだ(Gizmodo、ロイター、Slashdot)。 「ザ・インタビュー」は金正恩にインタビューするTV司会者ら2人が、CIAから彼の暗殺を依頼されるという内容の超絶おバカ映画。北朝鮮はこの作品を激しく非難しており、また米国では大手映画館がハッカー集団からこの映画を上映した場合劇場へテロ攻撃を行うとの脅迫を受け上映を中止していた。 結果、SPEは映画館が従業員および観客の安全を第一に考えることに理解を示し、この映画の世界的な公開中止を決定したとのこと。将来的な公開も、VODもしくはDVDでのリリースも行う予定はなくこの作品は完全にお蔵入りとなる模様だ。 また、SPEについては先日サイバー攻撃を受け、内部情報が多数流出するという事件もあったが、米当局はこのサ
レジストリをハックしてWindows XPにセキュリティアップデートを適用する方法が開発される | スラド セキュリティ
先日サポートが終了し、セキュリティ修正を含む新たなアップデートの提供が打ち切られたWindows XPだが、Windows XPをベースとした組み込み向けOS「Windows Embedded POSReady 2009」用のアップデートをWindows XPに適用させるという技が開発された模様(GIGAZINE、本家slashdot)。 Windows Embedded POSReady 2009はWindows XPをベースに、POS端末向けにカスタマイズされた組み込み向けOS(クラウドWatchの記事)。2019年までサポートが継続される予定になっており、今回開発された「ハック」はWindows XPのレジストリを書き換えることで、Windows XPをこのWindows Embedded POSReady 2009に見せかけてアップデートを入手するという方法だ。 ただし、この手法で
英政府、Windows XPの有料サポートを550万ポンドで契約 | スラド セキュリティ
英国政府は4月8日でサポート期間の終了するMicrosoft製品について、セキュリティー更新プログラムの提供を受けることのできる12か月間のカスタムサポート契約を約550万ポンドでMicrosoftと結んだそうだ(Crown Commercial Serviceのニュースリリース、 Custom Support、 Computer Weeklyの記事、 本家/.)。 カスタムサポートの対象となるのはWindows XP SP3/Office 2003 SP3/Exchange Server 2003 SP2。政府機関および地方行政機関、教育機関、国民健康サービス(NHS)の使用するパソコンで「緊急」および「重要」とされる更新プログラムを2015年4月14日まで利用できるという。対象となるパソコンが250台以上の場合はMicrosoft Premierを通じてサービスを利用する。250台未満
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
バックドアのある乱数生成アルゴリズムの採用に対し、RSAがNSAから1千万ドルを受け取っていたとReutersが報じる | スラド セキュリティ
NSAが作成したバックドアのある乱数生成アルゴリズムの採用について、RSAが1千万ドルを受け取っていたとReutersが報じている(Reutersの記事、 SlashGearの記事、 本家/.)。 乱数生成アルゴリズム「Dual_EC_DRBG」の脆弱性は9月にエドワード・スノーデン氏のリークで明らかとなり(/.J記事)、RSAでもユーザーに対して同アルゴリズムを使用しないように呼びかけている。しかし、NSAがRSAに対し、同アルゴリズムを暗号ツールBsafeでデフォルトまたは優先のアルゴリズムとして採用するように働きかけ、その対価として1千万ドルを支払っていたという。RSAと親会社のEMCはこの件に関するコメントを避けているが、RSAは常に顧客の利益を優先しており、故意にバックドアを設けることはないなどとする声明を出しているとのことだ。
Android 4.3で追加されたパーミッション設定機能、Android 4.4.2で削除される | スラド セキュリティ
Android 4.3では個人情報などへのアクセス許可をアプリごとに設定できる「App Ops」という隠し機能が追加されていたが、先日リリースされたAndroid 4.4.2で取り除かれてしまったそうだ(Electronic Frontier Foundationの記事、 The Vergeの記事、 本家/.)。 Androidアプリには、システムリソースや個人情報などへのアクセスを要求するパーミッション設定がある。アプリの中には無断で個人情報を外部送信するものも多いが、各項目へのアクセス許可をユーザーが指定することはできず、インストール時に確認してアプリを使うかどうかを選択することしかできなかった。Android 4.3ではApp Opsを使用することで、アプリが要求するアクセス許可の項目をリストアップし、望ましくない項目を無効化できるようになっていた。しかし、Android 4.4.2
パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性 | スラド セキュリティ
Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み
Microsoft、Hotmailの深刻な脆弱性を修正 | スラド セキュリティ
Microsoftは4月27日、Windows Live Hotmailのパスワード再設定に関する深刻な脆弱性を修正したことを発表した。この脆弱性を利用したとみられる攻撃によりHotmailアカウントがハックされ、スパムの送信に使われたといった報告が4月に入ってから相次いでいた(Microsoft Security Responceチームのツイート、 Ars Technicaの記事、 BBC Newsの記事、 本家/.)。 Hotmailのパスワード再設定機能では、登録した電子メールアドレスあてにトークンを含むリンクが送信される。しかし、トークンが正しく検証されていなかったため、任意のHotmail/MSNアカウントのパスワードを攻撃者が変更できる状態となっていた。この脆弱性をVulnerbility Labが発見したのは4月6日。20日に報告を受けたMicrosoftはすぐに修正を行った
みずほ銀行曰く「安全でない可能性があります。よろしいですか?」と出たら「はい」を選択して進め | スラド セキュリティ
/.J 記事 にもあったように先月末にソフトバンクモバイルのガラケー Web ブラウザで https 接続する際の仕様変更が行われたが、それに伴いみずほ銀行のネットバンキングサービスを提供するガラケーサイトで、6 月 30 日未明からソフトバンクモバイル端末から利用できなくなる不具合が生じていた。その後「現在ご利用可能となっております」という発表が、7 月 5 日に出た (みずほ銀行からの告知) 。 その発表によると、ソフトバンクモバイル端末からアクセスすると「このサイトは安全でない可能性があります。よろしいですか?」というメッセージが表示される可能性があり、それに対して「はい」を選択するよう指示している。「はい」を選択したあと、遷移先の URL を確認して、みずほ銀行のサイトであるかどうかを確認するように求めている。 URL を確認せよというのだが、これを確認したところで何の意味もないこ
イケてないハッカー、その所業を晒される | スラド セキュリティ
root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?
Skype 障害、メガ・スーパーノードの作成で対処中 | スラド セキュリティ
先日 12 月 22 日頃から Skype に接続しづらいという状況に遭遇した人も少なくないと思うが、Skype ブログの記事によると、多くのスーパーノードに障害が発生したためだという。 スーパーノードとは、P2P ネットワークにおいてリレーやプロキシの役割を提供したり、他ユーザへの接続を取り持つ存在。Skype においては電話帳のような役割を担う。今回の障害はこのスーパーノードが「Skype のバージョンに影響を及ぼす障害」によってオフライン状態となってしまったことが原因という。 Skype はこの問題に対処するため「メガ・スーパーノード」を作成しているという。障害に強い特別なピアという意味なのか、あるいはメタな存在なのか、とりあえずこの素晴らしいネーミングセンスに本誌編集者も思わず失禁。
Linux 64bit 版カーネルに root 権限を奪われる脆弱性 | スラド セキュリティ
ストーリー by reo 2010年09月21日 13時00分 lenny では 2.6.26-25lenny1 で修正されてます 部門より 64 bit 版 Linux カーネルに、root 権限を奪われる可能性のある脆弱性が見つかったとのこと (本家 /. 記事より) 。 この脆弱性 (CVE-2010-3081) はスタック・アンダーフローによってトリガーされるとのこと。ローカルユーザが root 権限を奪取できる exploit コード「Ac1db1tch3z」も既に公開されている。このコードはバックドアを残すため脆弱性へのパッチが適用された後も悪用される危険性がある。 また、Ksplice Inc. からは攻撃を受けたかをチェックするツール及びリブート不要のパッチが提供されているとのことだ。
WindowsにおけるDLLハイジャック脆弱性、多くのメジャーなソフトウェアにも | スラド セキュリティ
世間を騒がせつつあるDLLハイジャックの脆弱性であるが、セキュリティ診断ツールMetasploitの開発版においてこの問題をチェックする機能「webdav_dll_hijacker」が追加され、簡単にこの脆弱性を発見できるようになった(Metasploitのブログ記事、本家記事)。 問題となっている脆弱性は、アプリケーションがリモートの共有ディレクトリ内にあるファイルを開く際にそのファイルと同じディレクトリにあるDLLをロードしてしまうというもの。webdav_dll_hijackerではLinux上でWebDavサーバーを実行させ、Windows側からそこにあるファイルを開くことで診断を行うという。もし脆弱性がある場合、ソフトウェアがサーバー側にあるDLLを読み出そうとするため、サーバー側にアクセスのログが残る。これをチェックすることで脆弱性を発見する、という原理だそうだ。 実際、これに
愛知県庁で誤って「弾道ミサイル警報」発令 | スラド セキュリティ
8月13日に、愛知県の県庁や県の出先機関などで「弾道ミサイル警報」が誤って発令されていたそうです。 トラブルが発生する前に職員たちが気づき、アラームを止めたそうで、特に大きな混乱などは発生しなかった模様。しかし、「ミサイル警報」が発令されたらすぐに何らかの混乱が発生しそうなものですが、みなすぐに訓練だと思ったのでしょうか? ちなみに、当時は名古屋市役所で警報システムの受信訓練をしていたそうで、受信後に自動的に庁内放送を行うスイッチを切っておくのを忘れたのが原因だそうです。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
最近ではハッカーも週5日制 | スラド セキュリティ
WikiLeaks の Julian Assange 氏、米 TIME 誌の「Person of the Year」投票でトップに | スラド セキュリティ