イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収

人気ダウンロードツール「Orbit Downloader」に、外部からの遠隔操作によってDDoS攻撃を行うコンポーネントが含まれていたことが判明した（Security Next）。開発元のInnoshockからの発表などはなく、故意に含めたのか、それとも外部からの攻撃などによって混入したのかは不明。 セキュリティ企業ESETが解析して発見したもので、同社はOrbit Downloaderとトロイの木馬として認定、一部ダウンロードサイトなどではこれを受けて公開を停止している。

これまで、多くのセキュリティ研究者たちがJavaScriptやIFRAMEの抱える弱点と問題点について警告を行ってきた。今回、英国の研究者Paul Stone氏が新たに発見した問題はこれまで以上に深刻な内容であるようだ。発見されたのはJavaScriptを利用して、指定したURLを過去に訪れているかどうかや、そのWebブラウザで閲覧してるサイトのソースコードを読み取ることができる技術だという（threatpost、本家/.）。 攻撃者はユーザーがログインしている任意のWebページ上のソースコードへのアクセスを取得でき、ユーザーIDや個人情報などすべての種類の機密情報を取得できる。Paul Stone氏によれば、この問題を防ぐための簡単な修正手段は今のところないという。 threatpostの記事によると、Stone氏が発見した問題点は2つあり、1つは「すでに訪問したURLへのハイパーリンク

ラスベガスで開催されるBlack Hatでセキュリティ研究者Fran Brown氏がRFIDのハッキングを行うプレゼンテーションを行うという。RFIDのハッキングは以前にも成功例があるが、接触距離が数センチと近距離でなければ成功しなかった。今回のFran Brown氏の方法を使用すれば、最大3フィート（0.9144メートル）という距離があっても100％確立で成功するという（Black Hat、threatpost、本家/.）。 この手法を利用することで近接したRFIDバッジ情報を盗むことができるほか、クローンしたカードの作成、データセンターのアクセス件を得る、リーダーとコントローラを直接攻撃するといったことが可能になっているようだ。このハッキングに使用されたカードリーダーはArduinoを元にしており、回路図およびコードはBlack Hat上で発表される予定となっている。

今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと（LZH書庫のヘッダー処理における脆弱性について）。 Micco氏はこれをJVN（Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト）に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー， JVN / IPA 等共に『LZH 書庫なんて知らねぇ～よ』という態度から変わることはない」と判断できましたので， UNLHA32.DLL， UNARJ32.DLL， LHMelt の開発を中止す

千葉銀行が、振り込め詐欺対策としてATM近くを圏外にする装置を導入した（読売新聞の記事）。 いままで出ていなかったのが不思議なくらいだが、ついに出たか。記事の装置は極、小範囲をカバーするものみたいだが、これから、どんどん広がりそうな予感。 この装置は周囲1～2メートルの範囲に微弱な電波を発生させ、携帯電話の電波を遮るというもの。ケータイWatchによると、この「通話抑止装置」は微弱出力であっても総務省への申請が必要とのことで、5ヶ月間の準備を経て認可を受けたそうだ。ちなみに、圏外とする範囲は2mほどで、ATMから少し離れるだけで通話は可能になるとのこと。

常日頃テロの脅威に晒され、最先端のセキュリティ品質が求められるようになったイスラエルでは、様々な「金属探知機よりも速くて効率が良く、乗客の負担も小さい」という空港警備システムが開発されているようだ (CNN.co.jp の記事, より詳しくは本家 cnn.com の記事) 。 従来、ハイジャックなどのテロ防止のため、空港では金属探知機を使った手荷物検査が行われているが、このシステムでは非金属製の武器や化学薬品、そして武器を使わないハイジャックは防止できない。そこで WeCU Technologies 社が開発しているのが、人間の生体反応を用いて悪意のある人間を検知するシステムだ。記事によると、たとえば空港で乗客が目にする画面や電光掲示板にテロに関係のあるキーワードや写真を瞬間的に表示させ、サブリミナル効果によって起こる反応をセンサーでチェックする、といった仕組が考えられているそうだ。また、

朝日新聞の記事によると、徳島県で医師が電子カルテシステムの検索結果を正しいと思い込み、誤った薬剤を投与して患者を死亡させる事件が発生したそうだ。 この事件は、副腎皮質ホルモンである「サクシゾン」という薬剤を投与すべきなのを、間違って筋弛緩剤の「サクシン」を投与してしまったために発生したのだが、誤って投与してしまった原因は「電子カルテで『サクシ』と検索したら『サクシン』だけが表示された」からということらしい。 この病院では、「サクシン」と「サクシゾン」という名前が似ている2つの薬剤があると紛らわしいという理由でサクシゾンの常備をやめていたそうで、そのために「サクシゾン」が検索結果に表示されなかったそうだ。看護師から「本当にサクシンでいいのですか」との口頭での確認はあったのだが、医師は誤っていることに気づかなかったという。 この事件は、「不注意だった」だけでなく、「コンピュータを過信しすぎた」

Microsoft ResearchはAsirraという画像ベースのCAPTCHAを開発しているが、これを破るプログラムが既に開発されているそうだ（Technology Review・本家記事）。 Asirraは表示される犬や猫の画像から、すべての猫（or犬）の画像を選択するという認証方法であるが、 パロアルト研究所のPhillipe Golle氏は83%の確率で画像が犬か猫か識別できるプログラムを開発した。Asirraの画像はPetfinder.comというペットの里親募集サイトが提供している300万の画像が元になっているが、Goll氏はこのサイトから8,000点の画像集め、トライアル＆エラーを通して犬と猫を見分けられるよう学習させた。識別は画像の色とテクスチャを統計分析して行われ、特に犬のピンク色の舌と猫の眼の緑色が識別の鍵となったそうだ。 Golle氏曰く「機械学習は情報集約に非常に

情報処理推進機構（IPA）が9月29日、66%もの無線LANアクセスポイント（AP）がただ乗りできる可能性があるという調査結果を発表した（2008年度第1回　情報セキュリティに関する脅威に対する意識調査、報告書[PDF]）。 自宅での無線LAN利用者(1515人)の内、無線LANのセキュリティ対策の有無についての問いでは WPA2（Wi-Fi Protected Access 2）などによる通信の暗号化 : 38.2% MACアドレスによる接続制限（フィルタリング）: 22.7% 無線LANクライアント側でSSIDを「ANY」あるいは空欄に設定しない : 22.4% その他 : 2.8% 上記の対策を実施していない: 44.8% このうち「SSIDを"ANY"～」というのは他人のアクセスポイント(AP)に繋がないための処置であるが、アクセスポイント自体の防御ではない。 つまり無防備なアクセ

母親がペースメーカ埋め込み手術して手術室から戻った直後に、エンジニア？が２人で病室に来て、 埋め込んだあたりに手のひら大の金属のリング載せてノートPCつないでモニタリングと設定らしきことをしてました。 近くで見られなかったのでよくわかりませんでしたが、グラフ表示の様子からみてかなり細かいデータがとれていそう。 埋め込み後のモニターや設定のために端子とか外に出すんだろうか、まさかいちいち切り開くのだろうかと術前に心配してましたが、 ああやって非接触で測定できるのかと感心しました。 （母によると埋め込んで数ヶ月でペースメーカは体の中に沈み込んできたそうで、位置が変わるのでは外部との有線接続は難しいかも。） しかしその後の通常の医者の診察では普通の生身の人間のように脈を測ったりして正常に動作していることを 結果として知るのみで、詳しく知りたいときはやはりエンジニア呼んで測定器を載せて調べるようで

ストーリー by hayakawa 2008年06月19日 3時43分 アンチウイルスソフトがDoSアタック！ 部門より The Registerの記事によると、無償のアンチウイルスソフトとして人気の高い「AVG Antivirus Free Edition」だが、4月に公開されたver.8の新機能が物議を醸している。 問題となっているのはLinkScannerという機能で、日本語公式サイトの説明では「『リンクスキャナ』は、単純なブラックリスト/ホワイトリストによってではなく、リンクをクリックした瞬間に開こうとしているWebサイトが安全かどうかをチェックします。」と記載されている。ところが、検索サイトの検索結果ページに限っては、リンクをクリックする前にリンク先の検査が行われるようなのである。 この先読みチェック機能は、「AVG Search-Shieldオプション」のチェックを外すことで無

このところボットによるCAPTCHA破りがいくつかストーリーになっているが、画像などからの適切な連想キーワードを作る手段としてGwap.comというゲームサイトが作られている（The Registerの記事）。このサイトは、カーネギーメロン大学のLuis von Ahn教授によるもので、「2人のプレーヤーが提示された写真などから連想する単語（タグ）を入力し、タグが一致すればポイントが入る」といった類のゲームが5種類用意されている。Ahn教授は、プレイヤーに膨大な数の音や写真へのタグ付けに協力してもらい、それらのデータを使って最終的にはコンピュータ自体が音や写真から適切なタグを生成できるようにしたいと考えているそうだ。 ゲームとして面白いかどうかは別として（タレコミ人にはあまり面白くなかった）、データ集めの方法としては面白い試みと言えそうだ。

ストーリー by nabeshin 2008年05月16日 12時35分 IP電話のアカウント管理は大丈夫ですか？ 部門より VoIP電話のアカウントとパスワードは、盗まれたクレジットカード情報より高い値段で取引されているとのこと（BBCのニュース）。情報ソースは、IP通信機器メーカーのNewport Networksで、同社のDave Gladwin氏によると、クレジットカード情報は公然とオンラインで取引されており、相場は12ドル前後。一方のVoIP電話のアカウント情報は17ドル前後。また、VoIP電話キャリアの9割はセキュアでないと述べている。 クレジットカード情報の盗難は身近なところで被害を経験し（オンラインではない店舗などでの情報盗難だが）それなりにあるのは実感できていたが、いざ安い値段を示されると流通量が相当なものだとうかがえる。VoIP電話の情報価値が高いのは需要と供給のバラン

本家/.の記事より。政府や企業の不正を匿名で内部告発できるWikiと して知られるWikiLeaks.org が、このところ様々な攻撃に曝されているそうだ。現在メインのドメイン 名wikileaks.orgではDNSでIPアドレスが引けなくなっているのだが、これ はケイマン諸島におけるオフショア・トラストの構造に関してWikiLeaks に漏洩した一連の記事や文書に関し、カリフォルニア北部地裁がドメイン レジストラに下した一時差止命令のためだと言う(Spy Blogの記事)。こ れらの漏洩文書は、スイスの銀行Bank Julius Baerが、世界中の富裕な顧客が脱税やマネーロンダリングを行うのを 手伝っていることを示唆する内容で、漏洩させた内部告発者はBank Julius Baerケイマン諸島支店の前副支店長だと言われている。また WikiLeaksサーバそのものには先週土曜までは別名

ストーリー by nabeshin 2008年02月08日 16時11分 毛をちらばせるだけでなく、もっとぐにょぐにょに 部門より ITmediaの記事によると、「Live Mailのキャプチャを破るボットが登場、不正アカウントを大量取得」とのこと。「スパマーが開発したボットがCAPTCHAを解読している」と書かれているが、読み進むと「(ボットは)CAPTCHAの変形文字を入力するところまで来ると、CAPTCHA破りサービスに画像を送って読み取らせ、テキストを受け取る仕組みになっている。」とあるので、ボットが直接解読しているわけではないようだ。 タレコミ人としては、この「CAPTCHA破りサービス」がどのようなものか気になるが、OCRソフトのような物でノイズを消去しているのだろうか。3回に1回程度の成功率ということである。

ITProの記事によると、ネットワーク・プリンタに許可なく印刷できる攻撃手法、Cross Site Scriptingならぬ「Cross Site Printing」が発見された(ha.ckers.orgのブログ記事、発見者による説明資料[PDF])。 Cross Site Printingで細工されたウェブサイトにアクセスすると，そのパソコンを接続しているローカル・ネットワーク内のプリンタ(多くの場合ポート9100を開けて待機している)に印刷ジョブが送られ，ユーザが意図しない印刷が行われる。公開された資料を見ると、攻撃にはJavaScriptを仕込むだけで良く、単に印刷する以外にPostScriptの実行やFAX送信も出来るようだ。発見者のセキュリティ専門家Aaron Weaver氏は，今後プリンタがスパムの送信手段として悪用されるのを懸念しているとのこと。

情報漏洩問題を受けて、勤め先の会社が、個人が所有しているパソコンを第三者の立会いで調査することになりました。詳細は伏せますが、大体の経緯は次の通りです。 情報漏洩が発生(ニュースにもなりました)。原因は、業務ファイルを持ち帰ってウィルス感染した自宅PC上で仕事したため。流出させた方は懲戒免職。第二の情報漏洩を起こさないため、社員の自宅PCを第三者の立会いで調査するとの指示。調査内容は、業務ファイルが無いことと、会社で禁止しているソフトが使われていないかを確認するとのことでした。 会社からはたしかに個人PCで業務を行わないよう指示を受けていましたが、同意もなしに私物を調査されるのは納得できません。 皆さんは会社が行う個人PCの調査についてどのように思われますか？