海外ではスクリプトのソースコードやエラーメッセージを共有するために「Pastebin」というツールが使われることが多いという。WikipediaのPastebin項目によると、Pastebinは「ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション」と説明されている。最近ではTwitterユーザーが140文字に収まらないコードをPastebinを使って公開し、そこへのリンクをTweetする、といった使われ方が多いらしい。 この「Pastebin」を提供するサイトの1つに「Pasitebin.com」があるのだが、最近では不正利用に悩まされているようだ。 headless 曰く、 Pastebin.comのオーナー、Jeroen Vader氏はBBCの取材に対し、機密情報の投稿を監視するスタッフの増員計画を明らかにした(BBC Newsの記事)。

オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと（本家/.、University of Twente公式サイト）。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き

ジャストシステムがセキュリティソフト「JUSTインターネットセキュリティ」をリリースした。「初期費用も更新料も無料」で、広告で収入を得るビジネスモデルだという。また、広告表示がなくなり、また電話/メールによるサポートを受けられる有償版も月額315円で提供する（プレスリリース）。対応OSはWindows XP/Vista/7で、Vistaおよび7については64ビット版も対応する。 ジャストシステムが自社で開発したセキュリティソフトだが、エンジンなどはパートナー企業から提供されているという。搭載する機能はウイルス/スパイウェア対策およびファイアウォール、フィッシング対策、個人情報保護など。ウイルス対策については常時監視と手動スキャンの両方を備えている。 軽量さや使いやすいインターフェイスなどをうたっており、また一時的にリアルタイム保護やスキャンを抑制する「ゲームモード」も備えているそうだ。無料

マルウェア「Android.Counterclank」を組み込んだアプリが13本、公式のAndroidマーケットで発見された。リストアップされているアプリのうち、現在も8本が公開されている(Symantec Official Blogの記事、 Computerworldの記事、 本家/.)。 Android.Counterclankは「Android.Tonclank」の亜種で、端末情報などを収集して攻撃者のWebサイトに送信するものだという。発見されたアプリは「iApps7 Inc」、「Ogre Games」、「redmicapps」という3開発者により公開されている。1ヶ月以上公開されていたアプリもあるとのことで、Symantecは100万人から500万人のユーザーがダウンロードしたと推定している。 (追記 1/29 17:17) iApps7 Incのアプリが1本に減り、公開中のアプ

コンピューターウイルスを作成・送信したとして、大阪府在住の男性が不正指令電磁的記録供用の疑いで逮捕され、その後不正指令電磁的記録作成容疑と合わせて送検された。不正指令電磁的記録作成は「ウイルス作成罪」とも言われているが、この罪状の適用は初めてとなる（時事通信）。 読売新聞によると、容疑者は別の男性と共同で運営していたアニメサイトの運営方法を巡ってトラブルとなっていたという。問題となるウイルスはWebサイトに埋め込むタイプのもので、埋め込まれたWebサイトにアクセスすると「容疑者が運営していたサイトに書き込みをしたように発信記録を偽装する」という。 容疑者は男性に対しウイルスを設置したサイトに誘導するメールを送信、ウイルスを使って「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」との文言を男性が書き込んだように偽装し、「男性に脅迫された」と大阪府警に相談したという。

朝日新聞に、「〈ニュース圏外〉密かに続くネット流出　さらす側の本音」なる記事が掲載されている。以前、Winnyなどのファイル共有ソフトを利用しているユーザーが暴露ウイルスに感染、機密情報などを流出させる事件が発生したが、この記事は流出した情報を収集して「晒す」人たちを取材したものだ。 記事によると、「晒す側」の中心メンバーは2、3人で、そのうち2人に取材したという。1人は首都圏に住む50代男性、1人は東北地方の60代男性で、後者は情報流出を流出元に知らせ、「詳細について知りたければ契約を」という形で1件あたり5～15万円程度の収入を得ていたという。 また、この記事では記されていない取材の裏側について、朝日新聞記者の神田大介氏がTwitterで述べている。こちらも興味深い。

IBM は昨年末、恒例の未来予測で「パスワード不要化」を挙げていたが (/.J 記事) 、カナダのカールトン大とマイクロソフトの研究者によれば、音声や顔認識、指紋、網膜認証といったものがパスワードに取って代わることは当分の間はないだろうとのこと (IEEE Security&Privacy Magazine の予稿[PDF]、本家 /. 記事より) 。 これまでパスワードはいずれなくなるものと考えられていたため、パスワードそのものにはこの 20 年間、何も進歩がみられなかった。一方、生体認証や PKI などパスワードに取って代わろうとした他の認証方法は、費用対効果、即時性、利便性といった点でパスワードには勝てなかったとしている。また、多くのシチュエーションにおいてパスワードの利用がふさわしいということを踏まえ、代わりとなる他認証方法を求めてさらに 20 年を無駄にすることはやめ、セキュリテ

さまざまな場所で使われているQRコードだが、マルウェアの作者もQRコードの利用を始めているらしい（Dark Readingの記事、本家/.）。 QRコードは携帯電話のカメラでスキャンするだけでWebサイトを表示できるなどの手軽さが受けているが、目で見ただけではスキャン結果がわからないという問題がある。そのため、マルウェアをダウンロードさせたり、フィッシングサイトに誘導したりといった攻撃に使われる例があるのだという。QRコードによる支払いサービスが利用される可能性も指摘されている。 謎のQRコードを見かけると、ついスキャンしてみたくなる人も多いだろう。しかし、未知のQRコードをスキャンすると攻撃のターゲットになってしまう可能性もある。そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。

ハッカー集団Anonymousが、米民間調査機関Stratfor Global Intelligenceのサイト「stratfor.com」に不正アクセス、顧客のクレジットカード情報を入手し公開したという。さらにAnonymousのメンバーは盗んだクレジットカード情報で慈善団体に寄付を行ったとも述べている（ITmedia、日経新聞）。 同社は現在攻撃を受け、サーバーおよびメールの運用を停止して調査を行っているとのこと。

サイバーエージェントが運営するコミュニティサイト Ameba に第三者による不正アクセスがあり、2500万人の会員のうち5万人のIDが退会状態になっている（ログインできない）という（朝日新聞、アメーバスタッフブログ）。 通常の退会状態とは異なりブログの閲覧は可能で、ログインして記事を投稿したり Ameba ピグで遊ぶことができない模様。２５日午前０時ごろ社員がトラブルに気づき、3時より障害が起きている該当IDに対する復旧作業をしているという。 なお完全復旧は26日午後8時を予定、また26日午前2時より緊急メンテナンスを実施しアメーバの全サービスを停止するという。いやーとんだ週末になりましたね。

通信の安全性を考慮して電子メール暗号化ソフトを利用している人はどれ程いるのだろうか？ 本家/.にて、電子メールの暗号化についての議論が挙がっている。 初めてPGPのことを聞いた何年も前のことになるが、比較的簡単に電子メールを暗号化することのできる拡張機能を見つけた。今日、電子メールは安全性が極めて低い通信手段である一方で、また電子メールの暗号化ソフトは簡単に利用できるにも関わらず、私の知り合いで電子メールを暗号化しているのは一握りしかいない。私が初めて暗号化の設定を行った時には、まさかこのようなことになるとは予測できなかった。 そこで私は/.erの皆さんに問いたい。電子メールを暗号化していますか？もし暗号化していないのであれば何故ですか？そして、PGPの暗号処理、またはそれに準じた方法が当たり前の常識とならなかったのは何故だと思いますか？ 暗号を使用することが熱い話題となった時もあったのに

コンテンツ課金の可能なプレミアムSMSを秘かに送信するマルウェアが公式のAndroidマーケットで発見され、報告を受けたGoogleが計27本の不正アプリを削除する事態となった( The Lookout Blogの記事、 BBC Newsの記事、 Symantecのセキュリティ情報)。 このマルウェアは米Lookoutが発見したもので、「RuFraud」と名付けられている。ヨーロッパのユーザーを主なターゲットにしており、初回起動時に表示される確認画面でユーザーが承認ボタンをタップするとプレミアムSMSが秘かに送信されるとのこと。アプリ自体は既存のアプリを再パッケージ化したもので、Angry Birdsのような超有名アプリも含まれる。Lookoutによれば、同様のマルウェアは数ヶ月前から非公式のアプリストアやファイル共有サービスでの配布が確認されていたそうだ。先週から公式のAndroidマー

Android向けWebブラウザ「Dolphin Browser」がユーザーの閲覧履歴を外部サーバに送信しているとしたスパイウェア疑惑が持ち上がっている（INTERNET Watch、本家/.）。 このアプリは米MoboTapが開発しており、ユーザー数は全世界で900万人とされ、また一部のスマートフォンではプリインストールもされているという。問題となっているのは、Webサイトを雑誌風のレイアウトに変換して表示する「Webzine」という機能。閲覧サイトがこの機能に対応しているを確認するため、そのURLが外部サーバに送信されていたそうだ。 AndroidおよびWindows Phoneの開発者コミュニティxda-developersの指摘によると、外部に送信されていたのはユーザーがクリックしたリンク、「QUERY_STRING」値、プライベートネットワークのIPアドレスおよびファイルのURL

フィッシング詐欺犯が使用するとみられるWebページが不正アクセスを受け、フィッシング詐欺への注意を呼び掛ける内容に書き換えられたという（GFI LABS Blogの記事、 SecurityNewsDailyの記事）。 フィッシング詐欺の手口としては、「メールボックスの割り当て容量を超過したのでアップグレードが必要」という内容の電子メールを送りつけ、Webフォームに誘導してユーザー名やメールアドレス、パスワードを入力させるというもの。このWebページを何者かが書き換え、「メールサービスの更新などというものはない」「愚かな犯罪者があなたのアカウントを盗むために作った」「オンライン犯罪について知らせるためにページを書き換えた」などというメッセージの記載されたWebフォームに変更していたとのこと。また、「Submit」ボタンをクリックすると、CNETによるフィッシングを警告する動画のページに転送さ

三菱重工がサイバー攻撃を受け、サーバーやパソコンがウイルスに感染していた問題 (/.J 記事) で、少なくとも 1 台は 1 月からウイルスに感染していたことが分かった (NHK ニュースの記事、asahi.com の記事より) 。 三菱重工では 11 か所の生産拠点でサーバーやパソコン計 83 台がウイルスに感染していたことが判明し、9 月 30 日には警視庁に被害届を提出している (三菱重工の重要なお知らせ) 。これらのうち名古屋誘導推進システム製作所のパソコン 1 台がウイルスに感染したのは 1 月のことで、セキュリティ会社の調査が行われるまでのおよそ 8 ヶ月間検知できなかったという。ウイルスは年賀状を装った電子メールに添付されており、受信した社員が添付ファイルを開いたことで感染したようだ。 また、一部のサーバーが感染したウイルスにはキーロガーの機能があり、営業系サーバーのパスワー

ストーリー by hylom 2011年09月13日 18時45分 なぜソースに書く必要があったのだろう？ 部門より 愛媛県は12日、県発注の土木工事などに導入している電子入札システムについて、入札前に最低制限価格が見えてしまう不具合があった、と発表した（asahi.comの記事、読売新聞の記事）。 このシステムは2007年4月に導入されたもので、開発元はNEC。今月9日の入札で、最低制限価格と同額の入札があったことから応札した業者に確認したところ、ソース上に最低制限価格が見えていることが判明したという。問題発覚を受け、県は今後一ヶ月に予定していた入札を中止した。 元記事だと若干わかりづらいが、どうもこのシステムはWebシステムで、値がHTMLコードに書かれていたようである。

root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?

ストーリー by hylom 2011年07月12日 19時47分 米軍なんて狙っちゃって大丈夫なの？ 部門より サイバー犯罪集団Anonymousが今週11日、BitTorrentトラッカーPirate Bayを通じて米軍9万人のメールアドレスとパスワードを公開したそうだ（本家/.）。 Anonymousは政府の契約コンサルティング企業Booz Allen Hamiltonに不正に侵入して情報を得たとのこと。この「オペレーション」は「Military Meltdown Monday」と銘打たれているそうだ。公開されたのはメールアドレスとパスワードだが、Anonymousは他の情報を得たことも示唆しているという。 Anonymousはつい最近にも政府の契約するセキュリティ企業IRC Federalにも不正侵入したばかり。どちらの企業もAnonymousと（もう解散してしまった）LulzSe

多くのLinuxディストリビューションでも採用されているFTPサーバーvsftpdにバックドアが見つかった。The Hによると、公開されているvsftpd 2.3.4のソースコードにバックドアを実装するコードが発見されたそうだ。このバックドアはユーザー名「:)」、ポート番号6200で任意のユーザーの接続を許すというもので、またシェルを実行することもできるという。 このコードは2～3.5日前（記事公開が7月4日なので7月2日前後？）に混入した模様。安全なソースコードはGoogle AppEngine上のvsftpdサイトで公開されている。 最近ではソースからビルドしてインストールしている人は多くないと思うが、思い当たる節のある方はご確認を。また、ソースコードをダウンロードした際はGPG署名を確認するようにとも述べられている。

最近ニュースを賑わせてきたサイバー犯罪集団 Anonymous と LulzSec が手を組んだと報じられている (ABC Technology and Games の記事、本家 /. 記事より) 。 両者は「オペレーション Anti-Sec」という作戦のもと、力を合わせているという。このオペレーションの目的は「電子メールやドキュメントなど、政府の機密情報を盗み漏洩することを最優先事項とする」とのことで、「主要ターゲットには銀行やその他高位機関も含まれ、我々を検閲しようとすれば、トカゲの血で血塗られた砲撃を加えその検閲を撃破する」と宣言している。 本家 /. では何が起きるか分からないとして「非常食と懐中電灯の電池を蓄えておき、そしてオンラインバンキングのパスワードは毎日変えるように」とアドバイスしている。