JR東日本が共通IDサービス「My JR-EAST」のサービスを終了へ | スラド セキュリティ
JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される(My JR-EAST公式の新規会員登録の停止について)。 終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。 あるAnonymous Coward 曰く、 JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログ
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
ドイツの家電メーカーMiele(ミーレ)の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られ
低価格Android端末のファームウェアにダウンローダが埋め込まれているのが見つかる | スラド セキュリティ
低価格のAndroidスマートフォン十数機種において、ファームウェアに「ダウンローダー」がこっそりと埋め込まれている、という話が出ている(GIGAZINE、Ars Technica)。 最初にこれを伝えたセキュリティ企業Dr.WEBのブログによると、このダウンローダは26の端末で確認され、これ以外の端末にも含まれている可能性があるとしている。このダウンローダは制御サーバーに接続して設定ファイルを受け取り、それに従って密かにプログラムをダウンロードしてインストールできるという。また、広告表示機能も備えられているようだ。 このダウンローダは、広告を表示させたり特定のアプリケーションをダウンロード/インストールさせることで収益を得る目的で、システムイメージを作成した業者が仕込んでいるのではないかとDr.WEBのブログでは分析されている。
Androidの断片化はセキュリティ上の強みになる? | スラド セキュリティ
Androidの弱点として指摘されることも多いOSの断片化だが、セキュリティの面ではむしろ強みであるとの見解をモバイルペイメント企業Squareでセキュリティ責任者を務めるDino Dai Zovi氏がBlack Hat Asiaでの基調講演で示したそうだ(The Registerの記事)。 Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらずデバイスメーカーからパッチが提供されないデバイスは多い。 ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、
店頭に展示されているPCで客がMSアカウントでログイン後放置するケースは少なくない | スラド セキュリティ
店頭に展示されているデモ用のPCでネットサービスにログインし、そのままログアウトせずに放置されるケースがあるようだ(セキュリティホールmemo、ツクモ名古屋1号店のTwitter)。 ツクモ名古屋1号店のTwitterではMicrosoftアカウントでのログインにより客のメールが読めてしまう状態になっていたことがあったと報告されている。なお、Windows 10ではPCのアカウントとMicrosoftアカウントを連携させる機能があるため、Microsoftアカウントでログインしてしまうと展示機を初期化せざるを得ないという。また、学生がLINEにログインしようとするケースも多いという。 他人の端末にうかつにログインする方もアレだけど、一度ログインしたらデータが残って他人に再利用されてしまう仕様になっているアプリやシステムも相変わらず御盛況でなにより。このままだと、レベッカさんも浮かばれそうに
違法コピーに悩まされる美少女ゲームメーカー、「世界最高レベル」のコピープロテクト実装へ | スラド セキュリティ
美少女ゲームメーカーあかべぇそふとつぅが、強力なコピープロテクトを同社製ゲームに導入することが話題になっている(おたぽる)。 同社ゲームに限らず、PC向け美少女ゲーム分野では違法コピーが蔓延しており、同社が1月29日に発売したゲームは同社社長が「今度実装するプロテクトは、割られないと思います」と述べていたにも関わらず、その2日後には違法コピーがされていたという。そこで、現在最高レベルというコピープロテクト技術「Denuvo」を導入することに決めたそうだ。Denuvoは2014年に発売された「Dragon Age: Inquisition」というゲームに採用され、ハッカー集団がこのプロテクトを解除するのに1か月間を費やしたことが話題になった(AUTOMATON)。さらに、2015年11月末に発売されたDenuvo採用タイトル「Just Cause 3」の場合、プロテクトを解除したというハッカ
バナナでパスワードを配布するシステム、デンマークのシステム管理者が開発 | スラド セキュリティ
バナナやパスタ、鉛筆で描いたイラストなどが入力デバイスになるというJoyLabzのキット「MaKey Makey」。デンマークのネットワーク管理者は、MaKey Makeyと液晶を付けたRaspberry Piを使って無線LANへのアクセスに必要なパスワードを配布するシステムを作ったそうだ(画像)。 システムに取り付けられているバナナを押すと、無線LANのアクセスに必要なパスワード(WPAキー)が液晶に表示されるという仕組み(アニメーションGIF)。ぶっちゃけネタ的なシステムだが、見た目もほほえましく、パスワード表示のためにバナナを押す作業も楽しい。その上、重要なのは、部屋を出るときはバナナを食べてしまえば、バナナは押せなくなるのでパスワードは表示されずに安全だとしている。 このMaKey Makeyは国内でも入手できるようだ(THE NEW STACK、Reddit、AKIBA PC H
Windows 10のアンチウイルスソフトウェア、高評価なのは? | スラド セキュリティ
ドイツの独立系ITセキュリティ研究機関 AV-TESTが、Windows 10上でのアンチウイルスソフトウェアのテスト結果を初めて公開している(Test antivirus software for Windows 10、 Softpediaの記事)。 AV-TESTではテスト時点で最新版のアンチウイルスソフトウェアおよびパターンファイルを使用。ゼロデイ攻撃からの保護能力とマルウェア検出率をテストする「Protection」、実行時の速度低下をテストする「Performance」、誤検出数をテストする「Usability」の3項目について各6点、計18点満点で評価を行う。認定証を獲得するには合計11点以上が必要だ。 満点の18点を獲得したのはAvira Antivirus Pro 2015、Bitdefender Internet Security 2015/2016、Kaspersky
新たなAndroidマルウェア、2万を超えるアプリで検出。削除はほぼ不可能? | スラド セキュリティ
Baiduの「Moplus」SDKにバックドアが含まれていたことが最近話題になったが、セキュリティ企業のLookoutによると、これ以外にもAndroidを標的とする新種のマルウェアが多くのアプリに埋め込まれていることが判明したそうだ(CNET Japan)。 Google Playから入手した正規のアプリにマルウェアを組み込んで再パッケージ化し、サードパーティーのアプリストアで公開する、という手口が用いられているという。ユーザーがサードパーティーのストアから問題のあるアプリをインストールすると、アプリはルート権限を自動で取得し、デバイスシステム全体へのアクセス権を手に入れるという。またこのマルウェアを削除することはほぼ不可能で、ユーザーはデバイス本体を交換せざるを得なくなるという。 この行為自体がすでにAndroidのセキュリティに穴を開けるものだが、さらにその後は定期的にアプリ内で広告
BaiduのAndroid用SDK「Moplus」にバックドア | スラド セキュリティ
Baiduが提供しているAndroid向けアプリケーションの多くにバックドアがあることが発見された。原因はBaiduの「Moplus SDK」にあるとのことで、このSDKを利用しているほかのアプリケーションも影響を受けるという(トレンドマイクロ)。 問題のMoplus SDKは、Baiduの应用内搜索(inApp)という機能をアプリから利用するためのライブラリ。「inApp SDK」とも呼ばれているようだ。Baidu製のAndroidアプリケーションの多くで使われているほか、それ以外の開発者によるAndroidアプリでも採用が確認されている。 このSDKを使用したアプリケーションを起動するとHTTPサーバーがバックグラウンドで起動し、受信したメッセージに応じてさまざまな処理が実行されるようになっているという。これにより端末の情報を外部に送信したり、端末のさまざまな操作を行うことができてしま
感染するとシステムのセキュリティを高めるような挙動をするマルウェア | スラド セキュリティ
感染したデバイス上で、セキュリティをより高めるような動作をするマルウェアが発見されたそうだ(GIGAZINE、Symantec Security Response Blog、ZDNet Japan)。 このマルウェア「Linux.Wifatch」はLinuxを狙うマルウェアで、インストールされると外部からの命令で任意のコマンドを実行できるようバックドアを設置するという。ここまでは一般的なマルウェアと同じだが、その後感染したデバイスのTelnetデーモンを停止し、パスワードを変更したうえでファームウェアをアップデートするようメッセージを残すという。 といってもマルウェアはマルウェアで、すぐ改悪版が出回りそうなものだけど。
脱獄済みiOS端末20万台以上がマルウェアに感染。アカウント情報が流出 | スラド セキュリティ
セキュリティ対策会社Palo Alto Networksによると、日本を含む世界中の22万5000を超えるiOS端末がマルウェア「KeyRaider」に感染しているという。 KeyRaiderは脱獄したiPhoneやiPadにのみ感染するマルウェアで、外部から端末をロックしたり、アプリ購入履歴を盗んだり、ユーザーに無断でアプリを購入したりできる。この脆弱性についてユーザーから報告を受けた中国系のWeipTechが独自に調査したところ、22万5000のアカウントがパスワード情報を盗まれていたことが判明したという(GIGAZINE、HELP NET SECURITY、Slashdot)。 犠牲者の多くは脱獄者向けのアプリサイトCydia Store経由で感染しており、現時点で中国、台湾、フランス、ロシア、日本、イギリス、アメリカ、カナダ、ドイツ、オランダ、オーストラリア、イスラエル、イタリア、
楽天がアプリストアを開設するも、「提供元不明のアプリ」を常に許可する設定の危険性が指摘される | スラド セキュリティ
「楽天アプリ市場」の野良APKファイル(rapps.apk)を http(暗号化無し)でダウンロードさせている時点で、セキュリティのことを何も考えていないのがバレバレです。 暗号化無しで配信されていることの確認方法は、下記の通り。 楽天アプリ市場 [rakuten.co.jp] にアクセスする。ブラウザの幅を小さくする(ブラウザ幅で「パソコン」か「スマホ」かを判定するレスポンシブデザインのため)。「アプリをダウンロードする」というボタンが表示されるので、右クリックして、リンクアドレスをコピーする。リンク先が「http://apps.rakuten.co.jp/download/rapps.apk」と「https://」ではなく「http://」で始まっていることが分かる。(なお、手動で「http://」の部分を「https://」に書き換えれば、https通信でダウンロード可能なようですが
家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非 | スラド セキュリティ
ストーリー by hylom 2015年07月02日 19時12分 どうしてもやりたいなら毎回入力させるのが一番安全ではある 部門より 最近の家計簿アプリでは、ネットバンキングサービスから自動的に残高や入出金記録を取得して記録する機能を備えているものがあるそうだ。この機能を利用するためには、アプリにネットバンキングのパスワードを含むアカウント情報を登録しておく必要があるのだが、これについての是非が議論されている(ツイナビ:いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します)。 例として上がっているのは「Zaim」や「MoneyForward」という、いわゆるクラウド型のサービス。入力した認証情報はこれらサービスを運営するサーバー側に保持されることになる。記録されるのはログインIDやパスワードと言った「最低限の情報」とされているが(Zaim)、サービスや連動するネットバン
Androidの端末データ初期化機能は不完全? | スラド セキュリティ
使わなくなったパソコンや携帯電話を人に譲ったり、中古買取業者に売ったりする場合は個人情報保護の観点からデータを完全に抹消しておく必要がある。しかし、英ケンブリッジ大学の研究チームが行った調査の結果、Androidの端末データ初期化機能ではデータが完全に抹消されず、個人情報の一部などが復元可能なことが判明したそうだ(論文: PDF、 Light Blue Touchpaperの記事、 V3.co.ukの記事)。 研究チームでは5つのメーカーの中古Android端末21台(Android 2.3.x~4.3)を使用して、データ初期化の動作や残されるデータを調査。その結果、多くの端末で元の持ち主の情報やインストールされていたアプリのリスト、連絡先、Webブラウズ履歴、認証情報、マルチメディアデータ、メッセージデータなどの少なくとも一部が復元できたという。研究チームが「マスタートークン」と呼ぶGo
GoogleはAndroidの更新に関する問題をいつまで放置し続けるのか | スラド セキュリティ
提供開始からほぼ半年となるAndroid 5.0(Lollipop)だが、Android Developers Webサイトで公表されているプラットフォームバージョンごとのデータによればシェアがまだ10%に届いていないようだ。これについてTom's Hardwareの記事では、GoogleがAndroidの更新に関する問題をこれ以上無視することはできなくなるだろうとの見方を示している(Tom's Hardwareの記事、 本家/.)。 このデータは最新の「Playストア」アプリが4月28日~5月4日に収集したもので、Android 5.0のシェアは9%。マイナーアップデートのAndroid 5.1(0.7%)を加えても9.7%にとどまる。一方、Android 4.4(KitKat)のシェアは39.8%となっており、プラットフォームバージョン別では最も多い。Android 4.1.x~4.3
「パスワードの強度を判定」するツールにご注意を | スラド セキュリティ
「パスワードの強度を判定」するツールやサービスはいくつかあるが、それらによる判定結果に一貫性がないことがReadWriteで取り上げられている。 コンコルディア大学の研究者らが行った調査結果によると、こうしたツールではたとえば小文字の「l」を数字の「1」に置き換えるような、「破られやすいパターン」を無視することがあるという。さらに、実際にさまざまなツールやサービスを使って検証したところ、ほぼ同一のパスワードでまったく異なる結果が出た例もあるそうだ。 サイトによって異なる基準で強度を判定しているのが原因だそうで、またその判定基準もほとんど公開されていない点も問題だとしている。また、Dropbox(と同様のアルゴリズムを採用しているKeePass)だけは例外で、そのアルゴリズム「zxcvbn」はオープンソースで公開されており、その判定基準は非常に効果的だという。
トランスコスモスのコールセンターでベネッセの顧客情報流出、「紙に書き写す」手口 | スラド セキュリティ
トランスコスモスの元契約社員が、ベネッセの顧客情報23名分を外部に持ち出していたことが明らかになった(ITpro、トランスコスモスの発表PDF、ベネッセの発表PDF)。ベネッセコーポレーションはトランスコスモスにコールセンター業務を委託しており、この元契約社員はコールセンターでの電話オペレータ業務を担当していたという。 業務の際に23人分の顧客情報を紙に書き写して持ち出し、自身のスマートフォンに登録していたという手口。持ち出されたことが確認され散る情報は名字・電話番号・名前・住所・生年月日・所属先など。この元契約社員は別件で逮捕され、その捜査中にスマートフォンから顧客情報が発見されたという。 トランスコスモス側は対策としてペーパーレスの推進や監視カメラの増強、従業員教育の強化に加え、紙の持ち出し対策も強化するとのこと。とはいえ、コールセンターでメモ用紙を廃止するのは難しいだろうし、こういっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Androidに「身につけている間はロックされない」機能、搭載へ | スラド セキュリティ
KasperskyがHDDのファームウェアに感染して情報収集を行うマルウェアを発見したと発表 | スラド セキュリティ