Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。 「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。

美少女ゲームメーカーあかべぇそふとつぅが、強力なコピープロテクトを同社製ゲームに導入することが話題になっている（おたぽる）。 同社ゲームに限らず、PC向け美少女ゲーム分野では違法コピーが蔓延しており、同社が1月29日に発売したゲームは同社社長が「今度実装するプロテクトは、割られないと思います」と述べていたにも関わらず、その2日後には違法コピーがされていたという。そこで、現在最高レベルというコピープロテクト技術「Denuvo」を導入することに決めたそうだ。Denuvoは2014年に発売された「Dragon Age: Inquisition」というゲームに採用され、ハッカー集団がこのプロテクトを解除するのに1か月間を費やしたことが話題になった（AUTOMATON）。さらに、2015年11月末に発売されたDenuvo採用タイトル「Just Cause 3」の場合、プロテクトを解除したというハッカ

米コーヒーチェーンStarbucksのプリペイドカード（ギフトカード）ではWebブラウザ上で残高を別のカードに移動させることができるそうなのだが、そのシステムに脆弱性があり、2つのWebブラウザで同時に残高の移動操作を行うことで残高を増やすことができてしまったそうだ。これを実証してStarbucksに報告した人物が、逆にStarbucksから「詐欺的行為を行った」と非難されている模様（BBC）。 批判の理由はStarbucks側の同意を得ずに脆弱性を実証したためだという。 なお、Starbucksでは他人のプリペイドカード残高を勝手に自分のカードに移し替える攻撃も話題になっているが（ITmedia）、これはまた別個の問題の模様。残高が減ったら登録されているクレジットカード情報を使って自動的にチャージを行う自動チャージ設定があり、残高が少ない状態でもこれを悪用して相当額の残高を奪い取ることが

イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収

米カンザス州のウィチタ・ミッド・コンティエント空港の保安検査場で今月 14 日、パットダウン (全身くまなく触れられるボディチェック) を受けるよう指示された 4 歳の少女、Isabella Brademeyer ちゃんが泣いて嫌がった騒動が物議をかもしているとのこと (本家 /. 記事、The Associated Press の記事より) 。 最初、少女は通常の検査を問題なく通過していた。だがパットダウンによる再検査を指示され列に並んでいた祖母の Lori Croft 氏に駆け寄ってしまったため、少女も同様にパットダウン検査を受けることになってしまったのだそうだ。最も問題視されているのは、同検査場にいた TSA 職員の態度である。パットダウンを嫌がって逃げ出した少女の保護者に「子供を捕まえないと空港を閉鎖することになる」と大声を出したとのこと。騒動の一連を Facebook に投稿した

Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み

ローソンがPonta会員用のAndroidアプリ（ローソン公式スマートフォンアプリ）をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。 「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」（高木浩光氏による画面キャプチャ） なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。 Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。 ちなみにセキュリティ専門家

ティーンエイジャーの間で互いへの信頼の証としてメールや SNS アカウントのパスワードを交換することが流行しているそうだ (The New York Times の記事、本家 /. 記事より) 。 交換相手は主に交際相手や親友であり、中には互いに同じパスワードを設定する者もいるとのこと。米非営利調査機関 Pew Internet & American Project が 12 〜 17 歳の 770 人のインターネットユーザを対象に行った調査によると、33 % がこのようなパスワード交換を行ったことがあると回答したそうだ。 専門家らによると交際関係において性交渉を迫るのと同種の「信頼しているなら何でもできるはず」というプレッシャーが生じていたり、禁止されていることだからやってみたいという好奇心が背景に存在するという。子供らはパスワード交換は危険であることは理解しているといい、だからこそ「愛

米インターネットセキュリティ企業Dasientの調査によると、Android Marketで公開されているアプリの8%以上が個人情報をユーザーに無断で送信しているそうだ (Dark Readingの記事、 Digitizorの記事、 本家/.)。 調査は10,000本のAndroidアプリに対して行われたもので、ユーザーの許可していないサーバーに個人情報を送信するアプリが800本以上見つかったという。また、11本はSMSでスパムを送信していたとのこと。調査結果の詳細については、7月30日から8月4日まで開催されるセキュリティイベントBlack Hat USA 2011にて、Dasinetの最高技術責任者 Neil Daswani氏が発表する(プレスリリース)。 Digitizorの記事では、Android Marketにたびたびマルウェア問題が発生する原因として規制の欠如を挙げている。アプ

大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破