近年ではスマートフォンを狙って個人情報などを窃取しようとするスパイウェアが増えているが、スマートフォンのOS側もそれに対しアプリ毎に取得できる情報を制限するといった対策を行っている。こうした中、Androidのテキスト読み上げ機能を悪用して端末に表示されるデータを盗み出すという手法を使ったスパイウェアが登場しているそうだ（INTERNET Watch）。 Androidでは通常、ユーザーからの許可を明示的に得ない限り他のアプリからデータを取り出すことはできない。しかし、目が不自由なユーザーなどに向けたテキスト読み上げ機能についてはこの制限がなく、これを悪用することで画面上に表示されるテキストを読み取ることが可能だという。 セキュリティ企業Lookoutによると、これは「AndroRATIntern」と名付けられており、LINEでやり取りされるメッセージを窃取する、といったことも可能だという

先日明らかになった日本年金機構の個人情報流出問題では、流出したファイルのほとんどでパスワード設定などがされておらず、誰もが閲覧できる状況になっていたことが被害を広めたが、これについて日本年金機構が2013年に全国の年金事務所などにパスワード設定を求め、全部署が「完了」と報告していたことが明らかになった。しかし実際にはパスワード設定がほとんど行われていなかったことから、この報告の大半が虚偽だった可能性が指摘されている（読売新聞、時事通信、東京新聞）。 年金機構では個人情報が含まれたファイルを共有フォルダで扱う場合にはパスワードなどを設定して保護するよう内規が定められているという。しかし、流出したファイルのうち実際にパスワードが設定されていたものは1％以下だったとのこと。

欧州のインターネットユーザーの約2割が仮想プライベートネットワーク（VPN）を利用しているそうなのだが、こうしたVPNサービスのほとんどがIPv6 DNSハイジャック攻撃によりトラフィック漏洩を起こすことが分かったという（Queen Mary、The Register、Slashdot）。 ロンドンとローマの大学からなる研究チームの調査によると、ポピュラーな14社のVPNサービスのうち11社で、ネット掲示板に投稿した内容が漏れるといったような情報漏洩が発生する可能性があるという。ただし、HTTPSを使用した通信については漏れはなかったとしている。 また、この研究ではモバイルプラットフォームでのVPNについてもセキュリティを検討しているが、AppleのiOSでは安全性が高かったものの、Androidではセキュリティが脆弱であったと報告している。

認証局業者は未だに「SSL」という名称にこだわりつづけているようです。Symantec [symantec.com] も GlobalSign [globalsign.com] もトップページに「TLS」という文字すら存在しない (ツイートの表示部分を除く) という異常な状況です。「TLS」を「SSL」を呼ぶことが技術的に誤りなのは明確ですし、「SSL」が安全だと錯覚させ「TLS」への移行を遅らせることになりますので、古い名称にこだわり続けることは有害だと思います。一方、Wikipedia では「SSL」のページを廃止して「TLS」にリダイレクトするようにしており [wikipedia.org]、素晴らしい対応だと思います。 SSLでググる [google.co.jp]と、認証局業者の広告が山ほど表示され、不自然な程に「SSL」というキーワードを散りばめた人間から見たら異常な認証局業者のW

HPのZero Day Initiative(ZDI)チームは昨年、Microsoft Mitigation Bypass Bounty and Blue Hat Bonus for DefenseプログラムにInternet Explorerの脆弱性2件を報告して125,000ドルの賞金を獲得した。しかし、脆弱性の修正予定はないとの連絡をMicrosoftから受けたため、REconで詳細を公開したそうだ（HP Security Research Blog、ホワイトペーパーPDF、PoC、The Register）。 脆弱性が発見されたのは、Use After Free（UAF）脆弱性の緩和策として昨年6月の更新（MS14-035）で導入されたIsolated Heapと、昨年7月の更新（MS14-037）で導入されたMemoryProtection（MemProtect）。これらの機能の

先日、パスワード管理サービスLastPassで情報流出事件が起きた。パスワードというシステムは、個人認証のシステムとしては問題が多くなってきていると感じる。IT WORLDの記事によれば、ウェアラブルおよびスモールフォームファクタデバイスへの移行は、「パスワードの引退」を早める役割を果たす可能性があるという。 たとえばApple Watchは自分の携帯電話とペアリングすることによりパスワードを不要としている。このような二要素認証技術は多くのWebサイトでも一般的になりつつある。Apple Watchのようなウェアラブルデバイスと機器との組み合わせは、たとえば「ドアに近づいたらロックが解除される」といった手段として今後も拡大していくと見られている。米国のサーバー証明書認証機関「DigiCert」のJason Sabin氏は、服や電話、時計、靴といったものがIoTデバイスとして認証され、その組

2015年8月9日以降の新規契約者から必須となる「ワンタイムパスワード」（物理トークンまたはアプリ）は、ジャパンネット銀行 [japannetbank.co.jp]が約10年前に導入したものと同様であって、「MITB」も「フィッシング詐欺」も防げない脆弱なもの です。ワンタイムパスワードでも被害　不正送金の新ウイルス [asahi.com]という記事を見れば分かるように、このような脆弱なワンタイムパスワードはマルウェアによる振込先・金額の改ざんや・フィッシング（正規サイトへの通信中継を行うフィッシング詐欺）による不正送金を防ぐことができないことから、不正送金被害が多発しています。 「平成28年度前半目処で、振込等の資金移動取引において、すべてのお客さまにワンタイムパスワード（アプリ、またはカード）の利用を必須とさせていただく予定」とのことなので、トークンの配布コスト・顧客へのサポートコスト

これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、 論文: PDF、 The Registerの記事)。 研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5～2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使

米大リーグ・ナショナルリーグ中地区に所属するセントルイス・カージナルスのスタッフが、アメリカンリーグ西地区所属ヒューストン・アストロズのデータベースに不正アクセスしていたという話が出ている（New York Times、ロイター、朝日新聞）。 記事によると、カージナルスのスタッフはアストロズのネットワークに不正侵入し、データベースにアクセスしていたそうだ。このデータベースにはトレードや選手情報、スカウト情報などについての内部的な情報が記録されていたという。これについては現在FBIが調査を行っているという。

パスワード管理サービス「LastPass」を運営する米LastPassのシステムが攻撃を受け、登録者の電子メールアドレスやパスワードを忘れた際の質問文、マスタ－パスワードなどが流出したと報じられている（CNN）。 LastPassは独自のクライアントをローカルPCにインストールすることで、あらかじめ登録しておいたID/パスワードなどを呼び出して自動入力できるシステム。ユーザーは最初にマスターパスワードを入力すれば、それだけでパスワードでのログインが必要なサイトに簡単にログインできる。 LastPassではクラウドによるパスワード共有機能もあるため、もし暗号化されたマスターパスワードから平文のマスターパスワードが特定されてしまった場合、登録しているすべてのパスワードが窃取されてしまうことになる。 セキュリティ対策としてサービス毎に異なるパスワードを使用するというのは知られているが、複数のパス

最近、「身に覚えのない高額な通話料金」が請求されるという被害が増えているという（TBS、総務省のプレスリリース、NHK）。知らないうちに頻繁に国際電話がかけられていたというもので、IP電話を利用するための通信機器のパスワードなどが第三者によって窃取され、勝手に通話に利用されるというものだ。 また、ある都内の通信機器販売会社の顧客のうち4割が被害を受けていたことも分かったという。 なお、IP電話サービスを提供しているNTT東日本によると、「IP-PBXソフトウェア等の利用におけるインターネット経由での内線電話端末としてのなりすまし」や「外出先等から接続し会社等の電話回線を利用して発信する機能を悪用した第三者不正利用」などが確認されているという。

イラク・シリアで活動を続ける武装組織ISIL（イスラム国）はインターネット上でも活発な活動を行っていることで知られているが、一部の兵士が司令部の前で撮った写真をSNS上にアップしてしまい、それを目にした米軍により速やかに空爆されるという珍事が発生していたそうである（Newsweek日本版、CNN.co.jp、Slashdot、AirForceTimes）。 これは米空軍のHawk Carlisle司令官が6月1日の空軍の会合で語ったもの。報道によると、SNSの投稿をチェックしていた軍はある日ISILの司令部とみられる建物をバックに立っている間抜けな兵士の写真を発見。彼らはほかにもSNS上で司令官やISILについて自慢げに吹聴しており、一連の情報により司令部の所在が特定されてしまったという。これを受けて、軍は投稿からわずか22時間後に3発のJDAM（誘導爆弾）を投下、建物全体を吹き飛ばしたと

米大手IT企業などが所属する米情報技術工業協議会（ITI）と米ソフトウェア情報産業協会（SIIA）は2015年6月9日、消費者のプライバシーを保護するための暗号化システムにバックドアの設置などを強要しないよう「強い言葉で表現」された嘆願書をバラク・オバマ大統領に送ったという（Reuters、ITPro、THE STACK、theguardian、ロイター、Slashdot）。 両団体は「暗号化を弱めることを義務付ければ、技術製品およびサービスが犯罪者など悪意のある者に対して脆弱になるだけでなく、技術製品およびサービスへの消費者の信頼が損なわれる」と説明。暗号化の効果を妨げるような政策や提案を検討しないよう大統領に強く求めたという。 FBIのテロ対策部門のアシスタントディレクター、マイケルB.シュタインバッハ氏は先週、ISISのメンバーは今でも暗号化されたテキストメッセージのアプリを使用して

ドイツ連邦議会のコンピューターネットワークは5月にサイバー攻撃を受けてマルウェアを送り込まれたが、4週間以上経過しても復旧できていないようだ(Deutsche Welleの記事、 The Localの記事、 The Registerの記事)。 独誌Der Spiegelなどは、議会のIT専門家がマルウェアの遮断に失敗して現在も外部にデータが送信され続けており、復旧のためにはソフトウェアだけでなくハードウェアもすべて入れ替える必要があるなどと報じているが、議会の報道官などは報道を否定。外部へのデータ送信は2週間以上前から確認されておらず、サーバーの一部はデータの抹消と再インストールが必要となるものの、対応可能な数だとしている。

日本郵政の6月10日の発表によると、個人情報約7500件を含む電子メールを誤送信していたことが判明したという。誤送信したのは「建設工事発注情報メールサービス登録者の情報」約7500件。誤送信先は「建設工事発注情報メールサービス登録者」約7500者とのことで、登録者の情報を登録者すべてに送信してしまったようだ。なお、「誤送信した約2時間後に情報の削除をお願いしております」とのこと。

日本年金機構は個人情報流出事件を受けて、当面の間職員が使用する外部向け電子メールの使用を禁止したことを発表した（CNET）。 また、このリリースが掲載されているはずの公式サイトは脆弱性が発見され、「日本年金機構ホームページ (復旧作業中）」という暫定ページが出る状態となっている。アナウンスによると、6月6日の15時40分から閲覧を停止したという。当初は6日中の復旧を目指していたが、作業が長引いているとのこと（朝日新聞）。中の人たちはかなりグダグタになってそうだ。

英スタートアップ企業Abatisのアンチウイルスソリューション、「Abatis HDF」が注目を集めているそうだ。Abatis HDFはロッキード・マーチンや民間の原子力関連施設、航空交通管制システム、スイス軍、国連Webサイトなどで使われているという(Abatis HDF、 The Stackの記事、 ロッキード・マーチンによるリポート: PDF、 Slashdotの記事)。 Abatis HDFのフットプリントは100kB以下であり、Windows版はカーネルドライバーとして実装されている。Linuxバージョンも用意されており、すべての攻撃者からストレージへの書き込みを防ぐことができる。サンドボックスや署名ファイル、ホワイトリストといったものは一切必要とせず、電気料金を7％節約することにもつながるという。 同社CEOのChristian Rogan氏は、具体的な動作は説明できないとしつ

Wikileaksが環太平洋経済連携協定（TPP）の全草案リークに対し、10万ドルの「賞金」を支払うことを発表した（WSJ）。 米国のTPP反対派はその草案の公開を主張しているが、政府側はそういった反対の声を封じ込めるために非公開としている。なお、TPPの草案の一部はすでにWikileaksで公表されているらしい。

hylom さんによると [slash.srad.jp]、「slashdot.jpドメインについては当面の間（最低1年以上）は保持される予定です。」とのことですが、調べてみるとなかなか難しい状況であることが判明しました。勿論、私としては、当面の間どころか一生リダイレクトを保持していただきたいと思っておりますが……。 本日現在、"slashdot.jp" のドメイン所有者 [whois.jprs.jp]は、OSDN 株式会社（東京都荒川区西日暮里4-21-12 クリスタルビル4F）です。 一方、"Slashdot" という商標については、現在有効なのが 第4638050号のみで、ややこしいことに商標権者が連名で登録されています。こういった場合、その全員が商標権を行使できることとなります（商標権者が連名の場合、商標権者同士での紛争も発生することがあります）。権利者は、下記の2社となっているよう

提供開始からほぼ半年となるAndroid 5.0(Lollipop)だが、Android Developers Webサイトで公表されているプラットフォームバージョンごとのデータによればシェアがまだ10%に届いていないようだ。これについてTom's Hardwareの記事では、GoogleがAndroidの更新に関する問題をこれ以上無視することはできなくなるだろうとの見方を示している(Tom's Hardwareの記事、 本家/.)。 このデータは最新の「Playストア」アプリが4月28日～5月4日に収集したもので、Android 5.0のシェアは9%。マイナーアップデートのAndroid 5.1(0.7%)を加えても9.7%にとどまる。一方、Android 4.4(KitKat)のシェアは39.8%となっており、プラットフォームバージョン別では最も多い。Android 4.1.x～4.3