はてなブックマーク

サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE（Preboot Execution Environment）ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという（Quarkslab、PC Watch）。 EDK IIを実装していて影響を受けるUEFIは下記の通り。 ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc（AMI）のAptio OpenEditionPhoenix T

Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという（Fortinet、TECH+）。 リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。 すべて読む | セキュリティセクション | セキュリティ | ニュース

パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。Multi

総務省サイバーセキュリティ統括官室は、非常勤のサイバーセキュリティエキスパートを募集中だという。このエキスパートは、同省のサイバーセキュリティ政策の企画・立案に関する助言や情報提供を行い、国内外のサイバーセキュリティ最新動向の分析や情報提供も担当する（総務省、ScanNetSecurity）。 応募資格は、約10年以上のセキュリティ分野の実務経験とサイバーセキュリティ分野の最新技術や動向に関する専門知識を有すること。勤務時間は毎月第2金曜日の午後4時から6時までの2時間で、勤務地は東京都千代田区霞が関。雇用期間は2024年1月1日から12月31日までの採用日から1年を超えない期間。時給は7500円としている。

Android向けの複数のパスワードマネージャーに影響する脆弱性「AutoSpill」が発見された。この脆弱性により認証情報が漏えいする懸念が出ているという。この脆弱性は、Androidが「WebView」を介してログインページを呼び出す際に発生する。WebViewがアプリに呼び出されたウェブページのコンテンツを表示するため、パスワードマネージャーを利用する際に認証情報がWebViewだけでなくアプリにも共有される可能性があるという（AutoSpill[PDF]、CNET Japan）。 報告によれば、影響を受けるパスワードマネージャーには「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」が含まれる。さらにJavaScriptインジェクションを介して情報が共有された場合は、「Dashlane」「Google Smart Lock」も

バラクーダネットワークスジャパンは27日、悪意のあるボットが一般家庭のIPアドレスを利用してセキュリティブロックを回避し、攻撃を行っているとのレポートを発表した（バラクーダネットワークスジャパン発表、ScanNetSecurity）。 レポートによると、悪意あるボットが一般家庭のIPアドレスを使用することでセキュリティブロックを回避し、攻撃を行っていることが明らかになったという。そのIPを割り当てられたユーザーの多くは、悪意のある活動に使用されたとしてIPにレッドフラグが立てられ、GoogleやCloudflareからのCAPTCHAをパスできなくなる状況に陥っているとレポートは指摘している。

headless 曰く、NordPass が 2023 年版の流出パスワード トップ 200 を公開している (Top 200 Most Common Passwords、 The Register の記事)。 今回のランキングは外部リサーチャーの協力を得てダークウェブを含むさまざまなソースから抽出した流出パスワードのデータベース 4.3 TB を調査したもので、35 か国分のデータが含まれる。日本のデータは昨年も少なかったが、今年は含まれていないようだ。 昨年のランキングでは何年も1位を維持していた「12345」「123456」といったパスワードを抑えて「password」が 1 位となっていたが、今年は昨年 2 位の「123456」が 1 位に復帰した。「password」は 7 位に後退しており、過去 4 年間のランキング (PDF) に入っていなかった「admin」が 2 位となっ

農林水産省は、世界的な穀物不作や紛争による深刻な食料不足時に、国内の生産者に対し、高カロリー作物への転換を指示できる制度を検討する方針を決定した（NHK）。 食料安全保障の有識者会議で示された対応案によれば、極端な食料不足時には政府対策本部を設置し、さつまいもやコメといった高カロリー作物の生産者に対し増産を指示することが考えられている。同時に、野菜などほかの作物の生産者に対しても、高カロリー作物への転換を指示する可能性が検討されている。ただし、指示時には生産効率や栄養バランス、食生活への影響などを考慮する必要があるとしている。異論は出なかったとされ、今後は具体的な制度の検討が進められる予定としている。

10月に起きたガンダムメタバースの3Dデータ流出問題に関して、バンダイナムコエンターテインメントは7日、調査の結果を発表した。それによると、ガンダムメタバースの利用に必要なクライアントファイル内のデータが外部から解析され、同サービス向けに制作された3Dデータが公開されたことが確認されたとしている。運営チームは今後はセキュリティ対策を強化するなどの取り組みを行うとしている。なお流出当時、一部のデータは暗号化されていない状態で公開されていたことが指摘されている（バンダイナムコエンターテインメント、ねとらぼ）。

Google Play に「独自のセキュリティ審査」バッジが導入され、VPN アプリを皮切りに表示が開始されている (Google Security Blog の記事、 The Register の記事、 Bleeping Computer の記事)。 新しいバッジは Google 認定ラボパートナーが実施するモバイルアプリセキュリティ評価 (MASA) により、業界標準 OWASP の基本的なセキュリティ要件 MASVS が満たされていることを示すものだ。バッジがアプリに脆弱性がないことを保証するわけではないが、開発者がユーザーの安全を保つためセキュリティとプライバシーを重視していることを示すものとなる。 既に Google Play では NordVPN や Google One、ExpressVPN をはじめとして数多くの VPN アプリの「データセーフティ」セクションにバッジが表示

Outpost24 の調査によると、管理者ポータルの流出したパスワードで最も多いのは「admin」だったそうだ (Outpost24 のブログ記事、 Bleeping Computer の記事)。 調査はマルウェアによる認証情報取得を検出してセキュリティチームに通知する Threat Compass が収集したデータによるもの。管理者ポータルと区分されているサイトの流出パスワード 180 万件に絞り込んだところ、「admin」が 4 万件以上あったという。admin 以外もトップ 20 はすべて既知のデフォルトパスワードか、容易に推測可能なパスワードばかりだったとのこと。 管理者パスワードトップ20は以下の通り。Outpost24はパスワードの予想しやすさに関していえばIT管理者もエンドユーザーと変わりないと評しているが、エンドユーザーの方がましな気もする。スラドの皆さんのご意見はいかがだ

Microsoft が Windows 11 で NTLM (NT LAN Manager) 認証を廃止する計画を示している (Windows IT Pro Blog の記事、 Bleeping Computer の記事)。 Windows では 2000 年から Kerberos がデフォルトの認証プロトコルとなっているが、NTLM へのフォールバックが必要になる場面もある。このような場面に対応するため、Windows 11 では Kerberos に重要な機能が追加されているという。追加された重要な機能はクライアントがより多様なネットワークトポロジーで Kerberos 認証を利用できるようにする IAKerb (Initial and pass through Authentication using Kerberos)と、ローカルアカウントで Kerberos をサポートする Lo

技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。 問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。 このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。

Google が WebP コーデック (libwebp) のヒープバッファーフロー脆弱性を 9 月 22 日に CVE へ報告したが、CVE-2023-4863 と重複するとして数日後に却下された (CVE-2023-5129)。 この脆弱性は libwebp を使用する多数のアプリに影響するものの、Google は CVE-2023-4863 を Google Chrome における WebP の脆弱性として報告した (Internet Archive のスナップショット)。Google はプラットフォームによって WebP の実装が異なるため、Chromium 以外の製品への脆弱性の影響を判断できないなどと説明したが、他の製品が影響を受けないような印象を与えると批判を受けた。 そのため、CVE-2023-5129 は CVE-2023-4863 と同じ脆弱性を libwebp の脆弱

14日頃からSNS上で多くのユーザーが「Amazon.co.jpを不正利用された」との報告が出ているという。一部の被害者は「Amazonギフトカードを大量購入された」または「二段階認証を設定していたにもかかわらず、それを突破された」と話している。中でも注文履歴が非表示にされ、被害者が不正利用に気付かないままクレジットカードの請求が届いたという報告もあったことが注目されている（ITmedia、Togetter）。 この被害者がAmazonのサポートに問い合わせたところ、似たような事例が多発していると説明されたという。最終的に被害額は全額返金されたと報告されている。Amazonはセキュリティ対策の一環として二段階認証機能を提供しているが、何らかの手段を使って二段階認証を突破されるケースが相次いでいる模様。また、不正利用分の購入履歴が非表示になることも共通しており、攻撃者はこれを利用して被害の発

JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される（My JR-EAST公式の新規会員登録の停止について）。 終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。 あるAnonymous Coward 曰く、 JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログ

トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8％がパスワードを複数のWebサービスで再利用しており、その中でも41.9％が2～3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8％、異なるパスワードを考えるのが面倒が48.6％を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている（日経クロステック）。

日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員が、審査関連資料を漏洩したことを明らかにした。同協会に登録されたプライバシーマークの審査員1人が、同協会との契約に反して審査に関連する資料を自宅で保管。1事業者の審査関連資料が漏洩したことが判明したという。同協会では対象となる事業者に連絡、謝罪したとしている。詳細については外部協力のもと調査を進めているとのこと（JIPDECリリース、Security NEXT）。

Google Play で最近、不要ファイル削除や空きメモリ確保などを実行するシステムクリーナーアプリが多数削除されているようだ。 Internet Archive が昨年 10 月に保存した Google Play での「cleaner」検索結果のスナップショットをみると、リストアップされているアプリ 30 本のうち、現在は 20 本が削除されている。削除されたアプリの中にはインストール件数が 1 億回を超える「One Booster」や「Nox Cleaner」といったアプリも含まれる。また、「cleaner site:play.google.com」のGoogle検索結果では、最初の 10 本のアプリのうち 4 本が削除 (最初の 20 本では 10 本が削除) されている。 削除されたアプリ「SD Maid」「SD Maid 2/SE」の作者 Matthias Urhahn 氏 (

13日のフジテレビ系「日曜報道 THE PRIME」で、サイバー防衛のための人材を政府が確保できるのかが議論となったことが、（主に給与の面で）SNS上で話題となっているようだ（FNNプライムオンライン, Togetterまとめ）。 番組では議論の中で、自民党の佐藤正久氏が「海外では優秀なホワイトハッカーに1億円以上の報酬を提示する企業もある」「昨年とある防衛産業が初任給2000万円でサイバー人材を集めようとしたが全然集まらなかった」という事例をあげ、公務員の給与制度では上限が事務次官級の年収（約2300万円）となってしまうことから、これを政治主導で壁を越えて採用するしかないのでは？と主張。一方で立憲民主党の中谷一馬氏は「3000万円の給料を出しても、1億円もらっている人からすれば給料が下がることになる。それでも国防にモチベーションを持ってきてくれる人たちはいるかもしれない」として働きやすい

Intelは8日、同社製CPUに脆弱性（CVE-2022-40982）が見つかったと発表した。この脆弱性はGoogleの研究者Daniel Moghimi氏が見つけたもので、Intelのメモリ最適化機能を悪用することで、CPU内のレジスタファイルをソフトウェア側に漏洩する可能性があるという。メモリ内に散在するデータへのアクセスを高速化する命令である「Gather」が原因とされている（Daniel Moghimi氏による解説、Intel発表、ITmedia、GIGAZINE）。 Daniel Moghimi氏によれば、この脆弱性を悪用することで、同じコンピュータを利用する他のユーザーの情報が盗まれる可能性があるとしている。Intelはこの脆弱性に対応したGather命令をブロックするアップデートを提供ずみだが、Gather命令の使用状況によって、一部の特定のワークロードにおいては最大で50％

ストーリー by nagazou 2023年08月15日 12時00分 いつまでも-使えると思うな-テクノロジー 部門より TBSの報道番組「news23」がBPO審議入りした。審議入りの原因は、同番組が今年1月12日に、農協の職員が重すぎる営業ノルマの実態を内部告発者の証言内容を放送する際、証言者の顔だけがモザイク処理されていて、首から下はそのままだったことから告発者の身元が判明したため。この結果、告発者が退職に追い込まれたとされている。この事件について4日、放送倫理・番組向上機構（BPO）が放送倫理違反の疑いを指摘し審議入りを決定した（BPOリリース、弁護士ドットコム）。 証言者の匿名性保護については、証言者の希望や状況に応じて様々なケースがあり、その程度に合ったモザイク処理や音声加工が求められる。しかし、現在は技術も進化しており、従来のテレビ放送で多用される「声変え」程度の方法では、

内閣サイバーセキュリティセンター（NISC）が4日、自身の電子メールシステムから不正な通信が外部に発信され、個人情報を含む一部のメールデータが外部に流出した可能性があることを発表した。NISCは政府のサイバーセキュリティ戦略の推進を担う重要な組織で、政府機関のセキュリティ監視も担当している。NISCはすでに不正な通信を遮断し、影響を受けた対象者には個別に連絡しているという（NISCリリース、日経クロステック、朝日新聞）。 2023年6月13日、電子メール関連システムで不正通信を示す痕跡を発見したことから発覚。NISCは直ちにシステムの運用を停止し、不正通信の原因と疑われる機器を交換、システムを再稼働させるための調査を実施した。調査に当たった保守・運用事業者が6月21日、機器の脆弱性により不正通信が発生したことを示す痕跡を発見したという。NISCは、不正侵入の原因はメーカーが確認していなかっ

ストーリー by nagazou 2023年08月01日 18時04分 田舎のNTT局舎も似たようなもののような 部門より ASCII.jpの記事によると、データセンターの見学に招待される記者らは、記事執筆においての制約が多く、とくに所在地の公開や撮影に関しては強い制限があるという。一部のデータセンター事業者は情報公開に寛容ではあるものの、条件が複雑すぎて、事実上撮影は無理なことから、広報から提供された写真を使うことも増えたという（ASCII.jp）。 とはいえ、実際には秘匿すべきデータセンターの所在地はググれば簡単に出てくる。またタクシーで「●●のデータセンターまでおねがい」と言えば、特段住所を言わなくても黙って連れて行ってくれるなんて話も普通にあるとのこと。 記者らは仕事柄データセンターを自然な存在として受け入れられるが、一般の人から見た場合、これらの設備はセキュリティの厳重な「窓のな

東京都内で電動アシスト自転車のバッテリー盗難が増加しているそうだ。NHKの記事によると先月までに合計207件の被害が報告されているという。1月が18件、2月が39件、3月が30件などと毎月およそ20件から40件確認され、特に先月は78件と急増しているとのこと（NHK）。 江戸川区、豊島区、江東区といった特定の地域に被害が集中。今月に入ってからも北区や江戸川区を中心に被害は増え続けている。特に4階建て以上の集合住宅の駐輪場での被害が目立っている。警視庁はバッテリーの取り外しや二重に鍵をかけるなどの盗難対策をおこなうよう呼びかけている。この件に関して警視庁は49歳の容疑者を逮捕している。容疑者の供述によれば「盗んだバッテリーは面識のない人物に渡して一定の報酬を受け取っていた」と述べているそうで、警視庁は盗んだバッテリーを組織的に売りさばいていた可能性もあるとみているという。