パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加 | スラド セキュリティ
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。Multi
LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 | スラド セキュリティ
昨年発生した LastPass の不正アクセスで攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事、 The Verge の記事)。 ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。 そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複
JR東日本が共通IDサービス「My JR-EAST」のサービスを終了へ | スラド セキュリティ
JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される(My JR-EAST公式の新規会員登録の停止について)。 終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。 あるAnonymous Coward 曰く、 JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログ
都内で電動アシスト自転車のバッテリー盗難増加中 | スラド セキュリティ
東京都内で電動アシスト自転車のバッテリー盗難が増加しているそうだ。NHKの記事によると先月までに合計207件の被害が報告されているという。1月が18件、2月が39件、3月が30件などと毎月およそ20件から40件確認され、特に先月は78件と急増しているとのこと(NHK)。 江戸川区、豊島区、江東区といった特定の地域に被害が集中。今月に入ってからも北区や江戸川区を中心に被害は増え続けている。特に4階建て以上の集合住宅の駐輪場での被害が目立っている。警視庁はバッテリーの取り外しや二重に鍵をかけるなどの盗難対策をおこなうよう呼びかけている。この件に関して警視庁は49歳の容疑者を逮捕している。容疑者の供述によれば「盗んだバッテリーは面識のない人物に渡して一定の報酬を受け取っていた」と述べているそうで、警視庁は盗んだバッテリーを組織的に売りさばいていた可能性もあるとみているという。
Signal、プライバシーを弱めるぐらいなら英国から撤退 | スラド セキュリティ
英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事、 The Guardian の記事、 Ars Technica の記事)。 英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。 ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいと
SIMスワップ詐欺、日本でも広がる | スラド セキュリティ
認証セキュリティをもくぐり抜ける新手の詐欺「SIMスワップ詐欺」が日本国内でも発生しているという。SIMスワップ詐欺は、「SIMハイジャック」や「SIM分割」とも呼ばれるもので、SNS上などで個人情報を集め、こうした人物の情報を元に本来の持ち主になりすましてSIMを再発行、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける手口だという(TBS NEWS DIG)。 TBS NEWS DIGによれば、このSIM再発行をアルバイトにさせるという闇バイトがSNS上で横行しているという。この報道によれば、報酬1回8万円ほどであるようだ。犯行をおこなっているグループは、貯金など現金を持っている人をリスト化してターゲットにし、端末の電話番号を乗っ取った上で2要素認証などをクリアし、ネットバンキングの口座から現金を奪うという方法を用いているとしている。
作業に必要ないファイルにアクセスする電子機器修理サービスの担当者、依頼者が女性の場合に特に多いという調査結果 | スラド セキュリティ
カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。 研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている 実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント
SATA ケーブルをアンテナとして電波を送り、エアギャップ環境からデータを盗み出す「SATAn」 | スラド セキュリティ
SATA ケーブルをアンテナとして用い、エアギャップ環境からデータを盗み出す手法「SATAn」をイスラエル・ベングリオン大学の Mordechai Guri 氏が発表した (論文アブストラクト、 論文: PDF、 Neowin の記事)。 インターネットから隔離されたエアギャップ環境でもマルウェアの攻撃に対して無敵ではなく、2010 年の Stuxnet をはじめとして被害が繰り返し報じられている。ただし、エアギャップ環境ではマルウェアの侵入に成功してもデータを外部に送信できない。Guri 氏はこのような環境でデータを外部に送信するさまざまな手法を開発しており、SATA ケーブルはその最新の手法となる。今回の実験で使われたのは SATA 3.0 インターフェイスとケーブルの組み合わせだ。 SATA 3.0 ケーブルからは 1 GHz ~ 6 GHz のさまざまな周波数帯域の電磁波が発せられ
Mozilla 曰く、最もプライベートでセキュアなメジャーブラウザーは Firefox | スラド セキュリティ
Mozilla は 14 日、Firefox の Total Cookie Protection デフォルト有効化を全世界でロールアウトすると発表した (The Mozilla Blog の記事、 Neowin の記事、 Softpedia の記事、 Android Police の記事)。 Firefox 86 で利用可能になった Total Cookie Protection はサイトごとに独立した「クッキージャー」に cookie を格納し、クロスサイト cookie によるユーザー追跡からの保護を強化する仕組みだ。これにより、Firefox は Windows と Mac、Linux で利用可能な最もプライベートでセキュアなメジャーブラウザーになるという。Total Cookie Protection は既にプライベートブラウジングモードで有効化されており、通常ブラウジングモードで
復号ツール提供条件として被害者に善行を求めるランサムウェア「GoodWill」 | スラド セキュリティ
被害者に 3 つの善行を求め、実行の様子を撮影した動画や写真などをソーシャルメディアへ投稿することを条件に復号ツールを提供するというランサムウェア「GoodWill」をCloudSEKが分析している (CloudSEKのブログ記事、 Neowin の記事)。 3 つの善行とは (1) ホームレスに新しい衣服や毛布を提供する、(2) 貧しい 13 歳未満の子供を 5 人、ドミノピザかピザハット、KFC のいずれかへ連れて行って好きなものを食べさせる、(3) 病院で治療費を支払えずに困っている人を見つけて肩代わりする、というものだ。(1) から順に実行して相手と一緒に撮影した動画や写真をソーシャルメディアに投稿し、スクリーンショットやリンクを攻撃者に送ると確認後に次の善行が指示される。最後に「GoodWill という名のランサムウェアの被害にあったことで自身をどのように親切な人間へ変えたか」と
IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 | スラド セキュリティ
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類
高木浩光氏、日本版ePrivacy立法を目指すのであれば、通信の秘密の概念そのものを見直すべき | スラド セキュリティ
おなじみの高木浩光氏が、総務省がパプコメを募集していた「プラットフォームサービスに関する研究会 中間とりまとめ(案)[PDF]」(以下中間とりまとめ案)についての意見を上げている。中間とりまとめ案では、インターネット上の誹謗中傷への対応を念頭、インターネット上の違法有害情報への対応や利用者情報の取扱いに関して意見公募を行ったもの(高木浩光@自宅の日記)。 同氏によれば、現時点のとりまとめ案はEUで今年合意されたeプライバシー規則(案)を参考にして作られている部分があるという。日本の現行案が参考にしているのは、Cookie規制など表面的な扱いに参考にしただけだと指摘している。同氏は日本版ePrivacy立法を目指すのであれば、通信の秘密には機械的処理によって介入されることがあるといった部分を明確にするなど「通信の秘密」概念の再構成まで含めて検討するべきだと指摘している。
Google、マルウェア化したChrome拡張機能をリモートから無効化 | スラド セキュリティ
人気のChrome拡張機能「The Great Suspender」がマルウェア化し、GoogleはChromeウェブストアから削除するだけでなく、インストール済みの拡張機能をリモートから無効化したそうだ(Android Policeの記事、 The Vergeの記事、 Neowinの記事、 SlashGearの記事)。 The Great Suspenderは使用していないタブをサスペンドしてメモリ使用量を削減するオープンソースの拡張機能で、ソースコードはGitHubで公開されている。しかし、昨年6月に開発者が正体不明な新オーナーへのプロジェクト譲渡を発表し、10月にはGitHubでリリースされていない更新が公開されて怪しい動作をするようになったとの報告が出始める。この頃にはほぼマルウェア化確定との見方が広がっていたが、Googleは調査の結果問題なしとみなしていたようだ。 しかし、Go
元警察官ストーカー男が日本郵政の転居サービス「e転居」を悪用。逮捕される | スラド セキュリティ
ストーリー by nagazou 2020年07月21日 17時01分 外部からあらゆるサービスが簡単に止められるということか 部門より ストーカーが引っ越し時に使用する各種サービスなどを悪用、ストーカーの対象となった女性の郵便物を盗んだり、クレジットカードや銀行口座を使用不能にするなどの行為をしていたことが分かった(FNN、MSNニュース、piyokangoの備忘録)。 犯人は元警察官で36歳の男。出会い系サイトで知り合った20代の女性の郵便物を手に入れるため、日本郵便の提供している転居手続きサイト「e転居」を悪用。女性宛の郵便物を自分の実家の住所に転送していた。男は7月15日に私電磁的記録不正作出・同供用の疑いで逮捕されている。 「e転居」は引っ越しの時に荷物の転送手続きに使用できるサービス。電話確認のみで申請が可能となっており、本人確認の証明書を提示する必要は無かったという。この男は
プライバシーマークを運用するJIPDEC、公表を希望しない審査員登録者175人分の氏名を誤掲載 | スラド セキュリティ
プライバシーマーク(Pマーク)を運用する日本情報経済社会推進協会(JIPDEC)が1月27日に公開した「プライバシーマーク審査員登録者一覧」に、公開を希望していない人の氏名175人分が含まれていたことが発覚。1月30日に修正したが、検索エンジンのキャッシュに公開を希望していない人の氏名情報が残っており、2月3日に審査員登録者から指摘を受けたという。その後同協会はキャッシュの削除を依頼、2月4日には実際に削除が行われたとのこと(Security NEXT、JIPDECの発表)。 同協会は個人情報の取扱い手順について、改めて全役職員に周知徹底するとしている。JIPDECが運用しているプライバシーマークは、「事業者の個人情報を取り扱う仕組みとその運用が適切であるかを評価し、その証として、事業活動においてプライバシーマークの使用を認める制度」となっている。
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される | スラド セキュリティ
RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713、 The Registerの記事、 CVE-2019-15224)。 不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。 不正アクセスを受けたメインテナーのHacker Newsへの投稿に
Microsoftアカウント、2年以上サインインしないと削除される可能性 | スラド セキュリティ
headless曰く、 Microsoftが1日付で公開したサポートドキュメントによると、Microsoftアカウントが非アクティブとみなされるまでの期間が短縮されるようだ(Microsoft account activity policy、Neowin、Windows Central)。 Microsoftサービス規約(MSA)ではMicrosoftアカウントをアクティブな状態に保つようユーザーに求めており、少なくとも5年に1回はサインインしなければ非アクティブとみなされることが明記されている。非アクティブとみなされたMicrosoftアカウントはMicrosoftにより停止(削除)されることになる。なお、Outlook.comの受信トレイおよびOneDriveについては少なくとも年に1回は個別にサインインする必要がある。 一方、新しいアカウントポリシーでは、少なくとも2年に1回サインイ
セキュリティ製品評価企業 NSS Labs、セキュリティベンダーと業界団体を反トラスト法違反で訴える | スラド セキュリティ
セキュリティ製品の評価リポートを提供するNSS Labsが18日、CrowdStrikeやSymantec、ESET(以降、「3社」)などのセキュリティベンダーおよびAnti-Malware Testing Standards Organization(AMTSO)を反トラスト法違反で提訴した(NSS Labsのブログ記事、 訴状: PDF、 The Registerの記事)。 AMTSOはアンチマルウェア評価の改善を目的とした業界団体。NSS LabsのほかAV-TESTやAV-Comparativesなどのセキュリティ製品評価企業数社も加盟しているが、メンバー企業の大半はセキュリティベンダーだ。理事会メンバーも大半がセキュリティベンダーの代表者であり、3社の代表者は理事会で主導的立場にあるという。 NSS Labsの主張によれば、3社は名称不明なまま提訴されている他のセキュリティベンダ
Googleのクラウドサービスは機械的な判断で突然システムを止めることがある | スラド セキュリティ
風力・太陽光発電プラントの監視システムをGoogle Cloud Platform(GCP)上で構築・運営していた企業が突然アカウントを一時停止され、システムを運用できなくなるというトラブルが発生したそうだ(Mediumの記事、 The Registerの記事)。 このシステムは、8か国にわたって設置された数百の設備を1か所で24時間/365日監視するという大規模なもので、状況に応じて発電量を調整するといったクリティカルな作業も行っていたという。 しかし、6月28日に全サイトがダウンしているとUptime Robotからの警告があり、Googleからは「potential suspicious activity (潜在的に疑わしい活動)」を検出したので全システムを停止したと知らせる電子メールが届く。その時点で既にクラウド上のアプリケーションやデータベースに接続できない状態になっており、カス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本で塩素消毒が開始されて百年 | スラド セキュリティ