60万人以上が挑戦して誰も全問正解できなかったGCHQのクリスマスパズル、正解が公表される | スラド セキュリティ
英政府通信本部(GCHQ)は4日、昨年12月に出題していたクリスマスパズルの正解を公表した(正答集: PDF、 ニュースリリース、 The Registerの記事)。 クリスマスパズルはPart 1からPart 5まで5つのステージが用意され、最初のステージをクリアした人は60万人を超えるという。3万人以上が最終ステージまでたどり着いたが、最終ステージをクリアできた人はいなかったそうだ。ただし、クリアまであと一歩というところまで迫った挑戦者が3人おり、この3人が優勝者としてGCHQのペーパーウエイトおよびGCHQ局長のメッセージとサインが入ったアラン・チューリングのバイオグラフィー、優勝を自慢する権利が贈られるとのこと。 パズル自体は現在も公開されており、正答集には正解とともに説明も記載されている。数学や語学、通信、コンピューター、ロード・オブ・ザ・リングなど、さまざまな知識が要求されるが
30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功? | スラド セキュリティ
米空軍の機密情報漏えい事件の裁判で、容疑者から押収したハードディスクに保存されていたTrueCryptの隠しボリュームをFBIが復号したと、米軍の諜報活動対策専門家が証言したそうだ(The Registerの記事、 Sun Sentinelの記事)。 容疑者は機密文書へのアクセスを認められた米空軍のシステム管理者。ホンジュラスの空軍基地でWindows 7のインストール作業をしていた際、中東関連の機密文書などをコピーして持ち出したという。容疑者は逮捕・起訴され、7月30日にフロリダの連邦地裁で有罪判決を受けている。 この諜報活動対策専門家によると、TrueCryptの隠しボリュームは30桁の複雑なパスワードで暗号化されていたが、FBIが復号に成功して流出した機密情報を確認したという。ただし、Open Crypto Audit Project(Is TrueCrypt Audited Yet
パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 | スラド セキュリティ
これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、 論文: PDF、 The Registerの記事)。 研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5~2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使
Lenovo、Superfish削除ツールの配布を開始 | スラド セキュリティ
LenovoのノートPCに「Superfish」というアドウェアがプリインストールされていた問題で、同社はこれを削除するツールを配布する予定を明らかにした(WSJ Digitsの記事、 本家/.)。 Wall Street JournalのインタビューでLenovoのCTO、Peter Hortensius氏は、削除ツールの完成後ただちに配布する予定であると語っている。このツールはSuperfishをアンインストールするだけでなく、影響をすべて消去するものになるという。配布方法などは今後プレスリリースで発表するとのことだ。 Superfishがもたらすセキュリティ上の危険性に関して、セキュリティ研究家との認識の食い違いについて指摘された同氏は、「セキュリティ研究家と言い争うつもりはない。彼らは理論上の懸念について論じている。我が社としては不正行為が発生したとは認識していないが、このソフトウ
TrueCryptの開発中止に米当局が関与していたという説 | スラド セキュリティ
先日、TrueCryptの実質的な開発中止が表明された(過去記事)。この中止の理由について、公式サイトの転送先であるSourceForge.net上のページでは「セキュリティ上の問題」と告知されていたが、これについてネット上ではさまざまな憶測が流れている。その一つに、米国家安全保障局(NSA)が開発者達に書簡を送って中止させたというものがあるという(mathew、Slashdot)。 昨年、暗号化電子メールサービスであるLavabitが開発中止となる出来事があったが、これもNSAの監視対象になったのが原因であるという噂も、この憶測を後押ししているとしている。 なお、TrueCryptの監査を行っているプロジェクトOpenCryptoAuditは29日、予定通り監査を継続すると発表している(INTERNET Watch)。
東大の研究者らが新たな量子暗号方式を開発 | スラド セキュリティ
東京大学大学院工学系研究科附属光量子科学研究センターの小芦雅斗教授や佐々木寿彦特任研究員らが、新たな量子暗号方式を開発したと発表した(東大の発表、ASCII.jp、マイナビニュース)。 不確定性原理とは、量子の位置と運動量の両方を同時に高精度で測定することはできない、という理論。既存の量子暗号理論を使った暗号方式では、経路の途中でその通信が観測(傍受)されると光子の状態が決定されてしまうという性質を使い、傍受された場合にそのことが分かる、というものであった。 具体的には、光ファイバーを使った通信の際に観測される通信路のノイズ量を監視することで傍受されているかを検出できるというものだが、通信路本来のノイズが多い場合には情報の正しい伝達自体ができなくなったり、送信したいデータよりも大幅に大きな量の通信を行う必要があるといった問題があったという。 これに対し今回開発された手法は、レーザー光源から
無線LANアクセスポイントを狙い「空気感染」するウイルスが実証される | スラッシュドット・ジャパン セキュリティ
リバプール大学の研究者らが、無線LANアクセスポイントを経由して感染する「Chameleon」と呼ばれるウイルスの実証実験に成功した(ScienceBlog、slashdot DC、EURASIP Journal、slashdot)。 このウイルスは、アクセスポイント(AP)を攻撃してそのファームウェアを書き換える機能を持っており、ファームウェアの書き換え後には攻撃されたことを認識されないよう、通常通りAPとして動作するという。しかし、この「感染した」APは接続してくるクライアントの認証情報を収集するという。さらに、周囲にある別のAPに対し攻撃を行い、同様にファームウェアの書き換えを試みるそうだ。 大きな問題点として、このようなウイルスはAP上にしかその痕跡を残さないので、PCのセキュリティソフトでは検出が難しいということがあるという。
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
「なりすまし」ウイルスで誤認逮捕? | スラド セキュリティ
大阪市のWebサイトに殺人予告をするという書き込みをした容疑でアニメ演出家の男性が8月に逮捕されたが(/.J記事)、無実の可能性が出てきたとして9月21日に釈放されていたそうだ。また、三重県でも「伊勢神宮を爆破する」などとインターネットの掲示板に書き込んだとして9月14日に男性が逮捕されたが、1週間後に釈放されたという(MSN産経ニュースの記事、 NHKニュースの記事、 YOMIURI ONLINEの記事、 時事ドットコムの記事)。 いずれも書き込みの行われたIPアドレスが証拠とされていたが、調べによりパソコンが新種のウイルスに感染していたことが判明。第三者が外部からパソコンを操作、またはウイルスの自動処理により掲示板への書き込みが行われた可能性が出てきたとのこと。 誤認逮捕とは怖い話であるが、もう少し慎重な捜査が出来なかったものか。
Ponta会員ローソンアプリユーザーは「他人の電話番号や誕生日の入手」や「自分の電話番号や誕生日の開示」をしてはいけない | スラド セキュリティ
ローソンがPonta会員用のAndroidアプリ(ローソン公式スマートフォンアプリ)をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。 「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」(高木浩光氏による画面キャプチャ) なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。 Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。 ちなみにセキュリティ専門家
Microsoftのセキュリティ製品、Google Chromeをマルウェアと誤認識 | スラド セキュリティ
9月30日、Microsoftのセキュリティ製品「Microsoft Security Essentials」および「Forefront Client Security」がGoogle Chromeをマルウェア「PWS:W32/Zbot」として誤検出し、指示に従って操作した場合はGoogle Chromeが削除される状態になっていたとのこと(Microsoft Malware Protection Centerのマルウェア情報、 本家/.)。 PWS:W32/Zbotはトロイの木馬に分類されるマルウェアで、特定のWebサイトへのアクセスを監視してパスワードを盗みとろうとするものだという。Microsoftは同日中に修正済みのウイルス定義ファイルを公開しており、バージョン1.113.672.0以降では同様の問題は発生しない。影響を受けたユーザーはウイルス定義ファイルを更新した後で、Googl
米シティグループ顧客情報流出、その手口は単純だった | スラド セキュリティ
米シティグループから21万人ものクレジットカード顧客情報が盗まれた事件(/.J過去記事)の手口は驚くほど単純なものだったそうだ(Mail Online、本家/.)。 「ここ最近最も大胆な手口の銀行データ盗難」などと言われたこの事件、大量の顧客情報を盗んだ手口は驚くほど単純なものだったそうだ。なんとシティグループのウェブサイトのクレジットカード顧客が利用するページのURLには顧客の口座番号が埋め込まれていたそうで、犯行グループは単にこの番号を他の番号に置き換えていくことでデータを手に入れていたとのこと。 犯行グループはこの口座番号を入れ替えてデータを取得するプログラムを開発し、大量のデータを持ち逃げしたとのことだ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Excelの操作ミスで情報漏洩、ソート時に別の人の個人情報が混入 | スラド セキュリティ