信用情報会社Equifaxが個人情報漏洩、インサイダー疑惑もあり米政府が調査に乗り出す | スラド セキュリティ
クレジットカードなどの信用情報を扱う米大手消費者信用情報会社Equifaxが不正アクセスによって個人情報を漏洩させたことが報じられている。流出したのは氏名や住所、生年月日のほか、社会保障番号や免許証番号、クレジットカード番号なども含まれているという。(ITmedia)。 これだけならまだ昨今ではよくある話なのだが、漏洩を知った同社役員らがメディアで報じられる前に同社の株式を売却していたことも発覚、批判されている(TechCrunch、THE HELL、米エネルギー・商業委員会、米下院金融サービス委員会、Slashdot)。 また、利用規約には集団訴訟の権利を放棄するという条項が含まれており、こうしたことから政府からも批判を受けているとのこと。Tammy Baldwin上院議員は「Equifaxはこの重大な違反数週間にわたって被害者に伝えなかった」と発言している。また、米エネルギー・商業委員
Androidの「Toast」機能を使用したオーバーレイ攻撃 | スラド セキュリティ
Androidに対する「オーバーレイ攻撃」を容易に実行できるようにする脆弱性(CVE-2017-0752)についてPalo Alto Networksが解説している(Palo Alto Networksのブログ、Threatpost、V3、Register)。 オーバーレイ攻撃は他のウィンドウの手前に描画したオーバーレイウィンドウを用いてクリックジャッキングを実行したり、ユーザーの操作を不可能にするといった攻撃だ。これまで知られているAndroidのオーバーレイ攻撃では、攻撃者のアプリで「他のアプリの上に重ねて表示(SYSTEM_ALERT_WINDOW)」のアクセス権限が必要だった。 新たなオーバーレイ攻撃の手法はAndroidでポップアップ通知に使われるToastを使用するものだ。Toastは最前面に表示されるが、特別なアクセス権限は必要ない。Palo Alto NetworksではT
非常に多数のBluetoothデバイスに影響する脆弱性が見つかる | スラド セキュリティ
JPCERTからの注意喚起が出ているが、さまざまなOSで使われているBluetoothの実装に脆弱性が判明した。この脆弱性は「BlueBorne」と呼ばれており、この脆弱性を悪用することで外部から端末を乗っ取られる可能性もあるという(CNET Japan、ITmedia、TechCrunch、PC Watch)。 影響を受けるOSはLinux Kernel 3.3-rc1以降、BlueZのすべてのバージョン、iOS 9.3.5以前、tvOS 7.2.2以前、9月のセキュリティ更新を適用していないWindow Vista以降、9月のセキュリティパッチを適用していないAndroidと非常に幅広い。物理的な接続なしに攻撃が行えるため、ネットワーク的に隔離されている環境でも攻撃を受ける可能性がある。
水産庁、ミサイル発射を漁業無線で自動的に漁船に通知するシステムを導入へ | スラド セキュリティ
水産庁が、漁船に対し自動でミサイル発射を無線で通知するシステムを導入するという(時事通信、TBS、FNN、琉球新報)。 導入されるのは、内閣官房からミサイル発射情報が発信された場合、それを漁業無線局が自動で音声化して通知するというものだそうだ。 無論ミサイルには弾道弾だけでなく、誤動作で漁船に命中しかねない対艦ミサイルもある。漁民・船員を守る為の船舶用ミサイル警報装置に反対はできまいが、コストエフェクティブかどうかは検討の余地があると思う。
米大手量販店Best Buy、Kaspersky製品の取り扱いを中止 | スラド セキュリティ
米大手量販店Best BuyがKaspersky Lab製品の取り扱いをすべて中止したそうだ(Star Tribune、Windows Central、The Register、Neowin)。 米国ではKaspersky Labがロシア政府の影響を受ける可能性があるとして、政府機関でのKaspersky製品排除の動きが進んでいる。2018年国防授権法(NDAA)案には国防省でKaspersky製品の使用を禁ずる条項が盛り込まれており、8月下旬には連邦捜査局(FBI)が米企業にKaspersky製品を使用しないよう要請していることも報じられている。 Star Tribuneによると、Best BuyはKaspersky製品の取り扱いを中止したことを認めたのみで、理由等については回答していないという。ただし、今回の決定に詳しい情報提供者によれば、Best Buyは自ら調査を行ったわけではない
総務省、ネット上のIoT機器全調査を行うと発表 | スラド セキュリティ
総務省がIoT機器に関する脆弱性調査等を実施するとのこと(総務省の発表、朝日新聞)。 朝日新聞の記事によると、総務省は一般社団法人ICT-ISACや横浜国立大学と連携し、「国内で動作している全てのIoT機器に接続を試みる」という。問題が発見された場合は、所有者等に対し注意喚起を行うという。
AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは | スラド セキュリティ
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事、 TALOS-2017-0306、 The Registerの記事)。 脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSP
超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃 | スラド セキュリティ
20kHz以上の超音波を用い、人の耳に聞こえないボイスコマンドでデジタルアシスタントデバイスを操作して攻撃する研究の成果を中国・浙江大学の研究チームが発表した(論文: PDF、 The Vergeの記事、 BetaNewsの記事、 The Registerの記事)。 オーディオ機能をサポートする多くのデバイスではLPFにより20kHz以上の周波数帯域がカットされることから、超音波での操作は困難と考えられていた。超音波をデバイスが受信できるとしても、実際の人の声と異なる信号をコマンドとして認識できるのか、ユーザーの声を識別するデバイスをアクティベートできるのかといった点も問題となる。 「DolphinAttack」と名付けられた攻撃では、周波数20kHz以上のキャリア信号をボイスコマンドの音声信号でAM変調した信号を用いる。この信号を超音波スピーカーから出力してデバイスのマイクに入力すると、
AT&TのISP向けモデムに深刻な脆弱性が発見される | スラド セキュリティ
AT&TのISP向けに配布されているArris製のホームモデム、ルータなどで悪用可能な脆弱性が発見された。この脆弱性は情報セキュリティコンサルティング会社のNomotionが発見したものだという。公開された五つの欠陥のうち最も深刻なものは、NVG589とNVG599モデムとファームウェアバージョン9.2.2h0d83の組み合わせ(threatpost、FierceTelecom、Slashdot)。 発見された脆弱性を悪用すれば、リモートハッカーがSSH経由でデバイスに簡単にアクセスでき、無線LANのSSIDやパスワードの表示・変更、ネットワーク設定の変更、ファームウェアの再フラッシュ、暗号化されていないトラフィックに広告を注入することも可能だとしている。モデムメーカーであるARRISは現在、レポートの内容を検証しているとしている。AT&Tは米国内3位のISPで現在約1400万人の顧客を抱
ペースメーカーの脆弱性を修正するファームウェア更新が提供される | スラド セキュリティ
Abbott(St. Jude Medical)の植え込み型心臓ペースメーカーに外部からの不正アクセスが可能な脆弱性が発見されたとして、米食品医薬品局(FDA)がファームウェア更新のためのリコールを発表した(FDAの発表、 Abbottのプレスリリース、 The Vergeの記事、 Consumeristの記事)。 この脆弱性を悪用すると、市販の機器を用いて患者のペースメーカーに不正アクセスが可能になる。これにより、バッテリー消費を増加させたり、不適切なペーシングを実行させたりといった攻撃が実行される可能性がある。 対象となるのは無線テレメトリー機能を搭載したSt. Jude Medicalブランドの植え込み型心臓ペースメーカーおよび心臓再同期療法ペースメーカー(CRT-P)で、米国では465,000台が使われているという。なお、植え込み型心臓除細動器(ICD)および心臓再同期療法ICD(
WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される | スラド セキュリティ
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事、 V3の記事、 The Vergeの記事、 The Guardianの記事)。 ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。 この件について、ジュリアン・アサンジ氏やWikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイー
Essential、フィッシングメールのような通知を顧客に送り、さらに返信内容を他の顧客へ転送するトラブル | スラド セキュリティ
初の製品Essential Phone(Essential PH-1)の発送をようやく開始したEssential Productsだが、一部の顧客の個人情報を他の顧客と共有してしまうトラブルが発生し、CEOのアンディ・ルービン氏が謝罪している(Essentialのブログ記事、 The Vergeの記事[1]、 [2])。 発端はEssential Products Customer Careから一部の注文者に対し、本人確認資料を返信するよう求める電子メールが送られたことだ。内容は支払い情報の不正利用を避けるためとして代替の電子メールアドレスと電話番号、写真入り身分証明書の画像を送るよう求めるもので、フィッシングメールではないかと騒ぎになった。 その後、本当にEssential Productsから送られたものと確認されたが、顧客の返信内容が他の顧客あてにEssentialのZendeskア
Kaspersky Lab、同社を訴えたパテントトロールに5千ドルを支払わせる | スラド セキュリティ
Kaspersky Labが特許侵害で同社を訴えたパテントトロールWetro Lanに対し、訴訟を取り下げたいなら金を支払えと逆に要求。5千ドルを支払わせたそうだ(Nota Beneの記事、 Ars Technicaの記事、 The Registerの記事)。 問題の特許US Patent 6,795,918(918特許)は受信したデータパケットから送信元や宛先、プロトコル情報を抽出してユーザーの変更不可能な判定ブロックを生成し、フィルタリングに使用するというもの。これは出願された2000年には既に広く使われていたネットワークファイアーウォールの仕組みそのもので、EFFが2015年6月にStupid Patent of the Monthに選んでいる。918特許は発明者が維持費の支払いをやめ、2012年9月に失効しているのだが、2015年に設立されたばかりのWetro Lanが買収。特許侵
FBIに逮捕された著名ハッカー、裁判費用を募集するも不正な寄付が多く集まりいったん中止に | スラド セキュリティ
5月に大きく話題になったマルウェア「WannaCry」を無効化する方法を発見したセキュリティ研究者のマーカス・ハッチンス氏が、別のマルウェアに関与した疑いでFBIに逮捕されるという事件が発生した。(過去記事)。氏は単にマルウェアサンプルを入手しようとしていただけという見方もあり、同氏の裁判費用を賄うべくクラウドファンディングで資金調達プロジェクトが立ち上げられていたのだが、そこに寄せられた資金の大半は不正なクレジットカード番号で寄付されていたことが判明したという(BuzzFeed News、TechCrunch、Slashdot)。 弁護士のTor Ekeland氏によると、収集された資金のうち少なくとも15万ドルは不正ものだったそうだ。このため、正当なカード番号のものも含めた寄付金は返却されたという。また、正当な寄付金は約4,900ドルほどだったという。裁判費用についてはマーカス・ハッチ
IoTが引き起こす問題は誰が責任を負うべきか | スラド セキュリティ
周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「The Internet of Hackable Things(PDF)」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフトで70%の機器がパスワードを簡単に解析されてしまう、多くの機器が暗号化されていないネットワークを使用していることなどを指摘している(NETWORKWORLD、Slashdot)。 デバイスメーカー側にも責任の一端があると指摘する。開発段階からセキュリティのことを考慮している組織は48%。デバイスのリモートアップデートを提供している企業は49%。IoTのセキュリティ専門家を雇う企業は20%ほどしかいない。またセキュリティ研
GnuPG 2.2.0 リリース | スラド セキュリティ
GnuPGのバージョン2.2.0がリリースされました(アナウンス、OSDN Magazine)。これは長らくmodern版として開発されてきた2.1系が新たな安定板になったことを意味します。 2.0系は今年いっぱいでサポートが終わるので、ユーザは2.2へ移行する必要があります。
ドローンやVR機器で使われる加速度センサやジャイロセンサは超音波で誤動作する | スラド セキュリティ
昨今ではさまざまな電子機器に搭載されている加速度センサやジャイロセンサには、超音波を照射されると誤動作するという脆弱性があるという(日経ITpro)。 中国アリババ集団のセキュリティ部門であるアリババセキュリティーがセキュリティカンファレンスBlack Hat 2017で実験内容などを発表したもの。加速度センサやジャイロセンサでは極小サイズのバネや重りを使って加速度や角速度を検出するが、これらには超音波を加速度や各速度として検出してしまう問題があるという。これを悪用することで、これらセンサの出力する値を外部から操作できる可能性があるという。 実証実験ではきわめて近距離から超音波を照射しているが、大規模なシステムを構築することでより遠距離から攻撃を行える可能性もあるようだ。
コードを書かずにAndroidをターゲットにしたランサムウェアを作成できるAndroidアプリ | スラド セキュリティ
コードを1行も書くことなく、オプションを指定するだけでAndroidをターゲットにしたランサムウェアを作成できるツールの登場により、モバイルランサムウェアの亜種が多数出回る可能性をSymantecのDinesh Venkatesan氏が指摘し、注意を喚起している(Symantec Security Response、Softpedia)。 Venkatesan氏が「Trojan Development Kits(TDK:トロイの木馬開発キット)」と呼ぶツールはAndroid用の無料アプリとしてハッキングフォーラムや、中国で人気のあるメッセージングサービスの広告などを通じて配布されているという。現在のところVenkatesan氏が確認しているのは中国のユーザーを対象にしたTDKのみだが、ローカライズは容易であり、他言語版が出回る可能性が高いとのこと。 TDKの使い方は簡単で、Android端
米国で大量のアトランティックサーモンが太平洋側に流出 | スラド セキュリティ
米国・ワシントン州のピュージェット湾内、サイプレス島付近で、養殖業者Cooke Aquacultureが所有する養殖施設から大量のアトランティックサーモンが流出し、太平洋側の在来種への影響が懸念されている(Cooke Aquacultureの発表、 WDFWのニュースリリース、 The Guardianの記事、 CBC Newsの記事、 The Seattle Timesの記事)。 養殖場は30年ほど前から使われていたもので、昨年Cooke Aquacultureが購入したという。同社は事故の発生を19日にワシントン州魚類野生生物局(WDFW)に報告し、異例の高潮や潮流により養殖場の構造が破損したと発表している。ただし、米海洋大気庁(NOAA)は19日の潮流について、非常に速かったが特別速かったわけではないと述べており、既に7月下旬には問題が発生していたとも報じられている。 養殖場に囲われ
米政府機関をターゲットにしたCIAのハッキングツール「ExpressLane」 | スラド セキュリティ
WikiLeaksは24日、米中央情報局(CIA)が他の米政府機関に対して使用していたという「ExpressLane」をVault 7プロジェクトで公開した(Vault 7 — ExpressLane、 The Vergeの記事、 Softpediaの記事)。 CIAはOffice of Technical Services(OTS)が作成した生体情報収集システム「OTS/i2c」を国家安全保障局(NSA)や国土安全保障省(DHS)、連邦捜査局(FBI)といった連携する政府機関に提供しているという。CIAでは各機関に情報の共有を求めているが、共有を拒否された場合にも情報を確保できるようにするのがExpressLaneの役割だ。 ExpressLaneはOTS/i2cのアップグレードの一部としてOTSの担当者がインストールするが、生体情報収集ソフトウェアが更新されるわけではなく、スプラッシュ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
