新たなSNSアカウント特定手法「Silhouette」 | スラド セキュリティ
NTTは新たなSNSアカウント特定手法「Silhouette」を発見し、そのリスクを評価する手法を開発したと発表した(ニュースリリース、技術解説、NHKニュース)。 あるアカウントが別のアカウントをブロックしているか/していないかでSNSサイトからの応答時間が異なることを利用する。攻撃者は予めSNSサイトに複数のアカウント特定補助用アカウントを作成しておく。被攻撃者がアカウント特定スクリプトが仕込まれたサイトを訪問すると、SNSサイトのアカウント特定補助用アカウント群への応答時間が測定される。被攻撃者のブロック状況によって応答時間のパターンが異なることから攻撃者が被攻撃者のアカウントを特定可能である。 ユーザ側の対策としてはこまめにログアウトすることを推奨している。
総務省、「パスワードの定期的な変更は不要」と方針変更 | スラド セキュリティ
3月1日、総務省の「国民のための情報セキュリティサイト」の内容が変更され、「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。」という内容となりました(日経新聞)。 パスワードの定期的な変更はかえって危険という事はいろいろな方面で言われており、例えば「パスワードは定期的に変更してはいけない」--米政府や実は危ない、パスワードの定期変更(日本経済新聞)などといった記事もあります。 Windowsや多くの金融機関のホームページなどでは定期的なパスワードの変更を要求してきますが、今後、どのような
フランスのUNICEF、仮想通貨採掘でシリアの子供たちへの支援資金を調達するキャンペーン「Game Chaingers」を開始 | スラド セキュリティ
UNICEF Franceは2日、仮想通貨でシリアの子供たちへの支援資金を調達するキャンペーン「Game Chaingers」を開始し、仮想通貨の採掘参加者を募っている(特設サイト、 UNICEF Franceのツイート、 The Next Webの記事、 キャンペーン動画)。 Game Chaingersは参加者が仮想通貨採掘ソフトウェアClaymoreを実行して仮想通貨Ethereumを採掘し、UNICEFのEthereumワレットに送金するという仕組みだ。ハイスペックなグラフィックカードを使用しているeスポーツコミュニティを主なターゲットにしており、特設サイトでは採掘ランキングなども表示される。 キャンペーンは3月31日まで。採掘参加者200名を目標としており、既に60%以上を達成している。既にEthereumを保有している場合は直接寄付することもできるほか、仮想通貨を使用しない寄付
ランサムウェアの身代金を横取りするTorプロキシサイト | スラド セキュリティ
ランサムウェアの身代金を横取りするTorプロキシサイトの存在をProofpointが確認した。既に対策を講じているランサムウェア運用者もみられるという(Proofpointの記事、 The Registerの記事、 HackReadの記事)。 ランサムウェアの多くはTorの.onionサイトを使用し、身代金の支払先となるビットコインワレットのアドレスを表示する。.onionサイトへのアクセスにはTor Browserが必要となるが、Torプロキシサイトを経由してアクセスすることも可能だ。Torプロキシサイトのドメイン名は「onion.〇〇〇」という形式になっており、.onion URLのドメイン名に「.〇〇〇」部分を付加してアクセスすることで、Torトラフィックを通常のWebトラフィックに変換してくれる。しかし、悪意のあるTorプロキシサイト運営者がページの内容を書き換えて中間者攻撃を行う
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた | スラド セキュリティ
自身のTwitterアカウントが2要素認証を有効にしたせいでハックされたと「サイバーセキュリティのレジェンド」ジョン・マカフィー氏が主張している(HackReadの記事、 BetaNewsの記事、 BBC Newsの記事)。 マカフィー氏は12月21日から「Coin of the day」として、あまり知られていない今後が期待される仮想通貨を毎日Twitterで紹介していたが、26日をもっていったん休止し、毎週月曜日の朝(初回は1月1日)に「Coin of the week」として再開すると宣言していた。しかし、27日に偽の「Coin of the day」がマカフィー氏のアカウントで複数投稿されたらしい。 マカフィー氏はアカウントがハックされ、Twitterに通知したとツイートし、偽投稿は既に削除されている。別のツイートではセキュリティのエキスパートであってもTwitterのセキュリティ
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 | スラド セキュリティ
どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ(4chan.org、TechCrunch)。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。 影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社
GnuPG2のフォーク「NeoPG」、開発中 | スラド セキュリティ
PGPやGnuPGには近年いくらかの批判もありますが、開発は情熱的に続いています(過去記事:PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される、PGPは有害無益?)。 とはいえ、GnuPGは20年以上の開発によって内部構造が複雑になりすぎています。これに伴う種々の問題に取り組むため、NeoPGという新たなプロジェクトが発足しています。 スライドによると、GnuPGは49万行のコードから成り、400近くのコマンドラインオプション、2種類のOpenPGPパーザ、自前のHTTPクライアントやDNSリゾルバ関連コードを持つ、重厚長大なプロジェクトです。NeoPGでは、できるだけレガシーコードを減らし、外部ライブラリを積極的に利用することで、開発を容易にするつもりです。スライドの時点で、すでに行数はほぼ半減し、コマンドラインオプションも120ほど減っているそうで
みずほ銀行、邦銀初となる「トランザクション認証」を導入 | スラド セキュリティ
みずほ銀行が邦銀初となる「トランザクション認証」に対応した「ワンタイムパスワードカード」の取り扱いを2015年3月下旬より開始する(「ワンタイムパスワードカード」取り扱い開始のお知らせ)。 トランザクション認証は、ワンタイムパスワードカードに振込先口座番号を入力してワンタイムパスワードを生成させるシステム。生成されたワンタイムパスワードでは指定した口座番号以外には振り込みを行えない仕組みだ。 トランザクション認証に対応したトークンを正しく用いれば、ユーザーが利用するコンピュータがマルウェアに感染していたとしても、Man-in-the-Browser (MITB)と呼ばれる手法を完全に防ぐことができる。 しかしながら、高木浩光氏の指摘もあるように、ユーザーがパスワードカードに「送金先の口座番号」ではなく「マルウェアが出力したパソコン上に表示された数値」を入力してしまった場合には、不正振込を防
コンビニATMで偽造カードが一斉に使用される事件、総額14億円以上が不正に引き出される | スラド セキュリティ
東京、神奈川、愛知、大阪、福岡など17都府県のコンビニATMで、15日午前5時過ぎから8時前の約2時間半の間に偽造クレジットカードによる大量の不正引き出しが発生した。引き出された総額は約14億4000万円に上るという(読売新聞、東京新聞)。 一部のカードは偽造カードとして検知されATMが回収していたそうだが、回収されたカードは「中国系焼き肉店の顧客カード」ものだったそうだ。また、使われたクレジットカード情報は南アフリカ・スタンダード銀行のもの約1600枚分だったという。行われたのは預金からの引き出しではなく、カード会社から現金を借りる「キャッシング」での引き出しで、各ATMから引き出されたのは限度額の10万円だが、1万4000回以上の取引が行われていたとのこと。
生乳を合法的に入手可能になった米ウェストバージニア州、生乳で乾杯した州議員が謎のウィルス性胃腸炎に | スラド セキュリティ
殺菌していない生乳の入手を容易にする州法が3日に成立した米国・ウェストバージニア州で、成立を祝う州下院議員が議事堂で他の議員を招いて生乳の試飲会を開催したところ、運悪く数名が謎のウィルス性胃腸炎を発症してしまったそうだ(WSAZの記事、 Charleston Gazette-Mailの記事、 Modern Farmerの記事、 Consumeristの記事)。 このウィルス性胃腸炎の症状は下痢や吐き気、発熱といったもので、ノロウィルス感染時の症状に似ているとのこと。生乳を持ち込んだScott Cadle議員自身もウィルス胃腸炎を発症したが、偶然であると主張。数週間前から議会ではウィルス性胃腸炎が蔓延しており、生乳とは無関係だと述べている。中には生乳のコップに口を付けただけの人や、全く飲んでいない人もいるという。米食品医薬品局(FDA)では生乳が有害な細菌を含む可能性があり、深刻な疾病の原因
連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 | スラド セキュリティ
米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ
オランダ警察、「PGP Blackberry」で使われているPGP暗号化されたメールを解読していた | スラド セキュリティ
Blackberryには軍事レベルのセキュリティを持つという「PGP Blackberry」という高価なモデルが存在する。この端末ではメールはすべてPGPで暗号化されて扱われるという。しかし、オランダのブログメディアによると、オランダ科学捜査研究所がこのPGP Blackberry上に保存されていた暗号化メールの解読に成功したという。メディアが同研究所に問い合わせたところ、解読は事実だと認めたそうだ(Naked Security、MOTHERBOARD、GIZMODO、Slashdot)。 科学捜査研究所はPGP Blackberry1台から325件のEメールを取り出し、そのうちの279件の暗号を解除することができたとしている。オランダの機関が解読に熱心なのは、PGP Blackberryがセキュリティ能力の高さから犯罪組織の連絡に広く利用されているためだとしている。
Let's Encryptの証明書、不正広告攻撃に悪用される | スラド セキュリティ
Trend Microによると、昨年12月下旬に急増した不正広告(malvertising)攻撃で、マルウェアをホストするサーバーへの通信を暗号化するためにLet's Encryptの発行したサーバー証明書が使われていることが確認されたそうだ。Let's Encryptは無料でDV証明書を発行するサービスで、12月3日にパブリックベータへ移行している(TrendLabs Security Intelligence Blogの記事、 The Registerの記事、 InfoWorldの記事)。 攻撃は不正な広告を用いてAngler Exploit Kitをホストするサイトに誘導し、ネットバンキングをターゲットにしたトロイの木馬をインストールさせるというもの。主に日本のユーザーが攻撃の対象となっており、Trend Microでは昨年9月に確認された不正広告攻撃の続きとみている。 攻撃者はdo
新たなAndroidマルウェア、2万を超えるアプリで検出。削除はほぼ不可能? | スラド セキュリティ
Baiduの「Moplus」SDKにバックドアが含まれていたことが最近話題になったが、セキュリティ企業のLookoutによると、これ以外にもAndroidを標的とする新種のマルウェアが多くのアプリに埋め込まれていることが判明したそうだ(CNET Japan)。 Google Playから入手した正規のアプリにマルウェアを組み込んで再パッケージ化し、サードパーティーのアプリストアで公開する、という手口が用いられているという。ユーザーがサードパーティーのストアから問題のあるアプリをインストールすると、アプリはルート権限を自動で取得し、デバイスシステム全体へのアクセス権を手に入れるという。またこのマルウェアを削除することはほぼ不可能で、ユーザーはデバイス本体を交換せざるを得なくなるという。 この行為自体がすでにAndroidのセキュリティに穴を開けるものだが、さらにその後は定期的にアプリ内で広告
LINEアプリ、エンドツーエンドの暗号化を実装 | スラド セキュリティ
ストーリー by hylom 2015年10月16日 15時51分 今まではメッセージを見られていた可能性があるということですよね 部門より LINEがメッセージングアプリ「LINE 5.3」で、メッセージをエンドツーエンドで暗号化する「Letter Sealing」機能を実装したことを発表した(公式ブログの発表)。これにより、悪意のある第三者だけでなく、LINEサーバの管理者でさえもメッセージの内容を復号することができなくなるという。 Letter Sealing機能は、メッセージをやり取りする個人間で楕円曲線DH方式(Elliptic Curve Diffie-Hellman)を用いて暗号化鍵を交換し、エンドツーエンド暗号化に用いる256bitの共通鍵を生成する。メッセージの暗号化には強度の高いAES-CBC-256が用いられている。また、改ざん防止にはハッシュ関数でメッセージに対する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ペニスによる生体認証」を導入したアダルトチャットサービス | スラド セキュリティ
官庁ではまだ使われているLHA | スラド セキュリティ
サイバー攻撃によりOpera SyncのユーザーIDとパスワードが漏洩 | スラド セキュリティ
総務省「高度な知識を要する」情報セキュリティ非常勤職員募集。日給8000円 | スラド セキュリティ
JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される | スラド セキュリティ