蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる | スラド セキュリティ
オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(本家/.、University of Twente公式サイト)。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き
政府の「標的型不審メール攻撃」訓練、1割が感染するという結果に | スラド セキュリティ
昨年秋の「政府、職員向けにサイバー攻撃に対する訓練」というストーリーを覚えておられるだろうか。 その後伝えられるところによると、12の政府機関の6万人の職員を対象に、10~12月にかけて2度、訓練用の不審メールを無作為に送付したところ、その10.1%が初回の添付ファイルを開封して訓練用マルウェアに感染、さらに3.1%が2回目のリンクメールをクリックするという結果になったそうだ。職員の2割超が開封した機関もあったという(毎日.jpの記事、内閣官房情報セキュリティセンター報道発表資料)。 さらに今後の課題として、不審メールを開封するにとどまらず、「①不審メールの送信元に対しメールを返信する方法で差出人の確認をしているケース」や「②メールの自動返信機能を設定することで、攻撃者に対し、不在通知が自動発信されたケース」が発生。攻撃者に政府組織内で使用しているメールアドレスを通知した可能性が憂慮されて
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 | スラド セキュリティ
Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという(Togetterまとめ:Amazonのほしい物リストを公開していると個人情報を抜かれます)。 必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。 これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい
住基ネットの情報、秋田市職員が不正に閲覧 | スラド セキュリティ
秋田市の職員が住民基本台帳システムに不正にアクセスし、計54世帯分の個人情報を不正に閲覧していたことが分かった(NHK、秋田魁新報)。 問題の職員は、別の職員の机にパスワードが書かれた付箋が貼り付けられているのを見て、それを利用して住民基本台帳システムや課税情報が登録されたシステムに不正にアクセスしたとのこと。計54世帯分の住所や氏名、課税状況を閲覧したという。 職員は「知っている職員や知人の年齢に興味があって見た」と話しているという。 総務省によると、住基ネットの不正アクセス事件はこれまで起きたことがないとのこと。初の事件が「メモに書かれたパスワード」という、やってはいけない基本中の基本で漏れてしまった。戒告で済ませて幕引きをはかっているが、これでよいのだろうか?
「GPS ジャマー」のおそるべき効果 | スラド セキュリティ
今日ではさまざまな機器に GPS が搭載されている。これらは ATM など意外な機器でも使われているが、「30 ドルで販売されている GPS ジャマー」で GPS 電波を妨害することで、身近な機器を簡単に暴走させられる (NewScientist の記事、本家 /. 記事より) 。 まず例として挙げられているのは 2010 年に北海で行われた実験だ。 THV Galatea という大型船舶において GPS ジャマーを用いて GPS を正しく利用できない状況にしたところ、ブリッジのディスプレイには誤った位置情報が表示されアラームが鳴り響き、航海支援システムやレーダーもクラッシュ、さらには衛星通信システムも利用できなくなるという状況となったそうだ。 恐ろしいのはこのような危険を持つ GPS ジャマーが 30 ドル程度で購入できてしまうことだそうで、実際にトラック強奪などの犯罪にも用いられている
解雇された団体のサーバにアクセスし怪文書作成、不正競争防止法違反で逮捕 | スラド セキュリティ
解雇された業界団体の会長に嫌がらせをする目的でサーバーに侵入し、営業秘密情報を不正に取得した人物を、警視庁ハイテク犯罪対策総合センターが不正競争防止法違反などの疑いで逮捕した (日本経済新聞の記事より) 。 容疑者は 2004 年に、パチンコ業界団体である東日本遊技機商業協同組合の顧問を解雇されていた。中古パチンコ台販売会社に損害を与える目的で同団体が管理する加盟各社のパチンコ台の流通情報を保持するサーバに 260 回にわたって不正アクセスをし、得られた秘密情報をもとに怪文書を作成して加盟会社各社に送りつけていた。 不正競争防止法では、同業他社などが「不正の競争」を目的として営業秘密を不正取得した場合が刑事罰の対象となっていたが、昨年 7 月の改正で「不正の利益を得る」と改正され、不満や怨恨を晴らすなど「損害を加える目的」があれば処罰が可能となった。
Gmail にログインしている E-mail アドレスを盗まれるセキュリティホール | スラド セキュリティ
TechCrunch JAPAN の記事によると Gmail に重大なセキュリティホールが発見された。 Google アカウントにログインした状態で悪意のあるサイトを訪問すると、そのアカウントで Gmail に蓄積したすべてのメールが盗まれるというもののようだ。既に実証サイトが作られている。これは API の欠陥をついた攻撃だったようだが、現在は既に修正された模様。 どのような手法だったのか、実際に悪用された例はあったのか、興味深い。 TechCrunch JAPAN の記事では「メールをすべて盗まれる」とあるが、本家 TechCrunch の記事によれば、harvested your Google email とあり、この記事に言及している他記事 (例えば Techie Buzz の記事) によれば、ログインしている Gmail の E-mail アドレスが収集されてしまうとのことで、セ
尖閣映像流出問題、神戸の海保職員が「自分が関与」と名乗り出る | スラド セキュリティ
NHKニュースやMSN産経ニュースによれば、 尖閣諸島沖での中国漁船衝突事件の映像がYouTubeへ流出した問題で、神戸市の第5管区海上保安本部の職員が、自分が映像を流出させたと名乗り出ていることが分かったらしい。現在は航行中の船に乗っているということだが、10日中に神戸港に戻り、事情聴取を受けることになる。 Googleからのログの押収によって、既に神戸市内のネットカフェから投稿されたことが明らかになっているが、石垣海上保安部は第11管区海上保安本部(那覇)であり、第5管区海上保安本部(神戸)との接点はほとんどないと思われる。仮にこの職員が流出させたとすれば、映像の入手方法が次に問題となるだろう。
生パスワードを平文メールで送ってくる企業 | スラド セキュリティ
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
宮崎県えびの市民図書館利用者の個人情報もパスワードなしのFTPで公開状態になっていた | スラド セキュリティ
もう食傷気味かもしれないが、先月誰でもログインできる状態になっていたことが判明したえびの市民図書館のFTPサーバーにて、1993~97年にかけてえびの市民図書館を利用した1800人の個人情報と、督促状作成用のテキストデータに含まれていた110余名の個人情報が公開状態になっていたことが明らかになったそうだ。 この記事は昨日の朝日新聞名古屋本社版に掲載されたとのことで、実際の漏洩データの概要についてはたりき氏のまだあった!図書館利用者情報漏洩 - たぬきん貧乏日記でまとめられている(個人情報は掲載されていない)。 そのたりき氏の昨日のつぶやきによれば、えびの市民図書館側よりコンタクトがあって「漏洩した個人情報の削除依頼があったので快諾した」一方、たりき氏の本名や電話番号を知っているはずの「MDIS,岡崎からは何も言ってこない」そうだ。 客先に導入したシステムを無断配布した上管理を容易にするため
ゲーム機の数割がボットに感染している? | スラド セキュリティ
やや旧聞となってしまったが、10代のネット利用を追うと題したInternet Watchの記事が興味深い。その中でも、神奈川県川崎市立学校インターネット問題連絡協議会の委員などを務める田島和彦氏へのインタビューの中でこう述べられている。 子供たちが野良アクセスポイントを不正に利用している中学生がWEPや簡単なセキュリティを破ることがあるパソコン以上にゲーム機が危険。ゲーム機の数割がボットに感染している ニンテンドーDSを持つ子どもの7割がマジコンを持っている納得のいくものから、ぜひ根拠となる資料を見せていただきたいものまで様々だが、タレコミ人にはボットに関する記述が特に衝撃的であった。数割というからには、最低でも一割はあって欲しいところである。本当にそんな数のゲーム機がボットと化してしまっているのだろうか?
セキュリティ研究者らが Microsoft のゼロデイ脆弱性の詳細を相次いで公開 | スラド セキュリティ
セキュリティ研究者らが Microsoft のゼロデイ脆弱性の詳細を相次いで公開している (Softpedia の記事、本家 /. 記事より) 。 この一週間にゼロデイの脆弱性は、IIS 5.1 のディレクトリ認証の回避や、Windows Vista/2008 のカーネルレベルへの権限昇格、ROP (Return Oriented Programming) / ASLR 回避の攻撃に繋がる発見が公開されている。 また、6 月上旬に Google の研究者の Tavis Ormandy 氏が Windows XP のゼロデイ脆弱性を公開した際に Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、いくつかの産業界などが集まり Microsoft-Spurned Researcher Collective (MSRC) を結成したとのこと。自分たちが
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる | スラド セキュリティ
ある研究者が、Windowsにユーザーの権限昇格を許してしまうバグを見つけたそうだ。これだけじゃ新しい話じゃないね。ところが、今回のバグは仮想DOSマシン(VDM)に影響を及ぼすもので、しかも全ての32ビット版Windows、つまりNT以降全てのバージョンに影響がある。17年もWindowsを続けてきた甲斐があったもんだ。 (元記事より)「このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。(中略)この脆弱性は1993年以降にリリースされた全ての32ビット版のマイクロソフト製OSに存在していて、実証コードはXP、Server 2003、Vista、Server 2008、7で動作する。」
IT管理者による「機密情報のぞき」が急増 | スラド セキュリティ
ストーリー by hayakawa 2009年06月13日 14時30分 そのうち100%になる日も近い……か。 部門より ロイターの記事によると、米情報セキュリティー会社であるCyber-Ark社が「ITのプロによる機密情報のぞき見が増加」しているという調査結果を発表した(Cyber-Arkによるプレスリリース)。 調査は、Infosecurity Europe 2009やRSA Conference 2009にて400人以上の上位専門職であるIT管理者を対象に行われた。「管理上保有しているパスワードを不正に使用し、見るべきではない情報を不正に閲覧したことがあった」と回答したIT管理者は、35%(前年比2%増)いたそうだ。また、「解雇された場合には、企業が競争上の優位性を保つ上で重要な情報や、機密保持に関わる情報を持ち出す」と回答したIT管理者も増加しているという。
初歩的ミスによるメールアドレス漏えい相次ぐ | スラド セキュリティ
BCCに入れるべき同報メールをTOまたはCCに入れたり、ディレクトリを閲覧可能にしたまま重要情報が記載されたファイルを置くといったインターネット黎明期に頻発したような事例は、さすがに最近は聞くことがありませんでした。しかし、そんな間抜けミスは忘れた頃にやってくるものなのでしょうか。 6月に入って立て続けに著名企業の情報漏えいの事例が2件ニュースになりました。1つは同報送信先をTO欄に入力したミスにより4,464件のメールアドレスを漏洩させたKDDI、もう1つは サーバーのアクセス制御ミスで92,000件を閲覧可能な状態にしていたダイエーです。 こうした初歩的ミスが発生した背景には、セキュリティに対するリテラシ不足の人間が担当していたか、業務の引継ぎマニュアルの注意事項に記載されていなかった等が考えられますが、重要な業務なのに、こういう雑な仕事になるのは両者の業績が低迷しているために適切な人
XSSは本当に危ないか?日本のセキュリティ意識は過剰? | スラド セキュリティ
日本のセキュリティ対策会社として著名な「株式会社ラック」にお勤めの方が書かれた、@ITの記事「世間の認識と脅威レベルのギャップ——XSSは本当に危ないか?」が少し話題を呼んでいる。 著者は「いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?」、「おしかりを覚悟で書きます」、「XSSってそんなに危ないのか? 認識にギャップがないか?」と疑問を投げかけている。その理由として著者は、これまでセキュリティ対策の現場で働いた経験からして、「企業の株価が暴落したり、ビジネスを脅かすようなXSSは見たことはありません」とのことで、「SQLインジェクションと比べたら微々たるもの」といった根拠を挙げている。 XSSは罠を仕込んで被害者を誘い込む必要があり、攻撃の手間が大きいために実際の攻撃は多く発生していないということのようだ。その上で、次のように想いの丈を述べられているのだが、スラ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クラウドに保存した個人情報は安全か | スラド セキュリティ
Amazon Web Services を悪用して Share ネットワークへ攻撃 | スラド セキュリティ
2ちゃんねるビューアー登録者600人分のメールアドレス流出 | スラド セキュリティ