日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 | スラド セキュリティ
技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。 問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。 このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。
最恐のウイルスと呼ばれた「Emotet」終息の日を迎える | スラド セキュリティ
各国現地時間の25日正午、世界各地で猛威を振るったマルウェア「Emotet」の自己削除プログラムが起動し、最恐と呼ばれたコンピュータウイルスが根絶された記念すべき日となった。 既報の通り、欧州刑事警察機構を中心とした欧米8か国の合同捜査チームが今年1月27日に「Operation LadyBird」を実行。ウクライナにある活動拠点とオランダにあるC&Cサーバの制圧に成功していた。この時、オランダの警察当局は押収したC&Cサーバから世界中のEmotetを無害化、さらに時限的な自己削除を行うプログラムを配信。Emotetの感染端末に別のマルウェアを注入する攻撃が確認されていたことから、感染端末を特定し、別途注入されたマルウェアを駆除するための猶予期間として、2021年4月25日12時00分が活動限界に設定されていた(ZDNet)。 なお、Emotetの感染拡大防止にあたっては海外の「Crypt
note、Internet Archiveで保存できなくなる、古いドメインはブロック | スラド セキュリティ
Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ(5ちゃんねるの書き込み)。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。 5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。 あるAnonymous Coward 曰く、
偽サイトに偽の電話番号を掲載することでデジタルアシスタントに偽コールセンターへの電話をかけさせる詐欺手法 | スラド セキュリティ
headless曰く、 SiriやAlexaといったデジタルアシスタントをだまして偽コールセンターへ電話をかけさせる、という詐欺手法があるそうだ(Better Business Bureauのニュースリリース、SlashGear、Mashable)。 デジタルアシスタントは使用者の要求に応じてWeb検索の結果から企業などの電話番号を抽出し、連絡先に登録されていない相手に電話をかけることができる。しかし、見つけた電話番号が本物かどうかをデジタルアシスタントは確認できないため、詐欺師は偽サイトを検索結果に紛れ込ませたり、偽広告を検索結果に表示させたりすることで、偽コールセンターへ電話をかけさせることが可能になるという。 偽コールセンターはいわゆるテクニカルサポート詐欺のほか、航空会社のカスタマーサービスを偽って予約変更料金を送金させようとするようなものもあるそうだ。Better Busines
ペットボトル入りの水の賞味期限は「中身が蒸発して内容量が規定以下になるまでの期限」 | スラド セキュリティ
Anonymous Coward曰く、 ペットボトル入りの水は常温で保管しても問題ないことはよく知られているが、賞味期限は設定されている。しかし、この賞味期限が経過した後でも、問題なく飲用できるという(Yahoo!ニュース)。 なぜペットボトル入りの水に賞味期限が設定されているのかというと、保管の過程で気化した水がペットボトルから漏れ出ていくことで中身が減少し、それによって中身の量が表示されている内容量を下回ることがあるためなのだそうだ。つまり、賞味期限を越えたペットボトル入りの水は内容量が表示以下になっている可能性はあるものの、品質に問題はないという。 とはいえ、たとえば「これは20年前の水です」と言われると躊躇してしまいそうな気もするので、適当なサイクルで上手く消費するのが良いような気もする。
ふるさと納税の返礼品となったエアガンに対し「危険では」との声、結局提供中止に | スラド セキュリティ
岩手県花巻市のエアーソフトガンメーカーKTWが、ふるさと納税の返礼品としてウィンチェスターM1873カービンを模したエアーソフトガンを提供したところ、安全性を疑問視する声が出たという。そのため同市は返礼品としての取り扱いを中止したそうだ(KTWのTwitterアカウントによる投稿)。 エアーソフトガンはプラスチック製の弾を発射できる遊戯銃であるが、日本においては銃刀法や各種条例で規制されており、業界団体も自主規制を行っている。そのため公に流通しているものに関しては殺傷能力が大きく制限されており、一般的には安全性の問題はない。そのため、KTWはこれに対し遺憾の意を示している(KTWのTweet)。
不正利用が話題になった7pay、9月末でサービス終了へ | スラド セキュリティ
不正利用問題が発覚したセブン&アイ・ホールディングスのスマートフォン決済サービス「7pay」について、9月末でのサービス終了が発表された(セブン&アイ・ホールディングスの発表、Engadget日本版、ITmedia)。 記者会見では、不正利用の被害額が3861万5473円、被害人数は808人だったことや、原因はリスト型攻撃だったと結論に達したこと、先日報じられていたソースコードの流出が事実だったことなどが伝えられた。また、サービス廃止の要因としては「認証そのものに脆弱性があること」だとしている。 一方で、他のサービスで使用されていないIDやパスワードを設定していたにも関わらず不正利用されてしまったケースについては説明されていない。また、Twitterで指摘されていた「チャージしていない人が決済できてしまった」問題については7payに関連する問題ではないと説明されている。 なお、同グループの
情報漏洩で妥当と考える補償額、本人特定が難しい情報には寛容 | スラド セキュリティ
ストーリー by hylom 2018年12月28日 18時11分 とりあえずくれるだけ欲しいという感じ? 部門より IPAが「2018年度情報セキュリティに対する意識調査」報告書を公開している。これによると、クレジットカードなどの個人情報漏洩に対する補償額として「妥当と考える」金額の最多は「50,001円以上」だった(IPAの発表)。 この設問は「あなたが利用しているサービスにおいて提供側の不適切な運用による情報漏えいが発生した場合、その補償として妥当と考える(お詫びとして納得できる)金額についてそれぞれあてはまるものを選択してください。」というもの。この中で、「クレジットカード情報」「パスポートの情報」「氏名と、住所や電話番号などの連絡先」「氏名と、生年月日や血液型などの個人に関する情報」については「50,0001円以上」が最多となった。一方で「0円(特に補償などは不要)」と答えた人も
Linux.orgのDNSがハイジャックされる | スラド セキュリティ
12月7日にLinuxユーザー向けコミュニティサイト「Linux.org」のドメインが乗っ取られる事件が発生した(Linux.org、The Register、MOTHERBOARD、Slashdot)。 攻撃者はレジストラのアカウントを窃取し、ドメイン名に紐付けられているIPアドレスを攻撃者の所有するサーバーのものに変更することでトップページを書き換えたように見せたという。このページには「G3T 0WNED L1NUX N3RDZ」というメッセージと、尻の穴を広げている人物の写真が映し出されていたとのこと(Webアーカイブのログ)。反多様性を主旨とした内容のようだが、現在はサイト管理者であるMike McLagan氏により元通りに復元されている。 MOTHERBOARDの記事によると、Linux.org内ではセクハラやLGBTなどの多様性問題に対応するための新しい行動規範規則が設定された
TSUTAYAのアルバイト店員、Twitterに顧客の個人情報を暴露できると投稿。TSUTAYAが謝罪 | スラド セキュリティ
TSUTAYAが、アルバイト店員による「Twitter上での脅迫発言」について謝罪している(TSUTAYAによる謝罪文、ニッカンスポーツ、J-CASTニュース) 件のアルバイトは原爆Tシャツなどが騒動になっていた韓国の防弾少年団(BTS)のファンだったらしく、店内で男性客がBTSに否定的な話をしていたのを聞いて「個人情報を取り扱う仕事上、名前から性癖まで暴露可能だ」とツイートしたという。これだけでも大概なのだが、他にも「大学を燃やす」や「大学の講師を殺す」といったツイートも行なっていた。しかも別のツイートでは地震のアルバイト先の店名を出していたそうで、まぁ何というか……頭悪いなぁとしか。 れはさて置き、先の謝罪文では「社員・アルバイトスタッフへの啓蒙教育を通じて、再発防止に努める」旨の内容になっているのだけど、そもそも「アルバイトが顧客の個人情報にフルアクセス可能」ならば、それはTSUTA
Twitter曰く、著名アカウントを通じたビットコイン詐欺ツイートの原因はサードパーティーアプリ | スラド セキュリティ
著名Twitterアカウントを通じた詐欺ツイート投稿が続発している問題について、TwitterはThe Next WebのHard Forkに対し、サードパーティーソフトウェアプロバイダーが原因だと伝えたそうだ(The Next Webの記事)。 詐欺ツイートの内容としてはビットコインを送金するとその10倍のビットコインをプレゼントするといったものだ。最近では米小売大手TargetやGoogle G Suiteなどのアカウントから詐欺ツイートが投稿されたことが報じられている。当初、Targetでは同社のアカウントが不正アクセスを受けたとの見解を示していた。しかし、Twitterと協力して調査した結果、投稿を代行するサードパーティーのマーケティングアプリが不正アクセスを受けたとの結論に達したとHard Forkに伝えたという。 TwitterはTargetだけでなく一連の詐欺投稿がサードパー
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる | スラド セキュリティ
トレンドマイクロがユーザーに周知せずに個人情報を収集していた問題を受け、AppleはApp Storeでの同社製アプリの配信を停止している。これに対し10月31日付けでトレンドマイクロが状況を説明する文書を公開した(ITmedia、窓の杜)。 これによると、トレンドマイクロはAppleがアプリケーションによる個人情報収集について厳しい制限を課していることを肯定的に評価するいっぽう、自社による個人情報収集に対しては「一定の履歴データを収集することは、想定しうる被害を最小限にとどめるために当社にとって必要」として正当化しており、これがAppleとの間で「見解の相違」となっているという。 これに対し、セキュリティ研究者の高木浩光氏は「業界の信用を傷つける思想」と批判、抗議するべきと訴えている。
米政府職員が仕事PCでアダルトサイトを見た結果、政府ネットワークがマルウェアに感染 | スラド セキュリティ
米国政府機関のある職員が仕事用コンピュータでポルノを見た結果、政府のネットワークがマルウェアに感染していたことが判明したそうだ。米内務省の捜査によると、サウスダコタ州にある人工衛星の画像解析施設「EROSデーターセンター」の従業員が何千ものポルノページを見た結果、米国地質調査所(USGS)ネットワークがマルウェアに感染したという(TechCrunch、報告書[PDF]、Slashdot)。 原因となったポルノ画像の多くは、個人用のUSBデバイスやAndroid端末に保存されていた。しかも、これらの端末は従業員が使用している政府のコンピュータに接続していたとしている。調査結果は、今月初めに報告書の形で公開されたが、米国政府のウェブサイトに目立たない形で置かれていたことから、ほとんど報道されなかったという。 内務省の調査官はUSGSに対して、フィルタでポルノサイトを除外すること、従業員のウェブ
バリュードメインが仕様を変更、第三者にドメインが乗っ取られる騒動を受けてか | スラド セキュリティ
「amusecraft.jp」というドメインに対し第三者が移転申請を行い、うっかり承認してしまってトラブルになったと思われる小さな事件があり、スラド日記でも取り上げられていましたが、この舞台となったバリュードメインで仕様変更が行われました。 従来は「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日経過後、自動承認になる」という仕様だったのが、「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日目の午前3時頃、自動拒否になる」ように変更がなされました。 事由として「昨今、JPドメイン名におきまして、第三者によると思われる、意図しないドメイン移転、指定業者変更申請が確認できております」とあり、今回の事態(やった本人は自動承認を否定していますが
NTTドコモ、「dポイント」の不正利用があったことを公表。約3.5万アカウントを利用停止に | スラド セキュリティ
NTTドコモが手がけるポイントサービス「dポイント」で、会員が保有するポイントが不正に使われるトラブルが発生していることが発表された(ケータイWatch、日経新聞)。 dポイントサービス加盟店のWebサイトが攻撃され、dポイントカードの番号と残高が盗まれて不正に利用された可能性があるとのこと。これを受けてドコモは約3万5000件のdポイントカード番号を対象に利用停止措置を行ったとのこと。 dポイントカードはバーコードを利用しているため、簡単に番号を盗み取ることができるとの指摘もある。
セキュリティ人材は足りている? | スラド セキュリティ
サイバー攻撃の増加を背景に、経済産業省は2016年に「2020年には国内で19万3000人のセキュリティ人材が不足する」との予測を発表しているのだが、日経新聞が報じたところによると、実際の企業は人手不足にあると感じていないようだ(日経新聞)。 こうした温度差が生じたのは、経産省の予測は一般企業の各部門にもセキュリティ人材が必要、という「あるべき姿」に基づいて算出されたためだという。ところが実際には、多くの企業が自社でセキュリティ人材を揃えず外部に委託するという選択肢を選んだため、人手不足が発生していないという。またAI技術の進歩により、単純な監視業務などには人手が要らなくなったことも挙げられている。 セキュリティ予算を増やす企業も限られており、記事では、自社でセキュリティ人材を揃えたものの深刻な問題が起きないことから削減を検討している、といった例まで言及している。一方でサイバー攻撃の被害は
パスワードで重要なのは記号を含むことよりも長くすること | スラド セキュリティ
ストーリー by hylom 2018年08月28日 18時53分 サービス側も長いパスワードを利用できるようにしましょうね 部門より JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている。 提示されている「安全なパスワードの条件」は次の通り。 パスワードの文字列は、長めにする(12文字以上を推奨)インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける他のサービスで使用しているパスワードは使用しない この理由についても説明されており、結局の
北洋銀行、Webサービスでキャッシュカードの暗証番号の入力を求める | スラド セキュリティ
北海道に拠点を置く北洋銀行(第二地方銀行)では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。 ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。 はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装った
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゼロ幅文字を使ってテキストに電子透かしのようなものを埋め込む手法 | スラド セキュリティ
ウイルス公開の疑いで起訴された「Wizard Bible」管理者が検察と争わなかった理由 | スラド セキュリティ