IE11とFirefoxのAdobe PDFで意図しない情報漏洩の可能性 | スラド セキュリティ
AdobeによるInternet Explorer 11およびFirefox向けのPDFプラグインに、意図しない情報漏洩に繋がる可能性があることが指摘されている(JVNTA#94087669)。Adobe側はこの挙動について仕様としており、現時点で派修正される見込みは低いようだ。 問題の脆弱性は、PDFにプログラムを埋め込める「FormCalc」という機能に関連するもの。FormCalcにはネットワーク経由でコンテンツの取得や送信を行える「Get」や「Post」、「Put」といった命令が用意されている。これを利用してPDFが配信されているドメインと同じドメイン上のデータを取得し、それを外部サーバーに送信するという処理をPDFを閲覧するマシン上で自動実行させることができるという。 一般的なWebブラウザでは、スクリプトによるHTTPリクエストについて、リクエスト先をそのスクリプトを配信するド
クラウドベンダーが政府と協力する必要はあるのか | スラド セキュリティ
米国では銃乱射事件が発生し、FBIがAppleに容疑者のiPhoneの暗号化を解除するようAppleに要請する事件があった。この件は第3者の解析により解決に至ったが、ほかのサービス、例えばクラウド・ベンダーなどでも今後、同様の問題は起きていく可能性は高い。この問題に対し米国では専門家の考えも分かれているようだ。 クラウドサービスへのデータ保護サービスを提供しているBitglassのIT専門家のうち反対者は55%。一方で35%の人は要求があればクラウド・ベンダーは復号化したデータを政府に渡す必要があるとしている。INFOSECのヨーロッパ、中東、アフリカ(EMEA)の担当専門家では反対者は42%、さらに米国担当専門家の64%が政府への協力に反対したという(Help Net Security、Slashdot)。 一方、FBIのジェームズ・コミー長官は8月5日、過去10カ月間にFBIの捜査対象
厚労省の「メールでWordファイルを送る」形での意見募集に対し標的型攻撃の可能性があるとの指摘 | スラド セキュリティ
ストーリー by hylom 2016年03月25日 8時00分 システム構築コストがかからないというメリットはあるものの 部門より 厚生労働省が「保育制度全般の改善について あなたの声を お聞かせください」という意見募集を行っている。表題のとおり、保育制度全般の改善について一般から意見を求めるものだが、送信の際は公開されているWord形式ドキュメントに意見や必要事項を記入してメールで送るという形になっている。これに対し、「入力も手間ながら集計する担当者は大変だし標的型攻撃の餌食だろと思うのだが」といった意見が出ている。 そもそもPCやWordがないと送信できないという問題もあるのだが、どのような形式が望ましいのだろうか。
すべてのWeb閲覧を平文で送信するTポイントツールバーの危険性 | スラド セキュリティ
CCCが「Web検索をするとTポイントが溜まる」という「Tポイントツールバー」なるものを公開している。このツールバーで検索を行うと「スタンプ」が溜まり、スタンプ2個で1ポイントのTポイントが付与される、というものだ。このツールバー、一見検索キーワードのみをCCC側が取得するようにも見えるが、実際のところはWeb閲覧履歴すべてをCCC側に送信しているらしい。このことは利用規約にも書かれているのだが、情報の送信には平文(HTTP)が使われており、比較的容易に通信を傍受できてしまうことが明らかになった。hauncon 曰く、 利用者のWeb閲覧履歴を取得する利用規約で微妙な意味で話題になっているTポイントツールバーであるが、徳丸浩氏の日記によれば、このツールバーはHTTPSを含むWeb閲覧履歴を全て平文(HTTP)で送信しているということである。 さらにTポイントツールバーのPOSTデータには、
欠陥が見つかったホテルのカードキーシステム、メーカーはホテル側に交換費用の負担を求める | スラド セキュリティ
Mozillaの開発者Cody Brocious氏は7月、全世界のホテル400万室で使われているOnity社のカードキーロックシステムに欠陥があり、Arduinoで解錠可能なことをBlack Hatで明らかにした(本家/.過去記事)。これに対してOnityは8月13日、欠陥を根本的に解決するにはホテル側が費用を負担する必要があるとの声明を発表した( Onityの声明、 Forbesの記事、 本家/. )。 Onityのカードキーロックでは、客室の外側に配されている充電用のDCコネクターがデータ転送用ポートを兼ねている。そのため、データ書き換え用のポータブルプログラマーをArduinoでエミュレートすることにより、数秒で解錠が可能なのだという。この欠陥を根本的に解決するにはハードウェアの交換が必要となるが、Onityの対応はポートをふさぐカバーの提供のみを無償とし、ハードウェアの交換を希望す
パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性 | スラド セキュリティ
Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み
無線LANの接続設定規格「WPS」に脆弱性 | スラド セキュリティ
無線LANの接続設定規格「WPS(Wi-Fi Protected Setup、WPS)」で用いられているPIN認証の仕様に脆弱性が確認された(JVNの脆弱性情報)。 WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4~8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗+10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。 WPS対応機器では間違ったPINを送信し
女友達のメールを盗み見て手に入れたヌードを女性のFacebookに投稿した24歳逮捕 | スラド セキュリティ
500ものメールアカウントをクラックして、19人の女性のセルフポートレート写真をチョイス、それらを各女性自身のFacebookに投稿した24歳男性Joseph Bernard Campbellが捕まりました(HUFFPOST CRIME、ギズモードの記事)。 「女性たちに精神的苦痛を与えたい」と思った彼は、知り合いの女性に偽のオンライングリーティングカードを送りつけ、パスワードを奪取。メールアカウントからヌード写真やセミヌード写真を見つけると、ご丁寧にも女性本人のFacebookのプロフィール画像に設定したということです。さらに Pinellas County Sluts や Dumpster Sluts といったエロサイト、Revenge(復讐)という名の画像掲示板にも投稿。そのためサイバーストーキングやコンピュータへの不正アクセスの罪で逮捕され、連邦刑務所での最大5年の懲役プラス25万
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
住基ネットの情報、秋田市職員が不正に閲覧 | スラド セキュリティ
秋田市の職員が住民基本台帳システムに不正にアクセスし、計54世帯分の個人情報を不正に閲覧していたことが分かった(NHK、秋田魁新報)。 問題の職員は、別の職員の机にパスワードが書かれた付箋が貼り付けられているのを見て、それを利用して住民基本台帳システムや課税情報が登録されたシステムに不正にアクセスしたとのこと。計54世帯分の住所や氏名、課税状況を閲覧したという。 職員は「知っている職員や知人の年齢に興味があって見た」と話しているという。 総務省によると、住基ネットの不正アクセス事件はこれまで起きたことがないとのこと。初の事件が「メモに書かれたパスワード」という、やってはいけない基本中の基本で漏れてしまった。戒告で済ませて幕引きをはかっているが、これでよいのだろうか?
子供のネット上での行動をキーロガーで監視 ? | スラド セキュリティ
ストーリー by reo 2011年02月23日 11時30分 パソコンは居間に、1 日 1 時間、でいいんじゃ ? 部門より 米ニュージャージー州、モーウォーの警察署長および刑事たちが、セミナーで保護者らにキーロガーの導入を勧めているそうだ (LiveScience の記事、本家/.記事より)。 Facebook などの SNS、またその他のコミュニティにおいて、子供たちは性犯罪などに巻き込まれる危険に常に晒されているという。その子供たちを守るため、彼らのオンライン上での行動を監視できるキーロガーが有効であると彼らはアドバイスしているとのこと。 このような手法は子供の机やタンスの中をチェックすることの延長線上にあり、一概に勧められるものではないと指摘する専門家ももちろんいるとのこと。キーロガーで監視していることが判明したら親子の信頼関係に大きなヒビが入るのは目に見えている。監視せざるを得
武器としての児童ポルノ | スラド セキュリティ
本家/.記事「Child Porn As a Weapon」によると、折り合いの悪い人物を役職から引きずり下ろすための武器として児童ポルノが使われたそうだ(元ネタのThe Press Association記事)。 イーストロンドンの便利屋Neil Weiner氏は学校の管理人Edward Thompson氏と以前から折り合いが悪く、Thompson氏に役職を去ってもらい自分が代わりにその座に就くため、Weiner氏はThompson氏のコンピュータに児童ポルノを仕込み、警察に通報したそうだ。 最初の通報がWeiner氏の携帯電話から行われており、またWeinerはBBQで友人らにこの計画を豪語していたそうでWeinerは後に逮捕されるのだが、真犯人が突き止められるまで8ヶ月間Thompson氏は濡れ衣を着せられたまま同僚や近所から村八分にされていたとのこと。 ちなみに、警察のコンピュータ
楽天ad4Uで悪用されたCSSの仕様性、AppleがSafari 5.0で修正 | スラド セキュリティ
一昨日10月のストーリー「楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査」で話題になったCSSの仕様について、今月11日にリリースされたSafari 5.0で変更された。 Appleのリリース「Safari 5.0 および Safari 4.1 のセキュリティコンテンツについて」が次のように述べている。 対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 以降、Mac OS X Server v10.6.2 以降、Windows 7、Vista、XP SP2 以降 影響:悪意を持って作成された Web サイトにアクセスすると、ユーザがアクセスしたサイトを特定できる可能性があ
巨大ボットネットの運営グループが逮捕されていたらしい | スラド セキュリティ
某セキュリティサイトから送られてくるメルマガで知ったのだが、この 2 月に、巨大ボットネットを運営するグループのメンバー 3 人がスペイン警察に逮捕されていたらしい (ITmedia News の記事より) 。 ボットネットの名前は Mariposa (スペイン語で蝶の意味) 。カナダの情報セキュリティの会社 Defence Intelligence、Georgia Tech Information Security Center などで Mariposa Working Group (MWG) を結成し、調査を進めていた。2009 年 12 月には MWG が Mariposa を制御するまでに至った。 これに激怒したグループのリーダー Netkairo は、あらゆる手段を用いて Mariposa を取り返そうとする。最終的に奪還に成功すると、Defence Intelligence に
マルウェアによる猥褻画像ダウンロードで不当解雇 | スラド セキュリティ
本家/.記事より。 マサチューセッツ州の労働災害調査員Michael Fiola氏はある朝上司に呼ばれ、コンピュータ使用規定違反のためクビを宣告されたそうだ。彼のPCのインターネット一時ファイルに猥褻画像が見つかったことが原因で、解雇の上、児童ポルノ所持の疑いで訴えられてしまった。 しかし、コンピュータ犯罪捜査員が調べたところ、PCのアンチウイルスソフトやソフトウェアアップデートが正常に動作しておらず、スパマーやクラッカーによる猥褻画像攻撃に遭っていたということが判明した。Fiola氏のPCは以前別の従業員が使用しており、ユーザ名を変更してFiola氏に与えられたが、SMSのユーザ名が変更されずに渡されてしまった。そのためネットワーク経由で行われるセキュリティアップデートから漏れてしまい、マルウェアに感染してしまったことが原因とみられている。 この調査の結果、証拠不十分としてFiola氏へ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウィルスにより幼児ポルノをダウンロードさせられ社会的に害を被る | スラド セキュリティ