ランサムウェアの被害を止めるには身代金支払いを禁止するしかないとの主張 | スラド セキュリティ
ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している (Emsisoft のブログ記事、 The Register の記事)。 ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。 ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。Th
日本ブロックチェーン協会、暗号通貨に関する税制改正要望を政府に提出 | スラド セキュリティ
日本ブロックチェーン協会(JBA)は7月27日、政府に対して「暗号資産に関する税制改正要望」を提出した。この要望書は、暗号資産の税制が日本のweb3事業を営む企業にとって大きな障壁となっており、国民が暗号資産を保有・利用することを妨げているとして、税制の見直しを求めている。要望書には以下の3項目の要望が含まれている(日本ブロックチェーン協会、あたらしい経済、CoinPost)。 1.第三者発行による暗号資産を保有する法人への期末含み益課税の撤廃 第三者発行の暗号資産を保有する法人に対する課税方式を、期末の時価評価による課税から帳簿価額による課税に変更すること。これにより、web3事業への参入が容易になり活性化を促進するとしている 2.申告分離課税・損失の繰越控除の導入 個人の暗号資産取引にかかる利益に対する課税方法を、雑所得の総合課税から申告分離課税に変更し、税率を一律約20%とすること。
データセンターは知らない人から見れば窓のない不審な巨大建築物 | スラド セキュリティ
ストーリー by nagazou 2023年08月01日 18時04分 田舎のNTT局舎も似たようなもののような 部門より ASCII.jpの記事によると、データセンターの見学に招待される記者らは、記事執筆においての制約が多く、とくに所在地の公開や撮影に関しては強い制限があるという。一部のデータセンター事業者は情報公開に寛容ではあるものの、条件が複雑すぎて、事実上撮影は無理なことから、広報から提供された写真を使うことも増えたという(ASCII.jp)。 とはいえ、実際には秘匿すべきデータセンターの所在地はググれば簡単に出てくる。またタクシーで「●●のデータセンターまでおねがい」と言えば、特段住所を言わなくても黙って連れて行ってくれるなんて話も普通にあるとのこと。 記者らは仕事柄データセンターを自然な存在として受け入れられるが、一般の人から見た場合、これらの設備はセキュリティの厳重な「窓のな
最新車両のヒューマンエラー対策を乗り越えてスマートキーを閉じ込める方法 | スラド セキュリティ
ストーリー by nagazou 2023年05月23日 15時51分 缶のようなケースに入れて車内に置くと起きる? 部門より 最近の新しい車両のスマートキーでは、鍵を施錠した車内に閉じ込めたためにドアが開かなくなる「インキー」の状態が起きないような仕組みが用意されている。新型「プリウス」の場合は、スマートキーを車内に置き忘れている場合に警告音が鳴るようになっている。しかしくるまのニュースの記事によると、実際にはスマートキーでもロックがかかってしまうケースも起きるそうだ(安全運転補完計画ユズリアイの該当ツイート、くるまのニュース)。 このハックは安全運転の知識などを発信する安全運転補完計画ユズリアイが7日にツイートしたもので、最初のシーンでは、スマートキーが車内に置かれていることを認識し、インキーにならないことを実演。続いてのシーンでは、運転席のワンタッチパワーウィンドウで窓を自動で閉めつ
Microsoft Defender がファイルコピー速度を大幅に低下させるというテスト結果 | スラド セキュリティ
AV-TEST の Windows 版セキュリティ製品テストで Microsoft Defender のパフォーマンス低評価が続いている (AV-TEST のニュース記事、 Neowin の記事、 Ghacks の記事)。 先日発表された 2 月分 (2023 年 1 月 ~ 2 月) のコンシューマー製品テスト結果では 18 製品がテストされ、Microsoft Defender は Protection と Usability で 6 点満点を獲得したものの、Performance のスコアが 5.0 点にとどまる。そのため、トータルスコアで 18 点満点中 17.5 点以上が必要な「TOP PRODUCT」の認定を逃している。 Microsoft Defender の評価を項目別にみると、ファイルコピーの速度低下が特に大きく、業界平均の 5% 低下に対し、1 月は 48%、2 月は
米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 | スラド セキュリティ
米バイデン-ハリス政権は 2 日、すべての米国人が安全なデジタルエコシステムのすべての利点を確実に享受できるようにする国家サイバーセキュリティ戦略を発表した (ファクトシート、 The Verge の記事、 Ars Technica の記事、 戦略全文: PDF)。 現在のサイバーセキュリティ防御では個人や中小企業、地方自治体などの負担が大きい。どのように優れたセキュリティソフトウェアでもすべての脆弱性を防ぐことはできないことを認識したうえで、ソフトウェア開発時に適切な注意を怠った者に責任を負わせる必要があるという。ソフトウェアを開発する企業には革新を行う自由が必要なのと同時に、消費者や企業、重要なインフラ提供者への注意義務を果たせなければその責任を負う必要もある。 その責任はエンドユーザーや、商用製品に組み込まれたオープンソースコンポーネントの開発者ではなく、被害を減らすための対策を実施
現時点の量子コンピューターの技術ではRSA暗号の解読は困難、富士通検証 | スラド セキュリティ
富士通は1月23日、開発中の量子コンピュータのシミュレーターを使い、公開鍵暗号方式の一つであるRSA暗号の安全性を評価する実験を実施したそうだ。量子コンピュータは高速に素因数分解できることが知られており、これが登場するとRSAの安全性が大きく損なわれる可能性が懸念されていた(日経クロステック)。 同社が2048ビット合成数の素因数分解に必要な量子回路の計算リソースを見積もった結果、約1万量子ビットに加え、ゲート数が約2兆2300億、量子計算を行うために必要なステップ数が約1兆8000億の量子回路が必要なことが判明したとのこと。このため、現時点での量子コンピュータの技術ではRSAの解読はまだ困難であるとの結論になったようだ。
ニューヨークJFK空港のタクシー配車システムをハックして有料で優先配車を行っていた男2人が逮捕される | スラド セキュリティ
米ニューヨーク南部地区連邦検事局は 20 日、ジョン F ケネディ国際空港 (JFK) のタクシー配車システムをハックしていた米国人の男 2 人の逮捕を発表した (プレスリリース、 The Verge の記事、 Ars Techinica の記事)。 JFKではタクシーが公平に客を乗せられるよう配車システムが導入されており、空港で客を乗せたいドライバーは待機場の駐車場で配車を待つ必要がある。しかし、待ち時間は数時間に及ぶこともあり、ドライバーの売り上げへの影響が大きい。 そこで 2 人は配車システムを悪用して料金を支払ったタクシーに優先的な配車を行うビジネスを考案。ロシアのハッカーの力を借りて配車システムのハックに成功し、2019 年 9 月から 2021 年 9 月にかけて料金 10 ドルで優先的な配車を行っていたという。 他のドライバーを勧誘することによる料金免除やグループチャットを利
新幹線の運行管理システムにトラブル。いないはずの新幹線が表示される | スラド セキュリティ
ストーリー by nagazou 2022年10月25日 13時26分 外部からのハッキングとかでなければいいですが 部門より 20日午前5時ごろ、品川駅発の東海道新幹線が品川駅に移動中、それぞれの列車の運行や所在を管理している運行管理システムに「駅の手前で別の新幹線が止まっている」と表示され停車する状況が発生したそうだ。ところが職員が現場を確認したが別の新幹線は存在しなかったとのこと。この車両はこのトラブルの影響で始発から52分遅れで出発した。何らかの原因で存在しないはずの新幹線がシステム上に表示されたとしている。この影響で上下線42本に遅れが生じたという(テレ朝NEWS、Yahoo!ニュース)。 あるAnonymous Coward 曰く、
パスワードに『,』を含めておくと、流出時の被害確率が下がるかもしれない | スラド セキュリティ
ストーリー by nagazou 2022年10月14日 17時04分 日本語パスワードって最近話題にならないな 部門より マルウェアの情報サイトvx-undergroundがTwitterで、パスワードにはコンマを入れておけば、漏洩した資格情報がCSVにダンプされたときにぶっ壊れるからいいよ、とするツイートをして話題となっている。日本語に訳してツイートした新山祐介さんのツイートのレスには「なるほど。「この行を削除したら動く!」みたいな感じで削除される確率も増えるといった納得できる意見も出ている。このほかにも、カンマだけ入れるより「 ,"'--\\\n 」くらい入れるともうちょい防御力上がるのではといったコメントもついている。もっともこの手の文字はパスワードには使えない事例も多いので実用性があるかは議論の余地がありそうだ(vx-underground、新山祐介さんのツイート、Togette
本人よりも詐欺師の方が高い「秘密の質問」の正解率 | スラド セキュリティ
「秘密の質問」のような知識ベースの認証 (KBA) がセキュリティを低下させると言われて久しいが、コールセンター向けの認証技術を提供する Pindrop によれば、本人よりも詐欺師の方がより正確に秘密の質問に答えられるそうだ (2022 Voice Intelligence & Security Report、 BetaNews の記事)。 Pindrop が 2021 年に顧客の小規模なサンプル 3 か月分を調べたところ、秘密の質問に正しく回答できた割合は本物の顧客よりも詐欺師の方がわずかに高かったという。さらに、あるコールセンターと Pindrop が実施した 1 か月にわたる比較研究の結果では詐欺師が KBA を通過できた割合が 92 % だったのに対し、本物の顧客が KBA を通過できた割合は 46 % にとどまったとのこと。 そのため、詐欺を防ぎつつ迅速なサービスを可能にする方法
ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ
ストーリー by nagazou 2022年03月15日 16時10分 ますますロシア国外情報にアクセスしにくくなりそう 部門より ロシアが独自のTLS認証局を創設したとの報道が出ている。ロシアは現在、ウクライナ侵略を受けて世界各国からさまざまな制裁を受けているが、欧米の企業や政府による制裁措置により、既存のTLS証明書を更新することができない状況に陥っている。証明書の有効期限が切れてしまえば、ブラウザ側でサイトへのアクセスがブロックされてしまう。このため独自のTLS認証局を創設し、期限切れもしくは無効化された場合の代替となる証明書を無料で発行するとしている(Bleeping Computer、TECH+)。 ロシアの公共サービスポータルである「Gosuslugi」によれば、新たなサービスでは、5営業日以内に証明書を無料サイト所有者である法人に提供するとしている。ただし、こうした新しい認証
IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 | スラド セキュリティ
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類
ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立 | スラド セキュリティ
米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) と米連邦捜査局 (FBI) 、米国家安全保障局 (NSA) 、豪サイバーセキュリティセンター (ACSC)、英国家サイバーセキュリティセンター (NCSC-UK) は 9 日、最近のランサムウェアの脅威に関する共同アドバイザリー「2021 Trends Show Increased Globalized Threat of Ransomware」を公開した (プレスリリース、 アラート AA22-040A)。 ランサムウェア市場は職業化が進んでおり、ランサムウェアを使用する犯罪ビジネスモデルが確立されているという。サービスとしてのランサムウェア (RaaS) に加え、ランサムウェア脅威の実行者は支払交渉や被害者に対する支払いの手助け、支払に関する他の
英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 | スラド セキュリティ
イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ(英国政府リリース、Engadget、GIGAZINE、iPhone Mania)。 この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティ
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 | スラド セキュリティ
パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事、 HackRead の記事、 Mashable の記事)。 調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。 日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、
悪意を持ったHDMI機器の存在をHDMI規格は想定していない | スラド セキュリティ
3月20日に開催されたKernel/VM探検隊online part2で、HDMI探検隊と題するセッションがあったようだ。発表者は元セキュリティ系エンジニアで現在は映像系に関わっているというみっきー(mzyy94)さん。テーマはHDMIに関するもの、Raspberry Piを使用してHDMIの信号などを調査した内容となっている。同氏はHDMIのテレビやレコーダーなどの機器コントロールを行うCEC(Consumer Electronics Control)[PDF]などのセキュリティ上の問題点を指摘している(発表の動画[01:55:07あたりから]、発表時のスライド資料)。 曰くHDMI-CECでは機器間の認証機能が無いので、CECフレームというコマンドを送り放題で、それを受理するかどうかは受け取る側の機器が判断するという。悪意を持ったフレームを送りつけることにより、別の機器の操作を妨害した
Snapchat、安全のため不要な友達の整理を推奨する「Friend Check Up」機能を発表 | スラド セキュリティ
Snapは2月9日のSafer Internet Dayに合わせ、これまでにSnapchatの友達リストへ追加した友達が現在も必要かどうかの見直しを推奨する「Friend Check Up」機能を発表した(Snapのニュース記事、 The Vergeの記事、 SlashGearの記事)。 Friend Check Upは、もうSnapchatで連絡することがなくなった友達や、間違ってリストに追加してしまった友達がいないか見直しを推奨するもので、1月28日のGlobal Privacy Day(Data Privacy Day)に開始したオンラインでの安全やプライバシー教育キャンペーンの一環だという。ユーザーはアプリのプロファイル画面に表示されるツールチップをタップすることで、容易に友達リストを整理できる。Friend Check Up機能は今後数週間の間にAndroidデバイスへ、今後数か
スマート貞操帯がハッキングされ身代金を要求される。支払うも解除されず | スラド セキュリティ
ネット操作できるスマート貞操帯を装着していた人物がハッキング被害に合い、貞操帯の操作権をハッカーに奪われたというトラブルがあったそうだ。このトラブルに巻き込まれたのはサム・サマーズ(男性)さん。ハッカーはサマーズさんに対して、スマート貞操帯を解放してほしければビットコインでおよそ1,000ドルを支払うよう要求してきたという(Vice、GIGAZINE)。 サマーズさんは当初、パートナーによるいたずらだと思っていた。しかし、彼女に問い合わせたところ自分ではないと否定されたという。そして本当に貞操帯がハッキングされてしまったことに気がついたようだ。彼の下半身は檻の中に閉じ込められ、逃げる手段を失ってしまったという。サマーズさんは犯人に手持ちのビットコインを支払ったが、犯人たちはさらに高額な身代金を要求してきたという。 サマーズさんは諦め、最終手段としてボルトカッターを購入、出血しつつもスマート
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クレジットカード番号とセキュリティコードの生成アルゴリズムを調べ、紙とペンで計算・生成 | スラド セキュリティ