イスラエル軍、人質3人を誤って殺害。人質の声は軍用犬のカメラが記録 | スラド セキュリティ
イスラエル国防軍(IDF)は15日、パレスチナ自治区ガザ地区での作戦で、イスラム組織ハマスに連れ去られたイスラエル人の男性人質3人を誤って殺害したと発表した。3人はイスラエルの部隊から数十メートル離れた建物から姿を現した。彼らはシャツを脱いで白旗を振っていたとされている(CNN)。 この際、射殺した3人の人質の声が、軍用犬に取り付けられたカメラに記録されていたことが明らかになった。カメラの映像はイスラエル軍が19日に発見した。カメラを装着されていた犬は戦闘でなくなっていた。イスラエル軍の報道官は、映像の音声を分析した結果、3人の人質の声であることを確認したと述べたが、人質が何を話していたかについては明らかにしていない。
東京大学、マルウェア感染で個人情報流出か | スラド セキュリティ
東京大学は24日、大学のコンピューターシステムが標的型攻撃メールによってマルウェアに感染し、学生や教職員などの約4300人分の個人情報(氏名、住所など)が流出した可能性があると発表した。在宅勤務の教員が実在する組織名をかたったメールを2022年7月に受信、感染したファイルを開いた結果、個人情報が流出したとされている(東京大学発表、日経新聞)。 漏洩した可能性のある情報は以下の通り。 ・東京大学関係者の個人情報(2409件) ・学会会員やイベント参加者の情報(1082件) ・他大学で授業を受けていた学生の情報(796件) ・過去の成績や試験問題(24件) ・教員の評価(30件)
日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 | スラド セキュリティ
技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。 問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。 このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。
Western Digitalのオンラインストア顧客情報を含むデータベース、不正アクセス者が取得 | スラド セキュリティ
Western Digital は 5 日、3 月に確認されたネットワークセキュリティインシデントで不正アクセス者が顧客の個人情報を含むデータベースを取得していたことが判明したと発表した (プレスリリース、 Neowin の記事、 Ghacks の記事)。 このセキュリティインシデントは同社のシステム多数に権限のない第三者が不正アクセスしたというもので、3 月 26 日に確認され、4 月 2 日に公表されていた。当初は具体的な被害が確認されておらず、外部のセキュリティおよびフォレンジック専門家の協力により調査を進めていることや、念のため同社のシステムやサービスをオフラインにしたことなどの発表のみだった。My Cloud 製品の障害発生もこれに伴うものだったようだ。 不正に取得されたことが判明したのはオンラインストアの顧客情報を含むデータベースで、顧客の名前や請求先・送付先住所、電子メールア
Twitterサークルのツイートがサークル外から見える問題、セキュリティインシデントとして修正される | スラド セキュリティ
Twitter サークルで共有したツイートがサークル外のユーザーにも見えてしまう問題について、Twitter がセキュリティインシデント発生を認めたそうだ (The Guardian の記事、 Neowin の記事、 BetaNews の記事、 Ghacks の記事)。 Twitter サークルはユーザーが指定したメンバーに限ってツイートを送信し、返信や反応を示すことを可能にする機能だが、4 月にサークル外のユーザーのタイムラインに表示されるといった問題が報告されていた。 Twitter は影響を受けたユーザーに電子メールで連絡を開始しており、サークルを指定して送信したツイートがサークル外ユーザーにも見えてしまう問題をセキュリティチームが確認し、すぐに修正を行ったと説明しているそうだ。これにより、サークルを指定したツイートがサークル外から見えてしまう問題は解消したという。 Twitter
War Thunderのゲーム中の描写は間違っている、とファンが機密文書を公式掲示板に投稿して騒ぎに | スラド セキュリティ
多数の戦車・航空機・艦艇などが登場するMMO対戦ゲーム「War Thunder」で、熱心なファンがモデリングのミスを指摘するため、軍の機密文書を公開してしまうというやらかしをしてしまったようだ。報道によると問題となったのは、英国製の主力戦車「チャレンジャー2」。モデルのミスを指摘するため、英国陸軍に所属していた経歴を持つユーザーが、チャレンジャー2のマニュアルの写真を投稿してしまったのだという(War Thunderのチャレンジャー2スレッド、UK Defence Journal、GIGAZINE、GameSpark、DNA)。 チャレンジャー2は現役であったことから、デベロッパーのGaijin Entertainmentが英国国防省に確認をとったところ、現在も機密扱いの情報であったことが判明し、削除などの対策を取ったとのこと。ちなみに主砲を支える構造が正確ではないとの主張だったそうだ。同
悪意を持ったHDMI機器の存在をHDMI規格は想定していない | スラド セキュリティ
3月20日に開催されたKernel/VM探検隊online part2で、HDMI探検隊と題するセッションがあったようだ。発表者は元セキュリティ系エンジニアで現在は映像系に関わっているというみっきー(mzyy94)さん。テーマはHDMIに関するもの、Raspberry Piを使用してHDMIの信号などを調査した内容となっている。同氏はHDMIのテレビやレコーダーなどの機器コントロールを行うCEC(Consumer Electronics Control)[PDF]などのセキュリティ上の問題点を指摘している(発表の動画[01:55:07あたりから]、発表時のスライド資料)。 曰くHDMI-CECでは機器間の認証機能が無いので、CECフレームというコマンドを送り放題で、それを受理するかどうかは受け取る側の機器が判断するという。悪意を持ったフレームを送りつけることにより、別の機器の操作を妨害した
Google、Pixel 4の顔認証を目が開いている場合のみ使用可能にするオプションを追加予定 | スラド セキュリティ
headless曰く、 GoogleはPixel 4/Pixel 4 XLの顔認識機能について、目を開いているかどうかを識別しないのが仕様であるかのように説明していたが、結局修正するようだ(The Verge、Android Police)。 GoogleのヘルプドキュメントにはPixel 4で顔認証を使用する場合、目を閉じていてもロックが解除されることがあると明記されており、危険な状況に備える場合は顔認証が一時的に無効化されるロックダウン機能の使用を推奨している。Pixel 4の公式発表前にリークした設定アプリのスクリーンショットでは、顔認証でアンロックする際にユーザーの目が開いていることを必須とするオプションが含まれていたが、リリース版には含まれないとGoogleがBBC Newsに伝えていた。しかし、Googleがその後The VergeやAndroid Policeに送った声明によ
クロスサイトスクリプティングを解説するマカフィーのブログ記事にツッコミが入る | スラド セキュリティ
セキュリティベンダーMcAfee(マカフィー)の公式ブログ記事で、JavaScriptを利用しているサイトは減少傾向にあるといった記述があり話題となっている(はてなブックマーク)。 問題の記事は「情報漏えいにつながる脆弱性「クロスサイトスクリプティング」」というもの。現在では修正されているが、WebArchiveで確認すると以下のような記述があったことが確認できる。 スクリプトとはJavaScriptのことで、Webサイト上でさまざまな機能を使用できるため、多くのサイトに導入されていました。ただし、現在は脆弱性の多さから減少傾向にあります。
中国、鉄道・旅客機で危険行為などをした人に対する利用制限開始へ | スラド セキュリティ
個人の社会的な信用をスコア化する社会信用システムを構築している中国で5月1日から、社会信用を失う行為をした人に対する鉄道や旅客機の利用制限を開始するそうだ(South China Morning Postの記事、 The Vergeの記事、 The Next Webの記事、 中国国家発展・改革委員会の発表[1]、 [2])。 対象となる行為は鉄道・旅客機での危険行為・禁止行為といった不正行為および、経済的な不正行為となっている。鉄道での不正行為は鉄道の利用制限、旅客機での不正行為は旅客機の利用制限の対象となり、経済的な不正行為は両方の利用が制限される。制限期間は旅客機での不正行為や経済的な不正行為が1年間、鉄道での危険行為が180日間など。これにより、鉄道会社や航空会社、関係当局などが制限対象になる行為の情報を収集し、共有することになるようだ。
「パズドラ」のチートツール開発者ら、組織犯罪処罰法違反で逮捕へ | スラド セキュリティ
人気スマートフォンゲーム「パズル&ドラゴンズ(パズドラ)」向けの不正ツール(チートツール)を販売していたソフトウェア開発会社の社長らに対し、組織犯罪処罰法違反(組織的業務妨害)の疑いで逮捕状が出たという(西日本新聞、朝日新聞、NHK、4Gamer)。 チートツールでの逮捕者はすでに複数例があるが、組織犯罪処罰法違反での逮捕は初となる。組織犯罪処罰法違反は団体の活動として賭博や殺人、逮捕・監禁、誘拐、信用棄損や業務妨害、詐欺、恐喝、建造物等損壊といった犯罪行為を行った場合により重い刑罰を科すことなどが定められており、主に暴力団やテロ組織、会社に偽装した犯罪組織などに適用されるものとされている。 NHKの記事によると、問題のソフトウェアは「ゴーストルーター」というものだそうだ。このソフトウェアを開発したインターナル社は、過去にも「リッピングしない」 というDVD/Blu-rayコピーソフトで話
「HTTP_PROXY」環境変数に不適切な値が与えられる脆弱性、多くの環境で影響 | スラド セキュリティ
JPCERT/CCが、CGI等を利用するWebサーバの脆弱性(CVE-2016-5385等)に関する注意喚起を行っている。 UNIX/Linux系環境で動作するHTTPクライアントの多くは、通信を行う際に「HTTP_PROXY」環境変数を参照し、もしこの環境変数が設定されていればここで指定されているホストをプロクシとして使用するという動作を行う。このHTTP_PROXY環境は本来はサーバーやアプリケーションを実行する側が設定するものであるが、HTTPリクエストヘッダを利用してこれを外部から任意の値に書き換えることができるという(INTERNET Watch、ITmedia、JPCERT/CC)。 kb.cert.orgの説明が分かりやすいが、CGIの動作について記述したRFC3875の4.1.18.では、HTTPヘッダの形でサーバーに渡されたメタ変数について、その変数名を大文字にし、「-」
MIT、暗号化された情報を復号せずに処理できる DB「CryptDB」を開発 | スラド セキュリティ
MIT の研究者らが、暗号化されたデータを復号せずに機密性を維持したまま検索やソート、演算処理などを行えるデータベースソフトウェア CryptDB を開発したとのこと。同ソフトウェアは 10 月に開催された Symposium on Operating System Principles でお披露目されている (Forbes の記事、本家 /. 記事 より) 。 CryptDB は、データを「タマネギの皮」のように何層にも暗号化し、各層をそれぞれに違った鍵で守るという仕組みとなっている。極めてセキュリティー性の高いソフトウェアであるもののどんな演算処理も行えるというものではなく、例えば平方根の計算はできないとのこと。こうした完全準同形暗号は既に Gentry が 2009 年に発表しているが (IBM のプレスリリース)、暗号化されたデータを処理するのに膨大な時間がかかってしまうという欠点
クラックされた認証局から偽のSSL証明書が発行される | スラド セキュリティ
SSL認証局のComodo Groupがアカウント情報を入手した何者かの仕業により、偽のSSL証明書9件を発行してしまったそうだ(ITmedia記事)。Comodoで証明書発行の申請を審査しているアカウント情報が盗まれ、それによって偽証明書が発行された模様。 影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」(3件の証明書が関連)、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメイン。 FirefoxとWindowsには問題の証明書をブロックできるアップデートが既にリリースされているので、可及的速やかに適
プライバシーマーク認定の一時停止について (三菱電機インフォメーションシステムズ) | スラド セキュリティ
MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。 (03)の部分が審査クリア回数(認定取得の審査を含む)を指します。 2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。 MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前) プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。 そして処分が決定したのが2011年1月25日。 プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。 >> という事だが、今回停止された認定
陳情内容を晒した都議会議員のウェブサイトが炎上 | スラド セキュリティ
東京都の青少年健全育成条例の改正に絡んで漫画家の陳情を受けた都議会議員が、陳情内容を晒したことで炎上している。 炎上しているのは自民党都議・三原將嗣氏のサイトで、条例改正が成立した15日に「陳列規制は当然」というタイトルで活動レポートを更新しているのだが・・・ たくさんの「条例改正反対」の意見が私に寄せられたが、目玉は次の方である。 竹下登元首相の孫と称される女性の方だったが、自らも漫画を書くので、「規制強化はしないでほしい」とのことだった。私は最後に「おじいちゃん(竹下元首相)に、過激な漫画をみせたらなんと言うだろうね。おじいちゃんに怒られないかどうか、自己判断して書いてよ」と申し上げておいた。 竹下登元首相の孫娘の漫画家といえば、影木栄貴のコトだと解る人も少なくなかろう。個人の陳情内容を、その個人が特定できる形で、しかも「目玉」呼ばわりして晒したことで、氏のサイトのコメント欄は直後から
不正アクセスによりオンラインゲーム「777town.net」のアカウント情報が流出 | スラド セキュリティ
セガサミーホールディングスの子会社でオンラインゲームサイト「777town.net」を運営する サミーネットワークスが、不正アクセスによる1,735,841名分の会員情報の流出を公表し、サービスを緊急停止した。(プレスリリース) 有料サイトであること、流出規模の大きさを考えると、今後の展開が注目される。 10月23日から不正アクセス攻撃がはじまり、11月4日からサービスを停止する11月10日までの間に不正アクセスがあった模様である。クレジットカードおよび決済情報は流出はしていないとのことだが、ゲーム会員のログインID、パスワード、メールアドレスが流出したとのことで、他サイトで同じアカウント名、パスワードのセットを使っている方は要注意だろう。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
楽天、パスワードの定期的な変更を推奨する文言を会員規約から削除へ | スラド セキュリティ
Yahoo! JAPAN、ついに「秘密の質問」を廃止へ | スラド セキュリティ
Google検索、非ログインユーザーもHTTPS接続を強制へ | スラド セキュリティ