Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。 「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。
カプコンは16日、同社のサーバーが不正アクセスを受け情報が流出していたことが確認されたと発表した(カプコン、PC Watch)。同社は11月4日のリリース段階では不正アクセスがあったことは認めていたものの、情報の流出等には触れていなかった。経緯については過去記事で触れた内容に準じたものであり、ランサムウェアを用いてサーバー暗号化されていたことや「Ragnar Locker」を名乗る集団から身代金要求があったことなどを認めた内容となっている。 リリースによれば、11月16日段階で判明している情報流出は以下の通り。 1. 流出を確認した情報 (1) 個人情報9件 元従業員の個人情報5件 (氏名・サイン2件、氏名・住所1件、パスポート情報2件) 従業員の個人情報4件 (氏名・人事情報3件、氏名・サイン1件) (2) その他 販売レポート 財務情報 2. 流出の可能性がある情報 (1) 個人情報(
Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ(5ちゃんねるの書き込み)。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。 5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。 あるAnonymous Coward 曰く、
headless曰く、 Microsoftが1日付で公開したサポートドキュメントによると、Microsoftアカウントが非アクティブとみなされるまでの期間が短縮されるようだ(Microsoft account activity policy、Neowin、Windows Central)。 Microsoftサービス規約(MSA)ではMicrosoftアカウントをアクティブな状態に保つようユーザーに求めており、少なくとも5年に1回はサインインしなければ非アクティブとみなされることが明記されている。非アクティブとみなされたMicrosoftアカウントはMicrosoftにより停止(削除)されることになる。なお、Outlook.comの受信トレイおよびOneDriveについては少なくとも年に1回は個別にサインインする必要がある。 一方、新しいアカウントポリシーでは、少なくとも2年に1回サインイ
以前、漫画の海賊版配信サイト「漫画村」で仮想通貨を採掘(マイニング)するスクリプトが埋め込まれていたとトレンドマイクロが指摘していたが(過去記事)、トレンドマイクロがTVでの取材時に事実とは異なる実演を行っていた可能性が指摘されている(Togetterまとめ、黒翼猫のコンピュータ日記 2nd Edition)。 漫画村で使われていた採掘スクリプト(Coinhive)の設定では、採掘に使用するCPUリソースを設定するパラメータ「Throttle」が1に設定されていたという。このパラメータはCPUパワーのうちどれだけを採掘に利用するかを設定する物で、「1」だと採掘に使用するCPUリソースを最小限にする設定になるという(トレンドマイクロの翻訳記事)。そのため、この設定でCPU利用率が100%になることはないと指摘されている。 また、問題の取材ではWebブラウザとしてInternet Explor
無限ループを使ってメッセージを延々と表示させるようなスクリプトが仕込まれたWebページへのリンクをネット掲示板に書き込んだ13歳中学生など3名が補導・家宅捜索された(NHK、サンケイスポーツ)。これに対し批判の声が集まっている(ITmedia、Engadget日本版)。 問題のページはFC2でホスティングされていたページ(http://n41050z.web.fc2.com/burakura.html)とのことでで、現在は削除されている(piyolog)。Webアーカイブに保存されているアーカイブによると、次のようなスクリプトが含まれていたようだ。 for( ; ; ){ window.alert(" ∧_∧ ババババ\n( ・ω・)=つ≡つ\n(っ ≡つ=つ\n`/ )\n(ノΠU\n何回閉じても無駄ですよ~ww\nm9(^Д^)プギャー!!\n byソル (@0_Infinity_)
Redditがサイバー攻撃を受け、利用者データなどについて第三者が閲覧できる状態になっていた明らかにした。このデータにはメールアドレスやハッシュ化されたパスワードが含まれているという。 Redditによると、6月19日に同社従業員の複数のアカウントが攻撃者に奪取されたことが発覚したという。攻撃を受けたのは6月14日から18日の間で、このアカウントには同社が利用しているクラウドやソースコード管理システムへにアクセスするためのものも含まれていた。 同社はコードやシステムインフラにアクセスするための認証時に2要素認証を導入しており、ユーザー名やパスワードによる認証に加えて、SMS経由での認証も必要になっていた。しかし、「SMS intercept」という手法を使ってこの2要素認証も突破されてしまったそうだ。 奪取されたのはリードオンリーの権限だったため、Redditのシステムが改ざん・破壊される
佐川急便を装って個人情報を詐取することを狙う攻撃が急増しているという(佐川急便の発表)。 手口としては、身に覚えのない不在配達通知がメールやSMSなどで届き、その中に記載されているURLをWebブラウザで表示すると偽のサイトが表示されて不審なアプリのインストールを促されるというもの。このアプリをインストールしてしまうと、勝手にSMSを送信したり、iTunesカードなどを無断で購入するといった活動が行われると報告されている。佐川だけでなく、日本郵便を騙った同様の攻撃もあるようだ(市況かぶ全力2階建)。 こうした攻撃は今年1月より確認されているが(INTERNET Watch)、最近被害が急増している模様。 なお、これをNHKも報じているが、この記事については偽アプリをインストールできないiPhoneの画面を使って対処法を説明していたり、Android向けの対応も不適切であるとの批判も出ている
最近ではNintendo Switch向け人気ゲーム「スプラトゥーン2」でのチートが増えているほか、Nintendo Switch向けゲームの海賊版などが出回り始めているという噂がある。しかし、安易にこれらに飛びつくと最悪利用した本体で任天堂のネットワークサービスが一切利用できなくなる可能性もあるようだ。 Nintendo Switchには端末毎に認証用のクライアント証明書が埋め込まれており、これを使って不正な行為を行った端末のブロックが行えることがハッカーによる分析で明らかになっている(Ars Technica)。この情報は、Nintendo Switchのハックを試みているSciresMというハッカー集団が公開したもの。これによると、Nintendo Switchでは非常に強固な海賊版対策機構が導入されており、海賊版ソフトウェアの実行を検知できるという。 Switchでは、ゲームプレイ
Google Chrome 67がリリースされたばかりだが、Chrome 65で修正されたはずの「Download bomb(ダウンロード爆弾」バグが復活したという。Bleeping Computerのテストによると、Firefox、Vilvadi、Opera、Braveなどのブラウザにも影響を与えているとしている。Internet ExplorerとEdgeには影響はない(Bleeping Computer、FOSSBYTES、Appuals、Slashdot)。 Download bombはファイルをダウンロードしてローカルに保存するAPIを悪用したもので、悪意のあるページにアクセスした際に何百から何千ものダウンロードを行わせてブラウザをフリーズさせるとともに、この問題を解決するための「サポート電話番号」を提示、ブラウザのロックを解除するために一定の金額を要求するといった「テクニカルサ
創作の世界で現実的でない手法を使うハッカーが描かれることはよくあるが、現在放送中のアニメ「ルパン三世 PART5」に登場するハッカーは現実的に描かれているそうだ(ITmedia)。 たとえば作中で工場のネットワークに侵入した場面では、機械の出荷時に設定されていたデフォルトのユーザー名とパスワードを使ってログイン認証を突破するという現実的な手法を使っているほか、相手の端末をマルウェアに感染させるために「標的型のメール攻撃」を使ったり、SNSを活用したりと、実際にサイバー犯罪で使われているような手法が作中に登場しているという。 また、作中で登場する仮想通貨やアンダーグラウンドネットワークも現実世界のものに近く、セキュリティ研究者も満足して見られる内容だという。
Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告している(ITmedia)。 この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。 こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。
ブロックチェーンを用いる仮想通貨(暗号通貨)に対し攻撃を行える「Block withholding attack」もしくは「Selfish Mining」と呼ばれる手法がかねてより指摘されていたが、5月15日に仮想通貨「モナコイン」に対して実際にこの攻撃が行われ、ある取引所が1,000万円近い被害を出したことが報告されている(ITmedia、/Junya Hirano.com)。 「Block withholding attack」は暗号通貨の「採掘したブロックが衝突(コンフリクト)した場合にチェーンが長い方を正とする」という仕様をついた攻撃手法。攻撃者は強力なマシンを用いてローカルに未公開かつ長いブロックチェーンを貯めこみ、タイミングを図ってこれを公開することで、それまで正とされていたブロックチェーンを無効化するという。攻撃者は無効化前に取引所でコインを換金することで利益を得たようだ。
今年1月に明らかになったCPUの脆弱性「Meltdown」や「Spectre」などと同種の脆弱性が新たに見つかったようだ。ドイツのコンピュータ関連メディアであるHeiseが報じたもの(Neowin、GIGAZINE、Intelリリース、Reuters、Slashdot)。 MeltdownやSpectreについてはすでに対策パッチがリリースされるなど、騒動はいったん収束しつつある。しかし、今回発見されたものはSpectreと似たようなメカニズムを使うものであるが、MeltdownやSpectre向けのパッチでは対応できないようだ。 発見された脆弱性は合計で8つあり、すでにCPUメーカーに対しては情報を開示しているという。しかしまだその対策方法は公になっていないため、脆弱性の詳細についてはまだ隠されている。うち4つの脆弱性は「高リスク」、残りの4つは「中程度のリスク」に分類されるという。
3月のCODASPY 2018で発表された論文なので旧聞となるが、パーキンソン病に対する脳深部刺激療法などで用いられる植え込み型神経刺激装置で、攻撃者がプログラムを書き換えたり、データを読み取ったりすることが可能な問題が発見されたそうだ(論文: PDF、 The Registerの記事)。 無線通信機能を備える植え込み型医療機器(IMD)では、主にプロプライエタリーなプロトコルを用いて通信を行う。研究グループではノートPCとUSBデータ収集(DAQ)デバイス、簡易な自作アンテナの組み合わせで、大手IMDメーカー製の広く使われている植え込み型神経刺激装置の通信内容を解析。通信には認証も暗号化も使われておらず、ブラックボックスアプローチでプロトコルのすべてをリバースエンジニアリングすることに成功したという。 解析結果を用いれば、植え込み型神経刺激装置と装置のプログラマーとの間で送受信されるデー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く