Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。 「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。
国際宇宙ステーション(ISS)の宇宙飛行士がティーバッグを用い、空気漏れの位置を特定したとTASSが報じている(TASSの記事[1]、 [2]、 [3]、 [4])。 ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月と9月に調査した結果、空気漏れはロシア側のズヴェズダサービスモジュールで発生していることが判明していた。 ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士が15日にロシアの管制センターへ報告したところによると、ズヴェズダサービスモジュールにティーバッグを浮遊させ、ハッチを閉じてティーバッグの動きをカメラで記録したそうだ。その後、ティーバッグの動きから空気漏れの方向を特定し、小さな裂け目が存在することを確認したとロスコスモスのイヴァン・ヴァグナー宇宙飛行士が報告している。 管制センターの専門家からの指示を受けてウレタンフォームと粘着テープを用い
ロボットや人工知能が人間の仕事を奪うと言われているが、人間のみならずお犬様の仕事も奪ってしまうかもしれない(キックスターター、GIZMODO、動画)。 完全自律型の「Toadi」は、端的にいうと芝刈りロボットで、フットボールのフィールドくらいの広さの芝刈り能力があるそうだ。45%という傾斜でも登れ、花壇の近くのような芝刈りを避けたい場所などをよける機能もあるようだ。うまくやればミステリーサークル製造にも使えそうではある。 このロボットには番犬機能も用意されているという。不審な動きをするものを検知すると、スマホに写真を送ってくれるとのこと。キックスターターネタなので、実用化されない方が助かるかもしれないワン。と思ったが、目標額は達成している模様。
先日、トレンドマイクロ製品のドライバでWindowsの「ドライバーの検証ツール」実行の有無をチェックするコードが見つかるという話題があったが、これを受けてMicrosoftはWindows 10においてこのドライバの実行をブロックする対応を行ったとのこと(Register、ITPro)。 報道によると、問題のドライバである「tmcomm.sys」が、Windows 10 20H1(May 2020 Update)にてブロック対象のドライバリストに入れられており、これによってこのドライバやこれを利用するトレンドマイクロの「Rootkit Buster」ソフトウェアは動作しなくなるとのこと。 MicrosoftはWindows向けソフトウェアやハードウェアに対し、適切に動作していることを検証する「WHQL」という認定プログラムを提供している。トレンドマイクロの問題のドライバは、そのための要件と
人気のRubyGemパッケージに似たパッケージ名を付け、タイプミスを狙ってダウンロードさせようとする悪質なRubyGemパッケージが短期間に多数公開され、多数ダウンロードされていたそうだ(ReversingLabs Blogの記事、 Ars Technicaの記事)。 有名ドメイン名やパッケージ名のタイプミスを狙う攻撃は「タイポスクワッティング」などと呼ばれる。2017年にはこの手法を使用した悪質なパッケージがPyPIで発見されたことがスラドでも話題になった。調査を行ったReversingLabsもこの手法を使用する悪質なパッケージをPyPIやNPMで発見しているという。 タイポスクワッティングに絞って行われた今回の調査では、人気のRubyGemパッケージのリストを作り、名前の似たパッケージのアップロードを2月16日から25日まで監視。その結果、700以上の悪質なパッケージが2つのアカウン
Googleのオフィスの扉で採用されているネットワーク接続型の錠(スマートロック)には脆弱性があり、ネットワーク経由で悪意のあるコードを送信することで開錠できてしまったという(Forbes、GIGAZINE、Slashdot)。 この錠は本来はRFIDを使ったカードキーを使って開錠するもので、ネットワーク経由で開錠状況を記録する機能があるというもののようだ。しかし、今回発見された脆弱性では外部から開錠ができるだけでなく、記録を残さずに開錠したり、勝手に施錠することもできたという。 この錠はSoftware Houseというメーカーのもので、発見された脆弱性はすでに報告され対応が進んでいるようだ。
ストーリー by hylom 2018年08月28日 18時53分 サービス側も長いパスワードを利用できるようにしましょうね 部門より JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている。 提示されている「安全なパスワードの条件」は次の通り。 パスワードの文字列は、長めにする(12文字以上を推奨)インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける他のサービスで使用しているパスワードは使用しない この理由についても説明されており、結局の
セキュリティ企業であるCheckmarxによる最新の調査によると、大多数の企業がDevOpsにセキュリティ工程を組み込むことに苦労しているという。調査ではDevOpsは開発速度の向上に貢献しているが、ソフトウェア的な複雑さも増し、セキュリティ上での問題も増えているという。調査の回答者の96%は、開発者がセキュアなコードを作成する方法についての適切な訓練を受けていることが「望ましい」または「非常に望ましい」と答えた。また、回答者は運用担当者やセキュリティ専門家といった分野よりも、開発者の教育や権限の強化が必要だとしている。 しかし、41%は開発者に対してソフトウェアセキュリティに関して明確な責任を定義することは挑戦的な課題であるともしている。一方で、11%と少数ではあるが、開発者教育の必要性に適切に対処していると回答したものもいる。ソフトウェアセキュリティは経営上のビジネスリスク問題であると
ファームウェアのアップデートで不具合が発生したり、製品が利用不能(文鎮化)になってしまった経験から、アップデートをしたがらなくなった人も多いのでは? 私の場合、特にロジテック(エレコムグループ)の製品で、アップデートに失敗(いつまで経ってもアップデートが終わらず、一晩放置してから電源を抜いて再起動したら以後起動すらしなくなる等)して壊れた経験が何度もあります。 現実問題として、説明をよく読んで正しい方法でファームウェアをアップデートしても不具合が発生することが多く、保証期間内でも「ファームウェアの更新失敗は保証対象外」だと言われるケースがあります。 例えば、NAS・ルーター・ネットワークカメラなどの脆弱性関係のファームウェア更新もあるのにも関わらず、Compro製品には下記の国内正規代理店の保証 [cfd.co.jp] では、「FWやソフトウェアの更新に失敗した場合」は保証期間中でも「有償
ストーリー by hylom 2018年07月04日 8時00分 キャリアがデータを改ざんする可能性は十分あるんだけどなあ 部門より GoogleはHTTPSプロトコルの採用を促進することで、ウェブ上のセキュリティを強化する方針を打ち出している。これに対し反対する声がSlashdotで紹介されている(Slashdot)。 反対の理由としては、まずGoogleが勝手にWebのルールを決めることに対する反感が挙げられている。それに加えて、Web上にはメンテナンスされていないWebサイトのコンテンツがあり、こういったコンテンツはHTTPに対応できないといったことが挙げられている。そのため、GoogleのHTTP廃止計画が成功すれば、多くの過去のWebサイトのコンテンツにアクセスできなくなる可能性があるとし、Googleの試みは、大量の本を燃やす焚書のようなものだと指摘している。 またSlashd
Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた(過去記事)。このスケジュールではChrome 66でSymantecによって発行された証明書が無効化されることになっているが、これに先駆けて、開発者やアーリーアダプタに向けたGoogle Chromeの実験的ビルド「Google Chrome Canary」でSymantecやその傘下であるRapidSSLなどが発行した証明書の無効化が行われたようだ。 bonkure曰く、 Googleさんは、Chromeにおける「Symantec発行の証明書の無効化」を宣言しておりましたが、最近リリースされましたChromeのCanaryのバージョンがめでたく66となり、Googleさんは本気だったことが証明されました。スラドも見事にその毒牙にか
パスワードを入力している最中の脳波を観測することで、その脳波からパスワードを推測できるという研究結果が発表された(Independent、マイナビニュース、研究論文)。 研究では、脳波センサーが搭載されたヘッドセットを装着した状態で被験者に指定した文字を入力してもらい、脳波と文字の対応をシステムに「学習」させたそうだ。その結果、200文字を学習された時点で数値のみで構成されたPINコードであれば43.4%、6文字のパスワードであれば37.3%の精度で入力された文字を推測できるようになったという。 この結果から研究者らは、今後脳波を測定できるようなデバイスが普及した場合、それが深刻なセキュリティやプライバシに関するトラブルの元となる可能性があると指摘している。
国際線旅客機では100mlを超える液体やジェルなどの機内持ち込みが禁じられているが、イタリア・ジェノバでは地元の有名なイタリアンソース「ペスト」に限り、100mlを超えても持ち込み可能になったそうだ(空港のニュース記事、 The Registerの記事、 Consumeristの記事、 Flying Angelsのニュース記事)。 ペストはオリーブオイルとバジル、松の実、ニンニク、チーズ(パルミジャーノとペコリーノ)をすりつぶしたジェノバ特産のソース。クリストフォロコロンボ国際空港(ジェノバ-セストリ空港)では、観光客が滞在中に購入したペストを機内持込手荷物に入れ、保安検査で没収されることが多いという。 このことから着想された「Il pesto è buono(ペストはおいしい)」キャンペーンでは、慈善団体「Flying Angels」に50ユーロセント以上寄付することで500gまでのペス
米国で、仕事を失うことを恐れて社内サーバーにマルウェアを仕込み、上司や同僚のアカウントに不正アクセスを行っていたという31歳のエンジニアが逮捕されるという事件が発生した(Bleeping Computer、Register、Slashdot)。 容疑者はニューヨークの金融機関KCGに雇用され、アルゴリズム取引で1日に数十億ドルの取引を行う業務に従事していた。ネットワークインフラへのアクセス権限を持っており、これを悪用してマルウェアをサーバーに設置したという。捜査資料によると、昨年12月から今年3月までの間に雇用者のサーバーからトレーディングシステムのソースコードを含め300万以上のファイルを盗んだとしている。 容疑者はKCGが買収されるという噂を聞き、仕事を失うことを恐れハッキングを行ったと主張している。なおKCGは実際4月7日に買収されている。
ドイツの家電メーカーMiele(ミーレ)の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られ
ロシアのセキュリティ企業Kasperskyが、映画「スター・ウォーズ」エピソード4のクライマックスである、巨大宇宙要塞「デス・スター」が主人公らの工作によって陥落したエピソードについて、サイバーセキュリティの観点から分析している。これによると、デス・スターが破壊された原因は、「指揮系統の純然たる怠慢とずさんなサイバーセキュリティ対策」が原因の一つだったという(Kasperskyのブログ)。 デス・スターが破壊された直接の原因は反応炉にミサイルを撃ち込まれたことだが、反応炉の脆弱性自体については「あの規模の物体に1つも脆弱性がなかったら、かえっておかしい」とし、それよりも標的型攻撃への対策が行われていなかったことが大きな問題だとしている。具体的に挙げられているのは下記の点だ。 データ漏洩に気付かずスルートロイの木馬の可能性がある不審物を基地内に引き込むシステムの認証がほぼなし 手作業での電源
8月末より、国内の複数サイトに向けDDoS攻撃が行われ、サイトが閲覧できないなどのトラブルが発生した(piyolog)。特に家電量販店大手のヨドバシカメラが攻撃された件についてはIT関連メディアだけでなく一般メディアでも報じられている(産経ニュース、ASCII.jp)。なお、現在では多くのサイトが復旧している。 スラドも9月1日の21日ごろよりDDoS攻撃と思われる大量のトラフィックにより閲覧がしにくい状況となっていた。スラドにおける攻撃および対処に関するタイムラインは以下のとおり。 9/1 21:00ごろsrad.jpおよびosdn.jpへのアクセスが行えなくなっていることを確認9/1 21:50ごろsrad.jpおよびosdn.jpで利用しているコロケーションサービスの提供元であるIIJから弊社(OSDN)の担当者に「大量のトラフィックが来て回線設備に問題が発生したため、上位で一時的に
これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、 論文: PDF、 The Registerの記事)。 研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5~2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く