不適切に公開されていたDockerイメージにより、Vineのソースコードが流出 | スラド セキュリティ
やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事、 The Hacker Newsの記事)。 手法を簡単にまとめると以下のようになる。 Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見 Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含
IEEEで会員10万人分のIDとパスワードが漏えい。人気のパスワードは「123456」 | スラド セキュリティ
やや旧聞となるが、IEEEのWebサーバーのログが暗号化されない状態で公開されていたため、会員約10万人分のIDとパスワードが漏えいしたそうだ(IEEE logの記事、 IEEEのニュースリリース、 Computerworldの記事、 本家/.)。 発見者のRadu Dragusin氏によれば、ログはIEEEおよびIEEE SpectrumのWebサイトのもので、パスワードも暗号化されていなかったとのこと。Dragushin氏が発見したのは9月18日だが、少なくとも1か月前からこの状態だったと考えられるという。パスワードが漏えいしたユーザーの中には、Apple、Google、IBM、Oracle、Samsungの社員や、NASA、スタンフォード大の研究者なども含まれているそうだ。IEEEは25日までに対策を行い、ユーザーにパスワード変更を呼び掛けている。 Dragushin氏は入手したデー
2年後にサポートの終了するWindows XP、セキュリティー上の大きな脅威となる可能性 | スラド セキュリティ
Windows XPは延長サポートが終了する2年後にも相当数が使われ続けることが予想され、ボットネットに組み込まれるなど、セキュリティー上の大きな脅威になる可能性が指摘されている(Network Worldの記事、 本家/.)。 NetMarketShareのデータによるとWindows XPのシェアは3月時点で43.09%。この1年で10%近く減少しているとはいえ、2年以内にサポートが完全終了するOSとしては依然として高いシェアを保っている。Microsoftはサポート終了の周知に努めているものの、何が問題なのか理解していないユーザーも多い。企業はサポート終了までにOSをアップグレードすることが予測される一方、費用に見合うメリットがないと考えるホームユーザーは少なくないとみられる。 そのため、サポートが終了し、セキュリティー更新プログラムが提供されなくなる2年後にもWindows XPマ
科学実習の教材をうっかり機内に忘れる → 空港が一時閉鎖 | スラド セキュリティ
先週日曜日の現地時間午後 4 時頃、サウスウェスト航空 157 便で不審な装置が発見されたとして、テキサス州ダラス・ラブフィールド空港が一時閉鎖され、一部のゲートでは緊急避難が指示される騒ぎがあった。フライトが遅延するなどの影響が出たとのこと (Web Pro News の記事、The Dallas Morning News の記事、本家 /. 記事より) 。 だがこの不審な装置、なんとヒューストン在住の学生らが機内に置き忘れてしまった科学実習の教材だったとのこと。学生らは教授と共にカンザスシティーで開催されたカンファレンスで同装置をお披露目して無事テキサスに戻ってきたところだった。 この装置はコクピット付近で発見され、リモコンで動く車と繋がった、ワイヤーが何本か飛び出した携帯電話のような装置だったことから「不審な装置」と間違われてしまったようだ。この実習に関わった学生 11 人は手錠をか
ホームセキュリティシステムを DIY で安く構築するにはどうしたらいい? | スラド セキュリティ
6 週間前のことだが私とフィアンセが仕事で出かけている間、家が何者かによって不法侵入されてしまった。盗まれたのはノートパソコンが 2 台、iPad、AC アダプタ、金庫 (中には数年分の税金、出生証明書、昔の運転免許証のコピーが入っていた) 、デジタル一眼レフ、その他高価なアイテムが幾つか。盗まれたアイテムの幾つかを巡って、大家の契約している保険会社と争っているが、我々は引き下がるつもりはなく弁護士を交えて交渉している。悪夢だった。だが今は、何者かが日中、私たちの家に足を運んでいることが分かっている。家裏のポーチに置いているテーブルにはゴミが残されていたし、風に飛ばされてきたとは考え難い。庭には、朝にはなかった足跡が残されていた。もし運があれば警察に通報することで我々の所有物を幾つか取り戻せるかもしれない。日中は基本的にご近所はどこも留守にしているのだが、我々が留守の間、いったい何者が私達
コード投稿サイトPastebin.com、不正利用に悩まされる | スラド セキュリティ
海外ではスクリプトのソースコードやエラーメッセージを共有するために「Pastebin」というツールが使われることが多いという。WikipediaのPastebin項目によると、Pastebinは「ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション」と説明されている。最近ではTwitterユーザーが140文字に収まらないコードをPastebinを使って公開し、そこへのリンクをTweetする、といった使われ方が多いらしい。 この「Pastebin」を提供するサイトの1つに「Pasitebin.com」があるのだが、最近では不正利用に悩まされているようだ。 headless 曰く、 Pastebin.comのオーナー、Jeroen Vader氏はBBCの取材に対し、機密情報の投稿を監視するスタッフの増員計画を明らかにした(BBC Newsの記事)。
EU法改正案、サイバー攻撃の実行者に2年以上の拘禁刑を検討 | スラド セキュリティ
EU議会が現在検討しているEU法の改正案では、サイバー攻撃の実行者に2年以上の拘禁刑が求刑されるという(EU議会のプレスリリース、 TechWeekEurope UKの記事、 本家/.)。 改正案はEU議会のCivil Liberties Committeeで賛成50、反対1、棄権3で承認された。成立すれば、1回のシステム侵入で2年以下の刑と定める英国のComputer Misuse Actよりも重い刑罰となる。このほか、ボットネットによる大規模な攻撃や、多大な被害を与えた場合などは5年以上、IPスプーフィングは3年以上の刑となり、ハッキングツールの作成や配布も違法行為とされる。また、人を使ってライバル企業を攻撃させた場合などは、雇い主の責任も問えるようになる。EU議会のMonika Hohlmeier報告官は、夏までにEU議会と理事会の承認を得たいとしている。
100ドル払えばTSA透視型ボディースキャナーをバイパスできる | スラド セキュリティ
TSAは、米国内9空港の保安検査場で透視型ボディースキャナーを使用しない「プリチェック」と呼ばれるセキュリティーチェックを試験的に導入しているという(WSJ.comの記事、本家/.)。 現在のところプリチェックを利用できるのは、アメリカン航空とデルタ航空の国内線フライトのみ。それぞれの航空会社から招待されたマイレージプログラムのエリートメンバーで、TSAの基準を満たす乗客が対象となる。また、「Global Entry」などの出入国手続きを簡略化するプログラムの参加者もプリチェックを利用できる。Global Entryは米国税関・国境警備局(CBP)の審査により低リスクとして認められた旅行者が利用できるサービスで、キヨスク端末を使用した出入国手続きが可能。審査費用は100ドルだ。 プリチェックでは上着や靴を脱いだりベルトを外したりする必要はなく、ノートパソコンや液体をバッグから取り出す必要も
WikiLeaks、「影のCIA」とも呼ばれるStratforの電子メールを公開 | スラド セキュリティ
昨年、米民間情報機関Stratfor Global Intelligenceのサイトが攻撃されるという事件があったが、今度はこのStratforの電子メール500万通以上が情報公開サイトWikiLeaksで公開される事態になっているらしい(Reutersの記事、日経ITpro)。 WikiLeaks側は電子メールの入手経路について明らかにしていないとのこと。WikiLeaksというと昨年後半にはあまり話題がなく忘れ去られていた感もあるが、まさかAnonymousとコンビを組んでネタを提供してくれるとは……。 なお、WikiLieaksとAnonymousとの間になんらかの関係があるかどうかは不明で、そもそもStratforの電子メールを盗み出したのが本当にAnonymousなのかどうかもまだ判明していない。
Trendnet製ウェブカメラ、バグで家の中が丸見えに | スラド セキュリティ
「Trendnet社のウェブカメラ26機種にバグがあり、誰でもIPアドレスだけでビデオストリームにアクセスできることがわかった。」とのことです(TechCrunch)。 本件との関係は明記されていませんが、The Vergeにはウェブカメラからと思われる生活感あふれる画像も掲載されています。 この手のWebカメラにおいては、ユーザー設定の甘さによる丸見え状態もよくある話ですが、今回の件はファームウェアのバグのため、どれだけ設定ガチガチであろうと知らないうちに丸見えになっていたという恐ろしい状態です。 日本向けには販売されていないそうですが、ネット通販や輸入などで手に入れるケースも考えられるので、Webカメラをご使用の方は念のためメーカを確認したほうが良さそうです。 ちなみに丸見えとなったカメラの幾つかの製品名は「SecurView」だそうで、セキュリティの為に用いたはずのWebカメラが、バ
Facebook のシステムに不正侵入した英国人「倫理的ハッカー」、8ヶ月の禁固刑 | スラド セキュリティ
セキュリティーの脆弱性を突いて Facebook のシステムに侵入した 26 歳の英国人男性に、8 ヶ月の禁固刑が下された。同氏は Facebook の「計り知れない程の価値がある」知的財産を、外部のハードディスクにダウンロードしていた。氏は侵入した痕跡を隠したが、Facebook はシステムチェックを通して犯行があったことを発見したとのこと (BBC News の記事、本家 /. 記事より) 。 ソフトウェア開発専攻の学生 Glenn Mangham 氏は昨年の 4 月から 5 月にかけて、ヨークシャーにある自宅のベッドルームから Facebook のシステムに不正侵入して内部の機密情報を入手したことを認めているものの、自身を「倫理的ハッカー」であるとし、金銭目的ではなかったと主張している。同システムの脆弱性を検証して Facebook に警告するつもりだったという。過去にも Yahoo
蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる | スラド セキュリティ
オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(本家/.、University of Twente公式サイト)。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き
求職中のハッカー、志望企業のシステムを攻撃して採用を迫り逮捕。禁固30か月に | スラド セキュリティ
求職中だった26歳のハンガリー人男性が、企業のシステムに悪意あるコードを注入し、それを元に採用を迫ったとして逮捕され、3かヶ月の禁固刑を言い渡されるという事件が米国で発生した(本家/.、SECURITY WEEK記事)。 男性の供述によれば、同社の特定の社員に宛てた電子メールを通じてシステムにマルウェアを仕込み、作成したバックドアから同社の情報に不正アクセスしていたという。騒動の解明や不正にアクセスされたデータを特定するのに、100人以上の従業員を巻き込んでの調査を行うこととなったそうだ。同社の訴えによれば、同事件に絡む給与やコンサルタント費用として40万ドルから100万ドルの支出があったとのこと。 罪の重さ、企業側の被害総額を考慮すれば、氏に言い渡された30ヶ月の禁固刑は比較的軽いと言えるかもしれない。
ダウンロード毎に変異するトロイの木馬、Android に登場 | スラド セキュリティ
Symantec は、ダウンロード毎に変異を行う Android 向けマルウェアが見つかったことを明らかにした (TechWorld の記事、本家 /. 記事より) 。 このマルウェアは SMS を利用したトロイの木馬であり、毎回変異することによってアンチウィルスソフトウェアからの検出を免れる手口を使っているとのこと。「サーバサイド・ポリモーフィズム」と呼ばれるこの仕組みはデスクトップ向けマルウェアでは何年も前から存在していたが、モバイル端末向けのマルウェアで使われ始めたのはつい最近とのことだ。 ユーザがアプリケーションを手に入れる Android Market ではこのような手口のマルウェア配布は許可されていないため、直ちに広まる恐れはないとのこと。ただしデスクトップ向けマルウェアの様々な手口はこれからもモバイル端末向けに展開されることが予想されるため、今後はより一層高度なセキュリティ対
WikiLeaksのサーバ、シーランド公国に移設か? | スラド セキュリティ
米国の告訴の手から逃れるため、WikiLeaksのサーバを海上に移設する計画があるそうだ(Fox News、本家/.)。 WikiLeaksの活動に詳しいというハッカーコミュニティの複数の情報筋によると、WikiLeaksの創設者ジュリアン・アサンジ(Julian Assange)氏の財政的支援者らはサーバを公海へと移設すべく船舶を購入する手はずを整えているそうだ。 移設先は第二次世界大戦中に海上要塞として建設されたシーランド公国が一つの候補ではないかと見られているそうだ。シーランド公国は英国沖10kmに浮かんでいるが、1968年の英裁判での判決にて英国司法の管轄外とされており、また周辺諸国も領有を主張していない。 公海にサーバを移設すれば、海事法による取り締まりの対象となり、海事法でアサンジ氏を告訴することは難しくなるとのことの考えのようだが、一方「告訴は人に対して行うのでありサーバーを
ソニーの暗号技術「CLEFIA」が国際標準規格に採択 | スラド セキュリティ
5 年ほど前の /.J 記事で紹介されたソニーの共通鍵ブロック暗号「CLEFIA」だが、ISO/IEC での最終承認を経て軽量暗号 (Lightweight Cryptography) の国際標準規格 ISO/IEC 29192 の一つとして採択された (ソニーのニュースリリースより) 。 CLEFIA は、米国政府標準暗号 AES と同じインタフェースに対応し、ブロック長が 128 ビット、鍵長は 128 ビット、192 ビット、256 ビットから選択可能なブロック暗号。CLEFIA は最新の暗号設計理論をベースとして高い安全性を保ちつつ、コンパクトな実装に適した一般化 Feistel 構造を採用し、演算量を低く抑えつつ安全性を確保できる「拡散行列切り替え法」や、データ処理部と鍵スケジュール部の部品の共通化などを行っている。従来は両立が困難であったハードウェアとソフトウェアでの効率的な実
マルウェアを組み込んだアプリ、最大で500万人がAndroidマーケットからダウンロード した可能性 | スラド セキュリティ
マルウェア「Android.Counterclank」を組み込んだアプリが13本、公式のAndroidマーケットで発見された。リストアップされているアプリのうち、現在も8本が公開されている(Symantec Official Blogの記事、 Computerworldの記事、 本家/.)。 Android.Counterclankは「Android.Tonclank」の亜種で、端末情報などを収集して攻撃者のWebサイトに送信するものだという。発見されたアプリは「iApps7 Inc」、「Ogre Games」、「redmicapps」という3開発者により公開されている。1ヶ月以上公開されていたアプリもあるとのことで、Symantecは100万人から500万人のユーザーがダウンロードしたと推定している。 (追記 1/29 17:17) iApps7 Incのアプリが1本に減り、公開中のアプ
国の情報セキュリティ対策、官民連携の強化策がまとまる | スラッシュドット・ジャパン セキュリティ
1月24日の情報セキュリティ政策会議で、国の情報セキュリティ対策の官民連携強化策がまとまった。昨年の三菱重工業へのサイバー攻撃を受け、対応を検討していたもの。強化策の主な内容は、(1)国の安全に関する重要な情報を扱う契約に情報セキュリティ条項を定め、遵守することを求める。(2)国の最高情報セキュリティ責任者(CISO)を内閣官房に置き、全府省庁にサイバー攻撃への即応チーム(CSIRT)を設けるよう求める、など(毎日新聞の記事、読売新聞の記事、時事通信の記事)。 情報セキュリティ条項では情報システム関連のみならず、一般の調達等に関しても情報セキュリティ対策を求めることとなる。情報保全に向けた企業経営者の責任の明確化、情報漏えいや目的外使用があった場合は直ちに発注府省庁に報告することなどを契約要件とする。具体的な内容は各府省庁がこれから検討する。対象業種や報告基準がどう定まるのか注目される。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPAがCソースコードのセキュリティスキャンツールを公開、しかし構造体には対応せず | スラド セキュリティ
三菱重工、貨物船を転覆しにくくする復元力回復装置と搭載船を開発 | スラド セキュリティ