「信頼の証」としてパスワードを交換する青少年たち | スラド セキュリティ
ティーンエイジャーの間で互いへの信頼の証としてメールや SNS アカウントのパスワードを交換することが流行しているそうだ (The New York Times の記事、本家 /. 記事より) 。 交換相手は主に交際相手や親友であり、中には互いに同じパスワードを設定する者もいるとのこと。米非営利調査機関 Pew Internet & American Project が 12 〜 17 歳の 770 人のインターネットユーザを対象に行った調査によると、33 % がこのようなパスワード交換を行ったことがあると回答したそうだ。 専門家らによると交際関係において性交渉を迫るのと同種の「信頼しているなら何でもできるはず」というプレッシャーが生じていたり、禁止されていることだからやってみたいという好奇心が背景に存在するという。子供らはパスワード交換は危険であることは理解しているといい、だからこそ「愛
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 | スラド セキュリティ
Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという(Togetterまとめ:Amazonのほしい物リストを公開していると個人情報を抜かれます)。 必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。 これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい
Carrier IQ 検出ツールに偽装したマルウェアが発見される | スラド セキュリティ
増加を続ける Android のマルウェアだが、今度は Carrier IQ の検出ツールに偽装したマルウェアが発見された (SecurityNewsDaily の記事、Symantec Connect Community の記事より) 。 Symantec により「Android.Qicsomos」と名付けられたマルウェアは、オープンソースの Carrier IQ 検出ツールにプレミアム SMS 送信機能を組み込んだもの。フランスのユーザーをターゲットに感染を広げており、「Désinstaller」と書かれたボタンをタップするとプレミアム SMS を送信した後に Carrier IQ アプリを削除するという。現在のところ、公式の Android マーケットでの配布は確認されておらず、携帯電話キャリアを偽装したフィッシングなどを通じて広がっているとみられている。
Symantec 製品が「スケアウェア」であるとして米国で提訴 | スラド セキュリティ
コンピューターが危険にさらされていると誤解させるような情報を表示して製品を購入させようとしているとして、米ワシントン州の James Gross 氏が Symantec をカリフォルニア州サンノゼの連邦地裁に提訴した (Reuters の記事、Bloomberg の記事、The Inquirer の記事より) 。 訴状では Symantec が配布するトライアル版ソフトウェアでシステムをスキャンすると、実際の状態にかかわらず有害なエラーやプライバシーの危険などの問題を報告すると主張している。取り上げられているのは「Norton Utilities」および「PC Tools Registry Mechanic」、「PC Tools Performance Toolkit」の 3 本。Gross 氏の代理人が他の Symantec 製品を使用してスキャンしたところ、上記の 3 本が報告した問題
無線LANの接続設定規格「WPS」に脆弱性 | スラド セキュリティ
無線LANの接続設定規格「WPS(Wi-Fi Protected Setup、WPS)」で用いられているPIN認証の仕様に脆弱性が確認された(JVNの脆弱性情報)。 WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4~8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗+10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。 WPS対応機器では間違ったPINを送信し
QRコードを利用した攻撃に注意 | スラド セキュリティ
さまざまな場所で使われているQRコードだが、マルウェアの作者もQRコードの利用を始めているらしい(Dark Readingの記事、本家/.)。 QRコードは携帯電話のカメラでスキャンするだけでWebサイトを表示できるなどの手軽さが受けているが、目で見ただけではスキャン結果がわからないという問題がある。そのため、マルウェアをダウンロードさせたり、フィッシングサイトに誘導したりといった攻撃に使われる例があるのだという。QRコードによる支払いサービスが利用される可能性も指摘されている。 謎のQRコードを見かけると、ついスキャンしてみたくなる人も多いだろう。しかし、未知のQRコードをスキャンすると攻撃のターゲットになってしまう可能性もある。そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。
MIT、暗号化された情報を復号せずに処理できる DB「CryptDB」を開発 | スラド セキュリティ
MIT の研究者らが、暗号化されたデータを復号せずに機密性を維持したまま検索やソート、演算処理などを行えるデータベースソフトウェア CryptDB を開発したとのこと。同ソフトウェアは 10 月に開催された Symposium on Operating System Principles でお披露目されている (Forbes の記事、本家 /. 記事 より) 。 CryptDB は、データを「タマネギの皮」のように何層にも暗号化し、各層をそれぞれに違った鍵で守るという仕組みとなっている。極めてセキュリティー性の高いソフトウェアであるもののどんな演算処理も行えるというものではなく、例えば平方根の計算はできないとのこと。こうした完全準同形暗号は既に Gentry が 2009 年に発表しているが (IBM のプレスリリース)、暗号化されたデータを処理するのに膨大な時間がかかってしまうという欠点
電子メール暗号化ソフト、使ってる? | スラド セキュリティ
通信の安全性を考慮して電子メール暗号化ソフトを利用している人はどれ程いるのだろうか? 本家/.にて、電子メールの暗号化についての議論が挙がっている。 初めてPGPのことを聞いた何年も前のことになるが、比較的簡単に電子メールを暗号化することのできる拡張機能を見つけた。今日、電子メールは安全性が極めて低い通信手段である一方で、また電子メールの暗号化ソフトは簡単に利用できるにも関わらず、私の知り合いで電子メールを暗号化しているのは一握りしかいない。私が初めて暗号化の設定を行った時には、まさかこのようなことになるとは予測できなかった。 そこで私は/.erの皆さんに問いたい。電子メールを暗号化していますか?もし暗号化していないのであれば何故ですか?そして、PGPの暗号処理、またはそれに準じた方法が当たり前の常識とならなかったのは何故だと思いますか? 暗号を使用することが熱い話題となった時もあったのに
Google、不正アプリ27本をAndroidマーケットから削除 | スラド セキュリティ
コンテンツ課金の可能なプレミアムSMSを秘かに送信するマルウェアが公式のAndroidマーケットで発見され、報告を受けたGoogleが計27本の不正アプリを削除する事態となった( The Lookout Blogの記事、 BBC Newsの記事、 Symantecのセキュリティ情報)。 このマルウェアは米Lookoutが発見したもので、「RuFraud」と名付けられている。ヨーロッパのユーザーを主なターゲットにしており、初回起動時に表示される確認画面でユーザーが承認ボタンをタップするとプレミアムSMSが秘かに送信されるとのこと。アプリ自体は既存のアプリを再パッケージ化したもので、Angry Birdsのような超有名アプリも含まれる。Lookoutによれば、同様のマルウェアは数ヶ月前から非公式のアプリストアやファイル共有サービスでの配布が確認されていたそうだ。先週から公式のAndroidマー
ロシアのハッカーら、リモートから米イリノイの水道施設を破壊 | スラド セキュリティ
ロシアのハッカーらが、米イリノイ州・Springfield市の水道供給施設のシステムに侵入、リモートからポンプを操作して破壊したそうだ(MailOnline)。 ハッカーらはログイン名およびパスワードを盗み、これを用いてネットワークに侵入(侵入したハッカーが盗んだのか、それともほかの者の手によって流出させられていたかは不明)。ポンプのオン・オフ操作を短期間に繰り返すことでポンプを破壊したと見られている。。また、異なる水道施設のコントロールシステムについてスクリーンショットを撮影・投稿しているハッカーもおり、このような事件は他にも発生する可能性があるという。 この事件は「ハッカーが重要なインフラを米国外からハックして破壊した最初の例である可能性が高い」とのことで、FBIやアメリカ合衆国国土安全保障省が捜査を行っているという。今回問題となっている制御システムはSCADAと呼ばれており、近年セキ
フランスの電力会社、グリーンピースのPCを攻撃したとして罰金150万ユーロに処せられる | スラド セキュリティ
フランス最大手電力会社のフランス電力公社(EDF)が2006年に環境保護団体グリーンピースのコンピューターに不法侵入していたとのことで、12日にパリ裁判所はEDFに対して罰金150万ユーロを支払うよう命じていた。また当時EDF原子力生産セキュリティーの副長だったPierre-Paul François氏に対しては30ヶ月の執行猶予付き禁固3年を、長官だったPascal Durieux氏に対しては2年の執行猶予付き禁固3年及び罰金10,000ユーロの支払いを命じた(本家/.、eWeek記事)。 送電する電力の90%以上を原子力に頼るEDFは近年グリーンピースと対立しており、2006年に、イギリス内における新規原子力発電所の建設に反対していたグリーンピース・フランス支部による妨害の意図及び計画を探るよう興信所のKargus Consultantsに依頼していたとのこと。同興信所は、グリーンピー
国土地理院のサーバーが不正侵入される | スラド セキュリティ
国土地理院は10月28日、院内で観測データを保存しているサーバーが外部からの攻撃され、ID、パスワードが奪われて侵入されたと発表した。他大学や民間企業への攻撃の踏み台にされたという(国土地理院の発表、茨城新聞の関連記事)。 攻撃は10月13日に「辞書攻撃」によって行われ、奪取されたIDおよびパスワードで侵入されたという。その後同サーバーを踏み台にし、同月27日に関東地方の国立大や民間企業の計2ヶ所に攻撃を仕掛けたとのこと。大学側が攻撃を察知して同院へ通報したことで発覚したそうだ。 ただ、攻撃そのものには失敗し、またサーバも大陸や島の微小な移動、位置を決定するための観測データだけを扱っていたため、個人情報や機密情報などを盗まれる被害はなかったそうだ。同院は過去にも失態を犯しており、今回再びの不祥事となってしまった。
サイバー攻撃を受けた三菱重工、パソコンの 1 台は 1 月からウイルス感染 | スラド セキュリティ
三菱重工がサイバー攻撃を受け、サーバーやパソコンがウイルスに感染していた問題 (/.J 記事) で、少なくとも 1 台は 1 月からウイルスに感染していたことが分かった (NHK ニュースの記事、asahi.com の記事より) 。 三菱重工では 11 か所の生産拠点でサーバーやパソコン計 83 台がウイルスに感染していたことが判明し、9 月 30 日には警視庁に被害届を提出している (三菱重工の重要なお知らせ) 。これらのうち名古屋誘導推進システム製作所のパソコン 1 台がウイルスに感染したのは 1 月のことで、セキュリティ会社の調査が行われるまでのおよそ 8 ヶ月間検知できなかったという。ウイルスは年賀状を装った電子メールに添付されており、受信した社員が添付ファイルを開いたことで感染したようだ。 また、一部のサーバーが感染したウイルスにはキーロガーの機能があり、営業系サーバーのパスワー
SSL3.0/TLS1.0 に脆弱性 | スラド セキュリティ
9 月 21 〜 23 日に開催されていたセキュリティ会議 ekoparty において、SSL 3.0 および TLS 1.0 の CBC モードに対する、いくぶん実用的な盗聴方法 (BEAST) が発表された (ITmedia エンタープライズの記事より)。 この攻撃は blockwise-adaptive chosen-plaintext 攻撃 (Gregory V. Bard 氏による論文) を用いることで暗号化されたデータを復号化できるというもの (yebo blog の記事) 。今回の発表の論文は http://insecure.cl で公開されていたのだが、現在は著者からの要求により削除されている。続報は insecure.cl のサイトか Twitter アカウント @insecurechile にて、とのことなのだがスペイン語なので読解には苦労されることだろう。 この問題は
交通違反画像の真正性は MD5 ハッシュ値の確認では不十分? | スラド セキュリティ
6 年も前の話題ではあるが、オーストラリアではスピード違反の取り締まりに使われる監視カメラ画像が改竄されていない事を示すのに MD5 ハッシュ値が使われていた。ある時、スピード違反をした被告とその弁護士がこの事を指摘し「MD5 では任意のハッシュ値を持つデータ列を生成可能なことが学会で報告されているので (参考: ちょうどその頃の/.J 記事) 、スピード違反の証拠として監視カメラ画像は無効である」と主張したところ、交通裁判所がこれを認めた、という事があったらしい (当時の CNET News の記事、ITmedia エンタープライズの記事より) 。 ITmedia エンタープライズの記事で萩原栄幸氏は、 MD5 のハッシュ値については、今の PC で数十分もあれば同一ハッシュ値のデータ X と Y を生成できてしまうというレベルにある (前述の強衝突耐性の突破が可能) 。しかし、学会では
セキュリティ専門家、Androidへの新たな攻撃手段を発見 | スラド セキュリティ
セキュリティ企業Privateer LabsのRiley Hassell氏によれば、Androidに対する新たな攻撃手段が発見されたとのこと(Reutersの記事)。 Hassell氏によると、広く使われているAndroidアプリの10本以上に脆弱性を発見したという。外部に公開されるアプリが脆弱性を持つ場合、攻撃者に利用される可能性があるとも述べた。ただし、修正方法が用意されてない段階での公開は危険であるとして、具体的なアプリ名の言及は避けた。 Hassell氏は同僚のShane Macaulay氏とともに、セキュリティイベントBlack Hatのトークに「Hacking Androids for Profit」というテーマで出演を予定していたが、時間になっても会場に現れずに波紋を巻き起こしていた。Hassell氏によると、研究成果を発表することで世界中の消費者を危険にさらすことはできない
自家製 MP3 プレイヤーが原因で空港閉鎖 | スラド セキュリティ
米ネブラスカ州オマハにある空港で、自家製 MP3 プレイヤーが原因でターミナルが数時間閉鎖されるという事態が起きていたそうだ (OregonLive.com の記事、本家 /. 記事より) 。 大学院生が持っていたのはミント菓子の缶を使って制作された MP3 プレイヤー。この学生はオマハのクレイトン大学で開催されていた科学フェアに参加していたとのことで、この装置もそのために作られたものであったという。しかし空港の X 線装置を通してこの装置を確認した空港保安担当者には、缶のなかにバッテリーとワイヤーが仕込まれた「疑わしき装置」に見えたとのことで、マニュアル通り空港閉鎖の措置が取られたという。 ミント缶 MP3 プレイヤーが空港で引っかかったのは今回が初めてではなく、2 年前にもカリフォルニア州で同じ MP3 プレイヤーが空港の検査で止められ、爆弾処理班まで出動する騒ぎとなったそうだ。なお、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
企業ぐるみでウイルス作成・送信、1200万を稼いだ6人が逮捕される | スラド セキュリティ
Windows Mediaに脆弱性、動画を再生するだけで意図しないコードが実行されるおそれ | スラド セキュリティ
Sprint、すべての端末 OEM 供給先に対し Carrier IQ の削除を要求 | スラド セキュリティ