Twitterでハッカーに優しい銀行が話題に | スラド セキュリティ
Twitterで一部の銀行がハッカーに優しい仕様だとして話題になっていたようだ。イオン銀行やローソン銀行では、ユーザーの誕生月別に支店名が振り分けられる仕様であることから、支店名から名義人の誕生月が特定可能となる(発端となったriron博士のツイート、INTERNET Watch、イオン銀行、ローソン)。 先日のリバースブルートフォース攻撃で狙われやすい暗証番号の話でもあったように、生年月日を暗証番号を例にしているユーザーはとても多く1~31日の日付、いや月によってはもっと少ない数字だけの調査で「当たり」暗証番号を引く可能性はとても高い。つまり攻撃者にとって、攻めやすいとても親切な銀行というなる。 なお誕生月別よりは安全だと思われるが、セブン銀行も支店名から口座開設月の特定が可能となっているとのこと(セブン銀行)。
Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 | スラド セキュリティ
MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿、 The Registerの記事、 Bleeping Computerの記事)。 Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。 FTPサブリソースのブロッキングはFirefox Night
「セキュリティフォント」なる仕組みが考案される | スラド セキュリティ
WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。 セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。 この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。
JavaScriptでASLRを無効化する攻撃「AnC」 | スラド セキュリティ
x86/ARM CPUの多くが行っているメモリ管理の仕組みを悪用し、アドレス空間配置のランダム化 (ASLR)をJavaScriptから無効化する攻撃が公表された(PC Watchの記事)。 ASLRはアドレス予測を困難にすることで攻撃を防ぐという技術で、2000年代前半から実装が進んでいる。ローカルからの攻撃により無効化する手法も発見されているが、Webブラウザーの脆弱性緩和などには有効な対策と考えられていた。記事によれば、CPUのキャッシュ階層を利用した「ASLR⊕Cache (AnC)」と名付けられた攻撃により、100秒未満という短い時間でアドレスのランダム化が解除されてしまったという。AnCはハードウェアの仕組みを使用した攻撃のため、ユーザー側では対処不能としている。 正直タレコミ子には説明が難しすぎて理解不能なのだが、技術レベルの高い攻撃者であれば公開された論文を元に数週間程度で
FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 | スラド セキュリティ
今週リリースされたMozilla Firefox 51とGoogle Chrome 56では、パスワード入力フィールドを含むHTTP接続のページを表示すると警告が表示されるようになっている(The Vergeの記事、 Ars Technicaの記事、 9to5Googleの記事、 Softpediaの記事)。 これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される
クレジットカードのセキュリティコードを数秒で割り出せるシステム | スラド セキュリティ
Newcastle大学の研究者らが、数秒でVISAカードのセキュリティコードを推測できるという研究結果を公表している(Independent、Slashdot、ExtremeTech)。 論文では現行のオンライン支払いシステムにおける問題点として、まず異なるWebサイトにわたってのエラー検出ができないことを指摘している。多くのWebサイトでは決済に10~20回失敗するとそれ以降の決済ができなくなるが、複数のWebサイトを使って不正な決済を試みることで、事実上無制限に決済を試みることができるという。 また、、サイトによって決済の際に検証する情報が異なる点をについても問題としている。多くのサイトではカード番号と有効期限とセキュリティコードを求められることが多いが、決済の際にこれらの情報のうち一部だけしか使わないサイトもあるという。 研究者らはこれらの問題点を使い、数千のサイトを使ってクレジット
Mozilla、Firefox 52のデフォルトでTLS 1.3を有効にする計画 | スラド セキュリティ
Mozillaは20日、Firefox 52のデフォルトでTLS 1.3を有効にする計画を明らかにした(Googleグループでのアナウンス、 Softpediaの記事、 Threatpostの記事)。 Mozillaでは6月にDeveloper EditionのFirefox 49にTLS 1.3のサポートを追加しており、安定版もFirefox 49以降でTLS 1.3をサポートしている。ただし、デフォルトでは無効になっているため、使用するには「about:config」画面で「security.tls.version.max」の値を「4」に変更する必要がある。 TLS 1.3は現在IETFが策定中の次期バージョンTLSであり、古い暗号プリミティブの除去や現代的な分析技術の使用などにより安全性や速度が向上する。Firefox 52では現時点で最新版のTLS 1.3 draft 16を実装し
Google、WebViewからのOAuth認証リクエストをブロックへ | スラド セキュリティ
GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと(Google Developers Blog)。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。 WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる(ただし確認画面は表示される)点がメリットだとされている。 WebVie
不適切に公開されていたDockerイメージにより、Vineのソースコードが流出 | スラド セキュリティ
やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事、 The Hacker Newsの記事)。 手法を簡単にまとめると以下のようになる。 Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見 Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含
政府、クレジットカード端末のICチップ対応を義務化へ | スラド セキュリティ
磁気クレジットカードの場合、原則としてサインでの取引となり、紛失・盗難・偽造カード等が悪用された場合にも、一定期間内に届け出ることでクレジットカード会社が補償してくれます。 しかし、ICクレジットカードを使う場合、原則として暗証番号による取引が要求されてしまい、現状ではカード会社によっては暗証番号が悪用された取引は完全に補償対象外となってしまいます。 そういったカード会社の場合、店舗で打った暗証番号が盗み見られたり、PIN入力端末が偽物だったり、PIN入力端末がマルウェアに感染していたりした場合などは暗証番号を知られてしまう恐れがあり、盗まれた暗証番号がキャッシングの引き出しや暗証番号でのクレジットカード決済に悪用された場合にも、補償が受けられません。また、暗証番号が盗み見られた後、クレジットカードをひったくられてキャッシングで使われた場合なども補償対象外となります。 そのため、私は暗証番
Microsoft、一部の更新プログラムについてダウンロードセンターでの公開を中止する方針 | スラド セキュリティ
■ Windows 10 の更新プログラムは Windows Update を介してのみ入手可能 Windows 10 のセキュリティ更新プログラムは、Windows Update からのみ提供しています。 Windows 10 Home は、更新プログラムの提供が開始された時点で、Windows Update によって自動的に更新プログラムが適用され、常に最新の状態に保つことができます。Windows 10 Pro、Windows 10 Education、Windows 10 Enterprise は、更新プログラムを延期する機能を利用できます。ただし、Windows 10 Pro、Windows 10 Education のユーザーが更新を延期できる期間には制限があります。 更新プログラムを手動でインストールしたい場合は、Microsoft Update カタログ [microsof
「パナマ文書」はWordPressプラグインの脆弱性が原因で流出した? | スラド セキュリティ
ストーリー by hylom 2016年04月11日 18時56分 まさかWebサーバー上にそんな重要なデータを置いておくとは 部門より パナマの法律事務所から企業によるマネーロンダリングや租税回避に関する大量の文書が流出した、通称「パナマ文書」事件が話題だが、この文書の流出はWordPressのプラグインに存在した脆弱性によるものだったという話があるという(ASCII.jp)。 問題のプラグインは、Slider Revolutionというもの。このプラグインの古いバージョンにはリモートからシェルを操作できる脆弱性があるそうで、パナマ文書の流出元であるモサク・フォンセカ法律事務所のWebサイトではこの古いバージョンのSlider Revolutionが使われていたという。
MSNやNew York Timesなどの大手Webサイトを通じた不正広告攻撃が急増 | スラド セキュリティ
13日から14日にかけて、大手ニュースサイトやポータルサイトを通じた不正広告攻撃が急増していたそうだ(Malwarebytesのブログ記事、 TrendLabs Security Intelligence Blogの記事、 SpiderLabs Blogの記事、 Ars Technicaの記事、 The Guardianの記事)。 今回の不正広告攻撃は米国のユーザーを対象としたもののようだ。Malwarebytesによれば、不正広告を表示していたWebサイトにはMSNやThe New York Times、BBC、AOLなどが含まれる。不正広告にはAngler exploit kitをホストするWebサイトにリダイレクトするコードが含まれ、GoogleやAppNexus、AOL、Rubiconなどの広告ネットワークを通じて配信されていたという。リダイレクト先のAngler exploit
LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 | スラド セキュリティ
Webベースのパスワード管理ソフト「LastPass」の偽の通知やログイン画面を表示してマスターパスワードや電子メールアドレス、二要素認証コードを盗み、LastPassに保存されたすべてのデータへのアクセスを可能にするというフィッシング攻撃「LostPass」の実証コード(PoC)がGitHubで公開されている(Sean Cassidy氏のブログ、BetaNews、Computerworld)。 PoCを作成したクラウドセキュリティ企業PraesidioのCTO、Sean Cassidy氏によると、特にGoogle Chromeの場合LastPassは通知やログイン画面などをすべてWebブラウザの表示領域に描画するため、本物そっくりに偽装しやすいのだという。ログイン画面をポップアップ表示するFirefoxの場合、タイトルバーやウィンドウ枠などをOSに合わせて描画する必要があり、Webページ
IoTバービー人形でさまざまなセキュリティ上の問題が見つかる | スラド セキュリティ
Wi-Fiでクラウドに接続し、AIを使用した会話のできるマテルのバービー人形「Hello Barbie」で、専用アプリやサーバーにさまざまなセキュリティ上の問題が見つかったそうだ(Bluebox Securityのブログ記事、 The Registerの記事、 BetaNewsの記事、 Ars Technicaの記事)。 Hello Barbieは発表当初からプライバシー侵害が懸念されており、11月には実際に盗聴などが可能だと報じられていた。一方、Hello Barbieの技術面の開発を担当したToyTalkでは、報じられている「ハック」は人形への物理的なアクセスが必要なものや専用アプリの設定インターフェイスを使用するもので、録音された音声や登録メールアドレス、Wi-Fiパスワードといった情報にアクセスすることはできないと説明している。 モバイルアプリはToyTalkが開発したもので、サー
同一の秘密鍵が異なる製品間で使われている問題 | スラド セキュリティ
多数のネットワーク機器などで、同一のHTTPS証明書や秘密鍵が使われているという(ITmedia)。オーストラリアのSEC Consultによる調査で明らかになったもの。 同じメーカー、製品ライン内だけでなく、複数のベンダー間で同じ証明書や鍵が使われているケースもあったそうだ。証明書や秘密鍵がユニークなものでない場合、中間者攻撃などに悪用される可能性がある。
スノーデン曰く「広告ブロックはユーザーの義務」 | スラド セキュリティ
米当局によるネット監視事件を暴露したエドワード・スノーデン氏がThe Interceptのインタビューに答え、個人が自らプライバシーを守る必要性やその方法について語っている。氏によると、広告ブロックソフトウェアの使用については安全性という観点からみればユーザーの権利ではなく義務だという(The Intercept、BetaNews、Register)。 スノーデン氏によれば、広告がアクティブなコンテンツを含む以上、Webブラウザに対する攻撃に使われる可能性があるのでブロックすべきだという。また、無料Wi-FiスポットでWebページに広告を埋め込むプロバイダについても触れ、プロバイダが読者とパブリッシャの関係を尊重しないのであれば、ユーザーは単に広告をブロックする権利を持つだけでなく、自分自身を守る努力をする義務があるとのこと。 平均的なユーザーがプライバシを守るのに必要な点としては、通話や
パスワード管理ツール「1Password」に脆弱性? | スラド セキュリティ
著名パスワード管理ツール「1Password」に脆弱性があるのではないかという話が出ている(GIGAZINE)。 状況についてはやや分かりにくいが、1Passwordで管理しているサイト情報が平文でファイル内に保存されており、ユーザーが1Passwordでどのサービスのパスワードを管理しているかが見えてします状況になっているそうだ。また、限定された状況下では1Passwordで管理しているサービスのパスワードを変更できてしまう可能性もあるという。 サイト情報を平文で保存するのは1Passwordの仕様とのことで、この問題はすぐには修正されないようだ。 なお、これに対し1Passwordを開発するAgileBitsはブログでこの問題について説明した。これによると互換性のためにサイト情報を平文で保存しているとのことで、サイト情報を暗号化して保存するフォーマットはすでに開発済みで将来的にはそちら
英GCHQ、複雑すぎるパスワードの使用中止を推奨 | スラド セキュリティ
複雑なパスワードはユーザーの負担になるだけでセキュリティー向上にはつながらないとして、パスワードポリシーの緩和とシステム側での対応強化を推奨するガイダンスを英政府通信本部(GCHQ)が発表している。ガイダンスはGCHQの電子通信安全局(CESG)が国家インフラストラクチャー防護センター(CPNI)とともに作成したもの(Password guidance: simplifying your approach、 CESGのブログ記事、 The Independentの記事、 BetaNewsの記事)。 ユーザーの負担を軽減するための措置としては、保護の必要な場面でのみパスワードを使用すること、安全なパスワード管理手段の提供、パスワード変更を強制するのは不正ログインが疑われる場合などに限ること、ユーザー間でのパスワード共有を禁じ、ハードウェアトークンなどによるアクセスコントロール手段の導入を検討
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される | スラド セキュリティ