Googleは一般ユーザー向けのAndroidアプリでユーザー補助サービスの使用を禁止する方針のようだ（Android Police、The Next Web、9to5Google、Global Accessibility News）。 Googleでは「ユーザー補助サービスへのバインド（BIND_ACCESSIBILITY_SERVICE）」パーミッションを要求するアプリの開発者に対し、障害を持つユーザーを補助する目的でユーザー補助サービスを使用しているかどうかの確認を求める通知を送っているそうだ。このパーミッションを要求する場合、それがどのように障害を持つ人の役に立つのかをユーザーに説明する必要があり、30日以内に対処しなければGoogle Playから削除されるという。このほかの対処法としてはパーミッション要求を削除するか、アプリの公開を取りやめるかという選択肢が提示されているとのこ

イスラエル・ベングリオン大学のCyber Security Research Centerでは、PCの冷却ファンが発するノイズを利用してネットワークから物理的に隔離されたエアギャップ環境のPCからデータを盗み出す「Fansmitter」を実証を行っている(論文アブストラクト、 Softpediaの記事、 Hackadayの記事)。 エアギャップ環境のPCからデータを盗むサイドチャネル攻撃の技術としては、電磁波を使用するものが最も古くから研究されており、光や熱、音声を使用する方法も研究されている。音声を使用する方法は可聴域外の音に変調をかけてデータを乗せ、近くに置いた携帯電話などで収音・復調して攻撃者のサーバーに転送するといったものだ。そのため、エアギャップ環境ではオーディオハードウェアを無効化したり、スピーカーを取り外して使用することもある。ソフトウェアでコントロール可能な冷却ファンを利用

AVG Technologiesが14日、新しいプライバシーポリシーを発表した。新しいプライバシーポリシーでは、AVG製品やWebサイトが収集したデータのうち個人を特定しないものに限り、収入を得るために使用することを明記している(プレスリリース、 AVGのブログ記事、 Wired UKの記事、 BetaNewsの記事、 The Inquirerの記事)。 新しいプライバシーポリシーの「Why do you collect my data?」の項には個人を特定しないデータの使用目的として「to make money from our free offerings so that we can continue to offer them for free」と記載されており、無料のAVG製品から収入を得ることで継続的な無料提供を可能にするためということのようだ。 使用するデータは広告IDやWe

Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、 ヤマト運輸のクロネコメンバーズ、 ミスタードーナツ、 ダスキン、 出版社共同ネット、 競輪、 J-CASTの東京バーゲンマニア、 神奈川県教育委員会ネットワークシステム、 東京学芸大学、 太平洋フェリー などがHTTPS経由で開けないようだ。 編注: タレこみにあった日本自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセス

これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、 論文: PDF、 The Registerの記事)。 研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5～2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使

セキュリティーを強化した携帯電話「GSMK CryptoPhone」シリーズを米国で販売しているESD Americaによると、通信会社が設置したものではない偽の携帯電話基地局(インターセプター)が全米各地で発見されているそうだ(Twitter — Cell Hacking Alerts、 Popular Scienceの記事、 本家/.)。 インターセプターの中身はコンピューターに無線通信機能を追加したもの。通話内容の傍受のみが可能な低機能なものから、政府機関が使用する VME Dominatorのように偽のテキストメッセージを使用してスパイウェアを送り込むといったことも可能なものもある。インターセプターはCryptoPhone 500が存在を検出。米軍基地周辺で数多く発見されているが、使用者は不明だ。ラスベガスのカジノ付近でも発見されており、フロリダからノースカロライナへの経路で8つの

OpenSSLで発見された脆弱性「Heartbleed」が発見されてから2カ月が経過したが、現時点でも少なくみても30万台のサーバーがこれに対し未対策で、無防備な状態にあるという（THE VERGE、CNET Japan、Slashdot）。 Errata Securityのセキュリティ研究者であるRobert David Graham氏によると、発見当初は約60万台のサーバがこのセキュリティ脆弱性に対して無防備な状態であったが、1カ月後には約半数が対策を施され、無防備なサーバは31万8239台に減った。しかし、それから1カ月経過した2カ月後の段階では、新たにパッチが適用されたサーバはわずか9042台しかなかった。残る30万9197台のサーバが依然として無防備な状態にあるとしている。

独立行政法人情報処理推進機構(IPA)がCBT方式で実施している国家試験「ITパスポート試験」システムにおいてセキュリティ上の欠陥が見つかり、2014年4月29日(火)、4月30日(水)の試験が中止になったそうです(プレスリリース)。 ソフトウェア等の脆弱性関連情報に関する届出が、どのようになされるのか興味深いところです。 IPAでは両日の受験予定者に対して個別に電子メールで連絡している。メンテナンスは30日16時に終了し、5月1日から通常通り再開する予定とのこと。なお、IPAのITパスポート試験Webサイトによると、緊急メンテナンスは28日夜から開始されていた模様。

船橋市の環境部職員が住民基本台帳を違法に閲覧するという事件が発生した（船橋市のプレスリリース）。これによると、「環境部の職員が平成25年5月、職場の住民基本台帳システム端末を業務目的外で使用して市民一名の世帯情報を閲覧した。また、それにより知り得た情報の一部を知人一名に不用意に話していたことが判明した」という。 これに対し、各新聞社とも誤報が相次いでいる。まずは、産経新聞の記事「住基ネットで関心寄せる女性を「調査」　船橋市職員を停職３カ月」（MSN産経ニュースのほうではすでに修正済み）。 あるいは、読売新聞の「住基ネットで個人情報漏えい、船橋市職員停職」など（こちらもすでにタイトル修正済み）。 船橋市のプレスリリースをよく読めばわかる通り、この職員が違法に閲覧したのは、船橋市の住民基本台帳システムであって、住基ネットではない。そもそも住基ネットには「世帯情報」は流れていないので、「世帯情報

ターゲット型攻撃（APT：Advanced Persistent Threat）が活発になっている昨今、暗号化の重要性は低下しており、データやシステムを守る新たな術を模索すべき時を迎えているという（threatpost、本家/.）。 セキュリティに関する年次イベントRSA Conference 2013のパネルディスカッションにて、RSA暗号の発明者の一人であるアディ・シャミア氏がこう述べたという。 従来のセキュリティの考え方は、アンチウィルスソフトウェアやその他の手段をもってAPT攻撃による侵入を防ぎ、侵入された場合にはAPT攻撃の活動を検知するという二つの段階を踏んでいたが、APT攻撃はこのどちらも突破し、数年の単位で活動できることが最近の事例で明らかになっている。 シャミア氏曰く、APT攻撃がシステム内の全てを監視していることを考えると暗号を効率的に活用することは非常に難しく、セキュ

個人を特定するための鍵として使われる指紋認証や網膜認証技術。しかし、スパイ映画などでは、こうした認証技術をだますため、本人の指などを切り落として強引に認証するシーンがしばしば描かれている。米国のサウスダコタ州ラピッドシティーにある小さな大学では、上記のような解決手段を回避するための技術の運用実験が行われている。この技術では、指紋認証に加え、指をスキャンして生きているかどうかを確認することで確実な認証を行うものだという（CBCNEWS、本家/.）。 本家のコメントによると指に赤外線を照射、血液中にあるヘモグロビンの動きをスキャンすることにより生きているかどうかの判定を行っているようだ。

先日B-CASカードの有効期限を書き換える件が話題になったが、ネットで出回っている「書き換えツール」に対し、トレンドマイクロがマルウェアと認定、削除対象としている（トレンドマイクロのマルウェア情報ページ）。 これはおかしくはないだろうか？ 知らない間に勝手に入りこんだり裏に隠れて悪さを働く類のプログラムと違い、ユーザがその機能を理解し必要としてPCに入れたプログラムをマルウェア扱いにして消そうとするのはいかがなものか。DeCSSをウィルス扱いして消して回っているようなものではないのか。 不正は不正である。B-CASカードを書換えてタダ見をたくらむ連中を擁護する気はない。しかし、いくら現行法でこの書換え行為を取り締まることは難しいからといって、いきなり削除対象にするのはやりすぎだ（削除するかどうか最終判断はユーザに有るとしても）。 トレンドマイクロは越えてはならない一線を越えたような気がする

「Trendnet社のウェブカメラ26機種にバグがあり、誰でもIPアドレスだけでビデオストリームにアクセスできることがわかった。」とのことです（TechCrunch）。 本件との関係は明記されていませんが、The Vergeにはウェブカメラからと思われる生活感あふれる画像も掲載されています。 この手のWebカメラにおいては、ユーザー設定の甘さによる丸見え状態もよくある話ですが、今回の件はファームウェアのバグのため、どれだけ設定ガチガチであろうと知らないうちに丸見えになっていたという恐ろしい状態です。 日本向けには販売されていないそうですが、ネット通販や輸入などで手に入れるケースも考えられるので、Webカメラをご使用の方は念のためメーカを確認したほうが良さそうです。 ちなみに丸見えとなったカメラの幾つかの製品名は「SecurView」だそうで、セキュリティの為に用いたはずのWebカメラが、バ

ティーンエイジャーの間で互いへの信頼の証としてメールや SNS アカウントのパスワードを交換することが流行しているそうだ (The New York Times の記事、本家 /. 記事より) 。 交換相手は主に交際相手や親友であり、中には互いに同じパスワードを設定する者もいるとのこと。米非営利調査機関 Pew Internet & American Project が 12 〜 17 歳の 770 人のインターネットユーザを対象に行った調査によると、33 % がこのようなパスワード交換を行ったことがあると回答したそうだ。 専門家らによると交際関係において性交渉を迫るのと同種の「信頼しているなら何でもできるはず」というプレッシャーが生じていたり、禁止されていることだからやってみたいという好奇心が背景に存在するという。子供らはパスワード交換は危険であることは理解しているといい、だからこそ「愛

ストーリー by hylom 2011年09月29日 13時29分 電源を入れるだけで盗まれるとは中国のスーパーハッカーおそるべし 部門より 中国による「サイバースパイ」活動が個人の携帯電話やPCにまで及んでいるため、中国に出張するアメリカ人ビジネスマンの中には自衛策として iPad を使い捨てる人までいるそうだ（47News、The Washington Postの記事）。 Washington Postの記事では「もしあたながiPhoneやBlackBerryを使えば、連絡先やカレンダー、メールなどその中のすべての情報は瞬時にダウンロードされてしまう。地下鉄であなたのそばに座っている誰かは、あなたがそれらの電源を入れるのを待つだけでよい。それだけで情報を盗み出すことができる」など述べ、「中国は他の国より安全ではないため、旅行者は携帯電話やPCに自衛策を講じるのが賢明だ」としている。 そ

/.J 記事 にもあったように先月末にソフトバンクモバイルのガラケー Web ブラウザで https 接続する際の仕様変更が行われたが、それに伴いみずほ銀行のネットバンキングサービスを提供するガラケーサイトで、6 月 30 日未明からソフトバンクモバイル端末から利用できなくなる不具合が生じていた。その後「現在ご利用可能となっております」という発表が、7 月 5 日に出た (みずほ銀行からの告知) 。 その発表によると、ソフトバンクモバイル端末からアクセスすると「このサイトは安全でない可能性があります。よろしいですか？」というメッセージが表示される可能性があり、それに対して「はい」を選択するよう指示している。「はい」を選択したあと、遷移先の URL を確認して、みずほ銀行のサイトであるかどうかを確認するように求めている。 URL を確認せよというのだが、これを確認したところで何の意味もないこ

ストーリー by hylom 2011年07月12日 19時47分 米軍なんて狙っちゃって大丈夫なの？ 部門より サイバー犯罪集団Anonymousが今週11日、BitTorrentトラッカーPirate Bayを通じて米軍9万人のメールアドレスとパスワードを公開したそうだ（本家/.）。 Anonymousは政府の契約コンサルティング企業Booz Allen Hamiltonに不正に侵入して情報を得たとのこと。この「オペレーション」は「Military Meltdown Monday」と銘打たれているそうだ。公開されたのはメールアドレスとパスワードだが、Anonymousは他の情報を得たことも示唆しているという。 Anonymousはつい最近にも政府の契約するセキュリティ企業IRC Federalにも不正侵入したばかり。どちらの企業もAnonymousと（もう解散してしまった）LulzSe

サイバー犯罪集団LulzSecのメンバーらを暴こうとする「探偵ハッカー集団」がいるそうだ（SC Magazine、本家/.より）。 今週、LulzSecのメンバーとみられる19歳男性が英警察によって逮捕されたが、これはLulzSecのメンバーを暴こうとするこのハッカー集団によるタレコミが元となったとのこと。元FBI捜査員も加わっているというこのハッカー集団によると、英男性の逮捕はまだ最初にすぎないとのこと。証拠隠滅を防ぐためにもLulzSecのメンバーをすぐに公表することは無いとしながらも、複数の米国系機関らと連携しており今後も逮捕は続いていくと述べたそうだ。 すっかりハッカー合戦の様相を呈してきたこの事件、今後の展開が楽しみな気もする。

米シティグループから21万人ものクレジットカード顧客情報が盗まれた事件（/.J過去記事）の手口は驚くほど単純なものだったそうだ（Mail Online、本家/.）。 「ここ最近最も大胆な手口の銀行データ盗難」などと言われたこの事件、大量の顧客情報を盗んだ手口は驚くほど単純なものだったそうだ。なんとシティグループのウェブサイトのクレジットカード顧客が利用するページのURLには顧客の口座番号が埋め込まれていたそうで、犯行グループは単にこの番号を他の番号に置き換えていくことでデータを手に入れていたとのこと。 犯行グループはこの口座番号を入れ替えてデータを取得するプログラムを開発し、大量のデータを持ち逃げしたとのことだ。