JPCERT コーディネーションセンター（JPCERT/CC）が、開発者に連絡が取れない製品に関する脆弱性情報の公表を開始した（窓の杜、JPCERTの発表PDF）。 「従来の原則では公開できなかった脆弱性も公表の対象に」とあるように、これまでは作者と連絡が取れない場合半永久的に脆弱性情報を公表できなかった。今後は公表判定委員会の判定を受けた後、社会的影響を踏まえたうえで公表されるようになる。 同サイトの連絡不能開発者一覧によると、Tvrockや上海アリス幻樂団などどこかで聞いたことのある作者が連絡不能となっている点にも注目したい。

MicrosoftはOffice XP/2003/2007で発見された、「重要」とされる脆弱性「MS10-036」について、Office XPに対しては修正パッチをリリースしないそうだ。理由は「Office XPの非常に多くの部分を再度設計し直す必要がある」ため、「修正プログラムを開発することは不可能」だからだそうだ（japan.internet.comの記事）。なお、Office XPはまだ延長サポート期間中であるため、これ以外の脆弱性に関する対策パッチについては基本的にはリリースされている。 脆弱性の修正を諦めるということが許されるのだろうか、また似たような例を知っていたら教えていただきたい。

Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog）。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ

中国の Google へのサイバー攻撃に、Google 内部の者が関与していなかったか、現在調査が行われているそうだ (本家 /. 記事、CNET Japan の記事より) 。 ロイター通信の報道によると、Google の中国オフィスでは従業員が休暇を取らされたり移籍されたりしているとのこと。これらの話は地元メディアや情報筋から挙がっているそうだ。Google では従業員をネットワークから遮断し、現在ネットワークセキュリティの確認が行われているという。 攻撃に使われたマルウェアは Hydraq というトロイの木馬を改変したものだったとのことで、攻撃対象であるユーザを識別しているという点で高度な攻撃だったという。この件に関し、Google の広報担当者は「現在進行中の調査についての詳細はコメントできず、また噂や推測についてコメントすることはない」と発言しているとのことだ。

ストーリー by hayakawa 2009年08月16日 11時02分 Silverlightとかはどうなんでしょう？ 部門より IT mediaの記事によると、「Flash cookie」を使ってネット上のユーザーの行動を追跡し続けるサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームが発表した論文によると、QuantCastによるランキングでトップ100にあるサイトを調査対象とし、このうち54のサイトで「Flash cookie」による情報の保存がなされていたらしい。 この「Flash cookie」はローカル共有オブジェクトと呼ばれているもので、通常のcookieとは異なりブラウザのセキュリティ設定ではコントロールできない。これについて設定するには、Flash Player設定マネージャを使用する必要がある。研究チームが大手サイトに対し「Flash cooki

MozillaはウェブブラウザFirefoxのバージョン3.5.2を8月3日にリリースした。いくつかのセキュリティ問題が修正されており、また、ICCカラープロファイルを含む画像が正しく表示されるようになっている。

Webブラウザが表示する「SSL証明書が無効」という旨の警告について、55％～100％のユーザーが無視しているという調査結果が明らかになった（ComputerWorld.jp）。 カーネギーメロン大の研究者らが執筆した報告書によると、400名以上のWeb利用者を対象にオンライン調査を行い、その後100名のユーザーをラボに招いてWebを閲覧する様子を調査したという。その結果、信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る、というユーザー行動が検出されたそうだ。 また、Firefox 3では警告メッセージがより大きく表示されるようになったが、これによりユーザーが警告を無視してサイトを閲覧する割合は減ったとののこと。

「Microsoft Video ActiveXコントロールの脆弱性により、リモートでコードが実行される（972890）」脆弱性を利用したゼロデイ攻撃が発生しているようだ。これは5月末に出た「Microsoft DirectShowの脆弱性により、リモートでコードが実行される（971778）」脆弱性とは別であることに注意（ITmediaの記事、セキュリティホールmemoの該当エントリ）。 クライアント側の対策としてはIEを使用しない、もしくはVideo ActiveXコントロールを無効にする「Fix itによる回避策の実行」を行うなどがあげられる。 国内では VALUE DOMAIN のログインページ改ざんが確認されたようだ。またVALUE DOMAINを使用しているwikiwik.jp内でもサイトの改ざんがあり、各wikiを閲覧したユーザーに被害が広がった模様。wikiwiki.jp、V

現地 7 月 7 日夕刻、韓国の大統領府のサイトを含む、政府機関、銀行、マスメディアのサイトに対して DDoS 攻撃が行われ、4 時間にわたって接続が困難になったとのこと。加えて、アメリカ国務省、ニューヨーク証券取引所などにも攻撃が行われた模様 (毎日 jp の記事、中央日報の記事、NIKKEI NET の記事、MSN 産経ニュースの記事より) 。 今日 (7 月 8 日) もいくつかのサイトで接続しにくい状況が続いているらしく、攻撃が続いているとみられる。 情報をまとめると、攻撃を受けたのは韓国の大統領府をはじめとする政府機関 (国防省、国会、外交通商省、国家情報院など) や銀行、一部大手新聞社、米連邦取引委員会 (FTC) 、ホワイトハウスなど。韓国国家情報院の発表によれば攻撃対象は米韓 26 サイト、Panda Security のブログ記事によれば 41 サイトである。F-Secu

やや旧聞になるが、産経ニュースによると、クレジットカードの番号には特定の法則があり、正しいカード番号と有効期限が一組手に入ればその番号から同じ有効期限をもった実在する他のカード番号をかなりの確率で生成できるのだそうだ。 なぜカード番号と有効期限に法則性があるのか疑問だが、なんらかしらの事情があるのだろう。記事では「スーパーコンピュータを使って番号を作り直せばいいのでは」というカード会社関係者の話も載っているが……。 Internet Watchの記事によると、他人のクレジットカード明細書を盗み、明細書に記載されている一部がマスクされたカード番号から正しいカード番号を導出される事件も発生しているそうだ。

ストーリー by reo 2009年07月11日 13時00分 death's-day-is-doom's-day 部門より 韓国と米国への DDoS 攻撃につかわれている Mydoom ワームに感染した Windows システムは、金曜日 (7 月 10 日) から感染したシステムのデータを消去しはじめるのではないかとの話が報じられているそうだ (本家 /. 記事より) 。 ワシントンポストの Security Fix blogによるとこのマルウェアはウェブサーバからペイロードをダウンロードするよう設計されており、このペイロードにはハードドライブのデータを「memory of the independence day (独立記念日の記念に)」というメッセージとそれに続く「u」の文字で、接続されている物理ドライブ全てを上書きするというトロイの木馬が含まれているとのこと。 なお、同様の話は

IBM経由で神奈川県教育委員会の持つ個人情報の一部がShareやWinnyといったファイル共有ネットワークに放流された件について、IBMが中間報告を出しました（IBMのプレスリリース、Internet Watch）。 なにやら地道に強権的対応を実施しているようで、最終的にどうなるか興味深い所です。 IBMの発表によると、Shareについては該当のファイルをダウンロード可能にしているユーザーを特定し、ISPを通じて該当ユーザーに削除を要請したそうだ。2009年2月末の時点で要請を行ったほとんどのユーザーは該当のファイルの削除に応じているとのこと。 Winnyについては「ダウンロード可能にしているユーザーは存在するものの、ファイルとして完全にダウンロードすることは難しい」という状態だそうだ。WinnyについてもShareの場合と同様、ダウンロード可能なユーザーを特定して削除要請を行う活動は続け

朝日新聞の記事によると、IDとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警が兵庫県尼崎市の中学3年の少年（15）を不正アクセス禁止法違反の疑いで書類送検したそうだ。 少年は、長野県大町市の無職男性（20）からYahooのIDとパスワードを盗み、男性になりすまして計16回、不正にアクセスした疑い。 少年と男性はもともとオンラインゲーム仲間。男性が少年に「キャラクターを強くするプログラムをあげる」と偽って、実際にはキーロガーをネット経由で送りつけた。少年はゲームの動きが悪くなったことからキーロガーに気づき、ソフトを解析。盗まれた履歴の送付先になっていた男性のメールアドレスやID、パスワードを割り出したそうだ。調べに対して、少年は「メールを盗み見たりして、困らせてやろうと思った」と話しているという。 男性は、キーロガーを使って別のゲーム仲間のIDとパスワ

独立行政法人情報処理推進機構 (IPA) と言えばコンピュータウイルスやセキュリティに関する調査などのほか、2007 年まで行われてきた「未踏ソフトウェア創造事業」でも知られる団体だが、同機構職員が自宅で使っていた私物 PC から Winny ネットワークに個人情報が流出したとの事 (参考：IPA 職員の私物パソコンによる情報流出について) 。 大体、Winny の危険性について理解していなきゃならない筈の IPA 職員が何で使うかね ? どうやら .scr 経由で暴露ウイルスに感染したらしいが、流出した個人情報の内容が・・・家庭が壊れる危険性すらありそうなんですけど :p

Internet Watchの記事によると、早稲田大学で作成されたハラスメント関連（セクハラ、パワハラ、アカハラ（アカデミックハラスメント）など）の相談リストがファイル共有ソフト経由で流出した。リストには加害者や相談者の氏名なども含まれていたという。 相談リストは、カウンセリングを担当した女性嘱託職員が2008年7月に作成。女性嘱託職員は、相談内容を整理するためにリストを自宅に持ち帰り、作業方法について相談するために知人男性にリストをメールで送信していた。早稲田大学は、学外のPCからファイル共有ソフトを介して流出したとしているが、流出元のPCは調査中としている。 早稲田大学は1日、学生からセクハラ等の相談を受け付ける「ハラスメント防止委員会室」に1999年4月から2005年3月末にかけて寄せられた質問や相談など少なくとも391件が記載されたリストが、インターネットに流出したと発表した（早大

ストーリー by hayakawa 2008年12月01日 12時11分 どっちかというと、「ハッカー」でなく「クラッカー」の志願者が多い気がする。。。 部門より 最近、暇な時間帯に「おしえて！goo」「Yahoo!知恵袋」などを眺めてたまにはどうでもいい知識をひけらかしたりしているのですが、最近その手のサービスで「ハッカーになるにはどうしたらいいんですか？」といった質問がぽつぽつとでてくるようになってます。 まあ、なんのことはない、テレビドラマ「ブラッディ・マンディ」を見て感化されたようで気軽に質問してきてるようなのですが、さて、/.Jの諸兄の周りでそんなことを聞いてきた人がいたらどう答える？ 私の場合は「とりあえずテレビドラマなんて見るのをやめることですね」と答えますです、はい。

最近はGoogleへの激しい攻撃を行っている高木先生が、今度は最近リニューアルされたばかりのはてなブックマークに噛みついている。「新はてなブックマークの登録ブックマークレットは使ってはいけない」という記事だ。 新しいはてなブックマークの登録ブックマークレットは、ブックマークレットを実行したWebページ内にウィンドウのようなものを表示し、そこで登録が行えるようになっている。問題となるのは、はてなにログインしていない状態でこのブックマークレットを起動した場合だ。この場合、Webページ内の疑似ウィンドウにログインフォームが表示されるのだが、この疑似ウィンドウ内に表示されたログインフォームが本当にはてなのログインウィンドウなのかどうか、簡単には確認できない。そのため、ニセのログインフォームを表示させ、はてなのアカウント情報を盗もうとする悪意のあるサイトが登場することも考えられる。 この指摘に対して

Intel 元社員の Biswamohan Pani 氏 (33 歳) は、今年の初めに Intel へ辞表を提出した。そして退職するまでの 2 週間に休暇を取り、その間に「社外秘」「重要機密」などとされた数多くの機密文書をコピーした。その中には今後のチップ開発計画に関わる詳細なども含まれていたという。Intel 側は Pani 氏は退社後ヘッジファンドに転職するものと思っていたが、彼は AMD に就職した。彼は Intel に対して AMD に就職することは最後まで隠していたのである。 そして Intel は「どこからともなく社外に機密が漏れてしまっている」ことに気づき、FBI に調査を要請し、その結果 Pani 氏の犯行が明らかになったのである。起訴された Pani 氏は、Intel の機密文書を盗んだことについて「愛妻への私的なプレゼントである。」として、あくまでも個人的な犯行である

今年も各メーカーがウイルス対策ソフトのアップデートを行っています。今までは「ウイルス対策ソフトを導入するとPCが重くなる」などと言われていますが、今年のアップデートではさらなる多機能化を図ったり、メモリの使用量を削減、「動作が軽くなった」といった改良点をウリにしているソフトが増えたように思います。 いっぽう、ユーザーに無断で使用期限の更新を行って更新料を請求する、といった問題も聞かれたり、また実際に使ってみないと使い勝手が分からない、ということもあり、なかなかどの対策ソフトを選べばよいか、判断に困っている人も多いのではないでしょうか。 本家/.でも話題になっていますが、/.Jユーザーがおすすめするウイルス対策ソフトはどれでしょうか？

CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克教授から発表された。諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 以前からWEPを解読できる手段は存在していたが、普通の環境では解読が難しかった。ところが、今回は特殊な環境も要らないようだ。 森井教授のWebサイトで公開されている発表資料によると、以前/.でも話題になった「104ビットWEPを1分少々で破る」方法はARPリインジェクションという攻撃を組み合わせることで高速化を行っており、攻撃を検知してブロックすることが可能であった。 今回森井教授らが提案した手法では、既存の複数の暗号推測アルゴリズムを組み合わせることで高速化を図っており、任意のIPパケットから鍵の導出が可能。検証用のプログラムはC