読売新聞によると、京都府警サイバー犯罪対策課が、「パソコンを強制終了させるウイルス」を自宅のパソコンで作成した13歳の中学生を不正指令電磁的記録作成（ウイルス作成）の非行事実で補導したという。 この中学生は「ハッカーが情報交換する会員制サイト」を運営しており、このサイトで技術を指南していた23歳男性も「パソコンのファイルを勝手に削除するウイルス」を保管していたとして逮捕された。 先月、オンラインゲームのサーバーに不正侵入してIDやパスワードを取得したとして、不正アクセス禁止法違反で逮捕された16歳の少年もこのサイトを利用しており、不正に取得したIDやパスワードをこのサイトの掲示板に書き込んでいたという。 問題とされる「ウイルス」は、『パソコンの画面に「強制終了してください」と表示され、強制終了以外の操作ができなくなる』というものとされるが、MSN産経ニュースによるといわゆる「ブラウザクラッ

通信の安全性を考慮して電子メール暗号化ソフトを利用している人はどれ程いるのだろうか？ 本家/.にて、電子メールの暗号化についての議論が挙がっている。 初めてPGPのことを聞いた何年も前のことになるが、比較的簡単に電子メールを暗号化することのできる拡張機能を見つけた。今日、電子メールは安全性が極めて低い通信手段である一方で、また電子メールの暗号化ソフトは簡単に利用できるにも関わらず、私の知り合いで電子メールを暗号化しているのは一握りしかいない。私が初めて暗号化の設定を行った時には、まさかこのようなことになるとは予測できなかった。 そこで私は/.erの皆さんに問いたい。電子メールを暗号化していますか？もし暗号化していないのであれば何故ですか？そして、PGPの暗号処理、またはそれに準じた方法が当たり前の常識とならなかったのは何故だと思いますか？ 暗号を使用することが熱い話題となった時もあったのに

現在は大量の個人情報がクラウドに保存されている。自分が保存したものだけではなく公共機関がクラウドを利用する例もあるが (The Telegraph の記事)、情報が何者かに盗まれる危険について考慮しているだろうか。クラウドの利点はセキュリティリスクを上回るのか、/.er のご意見をお聞かせ願いたい。 本家 /. では「誰かのデータを本人以上に気にする人はいない」「自分のサーバーに保存するよりは安全」などの意見がみられる。/.Jer のご意見はいかがだろうか。

ロシアのハッカーらが、米イリノイ州・Springfield市の水道供給施設のシステムに侵入、リモートからポンプを操作して破壊したそうだ（MailOnline）。 ハッカーらはログイン名およびパスワードを盗み、これを用いてネットワークに侵入（侵入したハッカーが盗んだのか、それともほかの者の手によって流出させられていたかは不明）。ポンプのオン･オフ操作を短期間に繰り返すことでポンプを破壊したと見られている。。また、異なる水道施設のコントロールシステムについてスクリーンショットを撮影・投稿しているハッカーもおり、このような事件は他にも発生する可能性があるという。 この事件は「ハッカーが重要なインフラを米国外からハックして破壊した最初の例である可能性が高い」とのことで、FBIやアメリカ合衆国国土安全保障省が捜査を行っているという。今回問題となっている制御システムはSCADAと呼ばれており、近年セキ

RLO (Unicode の制御文字 U+202E) はアラビア語など右から左に向けて記述する言語のための制御文字であるが、これを利用した拡張子偽装方法がまた広まっているようだ (IPA の記事) 。 この方法は、2007 年に /.J 記事でも取り上げられていたように新しいものではない。当時は P2P ネットワークと絡めて記事になったが、より一般的なインターネット利用においても出くわす可能性がある。IPA の記事ではメールに添付された zip アーカイブ内に PDF ファイルに偽装された実行形式ファイルがあったことが報告されている。対策としてアンチウィルスのアップデートのほか、セキュリティポリシーを利用してファイル名に RLO が入ったファイルに実行許可を与えない方法などが紹介されている。 みなさんは、RLO 対策は万全でしょうか。そして Home Edition の Windows に

やや旧聞となるが、公式のAndroidマーケットでマルウェアに感染したアプリが見つかり、Googleは6月5日までにアプリ10種の削除および作成者のアカウント停止などの処置を行ったとのこと(Xuxian Jiang助教授によるセキュリティ情報、 threatpostの記事、 ITmediaの記事、 本家/.)。 新たに発見されたマルウェア「Plankton」は、OSの脆弱性を利用してルートアクセス権を取得するのではなく、ネイティブクラスの読み込み機能を利用することにより、自身を隠しながら動的に機能を拡張する。Planktonを発見したノースカロライナ州立大学のXuxian Jiang助教授によれば、このような機能を使用するマルウェアとしては初のものだという。Planktonはアプリの起動時にサービスとして実行されるが、アプリ本体の動作にはまったく必要のないものだ。サービスの動作は過去に発見

大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破

具体的に仕様上の特定のここが危ない、って話ではないのか。出来ることが増えたけど、増えた部分のセキュリティはどうなってんのよ? みたいな。 変な例えだけど、圧縮された画像を展開するライブラリを下手に作ると、 「ある種の細工が施された偽JPEGファイル」を読み込ませたら任意のコードが実行されてしまうようなバグを盛り込んじゃうこともあり得る (実際に、解凍ソフトやTrueTypeのレンダリングエンジンにバッファオーバーランの脆弱性が見つかった例とかもある)。 もちろん、ブラウザにはそんな下手なライブラリは採用されない。 どんなに悪意を持ったページを開いても安全、と保証するためには、 正しい物から間違った物までどんなデータを食わせても、変なことが起こらないというのを徹底的にチェックする必要があるし、(多分)されている。 WebGLでは画像データに加えて、「3次元のジオメトリデータ」をWebページ上

New York Timesの記事によると米国では学習時間の不足から筆記体の書き方を教える授業が少なくなっており、筆記体の読み書きができない人が増えているようです (NYTimes.comの記事)。 筆記体の読み書きは21世紀の子供たちに必要な能力ではないとする学校がある一方で、筆記体の衰退が署名の偽造によるリスクと高めるとの懸念する意見もあります。筆記体の書けない人はブロック体で署名することになりますが、ブロック体では署名が真似しやすくなるということのようです。セキュリティの専門家 Bruce Schneier氏は、大した脅威にはならないとブログでコメントしていますが、手書きの署名が重要な欧米社会では無視できないリスクになってくるのかもしれません(Schneier氏のブログ)。 活字のような字なら誰でも読むことができますが、達筆な人がいなくなることは文化的にもったいない気もします。 クレ

INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報がGoogleにキャッシュされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。 しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、 「パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください」という注意喚起metaタグ（noindex,nofollow,noarc

ストーリー by hayakawa 2009年08月22日 13時07分 さて、どこからツッコミを入れればいいんでしょうかねぇ…… 部門より 本家/.で取り上げられているが、あるハッカーを追っていた警察が、逆にハッカーによって攻撃を受けるという事件がオーストラリアで起きていたそうだ。 豪警察は、ハッカーフォーラム「r00t-y0u.org」の管理者の家宅捜索を行い、このフォーラムの管理者アカウントを使った極秘捜査を開始したとのこと。だが、家宅捜査に入られていたことを知っていたフォーラムメンバーに見破られ、逆にハックされてしまったそうだ。さらに警察のMySQLデータベースにはルートパスワードが設定されておらず、SQLインジェクション攻撃が仕掛けられたとのこと。警察の発表によると、「アクセスされたのは捜査用のスタンドアロンマシンであり、既に信頼性の低い証明書類や虚偽のIDである」とのことだが、

「Microsoft Video ActiveXコントロールの脆弱性により、リモートでコードが実行される（972890）」脆弱性を利用したゼロデイ攻撃が発生しているようだ。これは5月末に出た「Microsoft DirectShowの脆弱性により、リモートでコードが実行される（971778）」脆弱性とは別であることに注意（ITmediaの記事、セキュリティホールmemoの該当エントリ）。 クライアント側の対策としてはIEを使用しない、もしくはVideo ActiveXコントロールを無効にする「Fix itによる回避策の実行」を行うなどがあげられる。 国内では VALUE DOMAIN のログインページ改ざんが確認されたようだ。またVALUE DOMAINを使用しているwikiwik.jp内でもサイトの改ざんがあり、各wikiを閲覧したユーザーに被害が広がった模様。wikiwiki.jp、V

GIGAZINEの記事「楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明」によると、楽天が個人情報を流出ではなく「販売」していたそうです。すでに実名・住所などを利用したエロサイトの業者スパムが多数届いているとのこと。 このように釣られてしまった方も多数いらっしゃるようだが、GIGAZINEの記事によると、楽天が提供するネットショップ運営システムでは、通常店舗側が確認できる個人情報は顧客の名前や住所、電話番号のみで、メールアドレスは確認できないとのこと。また、注文を行った顧客の情報をCSV形式でまとめてダウンロードできる「CSVデータダウンロード」機能というのもあるが、こちらにもメールアドレス情報は含まれていない。 しかし、月間売上が1,000万円以上、もしくは月間注文数が1,000件以上ある店舗の場合は、審査が通り、かつ個人情報の遵守を誓約する

アルゼンチンの研究者らが、ハードディスクワイプも免れるBIOSレベルの攻撃手法を発表したとのこと（本家/.、Threatpostのブログより）。 Core Security TechnologiesのAnibal Ortega氏とAlfredo Sacco氏は、先週カナダで開催されたCanSecWestでこの攻撃のデモを行った。この手法は脆弱性を突くものではなく、BIOSにちょっとしたコードを当ててマシンを乗っ取るというもので、WindowsマシンやOpenBSDを搭載したマシン、またVMware Playerでも同様に攻撃可能という。リブートするたびにBIOSに再感染させることも可能とのこと。ただ、攻撃の実行にはルート権限もしくは物理的アクセスが必要だ。2人は現在、攻撃を実装するBIOS rootkitに取り組んでいるそうだ。 アプリケーションやOSの保護機構の高機能化にともない攻撃は困

ストーリー by hayakawa 2009年03月24日 15時21分 全世界を巻き込んだ、壮大なエイプリルフールネタだったらどうしよう…… 部門より 世界で1200万のマシンに感染していると推定され、猛威を振るっているConfickerワームだが、その目的は完全には解明されておらず様々な憶測を呼んでいる（本家/.記事）。 最近出現した亜種Conficker.cでは、感染したコンピュータはサーバ及びクライアント両方の役割を担うことが可能で、双方向にファイルを共有できるため、「FreenetのようなP2Pシステムを構築するのでは」と見る者もいる。また、カリフォルニア大学サンディエゴ校のStefan Savage氏は、感染したマシンのデータを検索できる「ダークなGoogle」の可能性をみているという。 犯罪組織が感染したマシンから必要なデータを取得し、悪用するためのマルウェアは既に出回ってい

ストーリー by hayakawa 2009年03月09日 16時27分 無防備なアクセスポイントがあちらこちらにありますからねぇ…… 部門より 三陸河北新報の記事によると、宮城県気仙沼市で小中学生がDSやPSPを使って無線LANを「ただ乗り」して使う行為が行われているとして、小中学校が保護者に注意喚起を行う文書を配布したそうだ。また、気仙沼市教育委員会も各校に文書で注意を促す予定とのこと。 パスワードのかかっていない無線LANの「ただ乗り」は以前から問題になっていたが、小中学生の場合「ただ乗り」は無自覚にやっていることが多いと思われる。学校では「他人の家のトイレを勝手に使うような行為」と説明し、「ただ乗り」をやめるように指導しているとのこと。

IT Mediaにも記事が出ていました。同記事によると、個人情報はWinnyネットワーク上で存在が確認されているようです。流出したとされるのは、過去に開かれたサークルの申込者やスタッフなどの情報のようで、影響を受ける人は、延べ数万人規模にも及ぶと見られているようです。 同記事には、過去にサークル参加したある同人作家のコメントとして「同人イベントの個人情報管理には不安があったが、まさか自分が流出の被害者になるとは……」と書かれているのですが、何か不安要素があったのでしょうか。 【2009/01/19 12:00 hayakawa追記】サンシャインクリエイション公式サイトに本件についてのコメントが出ました。「サンクリ事務局が流出を確認、サンクリ43は開催中止」も併せてご覧ください。

サーバをインストールして、先方に渡し、 DCに設置してもらってネットにつながってから色々作業しようと思ってました。 で、rootのパスワードに「123456」を設定してました。 メールで「ネットにつなぎましたよー」と連絡もらって、 さあ作業しようと思ったらログインできません。ぎゃふん。 東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、 同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。 ワームに犯された上、ルートキットを孕ませられてしまったので、 passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。 のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、 泣きべそ書きながらrsyncでルートキットを駆除しました。

TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。 HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。 現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」というこ

読売新聞の記事によると、不法滞在で強制退去処分になった韓国人の女性が2008年4月、入国審査時に指紋照合による本人確認をくぐり抜け不法に再入国していたことがわかった。 再入国が発覚したのは同8月で、女は再び東京入国管理局に摘発されると「特殊なテープを指にはって指紋を変造し、審査を通過した」と供述した。東京入管は、女の再入国に韓国人ブローカーが介在したとみられることから、「同じ手口で、相当数の韓国人が不法入国した恐れがある」とする報告書を法務省に提出、同省も実態解明に乗り出している。 このシステムはテロリストの入国阻止を主な目的に４０億円以上をかけて導入された。比較的単純な手口で破られた可能性が浮上したことで、入国審査のチェック体制とともに、テロ対策についても見直しを迫られることになりそうだ。