タグ

ブックマーク / security.srad.jp (6)

  • サーバ証明書の発行を検知、初期状態のWordPressに侵入する手口が横行 | スラド セキュリティ

    サーバ証明書の発行を悪用し、WordPressで作られたサイトをターゲットにする攻撃が指摘されている(The Daily Swig、matsuu序二段さんのツイート)。 The Daily Swig の記事によれば、この攻撃はCertificate Transparency(CT)システムを悪用したもの。CTでは不正な証明書を迅速に発見するため、証明書を直ちに公開ログに記録することが義務づけられている。今回指摘されている攻撃では、悪意のあるハッカーが先の公開ログを監視し、WordPressの新規ドメインを検出すると即座にアクセス、初期インストール状態のWordPressにバックドアを仕掛けるという手法であるようだ。 この攻撃により、TLS証明書が要求されてから数秒から数分のうちにサイトがハッキングされたという証言も複数出てきているとのこと。証明書認証局のLet's EncryptのJosh

  • Yahoo! JAPAN、ついに「秘密の質問」を廃止へ | スラド セキュリティ

    Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。 「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。

  • note、Internet Archiveで保存できなくなる、古いドメインはブロック | スラド セキュリティ

    Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ(5ちゃんねるの書き込み)。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。 5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。 あるAnonymous Coward 曰く、

  • パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ

    イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収

  • Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記

    今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す

  • 電子カルテ検索結果を過信して誤った薬剤を投与、患者は死亡 | スラド セキュリティ

    朝日新聞の記事によると、徳島県で医師が電子カルテシステムの検索結果を正しいと思い込み、誤った薬剤を投与して患者を死亡させる事件が発生したそうだ。 この事件は、副腎皮質ホルモンである「サクシゾン」という薬剤を投与すべきなのを、間違って筋弛緩剤の「サクシン」を投与してしまったために発生したのだが、誤って投与してしまった原因は「電子カルテで『サクシ』と検索したら『サクシン』だけが表示された」からということらしい。 この病院では、「サクシン」と「サクシゾン」という名前が似ている2つの薬剤があると紛らわしいという理由でサクシゾンの常備をやめていたそうで、そのために「サクシゾン」が検索結果に表示されなかったそうだ。看護師から「当にサクシンでいいのですか」との口頭での確認はあったのだが、医師は誤っていることに気づかなかったという。 この事件は、「不注意だった」だけでなく、「コンピュータを過信しすぎた」

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.