Android 4.4以降搭載の端末66%がピンチに陥るLinuxカーネルのゼロデイ脆弱性が発見される
By Kārlis Dambrāns Androidなどでも使用されているLinuxカーネルの中でゼロデイ脆弱性が発見され、修正プログラムが提供されるまでの間に脆弱性を使った攻撃が行われる可能性があることが判明しました。この脆弱性を利用すれば、アタッカーは簡単にroot権限を得られるのでデバイスとデバイス内のデータを完全にコントロール可能となる模様で、Linuxカーネルを使用しているAndroid端末の66%も攻撃対象になる可能性があるということで大きな話題となっています。 Analysis and Exploitation of a Linux Kernel Vulnerability (CVE-2016-0728) | Perception Point http://perception-point.io/2016/01/14/analysis-and-exploitation-of-
Intelの新型CPUにUSBポート経由でシステムのフルコントロールが奪われるデバッグの仕組みがあることが判明
By Dani Latorre いくつかのデバッグインターフェースを含むIntelの新しいCPUに、システム全体のフルコントロールを奪うような攻撃をUSB 3.0経由で行える脆弱性の存在が見つかりました。発見したPositive Technologiesの研究者らによれば、攻撃者は最新のセキュリティツールに検知されることなく、マシンのBIOSを書き直したり、全データを読み取ったりすることができ、マシンを無効化することさえ可能とのことです。 Debugging mechanism in Intel CPUs allows seizing control via USB port https://www.scmagazine.com/debugging-mechanism-in-intel-cpus-allows-seizing-control-via-usb-port/article/630
Twitter乗っ取りでスパムを勝手にリツイートされる状態を解除、iPhone・Androidスマホで連携アプリの許可を取り消す方法 | アプリオ
本記事では、Twitterでスパムを勝手にツイートする連携アプリを確認し、アプリに与えた許可を取り消す(解除する)方法をデバイス別に解説します。これで大半のTwitter「乗っ取り」を解決できます。 アプリ連携による「乗っ取り」の原因とは 依然として、スパム業者の宣伝ツイートを“勝手に”ツイートされてしまったり、見知らぬアカウントを強制的にフォローしてしまっていたりして、「アカウントを乗っ取られた」と不安になっているユーザーも少なくありません。 この点、問題の原因の大半は、ユーザー自身が悪意のある連携アプリを認証してしまったことにあります。連携したアプリに与えたWrite権限(連携アプリがユーザーのアカウントでツイートできる)を悪用されてしまっているわけです。 つまり、厳密にはアカウント自体は乗っ取られておらず、ツイートする権限だけを勝手に利用されているに過ぎません。早まってアカウントを削
piyolog
2024年5月28日、生成AIを使用したマルウエアを作成した容疑で警視庁が男を逮捕したことが報じられました。ここでは関連する情報をまとめます。 対話型生成AIを使用しランサムウエアらしきものを作成 男の容疑は不正指令電磁的記録作成。2023年3月31日に自宅PCやスマートフォンを使用して、対話型生成AIを使用し、不正プログラムの設計情報を組み合わせてマルウエアを作成した疑い。2024年3月に警視庁は男を偽造身分証を使用してSIMカードの不正契約を行ったなどとして詐欺容疑(今回の事案とは別件)で逮捕しており、*1 捜査より自宅から押収されたPCを解析したところマルウエアが発見された。*2 生成AIを使用したマルウエア作成の事案摘発は全国で初めてとされる。*3 男が作成したマルウエアは、実行環境のデータを破壊(暗号化とも報道)し、暗号資産の要求をする機能が含まれており、いわゆるランサムウエアに
「ワイヤレスキーボードを盗聴することはできるのか?」をハッカーが実践
By Christian Grunert デスクトップPCで邪魔なケーブルを嫌ってワイヤレスタイプのキーボードを使用する人が非常に増えています。ワイヤレスタイプのキーボードでは入力されたキーを無線信号で送受信することから、この信号が盗聴され入力内容が盗み見される危険性が以前から指摘されていたところ、フィンランドの自称ハッカーが、旧タイプの無線キーボードを実際に盗聴してその内容をブログで公開しています。 absorptions: Eavesdropping on a wireless keyboard http://www.windytan.com/2013/03/eavesdropping-on-wireless-keyboard.html ワイヤレスキーボードでは周波数2.4GHzの無線信号が使用されることが多いのですが、以前はより周波数の低い、波長の長い無線信号が使われていました。フィ
NTPに脆弱性、システム時刻を変更される恐れ
被害者はntpdプロセスが悪質な時刻源と同期させられて、攻撃者の任意の時刻に変更されてしまう恐れがある。 インターネット経由で時刻を取得するためのNTPデーモン(ntpd)に脆弱性があり、攻撃者に時刻を変更されてしまう恐れがあることが分かった。Network Time Foundation(NTF)は10月21日、更新版を公開してこの脆弱性に対処した。 米Cisco傘下のセキュリティ企業Talosによると、脆弱性は特定の暗号NAKパケットの処理におけるロジックエラーに起因する。認証を受けない攻撃者が不正なパケットを送りつける手口で認証をかわし、被害者のntpdプロセスを悪質な時刻源と同期させて、任意の時刻に変更できてしまう恐れがある。 脆弱性はntp 4.2.8p3までのバージョンで確認された。Talosが行った実験では、この脆弱性を突いてntpdを不正なピアと同期させ、システムの時刻を5
年金情報流出から得られる教訓は――ラックが文書公開 「標的型攻撃の対策は、従来のウイルス対策と全く逆」
年金情報流出から得られる教訓は――ラックが文書公開 「標的型攻撃の対策は、従来のウイルス対策と全く逆」(1/2 ページ) 「標的型サイバー攻撃は、従来のウイルス対策とは全く逆のアプローチをとるべき」――セキュリティベンダーのラックは6月10日、日本年金機構からの個人情報流出事件から学べる教訓についてまとめた文書(PDF)を公開した。同社は事件の技術調査には関与しておらず、同社が知り得た範囲の情報を基に「他山の石として学ぶべきことを提言する」としている システムの使いにくさをカバーする「運用の工夫」が穴に 今回の事件は、年金機構の職員のPCが標的型メール攻撃を受けてウイルスに感染し、ファイルサーバなどに保存していた125万件の年金に関する個人情報が盗み出されたとされている。 年金機構は、メールやネット閲覧など外部との通信が可能な「情報系システム」と、個人情報が保存されていた「基幹システム」は
@IT:ApacheでSSLを使うには
ここでは、LAN内など特定のユーザー向けにWebサーバを公開することを前提に、SSLを使用する方法を説明する(注)。なお、以下の説明はFedora Core 3を前提としている。 SSLは、Apacheのパッケージ(例えばhttpd-2.0.52-3.1)と同じバージョンのmod_sslモジュール(同mod_ssl-2.0.52-3.1)が必要となる。mod_sslをインストールすると、/etc/httpd/conf.d/ssl.confという設定ファイルが生成される。このファイルは、デフォルト状態でも必要な設定がひととおり行われているため、特に変更する必要はない。なお、デフォルトでは、サーバ証明書は/etc/httpd/conf/ssl.crt/server.crtに、サーバ用の秘密鍵は/etc/httpd/conf/ssl.key/server.keyになっている。 SSLを使用するに
共有フォルダがEveryoneアクセス可能なアクセス権なのにユーザー認証が求められる?ユーザー認証が求められなくなる方法Guestユーザー
共有フォルダがEveryoneアクセス可能なアクセス権なのにユーザー認証が求められる?ユーザー認証が求められなくなる方法Guestユーザー @ コンピュータ系サラリーマンブログ Windows Server をワークグループ運用等していて、認証無しにWindows ファイル共有(共有フォルダ)やプリンタ共有(共有プリンタ)を設置したい場合はありませんか? 例えば、認証Windowsユーザーをまだ準備していない段階でセットアップフォルダには誰でも読み取りでアクセスさせたいとか・・・ しかし、 共有フォルダのセキュリティ設定でeveryoneフルコントロール設定なのに何故ユーザー認証が求められるのだ!? 残念ながらWindows Serverの標準セキュリティ設定から、普通ではこのようにいくらセキュリティタブでeveryoneフルコントロール設定でもユーザー認証が発生してしまします どうしても
@IT アクセスログの改ざんと検出方法
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回「第5回 バックドアの検出と対処」はバックドアの検出と対処方法について説明した。最終回の今回は、攻撃者が侵入後に行うアクセスログの改ざんとその検出方法、さらにはログの調査方法について説明する。 ログの重要性 実際にサーバを運用管理する者なら、OSや各種ソフトウェアが出力するログの重要性は身に染みて分かっていることだろう。なぜなら、ログからはサーバを運用管理するうえで必要となるさま
まさに血を吹く心臓。ネット業界震撼の「Heartbleed」ってどんなもの? (ギズモード・ジャパン) - Yahoo!ニュース
まさに血を吹く心臓。ネット業界震撼の「Heartbleed」ってどんなもの? ギズモード・ジャパン 4月14日(月)12時36分配信 問題は1行のコードに。 パスワードやメール内容、決済情報など、暗号化されるはずのデータが筒抜けになってしまうバグ「Heartbleed」が発見されました。カナダ政府が確定申告サービスを閉鎖するほどの緊急事態になっていますが、実際どんな仕組みのバグなんでしょうか? 米ギズのエリック・ライマー記者が、コードの核心部分についてわかりやすいメタファーで解説してくれています。 【他の画像】 Heartbleedがどんなものかざっくりいうと、OpenSSLという、コンピュータとサーバにお互いの素性を知らせ合うためのセキュリティプロトコルのバグです。このOpenSSLのバグのために、米Yahoo!やFlickr、Imgurといったサイト(リストはここに)が数年間セキュリ
OpenSSL の脆弱性に関する注意喚起
各位 JPCERT-AT-2014-0013 JPCERT/CC 2014-04-08(新規) 2014-04-11(更新) <<< JPCERT/CC Alert 2014-04-08 >>> OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html I. 概要 OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの 脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得 する可能性があります。 管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合 は、OpenSSL Project が提供する修正済みバージョンへアップデートすること をお勧めしま
更新:OpenSSL の脆弱性対策について(CVE-2014-0160):IPA 独立行政法人 情報処理推進機構
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。 この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。 一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます: 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合) 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合) 既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。 脆弱性の解消 The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
Windows XPユーザーが4月9日にやるべきこと (ITmedia エンタープライズ) - Yahoo!ニュース
MicrosoftによるWindows XPのサポート終了が1週間後に迫った。セキュリティリスクの観点からXPの継続利用は可能な限り取りやめるべきだが、4月9日時点でも移行できないというユーザーに向けて、セキュリティ企業のSophosが8つのTipsを紹介している。 ・Tips 1:4月9日に公開される修正パッチを必ず適用し、XPを最新状態にする ・Tips 2:ウイルス対策ソフトやFlash、Javaなどインストール済みソフトウェアを全て最新状態にする ・Tips 3:ウイルス対策ソフトやパーソナルファイアウォールによる制限を最大にする ・Tips 4:使用していないソフトウェアとドライバは全部削除する ・Tips 5:セキュリティソフトなどが搭載するアプリケーション制御機能を使って、アプリの利用を制限する ・Tips 6:XPマシンの接続は制限されたプライベートなネットワー
フォレンジックは「オワコン」なのか?
2014年2月16日、東京都内のClub atomで「AVTOKYO 2013.5」が開催された。これまでの秋口の開催とは異なる変則的な日程ながらも、会場には例年と変わらず大勢の人が集結。会場の外には出せない公開禁止セッションも含め、多彩なテーマで大いに盛り上がった。 フォレンジックはオワコンなのか? フォレンジック(ス)とは、もともとは犯罪捜査や法廷証拠といった意味を持った言葉だ。これが「コンピューターフォレンジック」となると、不正アクセスや情報漏えい、マルウェア感染といったセキュリティインシデントが発生した際に、ディスクやメモリを調査し、実際には何が起こり、原因は何だったかを突き止める作業のことを指す。 かつての、比較的スペックの限られた環境ではこうした調査を行うこともできた。しかし今、膨大な量のメモリダンプ解析を迫られるなど、あるフォレンジック解析の第一人者が漏らすところの「幸せでは
エキスパートが示す、これからのセキュリティ対策
2014年2月25日、東京・品川にて@IT編集部が主催するセミナー「@IT Security Live UP! 絶対に守らなければならないシステムがそこにはある」が開催された。 巧妙化する攻撃、管理対象の多様化、そして人材不足――企業が直面するセキュリティ上の課題は多い。この現状を踏まえてセミナーでは、企業が今取り組むべき対策、そして新たな脅威に備えこれから取り組むべき対策について、示唆に富む講演が行われた。このリポートではその一部を紹介する。 入口対策、出口対策に続く「データ」の保護を 「オラクルというとデータベースの会社、というイメージが強いが、実はそもそもの成り立ちからセキュリティを重視してきた」――オラクルはそう説明する。標的型攻撃など企業を狙う不正アクセスや内部犯行者の最終的な目的は、機密情報を盗み取ること。その目的を達成させないために、データそのものが保存されている「データベー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゼロから分かる「脆弱性」対策のキホン一覧
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
アノニマスが開発。インターネットなしでデータ通信を行える無線「AirChat」