パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
遠隔操作するマルウエアを使ったクラッカーによる冤罪事件、徐々に手口が明らかに | スラド セキュリティ
トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析、トレンドマイクロの分析などによると、手口は以下の様な物である。 まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込
Hotmailのパスワードは先頭16文字だけが認証に使われる | スラド セキュリティ
ストーリー by headless 2012年09月22日 17時48分 steveballmer@outlook.comからのメール 部門より Hotmailにログインする際、パスワードの先頭16文字だけを入力するように表示されることが本家/.で話題になっている(The Next Webの記事、 本家/.)。 現在、Hotmailにログインしようとすると「Microsoft アカウントのパスワードは、16 文字までの長さにします。16 文字より長いパスワードをお使いの場合は、最初の 16 文字を入力してください。」と表示される。Microsoftアカウントの設定画面でも、新たに16文字以上のパスワードを設定することはできない。 MicrosoftがOutlook.comのサービスを開始した際、Microsoftアカウントのパスワードは最大16文字とされており、Yahoo!アカウント(最大
平井弥之助氏、女川原発を津波から守った 1 人の男性から学べること | スラド セキュリティ
宮城県石巻市の女川原発は、福島第一原発と同じく東北の太平洋沿岸に立地し、東日本大震災では高さ 13 メートルの大津波に襲われたにも関わらず、福島第一原発のような事態に陥る事はなかった。津波から女川原発を守ったのは 1986 年に亡くなった元東北電力副社長、平井弥之助氏であったという (本家 /. 記事、The Mainichi Daily News の記事、毎日 jp 記事より) 。 869 年の貞観大津波を詳しく調べていた平井氏は、女川原発の設計段階で防波堤の高さは「12 メートルで充分」とする多数の意見に対して、たった 1 人で「14.8 メートル」を主張し続けていたとのこと。最終的には平井氏の執念が勝り 14.8 メートルの防波堤が採用されることとなったが、40 年後に高さ 13 メートル津波が襲来することになるとは。氏はさらに、引き波による水位低下も見越していたとのことで、取水路は
蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる | スラド セキュリティ
オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(本家/.、University of Twente公式サイト)。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
住基カード詐取にどう対応する ? | スラド セキュリティ
TOKYO Web の記事によると、偽造運転免許証を使って住民基本台帳カードを詐取する事件が都内で相次いでいるようだ (都内では少なくとも 11 区で 27 件 (未遂を含む) 発生しているとのこと) 。 住民票の転出・転入届けの甘さと、転出後は役所の通知は転出先に届けられるため本人が気づきにくい事を利用しているようだ。また不在老人の存在が多く確認されているように、本人の状況次第ではまったく気がつかないことも考えられる。この手口かどうかわからないが、不正に取得された住民基本台帳カードによりソフトバンクも被害を受け、住基カードを個人確認書類として扱わない方針になったようだ (孫社長のつぶやき) 。 この手の被害に遭うと、たとえば年金等の請求も転出先に届く。最近、税金の通知が来てないなとか思い当たる節はありませんか ? 年金支払いに空白期間が出来ると悲しいですよ。この犯罪手口、被害に気がつくタ
NoScriptにAdblock Plusを一部無効化させるコードが追加され問題になる | スラド セキュリティ
本家/.記事「NoScript Adds Subscriptions To Adblock Plus」でも話題になっているが、Firefox用の著名なアドオンとして知られる「NoScript」の作者(Giorgio Maone氏)が、「Adblock Plus」(広告を遮断するアドオン)の機能に制限を加えるコードを密かにNoScriptに追加して配布したことが発覚、非難の的となった。事の顛末は「NoScriptの全面譲歩で決着」で日本語で読むことができる。 事の始まりは、Adblock PlusがNoScriptのサイトに貼られている広告をブロック対象としたことからだった。NoScriptの作者は、これに対抗し、NoScriptのサイト上ではAdblock Plusが広告を遮断しないようにするコードをNoScriptの新バージョンに仕込んで、Mozilla Add-onsで配布した。 これ
安全かつ手軽にファイルをやりとりしたい場合、どうすればよい? | スラド セキュリティ
メールで重要な情報や外部に漏れては困るファイルをやりとりする際、ファイルをパスワード付きZIPにして添付し、別のメールでパスワードを送る、といったやり方をする人が居る。自分はこのやり方に意味があるのか?と常々疑問に思っていたのだが、日経ITproでこの方法について、「添付ファイルはパスワード付き暗号化」でいいのか」記事で問題提起がされていた。 しかし、これ以外に手軽かつ安全にファイルを送信するやり方もあまり思いつかない。頻繁にこのようなファイルをやりとりするなら、セキュアにファイルをやりとりできるサーバーを用意するなり、専用のサービスを利用するなりすれば良いのだが、頻度が少ない場合コスト的に現実的ではないと思う。 /.読者のみなさんは、安全にファイルをやりとりしたい場合、どのような手段を使っているのだろうか?
銀行口座のパスワードを顧客の許可なしに変更 | スラド セキュリティ
ストーリー by hayakawa 2008年08月30日 8時17分 ここまでするなら銀行側でパスワード払い出した方がよいのでは? 部門より BBCニュースに、銀行のパスワードを勝手に変えられてしまった顧客の話が載っている。本家/.でも取り上げられている。 英国のSteve Jetley氏は、旅行保険をめぐるロイズ銀行の対応に腹を立て、口座のパスワードを"Lloyds is pants"(ロイズは最低)」にしたところ、本人の知らないうちに行員によってパスワードが変更されてしまったとのこと。新しく設定されていたパスワードは、"No it's not"(そんなことはない)。銀行のコールセンターに問い合わせてこれを知ったJetley氏は、初めはなかなか笑えると思ったらしいが、改めて"Lloyds is pants"に戻そうとしたら「不適切」として認められなかったと立腹している。"pants"の
ASUS製ノートPCのリカバリDVDに機密資料やシリアルキークラックツールが混入 | スラド セキュリティ
ASUSのノートPCについてくる一部リカバリDVDに、ソフトウェアのシリアルキーをクラックするツールや、PCメーカーだけに提供されるマイクロソフトの非公開資料、ASUSのソフトウェアのソースコードやASUSの内部資料などが混入していたことが発覚した(PC Pro記事、本家/.記事、スクリーンショット)。 PC Proの記事によると、英国内のあるASUSユーザーがリカバリDVD内のファイルにアクセスしたところ、アンチウイルスソフトがリカバリDVDに含まれていたシリアルキークラックツールに反応し、それによってこの事実が発覚したそうだ。 また、リカバリディスクにはそのほかにも下記のようなファイルが含まれていたとのこと。 Crackというディレクトリ下に他ソフトウェアのシリアル番号らしき情報 PCメーカー向けのマイクロソフト機密資料多数(プログラムファイルやキー情報含む) ASUSソフトウェアのソ
深夜まで働く技術者の自己防衛術とは? | スラド セキュリティ
builder by ZDNet Japanに、「夜遅くまで残業する技術者たちへ — 身の安全を図るための10の自己防衛術」という翻訳記事が掲載されています。 この記事では、「深夜に出歩く技術者が犯罪に巻き込まれないようにする」ための方法を紹介するもので、「注意を払おう」「万一の際の行動を考えておく」といった心構え的なものや、「大きな音を出せるようにしておく」「自分が使える武器を考えておく」「護身術の講習を受ける」といった有事の際の対策など、10の防衛術を紹介しています。 技術者向けにこのような記事が作られるとは、本当に米国は恐ろしいなぁ、とか思う反面、日本も最近治安が悪くなっているという話もあり、われわれ技術者も自己防衛術を考えていた方がよいのだろうか、などと思ってしまいます。 /.erみなさんは、何か自己防衛のためのすべを考えていらっしゃるでしょうか? # ハードワーカーが自身の健康を
簡単に盗聴できるアナログ式コードレス電話機にご注意を | スラド セキュリティ
ストーリー by hylom 2008年08月18日 12時28分 壊れないからそのまま使い続けられている? 部門より 埼玉県深谷市の公共施設で、簡単に盗聴できてしまうアナログ式のコードレス電話機が使用されていることが発覚し、問題となっている(CNET Japanの記事)。 このようなアナログ式のコードレス電話は、市販されている無線受信機で簡単に盗聴できる可能性が高く、深谷市でも実際に試してみたところ、庁舎外でも会話がはっきりと聞こえたそうだ。 最悪の場合、盗聴により個人情報などの機密情報が漏れる可能性もあり、総務省は全国の自治体に対策を講じるよう通達を出したとのこと。 企業では有線のいわゆるビジネスホンなどが多く、また最近のコードレス電話機はほとんどがデジタル式のため、アナログ式コードレス電話機を使っているユーザーは多くないとは思うが、もしアナログのコードレス電話を使っている方は気を付け
クリップボードを乗っ取る悪質Flash広告が登場 | スラド セキュリティ
FlashのSystem.setClipboard()メソッドを悪用し、クリップボードの内容を偽セキュリティソフト配布用URLで上書きする悪質なFlash広告が確認されている(IT Proの記事、sofos.com、本家/.)。 このFlash広告は通常のサイト(Newsweek/Digg/MSNBCなどで確認されている)に掲載されており、そのサイトにアクセスすると偽セキュリティソフト配布サイトのURLがクリップボードにコピーされてしまう。この状態でWebブラウザのアドレスバーにペーストしページを表示させると、偽セキュリティソフトの配布サイトにアクセスしてしまう。メールや掲示板などからURLをコピペするのは頻繁に行われる動作であり、またユーザが普段からアクセスしているサイトに仕込まれる形となっているため被害に繋がっているようだ。 なお、本家にてこの手法の無害なデモ版が紹介されている。 注)
企業のメール、「180日以上前のメールは削除」だったらどうする? | スラド セキュリティ
ストーリー by hayakawa 2008年07月29日 12時49分 届いたメールをWordファイルに変換するマクロを作らねば…… 部門より 本家/.の記事(Are There Any Smart E-mail Retention Policies?)によると、訴訟や訴訟時の証拠開示に関する企業の法的リスクを下げる試みとして、メールの強制破棄という方針を打ち出す企業が出てきているようだ。 本家タレコミ人の勤める大企業でも、180日以上前のメールは破棄するとの方針を決定したとのこと。ハードディスクなどにアーカイブして削除を免れたいところだが、Exchangeサーバのコンフィグで.PSTファイルへのオフラインコピーが出来ないよう設定されている。なお、会社のポリシーでは重要なメールはWordドキュメントとして保存することを推奨しているという。このようなポリシーを本当に実施している企業などある
通信機能を備えた心臓ペースメーカー、クラックされる可能性あり | スラド セキュリティ
母親がペースメーカ埋め込み手術して手術室から戻った直後に、エンジニア?が2人で病室に来て、 埋め込んだあたりに手のひら大の金属のリング載せてノートPCつないでモニタリングと設定らしきことをしてました。 近くで見られなかったのでよくわかりませんでしたが、グラフ表示の様子からみてかなり細かいデータがとれていそう。 埋め込み後のモニターや設定のために端子とか外に出すんだろうか、まさかいちいち切り開くのだろうかと術前に心配してましたが、 ああやって非接触で測定できるのかと感心しました。 (母によると埋め込んで数ヶ月でペースメーカは体の中に沈み込んできたそうで、位置が変わるのでは外部との有線接続は難しいかも。) しかしその後の通常の医者の診察では普通の生身の人間のように脈を測ったりして正常に動作していることを 結果として知るのみで、詳しく知りたいときはやはりエンジニア呼んで測定器を載せて調べるようで
「顔認証」のたばこ自販機に、「雑誌の顔写真で認証が通る」脆弱性発覚 | スラド セキュリティ
「顔認証」によって年齢を認証して成年者のみにタバコを販売するという自販機が、関西を中心にテスト設置されているそうだが、その顔認証自販機に「雑誌などの顔写真をかざすことで未成年でもタバコを購入できてしまう」という脆弱性があることが「サンケイスポーツ」で報告されている。 報告によると、雑誌に掲載されていた15センチほどの50代男性の顔写真を自販機の認証用のカメラにかざしたところ、問題なく認証に成功してしまったとのことだ。また、8センチほどのサイズの、30歳過ぎ女性タレントの顔写真でも購入が可能だったとも報告されている。ただし、あまりにも小さい写真だと成功しないようで、3センチほどの写真では失敗したそうだ。 この脆弱性はメーカーも認識しているとのことで、現在生体確認が必要なバージョンを開発中、とのこと。未成年者のたばこ購入は健康障害へのリスクが高いため、早急な対策が望まれるところだ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
