GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと（Google Developers Blog）。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。 WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる（ただし確認画面は表示される）点がメリットだとされている。 WebVie

Brigham Young University（BYU）がGoogle Chromeの開発者らと共同で行った研究結果によると、最大9割の人がソフトウェアの表示する警告メッセージを無視しているという（PHYS.ORG、Slashdot、論文要旨）。 論文によると、Webページを閉じるときのポップアップ警告については74％が無視、動画を見ている最中の警告は79％が無視、情報を転送するかどうかの確認については87％もの人が無視していたという。 多くのソフトウェアでは、ユーザーが行っている操作に関係なく強制的に警告メッセージを表示する。しかし、人間の脳はマルチタスクには向いていないため、このようなメッセージは無視される傾向が高いという。 警告の表示タイミングを工夫することによって、この問題を緩和させることは可能だそうだ。具体的には、動画の再生後に表示させたり、ページのロード時間中に表示させたり、

北海道・道立総合研究機構（道総研）が16日、同組織内のPCがウイルスに感染し外部と不正通信を行っていたことを発表した（発表資料、北海道新聞）。 ウイルスに感染したPCは音響用データ分析に用いられていたもので、種類や感染経路は調査中とのこと。北海道新聞によると、このPCはOSとしてWindows XPを使用しており、またインターネットへの接続も行っていたという。PC内には騒音等の音響データや当該パソコンを使用している職員の出張計画などの情報が保存されていたが、当該職員以外の個人情報や機密情報に該当する情報は保存されていたかったとのこと。 同機構は再発防止策として「今後は、ウィルスに感染する恐れのあるサイトの閲覧や標的型メールに対する注意喚起など情報セキュリティ意識の向上に関し、職員に対して、改めて通知するとともに、研修等を通じて情報セキュリティの向上を図りながら、再発防止に努めてまいります。

とりあえず CVE-2016-5696 [mitre.org] についての幾つかのディストリビューションへのリンク Debian [debian.org] ほとんど全部？ Ubuntu [canonical.com] デフォルトのパッケージだとほぼ全部？ RHEL/CentOS [redhat.com] 6/7, MRG 2 SUSE [suse.com] 12, 11 SP3 and SP4 Register のリンク先ではワークアラウンドとして tcp_challenge_ack_limit に大きい値を設定するというのが紹介されています。999999999 の箇所は Akamai blog [akamai.com] では 1073741823になっています。大きければ良さそう。（デフォルトは 100？） As a workaround while patches to fix the

マーク・ザッカーバーグ氏のTwitterアカウントとPinterestアカウントが一時乗っ取られた。実行したOurMine Teamでは、LinkedInから流出したパスワードを使用したと主張しているそうだ（VentureBeat、Guardian、Softpedia）。 LinkedInでは2012年に情報流出事件が発生したが、この際に別途取得したというアカウント情報が売りに出されていたことが5月に報じられている。2012年当時は約650万件の暗号化されたパスワードファイル（SHA-1、ソルトなし）のみがオンラインで公開され、LinkedInでは具体的な流出数を明らかにしていなかった。しかし、ダークウェブで売り出されたアカウント情報は1億6,700万件。このうち1億1,700万件はメールアドレスと暗号化されたパスワードが含まれていたという。 LinkedInでは影響を受けるユーザーのパス

B-CASカードを利用せず、無料で有料放送の視聴を可能にするプログラム「FreeCAS」を独自に開発したという17歳少年が、不正競争防止法違反（技術的制限手段回避装置の提供）容疑で逮捕された。有料放送を無料で視聴できるよう改造したB-CASカードを販売して摘発された例はすでに何件もあるが、B-CASカードを使用しないで有料放送を視聴できるようにしたプログラムでの摘発は全国初だという（日経新聞、NHK、朝日新聞）。 この少年はデジタル放送の仕様書を読むなどして、独自にプログラムを作成したと見られている。このプログラムを利用した放送の視聴には別途暗号鍵の情報が必要だが、この情報はネットで不正に公開されているという。

店頭に展示されているデモ用のPCでネットサービスにログインし、そのままログアウトせずに放置されるケースがあるようだ（セキュリティホールmemo、ツクモ名古屋1号店のTwitter）。 ツクモ名古屋1号店のTwitterではMicrosoftアカウントでのログインにより客のメールが読めてしまう状態になっていたことがあったと報告されている。なお、Windows 10ではPCのアカウントとMicrosoftアカウントを連携させる機能があるため、Microsoftアカウントでログインしてしまうと展示機を初期化せざるを得ないという。また、学生がLINEにログインしようとするケースも多いという。 他人の端末にうかつにログインする方もアレだけど、一度ログインしたらデータが残って他人に再利用されてしまう仕様になっているアプリやシステムも相変わらず御盛況でなにより。このままだと、レベッカさんも浮かばれそうに

ストーリー by hylom 2016年03月25日 8時00分 システム構築コストがかからないというメリットはあるものの 部門より 厚生労働省が「保育制度全般の改善について　あなたの声を　お聞かせください」という意見募集を行っている。表題のとおり、保育制度全般の改善について一般から意見を求めるものだが、送信の際は公開されているWord形式ドキュメントに意見や必要事項を記入してメールで送るという形になっている。これに対し、「入力も手間ながら集計する担当者は大変だし標的型攻撃の餌食だろと思うのだが」といった意見が出ている。 そもそもPCやWordがないと送信できないという問題もあるのだが、どのような形式が望ましいのだろうか。

AgileBitsは16日、1Passwordの家族向け月額プラン「1Password for Families」を発表した(AgileBits Blogの記事、 The Vergeの記事、 9to5Macの記事、 TNW Newsの記事)。 1Password for Familiesは月額5ドルで家族5人までが使用でき、利用可能なデバイスの台数に制限はない。家族は個別の保管場所を利用できるほか、アクセス制限を設定してパスワードなどを共有することも可能だ。家族で共通して利用するサービスのパスワード変更を全員に反映させたり、家族がパスワードを忘れた場合や誤って削除した場合にリセット/復元をしたりといったことも可能となるようだ。また、ドキュメントを保存・共有可能な暗号化ストレージ領域1GBが提供され、追加料金なしに各OS用のアプリを利用できる。 最初の1か月は無料で利用できるほか、3月21日

米国家安全保障局（NSA）のマイケル・ロジャース局長が、「暗号化技術がなかったら、昨年11月のパリ同時多発テロは起きなかっただろう」と発言していたという（Ars Technica、Slashdot）。 テロリストは行動計画の連絡のために暗号化技術を使用し、そのためにテロ計画を事前に察知できなかったと、というのが氏の主張だ。しかし、フランス当局は「テロリストは暗号化されたメッセージングアプリではなく、標準的なメッセンジャーを使用していた」と発表しており、この主張は矛盾する部分があるようだ。 なお、同氏はFBIが主導している暗号化のバックドア義務化については「時間の無駄」だとして一定の距離を置いている。しかし、暗号化がNSAと法執行機関の仕事をより困難にしていることは間違いないと語っている。

ビットコインでは、「ウォレット（Wallet）」と呼ばれるツールで所有するビットコイン残高を管理するのが一般的だ。ウォレットにはバックアップ等に使われる「Brain wallet」という仕組みがあり、これを利用することで使用しているウォレットツールに万が一アクセスできなくなった場合でも、別のツールなどに情報を引き継ぐことが可能になる。このBrain walletで使われているパスフレーズを、高速かつ安価に解析する方法が発見されたという（SoftPedia、解説論文PDF、Slashdot）。 Brain walletは、任意の文字列（パスフレーズ）から生成された256ビットのハッシュを暗号鍵として使用する仕組み。256ビットのバイナリデータをデジタルデータ以外の形で管理するのは大変だが、文字列であれば管理しやすいため「脳で管理できるウォレット」という意味で「Brain wallet」と呼ば

JCBの会員専用WEBサービスMyJCBが、「秘密の合い言葉」いわゆる「秘密の質問」による本人様確認を3月に開始するという。事前の登録は2月3日から始まっている（MyJCBサイト内の説明ページ）。 秘密の合い言葉は、ログイン時に普段と異なる利用環境と判断された場合に必要。「答え」は変更可能だが、「質問」はあらかじめ設定されたものの中から選ぶ方式。「秘密の質問」の危険性は過去に何度も問題になっており、IPAは利用者が「質問」を自由に記述できるようにすることなどをサービス提供者に求めている。

今年1月、他人名義の住民基本台帳カード（住基カード）を使って別人に成りすまし交通違反を免れようとした京都市の医師が逮捕されるという事件があった（読売新聞）。この事件は交通違反時に「免許証を忘れた」として他人名義の住基カードを提示して交通違反切符に署名を行ったというもの。使われた住基カードに記載された顔写真は容疑者本人のものだったが、名前や住所はこの医師が経営する病院の男性患者のものだったという。 住基カードは健康保険証など顔写真のない身分証2点を提示すれば申請できたとのことで、これを悪用して自身の顔写真入り住基カードが作成されたようだ。そして、これと同様に個人番号カード（マイナンバーカード）も、個人番号が分かれば顔写真のない身分証だけで作成できてしまうという（産経新聞）。 顔写真入り身分証を持たない人への交付を行えるようにするためにこのような仕組みになっているようだ。しかし、マイナンバーカ

シマンテックが新しいAndroidランサムウェアの亜種を発見した。このランサムウェアには「Android.Lockdroid.E」という名称が付けられている（Symantec、SoftPedia、Slashdot）。 このランサムウェアはアダルト系アプリを装っており、インストールして実行するとGoogle関連のパッケージをインストールするという旨の画面が表示されて「Continue」ボタンをクリックするよう促されるのだが、このウィンドウはアプリに管理権限を与えるかどうかを確認する画面に重ねて表示されており、ここで「Continue」ボタンをタップすると管理権限を与えるウィンドウの「有効にする」ボタンをタップすることになってしまうそうだ。 管理者権限を取得した後はデバイスをロックし暗証番号を変更。さらに出荷時設定にリセットしてユーザーデータをすべて削除するという。 Android 5.0では

AV-TESTの2015年12月分テスト結果によると、Windows DefenderがMicrosoft Security Essentialsや企業向けのEndpoint Protectionを含むMicrosoftのセキュリティー製品で過去最高スコアとなる15.5点を獲得している(Test antivirus software for Windows 8 — December 2015、 PC Magazineの記事、 Neowinの記事)。 今回のテストは64ビット版のWindows 8.1 Professional上で行われ、実施期間は2015年11月から12月。20本の個人向けセキュリティー製品が対象となっている。各製品はデフォルト設定で、テスト時点での最新版が使われる。 テストはゼロデイ攻撃からの保護性能と既知のマルウェア検出率を評価する「Protection」、パフォーマン

ストーリー by hylom 2016年01月28日 19時14分 と言われても一般人が簡単に対策できるようになるとは思えないわけで 部門より 2013年にインターネットに接続されたデバイスを検索できる検索エンジン「Shodan」が話題になった。Shodanはサーバやウェブカメラ、プリンタ、ルータなどインターネットに接続されている機器を検索できるサイトだが、これが最近また議論になっているようだ（Ars Technica、boingboing、Slashdot）。 ShodanはHTTPポートで使われる80番ポートやFTP（21番）、SSH（22番）、Telnet（23番）、SNMP（161番）、SIP（5060番）といったプロトコルを指定して検索が行えるという。インターネット上に存在するIoTデバイスを見つけ出すことも可能で、ビデオ共有プロトコル（RTSP、ポート554）を介して共有されて

バイドゥが提供しているAndroid向け日本語変換ソフト「Shimeji」にバックドアがあるという話を読売新聞が報じている。 問題とされているのは、昨年11月に話題になったBaiduのAndroid用SDK『Moplus』にバックドア」およびその後報じられた「Baiduの『Simejiプライバシーロック』に脆弱性」の話のようだ。これに対しバイドゥは誤報道であるという声明を発表。バックドアではなく一時的に脆弱性があっただけとしている。 ただ、「【悲報】8月に広告が問題になった百度のSimejiアプリにMoPlusと同じ脆弱性がある事が発覚(現在は修正済み)」という話もあるので、読売新聞の指摘が完全に間違っているという話ではなさそうだ。