Voice assistants in general are having an existential moment, and generative AI is poised to be the logical successor.

2016年2月17日に公開されたGNU Cライブラリの複数の脆弱性の内、CVE-2015-7547*1は任意のコードが実行可能であるとしてGoogleが報告しています。ここではこれら脆弱性に関連する情報をまとめます。 脆弱性情報 Vulnerability Note VU#457759 glibc vulnerable to stack buffer overflow in DNS resolver JVNVU#97236594: glibc にバッファオーバーフローの脆弱性 CVE CVE-2015-7547 CVE-2015-8776 CVE-2015-8778 CVE-2015-8779 影響 DoS/RCE DoS DoS DoS 重要度 High Low Low Low ステータス PoC公開 PoC公開 PoC公開 PoC公開 対策 修正版へ更新 修正版へ更新 修正版へ更新 修

ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ

「データベースセキュリティ」の視点から見る「ユーザー管理」「監査証跡（ログ）管理」のポイント：システムインテグレーションとセキュリティ（1）（1/3 ページ） システムの開発・運用に携わっているけれど、セキュリティに少し不安がある。そんなシステム担当者の方は多いのではないでしょうか？ 本連載「システムインテグレーションとセキュリティ」では、“SI視点”に立って、システム担当者が考慮すべきセキュリティ上のポイントについて、身近な例を取り上げながら分かりやすく解説します。最初のテーマは、「データベースセキュリティ」です。 連載目次 SI視点で見るセキュリティ 昨今、企業や機関への外部からの不正侵入やDDoS攻撃、または内部不正による情報資産の漏えいなど、情報セキュリティに対する脅威が世界的に拡大しています。そのため、システムインテグレーションとセキュリティの関係も、今まで以上に密接になっていま

経緯と概要 当社が運営する緊急対応サービス「サイバー119」は、昨年の後半より複数の大手企業様より遠隔操作ウイルスに関連する対応要請を受け、調査を行ってまいりました。 これらの事案で発見された遠隔操作ウイルスを調査したところ、攻撃者がインターネット側から企業内ネットワークで動作する遠隔操作ウイルスを操る際に、DNSプロトコルを使用するDNSトンネリングとも言われる手口を利用していることが確認されました。 これまでの代表的な遠隔操作ウイルスにおいては、Web閲覧で用いられるHTTP（S）プロトコルを使用し、Webサーバを模した指令サーバを使用しています。しかしながら今回はDNSサーバを模した指令サーバを構築していることが確認されました。 図1：Web閲覧におけるDNSの動き DNSプロトコルはインターネットにおいて、ドメイン名（FQDN）からIPアドレスなどの情報を得るためにDNSサーバとの

Linuxカーネルに2012年から存在していた脆弱性をセキュリティ企業が発見。Linux搭載のPCやサーバ数千万台と、Androidデバイスの66％が影響を受けるという。 イスラエルのセキュリティ企業Perception Pointは、Linuxカーネルに2012年から存在していた深刻な脆弱性を発見したと発表した。Linux搭載のPCやサーバ数千万台と、Androidデバイスの66％が影響を受けるとしている。 Perception Pointのブログによると、脆弱性はセキュリティデータや認証鍵、暗号鍵といったデータの保持やキャッシュに使われる「キーリング」において、現行セッションのキーリングを置き換えるプロセスに存在する。 悪用された場合、ローカルユーザーにroot特権を取得されたり、コードを実行されたりする恐れがある。 この脆弱性はLinuxカーネル3.8以降のバージョンに存在していると

0. 簡単なSLOTH攻撃のまとめ 最初に簡単なまとめを書いておきます。長文になりそうなので、読むのが大変な方はここだけ見ておいてください。 MD5ハッシュは既に安全ではなく、証明書の署名方式での利用は停止されていたが、後方互換のためハンドシェイクデータの署名方式にRSA-MD5が今でも利用できるTLS実装が幾つか存在していた(Firefox NSS, Java等)。 先週、INRIAグループからハッシュ衝突を利用して実際にTLSを破る攻撃(SLOTH)が公開された。それを受け、いくつかの実装でRSA-MD5を完全に利用不能にする修正が行われた(CVE-2015-7575)。 SLOTHでは、SHA1やTLS、IKE、SSHに対する攻撃についても評価を行い、幾つかは全く現実的に不可能なレベルではないことが示された。MD5とSHA-1でTLSハンドシェイクの完全性を担保しているTLS1.0/

国内でも昨年末に話題になったランサムウェア「TeslaCrypt」通称「vvv」ウイルス。 本ブログでも実際に感染してみるというエントリーを掲載しました。 このマルウェアに感染すると特定の拡張子を持つファイルが暗号化され金銭を要求されるのですが そちらの復号方法について海外サイトで言及されていましたので 本ブログでも手順を参考にしならが復号の可否を検証しました。 一部、一次情報のサイトとは手順が異なる部分があります。 今回用いる復号スクリプトは「TeslaCrack」というものでこちらで公開されています。 【環境の構築】 まず、復号するために必要な情報を収集するための環境を整えます。 まずは、復号処理を行うスクリプトがPythonで記述されているため現時点での最新版である「2.7.11」をインストールしました。 インストールが完了したら次に「easy_install」をダウンロードし以下の

お久しぶりです、五島夕夏です！ 以前にセキュリティのプロである徳丸浩先生の一日に密着し、たくさんのセキュリティテクニックを勉強してきました。 今回、またセキュリティに関するお話を聞けるということで、『NO MORE 情報漏えい』を運営するMOTEXさんのオフィスにやってきました！ それでは、さっそく徳丸先生のもとへ行きましょう！ 徳丸先生、おじゃましまーす！ 徳丸先生 「やあ夕夏さん、こんにちは。セキュリティのプロ、徳丸です。今日も変わらず綺麗だね」 徳丸 浩（とくまる ひろし）先生HASHコンサルティング株式会社・代表取締役。セキュリティのプロ。システムの脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動も行うすごい人。 ゆうか 「先生、お久しぶりです。先日はいろいろと教えていただいてありがとうございました。今日もまたセキュリティについてたくさん

Ransom32はNW.jsを使って「chrome.exe」という名称の実行可能ファイルとしてパッケージ化されており、被害者のコンピュータに感染するとファイルを暗号化してビットコインで身代金を要求する。取引が成立するごとにRansom32の作者が25％のコミッションを受け取る仕組みだという。 管理用インタフェースも提供され、被害者のコンピュータに表示する警告の内容や、要求する金額などを設定することも可能。感染させた台数や、身代金として受け取ったビットコインの総額なども集計できる。 現時点でRansom32はWindowsのみを標的としている様子だが、同じJavaScriptを異なるプラットフォームで実行できるというNW.jsの特性を利用すれば、LinuxやMac OS Xに対応させることも容易だという。 こうしたマルウェアを食い止める方法として米SANS Internet Storm Ce

前回は、個人番号カードのICチップ機能、特にその目玉である公的個人認証サービスの主な機能を紹介した。今回は、住基カードと比較した公的個人認証の技術仕様の変更点について、新たに搭載された「PINなし認証」を中心に解説する。 暗号強化、個人認証の電子証明書は2種類に 個人番号カードのICチップにインストールされる公的個人認証アプリは、住基カードで使われた同アプリのアップデート版である。このアプリの中に、個人を認証するための電子証明書が組み込まれる。 住基カードにおける電子証明書は、カード自体の発行とは別に、証明書の発行を申請した個人にのみ発行する、いわば「オプトイン型」の発行だった。 個人番号カードでは、カード交付申請書にある「電子証明書の発行を希望しない」の欄にチェックを入れない限り、電子証明書が自動的に組み込まれる「オプトアウト型」になる（図1）。

マイナンバー制度の運用が始まる中、カード発行を担う地方公共団体情報システム機構のプログラムに誤りがあったことが３１日、分かった。システム不備が確認されたのは初めて。関係者が明らかにした。東京都葛飾区のマイナンバー通知カード約５千世帯分が未作成だったにもかかわらず、機構のシステム上では正常終了と認識されていた。機構は誤りを修正したが、区に対し具体的なミス原因の情報開示を拒否。総務省は本体カード配布で同じミスが発生することを危惧してシステムの再点検を指示したが、機構の隠蔽（いんぺい）体質が早くも浮き彫りになった。 関係者によると、機構が平成２７年１０月、葛飾区から持ち込まれた住民データを「継続サーバー」から「管理サーバー」に移行した時にシステムが一時停止した。その際、実際にデータ処理が行われていなかったにもかかわらず、機構のコンピューター端末上では「終了」と表示されていた。葛飾区分のデータ移

2015年12月30日、報道各社が健康保険証などの個人情報が流出し、一部名簿業者に転売されていたとして報じました。ここでは関連情報をまとめます。 公式発表 2016年5月31日 [PDF] 被保険者証の記号及び番号を含む個人情報流出次案に係る調査結果の概要及び被保険者証の記号及び番号の変更対応等について（依頼）【全国健康保険協会あて】 2016年5月31日 [PDF] 被保険者証の記号及び番号を含む個人情報流出次案に係る調査結果の概要及び被保険者証の記号及び番号の変更対応等について（依頼）【健康保険組合あて】 2016年5月31日 [PDF] 被保険者証の記号及び番号を含む個人情報流出次案に係る調査結果の概要及び被保険者証の記号及び番号の変更対応等について（依頼）【国民健康保険組合あて】 2016年5月31日 [PDF] 医療機関等における個人情報の適切な取扱いについて（再周知） タイムラ

堺市は12月14日、2011年の大阪府知事選時の有権者データ約68万人分を含むファイルが外部に流出したことが分かったと発表した。課長補佐（59）が無断で自宅に持ち帰り、民間のレンタルサーバに保存し、外部からアクセスされていたという。 課長補佐は14日付で懲戒免職処分にした上、「前例のない規模の個人情報流出を招き、市政に対する信頼を大きく失墜させた」として刑事告訴も検討。調査費用などは課長補佐に請求するという。 流出が分かったのは、11年の府知事選時の全有権者68万2524人の氏名、性別、年齢、生年月日、郵便番号。選挙ポスター掲示場所の貸し主一覧などのファイルも含まれていた。流出による被害は現在までに確認されていないという。 市によると、会計室の課長補佐が無断で自宅に持ち帰り、個人で契約したレンタルサーバの公開部分に保存。今年4月から6月までネット上で閲覧可能な状態になっていたという。 デー

出会い系サイト運営者と繋がりのある方より直接話を聞くことができました。 文才がないながらも出来るだけ当事者側からの目線で解説したいと思います。 先に言いますが、本件は出会い系サイト自身が被害者でもありますので、「出会い系サイトなんて全部サクラサイトだろ?」みたいな先入観をお持ちの方は一旦捨てて頂くと理解しやすいかと思います。真っ当に運営されている出会い系サイトが被害者です。 まず流出したであろう情報とは何なのか?「残高照会ダイヤル」は、契約者が持つ口座の残高や、通帳に「印字されうる」取引明細も音声で知ることができます。例えば 「27-11-27 振込 フグタマスオ *30,000」 「27-11-30 振込 イソノカツオ *10,000」 このような入出金の取引を、音声で知ることができます。 もちろん契約者(契約団体)自身しかアクセスできないはずの情報なわけですが、この残高照会ダイヤルの操

apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuite です。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH

Windows OSには標準で多数のコマンド(以下「Windowsコマンド」といいます。)がインストールされています。しかし、ユーザが実際に利用するのは多くの場合そのうちのごく一部です。一方、侵入した攻撃者も情報を収集し、あるいはネットワーク内で感染を拡大させるためにWindowsコマンドを使っていることをJPCERT/CCの調査で確認しています。ここで注目されるのは、普通の利用者が使うWindowsコマンドの集合と攻撃者が使うWindowsコマンドの集合のずれです。両者が大きく違っていれば、Windowsコマンドの実行状況を監視または管理することで、攻撃者の動きを検知あるいは抑制できることになります。 今回は、攻撃者が侵入したWindows OS上で使用するWindowsコマンドを明らかにし、攻撃者は使うが各ユーザにとっては不要なWindowsコマンドの実行を制限することで、攻撃による影

2015年11月30日に、三菱東京UFJ銀行が同銀行の電話案内サービスを通じて特定口座へ振り込んだ人の電話番号が漏えいした可能性が高いと発表しました。ここでは関連情報をまとめます。 公式発表 2015年11月30日 [PDF] 会員制サイト等の利用者として入力された電話番号の漏えいについて 2015年11月30日 「振込依頼人名」として電話番号を入力したことがある方は架空請求詐欺にご注意ください！ (魚拓) 2016年1月6日 [PDF] 会員制サイト等の利用者として入力された電話番号の漏えいについて（その 2） 被害を受けた残高照会ダイヤル(テレフォンバンキング) http://direct.bk.mufg.jp/btm/banking/telephonebanking.html 注意喚起 三菱東京ＵＦＪ銀行「口座振込サービス【個人情報流出に伴う架空請求への注意喚起】」 (国民生活センタ