ディスプレイをハックして表示内容の監視や改変を行う手法が開発される | スラド セキュリティ
PC用のディスプレイのファームウェアを外部から書き換えることで、表示する内容を遠隔監視したり、表示内容を操作するという攻撃手法がセキュリティ研究者らによって開発された(MOTHERBOARD)。 これは8月4日から7日にかけて開催されたDEF CON 24で発表されたもの。最近のPC用ディスプレイでは、表示設定を行うためのOSD(オンスクリーンディスプレイ)の実装のためにプロセッサを内蔵しているものが多い。このプロセッサにはディスプレイのパラメータ変更やディスプレイの表示内容の操作といった機能に加えて、任意のコードを実行することもできるという。 発表ではDellの一般的なディスプレイを使い、特別に細工された画像や文書内にエンコードしたコードおよびデータをディスプレイ内にロードさせ、表示内容を遠隔から取得したり操作するデモも行われたようだ。
海賊が船会社のサーバーから積荷の情報を取得、船を攻撃して高価な積荷だけを奪う | スラド セキュリティ
VerizonのRISK Teamが調査を手掛けたサイバーセキュリティー事件の中に、海賊が船会社のサーバーに侵入したというものがあるそうだ(Verizonのリポート: PDF、 Ars Technicaの記事、 The Registerの記事、 Softpediaの記事)。 RISK Teamは国際的な海運コングロマリットから、海賊に過去数か月悩まされているという相談を受けた。外洋での海賊行為は珍しくないが、船を乗っ取って船員を人質に取り、身代金を要求する一般的な海賊とは異なっていたそうだ。海賊は船に乗り込んで船員らを一か所に集めると、バーコードをチェックして高価な積荷を特定し、中身だけを短時間で持ち去っていたという。 RISK Teamが調査を行ったところ、被害者は自社で開発したWebベースのコンテンツマネージメントシステム(CMS)を使用して積荷や伝票を管理していることが判明。海賊はC
Windows XPの世界シェア、来年4月時点で27%以上の可能性も | スラド セキュリティ
Net Applicationsのデータによると、1月に39.51%だったWindows XPの世界シェアは9月には31.42%にまで低下。7月から9月では6ポイント低下しており、来年4月のサポート終了までに21%程度になると予測された。しかし、9月から11月ではほぼ横ばいの状態が続き、このままでは来年4月時点で27%以上がWindows XPのままである可能性があるそうだ(Computerworldの記事、 PC Proの記事、 本家/.)。 サポート終了後は修正プログラムが提供されなくなるだけでなく、Windows 7以降向けに提供される修正プログラムを解析してWindows XPに対する攻撃プログラムが作成される可能性があるとMicrosoftは予測している。2012年7月から2013年7月の間にマイクロソフトセキュリティ情報に掲載されたWindows XPの脆弱性は45件。このうち
遠隔操作するマルウエアを使ったクラッカーによる冤罪事件、徐々に手口が明らかに | スラド セキュリティ
トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析、トレンドマイクロの分析などによると、手口は以下の様な物である。 まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込
Wall Street Journalが内部告発者向けのサイトを立ち上げ | スラド セキュリティ
米国の大手新聞社Wall Street Journal(WSJ)が、内部告発者向けのサイト「WSJ SafeHouse」を立ち上げた (Forbesの記事、 AFPBB Newsの記事)。 このSafeHouseは「Wall Street Journalとのセキュアな情報共有サイト」と題されており、送付された情報はWSJの記者や編集者が調査、フォローアップを行うという。データとしてはテキストから音声、写真まで、ほぼすべてのフォーマットを受け付けるとしている。 なお、情報の送信は匿名で可能だが、匿名性が必要でない場合は連絡先付きでの送信を勧める、としている。
サイバー犯罪は非Windows OSにターゲットをシフト | スラド セキュリティ
Cisco 2010 Annual Security Reportによると、サイバー犯罪のターゲットは非Windows OSへとシフトしているそうだ( Help Net Securityの記事、 本家/.)。 これまでサイバー犯罪者の資金源となっていたパソコン - 特にWindowsマシン - は年々セキュリティが強化されている上、さまざまな「アプリ」を実行可能なモバイルデバイスが台頭している状況を考えれば当然と言えるだろう。また2010年はインターネット史上初めてスパムが減少した年であり、国際的な資金洗浄の手先として利用される人々への勧誘がさらに活発化した年でもあると報告している。 サイバー犯罪者は目的を達成するために、コンピューター技術だけでなくソーシャルエンジニアリングも駆使する。特に人間の7つの弱点「性的なアピール、欲、虚栄心、信用、怠惰、同情、緊急性」を悪用してつけ入ってくるとの
クレジットカードの信用情報、利用者自身がネットで調べられるように | スラド セキュリティ
数週間前の話題で恐縮だが、クレジットカード業界が保有する支払い状況などの信用情報をクレジットカード利用者本人がインターネットで調べられるサービスを、信用情報機関 CICが開始するとのこと (47NEWS の記事) 。 ここで言う信用情報とは利用残高、利用限度額、返済遅延など。詳しくは Wikipedia の項目: 信用情報を参照されたい。今年 6 月から、年収の 1/3 以上の融資を禁止する総量規制が開始された影響で利用者から「契約を断られた理由を知りたい」といった相談が増えていたそうだ。これまでも CIC に請求を行えば情報開示を行えたが、国内 7 箇所ある本支店に出向く (あるいは一週間かかる郵送で送ってもらう) と使い勝手が良くなかったため、インターネット上でのサービスをという流れのようだ。 先日来の住基カード詐取問題もあり、リアルでの本人確認の精度も揺らいでいる中、インターネット経
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック | スラド セキュリティ
TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。 HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。 現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」というこ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
