ロシアのハッカーらが、米イリノイ州・Springfield市の水道供給施設のシステムに侵入、リモートからポンプを操作して破壊したそうだ（MailOnline）。 ハッカーらはログイン名およびパスワードを盗み、これを用いてネットワークに侵入（侵入したハッカーが盗んだのか、それともほかの者の手によって流出させられていたかは不明）。ポンプのオン･オフ操作を短期間に繰り返すことでポンプを破壊したと見られている。。また、異なる水道施設のコントロールシステムについてスクリーンショットを撮影・投稿しているハッカーもおり、このような事件は他にも発生する可能性があるという。 この事件は「ハッカーが重要なインフラを米国外からハックして破壊した最初の例である可能性が高い」とのことで、FBIやアメリカ合衆国国土安全保障省が捜査を行っているという。今回問題となっている制御システムはSCADAと呼ばれており、近年セキ

はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。

Atlanticに掲載されたJeffrey Goldberg氏のレポートによれば、TSA（アメリカ運輸保安庁）は、後方散乱X線装置による航空機搭乗時の身体検査を奨励するため、「手で探るように触れて」行う検査を故意に、より辱めるように行っているとのことらしい(/.本家)。 レポートの著者は、バルチモア・ワシントン国際空港で身体検査を受ける際、全身スキャンによる検査を拒否する代わりに、触診で検査を受けることとなった。TSA職員から事前に、触診による検査は規則が変わり、「抵抗（性器）」を感じる（に触れる）まで執拗に股の間を探るなど、以前と比べて極めて不快な検査を行うとの説明を受けている。そして、実際の触診検査では、事前説明の通り、経験したことのない程に執拗であったということだ。 全身スキャンは、裸を露にし、検査を受ける人が不快に感じるため敬遠されてしまう。そこで触診検査をより不快にすることで、利

セキュリティ関連のカンファレンス Black Hat にて、ATM をハイジャックして金を引き出す方法が発表されたそうだ。発表者は IOActive Labs 所属のリサーチディレクタ、Barnaby Jack氏 (Black Hat の発表概要、SFGate の記事) 。 Black Hat での発表では、スタンドアロンの ATM を使用して実際に ATM をハイジャックするデモを行ったそうだが、同様の手法で一般的な ATM についてもハイジャックが可能とのこと。 今回発表されたハイジャック手法は、ATM の筐体内部にアクセスするための (物理的な) 鍵を偽造するというもの。Jack 氏は一台数千ドルもする ATM を 3 台購入し、その鍵やインターネット上で公開されていた鍵の写真から、そのメーカーが製造した、そのモデルの ATM がすべて同じ鍵を使用していることを発見。これを用いて筐体

本家 /. 記事によると、IE8 の開発チームは、広告クライアントや広告サーバーによる Web ページ閲覧履歴のトラッキングを防ぐことができる「最高」なプライバシ保護機能を実装する計画を立てていたが、ユーザーの動向をトラッキングしたい Microsoft の広告チームの口出しにより、最終的にプライバシ保護機能は弱体化させられてしまったそうだ (元ネタの The Wall Street Journal 記事) 。 このプライバシ保護機能は当時のほかのブラウザと比べて圧倒的に先進的であり、「業界最先端」のものだったそうだ。しかし、Microsoft のオンライン広告関連ツールの提供や広告の仕入れ・販売を行う「Microsoft Advertising」部門を担当する役員がこの機能に対し「Web 広告の販売に影響する」と主張、議論の末にその機能は実装されないことになったそうだ。 なお、この新機能

今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと（LZH書庫のヘッダー処理における脆弱性について）。 Micco氏はこれをJVN（Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト）に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー， JVN / IPA 等共に『LZH 書庫なんて知らねぇ～よ』という態度から変わることはない」と判断できましたので， UNLHA32.DLL， UNARJ32.DLL， LHMelt の開発を中止す

スキミング犯罪者らは、偽ATMを設置するという手口で銀行のキャッシュカード情報を盗むこともあるそうだが、本家記事によるとセキュリティに敏感な人々の集まるDEFCON会場に偽ATMが設置され、あっさり見破られるという事件が起きていたそうだ。 設置者は、偽ATMをセキュリティカメラの死角に設置することまでは知恵が働いたようだが、ホテルでどのようなイベントが開催されるかまでは調べてはいなかったようだ。DEFCONのシニア・カンファレンス・オーガナイザーの話によると、会場のリビエラ・ホテルの一角に怪しいATMが設置されていることに一部の参加者らが気付いたとのこと。普通ならばカメラが設置してあるスクリーンを覗き込んだが、暗くてよく分からなかったため1人が懐中電灯で照らしてみたところ、奥にPCが入っていることが露わになったそうだ。 なお、偽ATMはDefcon関係者によって直ちに通報され、警察によって