Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする | スラド セキュリティ
広告ブロック拡張機能の動作を制限するものだと批判されているChrome拡張機能プラットフォームのマニフェスト新バージョンManifest V3について、広告ブロックをだめにするのではなく、より安全にするものだとChrome拡張チームのDevlin Cronin氏が説明している(Google Security Blogの記事、 VentureBeatの記事、 The Registerの記事、 Neowinの記事)。 Manifest V3のドラフトではブロッキング用途でのWeb Request API使用が非推奨(かつ制限される可能性あり)となり、ブロッキング用にはDeclarative Net Request APIが新たに追加される。Web Request APIによるブロッキングではページコンテンツを受け取った拡張機能が広告を除去するのに対し、Declarative Net Reque
Microsoftの広告SDKを通じた不正広告キャンペーン、1か月以上経過しても対策なし | スラド セキュリティ
Microsoftがストアアプリ向けに提供している広告SDKを通じた不正広告攻撃キャンペーンが4月から発生しており、1か月以上経過しても対策は行われていないようだ(Softpediaの記事、 The Registerの記事、 Bleeping Computerの記事、 Born's Tech and Windows Worldの記事)。 不正広告攻撃の内容としては、アプリのバナー広告に触れなくてもデフォルトブラウザーでWebページが開き、「賞品が当たった」「ウイルスに感染している」などと表示されるというもの。サードパーティー開発者によるアプリだけでなく、Microsoft製のアプリや、Outlook.comなど広告の表示されるMicrosoftのWebサイトでも発生しているらしい。MSDNのフォーラムでは4月17日にアプリ開発者が報告しており、4月19日にはMSDNのコミュニティサポート担
パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 | スラド セキュリティ
これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、 論文: PDF、 The Registerの記事)。 研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5~2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使
Chromecastは簡単にハイジャックできる? | スラド セキュリティ
5月に国内でも発売が開始されたGoogleのTV向けデバイスChromecastには、簡単にハイジャックされてしまうという脆弱性があるそうだ(TechCrunch Japanの記事)。 Chromecastは動画配信サービスで配信されている動画をTVで視聴したり、Android端末の画面をミラーリングしたり、といった機能を備えた端末。ハイジャックされてもデータの破壊といった問題はなさそうだが、攻撃者は自由に動画や音楽を再生できてしまう。この問題は、Chromecastが特定のコマンドを受信すると設定モードになってしまい、外部から設定を行えるようになってしまうという仕様が原因だという。TVを見ていたら突然画面が切り替わり、不都合な動画が流れる……というのは小説の世界だけの話ではなくなったようだ。 ChromecastはWi-Fi接続設定が完了するまでWi-Fiアクセスポイントとして動作し、ノ
ASUSのルータの脆弱性、侵入者が忠告メッセージを書いたファイルを置いて発覚 | スラド セキュリティ
ASUSのルーターに脆弱性があり、外部からローカルネットワーク内にあるストレージにアクセスされる可能性があることが発覚した(slashdot)。 Ars Technicaによると、ある男性が自分の外付けハードディスクに見慣れない「WARNING_YOU_ARE_VULNERABLE.txt」というテキストファイルがあることに気付いたという。そのファイルを開くと、そこには「あなたのAsusルーター、そしてドキュメントとはインターネット経由で世界中の誰もがアクセスできる状態になっている」とのメッセージとともに、詳細はhttp://nullfluid.com/asusgate.txtを見ろ、という旨が書いてあったそうだ。 ASUSのルータには「AiDisk」というFTPサーバー機能や、「AiCloud」という、Webブラウザやスマートフォンアプリからローカルネットワーク内のストレージにアクセスす
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
GPGPUによる分散トリップ検索サービス「Meriken's Tripcode Yggdrasil」 | スラド セキュリティ
「トリップ」は2ちゃんねる等の匿名掲示板で、個人情報を保存せずに書き込みの本人証明をするための仕組みです。トリップは「キー」と呼ばれるパスワードのハッシュ値を計算することによって作成されるランダムな文字列ですが、「トリップ検索」を行うことによって、自分の好みの見た目のトリップを作成することができます。 トリップ検索は長い間個人のPCで行われてきましたが、Meriken's Tripcode YggdrasilはBOINCのようにインターネット上の複数のPCのCPUやGPUを利用してトリップ検索を実現しています。参加台数は最大で35台、検索速度は最大で22G hash/s(SHA-1)、もしくは1.0G c/s(DES crypt(3))と、なかなか面白い結果が出ています。 このサービスでは分散トリップ検索に参加しなくてもトリップ検索を依頼することができます。分散トリップ検索に参加したい方は
EFFのジョン·ギルモア氏、IPSEC規格にNSAが関与していたと示唆 | スラド セキュリティ
電子フロンティア財団の創設者であるJohn Gilmore氏による同財団メーリングリストへの投稿によれば、IPSEC IETF規格委員会でIPSECの暗号化を決める際、米国家安全保障局(NSA)関係者が指導的役割を占めていたという。その結果、作られた規格は非常に複雑なものになり、外部の人間がセキュリティ検証を行うことも難しい内容となったようだ(メーリングリストへの投稿、本家/.)。 また同氏のチーム(FreeS/WAN)は、IPSECのLinux実装を担当していたが、彼らが担当していたパケット処理コードは、NSA関係者の妨害によりLinuxカーネルのデフォルトとしては採用されなかったという。実装されたシステムはNSAからどのような影響を受けているかは彼には分からないとしている。また、携帯電話の暗号化関連の作業でも、NSAの関係者が規格委員会に嘘をついており、結果として暗号化技術に問題があっ
米国でウソ発見器を騙す方法を教えていた男性、逮捕され8か月の服役へ | スラド セキュリティ
「ウソ発見器」などとして知られ、一部の警察などが導入しているポリグラフという機械がある。実際にはポリグラフはウソ発見器ではなく、被験者の動揺や心の変化を可視化するための装置であるのだが、このポリグラフを「騙す」方法を教えていた米インディアナ州の男性が起訴された(The Seatle Times)。 起訴の理由は、彼を調査していた覆面調査員に対する「通信詐欺」そして「訴訟妨害」とのことで、最終的に8か月の服役が科せられたようだ。 この男性は70~100人に対し、1日1000ドル(約10万円)でこの「トレーニング」を行っていたそうだ。トレーニングを受けた人には性犯罪者や法務・警察関連への就職希望者などが含まれており、不正な目的のために使おうとしていた人もいたという。
一般市民による国家機密漏洩をどう防ぐ? | スラド セキュリティ
英国の元警視総監が「一般市民による国家機密漏洩を防ぐより厳しい法律が必要」と訴えたという(The Guardian、本家/.)。 英国では国家秘密法(Official Secrets Act)によって公務員に政府機密情報の秘匿を義務づけている。この法律はあくまで公務員を対象としているが、元警視総監であるイアン・ブレア卿はこれを私人にまで広げるべきだという。 ブレア卿は米軍の外交公電70万件分のデータをWikiLeaksに渡した米兵ブラッドリー・マニング氏の件や最近のエドワード・スノーデン氏の件を例に挙げ、現状では意図的なテロ幇助行為ではない、一個人による「テロの実行を容易にしてしまう行動」が新たな脅威として浮上していると指摘する。 ちなみに日本でも国の機密漏洩に関する処罰の厳罰化を図る秘密保全法案が秋の臨時国会にて提出されるそうだが(朝日新聞記事)、これも公務員を対象としている。国家には機
RLOを使いレジストリ汚染を隠ぺいするマルウェア | スラド セキュリティ
あるAnonymous Cowardのタレコミより。 多くの文化圏では、横文字は左から右に読むが、アラビア語などでは横文字は右から左に向けて読む。そのため、UnicodeはRLOという制御コードを利用することで、文字の記述方向を切り替えられるようになっている。これを悪用し、ファイルの拡張子を分かりにくくするといった攻撃方法は以前からあったが、このたびRLOを利用してサービス名を分かりにくく偽装するマルウェアが発見された(MicrosoftのMalware Protection Center)。 このマルウェアが偽装するのはGoogle Chromeなどで使われる「gupdate」という、サービスとしてバックグラウンドで動作するプログラム。マルウェアは先頭にRLO制御文字を加えた「etadpug」という文字列をサービス名として利用することで、一見「gupdate」というようにサービス名が見え
米銀行で電信送金の管理システムが乗っ取られる | スラド セキュリティ
最近いくつかの米国銀行で、電信送金の管理システムが乗っ取られるという事件が起きているという。Gartnerの副社長であるAvivah Litan氏によると、少なくとも3つの銀行と百万人規模の被害が出ている可能性があるという。また取引中に銀行員の注意を引くために、DDoS攻撃を利用した可能性があるとしている。この電信送金管理システムの乗っ取り方法の詳細についてはまだ不明だ(SC Magazine、本家/.)。 Dell SecureWorksの研究者によると、DDoS攻撃のために200ドルの「犯罪用マルウェアキット」を使用していたという。FBIは昨年9月、金融機関等に対してこのキットに関する共同警告を出している。これは、犯罪者がフィッシングメールを使用し、銀行員に対してリモートアクセス可能なトロイの木馬やキーロガーをインストールするよう誘導するというものだという。 RSA researche
NSA、システム管理者を90%削減する計画 | スラド セキュリティ
米国家安全保障局(NSA)では、内部告発による機密情報の漏えいを避けるため、システム管理者の90%を削減する計画があるとのこと(Reutersの記事、 RTの記事、 GlobalResearchの記事、 本家/.)。 NSA長官のキース・アレクサンダー氏によれば、機密情報の漏えいを防ぐには、情報に触れられる人の数を減らすことが効果的との結論に達したとのこと。これまでも業務の自動化によるセキュリティの向上が進められていたが、エドワード・スノーデン氏による内部告発以降、この動きは加速しているという。アレクサンダー氏は自身の発言が報道により著しく誤解されているとしてNSAの活動を擁護し、あえて法を破ったり市民の自由やプライバシーを侵害してはおらず、そういった過ちは全くないと述べたとのことだ。
Torの匿名化サーバーに不正コードが仕掛けられる | スラド セキュリティ
PC遠隔操作事件でも話題になった、ネットを匿名で利用するためのツール「Tor」。Torは多数のサーバーから構成されるTorネットワークを中継して通信を行うことで通信元/通信先を秘匿するが、そのネットワーク内からのみアクセスできるサーバーを匿名で運営するためにも利用されている。この匿名サーバーの一部に、Firefoxの脆弱性を突く不正コードが仕掛けられていたことが判明した(ITmedia)。 このようなサーバーは匿名で情報交換を行うなどの目的で運用されているのだが、Torのブログによると、これら匿名サーバーが多数利用できなくなっているとの報告があったそうだ。ITmediaによると、児童ポルノ事件の容疑者が運営していたという疑惑のある「Freedom Hosting」という個人または団体が運営するサーバーが狙われたのではないかと見られているという。いっぽう、Tor側はこの個人もしくは団体との関
FBIとNSA、インターネット企業にSSLのマスター暗号化キーを要求 | スラド セキュリティ
FBIやNSAはインターネット企業から、ユーザーのプライベートWeb通信を保護するために使用されているHTTPSに使用されているSSLのマスター暗号化キーを取得しようと試みていたらしい。IPS関係者は匿名を条件に「政府からSSLキーを要求されたことがある」とCNETに証言。加えて「インターネット関連の大企業に関しては、こうした要求に対して抵抗したという話が出ているが、中小のインターネット企業の場合、それに抵抗できるかは疑問だ」とコメントしている(CNETの記事、本家/.)。 MicrosoftとGoogleは政府からの要求があったかどうかについては回答しなかったが、要求があってもマスター暗号化キーを渡すことはないと回答したという。一方、Facebookでは政府からの要求を受けていないとした上で、そういった要求に対しては強く抵抗すると述べたそうだ。Apple、Yahoo、AOL、Verizo
ロシア、機密保持のため電子タイプライターを導入 | スラド セキュリティ
ロシア連邦警護庁(FSO)が、電子タイプライター20台の購入を決めた。元米中央情報局職員が暴露した情報監視問題を受けて、PCで作成した極秘文書を第三者に読み取られるリスクを回避するための措置だそうである(時事通信の記事)。 電子タイプライターは現在でも、ロシア国防省などで極秘文書作成に使われている.そして元ロシア連邦保安局長官のコワレフ下院議員は「セキュリティの観点からいうと、電子的なコミュニケーションには脆弱性がある」「秘密保持のためには、手書きやタイプライターのような原始的な方法が好ましい」などと述べている(Telegraphの記事)。 /.Jer諸氏には,ハイテクな問題へのローテクな対処法や、「一方ロシアは……」をネタにして盛り上がっていただければ幸いである. 時事通信の記事では「ワープロ」となっているが、電子タイプライターはワープロとは異なるもので、ディスプレイは搭載されておらず、
Google Groupで中央官庁の内部情報などが公開状態になっていた | スラド セキュリティ
公開メーリングリストに個人情報や内部情報を流してしまって大騒ぎに、というのはよくある話だが、政府の職員がどうようのことをGoogle Groupでやらかしていた模様。 読売新聞によると、少なくとも4省庁の職員が業務に関する内容を閲覧制限なしのGoogle Groupでやり取りしていたことが確認されていたという。政府だけでなく、医療機関や介護施設、学校など、さまざまな組織にて個人情報や内部情報が公開されていることが確認されたという。 初期設定が「公開」になっているのが悪いという的外れなツッコミもありそうだが、安易に無料サービスを使うのが元凶だろう。かといって、政府などで予算を付けるのは大変なのかもしれないが……。
米NGO、キャリアにより脆弱性が放置されたAndroidスマートフォンの調査と救済をFTCに求める | スラド セキュリティ
Androidスマートフォンの多くでセキュリティーアップデートが提供されず、脆弱性が放置されているとして、アメリカ人権自由協会(ACLU)が米連邦取引委員会(FTC)に調査と救済措置を求める訴状を提出したそうだ(ACLUのブログ記事、 訴状: PDF、 The Security Ledgerの記事、 本家/.)。 Android OSはGoogleによってセキュリティー修正が行われているが、多くのデバイスは携帯キャリアやハードウェアメーカーによりカスタマイズされたOSが搭載されているため、Google提供のセキュリティーアップデートをそのまま適用することができない。Androidデバイスはスマートフォン市場の75%を占めるが、既知の脆弱性が確認されているバージョンが多数を占めるという。Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったものであるのにも関わらず、キャリアやハードウェ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
外務省、公開鍵の情報公開請求を拒否する | スラド セキュリティ
米NSA、クレジットカードの決済情報にもアクセスしていた? | スラド セキュリティ