うつ伏せのスマホの画面を直接触らずタッチ操作を行う攻撃「GhostTouch」 | スラド セキュリティ
中国の浙江大学とドイツのダルムシュタット工科大学の研究チームは、直接触らずタッチ操作を行う攻撃「GhostTouch」という攻撃手法を開発したという。この攻撃手法は、電磁波を用いて他人のスマートフォンを遠隔操作できるというもので、機器を仕掛けたテーブル上にスマートフォンが伏せて置かれると、そのスマートフォンのスクリーンに直接触れずにタッチ/スライド操作が行えるのたという(USENIX、ITmedia)。 現在のスマートフォンのタッチパネルでは静電容量方式が主流だが、電磁波干渉(EMI)や充電器ノイズなどの環境影響を受けやすい。GhostTouchでは、このEMIを利用して、物理的な接触を伴わない制御可能な偽タッチを発生させるとしている。具体的にはカフェやオフィスなどのテーブルなどにEMI発生装置を仕込み、ターゲットとなるスマホが伏せてテーブルに置かれると攻撃が開始されるという。
暗号通貨に対する「Block withholding attack」が初めて確認される | スラド セキュリティ
ブロックチェーンを用いる仮想通貨(暗号通貨)に対し攻撃を行える「Block withholding attack」もしくは「Selfish Mining」と呼ばれる手法がかねてより指摘されていたが、5月15日に仮想通貨「モナコイン」に対して実際にこの攻撃が行われ、ある取引所が1,000万円近い被害を出したことが報告されている(ITmedia、/Junya Hirano.com)。 「Block withholding attack」は暗号通貨の「採掘したブロックが衝突(コンフリクト)した場合にチェーンが長い方を正とする」という仕様をついた攻撃手法。攻撃者は強力なマシンを用いてローカルに未公開かつ長いブロックチェーンを貯めこみ、タイミングを図ってこれを公開することで、それまで正とされていたブロックチェーンを無効化するという。攻撃者は無効化前に取引所でコインを換金することで利益を得たようだ。
マイナンバーカードの電子証明書を使ってSSHログインする | スラド セキュリティ
マイナンバーカードには公的個人認証サービスのための電子証明書が格納されていることは公表されているが(総務省の「公的個人認証サービスによる電子証明書」ページ)、これには2048ビットのRSA秘密鍵が使われており、これをSSHログインの際の認証に使うことができるという(AAA Blog:マイナンバーカードでSSHする)。 記事によると、OpenSSHでICカードを使った認証を利用するためのソフトウェアが公開されており、対応ICカードリーダーを使って認証用の公開鍵を取得したり、SSHサーバーから送られたNONCEに対してカード内の秘密鍵で署名して送り返すことで認証を行う、といったことが可能という。ちなみに、証明書の失効情報を得るには総務大臣の認可が必要、だそうだ。認証の際、PIN(数字4桁)の入力は必要となるが、ICカードをかざすだけでログイン認証ができるのは手軽ではある。
Superfishのように勝手にルート証明書をインストールするソフト、続々見つかる | スラド セキュリティ
先日、Lenovoが同社製品にSSLルート証明書を勝手にインストールする「Superfish」なるソフトウェアをプリインストールしていたことが話題になったが、このようなソフトウェアがSuperfish以外にも続々と発見されている(Ars Technica)。 SuperfishはSSLによる通信の「乗っ取り」にKomodiaという会社が提供している技術を使っているそうなのだが、この技術を使っているソフトウェアはSuperfishだけではないらしい。その一例として挙がっているのが、まず「Lavasoft Ad-aware Web Companion」という、いわゆる無料セキュリティソフトだ。また、セキュリティ企業であるComodoが販売していた「広告差し替えソフト」である「PrivDog」というソフトにも問題があることが明らかになっているという。
PC通販ショップGENOのサイトにマルウェアが仕込まれる | スラド セキュリティ
4/4朝(詳細時刻不明)、GENOというPC通販ショップのWebサイトにマルウェアが仕込まれたようで、2ちゃんねるなどで話題になっている。 仕込まれたマルウェアはAdobe Reader/Flashの脆弱性を突くもので、また新型であるため一部のアンチウィルスソフトでしか検知できないようだ。また、検知はできても削除は対応していないため、感染した際にはOSのクリーンインストールが推奨される。 なお、該当のサイト(http://www.geno-web.jp/)は現在はメンテナンス中となっている。 追記@14:30:コメントによると該当のサイトはメンテナンス中であるものの、まだ脆弱性を突くコードにアクセスできる可能性があるということなので、サイトへのリンクを外しました。アクセスについては自己責任でどうぞ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
