ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた | スラド セキュリティ
自身のTwitterアカウントが2要素認証を有効にしたせいでハックされたと「サイバーセキュリティのレジェンド」ジョン・マカフィー氏が主張している(HackReadの記事、 BetaNewsの記事、 BBC Newsの記事)。 マカフィー氏は12月21日から「Coin of the day」として、あまり知られていない今後が期待される仮想通貨を毎日Twitterで紹介していたが、26日をもっていったん休止し、毎週月曜日の朝(初回は1月1日)に「Coin of the week」として再開すると宣言していた。しかし、27日に偽の「Coin of the day」がマカフィー氏のアカウントで複数投稿されたらしい。 マカフィー氏はアカウントがハックされ、Twitterに通知したとツイートし、偽投稿は既に削除されている。別のツイートではセキュリティのエキスパートであってもTwitterのセキュリティ
不適切に公開されていたDockerイメージにより、Vineのソースコードが流出 | スラド セキュリティ
やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事、 The Hacker Newsの記事)。 手法を簡単にまとめると以下のようになる。 Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見 Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含
MySQL/MariaDBにバグ、256分の1の確率で間違ったパスワードでも認証されてしまう | スラド セキュリティ
特定のバージョンのMySQLおよびMariaDBにおいて、「256分の1の確率で、パスワードが間違っていたとしてもパスワード認証を突破できてしまうう」バグが発見された(SecLists.Org、SecManiac)。 このバグを使用すると、300回程度のアクセスを試みるだけでrootを含む任意のユーザーでのログインが可能であり、事実上パスワード認証が意味を成さなくなってしまうとのこと。 ただしこれらの影響を受けるビルドは少なく、多くの公式ベンダが提供するビルドでは問題はないそうだ。 対象となるMariaDBおよびMySQLのバージョンは5.1.61、5.2.11、5.3.5、5.5.2。こただしこの問題が発生するか否かはmemcmpの実装によって異なり、GCCビルトインのものやBSDのlibcのものについては安全だが、LinuxのSSE最適版glibcに含まれるmemcmpについては安全で
Microsoft、Hotmailの深刻な脆弱性を修正 | スラド セキュリティ
Microsoftは4月27日、Windows Live Hotmailのパスワード再設定に関する深刻な脆弱性を修正したことを発表した。この脆弱性を利用したとみられる攻撃によりHotmailアカウントがハックされ、スパムの送信に使われたといった報告が4月に入ってから相次いでいた(Microsoft Security Responceチームのツイート、 Ars Technicaの記事、 BBC Newsの記事、 本家/.)。 Hotmailのパスワード再設定機能では、登録した電子メールアドレスあてにトークンを含むリンクが送信される。しかし、トークンが正しく検証されていなかったため、任意のHotmail/MSNアカウントのパスワードを攻撃者が変更できる状態となっていた。この脆弱性をVulnerbility Labが発見したのは4月6日。20日に報告を受けたMicrosoftはすぐに修正を行った
Trendnet製ウェブカメラ、バグで家の中が丸見えに | スラド セキュリティ
「Trendnet社のウェブカメラ26機種にバグがあり、誰でもIPアドレスだけでビデオストリームにアクセスできることがわかった。」とのことです(TechCrunch)。 本件との関係は明記されていませんが、The Vergeにはウェブカメラからと思われる生活感あふれる画像も掲載されています。 この手のWebカメラにおいては、ユーザー設定の甘さによる丸見え状態もよくある話ですが、今回の件はファームウェアのバグのため、どれだけ設定ガチガチであろうと知らないうちに丸見えになっていたという恐ろしい状態です。 日本向けには販売されていないそうですが、ネット通販や輸入などで手に入れるケースも考えられるので、Webカメラをご使用の方は念のためメーカを確認したほうが良さそうです。 ちなみに丸見えとなったカメラの幾つかの製品名は「SecurView」だそうで、セキュリティの為に用いたはずのWebカメラが、バ
シリア大統領府、スタッフの多くが「12345」をパスワードとして使用 | スラド セキュリティ
先週、シリア大統領府のメールサーバーがサイバー攻撃を受け、大統領側近やスタッフのメールアカウント情報が流出したことが報じられたが、3分の1以上のアカウントでパスワードに「12345」が設定されていたという(Foreign Policyの記事、 Haaretzの記事、 本家/.)。 LulzFinancialが公開したリストに掲載されているメールアドレスは78件。これらのうち、パスワードに「12345」と設定されていたのは28アカウント。また、5つのアカウントには「123456」というパスワードが設定されていた。 ちなみに、パスワードが「12345」だったことから、本家/.では映画「スペースボール(1987)」の話題で持ちきりとなっている。
Winnyなどで流出した情報を「さらす」人々 | スラド セキュリティ
朝日新聞に、「〈ニュース圏外〉密かに続くネット流出 さらす側の本音」なる記事が掲載されている。以前、Winnyなどのファイル共有ソフトを利用しているユーザーが暴露ウイルスに感染、機密情報などを流出させる事件が発生したが、この記事は流出した情報を収集して「晒す」人たちを取材したものだ。 記事によると、「晒す側」の中心メンバーは2、3人で、そのうち2人に取材したという。1人は首都圏に住む50代男性、1人は東北地方の60代男性で、後者は情報流出を流出元に知らせ、「詳細について知りたければ契約を」という形で1件あたり5~15万円程度の収入を得ていたという。 また、この記事では記されていない取材の裏側について、朝日新聞記者の神田大介氏がTwitterで述べている。こちらも興味深い。
無線LANの接続設定規格「WPS」に脆弱性 | スラド セキュリティ
無線LANの接続設定規格「WPS(Wi-Fi Protected Setup、WPS)」で用いられているPIN認証の仕様に脆弱性が確認された(JVNの脆弱性情報)。 WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4~8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗+10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。 WPS対応機器では間違ったPINを送信し
ミログ社の app.tv、利用者許諾に関係なく端末内のアプリ情報を送信 | スラド セキュリティ
アプリの使用履歴を外部へ送信している件で /.J 記事にもなった AppLog を開発したミログ社であるが、崎山伸夫氏のブログ記事によれば、そのミログ社開発による app.tv という Android アプリ群がスパイウェアそのものだということである。 app.tv は、アプリを入れることでターゲティング広告が表示され、その実績がポイントに変換され、ポイントに応じて電子書籍を入手できるというものらしい。そのターゲティング広告のために端末の Android アプリの使用状況を用いるのは AppLog と同様のようだが、崎山氏の解析によれば、利用規約の許諾らしきものに同意の可否に関わらず、端末内のアプリ情報を送信しているとのことである。 その指摘を受けてか、崎山氏の記事掲載と同日の 10 月 10 日に app.tv は全面的にサービスを停止している。また同日 AppLogSDK 全てのサービ
LulzSec、今度は米上院を攻撃 | スラド セキュリティ
サイバー犯罪集団 LulzSec が今度は米上院のサーバに不正侵入したそうだ (本家 /. 記事より) 。 LulzSec はある意味自分たちの好みで標的を定め、セキュリティを意識させるべく攻撃を加えていた。今回は目標を大きく設定したのか、米上院の内部サーバに侵入して手に入れたデータを公表した (lulzsecurity.com で公開された senate.gov.txt) 。公開されたのは OS 情報、df -h、last、ls -lR の結果、Apache の設定ファイル。 ついこの間までは Anonymous ほどの知名度は全くなかった彼らだが、政府機関への侵入で注目度が上がったのではないだろうか。一種の愉快犯とはいえ、今回はいままでよりも厳しい追求が待っているかもしれない。
ハッキングコンテストで使われたWindows 7版IE8のセキュリティ機構回避手法、公開される | スラド セキュリティ
ハッキングコンテスト「Pwn2Own 2010」でWindows 7のハッキングに使われた脆弱性実証(Exploit)コードが公開された (Vreugdenhil Researchのブログ記事、Exploitコード)。 このExploitコードはJavaScriptコードが含まれたHTMLコードとなっており、Windows7のIE8から開くとネイティブコードが実行されるというもの。内容は整数型のラップアラウンドを起こさせてからヒープ確保を行わせて文字列のヒープオーバーフローを起こすという単純なものだが、Windows7に備わっているセキュリティ機構であるASLR(アドレス空間配置のランダム化)やDEP(ヒープやスタックでのコード実行の禁止)を突破する点が新しい。方法の詳細は論文に書かれている。 ASLRの回避に使った方法は、バッファのオーバーフロー部分をいじくり回してヒープのレイアウトを求
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Anonymous と LulzSec のスポークスマン、Topiary 逮捕される | スラド セキュリティ