Twitterで一部の銀行がハッカーに優しい仕様だとして話題になっていたようだ。イオン銀行やローソン銀行では、ユーザーの誕生月別に支店名が振り分けられる仕様であることから、支店名から名義人の誕生月が特定可能となる（発端となったriron博士のツイート、INTERNET Watch、イオン銀行、ローソン）。 先日のリバースブルートフォース攻撃で狙われやすい暗証番号の話でもあったように、生年月日を暗証番号を例にしているユーザーはとても多く1～31日の日付、いや月によってはもっと少ない数字だけの調査で「当たり」暗証番号を引く可能性はとても高い。つまり攻撃者にとって、攻めやすいとても親切な銀行というなる。 なお誕生月別よりは安全だと思われるが、セブン銀行も支店名から口座開設月の特定が可能となっているとのこと（セブン銀行）。

Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、 ヤマト運輸のクロネコメンバーズ、 ミスタードーナツ、 ダスキン、 出版社共同ネット、 競輪、 J-CASTの東京バーゲンマニア、 神奈川県教育委員会ネットワークシステム、 東京学芸大学、 太平洋フェリー などがHTTPS経由で開けないようだ。 編注: タレこみにあった日本自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセス

「楽天アプリ市場」の野良APKファイル（rapps.apk）を http（暗号化無し）でダウンロードさせている時点で、セキュリティのことを何も考えていないのがバレバレです。 暗号化無しで配信されていることの確認方法は、下記の通り。 楽天アプリ市場 [rakuten.co.jp] にアクセスする。ブラウザの幅を小さくする（ブラウザ幅で「パソコン」か「スマホ」かを判定するレスポンシブデザインのため）。「アプリをダウンロードする」というボタンが表示されるので、右クリックして、リンクアドレスをコピーする。リンク先が「http://apps.rakuten.co.jp/download/rapps.apk」と「https://」ではなく「http://」で始まっていることが分かる。（なお、手動で「http://」の部分を「https://」に書き換えれば、https通信でダウンロード可能なようですが

HPのZero Day Initiative(ZDI)チームは昨年、Microsoft Mitigation Bypass Bounty and Blue Hat Bonus for DefenseプログラムにInternet Explorerの脆弱性2件を報告して125,000ドルの賞金を獲得した。しかし、脆弱性の修正予定はないとの連絡をMicrosoftから受けたため、REconで詳細を公開したそうだ（HP Security Research Blog、ホワイトペーパーPDF、PoC、The Register）。 脆弱性が発見されたのは、Use After Free（UAF）脆弱性の緩和策として昨年6月の更新（MS14-035）で導入されたIsolated Heapと、昨年7月の更新（MS14-037）で導入されたMemoryProtection（MemProtect）。これらの機能の

アプリケーションに存在する脆弱性を付く攻撃を防ぐツールであり、Windows XPでも使えることからWindows XPを使い続けるためのツールの1つとしても注目されたセキュリティツール「EMET」だが、EMETが導入されたWindowsに対し、これを迂回して攻撃することを可能にする手法が発見された（ITmedia）。 Microsoftは次期バージョンで対応を行うと伝えた模様。

イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収

/.J 記事 にもあったように先月末にソフトバンクモバイルのガラケー Web ブラウザで https 接続する際の仕様変更が行われたが、それに伴いみずほ銀行のネットバンキングサービスを提供するガラケーサイトで、6 月 30 日未明からソフトバンクモバイル端末から利用できなくなる不具合が生じていた。その後「現在ご利用可能となっております」という発表が、7 月 5 日に出た (みずほ銀行からの告知) 。 その発表によると、ソフトバンクモバイル端末からアクセスすると「このサイトは安全でない可能性があります。よろしいですか？」というメッセージが表示される可能性があり、それに対して「はい」を選択するよう指示している。「はい」を選択したあと、遷移先の URL を確認して、みずほ銀行のサイトであるかどうかを確認するように求めている。 URL を確認せよというのだが、これを確認したところで何の意味もないこ

中国で電話の検閲が強化されているとの報告が挙っている (本家 /. 記事より) 。 回線切断されるのは「デモ」や「抗議」といった類の単語が会話に含まれる場合と考えられている。The New York Times の記事によると英語の「protest」という単語を会話に挟んだ場合も切断されたとの報告が複数あがっている。会話はデモ行為に関する内容ではなかったそうだが、それでも検閲対象となったようだ。 ここ数週間中国は携帯電話の通話や電子メッセージ、またメールなどの検閲を強化しているとのこと。最近では Gmail にてメールを送信できない、アドレス帳を表示できないといった障害も発生しているとのこと。なお、Google はシステム側の問題ではなく中国政府による妨害行為であるとの公式声明を発表している (TechCrunch Japan の記事) 。

今日ではさまざまな機器に GPS が搭載されている。これらは ATM など意外な機器でも使われているが、「30 ドルで販売されている GPS ジャマー」で GPS 電波を妨害することで、身近な機器を簡単に暴走させられる (NewScientist の記事、本家 /. 記事より) 。 まず例として挙げられているのは 2010 年に北海で行われた実験だ。 THV Galatea という大型船舶において GPS ジャマーを用いて GPS を正しく利用できない状況にしたところ、ブリッジのディスプレイには誤った位置情報が表示されアラームが鳴り響き、航海支援システムやレーダーもクラッシュ、さらには衛星通信システムも利用できなくなるという状況となったそうだ。 恐ろしいのはこのような危険を持つ GPS ジャマーが 30 ドル程度で購入できてしまうことだそうで、実際にトラック強奪などの犯罪にも用いられている