今週リリースされたMozilla Firefox 51とGoogle Chrome 56では、パスワード入力フィールドを含むHTTP接続のページを表示すると警告が表示されるようになっている(The Vergeの記事、 Ars Technicaの記事、 9to5Googleの記事、 Softpediaの記事)。 これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される
イスラエルの研究者が、PCに接続されたヘッドホンを使って盗聴を行う手法を公開した(GIGAZINE、TechCrunch、Slashdot)。 マイクとスピーカーは構造が似ており、スピーカーをマイクとして利用できることはよく知られている。そして、昨今のサウンドカードやマザーボード搭載のオーディオインターフェイスの多くで、本来オーディオ出力用として用意されているジャックをオーディオ入力として使用したり、逆にオーディオ入力用として用意されているジャックをオーディオ出力に使用できる機能が搭載されているという。この機能はドライバソフトウェアで操作を行うだけで利用できるため、マルウェアなどを使ってスピーカーやヘッドホンが接続されているオーディオ出力端子をオーディオ入力端子として使うよう設定することで、マイクが接続されていないPCでも周囲の音を盗聴できるようになるという。 この手法を解説する論文による
イギリスで「Investigatory Powers Act」という新たな法案が可決された。この法律は「スパイ憲章」とも呼ぶべきもので、すべての英国民のWebアクセス記録を1年間保存することを通信会社などに求めている(AP、ZeroHedge、Slashdot)。 この法案では、警察や情報機関、軍関係や税関、食品基準庁、社会福祉トラストなど48の機関に対し裁判所の令状無しで記録された閲覧履歴にアクセスすることを認めている。法執行機関に対し、テロや重大な犯罪と戦うためのツールを与えることを目的としているが、英国の市民団体は無実のインターネットユーザーを監視社会に追い込むものだと批判している。
クラウドファンディングサービスKickstarterで、で普通の手袋でもスマートフォンの指紋認証や操作を可能にする「TAPS - Touchscreen Sticker w/ Touch ID」の出資募集が始まっている(CNET Japan、Slashdot)。 最近では脱がなくてもタッチパネルを操作できる手袋が登場しているが、こういった手袋であっても指紋認証機能はそのままでは利用できなかった。この「TAPS」は「指紋として認識される模様が設けられたステッカー」で、これを手袋に貼り付け、指紋認証に使用する指紋として登録することで手袋を脱がずに指紋認証ができるという。一般的なスマートフォンは複数の指紋を記憶できることが多いので、その1つとしてTAPSのパターンを登録すれば良いそうだ。 TAPS表面のパターンは1つ1つ異なっているという。そのため、本物の指紋同様、ほかのユーザーに不正認証される
適用することでWindowsマシンのセキュアブート機能を無効化できるというセキュアブートポリシーが流出し、解析結果が公開されている(Secure Golden Key Boot、 The Registerの記事、 Threatpostの記事、 Ars Technicaの記事)。 セキュアブートはUEFIファームウェアの機能の1つ。有効にするとブート時に実行するソフトウェアの署名が確認され、認証された証明書で署名されていなければ実行できない。セキュアブートポリシーはバイナリ形式のファイルで、Windowsの起動プロセスの非常に初期の段階にbootmgrが読み込む。デバイスの中にはセキュアブートを無効にできないものもあるが、発見したセキュリティ研究者が「golden key」と呼ぶセキュアブートポリシーを読み込ませることでテスト署名を有効化し、セキュアブートをバイパス可能になるという。 gol
PCを遠隔操作するソフトウェア「TeamViewer」を利用しているユーザーを狙い、外部から不正にPCを操作するケースが多発しているという(GIGAZINE)。 こういったケースの多くは他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされているとのことで、PCを遠隔操作してネットショッピングサイトで不正に商品やギフト券などが購入される例が報告されている(Togetterまとめ、「独房の中」ブログ)。 なお、TeamViewer側は不正対策の1つに「推測されにくい安全なパスワードを設定して頻繁に変更する」ことを挙げているが、「ほかのサービスとは異なるパスワードを設定する」が基本的かつもっとも重要な対策ではないだろうか。
WindowsのCLSID(GUID)の中にはフォルダー名に拡張子として設定することで、特殊なフォルダーやコントロールパネルなどとして機能させることができるものがある。この機能を悪用して、攻撃用のファイルを隠蔽する「Dynamer」と呼ばれるマルウェアが出てきているそうだ(McAfee Labs Blogの記事、 Softpediaの記事)。 こういったCLSIDとしては、コントロールパネルの全ページをまとめた「God Mode」と呼ばれるフォルダーを作成可能な「{ED7BA470-8E54-465E-825C-99712043E01C}」がよく知られている。特殊なCLSIDを拡張子に設定したフォルダーをエクスプローラー上でダブルクリックすると特殊フォルダーやコントロールパネルが開かれ、フォルダーの内容にアクセスすることはできなくなる。ただし、フォルダーに格納したファイルのパスを直接指定す
英政府通信本部(GCHQ)は4日、昨年12月に出題していたクリスマスパズルの正解を公表した(正答集: PDF、 ニュースリリース、 The Registerの記事)。 クリスマスパズルはPart 1からPart 5まで5つのステージが用意され、最初のステージをクリアした人は60万人を超えるという。3万人以上が最終ステージまでたどり着いたが、最終ステージをクリアできた人はいなかったそうだ。ただし、クリアまであと一歩というところまで迫った挑戦者が3人おり、この3人が優勝者としてGCHQのペーパーウエイトおよびGCHQ局長のメッセージとサインが入ったアラン・チューリングのバイオグラフィー、優勝を自慢する権利が贈られるとのこと。 パズル自体は現在も公開されており、正答集には正解とともに説明も記載されている。数学や語学、通信、コンピューター、ロード・オブ・ザ・リングなど、さまざまな知識が要求されるが
情報漏洩関連の話題を扱うサイトDataBreaches.netにて12月8日、iTunesアプリ「HZone」の個人情報と考えられるスクリーンショットが掲載された(重要な部分は墨塗りされている)。HZoneは、HIV感染者同士のための出会い系アプリ。この非常に微妙な情報を扱っているアプリケーションからの、登録者約4926人の個人情報漏洩を告発するものであった(Mirror)。 漏洩したデータベースには、名前や国籍、電子メールアドレス、信仰している宗教、子供の数、最後のログインIPアドレス、そしてパスワードのハッシュなどの情報が含まれていた。さらには投稿されたメッセージも収容されていたという。HZone側は情報漏洩を認めなかったため、DataBreaches.netは12月9日に連邦取引委員会に訴状を提出。彼らのデータベースを保護を要求したが無反応だった。 12月12日にHZoneアプリケー
ドイツの独立系ITセキュリティ研究機関 AV-TESTが、Windows 10上でのアンチウイルスソフトウェアのテスト結果を初めて公開している(Test antivirus software for Windows 10、 Softpediaの記事)。 AV-TESTではテスト時点で最新版のアンチウイルスソフトウェアおよびパターンファイルを使用。ゼロデイ攻撃からの保護能力とマルウェア検出率をテストする「Protection」、実行時の速度低下をテストする「Performance」、誤検出数をテストする「Usability」の3項目について各6点、計18点満点で評価を行う。認定証を獲得するには合計11点以上が必要だ。 満点の18点を獲得したのはAvira Antivirus Pro 2015、Bitdefender Internet Security 2015/2016、Kaspersky
感染したデバイス上で、セキュリティをより高めるような動作をするマルウェアが発見されたそうだ(GIGAZINE、Symantec Security Response Blog、ZDNet Japan)。 このマルウェア「Linux.Wifatch」はLinuxを狙うマルウェアで、インストールされると外部からの命令で任意のコマンドを実行できるようバックドアを設置するという。ここまでは一般的なマルウェアと同じだが、その後感染したデバイスのTelnetデーモンを停止し、パスワードを変更したうえでファームウェアをアップデートするようメッセージを残すという。 といってもマルウェアはマルウェアで、すぐ改悪版が出回りそうなものだけど。
Android 5.x(Lollipop)で、パスワードを設定したロック画面をバイパス可能な脆弱性が発見された。端末ロック中にカメラアプリを起動した状態で極端に長い文字列をパスワード入力フィールドに入力することでロック画面がクラッシュし、端末へのフルアクセスが可能になるとのこと(UT Austin ISO Blogの記事、 Nexus Security Bulletin - September 2015、 The Guardianの記事、 The Registerの記事、 実証動画)。 脆弱性発見者が公開している手順としては、端末がロックされた状態で緊急通報画面を開き、適当な文字列を入力してコピー&ペーストを繰り返すことで長い文字列をクリップボードに格納する。次にカメラアプリを起動してから通知ドロワーで設定アイコンをタップする。パスワード入力画面が表示されるので、ペーストを繰り返していくと
@ITが、「Internet ExplorerでHTTPSのWebページ表示が非常に遅いときの対処方法(TLS 1.2起因編)」という記事を公開している。Internet ExplorerではTLS 1.2での接続時にページ表示が遅くなることがあるが、これはTLS 1.2を無効化することで解決できる、という内容だ。 しかし、TLS 1.2を利用しない場合、記事の設定では代わりにTLS 1.1や1.0が使われることになる。TLS 1.0については脆弱性が確認されているため、すでに非推奨となっている。TLS 1.1についても、一部の環境では通称「POODLE」脆弱性の影響を受けることが知られている。そのため、TLS 1.2を無効化することはセキュリティレベルを下げることになると思われる。 @ITの記事では当初この点について触れられていなかったが、その後修正されて「TLS 1.2を無効化して解決
Debianがバイナリファイルの信頼性向上のため、「どんな環境でビルドしても同じバイナリが生成される」ような仕組み(Reproducible builds)の普及に取り組んでいるそうだ(Slashdot、Motherboard)。 Debianではソースパッケージを利用することでソースコードからのビルドは簡単に行えるが、ビルドに使用した環境の違いなどによって生成されるバイナリは異なるものになる可能性がある。Debianはこの問題を解決し、どのような環境でも常に同一のバイナリを生成できるような仕組みを導入することで、改変されたバイナリを簡単に判別できるようにすることを目指しているという。 Debianが今これに注力する理由として、諜報機関などがソフトウェアにバックドアを仕込む、という問題が挙げられている。Reproducible buildsを導入することで、こういった問題への対策になるとい
Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、 ヤマト運輸のクロネコメンバーズ、 ミスタードーナツ、 ダスキン、 出版社共同ネット、 競輪、 J-CASTの東京バーゲンマニア、 神奈川県教育委員会ネットワークシステム、 東京学芸大学、 太平洋フェリー などがHTTPS経由で開けないようだ。 編注: タレこみにあった日本自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセス
Kaspersky Labがライバルのアンチウィルスソフトを妨害するため、誤検出を引き起こすように仕向けていたと元従業員2名が証言しているそうだ(Reutersの記事、 TNW Newsの記事、 V3.co.ukの記事)。 ターゲットとなったのはMicrosoftやAVG、Avastなどのライバル製品で、一部の妨害工作はユージン・カスペルスキー氏が指示していたそうだ。現在ではセキュリティーソフトウェアを開発する企業間で情報が共有され、検出エンジンを互いにライセンスすることで迅速な脅威の検出が可能となっている。 しかし、カスペルスキー氏はライバル企業が独自の技術を開発せず、同社の技術を盗んでいると考えていたのだという。実際に同社の技術が盗まれていることを証明するため、Kasperskyは10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして
ドイツ連邦議会のコンピューターネットワークは5月にサイバー攻撃を受けてマルウェアを送り込まれたが、4週間以上経過しても復旧できていないようだ(Deutsche Welleの記事、 The Localの記事、 The Registerの記事)。 独誌Der Spiegelなどは、議会のIT専門家がマルウェアの遮断に失敗して現在も外部にデータが送信され続けており、復旧のためにはソフトウェアだけでなくハードウェアもすべて入れ替える必要があるなどと報じているが、議会の報道官などは報道を否定。外部へのデータ送信は2週間以上前から確認されておらず、サーバーの一部はデータの抹消と再インストールが必要となるものの、対応可能な数だとしている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く