街で拾ったUSBメモリを使う人は少なくない | スラド セキュリティ
公共の場所に放置されたUSBメモリを拾い、さらにそれに不用意にアクセスしてしまう人が多いことが、米国で行われた実験により明らかにされた(ITmedia)。 この実験はシカゴ、クリーブランド、サンフランシスコ、首都ワシントンの4都市で行われたもの。人通りの多い公共の場所にUSBメモリ200個を放置したところ、放置されたUSBメモリの5個に1個が拾われ、さらにそれがPCなどに接続されたという。さらに含まれていたテキストファイルやリンク、電子メールアドレスへのアクセスも行われていたそうだ。 なお、1200人の会社員に対し行ったアンケート調査では、1980年代~2000年代初頭に生まれた「ミレニアル世代」では44%、1961年から1981年までに生まれた「ジェネレーションX世代」では22%、1946年~1959年までに生まれた「ベビーブーマー世代」は9%が公共の場で見付けたUSBメモリを拾ってしま
米政府、「米国内に保存されていないデータについても米政府の要求があれば提出せよ」と主張 | スラド セキュリティ
米政府が、「米国内でなんらかの活動をしている企業は、令状などがあればその企業が保存しているデータを当局に提出しなければならず、たとえそのデータが米国内に保存されていなくともそれは同様である」との主張を発表した模様(Ars Technica、Slashdot)。 4月に米下級判事が米国の捜査令状で米国外のサーバーに保存されたデータの開示を求めることが可能との判断を出したが、政府の発表はこれを支持するものとなっている。 政府は詐欺やハッカー、薬物密売といった犯罪を取り締まるためと主張しているが、これにより、たとえば米政府が日本国内にあるデータセンターのデータを強制的に提出させる、ということも可能になる。これを受け、『実質的に米国と関係する世界中のほぼすべてのサーバーを対象として政府が「がさ入れ」を可能にするものだ』といった旨の批判が出ている。
mixiで約1万7千件の不正ログイン、身に覚えのないつぶやきが投稿される | スラド セキュリティ
ミクシィは2月28日、「mixi」のユーザーアカウントの一部で不正ログインが行われていたことを発表した( ミクシィのお知らせ、 INTERNET Watchの記事)。 不正ログインが確認されたIDは16,972件で、28日2時45分~14時に発生。つぶやき(mixiボイス)に身に覚えのない投稿がされていたという。ミクシィによると、他社サービスから流出したアカウント情報が使われた可能性が高いとのこと。同社では不正なつぶやきを削除するとともに、不正利用者のアクセス制限、対象ユーザーへのパスワード変更の依頼などの対策を行ったとのことだ。mixiでは2月上旬にも同様のアカウント情報を使用したとみられる不正ログインが370件発生しており(ITmediaニュースの記事)、他社サービスと同一のパスワードを使用している場合や長期間パスワードを変更していない場合には、変更することを強く推奨している。
豪公共交通システム、Webサイトの脆弱性を報告した少年を警察に通報 | スラド セキュリティ
16歳の少年がオーストラリア・ビクトリア州の公共交通システム、Public Transport Victoria(PTV)のWebサイトで脆弱性を発見して報告したが、PTVは不正アクセスを受けたとして警察に通報したそうだ(The Ageの記事1、 The Ageの記事2、 Wiredの記事、 本家/.)。 この少年が見つけたのはSQLインジェクションの脆弱性で、旧公共交通システムMetlinkのオンラインストア利用者の名前や住所、電話番号、メールアドレス、クレジットカード番号の一部といった個人情報が保存されたデータベースにアクセス可能だったとのこと。少年は12月26日にPTVに脆弱性を報告したが、何の反応もなかったという。その後、少年からこの件について連絡を受けたFairfax Mediaが1月6日に問い合わせたところ、PTVは不正アクセスを受けたとして警察に通報。少年に対する警察からの接
NSAによる米国内の通話記録データ収集、阻止できたテロリストの活動は1件もなし | スラド セキュリティ
米政府の特別委員会はNSAによる米国内での通話記録データ収集の中止など、大幅な諜報活動の見直しを求める報告書をまとめたが(CNET Japanの記事)、委員の1人によれば通話記録データの収集で阻止できたテロリストの活動は1件もなかったそうだ(NBC Newsの記事、 本家/.)。 6月にオバマ大統領は収集した情報により少なくとも50件の脅威を回避できたと報道関係者に語っているが、実際に役に立ったのは米国外との通話の傍受であり、米国内での通話記録データは収集しなくても影響のないレベルであると報告書には記載されているという。しかし、ホワイトハウスの担当者によれば、オバマ大統領は米国民の安全と国家の安全を守る戦いに情報収集プログラムは重要な役割を果たしていると考えているとのことだ。
NSA局長、通話記録の収集よりもいい方法があるなら教えてほしいと発言 | スラッシュドット・ジャパン セキュリティ
米上院司法委員会に出席した米国家安全保障局(NSA)局長のKeith Alexander氏が、批判を受けている通話記録の大量収集について、もっと良い方法があるなら教えてほしいと発言したそうだ(ITWorldの記事、 本家/.)。 Alexander氏は米国内のテロ容疑者を追跡する方法としては、通話記録の大量収集が最もプライバシーを侵害しない方法であるとし、これよりも良い方法があるなら検討したいと述べたという。また、NSAの監視プログラムの存在が明らかになったことで、テクノロジー企業は不当な被害を受けたとも述べ、これらの企業はNSAよりも優れた技術力を持っているので、国家の安全だけでなく市民の自由やプライバシーを守ることのできるアイディアがあれば検討するとの考えを示した。通話記録の収集を終了するようにという提案に対しては、米国の安全が損なわれると反論。実際に通話記録を照会するのは年に数百回程
GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に | スラド セキュリティ
日本政府は政府関連サービス向けに認証基盤(GPKI)を提供しているが、Firefoxではそのサポートが遅れており、そのためハローワークなどのサイトがFirefoxでのアクセス時に「接続の安全性が確認できない」と表示される事態になっている(mozillaのbugzilla)。 GPKIの証明書がWindows Updateで配布されたことも以前話題になったが、Firefoxは独自にルート証明書を管理しており、今回は更新された新しいルート証明書がFirefoxに含まれていないために問題が発生しているようだ。 証明書の配布も行われているが、証明書を配布しているwww.gpki.go.jpについてもアクセスすると「接続の安全性が確認できない」という表示がされる状況になっている。
TSAが採用した「行動パターンから要注意人物を特定する手法」、信頼性は低い | スラド セキュリティ
米運輸保安庁(TSA)が2007年より9億ドルをかけて開始している「SPOT(Screening of Passengers by Observation Techniques)」プログラムは、旅客の行動を観察・分析することで飛行中の安全を脅かすリスクのある人物を特定するという手法だ。しかし、これは科学的な根拠に欠けるとして、米会計検査院(GAO)が議会および大統領に対して同プログラムへの予算取消を求めているとのこと(本家/.、The Verge記事)。 SPOTプログラムには膨大な予算が注ぎ込まれたが、同プログラムを調査したGAOによると、この手法では「たまたま犯罪者を見つけるのと同等、もしくはそれよりわずかに高い確率」でしか犯罪者を見つけられないという。 GAOが、行動パターンから要注意人物を特定する職員(BDO)25人に対してインタビューを行ったところ、21人が手法の一部は主観に基づ
D-Link製ルータにUser-Agent偽装で認証なしに設定変更ができるバックドアが見つかる | スラド セキュリティ
D-Link製のルータに、User-Agentを「xmlset_roodkcableoj28840ybtide」という文字列にしただけで設定を変更できてしまうというバックドアがあるらしいです(解説しているブログ記事:Reverse Engineering a D-Link Backdoor)。 同じファームウェアがPlanexのBRL-04URやBRL-04CWにも使われているそうです。犯人はJoelさんなのでしょうか。 ファームウェアを解析したところ、この文字列および認証をパスするコードが発見されたという。通常このようなルータの管理画面は内部ネットワーク側からしかアクセスできないはずなので、外部からの攻撃に使われることはないとは思うが、注意しておいたほうがよさそうだ。
ネット上でのプライバシに気をつけている青少年は半数強(米国調査) | スラド セキュリティ
Pew Research Centerの調査によると、米国の12〜17歳の青少年の6割近くがスマートフォンやタブレット端末にアプリケーションをダウンロードした経験があるとのことだが、個人情報が収集されているとしてアプリケーションをアンインストールしたことがある青少年は26%、またプライバシー上の懸念から位置情報共有を無効化したことがある青少年も46%おり、彼らなりにオンラインプライバシーについて注意を払っている現実が明らかになった(Dark Reading、本家/.)。 位置情報共有の無効化は女子が59%、男子が37%と女子が大幅にリードしているとのこと。プライバシー管理について大人のアドバイスを求めたことのある子は70%に上り、相談したことのある子のうち位置情報共有を無効化したことがある子は50%だったのに対し相談したことのない子では37%に留まった。 ただし位置情報共有についての懸念は
FBIとNSA、インターネット企業にSSLのマスター暗号化キーを要求 | スラド セキュリティ
FBIやNSAはインターネット企業から、ユーザーのプライベートWeb通信を保護するために使用されているHTTPSに使用されているSSLのマスター暗号化キーを取得しようと試みていたらしい。IPS関係者は匿名を条件に「政府からSSLキーを要求されたことがある」とCNETに証言。加えて「インターネット関連の大企業に関しては、こうした要求に対して抵抗したという話が出ているが、中小のインターネット企業の場合、それに抵抗できるかは疑問だ」とコメントしている(CNETの記事、本家/.)。 MicrosoftとGoogleは政府からの要求があったかどうかについては回答しなかったが、要求があってもマスター暗号化キーを渡すことはないと回答したという。一方、Facebookでは政府からの要求を受けていないとした上で、そういった要求に対しては強く抵抗すると述べたそうだ。Apple、Yahoo、AOL、Verizo
個人情報を取得する無料アプリの数で比較すると、iOSもAndroidと大差ない? | スラド セキュリティ
NQ Mobileの調査によると、2012年に発見されたモバイルマルウェアの95%がAndroidを狙ったものだったという。これに対し、iOSはAndroidよりもはるかに安全と考えられているが、BitDifenderの調査によれば個人情報を取得する無料アプリの数に関しては大差なかったそうだ( HELP NET SECURITYの記事、 BitDifenderのリポート: PDF、 Security Weekの記事、 本家/.)。 調査は約1年にわたり、Google Playで公開されている無料アプリ314,474本とApp Storeで公開されている無料アプリ207,843本を対象に行われたもの。位置情報の読み取り機能を搭載したアプリは、iOSが45.41%、Androidが34.55%だったという。ただし、Androidアプリでは約10%がサーバーに位置情報を送信する機能を搭載していた
セキュリティー啓発は時間とお金の無駄 | スラド セキュリティ
セキュリティー専門家の Bruce Schneier 氏が Dark Reading の記事で、ユーザーに対するセキュリティー啓発は時間とお金の無駄であるとする意見を述べている。氏によれば、「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」という (本家 /. 記事より) 。 氏はセキュリティー対策を健康対策になぞらえて説明している。健康的な生活を送るためには、栄養バランスの良い食事と取り、運動することが必要であると散々言われてきたにも関わらず、一向に生活スタイルを変えない人達がいる。健康でいられるという長い目で見た時の恩恵に対して、一日中テレビの前に座ってマクドナルドのスーパーモンスターミールを食べるという目先の満足感を優先させてしまうのである。つまり、コンピューターセキュリティーは長い目で見て将来起こり得る攻撃
Krebs on SecurityのBrian Krebs氏、偽通報で自宅が警官隊に制圧される | スラド セキュリティ
セキュリティーブログ「Krebs on Security」で知られるBrian Krebs氏の自宅が、偽の緊急通報により武装した警官隊に制圧されたそうだ(Krebs on Securityの記事、 Ars Technicaの記事、 本家/.)。 3月14日の夕方5時ごろ、Krebs氏は来客のための支度をしていた。掃除をしているときに電話が鳴ったが、Krebs氏は出なかったという。外にクリスマスの飾りつけが残っていることを思い出してドアを開けると、家は武装した警官隊に囲まれていたそうだ。Krebs氏は一時手錠をかけられたが、偽の通報だということが判明して無事解放された。警察によると、Krebs氏の携帯電話番号を偽装した発信元から「ロシア人が家に侵入し、妻を撃った」という通報があったという。警察はKrebs氏の携帯電話に折り返し電話をかけたが、応答がなかったため警官隊の投入を決めたそうだ。Kr
米空港保安検査、泣いて嫌がる 4 歳の少女にパットダウン | スラド セキュリティ
米カンザス州のウィチタ・ミッド・コンティエント空港の保安検査場で今月 14 日、パットダウン (全身くまなく触れられるボディチェック) を受けるよう指示された 4 歳の少女、Isabella Brademeyer ちゃんが泣いて嫌がった騒動が物議をかもしているとのこと (本家 /. 記事、The Associated Press の記事より) 。 最初、少女は通常の検査を問題なく通過していた。だがパットダウンによる再検査を指示され列に並んでいた祖母の Lori Croft 氏に駆け寄ってしまったため、少女も同様にパットダウン検査を受けることになってしまったのだそうだ。最も問題視されているのは、同検査場にいた TSA 職員の態度である。パットダウンを嫌がって逃げ出した少女の保護者に「子供を捕まえないと空港を閉鎖することになる」と大声を出したとのこと。騒動の一連を Facebook に投稿した
NSA は常にあなたが犯罪者でないか監視している | スラド セキュリティ
ストーリー by reo 2012年04月10日 12時20分 ハリウッド映画は20年前にNSAを悪者にしてたよ 部門より ユタ州にある NSA (国家安全保障局) のデータセンターは、20 億ドル、10 年の歳月をかけ、最高の機密保持を結んだ建築業者により作られている。その規模は、米国連邦議会議事堂の 5 倍、ホワイトハウスの 18 倍もの大きさになるという (Wired.com の記事、Fox News の記事、本家 /. 記事より) 。 そのデータセンターの目的は、国内外の海底ケーブルや衛星からデータなど膨大なネットワーク情報を傍受・解析したうえで保存すること。2013 年 9 月に稼働予定となっており、稼働が始まればルーターに流れるデータから携帯電話の呼び出しやメール、Google の検索履歴、駐車場の領収書、旅行時のあらゆる通信がこのデータセンター内に保存されることになる。これは
スラッシュドット・ジャパン セキュリティ | スマートフォンにもcrapwareが進出
「crapware」などと呼ばれる不要なプリインストールソフトウェアがスマートフォンにも進出している(PC Proの記事、本家/.)。 メーカー製パソコンの中には大量のcrapwareが搭載されているものもあるが、現在ではAndroidスマートフォンが同じような状況に陥っている。PC Proの記事によると、ソニーエリクソンのXperia Mini Proでは最初の起動時には、Googleアカウントの設定よりも先にマカフィーのWaveSecureのセットアップ画面が表示されるという。また、公式のAndroid Marketの他にアプリケーションストアが4種類プリインストールされているほか、体験版のゲームやメディア管理ツールなどもプリインストールされているとのことだ。 パソコンの場合、crapwareは容易にアンインストールできる。しかし、Androidスマートフォンではユーザーがアンインスト
GPU で ZIP パスワードを高速解析 | スラド セキュリティ
高速電算研究所の WEB サイトによれば、ZIP ファイルにかけたパスワードを忘れてしまった人のために GPGPU で高速に解析するサービスを開始したそうだ。 YouTube に実際のパスワード解析を行う動画がアップロードされているが、680 億個のパスワード空間を探索するのに要した時間は 108 秒。動画では大文字、小文字、記号を組み合わせた 6 桁のパスワードがあっさりと割り出されている。ZIP パスワード解析といえば PIKAZIP 等のフリーソフトが有名だが、高速電算研究所によれば Intel Corei7 で PIKAZIP を動作させた場合と比較して約 100 倍のパフォーマンスを実現したとのこと。 ZIP 暗号には互換性を重視した「Traditional PKWARE Encryption」が多く使われており、最大鍵長はわずか 96 bit (12桁) 。より強度の高い AE
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
エリック・シュミット曰く、Googleはいかなる政府の監視の目からも安全になった | スラド セキュリティ
Windows XPのサポート終了に関連する諸問題は誰の責任か | スラド セキュリティ
