ドイツ警察は、ハゲワシを捜査官として活用すべく訓練中とのことだ(BBC Newsの記事、 dBuneNewsの記事、本家/.)。 鋭い嗅覚と群を抜いた視力を持つハゲワシは、隠された遺体を捜し出す任務においては警察犬よりも優れているとのことで、「シャーロック」、「ミス・マープル」、「コロンボ」の3羽が訓練を受けている。雛の時から訓練を受けていたシャーロックが空を飛ぶよりも地上を歩くことを好む点が心配されており、 群れで飛び回る習性に期待してミス・マープルとコロンボの2羽が先週から訓練に参加したとのこと。 ただし、ハゲワシによる捜索は誰もが受け入れられることではなく、遺体を損壊するのではないかという心配もある。そのため、このような形で利用するべきではないとの声も少なくない。

今年 3 月に RSA はクラッキングを受けてシステムに侵入されたのだが (本家 /. 記事) 、この際に盗まれた技術情報が実際に使用されたことが判明したため、世界で累計 4000 万台出荷されている SecurID ハードウェア・トークン交換という事態になるようだ (THE WALL STREET JOURNAL の記事、日本経済新聞の記事、Help Net Security の記事、本家 /. 記事より) 。 実際に使用された事例というのが先日 /.J の記事にもなったロッキード・マーティン社への攻撃。本家 /. 記事では攻撃直後に既に RSA への侵入との関連が報じられていた。業界的には PSN の一件以上のショッキングな事件ではないだろうか ? 日本でも金融、証券関係などのシステムにも用いられていたはずなので、どこまで影響が及ぶのか気になるところである。 RSA はこの件に関して原

中国軍が「サイバー戦争のための特殊部隊」の存在を初めて認めた (The Australian の記事、本家 /. 記事、毎日中国経済の記事より) 。 この部隊は「軍ネットワークへの外部からの攻撃から中国人民解放軍を守る」ことを目的としているとのこと。一方米国は「サイバー攻撃」は戦争行為と見なし、もしそのような攻撃があった場合、武力行使も辞さないという方針を明らかにしているという (YOMIURI ONLINE の記事)。

Windows ユーザがダウンロードするプログラムは 14 に 1 つの割合でマルウェアだそうだ (Network World の記事、IEBlog の記事、本家 /. 記事より) 。 Internet Explorer にはユーザを信頼できないソフトウェアや不明なソフトウェアから守る機能が搭載されているが、それでも 5 % のユーザは警告を無視してトロイの木馬といった悪意あるプログラムをダウンロードしているという。IE9 では新たに SmartScreen Application Reputation というセキュリティ層が搭載され、URL を元にした保護だけでなく、ダウンロードされるアプリケーションのステータスをチェックすることで一般的に広まっていないマルウェアなどに対応できるようになっている。 この機能が搭載されてから既に 15 億以上のマルウェアや悪意あるサイトへの訪問などがブロッ

秋田市の職員が住民基本台帳システムに不正にアクセスし、計54世帯分の個人情報を不正に閲覧していたことが分かった（NHK、秋田魁新報）。 問題の職員は、別の職員の机にパスワードが書かれた付箋が貼り付けられているのを見て、それを利用して住民基本台帳システムや課税情報が登録されたシステムに不正にアクセスしたとのこと。計54世帯分の住所や氏名、課税状況を閲覧したという。 職員は「知っている職員や知人の年齢に興味があって見た」と話しているという。 総務省によると、住基ネットの不正アクセス事件はこれまで起きたことがないとのこと。初の事件が「メモに書かれたパスワード」という、やってはいけない基本中の基本で漏れてしまった。戒告で済ませて幕引きをはかっているが、これでよいのだろうか？

MySQL.com と関連するサイトが米国時間 27 日にクラックされ、情報が漏洩した模様。手法はブラインド SQL インジェクションによるものと考えられている (Techie Buzz の記事、本家 /. 記事より) 。 被害に遭ったのは本家 MySQL.com の他、フランス、ドイツ、イタリアの MySQL のサイト。漏洩した情報には MySQL 関係者の Email アドレスや認証情報の他、顧客情報や内部ネットワーク情報も含まれているという。また XSS 脆弱性についても詳細に報告されており漏洩がさらに拡大する恐れもあるとのことで、さらには Sun.com にあるデータベースの内容も既にクラックされている報告もある。 今のところ MySQL からはこの件に関するニュースリリースが出ていないが、是非とも MySQL の矜恃 (そういうものがあるのなら) を賭して対策を施して欲しいもので

本家 /. にて、「Why Doesn't Every Website Use HTTPS?」という興味深いストーリーが立てられている。 「HTTPS はよりセキュアなのに、なんでみんなが使わないんだ ?」という至極簡単な疑問が寄せられているだけなのだが、多数の回答が寄せられている。挙げられている理由としては「SSL 証明書を取るのにコストがかかる」「クライアントのパフォーマンスが悪化」などが寄せられている。 ただ、SNS サイトや個人情報を要求されるサイトは増えており、「すべての Web サイトを HTTPS 対応に」という話は悪くないような気がする。実際 Twitter や Google など、HTTPS 対応サイトも増えている。あなたのサイトも HTTPS 対応を検討してみては ? # なんか SSL 証明書の営業みたいなタレコミになってしまった

ストーリー by reo 2011年02月22日 12時00分 division of corrections って何て訳すんだ 部門より アメリカ自由人権協会 (ACLU) によれば、米国メリーランド州監督局が職員更新面接の際に、申請者の Facebook のアカウントとパスワードの提示を要求したとのこと (ACLU Official Blog の記事、本家 /. 記事、the Atlantic の記事より) 。 監督局職員の Robert Collins 氏は職員証明書更新の面接中に Facebook のアカウントとパスワードを要求され、面接官は Collins 氏の Facebook ページにログインした後、氏の投稿だけでなく家族や友人の投稿なども閲覧したという。また Collins 氏が「パスワードをすぐに変更したらどうなるのか」と質問したところ、「身辺調査にかかる 1 〜 2 ヶ

ストーリー by reo 2011年01月27日 12時30分 デフラグってそんなに必要なの ? 部門より INTERNET Watch の記事によると、偽デフラグツールが出回っているそうだ。 記事で紹介されている偽ツール「SystemDefragmenter」の挙動はこうだ。偽デフラグツールをインストールすると、タスクバーに「Critical Error」というバルーンメッセージが表示される。クリックすると偽のシステム診断が始まり、「エラーを検出、デフラグの実行を推奨」という意味のメッセージを表示。指示通りに実行してもデフラグは完了せず、「深刻なエラーを修復するには、有償のモジュールが必要」というお約束の結果となる。しかもこれを購入してデフラグを完了させても、偽ツールとは無関係の EXE 形式ファイルの起動を妨害するなど、非常に悪質ともいえる後遺症が残ってしまう。 もちろん偽デフラグツー

産業制御システム向けコンピューターウイルス「スタクスネット」が昨年より話題(過去記事1、過去記事2)になっているが、朝日新聞の記事によると、このウイルスは、アメリカの協力によりイスラエルが開発した可能性が高まってきたそうだ。 目的はイランのウラン濃縮の妨害で、イスラエルはイランで使われているウラン濃縮装置のための遠心分離器と同じ物を入手し、ウイルスの動作を試験していたそうだ。アメリカはブッシュ前政権時に妨害計画を承認、オバマ現政権がさらに推進したという。システムの開発元である独シーメンス社とサイバー攻撃への備えを名目に協議して弱点を洗い出し、それを逆にサイバー攻撃に応用した可能性があるらしい。また、独自にイスラエルと同様の試験も行っていたようだ。

昨年の暮れ、GoogleはNFC技術を搭載したSamsung製新型スマートフォン"Nexus S"を発売した。Nexus SはLinuxをベースに含むAndroid 2.3をOSとして採用しているが、Android搭載端末には現在のところ端末を所有するユーザであってもシステム領域への書き込みやスーパーユーザ特権の取得ができない制限がかけられており、パワーユーザの間ではアプリケーションのlocal root exploitやブートローダの脆弱性利用などによってこれを回避する「root化(rooting)」と呼ばれる行為が広く行われている。Nexus Sでもユーザコミュニティによって端末のroot特権を得る方法がすぐに発見された。 発売からroot化の完了までの期間が短いことが話題になったが、これについてAndroidのセキュリティチームメンバーであるNick Kralevich氏は先月20日

11月頃に中国の政府機関CNCERTが発表した情報で、今年９月末時点で中国国内の１００万部の携帯がゾンビ化してる というニュースがありました。 主にSymbianOSで動くマルウェアだそうで、正規のセキュリティ対策のソフトウェアと偽ってDL→インストールさせたり、 SMSでURLを送り、便利なソフトであるかのように見せかけてDL→インストールさせたりという手順が紹介されていました。 ワールドカップの動画を使った着信動画をDLできます、とSMSでURLを送り、「このサイトを利用するには、 こちらのアプリをインストールする必要があります」という感じでDLさせる手口です。 感染すると、端末のSIMカードの情報をコントロールしてるサーバに送り、コントロールしてるサーバは端末のSMS送信機能を 制御下に入れられるそうで、電話帳に載ってない番号でもコントロールしてるサーバが指定した不特定多数の相手に

自分にとって邪魔な人間に消えてもらうために「児童ポルノ・アタック」を仕掛けた男性 (/.J 記事) に懲役 12 年の判決が下されたそうだ (本家 /. 記事より) 。 英国の Neil Weiner 氏は、以前から折り合いの悪かった学校の管理人 Edward Thompson 氏が役職から解雇され、自分がその座につけるよう Thompson 氏のコンピュータに児童ポルノを仕込んだとされている。裁判では 2 件の児童ポルノ所持及び 1 件の司法妨害で懲役 12 年の有罪判決が下されたとのこと。この事件は、裁判官も「Thompson 氏を排除しようとの試みはもう少しで成功してしまうところであった」と認めた。また、警察が当初 Thompson 氏の逮捕を最小限の関係者にしか知らせていなかったのにも関わらず、Weiner 氏が地元メディアに情報を提供したことで事が公になり、本人や家族が大いに苦し

情報通信研究機構と三菱電機が、「量子鍵配送を用いたワンタイムパッド携帯電話ソフトウェア」を共同開発したらしい（情報通信研究機構のリリース）。 光回線を使い量子鍵配送で2者間に暗号鍵を配り、通話者はそれぞれの組織に設置した量子鍵配送装置から携帯電話に暗号鍵をダウンロードして暗号通信を行う。そして、通話の暗号化に用いる暗号鍵は使い捨てにするというもの。 これはWindows Mobile上のソフトウェアとして実装されており、音声データと同じ長さの暗号鍵で暗号化するため、二者間の通話内容を10分間暗号化するために1,200,000バイトの暗号鍵を事前共有しておくことが必要となるらしい。

オリンパスのデジカメの一部にコンピュータウィルスが混入していたことが明らかになったとのこと（マイコミジャーナル、本家/.）。 問題となっているデジカメはオリンパスの防水デジカメ「μTOUGH-6010」。混入していたウィルスの名前はアンチウィルスソフトによって異なり、トレンドマイクロでは「WORM_AUTORUN.KFJ」、シマンテックでは「Trojan.Gen」、マカフィーでは「Generic!atr」という名称で検出されるとのこと。 出荷された該当製品は合計1,709台で、オリンパスのサイトからシリアル番号を入力すれば該当しているかどうかが分かる。ウィルスの駆除方法についてもオリンパスのサイトにて説明されている。 該当製品をPCに接続するとPCがウィルスに感染するとのこと。現在のところデータの消失や改ざん、その他の障害などは報告されておらず、またMacやLinuxへの感染も報告されてい

今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと（LZH書庫のヘッダー処理における脆弱性について）。 Micco氏はこれをJVN（Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト）に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー， JVN / IPA 等共に『LZH 書庫なんて知らねぇ～よ』という態度から変わることはない」と判断できましたので， UNLHA32.DLL， UNARJ32.DLL， LHMelt の開発を中止す

セキュリティコンサルティング会社のHASHコンサルティングが、ソフトバンク携帯電話のブラウザ機能の脆弱性について発表している（『Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』）。 この脆弱性は「DNS Rebinding」と呼ばれる手法を用いるもので、認証に「かんたんログイン」を使用しているサイトがターゲットとなる。攻撃の仕組みは上記のサイトなどを参照していただきたいが、TTLを短く設定したDNSを用い、悪意のあるWebサイトのドメインに対応するIPアドレスを短期的に攻撃対象のWebサイトのものに書き換えることで、ドメインが異なるWebサイトの情報をAjaxで取得するというもの。これにより、ターゲットのサイト上で閲覧に認証が必要な情報を盗み取ることができる。 一般的なWebブラウザではセッション管理をCookieで行っているため、悪意のあるWebサイトのドメイン

ストーリー by reo 2010年04月22日 12時30分 サマーウォーズの Blu-ray をまだ観ていなかった 部門より 昨年 12 月に Google が中国から受けたという大規模サイバー攻撃で、侵入者は Google は基幹システムにアクセスできる状態になっていた。開発チームのリポジトリの管理権限まで掌握され、盗まれた情報にはパスワード管理システムのコードも含まれていた、とのことだ (The New York Times の記事、japan.internet.com の記事、本家 /. 記事より) 。 Gaia と呼ばれるパスワード管理 (認証統合) システムは Google のほぼ全てのサービスへの認証を管理する同社の基幹システム。侵入を受けた後、Google は直ちにシステムへの変更を加えたとのこと。当初発表した通り 2 件の Gmail アカウントへの不正アクセスはあった

2月18日のウォール･ストリート･ジャーナル（原文の元記事）が、米ネットウィットネスが最近明らかにしたサイバー攻撃に関する調査結果（NetWitnessのPress Release）を伝えている。 これによると、2008年後半頃から、約2500の企業・政府機関が不正アクセスを受けた可能性があるという。当然、ボットネットを中心とした攻撃だが、その指令センターはドイツにあり、東欧の犯罪組織が関わり、中国のコンピューターが使用された可能性があるという（中国のコンピューターは比較的不正操作しやすいからという）。事件の端緒をつかんだのは1月26日。ちなみに使われていたスパイウェアはZeuSと呼ばれており「free」でも入手できるが、今回の攻撃には2000ドルの有償版が使われたという。 また、先頃明らかになったGoogle等の一連の米企業へのサイバー攻撃は「中国の30代のフリーランスのセキュリティコン

既視感がある話題だが、IEのあらゆるバージョンにおいてローカルファイルへの不正アクセスを許す脆弱性が報告された（Computerworldの記事）。「この不具合は、IEやWindows Explorerがゾーン判定やHTMLコード、MIMEタイプを処理する方法に関わる設計上の特性に由来するものであるため、修正するのは難しい」と予測されている。 またMicrosoftが2月9日に公開した月例セキュリティ・パッチが「死のブルー・スクリーン（BSOD：Blue Screen of Death）騒動を引き起こしている（ITmediaの記事）。原因は「MS10-015」にあるらしい。自動更新機能を無効にしていても勝手に適用されたという話もある。 何というか、もう...