身代金ではなくセキュリティ記事を読むように要求するランサムウェア「Koolova」 | スラド セキュリティ
セキュリティ研究者のMichael Gillespie氏が12月、「身代金」の代わりにセキュリティ記事を読むよう要求するランサムウェア「Koolova」を発見していたそうだ(Michael Gillespie氏のツイート、 Neowinの記事、 Bleeping Computerの記事、 The Hacker Newsの記事)。 Koolovaはランサムメッセージでランサムウェア「Jigsaw」の良い方の双子だと自己紹介し、ファイルを復号するには2本のセキュリティ記事を読む必要があると表示する。Jigsawは身代金を支払わなければ1時間おきに暗号化したファイルを削除していくというもので、Koolovaも時間内に記事を読まなければファイルが削除されるという。 読むことを要求されるのはGoogle Security Blogのブラウズ中に安全を保つ方法を解説する記事と、Bleeping Com
多くのユーザーは所有機器のファーム更新に興味なし | スラド セキュリティ
ファームウェアのアップデートで不具合が発生したり、製品が利用不能(文鎮化)になってしまった経験から、アップデートをしたがらなくなった人も多いのでは? 私の場合、特にロジテック(エレコムグループ)の製品で、アップデートに失敗(いつまで経ってもアップデートが終わらず、一晩放置してから電源を抜いて再起動したら以後起動すらしなくなる等)して壊れた経験が何度もあります。 現実問題として、説明をよく読んで正しい方法でファームウェアをアップデートしても不具合が発生することが多く、保証期間内でも「ファームウェアの更新失敗は保証対象外」だと言われるケースがあります。 例えば、NAS・ルーター・ネットワークカメラなどの脆弱性関係のファームウェア更新もあるのにも関わらず、Compro製品には下記の国内正規代理店の保証 [cfd.co.jp] では、「FWやソフトウェアの更新に失敗した場合」は保証期間中でも「有償
米CNBCがセキュリティ記事を悪用してパスワードを収集・共有していたことが明らかに | スラド セキュリティ
米ニュース系メディアCNBCが火曜日に「安全なパスワードを作成するためのヒント」という記事を掲載した。しかし、皮肉なことにその記事が人々のパスワードを暴露する結果になってしまったそうだ(PCWorld、TNW、EXTREMETECH、Slashdot)。 問題の記事では、パスワードの強度がどれくらい高いかを調べることができる対話型フォームが用意されていた。このフォームには「娯楽と教育目的のみ使用され、パスワードは保存しない」と記載されている。しかし、実際にはパスワードやトラフィック分析は、Googleドキュメントのスプレッドシートに入力されていたという。またサーバーとの接続は通常のHTTP接続で、データは暗号化されていなかったそうだ。 さらにセキュリティ研究者であるAshkan Soltani氏によれば、CNBCの広告ネットワークや他の関係者に入力されたパスワードが送信されていたという。そ
連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 | スラド セキュリティ
米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ
ECサイト「こまもの本舗」に不正アクセス、セキュリティコードを含むカード情報などが漏洩 | スラド セキュリティ
ECサイト「こまもの本舗」が不正アクセスを受け、個人情報の流出が発生した(こまもの本舗運営の発表)。流出した情報にはクレジットカード番号やセキュリティコードも含まれるという。 同サイトで2010年4月から10月および2015年8月から12月の間に注文を行った利用者、計6532件の情報が漏洩した可能性があるという。流出した情報にはカード名義人名、カード番号、有効期限、セキュリティコード、メールアドレスが含まれるとのこと。流出の可能性がある顧客には封書で連絡を行っている。同社はこまもの本舗以外にも楽天市場やYahoo!ショッピングにも出店しているが、これら他社運営ショッピングモールは対象外。 漏洩はクレジットカード決済代行会社からの連絡で発覚したとのこと。インターネット上からデータベースを不正に操作する攻撃を受けたとのことで、ウイルス等による情報漏洩ではないという。
マイナンバーカードは顔写真のない身分証と番号だけで取得できる | スラド セキュリティ
今年1月、他人名義の住民基本台帳カード(住基カード)を使って別人に成りすまし交通違反を免れようとした京都市の医師が逮捕されるという事件があった(読売新聞)。この事件は交通違反時に「免許証を忘れた」として他人名義の住基カードを提示して交通違反切符に署名を行ったというもの。使われた住基カードに記載された顔写真は容疑者本人のものだったが、名前や住所はこの医師が経営する病院の男性患者のものだったという。 住基カードは健康保険証など顔写真のない身分証2点を提示すれば申請できたとのことで、これを悪用して自身の顔写真入り住基カードが作成されたようだ。そして、これと同様に個人番号カード(マイナンバーカード)も、個人番号が分かれば顔写真のない身分証だけで作成できてしまうという(産経新聞)。 顔写真入り身分証を持たない人への交付を行えるようにするためにこのような仕組みになっているようだ。しかし、マイナンバーカ
豪メルボルン、大病院のネットワークでWindows XPがウイルスに感染して大混乱 | スラド セキュリティ
Royal Melbourne Hospitalなどを運営するオーストラリア・メルボルンで最大級の病院ネットワーク、Melbourne Healthのコンピューターシステムがウイルスに感染し、病院の業務が大混乱に陥ったそうだ(The Ageの記事、 news.com.auの記事、 9news.com.auの記事、 Royal Melbourne HospitalのFacebook投稿)。 ウイルス感染による問題発生を知らせる電子メールが病院スタッフに送られたのは18日(月曜日)だが、感染が始まったのは15日(金曜日)午後のことだという。Melbourne HealthのコンピューターネットワークにはWindows XPマシンが混在しており、これらがウイルスに感染したようだ。 病理学科では血液検査や組織検査、尿検査などの処理を手作業で行うことになり、緊急の病理サンプル以外は処理できないことを
Chrome 45のセキュリティ改善により、開けないサイトが現れる(更新) | スラド セキュリティ
Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、 ヤマト運輸のクロネコメンバーズ、 ミスタードーナツ、 ダスキン、 出版社共同ネット、 競輪、 J-CASTの東京バーゲンマニア、 神奈川県教育委員会ネットワークシステム、 東京学芸大学、 太平洋フェリー などがHTTPS経由で開けないようだ。 編注: タレこみにあった日本自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセス
Kaspersky、ライバルが誤検出するよう妨害工作をしていた? | スラド セキュリティ
Kaspersky Labがライバルのアンチウィルスソフトを妨害するため、誤検出を引き起こすように仕向けていたと元従業員2名が証言しているそうだ(Reutersの記事、 TNW Newsの記事、 V3.co.ukの記事)。 ターゲットとなったのはMicrosoftやAVG、Avastなどのライバル製品で、一部の妨害工作はユージン・カスペルスキー氏が指示していたそうだ。現在ではセキュリティーソフトウェアを開発する企業間で情報が共有され、検出エンジンを互いにライセンスすることで迅速な脅威の検出が可能となっている。 しかし、カスペルスキー氏はライバル企業が独自の技術を開発せず、同社の技術を盗んでいると考えていたのだという。実際に同社の技術が盗まれていることを証明するため、Kasperskyは10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして
メール添付型の攻撃は99%脆弱性を悪用しない | スラド セキュリティ
日本IBMが、2014年下半期(7月から12月)における国内のサイバー攻撃の動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を公表した。それによると、メール添付されるウイルスなどの攻撃ファイルのうち、ソフトウェアの脆弱性を突くのはわずか1.3%で、脆弱性を悪用しない攻撃がほとんどだったそうだ(日経PCオンライン)。 脆弱性を悪用しない攻撃ファイルのうち、59.9%は単純な実行形式ファイルで、38.8%は悪質なマクロを含むOfficeファイルなどだった。脆弱性を悪用しないメール攻撃が多い理由として、添付ファイルを利用する攻撃では脆弱性悪用の有無にかかわらず、ユーザーにファイルを開かせる必要があるためだろうとしている。
Microsoft Security Essentials、39%のマルウェアを検出できず | スラド セキュリティ
Dennis Technology Labs(DTL)が実施したセキュリティーソフトウェア9製品のテスト結果によると、Microsoft Security Essentialsの検出率が最も低く、100種類のマルウェアのうち、61種類しか検出できなかったそうだ(DTLのリポート: PDF、 PC Proの記事、 本家/.)。 テストはWindows 7上で行われ、マルウェアの検出率と正規ソフトウェアの誤検出率からトータルの正確性が算出されている。9製品中8製品が87種類以上のマルウェアを検出したのに対し、Microsoft Security Essentialsが検出できたのは61種類。このうち実行前にブロックできたのは46種類だったという。誤検出率は低かったものの、トータルでは66%の正確性で8位となった。最も成績が良かったのはKaspersky Internet Security 20
バックドアのある乱数生成アルゴリズムの採用に対し、RSAがNSAから1千万ドルを受け取っていたとReutersが報じる | スラド セキュリティ
NSAが作成したバックドアのある乱数生成アルゴリズムの採用について、RSAが1千万ドルを受け取っていたとReutersが報じている(Reutersの記事、 SlashGearの記事、 本家/.)。 乱数生成アルゴリズム「Dual_EC_DRBG」の脆弱性は9月にエドワード・スノーデン氏のリークで明らかとなり(/.J記事)、RSAでもユーザーに対して同アルゴリズムを使用しないように呼びかけている。しかし、NSAがRSAに対し、同アルゴリズムを暗号ツールBsafeでデフォルトまたは優先のアルゴリズムとして採用するように働きかけ、その対価として1千万ドルを支払っていたという。RSAと親会社のEMCはこの件に関するコメントを避けているが、RSAは常に顧客の利益を優先しており、故意にバックドアを設けることはないなどとする声明を出しているとのことだ。
Android 4.3で追加されたパーミッション設定機能、Android 4.4.2で削除される | スラド セキュリティ
Android 4.3では個人情報などへのアクセス許可をアプリごとに設定できる「App Ops」という隠し機能が追加されていたが、先日リリースされたAndroid 4.4.2で取り除かれてしまったそうだ(Electronic Frontier Foundationの記事、 The Vergeの記事、 本家/.)。 Androidアプリには、システムリソースや個人情報などへのアクセスを要求するパーミッション設定がある。アプリの中には無断で個人情報を外部送信するものも多いが、各項目へのアクセス許可をユーザーが指定することはできず、インストール時に確認してアプリを使うかどうかを選択することしかできなかった。Android 4.3ではApp Opsを使用することで、アプリが要求するアクセス許可の項目をリストアップし、望ましくない項目を無効化できるようになっていた。しかし、Android 4.4.2
セキュリティ向上のためにはJavaは消すべき | スラド セキュリティ
わかって書いている人とわからずに書いている人がいるみたいなので、ちょっと書いておく。 最近の攻撃の傾向を分析するとブラウザのプラグインが激しく狙われているといことがわかっています。 OS やブラウザのバグは自動アップデートなどで対策が進んでいるので攻撃対象がプラグインに向いている状況です。 Flash や Adobe Reader などもそうなのだけど、特に Java は狙われています。 1) 深刻なセキュリティ問題が頻出し続けている 2) ユーザが利用していないのにインストールしていてる 3) ユーザがアップデートしていないことが多い 4) ブラウザクリックなどで比較的に簡単に攻撃できる 5) ゼロデイの脆弱性が見つかっているのに対応版が出るのが遅いことがある などなど、攻撃者に好まれる要素が多数ああるのが原因でしょう。 Java の好き嫌いではなくて、今現在 Java が徹底的に狙われ
Twitter、暗号解読されても過去のデータが読めないようにするデータ保護技術を採用 | スラド セキュリティ
通常、SSLでは最初だけ公開鍵/秘密鍵ペアを使って相手の確認と共有鍵の交換をして、その後は共有鍵暗号を使って通信します。 共有鍵の生成・交換方法はいくつかあるのですが、これが公開鍵/秘密鍵ペアから共有鍵を生成するような仕組みですと、後で秘密鍵を解読された場合に共有鍵もわかってしまいます。つまり、攻撃者に暗号通信を保存されて、あとで秘密鍵を解読されると全ての暗号通信が解読されてしまいます。 一方、毎回乱数などから生成して、しかも公開鍵/秘密鍵を使わずに交換するようにすると秘密鍵が解読されても過去の暗号通信の内容は解読できませんし、暗号通信の一部が解読されても他の部分は解読できません。このような性質をパーフェクトフォワードセキュリティと呼びます。 そのような交換方法としてはDiffie–Hellman鍵交換法があり、今回Twitterで採用されたのもその一種で、ほとんどのブラウザのSSL実装に
D-Link製ルータにUser-Agent偽装で認証なしに設定変更ができるバックドアが見つかる | スラド セキュリティ
D-Link製のルータに、User-Agentを「xmlset_roodkcableoj28840ybtide」という文字列にしただけで設定を変更できてしまうというバックドアがあるらしいです(解説しているブログ記事:Reverse Engineering a D-Link Backdoor)。 同じファームウェアがPlanexのBRL-04URやBRL-04CWにも使われているそうです。犯人はJoelさんなのでしょうか。 ファームウェアを解析したところ、この文字列および認証をパスするコードが発見されたという。通常このようなルータの管理画面は内部ネットワーク側からしかアクセスできないはずなので、外部からの攻撃に使われることはないとは思うが、注意しておいたほうがよさそうだ。
NAVERへの不正アクセス事件、「流出データの削除」に成功 | スラド セキュリティ
先日、NAVERアカウントを管理するサーバーに不正アクセス、約169万件のアカウント情報流出かという話題があったが、この事件でLINEが攻撃者を特定、「不正アクセスされた会員情報の不正使用、第三者への提供等の痕跡が一切無いこと」を発表した(ITpro、LINEの発表)。 事件発覚後、LINEは警視庁に被害届を提出。警視庁の捜査の過程で攻撃元の国を特定し、現地警察へ協力要請、攻撃者を特定できたという。すべての流出データの削除に成功したほか、本人の自供また現場検証で「不正ログインによるアクセス、データの改ざん、第三者に提供した痕跡などは一切確認されませんでした」とのこと。 なお、侵入者の国名は明らかにされていない。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Windows XPのサポート終了に関連する諸問題は誰の責任か | スラド セキュリティ
楽天への不正アクセス、不正に窃取したポイントは紙おむつにして換金していた | スラド セキュリティ
切断された指ではiPhone 5sの指紋認証は突破できない | スラド セキュリティ