MIT、人工知能でサイバー攻撃を検出するシステム「AI Squared」を発表 | スラド セキュリティ
マサチューセッツ工科大学(MIT)のコンピュータ科学および人工知能研究所(CSAIL)が、人工知能を利用したサイバー攻撃検知システムを開発したそうだ(ZDNet Japan、Slashdot)。 従来のサイバー攻撃検出システムは人間の専門家が診断パターンを作成し、それに基づいてネットワークアクセスを分析してサイバー攻撃を検出するシステムになっている。しかし、このシステムでは診断ルールを作成する専門家が必要になるほか、診断パターンが用意されていないような攻撃は検出できない。いっぽう今回開発された「AI2」(AI Squared)というシステムでは85%の攻撃を自動で検出でき、さらに偽陽性(false positive)の検出も5分の1に減らせるという。 AI2では、2000万のユーザーによって生成された36億行のログを使ってテストおよび学習を行ったとのこと。また、一日辺り数十億行のログを処理
新たなAndroidマルウェア、2万を超えるアプリで検出。削除はほぼ不可能? | スラド セキュリティ
Baiduの「Moplus」SDKにバックドアが含まれていたことが最近話題になったが、セキュリティ企業のLookoutによると、これ以外にもAndroidを標的とする新種のマルウェアが多くのアプリに埋め込まれていることが判明したそうだ(CNET Japan)。 Google Playから入手した正規のアプリにマルウェアを組み込んで再パッケージ化し、サードパーティーのアプリストアで公開する、という手口が用いられているという。ユーザーがサードパーティーのストアから問題のあるアプリをインストールすると、アプリはルート権限を自動で取得し、デバイスシステム全体へのアクセス権を手に入れるという。またこのマルウェアを削除することはほぼ不可能で、ユーザーはデバイス本体を交換せざるを得なくなるという。 この行為自体がすでにAndroidのセキュリティに穴を開けるものだが、さらにその後は定期的にアプリ内で広告
五輪のセキュリティ対策をボランティアでやってくれるエンジニアが不足中 | スラド セキュリティ
CEATEC JAPAN 2015で9日、国内に200近くあるIT関連団体を統合し、その健全な発展を目指して政策提言や人材育成などを行っていく「一般社団法人日本IT団体連盟」を年度内に発足することが発表された。しかし、呼びかけ役のCSAJ会長、荻原紀男氏が五輪に向けてボランティアで対応するエンジニアが不足中といった趣旨の発言をしたことから、さっそくエンジニア諸氏の間で悪い意味で注目を集めているようである(ZDNet Japanの記事)。 荻原氏の発言は、 五輪に向けて政府や企業、団体などがサイバー攻撃を受ける可能性があるが、現在のエンジニアは企業などへの対応で忙しい。五輪そのものに対して、ボランティアで対応できるエンジニアが必要で、今後5年間で4万人のエンジニアを育てなくてはいけない。 という、セキュリティ対策を無償でやってくれるエンジニアが足りないとも受け取れるものになっている。記事では
HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に | スラド セキュリティ
最近SSL関連の脆弱性がたびたび話題になったが、これに関連してか、HTTPSを利用しているのにCookieのsecure属性を設定していないサイトについてが話題になっているようだ(セキュリティ研究家高木浩光氏によるTogetterまとめ)。 Cookieのsecure属性については、2004年に高木浩光氏がまとめた「安全なWebアプリ開発の鉄則 2004」の「CookieにSecure属性を」以下が分かりやすいが、この属性をセットしておくと、HTTPSでの通信時にのみそのCookieが送信される、というもの。secure属性が設定されていない場合、HTTP通信の際にもそのCookieが送信されるため、通信内容を傍受するなどでセッションIDなどが盗まれる可能性がある。 高木氏が検証したところ、secure属性が設定されていないサイトとしては全日空やニコニコ動画、OCNメールなどがあった模様。
「企業内のプライベートネットワークは安全である」という神話 | スラド セキュリティ
Googleが「企業ネットワーク」という考え方を終わらせようとしている、という話が本家slashdotで取り上げられている(Google's Plan To Kill the Corporate Network、元ネタのSCMagazine記事)。 タイトルだけ見るとなにやらよく分からないが、話としては「企業内ネットワークは安全」という考え方はやめよう、ということのようだ。Googleが考えているのは、従来の企業ネットワークの概念を廃止し、暗号化されていないアメリカの無料WiFiネットワークのような「ゼロトラストモデル」へ移行すること。ゼロトラストモデルについてはdarkreading、マイナビニュースの記事が詳しい。 Googleでこのプロジェクトに関わるHarald Wagener氏は、「現在、多くの人が当てにしている、ファイアウォールやゲートキーパーは役に立ちません。こうした周辺機器
米国の核ミサイルの発射パスワードは「00000000」だった | スラド セキュリティ
冷戦中、米国では領土への攻撃が行われた場合、迅速に核弾頭ミサイルによる反撃が行えるよう準備をしていた。核弾頭ミサイルの発射にはPermissive Action Link(PAL)と呼ばれるデバイスに発射コード(暗証番号)の入力が必要だが、この発射コードは、「00000000」という数字に設定されていたそうだ(TODAY I FOUNDOUT、本家/.)。 00000000になった理由は「入力時間を最小化するため」らしい。このパスワードは約20年間ほど使われていたとのこと。
/.Jに聞け:経産省のシステム管理基準、使ってる? | スラド セキュリティ
4.プログラミング(4) (1)プログラム設計書に基づいてプログラミングすること。 (2)プログラムコードはコーディング標準に適合していること。 (3)プログラムコード及びプログラムテスト結果を評価し、記録及び保管すること。 (4)重要プログラムは、プログラム作成者以外の者がテストすること。 などだ。いまどきプログラム設計書など作ったことなどないし、納品物として求められたこともない。そもそもプログラム設計書とは何を指すのだろうか。少し大きめの業務システムならクラス数が1000や2000を超えてしまうだろう。それをいちいち設計書を作成せよ、と言っているのだろうか。 世の中のシステム会社は、本当にこの管理基準に従った開発をやっているのだろうか?
セキュリティ専門誌「ハッカージャパン」、休刊 | スラド セキュリティ
白夜書房発行のセキュリティ専門誌「ハッカージャパン」が、現在発売中の2013年11月号をもって休刊となることが発表された(HackerJapan休刊のお知らせ)。最終巻となった11月号は奇しくも創刊15周年記念号で、これからの発展が期待される雰囲気だっただけに突然すぎる休刊発表である。 同誌は1998年発行で、ネット系雑誌の中ではかなりの古株。セキュリティ専門誌と銘打っているが、昔はクラッキングやソフトウェアの違法コピーなどアングラ寄りの話題が多く、敬遠される向きも強かった。 しかし最近は、セキュリティ絡みの話題が社会的に注目されていることもあり、最新数号の特集記事を挙げてみても、フォレンジック・無線LANハッキング・ペネトレーションテストなど、先進的な内容が多かった。また、世界各地のセキュリティイベントのレポート記事や、セキュリティ関連の連載などに読み応えある記事も多く、セキュリティ業界
Google、Chromeでパスワードを平文で確認できることに対し「アカウントにアクセスされた時点で負け」と主張 | スラド セキュリティ
先日、Google Chromeでは保存したパスワードを平文で簡単に確認できるという話題があったが、これに対しGoogleがコメントを述べた。これによると、Googleの主張はユーザーアカウントを他人が操作する時点でもう「負け」だという(ITmedia)。 他人が自分のユーザーアカウントを操作している時点で、マルウェアのインスト-ルや履歴の閲覧などが可能なのだから、平文パスワードでも問題無い、という主張のようだ。パスワードはストレージ上には暗号化されて保存されているため、ユーザーアカウントが他人に操作されない限り問題無いという認識だろう。また、パスワードを表示するための「マスターパスワード」的な仕組みの導入も検討されたそうだが、「ユーザーに誤った安心感を与えて危険な行動を助長したくない」との理由で却下されたそうだ。 とはいえ、何らかの問題でアカウントを他人に操作される場合に被害を押さえるた
プリウスの車載システム、ハックされる | スラド セキュリティ
米国で開催されているセキュリティ関連イベント「DEFCON」で、プリウスなどの車載システムを外部から操作する方法が発表されました(朝日新聞、ロイターの記事)。急加速やブレーキ、ハンドルなど操作やエンジンの停止、燃料計の表示の操作などが披露されたそうです。 挙げられている車種はトヨタのプリウスとフォードのエスケープのようですが、ほかにも同様のハックが可能な車種はあるかもしれません。プリウスに関しては、今のところ公開されているのは車内にあるコネクタから有線で侵入するという手法だけですが、無線でクラッキングする方法もあると発表しているようです。 私が調べた限りでは、プリウスはH2V Managerという、無線LAN経由で充電などの管理を行うソリューションがあるようなので、それを経由すれば無線による操作も可能なのかもしれません。街中を走っている自動車がいきなり他人に制御を奪われる、というのはSFな
日本政府、Google Groupでの情報漏洩を受けて情報共有用の専用メールシステムを構築する方針 | スラド セキュリティ
ストーリー by hylom 2013年08月01日 18時42分 ここでYahoo!が名乗りを上げれば…… 部門より 先日、政府機関が情報共有や連絡用にGoogle Groupを利用しており、さらにそのGroupが公開状態になっていて誰もが閲覧できる状態になっていたことが明らかになったが、これを受けて政府は情報共有用の専用メールシステムを構築する方針を固めたそうだ(NHKニュース)。 単純にWebメールやメーリングリストを稼働させるサーバーを用意すればいいんじゃ、と思ったが、無駄に大がかりになってすべて独自で構築するみたいな話になってしまいそうな気もする。とはいえ、セキュリティの面では独自にシステムを構築するべきであるので、とりあえずこの決定については歓迎したい。
ユーザー名とパスワードを含む大量のTwitterアカウント情報が流出? | スラド セキュリティ
Twitterのユーザーアカウントおよびパスワード、電子メールアドレスが含まれると思われる情報が流出しているという(CNET Japan)。 流出した情報は、テキスト共有サイトpastebin.comにて公開されており、カウント名およびパスワードと見られるものが確認できる。この情報を伝えたセキュリティ情報ブログAirdemon.net(キャッシュ)によると、5万5000以上のアカウント情報が漏洩しているとのこと。 ただしTwitterの広報担当によると、このリストには2万件以上の重複があり、またすでに停止されているスパムアカウントや正しくないパスワード情報も多く含まれているとのこと。 また、一部のユーザーについてはパスワードのリセットが行われているとのことだ。該当するユーザーには個別に連絡が行っている模様。
Google Playのマルウェア、数百万人分の個人情報を収集か | スラド セキュリティ
NHK等の報道によると、Androidアプリの公式マーケット「Google Play」に3月半ば頃から人気アプリ/コンテンツの名称を冠したマルウェアが出回っており、数十万人から数百万人の大量の個人情報が収集された可能性があるという(NHKの記事、産経新聞の記事、impressの記事、ITmediaの記事)。 問題となったのは「連打の達人 the Movie」「桃太郎電鉄 the Movie」といったソフト計16本。いずれも人気アプリの使い方解説などを装っていたが、内部では利用者の名前と電話番号、Android ID、電話帳に登録されている人の名前、電話番号、メールアドレスといった情報を外部サイトに送信していた。これらのアプリは問題発覚後の13日には全て削除されたが、すでに6万6000件から最大で27万件がダウンロードされており、延べ数十万人から数百万人の大量の個人情報が流出した可能性がある
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TLS 1.0を無効化したIBMのクラウド、問題が発生して再び有効化 | スラド セキュリティ
米上院でIoTデバイスのセキュリティ対策を求める法案が提出される | スラド セキュリティ
Google Appsを利用した友達リクエスト承認についてIPAが注意喚起 | スラド セキュリティ
DDoS攻撃で逮捕者が出る、全国で初めて | スラド セキュリティ
休暇を安全に楽しむための対策 | スラド セキュリティ