ストーリー by hylom 2018年08月28日 18時53分 サービス側も長いパスワードを利用できるようにしましょうね 部門より JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている。 提示されている「安全なパスワードの条件」は次の通り。 パスワードの文字列は、長めにする（12文字以上を推奨）インターネットサービスで利用できる様々な文字種（大小英字、数字、記号）を組み合わせると、より強固になる推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける他のサービスで使用しているパスワードは使用しない この理由についても説明されており、結局の

「海賊版サイトをブロッキングする代わりに、権利者が海賊版サイトに直接DoS攻撃を仕掛ける」という提案が、「インターネット上の海賊版対策に関する勉強会」で出されている（ITmediaの記事1、記事2、日経xTECH）。 この提案は、日本IT団体連盟から出されたもの。海賊版サイトの対策として、権利者が自ら「権利者による海賊版サイトへのDoS攻撃」をするという提案だが、「犯罪行為だ」「正当防衛にならないのでは」「法治国家の発想ではない」という批判も出ている。 DoS攻撃はCloudflareのようなCDNサービスに対しては効果が薄いとされており、現実的ではないとういう批判もある。さらに、EDoS攻撃（相手に経済的損失を与えるDos攻撃）でも、CloudflareはDDoS攻撃を受けて生じた損害分は無料とするサービスを開始しており、有効ではないと考えられる（TechCrunch Japan） なお

オンラインゲームのチートツールに仮想通貨を採掘（マイニング）するための機能を隠して埋め込んで配布していた兵庫県の男性に対し、仙台地裁が懲役1年、執行猶予3年の判決を下した（河北新報、@niftyニュース）。 被害者がこのツールを自分のPCにダウンロードして実行するとマイニングが実行され、被告がそれによって仮想通貨を得られるようになっていたという。 なお、先日Webサイトに採掘用のスクリプトを埋め込んでWebブラウザに採掘を実行される行為が摘発されたが、今回の案件はこれとは異なるもの。

ストーリー by hylom 2018年07月04日 8時00分 キャリアがデータを改ざんする可能性は十分あるんだけどなあ 部門より GoogleはHTTPSプロトコルの採用を促進することで、ウェブ上のセキュリティを強化する方針を打ち出している。これに対し反対する声がSlashdotで紹介されている（Slashdot）。 反対の理由としては、まずGoogleが勝手にWebのルールを決めることに対する反感が挙げられている。それに加えて、Web上にはメンテナンスされていないWebサイトのコンテンツがあり、こういったコンテンツはHTTPに対応できないといったことが挙げられている。そのため、GoogleのHTTP廃止計画が成功すれば、多くの過去のWebサイトのコンテンツにアクセスできなくなる可能性があるとし、Googleの試みは、大量の本を燃やす焚書のようなものだと指摘している。 またSlashd

創作の世界で現実的でない手法を使うハッカーが描かれることはよくあるが、現在放送中のアニメ「ルパン三世 PART5」に登場するハッカーは現実的に描かれているそうだ（ITmedia）。 たとえば作中で工場のネットワークに侵入した場面では、機械の出荷時に設定されていたデフォルトのユーザー名とパスワードを使ってログイン認証を突破するという現実的な手法を使っているほか、相手の端末をマルウェアに感染させるために「標的型のメール攻撃」を使ったり、SNSを活用したりと、実際にサイバー犯罪で使われているような手法が作中に登場しているという。 また、作中で登場する仮想通貨やアンダーグラウンドネットワークも現実世界のものに近く、セキュリティ研究者も満足して見られる内容だという。

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告している（ITmedia）。 この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。 こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

広告やスクリプトによるユーザー追跡をブロックするツールを提供しているGhosteryが、複数の顧客に送信するメールにおいて送信先メールアドレスをBcc:ではなくTo:で指定するというミスをしてしまったようだ。その結果、多数のメールアドレスが記載されたメールが顧客に届く事態となった（BleepingComputer、ScanNetSecurity）。 一括送信メールでBcc:ではなくTo:を利用してしまったためのトラブルはよく聞く話ではあるが、今回の件は送信されたメールが欧州の一般データ保護規則（GDPR）対応のための個人情報ポリシー変更通知メールであり、メール内には個人情報保護のための対応を済ませたなどと記載されていたことから話題となっている。 このメールはなんらかのバッチ処理で送信されたようで、各メールのTo:欄には500件のメールアドレスが入力されていたという。Ghosteryはこれに

ブロックチェーンを用いる仮想通貨（暗号通貨）に対し攻撃を行える「Block withholding attack」もしくは「Selfish Mining」と呼ばれる手法がかねてより指摘されていたが、5月15日に仮想通貨「モナコイン」に対して実際にこの攻撃が行われ、ある取引所が1,000万円近い被害を出したことが報告されている（ITmedia、/Junya Hirano.com）。 「Block withholding attack」は暗号通貨の「採掘したブロックが衝突（コンフリクト）した場合にチェーンが長い方を正とする」という仕様をついた攻撃手法。攻撃者は強力なマシンを用いてローカルに未公開かつ長いブロックチェーンを貯めこみ、タイミングを図ってこれを公開することで、それまで正とされていたブロックチェーンを無効化するという。攻撃者は無効化前に取引所でコインを換金することで利益を得たようだ。

昨今の絵文字の普及により、最近ではパスワードに絵文字を使う提案も出ている。とはいえ多くのシステムではパスワードとして半角英数字と一部の記号しか使えないが、不正アクセスを狙う攻撃者が非ASCII文字を含んだパスワードを使う例があるという（www.morihi-soc.net）。 記事によると、ハニーポットとしてSSHでアクセスできるサーバーを公開したところ、いくつかASCII文字ではない文字を含んだパスワードを使って不正ログインを試みた例が観測できたという。また、辞書攻撃に使われるパスワードを含んだ辞書データ中にも非ASCII文字を使ったパスワードが含まれているそうだ。ただ、逆感嘆符（¡­）や、アクサンテギュ（´）付きの文字が多かったとのことで、こういった文字が使われている言語圏でパスワードとしても使われていると推測されている。ちなみに絵文字を使ったパスワードは見つからなかったそうだ。

神奈川県警が昨年12月、コンピュータウイルスを作成した小学3年生（9歳）について、不正指令電磁的記録提供などの非行内容で児童相談所に通告していたという（毎日新聞、産経新聞）。 男児は「友達を驚かせたかった」などと話していたという。ウイルスが使われた形跡はなかったが、これをダウンロードした男児らも児童相談所に通告されたという。 日刊ゲンダイによると、動画サイトでウイルスの作成方法が公開されており、プログラミングへの興味を持つ児童がこれを実践してしまうことは珍しくないという。実際、この件に関係しているかどうかは不明だが、ブログにウイルスの作り方を掲載し、またウイルスをサーバー上に保管していたという高校生が書類送検される事件も起きている。この高校生はブログで9,000円ほどの広告収入を得ていたという。

4G LTEネットワークに対する新たな攻撃手法が発見された。これを利用することで、ネットワーク内で送受信されるメッセージを横取りしたり、ユーザーの位置情報を追跡したり、端末をネットワークから切り離したり、偽の緊急速報を送りつけることができるという（ZDNet、GIGAZINE、Slashdot）。 実際に米国の大手通信キャリアのSIMカードでこの攻撃が有効であることも確認されているという。この攻撃を行うには一般的なソフトウェア無線デバイスと4G LTEプロトコルを実装したオープンソースソフトウェアなどを使ってって実装できるといい、それに必要なコストは1300～3900ドル程度だという。

Appleの共同創業者スティーブ・ウォズニアック氏がビットコインを詐取された体験と犯人の手口を語っている（The Economic Times、Mashable、SlashGear）。 ウォズニアック氏はインド・ニューデリーで開催されたEconomic TimesのGlobal Business Summit（ET GBS）にスピーカーとして登壇。政府に操作されず、数学的で、純粋であり、改ざんされることはない通貨がビットコインだったというウォズニアック氏は、投資目的ではなく実験のためにビットコインを入手していたのだという。ウォズニアック氏はいつの日かクレジットカードや財布、現金を使わずにビットコインだけで旅ができると考えていたが、現時点では難しいことがわかり、オンラインでの買い物やビットコインの売買を試していたそうだ。 しかし、ビットコイン価格が上下するのを毎日のように見るのが嫌になり、実

宇宙人から来たメッセージにより、人類のコンピューターがハッキングされてしまうかもしれない。天体物理学者のMichael Hippke氏とJohn Learn氏はそう警告する（CNBC、Slashdot）。 彼らの論文によると、人類の電波望遠鏡が危険なメッセージを拾うかもしれないという。例えば、コンピュータをシャットダウンするウイルス、あるいは宇宙からの脅迫状のようなものだ。もしかしたら、太陽を超新星にして地球を破壊してしまうかもしれない。 天体物理学者たちはまた、地球外生命体がサイバー攻撃を開始することで、彼らの意志（不快感）を表明する可能性があるとしている。

GitHub上に「SecLists」という、よくあるパスワードなどをまとめたリポジトリがあるのだが、そこに「Remove my password from lists so hackers won't be able to hack me」（リストから僕のパスワードを削除してください。そうすればハッカーが僕をハッキングすることはなくなるはずだ）というプルリクエストが届き、大いに盛り上がりを見せているらしい（該当のプルリクエスト、GIGAZINE）。 どうやら投稿したassafnativさんのパスワードはdolphinsだったようで、問題のプルリクエストでは一覧からdolphinsだけがせっせと削除されている。これに対して、ほかのユーザーからは総ツッコみが入っており、「全世界が君のパスワードを知った」「12345も消すべきだ」「ファイル名を10_million_password_list_t

どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ（4chan.org、TechCrunch）。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。 影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社

ユーザーの目につきにくい位置にWebブラウザーのポップアップウィンドウを開き、仮想通貨採掘スクリプトを実行する手法が確認されたそうだ(Malwarebytes Labsの記事、 Ars Technicaの記事、 The Registerの記事、 Windows Centralの記事)。 Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。 新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くとい

Mozillaでは、個人情報流出の発生したWebサイトにFirefoxでアクセスした際、その旨をユーザーに通知する機能の開発を進めているそうだ(Firefox Nightly Newsの記事、 The Registerの記事、 BleepingComputerの記事、 GitHub - BreachAlerts)。 この機能はアカウント情報流出を確認できるWebサイト「Have I been pwned?」のAPIを利用したものだ。現在、Firefox 58/59に拡張機能として追加可能なプロトタイプがGitHubで公開されている。目標としては個人情報流出の被害が最近発生したWebサイトを訪問するユーザーに情報提供し、ユーザーが希望すれば電子メールでの通知サービスも利用可能にすることとなっている。 ただし、プロトタイプではadobe.comやlinkedin.comのように、個人情報流出の

Google PlayにWhatsApp Messengerの偽アプリが複数出現しているようだ(The Registerの記事)。 The Registerが紹介しているのは「Update WhatsApp Messenger」という名称のアプリで、Redditユーザーの調査によると開発者名は正規の開発者と同じ「WhatsApp Inc.」の後ろに「0xC2」「0xA0」の2バイトが付加されていたという。付加された2バイト分は画面上で表示されないので、正規の開発者によるアプリのようにみえる。アプリの内容は基本的に他のアプリの広告を表示するだけのもので、「whatsapp.apk」をダウンロードするコードも含まれていたそうだ。このアプリは既に削除されているが、The Registerによれば100万回以上ダウンロードされていたとのこと。 ただし、偽アプリはこれだけではない。Google Pl

以前、人工知能を搭載したラブドールが開発されているという話があったが、こうした人工知能搭載ラブドールがハッキングされ、ユーザーを襲う危険性が懸念されている（DailyStar、カラパイア）。 サイバーセキュリティを専門とするオーストラリア・Deakin UniversityのNick Patterson教授によると、人間の労働者が人間のようなロボットに置き換えられる時代はすぐ来るという。それらには携帯電話やタブレット、PCのようにOSが搭載され、またこれらがインターネットに接続されることは容易に想定できる。そのときに問題となるのが、サイバー攻撃の標的となることだという。そして、「セックスロボット」の登場や、それがハッキングされる可能性も十分に考えられるという。 リアルな人間のような動きが可能なロボットがもし実現したとすると、それらは人間に危害を加える能力を十分に備えている。セックスロボット

周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「The Internet of Hackable Things（PDF）」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフトで70％の機器がパスワードを簡単に解析されてしまう、多くの機器が暗号化されていないネットワークを使用していることなどを指摘している（NETWORKWORLD、Slashdot）。 デバイスメーカー側にも責任の一端があると指摘する。開発段階からセキュリティのことを考慮している組織は48％。デバイスのリモートアップデートを提供している企業は49％。IoTのセキュリティ専門家を雇う企業は20％ほどしかいない。またセキュリティ研