プリウスの車載システム、ハックされる | スラド セキュリティ
米国で開催されているセキュリティ関連イベント「DEFCON」で、プリウスなどの車載システムを外部から操作する方法が発表されました(朝日新聞、ロイターの記事)。急加速やブレーキ、ハンドルなど操作やエンジンの停止、燃料計の表示の操作などが披露されたそうです。 挙げられている車種はトヨタのプリウスとフォードのエスケープのようですが、ほかにも同様のハックが可能な車種はあるかもしれません。プリウスに関しては、今のところ公開されているのは車内にあるコネクタから有線で侵入するという手法だけですが、無線でクラッキングする方法もあると発表しているようです。 私が調べた限りでは、プリウスはH2V Managerという、無線LAN経由で充電などの管理を行うソリューションがあるようなので、それを経由すれば無線による操作も可能なのかもしれません。街中を走っている自動車がいきなり他人に制御を奪われる、というのはSFな
Google が Android アプリケーションのマルウェア対策をさらに強化 | スラド セキュリティ
日本のユーザを標的とする Android マルウェアが増加するなど、Android アプリはすでに安全とは言えなくなっているが (RBBTODAY の記事)、10 月 12 日に Google は Android のアプリストアである Google Play のバージョンを 3.8.17 から 3.9.16 にアップデートし、マルウェア対策機能を強化した (The Next Web の記事、Android Police の記事、、本家 /. 記事より) 。 Google は 9 月にスペインのセキュリティ企業 VirusTotal を買収しておおり、これが Google Play のマルウェア対策機能の強化などを目的としているのだろうと予想されていた (ITmedia ニュースの記事)。大きな変更点としては「マイアプリ」→「すべての一覧」からこれまでインストールしたアプリが手動削除できるよ
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
中国の検閲ソフトは世界最大のボットネットになりうるか | スラド セキュリティ
ストーリー by hayakawa 2009年06月14日 13時03分 一定以上のシェアを持つソフトウェアなら、例外なく危惧されることのような気がするが…… 部門より 本家/.より。 今年7月から、中国で販売される全てのパソコン製品にインストールされるという、有害サイト遮断ソフトウェア「Green Dam Youth Escort」を利用した、世界最大のボットネットが構築される可能性が指摘されている(/.J過去記事)。 ボットネットは、政府によって意図的に構築される可能性もあるし、脆弱性を利用したものとなるかもしれないという。Social SignalのブロガーRob Cottingham氏は、このソフトウェアが青少年を有害なコンテンツから守るだけでなく、今後中国政府にとって不利益となるサイトへのアクセスを禁ずる「検閲ソフト」となる可能性を危惧している。さらにアップデートの際、ボットネッ
コーヒーメーカーの脆弱性が発覚 | スラド セキュリティ
ついにコーヒーメーカーの脆弱性が発覚した。 Jura-Capresso社から発売されているF90型コーヒーメーカーには別売りのインターネット接続キットがあり、インターネット経由でPCからお好みのコーヒー設定などが行える。しかし、この接続キットには脆弱性があり、外部からの不正アクセスによってコーヒーの濃さや水量設定を変更したり、互換性の無いパラメータを設定することで故障させることも出来るという。 ここまでならまだ笑い話で済むが、この脆弱性を利用してユーザのWindows XPシステムへアクセスすることも可能とのこと。現在のところパッチは無い(本家/.記事より)。 コーヒーメーカーの操作は、台所まで行って自分でやるのが安全のようです。 どうも、このコーヒーメーカーのインターネット接続キットは、PCと接続して使用するものだそうで、そのためにWindows XPシステムへのアクセスまで可能になって
Winnyとプライバシー保護 | スラド セキュリティ
INTERNET Watchの記事より。情報処理技術と刑事事件に関する共同シンポジウムにて、高木浩光氏が講演を行った。その中で高木氏は、Winnyの技術的問題点に触れ、名誉毀損やプライバシー侵害が起きた場合にそれを止められないことが問題だと指摘した。これは高木氏の従来からの主張である。その上で代替手段の提案や、削除要求機能を持ったsquirtの可能性と挫折に付いても触れている (『Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根』も参照)。 しかし、名誉毀損やプライバシー侵害の観点からWinnyネットワークを評価するのは、もうひとつ論点として浸透していない、あるいは議論の深化が進んでいないように思う (例えば/.Jの『 Winnyを利用して故意に名簿流出』記事での同主張を巡るスレッド)。しかし、金子勇氏への一審判決を見ると、技術者の社会的責任や倫理が法的に問われる未来がくる可
スラッシュドット ジャパン | Google: Gmailに脆弱性、Google Calculator停止中
2006年、Web2.0の旗手として名を馳せたGoogleだが、本家/.の記事によると新年早々、悪意のあるサイトによってGmailのコンタクトリストが入手される可能性のある脆弱性が指摘されたそうだ(cyber-knowledge.netの元記事)。Gmailが Javascriptファイルとしてコンタクトリストを保存しているのが問題の根幹らしい。なお、GooglifiedのBlog記事によるとすでにfixされた模様。 また、これもGooglifiedのBlog記事によれば、Google Calculatorが現在動作していないそうだ。たしかにタレコミ時点(1/2 9:00JST)では、先日の燃費算出変更のストーリーにあったガロン⇒リットルの換算や人生、宇宙、すべての答えの答えを表示できていない。 編集者追記: 記事掲載時点では「すでにfixされた模様」だったのだが、その後Googlifie
ブラウザのパスワードマネジャを信頼して大丈夫? | スラド セキュリティ
本家記事 Firefox 2.0 Password Manager Bug Exposes Passwords によると、Firefox に Reverse Cross-Site Request (RCSR) 脆弱性があるという報告が Bugzilla へ寄せられています。 Firefox のパスワードマネジャは、記憶したパスワードを同一ドメインの別ページにも適用するそうですが、 Chapin Information Services による PoC では、 その際に hidden や display:none を使うことで「知らないうちに」情報が抜き取られるようにしています。 この実例は 10 月の時点で Netcraft が発見 していたそうですので、MySpace 利用者は念のためパスワード変更などの対策をとるべきかもしれません。 さて、今回の件で根本的な問題はどこにあるのでしょうか
知らぬ間にファイルに摺り込まれる情報、気にしてますか? | スラド セキュリティ
例えばMS-Excelなら、OSのセットアップ時やソフトウェア自体のインストール時に登録された「企業名」「担当者名」などの情報が標準状態では全てのファイルに書き込まれる(当人が意識できていない状況では、むしろファイル自体に摺り込まれていると云えるかも)訳ですが、それが元で談合の嫌疑がかけられたという事例が報告(日経BP KEN-Platz)されております。実態としては過去の類似案件にて施工業者から提供された(おそらくは納品物である)特定のファイルをそのまま転用してしまったと言う事のようですが、なるほど、確かにそのようなプロパティの存在を知らずに外部提供のファイルをそのまま転用しているという人は結構存在していそうです。 /.Jな皆さんはその辺は気にしているとは思いますが、それでもうっかり忘れで痛い目にあったり、逆に取引相手からもらったファイルが競合他社からの提出物(そのもの、或いは、転用物)
Googleカレンダーからの情報流出にご用心 | スラド セキュリティ
Masw.曰く、"セキュリティホールmemo経由で知ったのですが、「大西 宏のマーケティング・エッセンス」によるとGoogle カレンダーに書き込んだスケジュールが漏れてしまう可能性があるとのことです。 といってもなにかの脆弱性があるわけではなくユーザ自身による単純なヒューマンエラーで、「カレンダー共有」の設定をする際に、特定ユーザではなく「全てのユーザ」と共有する設定にしてしまっているのが原因のようです(初期設定では共有無し)。 実際、「他のカレンダー」の検索窓にキーワードを入れるだけで「このカレンダーのすべての情報をすべてのユーザーと共有」に設定されているユーザーのスケジュールがリストアップされてしまいます。試しに幾つか打ち込んでみると、かなりプライベートな情報がぽろぽろと出てきます。あまりのヤバさに忘れろ忘れろと自己暗示をかけている最中です。 私はもともと共有させていなかったのですが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
