CEATEC JAPAN 2015で9日、国内に200近くあるIT関連団体を統合し、その健全な発展を目指して政策提言や人材育成などを行っていく「一般社団法人日本IT団体連盟」を年度内に発足することが発表された。しかし、呼びかけ役のCSAJ会長、荻原紀男氏が五輪に向けてボランティアで対応するエンジニアが不足中といった趣旨の発言をしたことから、さっそくエンジニア諸氏の間で悪い意味で注目を集めているようである(ZDNet Japanの記事)。 荻原氏の発言は、 五輪に向けて政府や企業、団体などがサイバー攻撃を受ける可能性があるが、現在のエンジニアは企業などへの対応で忙しい。五輪そのものに対して、ボランティアで対応できるエンジニアが必要で、今後5年間で4万人のエンジニアを育てなくてはいけない。 という、セキュリティ対策を無償でやってくれるエンジニアが足りないとも受け取れるものになっている。記事では

今年行われている国勢調査ではPCやスマートフォンなどでの回答が可能になっているが、その国勢調査オンライン回答サイトのフィッシングサイトが発見された。偽サイトのアドレスは http://www.e-kokusei-go.jp/ で、本物のサイト（http://www.e-kokusei.go.jp/）のドメインと見分けがつきにくい。 偽サイトのトップページは1つの画像で構成され、クリックすると「このサイトは偽サイトです。気をつけてください。正しいサイトは下記です。http://www.e-kokusei.go.jp/」というページが表示される。ドメインの登録社名は株式会社のらねこ、となっている。 これから回答される方は、調査員から受け取った書類で十分にドメインを確認してアクセスされたい。 なお、すでに上記のサイトは削除されており、アクセスすると「関係者の皆様をはじめ、多くの皆様に多大なご迷惑

ロジテックの家庭用ルーターを狙ったサイバー攻撃が多発しているとのこと。問題のルーターは2009年から2012年にかけて販売された300Mbps無線LANブロードバンドルータ「LAN-W300N/R」および「LAN-W300N/RS」、「LAN-W300N/RU2」のようだ（ロジテックの発表、INTERNET Watch）。 これら製品にはPPPoEの認証IDおよびパスワードが外部から取得されるという脆弱性があるとのこと。ファームウェア更新で対処できるという（NHK）。

使わなくなったパソコンや携帯電話を人に譲ったり、中古買取業者に売ったりする場合は個人情報保護の観点からデータを完全に抹消しておく必要がある。しかし、英ケンブリッジ大学の研究チームが行った調査の結果、Androidの端末データ初期化機能ではデータが完全に抹消されず、個人情報の一部などが復元可能なことが判明したそうだ(論文: PDF、 Light Blue Touchpaperの記事、 V3.co.ukの記事)。 研究チームでは5つのメーカーの中古Android端末21台(Android 2.3.x～4.3)を使用して、データ初期化の動作や残されるデータを調査。その結果、多くの端末で元の持ち主の情報やインストールされていたアプリのリスト、連絡先、Webブラウズ履歴、認証情報、マルチメディアデータ、メッセージデータなどの少なくとも一部が復元できたという。研究チームが「マスタートークン」と呼ぶGo

政治家の記者会見で撮影された政治家の親指の写真を利用して、指紋認証を突破することに成功したというハッカーが現れたそうだ（WIRED）。 一般的なカメラで撮影した写真を元に作成した画像だけで指紋認証を突破する例は今のところ少ないようで、「先進的」と評されている。

ソニーモバイルコミュニケーションズの開発・販売するスマートフォン「Xperia」シリーズの一部機種から「baidu」という名称のディレクトリが発見され、またリモート管理サービスmy Xperiaの端末側機能が中国（北京）へ通信しているという話が出ている（すまほん!!）。 公式サポートフォーラムが発端で、海外でも話題になっているが、ソニー側の担当者は将来の更新で削除すると回答しているものの、なぜそれがあるかを把握しているわけではない模様。 「baidu」といえばスパイウェアなのか、という気がしないわけでもないが、これも日頃の行いでしょうか。 タレコミ人もmy Xperiaに対応しているXperia Z Ultra（ただしWi-Fi版）を使っているが、my Xperiaを有効にしたことがないためか、それとも電話機じゃないからか、baiduディレクトリは見当たらなかった。 問題とされている機種は

オーストラリア・シドニー国際空港の国内線ターミナル(カンタス・ターミナル3: T3)で、iPadの画面を夢中で見ながら歩いていた乗客が原因となり、保安区域から乗客全員を一時退避させる騒ぎになっていたそうだ(The Sydney Morning Heraldの記事、 CNETの記事、 The Independentの記事、 本家/.)。 トラブルが発生したのは9月27日の朝。この乗客は降機後、iPadの画面を見ながら出口に向かっていた。しかし、保安区域を出てから何を思ったのか、そのまま出口へ引き返して再び保安区域に入ってしまったという。このことが監視カメラの映像により確認されたため、T3の保安区域から乗客を全員退避させ、再度セキュリティーチェックを行うことになったとのこと。これにより、カンタス航空の国内線では1時間程度の遅れが生じたが、他のターミナルの発着便に影響はなかったとのことだ。

セキュリティーを強化した携帯電話「GSMK CryptoPhone」シリーズを米国で販売しているESD Americaによると、通信会社が設置したものではない偽の携帯電話基地局(インターセプター)が全米各地で発見されているそうだ(Twitter — Cell Hacking Alerts、 Popular Scienceの記事、 本家/.)。 インターセプターの中身はコンピューターに無線通信機能を追加したもの。通話内容の傍受のみが可能な低機能なものから、政府機関が使用する VME Dominatorのように偽のテキストメッセージを使用してスパイウェアを送り込むといったことも可能なものもある。インターセプターはCryptoPhone 500が存在を検出。米軍基地周辺で数多く発見されているが、使用者は不明だ。ラスベガスのカジノ付近でも発見されており、フロリダからノースカロライナへの経路で8つの

成田、関西、神戸の3空港が無料で提供する公衆無線LANサービスで、その通信内容を簡単に傍受できることが話題になっている。これら空港は利便性を考慮し、無線LANの暗号化を行っていないそうだ（47NEWS）。 なお、この記事では「メール丸見え」などとされているが、無線LANの暗号化だけでなく、SSL/TLS等を使ったポイントツーポイントでの暗号化が必要だろうというツッコミも入っている。

最近では「鍵の写真」を送るだけで、その鍵のコピーを作ってくれるサービスが登場しているらしい。そのため、鍵の写真をSNSなどにアップすると、第三者がその鍵の複製を知らぬ間に作ってしまう可能性もある。こういった危険性を啓蒙するため、ネット上の「鍵の写真」を収集するサイトが登場したそうだ（GIGAZINE）。 鍵だけあってもどうしようもないと考えている人もいるかもしれないが、SNSでその写真をアップしたユーザーを追跡し、位置情報を調べたり、ほかの投稿された写真などから住所などを推測される可能性はある。また、ソーシャルハック的な攻撃で住所が知られることもあるだろう。ネット上に鍵の写真をアップすることはやめたほうが良さそうだ。

オンライン型のPOSレジ端末がマルウェア（トロイの木馬）に感染する事例が国内でも確認されており、世界的には急増傾向らしい（産経新聞）。 世界では昨年1年間に22件、今年1～5月で208件検出されているという。国内では、トレンドマイクロ社が今年1～3月に調査したところ、クレジットカードの暗証番号を盗むウイルス数件を検出したという。毎日新聞が取材したところ、東芝テックとNECインフロンティアの2社が感染事例を確認していたという（毎日新聞）。 マルウェアの事例は、具体的な関連は分からないが、「Dexter」「vSkimmer」「ChewBacca」などがあるようだ（IT Leaders）。

ストーリー by hylom 2014年06月30日 18時40分 相手も同じ機能を持つ端末を使っていなければだめなのだろうか 部門より 今年2月の携帯電話関連見本市「MWC 2014」で正式発表された、プライバシ保護機能を備えた携帯端末「Blackphone」が近く発売になるとニューズウィークが伝えている。 スペインのGeeksphoneと暗号技術を得意とするスイスのSilent Circleが共同で開発したもので、スペックとしてはCPUがNVIDIA Tegra 4i（2GHz）、RAMが1GB、ストレージが16GB、ディスプレイは4.7インチと、一見普通のスマートフォンのようだ。他と一線を画するのはOSで、Androidをカスタマイズした「PrivatOS」を採用。セキュリティおよびプライバシ保護機能を持つアプリケーションも搭載するという。たとえば通話やテキストメッセージ、ファイル送

先日、コミュニケーションアプリ「LINE」の通信内容は韓国に傍受されていた？という話題があったが、これに対しこの旨を主張するFACTA誌が「ＬＩＮＥ森川亮社長の抗議について」というブログ記事を出している。記事では システム内でもシステム外でも安全なのは、「国際基準を満たした最高レベルの暗号技術を使っている」からだそうですが、それが破られているというのが本誌の認識です。 とのことだそうだ。 FACTA側は傍受の手口について「通信回線とサーバーの間でワイヤタッピング（傍受）する」としている。もしこの暗号化に使われているのはSSLだった場合、SSLもしくはそこで使われている暗号化技術が破られていることになり、問題はLINEだけの話に留まらず、インターネット上におけるセキュリティを根本から覆す大問題となる。LINEどころか、GoogleもMicrosoftも、果ては各国政府までがこの問題の影響を受

McAfeeが、検索すると危ないサッカー選手のランキングを発表した(プレスリリース)。 2014 FIFAワールドカップに出場予定のサッカー選手名と「画像」「動画」などのキーワードを組み合わせて検索した際、マルウェアの感染を狙ったサイトに誘導される危険度が高い順にランキングしたもの。そのうち、最も危険な上位11名を「レッドカードクラブ」と名付け、注意を呼びかけている。1位はクリスティアーノ・ロナウド、2位はリオネル・メッシ。日本人選手では、50位の香川真司、54位の本田圭佑らがランキングされている。

先週末に自称真犯人から報道各社にメールが送られて以降、いろいろ事態が急展開しすぎの遠隔操作事件ではあるが、行方が分からなくなっていた保釈中の片山被告が自身の弁護団に対して「私が犯人だ」と認め、さらに先週の報道各社へのメールを送ったことも認めたということだ。片山被告は現在、都内の弁護士事務所にいるという (NHK)。 昨年2月に逮捕以降、一貫して否認を続け、捜査の不手際やえん罪の可能性を指摘され続けてきたこの事件に大きな転機が訪れたようだ。

OpenSSL 1.0.1/1.0.2系にて、秘密鍵などの漏えいにつながるバグが見つかったいわゆる「Heartbleed」問題を受けて、カナダ歳入庁が納税者情報の保護を目的に納税申告サイトを閉鎖した。同庁によれば、安全を期すための予備的なものだとしている（NETWORKWORLD、slashdot）。 また、個人納税者に対し申告期日の4月30日を過ぎた場合でも、オンラインサービスが中断していたのと同等時間分に関しては罰則は課せられない、という異例の発表も行われている。 そのほか、大手サイトでもこの問題を受けて対応が進められている。今回の問題の影響範囲は広く、Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!（米国）などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユー

OpenSSL 1.0.1および1.0.2 betaで、外部からOpenSSLが使用しているメモリの内容を読めてしまうという深刻なバグが見つかった（TechCrunch、slashdot、解説サイト）。 これにより、通信に使用される秘密鍵や利用者のユーザー名/パスワード、暗号化によって保護されるはずのコンテンツなどが閲覧できてしまう可能性がある。 このバグはTLS heartbeat機能のバウンドチェック処理の欠如によるもので、接続したクライアントもしくはサーバーから64KB単位でメモリの内容を取得できてしまうという。この攻撃は繰り返し実行でき、かつログなどにはその痕跡が残らないとのこと。悪用された場合秘密鍵など重要なデータが大量に盗み出される恐れがあるとのことだ。 バグは2011年以来存在しており、4月8日に初めて公表された。該当するバージョンのOpenSSLを使用しているDebian

Android向けの人気セキュリティアプリとされていた「Virus Shield」が、実は見せかけだけの詐欺的ソフトだったことが発覚したという（GIGAZINE、Appllio）。Android Policeというサイトの解析で発覚した。すでにGoogle Play上からは削除されている。 Virus Shieldは3.99ドルで配信されていた有料アプリで、レビューでは星5つが818件、4つが452件と高いスコアを得ている（キャッシュ）。 アプリの説明欄（Description）では、「有害なアプリのインストールを防ぐ」「アプリや設定、ファイル、メディアをリアルタイムでスキャン」「個人情報を守る」「強力なアンチウイルスシグネチャ検出」「バッテリーへの影響は最小限」「バックグラウンドで動作」「迷惑な広告は一切無し」などがうたわれていた。しかし、このアプリが持っている機能は実際は「画面上に表示

JCBは27日、JCBカード会員専用のWebサービス「MyJCB」に不審なアクセスが繰り返されたとして、25日23時53分から断続的にサービスを停止したことを発表した（「MyJCB（マイジェーシービー）」への不正アクセスについて、 読売新聞）。 読売新聞の記事によると、他社サービスから流出したIDとパスワードを使用した不正なログイン試行が繰り返されたものとみられ、ログインが実際に成功したのは3桁の前半程度。その一部でJCBカードのポイントをTポイントに交換する不正利用があったとのこと。Tポイントは身分証明なしで登録可能なYahoo! IDと連携しているため、犯罪者がポイント交換の足場として使っていることが多いという。 JCBではMyJCBへのアクセスを24時間体制で監視し、不審なアクセスを検知した場合はサービスを停止するなどの対応を行うとしている。また、不正にログインされた可能性のあるユー