VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」? | スラド セキュリティ
Anonymous Coward曰く、 4月にスタートした、株式会社ZIGが運営するVTuberファンコミュニティサイト「MeChu」で利用者のユーザー名およびメールアドレス、パスワードが漏洩する事件が発生した(ニュースリリース、Twitterでの告知、ZIPによる「お詫びとご報告」1、「お詫びとご報告」2)。 管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもので、パスワードはエンコードされていたものの容易に復号できたという。記事内で使用しているツールから、Base64でエンコードされていただけのものと見られている。
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
ドイツの家電メーカーMiele(ミーレ)の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られ
Lenovo、Superfish削除ツールの配布を開始 | スラド セキュリティ
LenovoのノートPCに「Superfish」というアドウェアがプリインストールされていた問題で、同社はこれを削除するツールを配布する予定を明らかにした(WSJ Digitsの記事、 本家/.)。 Wall Street JournalのインタビューでLenovoのCTO、Peter Hortensius氏は、削除ツールの完成後ただちに配布する予定であると語っている。このツールはSuperfishをアンインストールするだけでなく、影響をすべて消去するものになるという。配布方法などは今後プレスリリースで発表するとのことだ。 Superfishがもたらすセキュリティ上の危険性に関して、セキュリティ研究家との認識の食い違いについて指摘された同氏は、「セキュリティ研究家と言い争うつもりはない。彼らは理論上の懸念について論じている。我が社としては不正行為が発生したとは認識していないが、このソフトウ
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
遠隔操作するマルウエアを使ったクラッカーによる冤罪事件、徐々に手口が明らかに | スラド セキュリティ
トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析、トレンドマイクロの分析などによると、手口は以下の様な物である。 まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に | スラド セキュリティ
「巫女SE」として一部の/.Jユーザーの間で話 題になったn_ayase氏(氏のTwitter)が、派遣先で試験を行ったシステムに深刻な脆弱性を発見、独断でシステムを停止させてあわや警察沙汰になるところだったそうだ。 詳細はTogetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」やTogetter - 「巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話」にてまとめられているが、n_ayase氏がとあるシステムの調査を依頼されてペネトレーションテストを行ったところ、コードが断片的にしかないうえにパスワードやクレジット情報が平文でDBに保存されており、漏洩の可能性も考えられる危険な状況だったらしい。このシステムは実際に稼働していた状態だったため本人の独断でサービスを停止した結果
WikiLeaksにて東京発公電が初めて公表される | スラド セキュリティ
時事通信によれば、1/1にとうとう在日米国大使館からの公電がWikileaksのサイトで初めて公表されたようだ。公表されたのは、09TOKYO2529、09TOKYO2588、10TOKYO171のリファレンスIDが付いたもので、いずれもIWC(国際捕鯨委員会)における米国との交渉に絡むもののようだ。その関連で日本の立場に影響を与える外的要因の一つにシー・シェパードが挙げられており、米国側がシー・シェパードに対して税制上の問題の有無を調べていたことが示されている。それに対して、日本側はシー・シェパードが米国で訴追されればIWCでの交渉の前進が容易になるとの見通しを出していたようだ。 おそらく、Wikileaks側が国際的に関心が高いものを選んだ結果の公表だと思うが、今後はさらなる爆弾が待っているかもしれない。
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
日本初、被害者宅に直接侵入して PC ウイルスを仕掛ける | スラド セキュリティ
ストーリー by reo 2009年01月28日 10時30分 social-crack-cyber-robbing 部門より 容疑者が被害者宅に直接侵入してパソコンにウイルスを仕掛け、銀行のネット口座から約 900 万円を詐取した疑いのある事件が明らかとなった。個人情報を盗むのにネットカフェの PC にキーロガーを仕込んだりフィッシングサイトを用いた手法はこれまでもあったが、自宅用 PC に直接ウイルスを仕掛けた手口は初めてとのこと (産経ニュースの記事, asahi.com の記事より) 。 被害者は郵便受けに鍵を隠していて、容疑者はこれを使って室内に侵入したらしい。仕掛けられたウイルスはバグベアと呼ばれるもので、ウイルス活動としてはシステム改変、セキュリティソフトのプロセス終了、 バックドアの作成などが挙げられている。
2ちゃんねるのサーバー、「世界最強」宣言 | スラド セキュリティ
2ちゃんねるをホスティングしていることでも知られるBIG-server.comが、サイバーアタックに対する勝利宣言をしている。このニュースリリースによると、2ちゃんねるは12月15日より韓国のIPアドレスから断続的に攻撃を受けたそうだが、一度もサーバーはダウンすることもなく、uptimeは最短のものでも15日となっているそうだ。 これにより、同社は「IT先進国である韓国からの組織的な攻撃に耐えたことで、A-Tigerサーバー、T-Bananaサーバーの両システムが世界最強のサーバーと証明されたと自負しております」と述べている。 しかし、uptimeが15日って短いと思うんですが、Webの世界ではそんなにサーバーが落ちまくるのでしょうか……。
スラッシュドット ジャパン | IEの欠陥により、Google Desktopに情報漏洩の危険性
oddmake曰く、"eWeek記事や本家記事にもなっているが、ITmediaの記事によるとInternet ExplorerとGoogle Desktop を使っているユーザの個人情報を盗むことができる方法をイスラエルのマタン・ギロン氏が発見し、自身のWebページで詳細に解説したという。最新のパッチがあたっていて、デフォルトのセキュリティ設定の状態のIEとGoogle Desktop v2を使っている状態で脆弱性の実証コードは動作したという。マイクロソフトによると、この脆弱性によってユーザが攻撃を受けた例はまだ確認されていないということだ。事は重大であるので、信頼できないWebページは訪問したりせず、パッチやMSのsecurity advisoryなどで対処法が示され次第、各自対処を行なって欲しい。"
どんなセキュリティソフトを使えばいいの? | スラド セキュリティ
あるAnonymous Coward曰く、"Windowsを使っている/.Jer諸氏にお伺いしたいのですが……。 恥ずかしながら今まで、まったくウィルスやスパイウェア対策をしてこなかったのですが、やはりこれではダメだということで、対策案を考慮中です。SONY BMGのrootkit問題など、判り難くて物騒なものが出回る世相になってきたので、それらにも対応できるプランがあればよいな、と考えています。 市販パッケージやフリーウェア/シェアウェアなど、選択肢と組み合わせは多数あるかと思いますが、皆さんのおすすめをお聞きしたいところです。" 「対策なしにネットに繋ぐな」のように厳しい指摘も飛んできそうだが、現実問題として常時安全セキュリティ24の設定ミス問題のような話もあり、詳しくない人には厳しい昨今であることも事実。苦労話なども踏まえ、皆さんの「Windowsの安全確保論」を語ってみてほしい。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
