Googleとsecurityに関するyauのブックマーク (152)

  • グーグル検索で逮捕歴、削除命令を取り消し 東京高裁:朝日新聞デジタル

    検索サイト「グーグル」で名前などを検索すると、過去の記事などで逮捕歴が分かるとして、男性が検索結果の削除を求めた仮処分申し立ての保全抗告審で、東京高裁(杉原則彦裁判長)は12日、「忘れられる権利」を認めてグーグルに削除を命じた昨年12月のさいたま地裁の決定を取り消した。 高裁決定は「プライバシー権に基づいてネット上での削除が認められる場合はある」と認めた上で、今回のケースについては「処罰を受けてからの期間などを考慮しても、削除の必要はない」と判断した。 決定などによると、男性は約5年前に女子高生に金を払ってわいせつな行為をしたとして逮捕され、児童買春・児童ポルノ禁止法違反の罪で罰金50万円の略式命令を受けた。検索すると当時の実名入りの記事を転載した掲示板などが表示されるのは「更生を妨げられない権利」を侵害しているとして昨年、地裁に削除の仮処分を申し立てていた。

    グーグル検索で逮捕歴、削除命令を取り消し 東京高裁:朝日新聞デジタル
  • Androidのパッチは不完全? Stagefrightの脆弱性対応で批判

    Androidのメディア再生エンジン「Stagefright」に重大な脆弱性が見つかった問題で、セキュリティ企業のExodusは8月13日、Googleが配布したパッチは不完全で、この脆弱性は依然として悪用される可能性があることが分かったと発表した。 Stagefrightの脆弱性は2015年4月にGoogleに報告され、7月に情報が一般に公表された。Googleはメーカーやキャリア向けの修正パッチ提供に続いて、8月から始めた「Nexus」向けの月例OTA(無線経由)アップデートにも修正パッチを盛り込んでいた。

    Androidのパッチは不完全? Stagefrightの脆弱性対応で批判
  • 「Googleが脆弱性を放置」と、セキュリティ企業が批判

    他社に即時対応を要求しながら自社の対応に甘いと、Security Explorationsが指摘する。 米Googleの「Google App Engine(GAE)for Java」に見つかった複数の脆弱性が未解決のままになっているとして、ポーランドのセキュリティ企業Security Explorationsが5月15日、詳しい情報とコンセプト実証コードを公開した。Googleは他社に対しては即座に対応を要求しておきながら、自分たちの製品に報告された脆弱性は放置したり黙って修正したりしていると批判している。 Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行

    「Googleが脆弱性を放置」と、セキュリティ企業が批判
  • Google、Chrome拡張機能の登録義務付け、対象をWindowsやMacにも拡大

    Chrome開発版はウェブストア登録義務の対象外だったが、ユーザーに開発者版を使わせて不正な拡張機能をインストールさせる手口が出現した。 米Googleは、Webブラウザ「Chrome」の拡張機能をWebアプリストア「Chromeウェブストア」でホスティングすることを義務付けた規定について、WindowsMac向けのユーザーにも適用対象を広げると発表した。 Chrome拡張機能を巡っては、ユーザーの許可なくChromeの設定を変更してしまう悪質な拡張機能が横行したことから、GoogleWindows向けChromeの安定版とβ版について、2014年から全ての拡張機能Chromeウェブストアでホスティングすることを義務付けていた。 この措置により、悪質な拡張機能のアンインストールの手助けを求めるカスタマーサポートへの問い合わせは75%減少したという。 一方、これまでChrome開発版

    Google、Chrome拡張機能の登録義務付け、対象をWindowsやMacにも拡大
  • グーグル、「OS X」に存在する3件のゼロデイ脆弱性を公表

    ゼロデイ脆弱性の撲滅に取り組むGoogleの「Project Zero」チームは、Appleの「Mac OS X」に発見していた3件の深刻なゼロデイ脆弱性に関する情報を、概念実証コードとともに公表した。同チームでは、製造元に脆弱性を報告後、対策が取られないまま90日が経過した場合は脆弱性に関する情報を自動的に一般公開するとのポリシーを採用しており、今回の脆弱性もそのポリシーに従って公表された。 Project Zeroチームが未修正の脆弱性を公表するのは、今回が初めてではない。最近の例で言えば、同チームはMicrosoft Windowsに発見されていた3件の未修正の脆弱性に関する情報を公表している。 今回公表された脆弱性は、「OS X networkd "effective_audit_token" XPC type confusion sandbox escape(networkdによ

    グーグル、「OS X」に存在する3件のゼロデイ脆弱性を公表
  • Google、「Chrome 40」でSSL 3.0を完全無効化へ

    Chrome 39」でSSL 3.0へのフォールバック機能をデフォルトで無効化。「Chrome 40」ではSSL 3.0が完全に無効になる。 SSL 3.0に「POODLE」と呼ばれる深刻な脆弱性が見つかった問題で、米Googleは12月下旬にリリースする予定のWebブラウザChromeの安定版「Chrome 40」でSSL 3.0を完全に無効にする計画を明らかにした。 Googleセキュリティ担当者によると、まずChrome次期バージョンの「Chrome 39」でSSL 3.0へのフォールバック機能をデフォルトで無効にする。この機能が有効になった状態では、HTTPSサーバのバグによりページに接続できない場合、攻撃者がネットワーク経由でSSL 3.0を使ったHTTPS接続を強要することが可能だった。 安定版のChrome 39は11月18日ごろにリリースされる見通し。SSL 3.0への

    Google、「Chrome 40」でSSL 3.0を完全無効化へ
  • Google、Chromeの脆弱性報告に対する賞金を増額

    Webブラウザ「Chrome」の脆弱性を発見・報告した研究者に支払う賞金額を1件当たり500~1万5000ドルに引き上げる。 米Googleは9月30日、Webブラウザ「Chrome」の脆弱性を発見・報告した研究者に支払う賞金額を1件当たり500~1万5000ドルに引き上げると発表した。Chromeの脆弱性発見や悪用が難しくなっていることに対応した措置。従来の上限額は5000ドルだった。 賞金制度を通じてこれまでに修正したChromeセキュリティ問題は700件以上、支払った賞金総額は125万ドルを超えた。しかし、セキュリティが強化されるに従って脆弱性の発見は、これまで以上の労力が必要になったと判断した。 報告内容が特に優れていると判断した場合は上限を超す賞金を支払う場合もある。実際に8月には3万ドルの特別報酬を払ったケースもあったという。 情報の提出方法についても、まず最初に脆弱性情報を

    Google、Chromeの脆弱性報告に対する賞金を増額
  • Gmailのログイン情報流出、通用可能は「ごくわずか」――Google説明

    Googleによると、流出した情報のうち、ユーザー名とパスワードの組み合わせが通用するのは2%に満たなかった。 GoogleのGmailなどのメールアドレスとパスワードの組み合わせが流出したと伝えられた問題で、米Googleは9月10日、同社サービスへのログイン情報を含むと称する複数のリストが公開されているのを確認したとブログで報告した。 しかし、ユーザー名とパスワードの組み合わせが通用するのはこのうちの2%に満たなかったとしている。 この問題では、Gmailなどのメールアドレスとパスワードを組み合わせた情報約500万件がロシア語の掲示板サイトに掲載された。ただ、古くなって使われなくなったアドレスやパスワードが多数を占めるとも伝えられていた。 Googleは、たとえ流出した情報を使って不正にログインしようとしたとしても、自動的にアカウントの乗っ取りを防ぐ同社のシステムによって、多くは阻止で

    Gmailのログイン情報流出、通用可能は「ごくわずか」――Google説明
  • Gmailアドレスとパスワード約500万件が流出か

    ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載された。アドレスは大部分がGmailのものだったが、Yahoo!やHotmailなども含まれるという。 GoogleのGmailなどのメールアドレスとパスワードを組み合わせた情報約500万件がロシア語の掲示板サイトに公開されたという。同国のニュースサイトCNewsの報道を引用してメディア各社が9月10日付で伝えた。 ロシアセキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この情報はロシア語のビットコインセキュリティフォーラムサイトに9日夜に掲載された。メールアドレスは大部分がGmailのものだったが、Yahoo!やHotmailなどのアドレスも含まれるという。 流出したのは主に英語スペイン語、ロシア語のアカウントの情報だったとThe Next Web(TNW

    Gmailアドレスとパスワード約500万件が流出か
  • iOS向けGmailアプリで通信傍受の恐れ、セキュリティ対策の不備か

    Android向けのGmailには実装されているセキュリティ対策が、iOS版のGmailには実装されていないとして、セキュリティ企業がブログで概略を公表した。 GoogleAppleのiOS向けに提供しているGmailアプリには、暗号化された通信の傍受を防ぐための仕組みが実装されておらず、中間者攻撃を仕掛けられて情報を盗まれる恐れがあるとして、セキュリティ企業のLacoon Mobile Securityが7月10日のブログで概略を公表した。 Lacoonによると、Gmailのようなアプリでは通常、証明書のピン留め(Pinning)という仕組みを使ってアプリ内にサーバ証明書をコーディングし、不正な証明書を見分ける仕組みを実装している。 ところがiOS向けのGmailには、この証明書のピン留めの仕組みが実装されていないことが分かったという。 この問題を悪用された場合、攻撃者がユーザーをだま

    iOS向けGmailアプリで通信傍受の恐れ、セキュリティ対策の不備か
  • Google、Goldman Sachsの依頼を受け誤送信メールをブロック──Reuters報道

    Googleが、米投資会社のGoldman Sachsからの依頼を受け、誤ってGmailユーザー宛に送られたメールをブロックしたことがReutersの7月3日(現地時間、記事の日付は2日になっているが、3日に内容が更新されている)の報道で明らかになった。 問題のメールは6月23日にGoldman Sachsの委託業者が送信したもので、機密顧客情報が含まれていたという。この業者はGoldman Sachsのメールアドレス「@gs.com」と入力したつもりで「@gmail.com」のメールアドレスにこのメールを送信してしまった。 Goldman SachsがGoogleに削除を依頼したところ、6月26日にGoogleから裁判所命令がなければメールの削除はできないとの返答があり、Goldman Sachsはこれを受けてニューヨーク州裁判所で申し立てを行っていた。だが、Goldman Sachs

    Google、Goldman Sachsの依頼を受け誤送信メールをブロック──Reuters報道
  • Gmailの通信、Google社内も含め全てHTTPS経由に

    Googleは3月20日、「Gmail」でメールを送受信する際の通信に、同日から全て暗号化されたHTTPS接続を利用すると発表した。 Gmailではサービス開始当初からHTTPSをサポートし、2010年にはHTTPSがデフォルトになった。今回の措置でHTTPSが例外なく適用されるようになり、「ユーザーのコンピュータやスマートフォンとGoogleのGmailサーバ間を行き来するメッセージは、たとえ公衆無線LANを使っていようと、何者にも傍受できなくなる」と説明している。 さらに、ユーザーが送受信したメールがGoogle社内を通過する際も100%を暗号化。ユーザーとGmailサーバの間だけでなく、Googleのデータセンター間を移動する際の安全も確保するとした。 Googleでは「メールのセキュリティと安定性の保証に尽力しており、常に改善に取り組んでいる」と述べ、ユーザーの側でも強固なパスワ

    Gmailの通信、Google社内も含め全てHTTPS経由に
  • Google、脆弱性報告の賞金をさらに増額 Chromeアプリなども対象に

    脆弱性を発見・報告した研究者に支払う賞金の額を引き上げ、新たにGoogle製のChromeアプリと拡張機能も対象とする。 米Googleは、ソフトウェアの脆弱性を発見・報告した研究者に支払う賞金の額をさらに引き上げると発表した。対象にはこれまでのChromeブラウザなどに加えて、Google製のChromeアプリと拡張機能も追加する。 新しく対象となるのは、HangoutsやGmailなど、Googleが開発・提供しているChromeアプリや拡張機能Chromeウェブストアの「by Google」のカテゴリで提供されている。賞金は内容や程度に応じて500~1万ドルを用意する。 一方、LinuxカーネルやOpenSSHといったオープンソースプロジェクトを対象とする「Patch Reward Program」については賞金の額を大幅に引き上げる。「重大な脆弱性を確実に防ぐ複雑かつ影響の大きい

    Google、脆弱性報告の賞金をさらに増額 Chromeアプリなども対象に
  • GoogleやMicrosoftなど米IT大手、政府による個人情報収集対抗で団結

    GoogleMicrosoftなど米IT大手7社は12月9日(現地時間)、世界各国の政府に対し個人情報収集を法律で制限する改革を要請するWebサイト「Reform Government Surveillance」を合同で立ち上げた。 Webサイトに署名しているのは、GoogleMicrosoft、Facebook、TwitterYahoo!、LinkedIn、AOLの7社。同サイトで公開されたオバマ大統領と米連邦政府議会に宛てた請願書には、Appleの署名も加わっている。 「われわれは政府が国民の安全保障のための行動を取る必要があることは理解しているが、現行の法律および政務は改革を必要としている」とある。 このWebサイトには、改革の指針、各社代表(MicrosoftとLinkedIn以外はCEO)の言葉、米大統領宛の書簡が掲載されている。 指針では情報収集の制限や収集方法の開示など

  • Google Chromeの「パスワード丸見え」問題、Mac版では対応表明

    GoogleのWebブラウザ「Chrome」に保存されたパスワードを平文で表示できる機能を巡ってセキュリティ対策の甘さが指摘されていた問題で、GoogleMac版について、パスワードを表示する前に再認証を要求するオプションの開発を進めていることを明らかにした。 同社担当者のGoogle+によると、この機能は、Google Chromeのオープンソース基盤であるChromiumビルドのMac版に試験的に加わった。パスワードマネージャの再認証フラグを有効にすると、保存されたパスワードを平文で表示しようとした場合に、Mac OSのパスワードを使った再認証を求められるという。 この機能はOS X上のSafariの動作に合わせたもので、いったん再認証を済ませると、その後1分間は再認証を繰り返す必要がなくなる。 ただGoogleは、WindowsなどのMac以外のプラットフォームでの対応については

    Google Chromeの「パスワード丸見え」問題、Mac版では対応表明
  • Google Chrome、Windows XPのサポートを2015年4月まで延長

    Webブラウザの脆弱性を突いてコンピュータにマルウェアを感染させる攻撃が横行している実態を踏まえ、サポート期間を延長する。 米Googleは10月16日、2014年4月でMicrosoftのサポートが終了するWindows XPについて、Webブラウザ「Google Chrome」は少なくとも2015年4月まで、XP向けにも通常のアップデートセキュリティパッチの提供を続けると発表した。 Googleのブログによると、XP向けChromeのサポート期間延長は、脆弱性が放置されたWebブラウザを使ってコンピュータにマルウェアを感染させる攻撃が横行している実態を踏まえた措置。マルウェアやフィッシングなどの攻撃を防ぐため、2015年4月まではXPにもこれまで通りChromeの最新版を自動的に配信し、脆弱性の修正などを行う。 XPは、Chromeのユーザーを含めてまだ相当量のユーザーが使い続けてお

    Google Chrome、Windows XPのサポートを2015年4月まで延長
  • Google、Facebookのような広告でのユーザー名と写真の利用を開始へ

    Googleは10月11日(現地時間)、同社のサービス全般の「利用規約」を11月11日に更新すると発表した。主な変更点については「利用規約の更新情報」で、改訂版はこちらで見ることができる。 ユーザーにとって最も影響があるのは、「shared endorsements(共有のおすすめ情報)」で、アカウントに登録してあるユーザー名とプロフィール写真が広告で利用されるようになることだろう。 米Facebookは、「スポンサー記事」という広告で、広告主に「いいね!」しているユーザーの名前とプロフィール写真を、そのユーザーの友達の画面に表示させている。Googleもこれに似たユーザー情報の広告での利用を始めるということだ。 Googleの「共有のおすすめ情報」は、ユーザーが(Google PlayやYouTubeを含む)Googleのサービス上でコメントしたり、フォローしたり+1したりすると、ユー

    Google、Facebookのような広告でのユーザー名と写真の利用を開始へ
  • Google Chrome、NetscapeプラグインAPIのサポート打ち切りへ

    NPAPIのサポートは2014年内をメドにを完全に打ち切り、MicrosoftのSilverlightやGoogle Earthなどは一時的にホワイトリスト化する。 米Googleは9月23日、Web初期のAPIである「Netscape Plug-in API」(NPAPI)を使ったプラグインについて、Chromeブラウザでのサポートを段階的に打ち切ると発表した。MicrosoftのSilverlightやGoogle Earthなどのプラグインが対象になる。 NPAPIはブラウザ拡張の標準的な仕組みを初めて導入して初期のWebに革新をもたらし、動画や音声のサポートといった機能を実現させてきたとGoogleは説明する。 しかし「Webが進化した現在、NPAPIの90年代のアーキテクチャはハングやクラッシュ、セキュリティ問題、コードの複雑化を招く筆頭原因になった」と判断。今後1年間で、NPA

    Google Chrome、NetscapeプラグインAPIのサポート打ち切りへ
  • Google、脆弱性情報に支払う賞金を一挙に増額

    Googleは8月12日、WebブラウザのChromeなど同社製品の脆弱性を発見して報告を寄せた研究者に賞金を支払う制度について、賞金の改定を発表した。 この制度では脆弱性の深刻度などに応じてレベル別に賞金を設定しているが、今回の改定ではこれまで賞金1000ドルとしていたレベルについて、最高額を一挙に5倍の5000ドルへとアップした。対象となるのは、ユーザーの安全を脅かす危険性が他の脆弱性に比べて高く、研究者が悪用の可能性や危険度について正確な分析を行っていると判断した場合。 それ以外の賞金については変更はなく、賞金の基金額は500~3133.7ドル。これに内容に応じて数百ドルから数千ドルを上乗せする。これまでには特に優れていると判断した情報について、3万ドル以上の賞金を贈呈したケースもあるという。 Googleによると、賞金制度開始以来の3年間で寄せられた情報は2000件を超え、支払

    Google、脆弱性情報に支払う賞金を一挙に増額
  • Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明

    GoogleのWebブラウザ「Chrome」が保存されたパスワードを平文で表示する機能を提供していることについて、Googleの担当者が掲示板サイトで「ユーザーに誤った安心感を与えたくない」とする同社の立場を説明した。 この問題はソフトウェア開発者のエリオット・ケンバー氏が自身のブログで指摘し、Googleのパスワードセキュリティ対策の甘さを批判していた。 Chromeブラウザのセキュリティ責任者ジャスティン・シュー氏は、掲示板サイト「Hacker News」でこれに反論。「保存されたパスワードへの唯一強力なパーミッションの境界はOSユーザーアカウントであり、Chromeではロックされたアカウント上のパスワードを安全に保つため、そのシステムが提供する暗号化ストレージを使っている」と説明する。 一方で、例えばシステムにロックを掛けないまま席を外すなどして、悪意を持った人物にアカウントにアク

    Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明