チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 | スラド セキュリティ
イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16~17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている(Peatix、CNET)。 この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県や埼玉県、栃木県宇都宮市、福井県福井市、宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている(TechCrunch)。
ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 | スラド セキュリティ
ドコモ口座を悪用した不正引き落とし問題が大ごとになっている。当初は七十七銀行のみの問題とみられたが、全国の地方銀行でも同様の引き落としが発生していることが判明した。このため現在は35行すべてで連携が停止している。ドコモは再発防止策として本人確認を厳格化するとしている。(朝日新聞、共同通信t)。 当初ドコモ側は一部銀行の銀行口座登録などを行うことで対処していたが、最終的にはすべての提携金融機関でのサービス申込受付が停止されたなど対応が二転三転した。ただ10日の午前段階では、すでに口座連携済みのドコモ口座に関してはまだチャージが可能とされ、口座の持ち主が気がついておらず、発覚していない場合は引き落としが可能。このため被害拡大が収まったとはとても言えない状況だ。 今回の件の大きな問題は、ドコモのキャリア契約をしていなくてもドコモ口座のアカウントは作りたい放題だったこと、ドコモ口座を利用していない
偽サイトに偽の電話番号を掲載することでデジタルアシスタントに偽コールセンターへの電話をかけさせる詐欺手法 | スラド セキュリティ
headless曰く、 SiriやAlexaといったデジタルアシスタントをだまして偽コールセンターへ電話をかけさせる、という詐欺手法があるそうだ(Better Business Bureauのニュースリリース、SlashGear、Mashable)。 デジタルアシスタントは使用者の要求に応じてWeb検索の結果から企業などの電話番号を抽出し、連絡先に登録されていない相手に電話をかけることができる。しかし、見つけた電話番号が本物かどうかをデジタルアシスタントは確認できないため、詐欺師は偽サイトを検索結果に紛れ込ませたり、偽広告を検索結果に表示させたりすることで、偽コールセンターへ電話をかけさせることが可能になるという。 偽コールセンターはいわゆるテクニカルサポート詐欺のほか、航空会社のカスタマーサービスを偽って予約変更料金を送金させようとするようなものもあるそうだ。Better Busines
他のボットネットを攻撃するボットネット「Fbot」 | スラド セキュリティ
他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事、 The Next Webの記事)。 Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。 侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイ
大手メーカー製の植え込み型神経刺激装置、攻撃者によるプログラム書き換えやデータ読み取りが可能な問題 | スラド セキュリティ
3月のCODASPY 2018で発表された論文なので旧聞となるが、パーキンソン病に対する脳深部刺激療法などで用いられる植え込み型神経刺激装置で、攻撃者がプログラムを書き換えたり、データを読み取ったりすることが可能な問題が発見されたそうだ(論文: PDF、 The Registerの記事)。 無線通信機能を備える植え込み型医療機器(IMD)では、主にプロプライエタリーなプロトコルを用いて通信を行う。研究グループではノートPCとUSBデータ収集(DAQ)デバイス、簡易な自作アンテナの組み合わせで、大手IMDメーカー製の広く使われている植え込み型神経刺激装置の通信内容を解析。通信には認証も暗号化も使われておらず、ブラックボックスアプローチでプロトコルのすべてをリバースエンジニアリングすることに成功したという。 解析結果を用いれば、植え込み型神経刺激装置と装置のプログラマーとの間で送受信されるデー
IntelのCPUの欠陥、米国政府より先に中国政府が把握していた可能性 | スラド セキュリティ
「Spectre」「Meltdown」と呼ばれるCPUの脆弱性は各所に影響を与えているが、これらの脆弱性についてIntelは複数の顧客に対し、米政府よりも先に情報を公開していたという。これら米政府よりも先に情報を得られた企業に、AlibabaやLenovoといった中国企業が含まれていたことが一部で問題視されているようだ(ウォールストリート・ストリート・ジャーナル、Engadget、Slashdot)。 これに対し、Lenovoは秘密保持契約に基づいて情報を保護したとしている。また、Alibabaは中国政府と情報を共有したという話は推測で根拠のない噂だとしつつも、Alibabaの知らないところで政府が詳細をつかんでいた可能性はあるとしている。
T会員6,500万人の購買データを元に、その活用法を考えるイベントが告知される | スラド セキュリティ
ストーリー by hylom 2018年02月02日 15時07分 Yahoo!のWeb閲覧履歴も公開されるのだろうか 部門より 会員の購買情報を収集する「Tカード」サービスなどを提供するカルチュア・コンビニエンス・クラブ(CCC)グループが、「DATA DEMOCRACY DAYS」なるプロジェクトを発表している。これは収集したデータを参加者に提供して新たな事業やサービスの企画を募集するというものだが(CCCの発表)、参加者全員に対し会員6,500万人の購買データやTポイントの利用状況などを提供するという点について議論になっている(Togetterまとめ、ITmedia)。 CCC側は「特定の会員を識別できる情報はない」とし、会員番号を直接推測できないように暗号化するとしているものの、いわゆる「名寄せ」を行うことで会員個人を特定できる可能性がある。提供されるデータには利用日時や利用店舗、
IntelによるSpectre対策のアップデート、Core iシリーズのほぼ全世代で不具合が出る可能性 | スラド セキュリティ
先日、HaswellおよびBroadwell世代のCPUにSpectre Varient.2対策のマクロコードアップデートを適用すると高頻度に予期しない再起動を引き起こすというニュースがあったが(過去記事)、マイクロコードアップデートはほかの世代のIntelのCore iプロセッサでも再起動を引き起こすケースがあるようだ(CNET Japan)。 報道によると、SandyBridgeやIvyBridge、Skaylake、Kaby Lake世代のPCUでも問題が発生するケースがあるという。Coffee LakeのXeonはまだ提供されていないので、Coffee Lakeが対象なのかは不明だが、アーキテクチャはSkylakeの改良版と思われるために対象となる可能性は高いと思われる。 そのためIntelは過去5年のプロセッサに対策を提供するといいつつ、SandyBridge、IvyBridge
アンインストールを困難にする機能を備えたブラウザー拡張機能 | スラド セキュリティ
Webブラウザーの拡張機能管理画面の表示を妨げ、削除されにくくするという拡張機能(マルウェア)が発見された(Malwarebytes Labsの記事、 Ars Technicaの記事)。 Google Chrome向けの拡張機能「Tiempo en colombia en vivo」は、複数のYouTube動画を勝手に開き、クリックして再生回数を水増しするというものだ。Malwarebytesによれば、この拡張機能をインストールすると拡張機能管理画面「chrome://extensions/」へのアクセスが「chrome://apps/?r=extensions」にリダイレクトされるという。 Chromeはコマンドラインスイッチ「--disable-extensions」を付けて起動することで拡張機能を無効にできるが、この状態では管理画面に拡張機能が一切表示されない。この拡張機能の.jsフ
GnuPG2のフォーク「NeoPG」、開発中 | スラド セキュリティ
PGPやGnuPGには近年いくらかの批判もありますが、開発は情熱的に続いています(過去記事:PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される、PGPは有害無益?)。 とはいえ、GnuPGは20年以上の開発によって内部構造が複雑になりすぎています。これに伴う種々の問題に取り組むため、NeoPGという新たなプロジェクトが発足しています。 スライドによると、GnuPGは49万行のコードから成り、400近くのコマンドラインオプション、2種類のOpenPGPパーザ、自前のHTTPクライアントやDNSリゾルバ関連コードを持つ、重厚長大なプロジェクトです。NeoPGでは、できるだけレガシーコードを減らし、外部ライブラリを積極的に利用することで、開発を容易にするつもりです。スライドの時点で、すでに行数はほぼ半減し、コマンドラインオプションも120ほど減っているそうで
英国の交通取締用のカメラがWannaCryに感染、交通違反切符の取り消しを行う事態に | スラド セキュリティ
イギリス・ビクトリア警察当局は6月24日、6月6日以降にスピードカメラの記録を元にして通知された交通違反を取り消すと発表した。原因はスピードカメラにWannaCryウイルスが感染していたこと。280台のカメラのうち55台が感染していたようだ(英Yahoo! News、Slashdot)。 カメラはインターネットには接続されていなかったが、メンテナンス業者がUSBスティックをカメラシステムに接続した結果、感染が起きたとしている この影響で1643枚の違反切符が取り消され、現在システム上で保留中になっている5500枚も取り消される可能性があるという。警察側はカメラが正常であることを確認するまでは違反切符を出さないとしている。ただし280台の固定カメラと赤外線カメラは引き続き稼働を続けており、取り消された違反切符が再発行される可能性もあるとしている。
Googleが発見したWindowsのマルウェア対策エンジンのバグ、Microsoftが2日で修正 | スラド セキュリティ
GoogleのProject ZeroがWindowsのマルウェア対策エンジンに「最悪の」脆弱性を発見したのだが、Microsoftが2日ほどで修正を完了し、アップデートを配信した(マイクロソフトセキュリティアドバイザリ 4022344、 Project Zero — Issue 1252)。 マルウェア対策エンジン(Microsoft Malware Protection Engine)はMicrosoftのセキュリティソフトウェアにマルウェアのスキャンなどの機能を提供するもので、Windows DefenderやMicrosoft Security Essentials、Microsoft Endpoint Protectionなどに含まれる。 発見された脆弱性は細工したファイルをスキャンさせることでメモリ破損を引き起こし、リモートからの任意コード実行が可能になるというもの。コードはL
CIAのハッキング技術公開で企業が得た教訓:暗号化はやはり重要 | スラド セキュリティ
先日、機密情報暴露サイトWikiLeaksウィキリークスがCIAが使用しているハッキングツールに関する文書を公開したが、これによる影響が広範囲に及んでいるという(過去記事)。 現在でも対策に追われている企業は多いというが、今回の騒動の中でハイテク産業が得た教訓もある。それは暗号化技術はやはり有用性だということだ。公開された文書によれば、CIAの仕事を請け負う代理人は、暗号化されたデータに関してはかなり時間を費やさなければならないという(AP、Slashdot)。 米国政府がデータを入手したいと考えているならば、データが破壊されるような処置はやりにくく、標的を絞った攻撃に頼らざるを得ない。これには相当な資金が必要になるとしている。AppleやGoogle、Microsoftなどは今回明らかになった脆弱性の多くを修正したと言っている。しかし、暗号化をバイパスする手段がまだ残っているとする指摘も
英研究、眠っている子供の多くは一般的な煙報知機の警報音に反応しない | スラド セキュリティ
英国・ダンディー大学の研究によると、眠っている子供の多くが一般的な煙報知器の警報音に反応しないことが判明したそうだ(ダンディー大学のニュース記事、 Derbyshire Fire & Rescure Serviceの記事、 The Guardianの記事、 BBC Newsの記事)。 研究者のDave Coss氏はダービーシャーの消防・救急サービスに勤務して火災現場の調査などを行っており、2012年に5歳~13歳の子供6人が亡くなった火災で全員の遺体がベッドの上で発見されたことから研究を始めたそうだ。研究の第1段階は2歳~13歳の子供34人を対象に各家庭で実施された。その結果、全体の80%、男子は全員が警報音で目を覚まさなかったという。 大人と子供では反応する警報音の周波数や鳴動パターンが異なるとみられ、より低い周波数(520Hz)の警報音と火事だから起きるように(Wake up! The
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 | スラド セキュリティ
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事、 Google Security Blogの記事、 Phoronixの記事、 Ars Technicaの記事、 論文: PDF)。 Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF
PGPは有害無益? | スラド セキュリティ
PGPが事実上唯一の暗号化メッセージ手段だった時代は終わり、暗号の専門家たちは「前からPGPには利点よりも問題のほうが多いと思っていた」(Bruce Schneier)、「長期に渡って安全に保管しなければならない鍵のモデルには見切りをつけることにした」(Filippo Valsorda)などとPGPに対する疑問を表明している(Ars Technica)。彼らはSignalなどのメッセージングアプリを好む傾向があるようだ。読者諸氏は、暗号化メッセージが必要な場面でどのようなツールを選択しているだろうか。 最近はGnuPGもTOFUを取り入れるなどトラストモデルを改善しているものの、Valsordaによれば「GnuPG単独の問題ではない。PGPそのものがうまくいっていないのだ」という。「暗号化メールが来るのは多くても年に二通。UXも昔からひどいまま。しかし本当の問題点は、鍵を大事にすればするほ
音声出力を音声入力に替えることでヘッドホンを盗聴マイクにしてしまうハック | スラド セキュリティ
イスラエルの研究者が、PCに接続されたヘッドホンを使って盗聴を行う手法を公開した(GIGAZINE、TechCrunch、Slashdot)。 マイクとスピーカーは構造が似ており、スピーカーをマイクとして利用できることはよく知られている。そして、昨今のサウンドカードやマザーボード搭載のオーディオインターフェイスの多くで、本来オーディオ出力用として用意されているジャックをオーディオ入力として使用したり、逆にオーディオ入力用として用意されているジャックをオーディオ出力に使用できる機能が搭載されているという。この機能はドライバソフトウェアで操作を行うだけで利用できるため、マルウェアなどを使ってスピーカーやヘッドホンが接続されているオーディオ出力端子をオーディオ入力端子として使うよう設定することで、マイクが接続されていないPCでも周囲の音を盗聴できるようになるという。 この手法を解説する論文による
流れている音楽を特定できるアプリ「Shazam」のMac版は常にマイクで周囲の音を拾っている | スラド セキュリティ
流れている音楽をマイクで拾うことで、瞬時にその曲名を検索できるアプリ「Shazam」のMac版は、常にマイクで周囲の音を拾う状態になっているという。アプリの表示上はマイクをOFFにすることが可能だが、実際にはバックグラウンドでマイク機能が有効化されているという。このことを発見したセキュリティ研究者Patrick Wardle氏はユーザーが知っておくべきバグだとしている(MOTHERBOARD、氏のBlog、Slashdot)。 Patrick Wardle氏は、Macのセキュリティツールを開発している元NSAのハッカー。同氏はWebカメラとマイクを使用する場合にユーザーに警告を表示するアプリを開発して使用しており、これによって問題を発見できたという。誤検出の可能性もあるため専用の監視ツールを製作して確認を行ったが、アプリ起動中はマイク機能を停止させることはないと判明したそうだ。 このことに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
愛知県、新型コロナ感染者495名の個人情報を誤って公開 | スラド セキュリティ
ふるさと納税返礼品のドライブレコーダー、今年度に入って人気急上昇 | スラド セキュリティ