Web会議サービスZoomに対し複数の脆弱性があるとの指摘、暗号化への懸念の声も | スラド セキュリティ
ストーリー by hylom 2020年04月03日 8時00分 いきなりクライアントをインストールさせるのはやばいでしょ 部門より Anonymous Coward曰く、 新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。 その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド(E2E)で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという(ITmedia、Slashdot)。 エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者(クライアント)のみが所有することになって
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる | スラド セキュリティ
無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweet、Shigeki Ohtsu氏のTweet)。 SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。 (以下、追記と訂正@6/8 0:55)セキュリティ研究家の高木浩光氏によると、「TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能は
Apache HTTP Serverに複数の脆弱性 | スラド セキュリティ
Apache HTTP Serverに複数の脆弱性が発見された。この問題を修正したHTTP Server 2.4.33が公開されており、アップデートが推奨されている(JVNVU#95818180、窓の杜)。 タレコミ人の使うDebianではsid(開発ブランチ的位置付け)でさえまだ対策版が存在しない。影響範囲の大きいWebサーバーの脆弱性ですが、ディストリの対応を考慮せず公開してしまうという慣例はなんとかならんもんでしょうかね。 問題の脆弱性は、悪用することでDoS攻撃を可能にするものや、認証を回避される可能性があるといったもの。危険性はセッション改ざんのおそれがある「CVE-2018-1283」が「medium」で、残りはいずれも「low」となっている。なお、CHANGELOGなどではバージョン2.4.30でこれらが修正されたとなっているが、バージョン2.4.30~2.4.32は開発者向
三菱東京UFJ銀行、個人向けネットバンキングで乱数表を完全に廃止へ | スラド セキュリティ
メガバンクの個人向けネットバンキングサービスの中では 物理トークンを使ったトランザクション署名 [mizuhobank.co.jp] に対応している、みずほ銀行が圧倒的に安全です。 三菱東京UFJ銀行のパスワードカード [bk.mufg.jp] や 三井住友銀行のパスワードカード [smbc.co.jp] や ゆうちょ銀行のワンタイムパスワード生成機 [japanpost.jp]は、トークン(たぶん Digipass)自体は、トランザクション署名対応なのにも関わらず、銀行側が対応していないため、単なるワンタイムパスワード発行機としてしか使用できません。 みずほ銀行のトランザクション署名は、中継型フィッシング・パソコンやスマホが遠隔操作やマルウェアによるMITBの影響下にあっても、トークンに振込先口座番号を入力しない限り(振込先の口座番号固有のワンタイムメッセージ認証コードを発行しない限り)
SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 | スラド セキュリティ
昨年、SymantecがSSL/TLS証明書関連事業をDigiCertに売却することが報じられた。これに関連して、英国のSSL/TLS証明書再販業者・TrusticoがDigiCertに対し、Trusticoが販売したSymantecの証明書が「汚染」されていると主張、無効にするよう求めたそうだ。DigiCertがその証拠を求めたところ、Trusticoは証明書の秘密鍵を暗号されていないメールで送りつけるという暴挙に出たという(mozilla.dev.security.policyグループへの投稿、register、Boing Boing、GIGAZINE)。 本来販売された証明書の秘密鍵はその所有者(購入者)のみが保有しているはずで、なぜTrusticoが秘密鍵を保有していたのかは不明。これに加えてメールで秘密鍵を送ることも、証明書を発行する認証局に対する要件を定めるBassline R
10年以上にわたり、数百万人から情報をこっそり収集していたMac向けマルウェア | スラド セキュリティ
Mac向けのマルウェア開発者が逮捕され、その裁判が行われているそうだ。その過程で、このマルウェアに対するさまざまな興味深い情報が出ているという(Ars Technica、GIAGAZINE)。 問題のマルウェアは「Fruitfly」というもの。このマルウェアは感染したMacのスクリーンショットやWebカメラによって撮影した画像、マイクで録音した音声、キー入力などをリモートに送信する機能を備えており、この開発者は13年間以上にわたって、数百万人の情報を収集していたという。 収集されていた情報は税務関連の記録や医療関連の記録、さまざまな写真、ネット検索結果、銀行送金関連の記録など多岐にわたり、またポルノ関連のキーワードを入力すると開発者にアラートを送信する機能もあったそうだ。 このマルウェアの活動は10年以上前から確認されているとのことで、OSのアップデートに対応するための修正も行われていたと
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 | スラド セキュリティ
どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ(4chan.org、TechCrunch)。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。 影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される | スラド セキュリティ
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿、 The Registerの記事、 Softpediaの記事、 Ars Technicaの記事)。 チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返され
HTTPS監視装置にセキュリティ低下の危険性 | スラド セキュリティ
HTTPS通信を監視するセキュリティ装置の一部で、TLSによる保護が十分ではなく、セキュリティ強度が低下する恐れがあるという(ZDNet Japan、JPCERTによる「HTTPS 通信監視機器によるセキュリティ強度低下の問題」という注意喚起)。 HTTPSではクライアント-サーバー間で暗号化されたデータがやり取りされるため、通常その経路に流れるデータを観測してもその中身を読み取ることはできない。そのため、HTTPS通信を監視する装置を利用する場合、クライアント側に専用の証明書をインストールすることで監視装置が暗号化されたデータを復号して読み取れるようにしておく必要がある。この場合、クライアントは監視装置の信頼性については証明書を用いて検証できるが、監視装置と目的のWebサーバーとの間の通信については、クライアントからはコントロールすることができない。 最近発表された論文によれば、多くの監
ゲーミフィケーションされたDDoS攻撃、トルコで確認される | スラド セキュリティ
リワードプログラムで参加者を集める、ゲーミフィケーション(ゲーム化)されたDDoS攻撃がトルコで実行されていることが確認されたそうだ(Forcepoint Security Labsのブログ記事、 BBC Newsの記事、 BetaNewsの記事、 V3の記事)。 Forcepoint Security Labsによると、このプログラムは「Sath-ı Müdafaa (Surface Defense)」と呼ばれ、サインアップしたユーザーは「Balyoz (Sledgehammer)」というDoSツールを用いてリストアップされたWebサイトを攻撃することでポイントを獲得できるという。獲得ポイントは10分間の攻撃で1ポイントとなっており、集めたポイントは任意のサイトを攻撃可能なスタンドアロンバージョンのBalyoz DoSツールや、クリック詐欺ボットなどと交換できるとのこと。 「Balyoz
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる | スラド セキュリティ
ストーリー by hylom 2015年12月16日 8時00分 プリインストールされている管理ソフトって有効活用されているのだろうか 部門より やや旧聞となるが、Dell、東芝、Lenovo製のPCやタブレットにプリインストールされているサポート系ソフトウェアに脆弱性が見つかったという(THE TECH REPORT、ZDNet Japan、Slashdot)。 問題となっているのは、Dellの「Dell System Detect」、東芝の「TOSHIBA Service Station」、Lenovoの「Lenovo Solution Center」というソフトウェアで、ほとんどの環境で脆弱性が残されたまま使用されているという。そのため、数百万人のユーザーに影響を及ぼす可能性があるそうだ。 それぞれの脆弱性は異なるものだが、「Lenovo Solution Center」および「De
米当局のネット監視をリークしたスノーデン氏、米国の中高年には嫌われる | スラド セキュリティ
2013年に米国家安全保障局(NSA)によるネット監視を内部告発したエドワード・スノーデン氏は、米国の中高年からは支持されていないという調査結果が明らかになった(USNews、Newsmax、ACLU、Slashdot)。 米自由人権協会(ACLU)が実施した国際世論調査(対象国は独、オランダ、スペイン、英、イタリア、カナダ、ニュージーランド、フランス、オーストラリア)によると、欧米ではエドワード・スノーデンの人気は高い。とくに18~34歳の「Millennials世代」では、スノーデンをプライバシー保護のリーダーと見なす傾向が強いようだ。イタリアでは同世代では86%もの支持を得ているという。 しかし、米国のMillennials世代では支持は56%とやや低迷している。また米国での全年齢調査では64%のユーザーがスノーデンに対して否定的な立場を取っている。35~44歳の層では支持は34%、
SSL 3.0の脆弱性「POODLE」はTLSにも影響する | スラド セキュリティ
先日、SSL3.0の脆弱性(通称「POODLE」)が発見されたが、この脆弱性がTLSにも影響する可能性があることが明らかになった(JVNVU#98283300、CNET Japan)。 TLS通信においても、Padding Bytesの検証処理が行われていない実装の場合、この脆弱性の影響を受ける可能性があるとのこと。実際に影響を受けるTLS実装も確認されている模様。
謎の偽携帯電話基地局が全米各地で見つかる | スラド セキュリティ
セキュリティーを強化した携帯電話「GSMK CryptoPhone」シリーズを米国で販売しているESD Americaによると、通信会社が設置したものではない偽の携帯電話基地局(インターセプター)が全米各地で発見されているそうだ(Twitter — Cell Hacking Alerts、 Popular Scienceの記事、 本家/.)。 インターセプターの中身はコンピューターに無線通信機能を追加したもの。通話内容の傍受のみが可能な低機能なものから、政府機関が使用する VME Dominatorのように偽のテキストメッセージを使用してスパイウェアを送り込むといったことも可能なものもある。インターセプターはCryptoPhone 500が存在を検出。米軍基地周辺で数多く発見されているが、使用者は不明だ。ラスベガスのカジノ付近でも発見されており、フロリダからノースカロライナへの経路で8つの
次善の策として「パスワードの使い回し」を容認するというアイデア | スラド セキュリティ
使用する「パスワードはすべて異なるものにする」というのはセキュリティの常識だが、パスワードの設定が必要となるシーンが増えてくると、サイトごとのパスワードを全て覚えておくのも非常に面倒だ。そこでこれへの対策として、次善の策として「たとえ破られたとしても損失の少ないアカウント」に対してはパスワードの使い回しを許容するという案がMicrosoftとカナダのカールトン大学の研究者らによって提案されている(ITmedia)。 さらに、パスワード管理ソフトの使用やクラウドを使ったデータの保存についても、そのソフトやクラウドのマスターパスワードが推測されたり漏洩した場合の損害が大きいことから、注意するように警告を出している。
「沖縄機密文書」の公開を求める裁判、最高裁が上告を棄却 | スラド セキュリティ
変な最高裁判決だと思う。 アメリカはお国に都合の悪い機密文書でもちゃんと保管していて、期限が切れたらどんなに国に不利な文書でも公開される。 ここで、沖縄密約を示す文書がみつかった。 さらに民主政権時に、一部政府筋が存在を認めた。 そして日本側の沖縄密約を示す機密文書の開示請求を西山氏が起こした。 地裁判決は「情報を開示しろ」 高裁は「機密文書はあったかもしれないが今は無いので開示請求は却下」 そして一番変なのが最高裁判決で、「開示請求をするなら請求者が機密文書があるという証拠を示せ」と開示請求を却下。 よくスラドで出てくる「悪魔の証明」ってやつを最高裁が請求者に求めたってこと。 国が機密にしている文書があるという証拠を民間人が示すことなんか不可能でしょ。 「機密文書があるのか証拠を示せ、ただし証拠を探すことはならん」ってことだし。 本当に機密文書を秘密裏に廃棄していたなら、高裁判決が妥当に
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
LTEネットワークへの新たな攻撃手法が見つかる | スラド セキュリティ
Coinhive摘発の基準、神奈川県警への情報開示請求で一部公開 | スラド セキュリティ
Amazon、DDoS攻撃対策システム「AWS Shield」を発表 | スラド セキュリティ