パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

12938620 story
お金

ZERODIUM、iOSのゼロデイエクスプロイト買取価格を3倍の150万ドルに改定 2

ストーリー by headless
改定 部門より
各種ゼロデイ脆弱性を利用したエクスプロイトの買い取りを行うZERODIUMが、買い取り価格をiOSで3倍、Andoridで2倍にするなど大幅な価格改定を行っている(ZERODIUM — エクスプロイト買い取りプログラムArs Technicaの記事V3の記事MacRumorsの記事)。

ZERODIUMは昨年、iOS 9のリモート脱獄報奨金プログラムを期間限定で実施し、1チームに100万ドルを支払っているが、通常の買取価格は50万ドルとなっていた。今回の改定により、iOS 10では期間が限定されることなく最高150万ドルが支払われることになる。また、Androidのリモート脱獄でも、Android 7では従来の10万ドルから倍増し、20万ドルとなっている。大幅な買取価格の上昇は、iOS 10とAndroid 7のセキュリティ向上に伴うものだという。

このほか、リモートコード実行+サンドボックス迂回については、Flashで2万ドル増の10万ドル、Microsoft Edge/Internet Explorer/Safariでは3万ドル増えて8万ドルとなるなど、そのほかの脆弱性についても価格改定が行われている。
12938345 story
セキュリティ

秘密の質問の答えはパスワードのように扱うべき? 34

ストーリー by headless
秘密 部門より
秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。
12937602 story
検閲

セキュリティ関連ブログがDDoS攻撃を受けて一時閉鎖、運営主は「検閲の民主化」と批判 40

ストーリー by hylom
DDoSの一般化 部門より
headless 曰く、

インターネット史上最大規模というDDoS攻撃を受けてオフラインになっていたジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」が25日、DDoS緩和サービスをAkamaiからGoogleのProject Shieldに変更して復活した(Krebs on Securityの記事1記事2)。

DDoS攻撃はKrebs on SecurityがDDoSサービス「vDos」について報じた直後から始まっており、9月20日には620Gbpsに到達。Akamaiが過去に防いだ最大のDDoS攻撃のトラフィックは363Gbpsであり、今回の攻撃はその2倍近いものだったという。また、363Gbpsの攻撃では乗っ取ったシステムで構築したボットネットからDNSリフレクション攻撃やDNSアンプ攻撃と呼ばれる手法を用いてトラフィックを増幅していたのに対し、今回は非常に多くのIoTデバイスを乗っ取って構築したボットネットから直接攻撃を受けたとみられるとのこと。

DDoS攻撃のトラフィックには逮捕されたvDosの運営者のハンドルネーム「Applej4ck」を含む「freeapplej4ck」という文字列が含まれており、Krebs氏は攻撃がvDosに関連したものとみているようだ。この攻撃をAkamaiは防いでいたが、これ以上攻撃が続くと数百万ドルの損害が出るとしてサイトはオフラインとなった。Krebs氏はAkamaiから無料でサービスの提供を受けていたため、この判断に異論はなく、代替となるDDoS緩和サービスプロバイダーを探すことになる。

しかし、援助を申し出てくれたプロバイダーは攻撃に対抗するのに十分な力がなく、Akamaiと同レベルの保護を提供可能な1社は、最初の2週間のみ無料でサービスを提供するが、その後は年間15万ドル~20万ドルかかると言われたとのこと。これは独立したジャーナリストが支払える金額ではなく、非営利団体の設立やクラウドファンディングでの資金調達も考えたそうだ。

最終的にKrebs氏が利用を決めたProject Shieldは、Googleのインフラを利用して独立ニュースサイトをDDoS攻撃から保護し、言論の自由を守ることを目的にしたサービスだ。レイヤー3/4およびレイヤー7攻撃を含むマルチレイヤーでの防御システムを備え、無制限に無料で利用できる。

Krebs氏はEFFの共同創設者であるJohn Gilmore氏の「インターネットは検閲をダメージとみなし、それを迂回する」という言葉を引用し、現在では「実際には検閲がインターネットを迂回できる」と述べている。かつて権力者のものであった検閲だが、現在のインターネットでは誰もがDDoS攻撃でWebサイトをオフラインに追い込むことが可能となった。Krebs氏はこのような「検閲の民主化」は歓迎できないとも述べている。

12936387 story
MacOSX

Mac版ESETがmacOS Sierra 10.12に対応してない点が指摘される 39

ストーリー by hylom
色々とアップデートを躊躇する事態が出てくるOS-X 部門より

キヤノンITソリューションズが販売するセキュリティソフト「ESET」シリーズは、9月21日にリリースされたMac OS Xの新バージョン「macOS Sierra(10.12 )」に対応していないそうだ。このことについてITmediaで、『果たしてOS自体のアップグレードによる「脆弱性が多数修正される」というメリットを取るべきか、セキュリティ総合対策ソフトによる「OSではカバーしきれない安全、安心」を取るべきか』と取り上げられている。

なお、記事によるとESETの英語版はSierraのリリース前に対応版が公開されているとのことで、日本向けローカライズが遅れているのが問題のようだ。

12934591 story
セキュリティ

無線LANビジネスガイドライン、訪日外国人向けの認証仕様はセキュリティの観点から非公表 46

ストーリー by hylom
オープンとクローズドどちらが安全かという議論 部門より
あるAnonymous Coward曰く、

総務省が「無線LANビジネスガイドライン」の意見募集結果と、意見募集などを踏まえた第2版を公表した。このガイドラインは、公衆無線LANサービスを提供する事業者が円滑に事業展開し、利用者が安心・安全なサービスを享受できる環境づくりに資することを目的としている。

総務省は、訪日外国人が一度の利用開始手続で複数の事業者の無料公衆無線LANサービスに接続できるよう実験を行っている(「無線LANビジネスガイドライン第2版」PDF 26ページ)。ところが、その認証仕様の詳細はセキュリティの観点から公表しないという。

これに対し、その方針は不適切ではないかという意見が出たが、提出意見を踏まえた案の修正は無かった(「無線LANビジネスガイドライン」の改正案に対する意見募集の結果と総務省の考え方」PDF 5ページ)。

12934503 story
Yahoo!

米Yahoo、ユーザー5億人超の個人情報が流出したことを発表 23

ストーリー by hylom
続報はあまりないのですが 部門より

米Yahoo!が22日、同社サービスの利用者5億人超の個人情報が流出していたことを発表した(読売新聞朝日新聞TechCrunch)。

流出したのは名前および電話番号、生年月日、メールアドレス、暗号化されたパスワード、本人確認のために利用者が設定した質問と答えなど。銀行口座やクレジットカードなどについては流出していないという。

5億件以上の個人情報流出というのは最大規模で、政府の支援を受けたサイバー攻撃の可能性もあるという。また、いつ流出が確認されたかは明らかにされていない(ロイター)。Yahoo!は米Verizonとの間で事業売却に合意しており、これに影響が出る可能性もある。さらに、ユーザーらがYahoo!に対し、顧客データの保護を怠ったとして提訴する動きも相次いでいる(ブルームバーグ)。

12934479 story
暗号

iOS 10の暗号化バックアップファイルはiOS 9と比べて最大2500倍容易にクラックできる 3

ストーリー by hylom
すごい 部門より
headless 曰く、

iTunesアプリで作成したiOS 10の暗号化バックアップファイルがiOS 9のものと比べて最大2,500倍容易にクラックできることが判明したそうだ(ElcomsoftブログSoftpediaThe Next WebMacRumors)。

この問題はElcomsoftが同社の「Elcomsoft Phone Breaker」をiOS 10に対応させるための調査を行っていた際に判明したものだという。iOS 10では従来のパスワード認証メカニズムに加え、新たなパスワード認証メカニズムが導入されているのだが、新しいメカニズムでは特定のセキュリティチェックが行われないのだという。その結果としてパスワードの試行にかかる時間が大幅に短くなるそうだ。

現在のところ、iOS 10のバックアップをクラックする場合にはGPUアクセラレーションが使用できず、CPUのみでの処理となる。それでも秒間600万個のパスワードが試行でき、GPUアクセラレーションを使用してiOS 9のバックアップをクラック(秒間15万個)するのと比べて40倍高速だという。CPUのみでiOS 9のバックアップをクラック(秒間2,400個)するのと比べれば2.500倍高速とのこと。

Appleでもこの問題を認識しており、今後のセキュリティアップデートで修正する予定とのことだ。

12932664 story
DRM

ストリートファイターVのアップデートで追加された不正防止対策がルートキットのようだと批判される 76

ストーリー by headless
対策 部門より
カプコンが23日に配信した「ストリートファイターV」のPC版アップデートがルートキット/マルウェアのようだと批判され、翌日にはロールバックする事態になっている(Ars Technicaの記事Polygonの記事The Registerの記事)。

カプコンのWebサイトでのアップデート告知には「セキュリティの強化を行いました」としか説明されていないが、Steamコミュニティの告知ではチート防止およびゲーム内通貨やコンテンツの不正取得防止のためのアンチクラックソリューションが含まれると説明されている。

この「ソリューション」はカーネルレベルで動作するドライバーを使用し、ゲーム起動時に改変をチェックするものだ。しかし、このドライバーについて、初回登録時にランダムな名前が割り当てられる、基本的なセキュリティチェックが行われない、SMEPを一時的に無効化するといった問題が指摘される。また、Webサイトで説明されている「ゲーム起動時に告知ウィンドウが毎回表示されるようになります。」というのはUACのウィンドウのことだったようだ。

これによりゲームを起動できなくなったユーザーもいるようで、苦情が寄せられる結果となる。カプコンはアンチウイルスソフトウェアやDEPによりブロックされている可能性もあるとして、「StreetFighterV.exe」をアンチウイルスソフトウェアやDEPの除外リストに入れるという回避策をブログで紹介していたが、最終的にはアンチクラックソリューションを除去したアップデート24日にリリースすることとなった。
12931573 story
インターネット

GoDaddy、DNS設定を行うためのAPIを発表 9

ストーリー by hylom
悪用できそうな予感? 部門より
あるAnonymous Coward曰く、

大手ドメインレジストラ/レンタルサーバー業者の米GoDaddyが2016年9月13日、DNS設定を行うためのAPI「Domain Connect」を発表した(ProgrammableWeb PR NewswireSlashdot)。

このAPIではIPアドレスとドメイン名の紐付けなどのDNS関連設定を容易に行うことができるという。サービスプロバイダとしてすでにMicrosoftやshopify、WiXなどのホスティング業者がこの規格に対応しているとのことで、またGoDaddyだけでなくname.comやUnited Domainsなどのドメインレジストラもこの規格をサポートしているようだ。今後この規格をIETF標準にすることも目指しているという。

12928754 story
ハードウェアハック

フラッシュチップをコピーすることでiPhone 5cのロック解除における試行回数制限を突破 29

ストーリー by hylom
力技 部門より
headless 曰く、

昨年12月に米国で発生した銃乱射事件の容疑者が使用していたことで、ロック解除をめぐるFBIとAppleの論争が話題となったiPhone 5cだが、ケンブリッジ大学のSergei Skorobogatov氏がNANDミラーリングと呼ばれる方法を用い、パスコード入力によるロック解除の試行回数の制限を取り除くことに成功した(論文: PDFRegisterSoftpediaHackRead)。

方法としてはiPhone 5cのロジックボードからNANDフラッシュチップをはがし、プリント基板に回路を引き出して外付け化する。さらに別のiPhone 5c(故障品)からはがしたNANDフラッシュチップを使用してバックアップを作成しておく。バックアップ結果を検証後、元のNANDフラッシュチップをiPhone 5cに接続して起動し、ロック解除を6回試行してから電源を切る。

単純なバックアップコピーはUIDが異なるため、iPhone 5cに接続しても動作しない。Skorobogatov氏はさらに解析を行い、隠しページを含めてコピーしたNANDフラッシュチップのクローン作製にも成功している。複数のクローンを用意することで、4桁のパスコードでは20時間ほどで総当たりが可能となる。6桁の場合は3か月程度かかるという。

この方法では特殊な機器は必要なく、パーツ店で購入した材料費は100ドル以下だったという。今後の課題としては、同じNANDフラッシュメモリーを使用しているiPhone 5sやiPhone 6についてもミラーリングの効果を検証することや、操作の自動化といったものを考えているとのこと。

なお、FBIでは第三者の手を借りて銃乱射事件の容疑者が使用していたiPhone 5cのロック解除に成功したが、共犯者などの特定につながる情報は得られていない。かかった費用についてはFBI局長のジェームズ・コミー氏が130万ドル以上であることを示唆しているものの、具体的な金額や技術の提供元、ロック解除の詳細については公表を拒否している。これに対し、Associated PressとGannett(USA TODAYの親会社)、Vice Mediaの3社は16日、契約内容や使用したツールの詳細などの公表を求めてFBIを提訴した(APUSA TODAYVICE News訴状)。

12927955 story
Twitter

オランダ警察、ドローン対策としてワシを配備 47

ストーリー by headless
配備 部門より
オランダでは悪質なドローンを捕獲するため、警察がハクトウワシを配備したそうだ(ニュースリリースThe Next Webの記事)。

オランダ警察は1年ほど前にドローン対策としてワシの利用を検討しており、検証が成功したためハクトウワシを購入して訓練を行っていたという。ワシはドローンを餌とみなして空中で捕らえ、群衆の頭上にドローンを落とすことなどがないよう、指示された場所に運ぶように訓練されている。9日にはドローンによる要人の攻撃を想定したシナリオでデモンストレーションが行われたそうだ。

迅速な対応を可能とするため、ワシは国内各地に配備される。現在訓練中の若鳥もおり、プロペラから爪を保護するためのプロテクターの開発も行われているという。このような目的で猛禽類を利用するのはオランダ警察が世界で初めてとのことだ。
12927236 story
プライバシ

FBI局長曰く、誰もがWebカメラをテープでふさいでプライバシーを守るべきだ 37

ストーリー by headless
自力 部門より
個人用ノートPCのWebカメラをテープでふさいでいる米連邦捜査局(FBI)局長のジェームズ・コミー氏が、自分と同じように誰もがWebカメラをテープでふさいでプライバシーを守るべきとの考えを示している(The Hillの記事The Next Webの記事Ars Technicaの記事Neowinの記事)。

4月にコミー氏は、個人用ノートPCのWebカメラをテープでふさいでいることを明らかにした。しかし、IT企業にバックドア設置を求めるFBI局長でも自分のプライバシーは心配していることを皮肉に感じた人も多く、ずいぶんからかわれたらしい。

第10回目となる国家安全保障に関するカンファレンス「National Security Division at 10」で基調講演をしたコミー氏は、Webカメラのテープについて質問される。これに対しコミー氏は、FBIの局長が個人的なセキュリティを気にするのはおかしなことではなく、人々は自身の安全やセキュリティに責任を持つべきだと答えている。

コミー氏によると、Webカメラをテープでふさぐのは、車をロックしたり、ドアに鍵をかけたりするのと同様、誰もがすべき常識ある対応の一つだという。また、政府機関で使用するPCではすべてWebカメラがふさがれているとし、無断でのぞき見されないようにすることは良いことだとも述べている。
12926502 story
インターネットエクスプローラ

Microsoft、古いバージョンのFlashをIE 11で10月11日からブロック開始 21

ストーリー by headless
1110111110 部門より
Microsoftは13日、Internet Explorer 11で古いバージョンのFlash ActiveXコントロールのブロックを10月11日から開始すると発表した(Microsoft Edge Dev Blogの記事WinBetaの記事Softpediaの記事の記事)。

ブロックの対象となるのはAdobe Flash Player 21.00.198よりも古いバージョンおよびAdobe Flash Player ESR 18.0.0.241よりも古いバージョン。重要なFlashの更新プログラムが自動でインストールされるWindows 8.1/10/Server 2012 R2は影響を受けない。つまり、Windows 7 SP1/Server 2008 R2上のInternet Explorer 11のみが対象となる。

古いバージョンのFlash ActiveXコントロールのブロックはタブプロセスごとに1回だけ通知が表示され、一度許可すると以降は実行可能となる。ユーザーがAdministratorsグループのメンバーでない場合はブロックされないが、レジストリ設定によりブロックを有効化することも可能だ。また、「ローカルイントラネット」ゾーンおよび「信頼済みサイト」ゾーンのWebサイトには適用されない。なお、今回のブロッキングについては11月10日で終了するとのことだ。
12925826 story
情報漏洩

ロシア系ハッカー、世界反ドーピング機関をサイバー攻撃して米国選手のドーピング結果を窃取 21

ストーリー by hylom
サイバー冷戦 部門より

ロシア系のハッカーが世界反ドーピング機関(WADA)に不正アクセスを行って内部文書章を盗み取ったという。この内部文書には、複数の米国選手がドーピング検査で陽性反応を示していたという情報が含まれているという(時事通信)。

ロシアは国家ぐるみのドーピング疑惑によってリオデジャネイロ五輪で一部選手が追放され、またパラリンピックではロシアの全選手が出場できない事態となったが、今回の攻撃はこれに対する報復の可能性があるという。

12925825 story
中国

近年増加する大規模かつ精巧なDDoS攻撃、なんらかの調査を意図している? 25

ストーリー by hylom
別に弊社は根幹を担ってはいないのですが 部門より
あるAnonymous Coward曰く、

セキュリティ研究家のブルース・シュナイアー氏によると、ここ1、2年で「インターネットの根幹を担う企業の攻撃耐性を探るような動き」が活発化しているという(シュナイアー氏のブログ)。

最近の攻撃の特徴は、これまでの典型的なDDoS攻撃よりも強力かつ長時間であるとともに、徐々に攻撃を強めていって、どこまで耐えられるか調査しているかのような挙動を見せる点だという。その帯域の太さと精密さから、背後には大きな国家がいるのではないかと想像されている。

攻撃方法も、同時に複数の箇所に攻撃を行い、それらへの対応速度が計測されているように見えるという。VeriSignのDDoS傾向レポートも、「2016年の第二四半期は攻撃がより頻繁かつ長期的かつ複雑になっている」と報告している。こうした規模と、特に攻撃時間の持続性を考えると、個人や企業・団体というよりは軍隊を想起させるとシュナイアーは述べている。冷戦時代に米軍機がソ連の領空を飛行し、どれほどの高度まで、どれほどの時間で反応できるかを探ったように、と。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...