パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

13461611 story
アメリカ合衆国

米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 15

ストーリー by hylom
さすがの規模 部門より
headless曰く、

セキュリティ企業UpGuardのCyber Risk Teamは17日、米軍が過去8年にわたり収集した大量のインターネット投稿を含む3つのAmazon S3バケットが公開状態になっていたことを公表した(UpGuard — Breach Analysis BlogThe RegisterArs Technica)。

3つのバケットのAWSサブドメインは「centcom-backup」「centcom-archive」「pacom-archive」となっており、AWSアカウントでログインすれば誰でも閲覧可能な状態になっていたという。CENTCOMは米中央軍、PACOMは米太平洋軍の略称だ。データは米政府の委託業者「VendorX」が管理していたものとみられている。

VendorXに関する情報は少ないが、従業員のLinkedInページによれば、米中央軍および米国防総省の委託を受けて「Outpost」という多言語のソーシャルアナリティックスプラットフォームを開発・運用していたようだ。Outpostは世界の不安定な地域で(テロリストになる)リスクの高い若者に良い影響を与えることを目的として作られたとされる。

インターネット投稿はニュースサイトのコメント欄やソーシャルメディアなどからスクレイプされたもので、centcom-backupおよびcentcom-archiveでは中東や南アジアからの投稿が中心だが、米国市民による投稿も含まれていたそうだ。一方、pacom-archiveでは東南アジアや東アジアからの投稿が中心で、オーストラリアからの投稿も含まれていたとのこと。ただし、投稿の中には紛争とは無縁な地域からのものや、全く無害な内容のものも多数含まれており、無関係な投稿を大量に収集していた理由は不明だ。

centcom-backupにはスクレイピングされたインターネット投稿のほか、Outpost関連とみられるファイルや、諜報対象者のつながりを分析する「Coral Reef」関連とみられるファイル、Apache Luceneのインデックスファイルも含まれていたという。一方、centcom-archiveとpacom-archiveには未処理のインターネット投稿が大量に含まれており、centcom-archiveだけで少なくとも18億件に上るそうだ。

AWSでは誤設定によりデータが公開状態になるトラブルが繰り返し発生しており、警告表示などの対策が追加されているが、UpGuardが問題を発見したのは対策適用前の9月6日だったという。UpGuardは問題を米軍に通知し、現在バケットは非表示化されている。UpGuardのChris Vickery氏によれば、米軍に対する連絡は一方通行になるものだが、今回は珍しく感謝の返信が届いたとのことだ。

13437929 story
オープンソース

Apache OpenOfficeが1年ぶりにアップデートをリリース 38

ストーリー by hylom
でかいバグが出たらどうしようもないのでは 部門より

Apache OpenOfficeプロジェクトが10月19日、Apache OpenOffice v4.1.4をリリースした(窓の杜Apache OpenOfficeブログでの告知)。リリースノートによると、重要なバグ修正やセキュリティ修正などを含むメンテナンスリリースとなるとのこと。

ただ、このバージョンは昨年9月にリリースが告知されていたもので、昨年10月時点で「現在はv4.1.4とそれに続く大型アップデートの準備が進められている」と言われていた。メンテナンスリリースに1年近い歳月を費やしたわけで、窓の杜の記事では「同プロジェクトは人員不足による存続が危ぶまれていたが、状況は依然厳しそうだ」と評されている。

13415984 story
Facebook

Facebook、ReactをMITライセンスに移行すると発表 26

ストーリー by headless
移行 部門より
あるAnonymous Coward 曰く、

Facebookは23日、ライセンスが問題になっていたJavaScriptライブラリ「React」について、特許条項付きBSDライセンスからMITライセンスに移行することを発表した(Facebook Codeの記事The Registerの記事)。

Reactのほか、JestFlowImmutable.jsもMITライセンスに移行する。Reactでは来週リリースされるReact 16以降でMITライセンスが適用されるとのことだ。

MITライセンスはApache製品で使用可能なライセンスと認められることから、Apache Software Foundation傘下のプロジェクトではReact 16以降を使用できるという方向で話がまとまっているようだ。

13386987 story
Facebook

Facebook、Reactの「真のオープンソース化」を拒否 61

ストーリー by hylom
不自由なソフトウェア 部門より

多数のオープンソースソフトウェア開発プロジェクトを傘下に持つApache Software Foundation(ASF)が、Facebookの「オープンソースソフトウェアライセンス風のソフトウェア」は利用すべきではないという方針を定めた(Facebookの特許条項付きBSDライセンスが炎上している件について)。

Facebookが公開しているソフトウェアのライセンスはBSDライセンスをベースとしているが、それに加えてFacebookやその傘下の企業などとの間で特許紛争が発生している会社はそのソフトウェアを利用できないという条項が追加されている。これは「PATENTS」というファイルに記載されており、以前から話題にはなっていたのだが(参考:2016年にQiitaに投稿されたスライド)、今年7月にASFがこの条項を問題視し、この条項が付いたソフトウェアはASF傘下のオープンソースソフトウェア開発プロジェクトでは利用を認めないことが表明された(Register)。

これにより、特にFacebookが開発するJavaScriptフレームワーク「React.js」を使用しているプロジェクトが影響を受けるという。そのため、Reactを利用しているASF傘下プロジェクトに関わるソフトウェア開発者がFacebookにライセンスの変更を求めていたが、Facebookはこれを却下したという(Registerマイナビニュース)。

なお、オープンソースの定義では特定の個人やグループ、分野に対してのみ制限を加えることを禁止しており、これに則るとFacebookの「特許状況付きBSDライセンス」はオープンソースライセンスとは認められない。

13302873 story
情報漏洩

Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち 38

ストーリー by hylom
これがお役所仕事か 部門より
あるAnonymous Coward曰く、

国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした(プレスリリース時事通信ITpro)。

Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。

漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており、アンケートも4月6日以前の分はサーバーから取り除かれていたということで、被害が限定されたのだけは救いである。

13262882 story
インターネット

「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判が出る 31

ストーリー by hylom
混乱 部門より

Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。

特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体とのこと。

13262878 story
情報漏洩

ぴあの運営するBリーグチケットサイトで個人情報15万件が流出、Struts2の脆弱性が原因 24

ストーリー by hylom
またStrutsか 部門より
あるAnonymous Coward 曰く、

ぴあが運営する、プロバスケットボールリーグ「Bリーグ」の公式チケットサイトおよびファンクラブサイトが不正アクセスを受けた。最大で15万4599件の個人情報流出の可能性があるという(ITmediaぴあの発表)。

攻撃はApache Struts 2の脆弱性を狙ったもの。攻撃されたサーバーにはセキュリティコードを含むクレジットカード決済情報も含まれていたという。流出した情報を使ったクレジットカードの不正利用があり発覚した。

13217787 story
オープンソース

オープンソースの明朝体フォントNoto Serif CJK/源ノ明朝リリース 45

ストーリー by hylom
実用的だ 部門より
あるAnonymous Coward 曰く、

AdobeおよびGoogleが、オープンソースの明朝体フォント「源ノ明朝」および「Noto Serif CJK」をリリースした。

両社は同じくオープンソースのゴシック体フォント「源ノ角ゴシック」および「Noto Sans CJK」を2014年にリリースしており、これらフォントの明朝体バージョンという位置付けだ。書体としてはどちらも同じで、デザインの著作権はAdobeが所有する。配布ライセンスはNoto Serif CJKがApache License、源ノ明朝はSIL Open Font Licenseで、どちらも自由にダウンロード/再配布/使用/改変などが可能。

Googleによると、中国語簡体字(GB18030および中国の通用规范汉字表)および繁体字(BIG5)、日本語(JIS X 0208、JIS X 0213、JIS X 0212 Adobe-Japan1-6)、韓国語(古ハングル文字、1万1,172の最新文字、KS X 1001、KS X 1002)のすべてをサポートするとのこと。また、フォントウェイトは7種類が用意されている。

両者の違いはほとんどないと思われるが、ウェイトの名称が若干異なっているようだ(源ノ明朝はExtraLight/Light/Regular/Medium/SemiBold/Bold/Heavy、Noto SansはExtraLight/Light/Regular/Medium/SemiBold/Bold/Black)。

13213095 story
エイプリルフール

Google、「Google日本語入力プチプチバージョン」を発表 21

ストーリー by hylom
Googleの本気 部門より

Googleが「Google日本語入力 プチプチバージョン」を発表した。キーボードのように表面に文字が印刷された気泡緩衝材(エアーキャップ、プチプチ)を潰し、それを読み込ませることで日本語の入力を行えるというデバイスとなっている。

「スタンダートタイプ」と「ハンディタイプ」の2種類が用意され、ハードウェアの設計図や回路、ファームウェアはApache Licenseで公開されている(GitHub)。

13207271 story
ビジネス

OpenSSL、ライセンス変更に向けて貢献者の合意を求める 39

ストーリー by headless
変更 部門より
OpenSSLがライセンス変更に向け、特設サイトで貢献者の合意を求めている(Core Infrastructure InitiativeによるアナウンスOpenSSL Blogの記事The Registerの記事Phoronixの記事)。

現在、OpenSSLにはOpenSSL LicenseとオリジナルのSSLeay Licenseの両方が適用されている。これを標準的なApache Software License v.2.0(ASLv2)に変更することで、幅広いFOSSプロジェクトや製品で利用できるようにすることがライセンス変更の目的とされる。OpenSSLプロジェクトではコミットした人全員に電子メールで通知しているが、半数が送信エラーで返ってきているという。メールアドレス変更によりメールが届いていない貢献者は、特設サイトで情報を入力すれば意見を表明できる。なお、23日午後の時点で変更に合意した人は265人、反対者も7人いるそうだ。

OpenSSLの貢献者でもあり、OpenSSLプロジェクトをフォークしてLibreSSLプロジェクトを立ち上げたOpenBSDのTheo de Raadt氏のように、変更プロセスに不満を感じる人もいる。de Raadt氏は開発者コミュニティーに相談せず、いきなりメールで合意を求めてきたことや、回答がなければ合意したとみなすとされている点などを批判している。The Registerの記事によれば、大企業(OracleやIntelが変更を支持している)やLinux Foundationなどに都合のいいライセンスだけが選択肢となっている点にも懸念を示しているという。また、現在のライセンスと比べ、ASLv2の制約の方が大きいとも考えているようだ。
13202000 story
セキュリティ

影響範囲が広がるApache Struts2の脆弱性 58

ストーリー by hylom
注意喚起再び 部門より

3月9日、Webアプリケーションフレームワーク「Apache Struts」の脆弱性を狙った攻撃に対する注意喚起が出ていたが(過去記事)、この脆弱性を狙った攻撃や実際の被害が多数報告されている。

すでに特許情報プラットフォーム(過去記事)や都税支払いサイトおよび住宅金融支援機構(過去記事)、日本郵便(Security NEXT記事)などで問題の脆弱性を付いた攻撃が行われて情報流出が発生したことが報じられているが、これ以外にもニッポン放送の音声サービス「Radital」や(ニッポン放送の発表)や沖縄電力(発表PDF)などでも攻撃が確認されている。

当初は「Content-Type」ヘッダを利用して攻撃ができるという話だったが、これ以外の「Content-Disposition」や「Content-Length」といったヘッダを利用した攻撃も可能であることも判明している(Securty NEXT)。また、今回の脆弱性の対応としてパーサーを変更するというものが提案されていたが、この対応を行った場合でも攻撃が可能であることが確認されており、確実な対策としては脆弱性を修正したバージョンにアップデートするしかないようだ(INTERNET Watch)。

13197629 story
パテント

特許情報プラットフォーム、サービス停止の原因はApache Struts 2の脆弱性を狙った攻撃だった 31

ストーリー by headless
復旧 部門より
独立行政法人 工業所有権情報・研修館は16日、特許情報プラットフォーム(J-PlatPat)サービスを17日9時までに再開することを発表した。サービスは17日時点で利用可能になっている。

J-PlatPatは外部からの攻撃が検知されたため9日からサービスを停止しており、再開に向けたセキュリティ対策などを進めていた。攻撃はApache Struts 2の脆弱性を狙ったものだったが、同サービスは特許など公開された情報のみを提供するものであることから、個人情報の漏洩は発生しなかったとのこと。17日以降予定されていたメンテナンスおよび機能追加・改善は延期となる。
13186885 story
情報漏洩

Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 66

ストーリー by headless
後手 部門より
あるAnonymous Coward 曰く、

GMOペイメントゲートウェイは10日、同社が運営を委託されている東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」がApache Struts 2の脆弱性を悪用した不正アクセスを受け、最大約72万件のクレジットカード情報が流出した可能性があると発表した(不正アクセスに関するご報告と情報流出のお詫びNHKニュースの記事ITproの記事ITmediaビジネスオンラインの記事)。

同社はIPAJPCERTが相次いでApache Struts 2の脆弱性に対する注意喚起を行ったことを受け、社内システムの調査を9日に実施したところ、不正アクセスの痕跡が確認されたという。都税サイトではクレジットカード番号と有効期限が最大67万件以上、住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコードや住所・氏名・電話番号・生年月日など最大4万件以上が流出した可能性がある。決済サービスからの漏洩ということで範囲が大きくなっているようだ。

Apache Struts 2の脆弱性S2-045最初に公表されたのは3月2日7日には既にエクスプロイトが出回っていたようだ。

13183224 story
インターネット

Apache Struts 2にリモートからの任意コード実行を許す脆弱性 20

ストーリー by hylom
またStrutsか 部門より
あるAnonymous Coward曰く、

JavaベースのWebアプリケーションフレームワークApache Strutsに深刻な脆弱性が発見された(JVNVU#93610402piyolog)。

対象はApache Struts 2.3.5~2.3.31および2.5~2.5.10。Jakarta Multipart parserの処理に不具合があり、multipart/form-dataが文字列として含まれる不正なリクエストを送信することで、リモートから任意のコードを実行できる可能性があるという。

Struts 2はOGNLという独自の言語でJavaオブジェクトを操作できる機能を備えており、しばしばOGNLが原因の脆弱性が発見されていたが、今回もOGNL周りの問題のようで、Content-Typeヘッダ内に細工したOGNKを入れるだけで攻撃できてしまう模様。

ちなみにStrutsについては2014年にセキュリティ的には相当にダメな部類などと指摘されていた。

13171107 story
暗号

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 46

ストーリー by headless
粉砕 部門より
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事Google Security Blogの記事Phoronixの記事Ars Technicaの記事論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...