パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

14092484 story
バグ

トレンドマイクロの「パスワードマネージャー」に情報漏えいにつながる可能性のある脆弱性 14

ストーリー by hylom
こんな典型的な脆弱性をセキュリティ企業がやるのか 部門より

トレンドマイクロが提供するパスワードマネージャにおいて、利用時にインストールされる鍵ペアとルートCA証明書の管理が適切に管理されていないという脆弱性(JVNDB-2020-000005)と、特定の条件下でIDとパスワードの情報をメモリ内に平文で保存し続けるという脆弱性(JVNDB-2020-000004)が確認された(INTERNET Watch発見者によるブログ記事)。

前者の脆弱性は、ローカルの第三者がこの秘密鍵にアクセスしてローカルマシン上で信頼される任意のSSL/TLSサーバー証明書を作成することで、フィッシングなどに悪用される可能性がある。また、後者の脆弱性ではメモリをスキャンすることでIDとパスワードを取得できる可能性がある。

なお、発見者によると前者の脆弱性については報告当初トレンドマイクロは「脆弱性ではない」と主張していたという。

14091790 story
インターネットエクスプローラ

Microsoft、Internet Explorerのゼロデイ脆弱性を公表 31

ストーリー by headless
脆弱 部門より
Microsoftは17日、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2020-0674)を公表するとともに、回避策を発表した( セキュリティアドバイザリSoftpediaの記事)。

CVE-2020-0674はスクリプトエンジン(jscript.dll)がIEでメモリ内のオブジェクトを処理する方法に存在する。この脆弱性を悪用してメモリ破損を引き起こすことで、現在のユーザーのコンテキストで任意コードの実行が可能になるという。既にターゲットを限定した攻撃が確認されており、攻撃者が電子メールなどを通じて特別に細工したWebサイトにアクセスするようターゲットを誘導するといったシナリオが提示されている。

回避策としてはtakeownコマンドでjscript.dllの所有者になり、caclsコマンドでeveryoneのアクセス権を「なし」にするというもの。jscript.dllでは同様の脆弱性が過去にも発見されており、回避策も同様の内容だ。元に戻すにはcaclsコマンドでeveryoneのアクセス権を失効させればいい。Microsoftでは更新プログラムをインストールする前に変更を元に戻しておくことを推奨している。なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。

この脆弱性はWindows 7以降およびWindows Server 2008以降のIE 9~11が影響を受ける。脆弱性の深刻度はクライアント系Windowsで「重大」、サーバー系Windowsで「中」となっている。この脆弱性に対する更新プログラムは月例更新で提供する計画のようだ。
14091267 story
Windows

Microsoft、1月のセキュリティ更新プログラムで米NSAから報告された脆弱性を修正 14

ストーリー by headless
報告 部門より
Microsoftは1月のセキュリティ更新プログラムで合計14件の脆弱性を修正しているが、このうちCVE-2020-0601には報告者として米国家安全保障局(NSA)が挙げられている(セキュリティ更新プログラムガイド CVE-2020-0601Microsoft Security Response Centerのブログ記事NSAのアドバイザリー: PDFNSAのニュース記事SlashGearの記事)。

CVE-2020-0601はWindows 10/Server 2016以降のCryptAPI(Crypt32.dll)が楕円曲線暗号(ECC)証明書を検証する方法に存在するなりすましの脆弱性。攻撃者は本物を装った偽のコードサイニング証明書で悪意ある実行ファイルに署名することで中間者攻撃が可能となり、影響を受けるソフトウェアに接続するユーザーの機密情報を復号できるという。Microsoftは脆弱性の深刻度を2番目に高い「重要」と評価するのに対し、CVSS 3.xスコアは「8.1 High」であり、NSAは「critical」「serious」と表現している。現在のところアクティブな攻撃は確認されていないとのことだが、脆弱性公表後にPoCが開発され、偽の証明書で偽のWebページを正規のWebページに見せかけるデモが何件か行われている。

NSAは発見したソフトウェアの脆弱性のほとんどを公表する一方で、状況によっては公表せず情報収集に使用することを明らかにしている。2017年にハッカーグループShadow Brokerが公開したNSAのエクスプロイト「EternalBlue」はWindowsの脆弱性(CVE-2017-0145)を利用しており、このエクスプロイトを利用したランサムウェアWannaCrypt/WannaCryは世界規模で被害が拡大することになった。なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。
14090047 story
ニュース

九州電力でシステム移行トラブルによる料金請求の遅延やご請求が発生、テストデータに漏れがあり事前に検出できず 18

ストーリー by hylom
そんなに複雑な仕様なの 部門より

九州電力が、プログラムの不具合に起因するシステム障害によって電気料金の請求遅延や誤請求が発生していることを明らかにした(日経xTECH九州電力の発表)。

九州電力は2020年4月に発送電事業を分社化する予定で、それに向けたシステム移行を行なっていた。問題が発生しているのは検針データから電気使用量を計算するシステムなどで、システム移行のためのプログラムに不具合があったのが原因だという。テストデータに漏れがあったためにこの不具合を事前に検知することができなかったようだ。

発表によると、これによって電気料金請求書の送付遅延が83870件、太陽光等電力買取分の支払いのお知らせ遅延が21111件発生しているという。さらに、同社顧客向けサイトで電気料金や使用量を照会するサービスについても一部利用できないユーザーが発生しているとのこと。

14089156 story
インターネット

「無印良品」公式サイト、年末から続くメンテナンスが終わらず。再稼働は1月下旬予定 48

ストーリー by hylom
何が起こっているんだ 部門より

Anonymous Coward曰く、

無印良品では年末年始にWebサイトやネットストアのメンテナンスを行なっており、予定では2020年1月1日よりWebサイトやネットストアの稼働が再開する予定だったはずなのだが、「システムメンテナンスに想定以上の時間を要している」という理由でメンテナンス期間が1月下旬まで延期されている(無印良品Webサイトでの告知ITmedia)。

当初は「1月上旬まで」の延期だったが、現在は「1月下旬まで」となっている。

14088216 story
バグ

年を2桁で処理するシステムの「2020年問題」 108

ストーリー by hylom
プログラムは意外に長く使われる 部門より

過去に開発されたシステムでは、年を西暦の下2桁でのみ処理するものが存在するそうだ。そういったシステムの一部では2000年以降も適切に処理を行うために下2桁が「00〜19」の場合は「2000年〜2019年」として扱い、そうでない場合は「19XX年」として扱うという処理になっているものがあり、2020年を迎えた現在そういったシステムが問題となっているという(New ScientistGIGAZINE)。

「00〜20」という範囲が選択された理由については、UNIX時刻では1970年を時刻の基準点としており、そこからプラスマイナス50年の範囲ということで1920年から2019年という設定にしたとされている。こういったシステムでは2020年という年を適切に処理できないケースがあり、複数のシステムやプログラムでこれに関連する問題が確認されているそうだ。

なお、これとはまったく関係はないが、例えば「年4桁+月2桁」の数字6桁で年月を表現するルールを採用している場合、2020年を迎えた現在それが「年2桁+月2桁+日2桁」との表記との区別がつかないという問題も指摘されている。例えば2008年4月のデータを「200804hogehoge.txt」のようなファイルに保存していた場合、ルールを知らない人がこれを見たら「2020年8月4日のデータ」のように解釈してしまう恐れがある。

14086730 story
Safari

ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 85

ストーリー by headless
限定 部門より
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ、ディスプレイユニット(DU)の液晶パネル6枚すべての表示が消えてしまうバグが確認され、米連邦航空局(FAA)が12月27日付で耐航空性改善命令(AD)を出していたそうだ(ADThe Registerの記事)。

FAAは昨年、アラスカ・ワイリーポスト-ウィルロジャースメモリアル空港に真西方向へ計器進入するとDUの表示がすべて消え、他の滑走路を選択するまで復旧しなかったというインシデント3件の報告を受けていたそうだ。調査の結果、ディスプレイエレクトロニックユニット(DEU)とフライトマネージメントコンピューター(FMC)で、特定のバージョンのソフトウェアの組み合わせにより発生する動作だと確認された。ボーイングはソフトウェアの修正を進めているという。

影響を受けるのは全世界で7か所(米国5、コロンビア1、ガイアナ1)のみ。7か所とも西向きに進入する滑走路だが、西向きに進入する滑走路のすべてが影響を受けるわけではなく、緯度と経度の値が原因として特定されている。該当の空港に向かう定期運航便の機材では既に問題のあるDEUのソフトウェアが削除されているが、FAAでは緊急着陸やボーイングビジネスジェットのフライトに対処するためにADを出したとのことだ。
14086727 story
お金

ランサムウェア被害にあった外貨両替サービス大手Travelex、店頭では手書きの伝票で対応 2

ストーリー by headless
対応 部門より
外貨両替サービスTravelexは12月31日にランサムウェア感染が判明して全システムをオフラインにしたが、コンピューターなしで業務を継続するため店頭では手書きの伝票で対応しているそうだ(The Guardianの記事The Registerの記事The Vergeの記事The Next Webの記事)。

Travelexの米国版Webサイトのトップページに掲載された7日付のプレスリリース(Internet Archiveのスナップショット)によると、ランサムウェアはSodinokibiまたはREvilとして知られるもので、Travelexは感染拡大を食い止めることに成功しているという。これにより、一部のデータは暗号化されたものの、構造化された顧客データは暗号化されておらず、データが外部に送信された形跡はみつかっていないとのこと。一方、攻撃者が600万ドルの身代金を要求し、支払わなければ5GB分の個人情報を公開すると脅しているとBBC Newsが報じている。

Travelexはランサムウェアのエントリーポイントを公表していないが、SodinokibiはPulse Secure製VPNサーバーの脆弱性を利用して感染を広げているという。セキュリティ調査企業Bad PacketsはTravelexの使用しているVPNサーバーの脆弱性が未修正であることを昨年9月に通知したものの、Travelexからの応答はなかったとのこと。

Travelexの日本版Webサイトは9日の時点でトップページなど一部のページが不安定ながらもアクセス可能だったが、その後トップページは今回のランサムウェア被害の報告とサービスの提供状況を説明する内容に差し替えられている。
14086256 story
Google

GoogleのProject Zero、バグ開示の新ポリシーをテスト 15

ストーリー by hylom
緩和 部門より

headless曰く、

GoogleのProject Zeroが1月1日以降ベンダーに報告したバグについて、開示ポリシーの変更をテストしているそうだ(Project ZeroのブログThe VergeSoftpediaAndroid Police)。

これまでProject Zeroではパッチが迅速に開発されることを目標としており、ベンダーへの報告から90日後またはパッチ提供開始のいずれか短い期間経過後にバグを開示していた。2015年には報告から90日以内にパッチは完成したものの、提供開始が間に合わない場合などに限って14日間の猶予期間を追加できるようになっている。ただし、いずれの場合もパッチ提供開始時点でバグの詳細やPoCが公開されてしまうため、パッチが不完全であった場合に引き起こされる問題や、パッチ未導入のユーザーを危険にさらすといった問題があった。

1月1日からテストしている新ポリシーではパッチの迅速な開発のほか、徹底的にバグが修正されること、パッチがユーザーに浸透することを目標に加えている。そのため、パッチ公開済みかどうかにかかわらず、バグの開示は報告から90日後になる。ただし、猶予期間内に関しては、これまでパッチの公開からしばらくしてバグを開示することになっていたが、新ポリシーでは即時開示となる。また、パッチに不完全な部分が見つかった場合はベンダーに報告し、既存のバグリポートに追記されるが、バグリポートが既に公開されている場合はパッチの問題点もその時点で開示されることになるようだ。

なお、既に攻撃が確認されているバグについてはこれまでと同様、報告から7日後に開示される。新ポリシーのテストは12か月間にわたって行われ、その結果を踏まえて今後のポリシーを検討するとのことだ。

14083682 story
スラッシュバック

ボーイング737 MAX、設計上の問題が新たに見つかったとの報道 25

ストーリー by hylom
微妙なところ 部門より

headless曰く、

ボーイング737 MAXでこれまでに報告されていなかった設計上の問題が新たに見つかったと、The New York Timesがボーイングのシニアエンジニアと情報通3人の話として報じている(The New York TimesCNN Business)。

問題は尾翼の制御に関連する配線で2束の配線が近すぎて短絡する可能性があるというもの。短絡が起きた場合、操縦士が適切に反応しなければ墜落する可能性がある。この問題は米連邦航空局(FAA)の要請に応じ、操縦士が緊急事態に反応するのに必要な時間を適切に評価していたかどうかを確認する内部調査で発見されたという。

ボーイングは12月にFAAへ報告しており、社内では配線を分離する改修が必要になるかどうかを検討しているとのこと。状況によっては前世代の737 NGでも同様の問題について調査が必要になる可能性もある。情報提供者のシニアエンジニアによると、このような問題が見つかって改修を行うのは珍しいことではなく、737 MAXやボーイングに限ったものではないそうだ。

これについてボーイングの広報担当者はCNN Businessに対し、737 MAXの安全性を確実にするため綿密な調査の結果発見された問題だと述べ、設計変更が必要になると推測するのは時期尚早だと述べたとのことだ。

14082711 story
Google

Xiaomiのスマートカメラを導入したら他人の家の映像が表示されたというトラブル報告 37

ストーリー by hylom
これはひどい 部門より

Googleのディスプレイ内蔵スマートホーム端末「Google Nest Hub」(Google Home Hub」にXiaomi(小米)製のスマートカメラを接続したところ、他人の家の映像が端末に表示されたという報告が出ている(redditAndroid PoliceDHThe VergeThe Vergeの続報)。

これを受けてGoogleは不具合が修正されるまでNest HubとXiaomi製デバイスとの接続をブロックする措置を行ったことを発表した。また、Xiaomiはこれに対し不具合を認め、キャッシュの問題だったと述べたという。

14075948 story
Yahoo!

Yahoo!ファイナンスで株価が更新されないトラブル、12月23日を誤って祝日と設定していたため 39

ストーリー by hylom
カレンダーにも誕生日と書いてあるから…… 部門より

Anonymous Coward曰く、

12月23日、Yahoo!ファイナンスで株価が更新されないトラブルが発生している。サービス障害が発生した場合の告知に使われる欄には、『ただ今、株価の更新が止まっています。ご迷惑をお掛けしますが、復旧までお待ちください。』と表示されていた。

祝日などの休場日を案内する欄には『現在の日時:12月23日xx:xx —日本の証券市場はお休みです。—天皇誕生日』と表示されており、令和元年には存在しない天皇誕生日を平成30年と同様に設定してしまったのではないかとの観測が広まっている。

ヤフーは原因について「12/23を誤ってシステム上祝日としていたことによるもの」と発表したTogetterでは、ほかにも12月23日を誤って祝日と設定していたためにトラブルが発生したという話がまとめられている。

14073536 story
バグ

国税庁のシステムでもシステム障害 26

ストーリー by hylom
今度はどうした 部門より

shinshimashima曰く、

国税庁のシステムで17日より障害が発生し、全国の税務署で納税証明書の発行や税金納付の際の帳票印刷が遅延しているという(国税庁の発表)。

近所の税務署で印刷はダメだし納付の機械も止まっていた。

なお、e-Taxにおいては不具合は発生していないという。

14072704 story
バグ

欠陥のあるITシステムのせいで従業員に横領・窃盗疑惑がかけられた英国の事件、裁判所はシステムの不具合を認める 18

ストーリー by hylom
なぜそれで横領や窃盗になるのか 部門より

nemui4曰く、

英International Computers Limited(ICL、2002年に富士通が買収)が2000年に郵便局の運営を行っているPost Office社向けて開発したシステムに大量の不具合があり、それによって会計上の不整合が発生。その結果、郵便局の従業員に対し横領や窃盗の疑いがかけられていたという(Yahoo!ニュース)。

これに対し、疑いがかけられた元準郵便局長らが起こした裁判で12月16日、裁判所側がシステムの不具合によって経理ミスが発生していたことを認める判断を示し、Post Officeに対し和解金578万ポンド(約8億3400万円)の支払いを命じたという。

14071764 story
クラウド

多くの自治体が利用する日本電子計算のクラウド障害、バックアップに問題があり15%は復旧不可に 102

ストーリー by hylom
クラウドでもローカルバックアップは必須なのか 部門より

12月4日、NTTデータ傘下の日本電子計算が運営・提供しているクラウドサービス「Jip-Base」で障害が発生した。これによって複数の自治体のシステムに影響が及んでいるが、同社が12月16日に記者会見を行い、障害の詳細を説明した(日経xTECHITmediaINTERNET Watch)。

すでにストレージ関連の不具合が発生していたことは明らかにされているが、バックアップ機能にも不具合が発生しており、これによって全データのうち15%は単独での復旧が不可能な状況になっているという。ただ、一部は自治体が独自にバックアップを作成している可能性があるようだ。

問題のストレージについてはEMCジャパンと保守契約を結んでおり、障害が発生した4日にEMCジャパンとともに調査を行ったという。その結果、5日にはストレージのファームウェアに問題があることが判明、ファームウェアのアップデートを実施したものの、論理的なデータ不整合が発生していたためにそれだけでは復旧できないことが分かったという。

日本電子計算はファームウェアの検証などは行っておらず、ベンダー側からの情報提供に頼っていたようだ。また、EMCジャパンはファームウェアの不具合について知っていたものの、日本電子計算側にはそれが伝えられていらず、さらにEMCジャパンはこの不具合が重要なものだとは認識していなかったという。

また、バックアップについてはソフトウェアのトラブルで一部が適切に行われていなかったとのことで、これは日本電子計算側に問題があったようだ。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...