パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13717244 story
暗号

OpenSSL 1.1.1 リリース 46

ストーリー by headless
新型 部門より
iida 曰く、

OpenSSL 1.1.1が11日、正式にリリースされた(OpenSSL Blogの記事)。

新しい特長は第一に、先月発行されたTLS 1.3 (RFC 8446) のサポートだ。また、乱数生成子は全面的に書き直されているほか、SHA-3やEdDSA (TLS1.3でも使われる) など新しいアルゴリズムのサポートも追加されている。ブログ記事によると、1.1.0からの差分で200人を超える貢献者が5,000回近くコミットしたとのこと。

なにはともあれ関係各位の努力とご苦労に敬意を表したい。

OpenSSL 1.1.1は新たな長期サポート(LTS)版となり、少なくとも5年間のサポートが提供される、

13659830 story
検閲

インド政府、偽ニュース拡散防止のためメッセンジャーアプリ「WhatsApp」の暗号化解除を要請 27

ストーリー by hylom
政府には好都合 部門より
あるAnonymous Coward曰く、

インドは2億5000万人以上のユーザーを抱えるWhatsApp利用者の最も多い国だ。しかし、7月の頭には児童誘拐犯だとのフェイクニュースが「WhatsApp」上で広まり、私的制裁により5人が殺害される事件が起きた。今年はこうしたWhatsAppとフェイクニュースがらみの事件で20人以上の死者が出ているという。インド政府はデジタルプラットフォーム上に偽のニュースが広がるのを阻止しようとしている。

WhatsApp側も受信したメッセージのうち、転送されて届いたメッセージにはラベルを表示するなどの対策を行っている。しかし、インド政府はそれでは対策が足りないとして、虚偽の情報の完全な追跡ができるユーザートレース機能の実装をWhatsAppに求めた。しかし、WhatsApp側は、ユーザーのプライバシーを保護するサービスの中核的価値を損なうとして反発している。インド政府は対策が行われない場合、法的措置に直面する可能性があるとしている(VentureBeatCNETCNETその2EngadgetSlashdot)。

13589641 story
Twitter

Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 35

ストーリー by headless
発見 部門より
minet 曰く、

Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事ITmedia Newsの記事)。

Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。

データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。

Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるようにすることを推奨している。ちなみに、今年は5月3日がWorld Password Dayだった。

13574185 story
暗号

T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 28

ストーリー by hylom
漏れたときの被害は大きいですよ 部門より
headless曰く、

T-Mobile Austria(オーストリア)の公式Twitterアカウント(@tmobileat)がユーザーパスワードを平文で保存しているとツイートしたことで、各国の系列会社が次々に「うちは違う」との返信を投稿する事態となった(Neowin)。

発端となったのはDeutsche Telekom(ドイツ)のユーザーパスワードに関する制約を問題視するツイートに対し、T-Mobile Austriaでは従業員がパスワードを確認できることから平文で保存しているらしいとの返信が寄せられたことだ。

この返信を引用する形でツイート主が事実関係をT-Mobile Austriaに確認すると、サービスチームの一人 (Kathe)が「カスタマーサービス担当者はパスワードの最初の4文字を見る(ことができる)。ログインに必要なのでパスワード全体を保存している」といった趣旨の回答をする。さらに、ツイート主や他のユーザーからパスワードの平文保存を問題視する返信に対し、Katheは「何が問題なのか理解できない」「パスワードは安全に保存されているので心配ない」「(同社の)従業員からの警告なのか?」などと返信している。

Katheからの返信はこれで終わっているが、T-Mobile US(米国、@TMobileHelp/@TMobile)やT-Mobile Nederland(オランダ、@tmobile_webcare)、Deutsche Telekom(@Telekom_hilft)の公式アカウントがこの問題を懸念する各国のユーザーに対し、「パスワードは暗号化して(ハッシュ化して)保存しており、従業員が平文のパスワードにアクセスすることはできない」といった内容の返信を繰り返し投稿。@TMobileでは「T-Mobile USはT-Mobile Austriaとは独立して運営されている」とまで投稿している。

T-Mobile Austriaではこの件について、「データベースは暗号化して安全に保存されており、データ侵害はない」とサービスチームの別のメンバー (Helmut)が別途ツイートしている。また、セキュリティ基準について真剣に議論し、必要があればさらに保護を強めていくとも述べている。

13552634 story
暗号

Let's Encrypt、ワイルドカード証明書の発行を開始 17

ストーリー by hylom
ついに 部門より
Printable is bad.曰く、

無料でSSL/TLS証明書を発行している認証局のLet's Encryptが、ワイルドカード証明書の発行を開始した(公式発表和訳OSDN Magazine)。

従来は証明書にすべてのサブドメインを登録する必要があったが、ワイルドカード証明書では1つのドメイン名に属するすべてのサブドメインを1枚の証明書で保護することができるため、大規模なシステムにおいて証明書の管理が容易になる。

ワイルドカード証明書の取得には、ACMEv2互換クライアントをインストールして、DNSのTXTレコードを使用した認証を行う必要がある。導入方法などについてはACME v2とワイルドカード証明書の技術情報が参考になる。

13539324 story
お金

ウォズ、ビットコインを詐取された体験を語る 29

ストーリー by hylom
古典的な手口 部門より
headless曰く、

Appleの共同創業者スティーブ・ウォズニアック氏がビットコインを詐取された体験と犯人の手口を語っている(The Economic TimesMashableSlashGear)。

ウォズニアック氏はインド・ニューデリーで開催されたEconomic TimesのGlobal Business Summit(ET GBS)にスピーカーとして登壇。政府に操作されず、数学的で、純粋であり、改ざんされることはない通貨がビットコインだったというウォズニアック氏は、投資目的ではなく実験のためにビットコインを入手していたのだという。ウォズニアック氏はいつの日かクレジットカードや財布、現金を使わずにビットコインだけで旅ができると考えていたが、現時点では難しいことがわかり、オンラインでの買い物やビットコインの売買を試していたそうだ。

しかし、ビットコイン価格が上下するのを毎日のように見るのが嫌になり、実験には1 Bitcoinだけあれば十分だと考えて残りの7 Bitcoinを売却することにしたとのこと。取引はオンラインで行われ、犯人はクレジットカードで代金を支払ったが、購入後にクレジットカードの支払いをキャンセルしたという。さらに、使われたクレジットカード番号は盗難にあったもので、取り戻すことは不可能だったとのことだ。ブロックチェーンはビットコインの所有者を識別できるが、詐欺にあう危険がないわけではないとも語っている。

13535316 story
暗号

米税関・国境取締局はIC旅券に格納されたデータが正規のものかどうかを検証できない 12

ストーリー by headless
検証 部門より
米税関・国境取締局(CBP)では、IC旅券(e-パスポート)に搭載されている偽造・改変防止機能を活用できない状況が長年にわたり続いているそうだ(The Registerの記事Ars Technicaの記事Ron Wyden上院議員のプレスリリース)。

米国務省は2005年からIC旅券の発行を開始。ビザ免除プログラムを利用して入国する渡航者にもIC旅券の所持を義務付けており、日本では2006年からIC旅券を発行している。IC旅券のRFIDチップには旅券のデータページに印刷されたものと同じデータが格納され(米国のIC旅券では生体認証情報も含む)、偽造・改変防止用のデジタル署名が入れられている。ただし、国境の係官が使用するRFIDリーダーにはデジタル署名の検証機能が備わっていない。そのため、写真を貼り替えるといったデータページの改変をチップ内のデータと照合して見破ることはできても、チップ内のデータ自体が偽造・改変されているかどうかは確認できないのだという。

この問題は2010年の時点で米会計検査院(GAO)が指摘して改善を求めていたが、現在に至るまで放置されていたようだ。これについてRon Wyden上院議員とClaire McCaskill上院議員が22日、CBPに対して対策を求める書状を送っている。要求内容としてはIC旅券のデジタル署名検証に必要な技術の開発または導入に必要なコストを算出し、2019年1月1日までに実施することとなっている。
13524880 story
Chrome

Chrome 68ではすべてのHTTP接続ページで安全性に関する警告が表示される 66

ストーリー by headless
警告 部門より
Googleが7月にリリースを予定しているChrome 68では、すべてのHTTP接続ページで安全性に関する警告が表示されるようになるそうだ(Chromium Blogの記事Softpediaの記事VentureBeatの記事The Registerの記事)。

GoogleはHTTP接続ページで情報アイコンの右側に警告メッセージ「Not Secure」(日本語版では「保護されていません」)を表示する場面を徐々に拡大しており、Chrome 56以降ではパスワード入力フィールドやクレジットカード入力フィールドを含むHTTP接続ページで警告が表示されるようになった。Chrome 62以降ではHTTP接続ページの任意の入力フィールドへの入力を開始すると警告が表示されるようになり、シークレットウィンドウではすべてのHTTP接続ページで警告が表示されるようになっている。

Chrome 68では現行版のシークレットウィンドウでHTTP接続ページを表示した場合と同様、すべてのHTTP接続ページで「保護されていません」と表示されることになる。
13502880 story
暗号

NICT、格子理論に基づく耐量子計算機暗号「LOTUS」を発表 25

ストーリー by hylom
1-2-3ではない 部門より

情報通信研究機構(NICT)が、「量子コンピュータ時代に向けた新暗号技術を開発」なる発表を行っている(PC Watch)。

開発された暗号方式は「LOTUS」と名付けられている。この方式で暗号化された情報は量子コンピュータでも解読が難しく、また汎用性が高く専門家でなくても安全に利用できるという。

LOTUSでは「格子暗合」と呼ばれる技術を使っており、暗号化したいデータをベクトル化した後、公開鍵とノイズベクトルを使って暗号化するという仕組み。また、暗号文の破損をチェックするデータも組み合わせることで、復号前にその暗号化データが適切なものかどうかをチェックする機構も備えるという。

13481501 story
インターネット

EV証明書を使用して既知の企業になりすませる可能性が指摘される 61

ストーリー by headless
大穴 部門より
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
13454813 story
アメリカ合衆国

米銃乱射事件容疑者のiPhone、死亡した容疑者の指を使えばロックを解除できた? 15

ストーリー by hylom
死後端末を漁られたくなければ指を潰せ? 部門より
あるAnonymous Coward 曰く、

米国テキサス州で11月5日、教会で銃を乱射して子供を含む26人の命を奪った銃乱射事件が起きたが、米FBI(連邦捜査局)はこの犯人が所有していたiPhoneのロックを解除できなかったことが話題になっている(iPhone ManianrpThe Washington PostSlashdot)。

犯罪事件の容疑者が使用していたiPhoneのロック解除についてはたびたび話題となっており、過去には捜査目的で容疑者のiPhone 5sやiPhone 5cのロックを解除したという事例がある。しかし、今回はロック解除ができなかったようだ。担当捜査官は「私はその端末が何かを語るつもりはない。買おうとする人物がみな悪人だなどとは言いたくはないから」と説明し、暗号化技術に対する批判もあったようだ。こうしたことから、スマートフォンの暗号化解除議論が再燃しそうな様相を見せている。

ただ、今回FBIはAppleに対してロック解除を依頼しなかったとも報じられており、FBIの行動に批判的な意見もある。48時間以内にAppleと連絡を取り合っていれば解除できた可能性があるというものだ。専門家は犯人の端末がTouchID対応のiPhoneであったならば、FBIが事件発生2日以内に死者の指を使って解除を試みていれば、解除に成功していた可能性は高いとしている。

13453338 story
Android

KRACK脆弱性の影響は大したことない? 66

ストーリー by headless
影響 部門より
GoogleはAndroidの「KRACK」脆弱性を11月のセキュリティパッチで修正しているが、Nexus/PixelデバイスにはKRACK対策を含むパッチが12月まで提供されないそうだ(Ars Technicaの記事)。

10月に公表されたKRACK(Key Reinstallation AttaCK)はWPA2の脆弱性で、偽アクセスポイントを使用してWi-FiクライアントにWPA/WPA2の暗号鍵を再インストールさせることで通信内容の復号が可能になる。wpa_supplicant 2.4以降を使用するバージョンのLinuxへの影響が特に大きいとされ、Androidでは6.0以降のすべてのバージョンにおける影響が大きいとして注意喚起されていた。

GoogleがAndroidのKRACK脆弱性を修正したのはセキュリティパッチレベル2017-11-06だが、11月に提供されるNexus/Pixelデバイス向けのセキュリティパッチレベル2017-11-05までとなっている。その結果、OEMメーカーがKRACK対策パッチを続々と提供するのに対し、GoogleブランドのすべてのAndroidデバイスは12月まで対策されないことになる。これについてArs Technicaの記事では、KRACK脆弱性のAndroidに対する影響は大したことがないと指摘する。
13447265 story
Blackberry

BlackBerry CEO曰く、裁判所命令があれば端末の暗号を破る用意がある、ただし…… 12

ストーリー by headless
一応 部門より
BlackBerry CEOのJohn Chen氏がForbesに対し、暗号を破ってターゲットを盗聴するよう裁判所から命じられればそれに従うと明言したそうだ(Forbesの記事Softpediaの記事)。

ただし、その前日の10月24日、BlackBerryがロンドンで開催したBlackBerry Security Summitの報道陣向け質疑応答で、Chen氏は自社製品だからといって簡単にセキュリティを無効化できるわけではないと述べていたという。裁判所命令は尊重し、それに従って暗号の解除は試みるが、実際に解除できることを意味するわけではないとのこと。

Chen氏はBlackBerryバージョンのAndroidは最もセキュアなAndroidというだけでなく、Appleや競合他社の製品よりも確実にユーザーのデータを保護できると自慢する。一方、王立カナダ騎馬警察(RCMP)が2010年からBlackBerry Messengerのメッセージを復号可能なマスターキーを持っていたと昨年4月に報じられた際、Chen氏はブログ記事でBlackBerry Enterprise Serverがかかわった可能性を否定したものの、政府による市民のプライバシー侵害は防止すると述べたのみで、マスターキーの存在については否定も肯定もしていない。
13415824 story
暗号

Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 24

ストーリー by headless
秘密 部門より
AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイートArs Technicaの記事The Registerの記事)。

PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。

なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開鍵のみが掲載されている。
13396757 story
お金

バーガーキングロシア、ブロックチェーン技術を使用したロイヤリティプログラムを開始 11

ストーリー by hylom
バーガーキングが担保する貨幣 部門より
headless曰く、

バーガーキングロシアは25日、「Waves Platform」のブロックチェーン技術を使用したロイヤリティプログラムを発表した(プレスリリースThe VergeWaves PlatformのツイートWaves Community)。

このロイヤリティプログラムでは、ロシアのバーガーキング店舗での支払い1ルーブル(29日の為替レートで1.85円)あたり1ワッパーコインが提供され、1,700ワッパーコインをワッパーバーガー1個と交換できる。バーガーキングロシアではロイヤリティプログラムのために10億ワッパーコインを発行したそうだ。

プログラム開始当初はバーガーキングロシアに電子メールを送信しなければワッパーコインを獲得できないが、近いうちにモバイルアプリをGoogle PlayとiTunes Storeで提供開始する予定だという。

ワッパーコインはワッパーと交換するだけでなく、取引をすることも可能だ。90か国以上で愛されるワッパーは単なるバーガーではなく、投資の手段にもなったとのことだ。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...