パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13280187 story
Windows

Microsoft、Windows XPのセキュリティ更新プログラムを公開 76

ストーリー by headless
更新 部門より
Microsoftは12日、Windows XPの新たなセキュリティ更新プログラムを公開した。更新プログラムはMicrosoft Updateカタログから入手できる(MSRCの記事Windows Securityの記事BetaNewsの記事)。

この更新プログラムは4月にShadow Brokersが公開したNSAのエクスプロイト「EternalBlue」で使われている脆弱性を修正するものだ。EternalBlueが悪用するのは、細工したパケットをSMBv1サーバーに送信することで任意コードの実行が可能になるという脆弱性(CVE-2017-0145)で、Windows Vistaを含め、3月時点でサポート期間中のOSではMS17-010で修正されている。

しかし12日以降、EternalBlueを利用したとみられるランサムウェア「WannaCrypt」(別名にWanaCrypt0r/WannaCry/WCryなど)の被害が拡大Avastによれば主なターゲットはロシアとウクライナ、台湾とのことで、ロシアで大規模な被害がみられるが、英国民保健サービス(NHS)をはじめ、欧米の大企業・組織でも感染が広がっている。Avastの地図を見ると、日本での被害も欧米と同レベルのようだ。

MicrosoftはすべてのユーザーのWindowsプラットフォームを保護するため、カスタムサポートでセキュリティ更新プログラムが提供されているバージョンのWindowsについて、全ユーザー向けに更新プログラムを提供する。そのため、Windows XPのほか、Windows 8/Server 2003の更新プログラムも入手可能だ。

なお、WannaCryptはWindows 7までをターゲットにしており、Windows 10は影響を受けないとのことだが、Microsoftでは全ユーザに対してMS17-010の適用を呼び掛けている。
13271032 story
Chrome

Chrome 62、より多くの場面でHTTP接続ページの安全性に関する警告が表示されるようになる 33

ストーリー by headless
増加 部門より
Googleが10月にリリースを予定しているChrome 62では、より多くの場面でHTTP接続ページの安全性に関する警告メッセージが表示されることになるようだ(Google Security Blogの記事9to5Googleの記事The Registerの記事)。

Chrome 56以降では、パスワード入力フィールドやクレジットカード情報入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に「保護されていません」と警告が表示される。Chrome 62では任意の入力フィールドを含むHTTP接続のページで、ユーザーがフィールドへの入力を開始した場合に警告が表示されるようになる。さらに、シークレットウィンドウではすべてのHTTP接続ページで常に警告が表示されるとのことだ。
13270570 story
暗号

一部の大手サイトでTLS 1.0無効化が始まる 27

ストーリー by headless
無効 部門より
あるAnonymous Coward 曰く、

TLS 1.0の無効化は2015年頃から叫ばれていたものの、様々な問題があり延期するサイトが多かった。しかし、とうとうTLS 1.0を無効にする大手サイトが出てくるようだ。

So-netは5月2日以降、一部サービスでTLS 1.0を無効化する。国税庁も5月13日以降、運営するサイトの多くでTLS 1.0を無効化するとのこと 。本番組織でのTLS 1.0無効化を延期していたSalesforceも7月23日に無効化を実施する。

なお、NTT Comは4月に予定していたBizストレージ ファイルシェアでのTLS 1.0の無効化を延期している。TLS 1.0の無効化は混乱なく進むだろうか。

13224065 story
ゲーム

シューティングゲームで高得点を取らないと暗号化解除できないマルウェア 17

ストーリー by hylom
RansomとRensenを掛けたネタなのね 部門より
Fagnux 曰く、

同人ゲームで高得点を出さないと暗号化が解除されないマルウェアが発見されたそうだ(BleepingComputerITmedia)。

「RensenWare」という名称のマルウェアで、感染すると上海アリス幻樂団の同人シューティングゲーム「東方星蓮船 ~ Undefined Fantastic Object.」の最高難易度であるLunaticで2億点取ることを要求するという。このマルウェアは実際に対象のゲームを検知し、その条件を達成すると暗号化が解除されるという。

マルウェア発見後にRensenWareの開発者が「自身も感染した」とツイートしその後BleepingComputerに連絡し謝罪、仲間内でのジョークソフトであると明かしたようだ。

また、誤って感染した人のためにGitHub上で解除ツールの配布も行われている

13207280 story
Chrome

Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 68

ストーリー by headless
提案 部門より
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿The Registerの記事Softpediaの記事Ars Technicaの記事)。

チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。

提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。

提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。
13207271 story
ビジネス

OpenSSL、ライセンス変更に向けて貢献者の合意を求める 39

ストーリー by headless
変更 部門より
OpenSSLがライセンス変更に向け、特設サイトで貢献者の合意を求めている(Core Infrastructure InitiativeによるアナウンスOpenSSL Blogの記事The Registerの記事Phoronixの記事)。

現在、OpenSSLにはOpenSSL LicenseとオリジナルのSSLeay Licenseの両方が適用されている。これを標準的なApache Software License v.2.0(ASLv2)に変更することで、幅広いFOSSプロジェクトや製品で利用できるようにすることがライセンス変更の目的とされる。OpenSSLプロジェクトではコミットした人全員に電子メールで通知しているが、半数が送信エラーで返ってきているという。メールアドレス変更によりメールが届いていない貢献者は、特設サイトで情報を入力すれば意見を表明できる。なお、23日午後の時点で変更に合意した人は265人、反対者も7人いるそうだ。

OpenSSLの貢献者でもあり、OpenSSLプロジェクトをフォークしてLibreSSLプロジェクトを立ち上げたOpenBSDのTheo de Raadt氏のように、変更プロセスに不満を感じる人もいる。de Raadt氏は開発者コミュニティーに相談せず、いきなりメールで合意を求めてきたことや、回答がなければ合意したとみなすとされている点などを批判している。The Registerの記事によれば、大企業(OracleやIntelが変更を支持している)やLinux Foundationなどに都合のいいライセンスだけが選択肢となっている点にも懸念を示しているという。また、現在のライセンスと比べ、ASLv2の制約の方が大きいとも考えているようだ。
13195708 story
セキュリティ

CIAのハッキング技術公開で企業が得た教訓:暗号化はやはり重要 18

ストーリー by hylom
ハックするコスト 部門より
あるAnonymous Coward曰く、

先日、機密情報暴露サイトWikiLeaksウィキリークスがCIAが使用しているハッキングツールに関する文書を公開したが、これによる影響が広範囲に及んでいるという(過去記事)。

現在でも対策に追われている企業は多いというが、今回の騒動の中でハイテク産業が得た教訓もある。それは暗号化技術はやはり有用性だということだ。公開された文書によれば、CIAの仕事を請け負う代理人は、暗号化されたデータに関してはかなり時間を費やさなければならないという(APSlashdot)。

米国政府がデータを入手したいと考えているならば、データが破壊されるような処置はやりにくく、標的を絞った攻撃に頼らざるを得ない。これには相当な資金が必要になるとしている。AppleやGoogle、Microsoftなどは今回明らかになった脆弱性の多くを修正したと言っている。しかし、暗号化をバイパスする手段がまだ残っているとする指摘も多い。

13171107 story
暗号

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 46

ストーリー by headless
粉砕 部門より
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事Google Security Blogの記事Phoronixの記事Ars Technicaの記事論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。
13125621 story
プライバシ

WhatsAppの脆弱性は意図的な実装? バックドア? 9

ストーリー by hylom
暗号化があるだけマシ? 部門より
あるAnonymous Coward曰く、

Facebook傘下のWhatsAppが提供する人気メッセージングアプリ「WhatsApp」にセキュリティ上の問題があるという指摘が出ている(TechCrunch)。

指摘されているのは、暗号化プロトコル「Signal Protocol」の実装方法に問題があるという点。そのため、暗号化されたメッセージが第三者に傍受された場合に、その内容が漏えいしてしまう可能性があるという。

この問題は昨年4月にFacebookに報告したが、同社は修正を行わない意向を示したという。WhatsApp側はこれをメッセージの紛失を防ぐために意図的に実装したものであると述べているという。また、これについては「政府の意向を受けたバックドアではないか」と主張する声も出ている。

13108755 story
アメリカ合衆国

米議会の暗号化ワーキンググループ、暗号に対する「バックドア」提供に反対との姿勢を示す 56

ストーリー by hylom
ブレーキ 部門より
taraiok 曰く、

米議会の暗号化ワーキンググループ(EWG)が、FBIなどが求めていた司法当局へのバックドア提供についての報告書を発表した。同グループは「議会は暗号化という重要な技術を弱めるべきではない。ただし、法執行機関や情報機関が有している懸念を無視してはならない」とした(BetaNewsレポート[PDF]slashdot)。

その上で、暗号専門家と情報セキュリティ専門家は、ハッカーや悪意のある行為者に対抗するため、安全性を損なうことなく、法執行機関に暗号化されたデータへの例外的なアクセスを提供するシステムを考案・実装する手段を考えるべき、非常に困難で非現実的ではあるが不可能ではない、としている。さらに、議会は法執行機関の技術企業間のコミュニティと協力を促進すべきであるともしている。

13091963 story
暗号

ジャーナリストら、撮影データをカメラ内で暗号化する機能の搭載をカメラメーカーに求める 93

ストーリー by hylom
著作権保護という話ではなかった 部門より
あるAnonymous Coward 曰く、

映画製作者やフォトジャーナリストの団体が、キヤノンやニコン、ソニーなどのカメラメーカーに対して「撮影したデータを暗号化して保護する機能を純正で搭載してほしい」とする要望を訴えているそうだ(TechCrunchCNET JapanGIGAZINESlashdot)。

ドキュメンタリー映画製作者や戦場カメラマンの多くは、危険な現場に足を運んで現地の生の様子を伝えている。そのため、場合によっては身柄を拘束されたり、撮影機材を没収されたりすることもある。たとえば世界で拘束されているジャーナリストは2016年12月1日現在で257人に上るという(ロイター)。その際には撮影したデータが抜き取られてしまうことも少なくないという。

現在市販されているカメラは、例えプロ向けの機材であっても暗号化機能が一切搭載されていない状況に対し、150人を超えるジャーナリストが声をあげたとしている。

これに対し、暗号化は役に立たず、むしろ撮影されたデータの確認に手間が掛かってしまう可能性があるほか、カメラや記録メディアを破壊するといった方法でデータを消しさることも可能だという指摘がある(TechCrunchの別記事

13083933 story
ニュース

HTTPSを利用できるニュースサイトは105サイト中29% 32

ストーリー by headless
三割 部門より
米非営利組織Freedom of the Press Foundationは15日、ニュースサイトのHTTPS導入状況によるセキュリティランキングを発表した(Freedom of the Press Foundationのブログ記事LeaderboardBetaNewsの記事The Guardianの記事)。

ランキングは自動化されたツールで判定されたもので、有効なHTTPSの有無、HTTPSの利用可否、HTTPS接続がデフォルトかどうかという3点が基本のチェックポイントになっている。グレードはHTTPSが導入されていないか導入されていても証明書が無効の場合に「F」、HTTPSがデフォルトなら「B」となり、HSTS(HTTP Strict Transport Security)の導入状況によるボーナスポイントが加算されると「B+」以上が与えられる。

全105サイトのうち、すべての項目が「YES」で「A+」を獲得したのはThe Interceptのみ。The GuardianとTechCrunch、ProPublicaが「A-」、WiredとBuzzFeedが「B+」で続く。「B」はWashington PostやThe Atlantic、Bloombergなど9サイトに過ぎず、HTTPSがデフォルトになっているサイトは14%。HTTPSを利用できるもののデフォルトではない「C」となったThe IndependentやThe Economist、BBCなど15サイトを加えても、HTTPSを利用できるサイトは29%にとどまる。

一方、The Wall Street JournalやReuters、Associated Press、Huffington Post、CNNなど、全体の48%にあたる50サイトが「F」となっている。
13077187 story
暗号

他のユーザーを感染させることで無料暗号化解除を提供するランサムウェアが登場 13

ストーリー by hylom
コストが高い 部門より
headless 曰く、

被害者が「身代金」を支払わなくても、他のユーザーを感染させれば無料で暗号化を解除するというランサムウェアが登場したそうだ(Bleeping ComputerRegisterGuardian)。

Bleeping Computerの記事によると、このランサムウェア「Popcorn Time(海賊版映画のストリーミングツールとは無関係)」は被害者に対し、ビットコインで身代金を支払って暗号化を解除するオプションに加え、無料で暗号化を解除するオプションを提示するという。

無料暗号化解除のオプションには被害者のユニークIDを含むURLが用意される。感染後、暗号化完了時に表示されるメッセージでは、このURLを他のユーザーに送って感染させ、2名以上が身代金を支払えば無料で暗号化を解除すると説明されている。ただし、Bleeping Computerが記事を執筆した時点でURLが示すサーバーはダウンしており、実際にこのオプションが利用できるかどうかは不明とのこと。

このランサムウェアは特定のフォルダー内の特定の拡張子のファイルをAES-256で暗号化する。現在も開発途中とみられ、当初はユーザーの「デスクトップ」フォルダー内のファイルのみを暗号化していたが、その後「ドキュメント」「ピクチャ」「ミュージック」が対象に追加されたという。また、未完成のコードには4回以上間違った解除キーを入力するとファイルを削除するといったものもみられるとのことだ。

13022814 story
変なモノ

ロンドン警視庁考案、容疑者にiPhoneのロックを解除させる新たな方法とは? 60

ストーリー by headless
力技 部門より
英国・ロンドン警視庁が容疑者にiPhoneのロックを解除させる新たな方法を考案したそうだ(BBC Newsの記事9to5Macの記事)。

この方法は6月に偽造クレジットカード密売事件を捜査していた時に生まれたもので、証拠は捜査対象となっている容疑者のiPhoneに保存されているとみられていた。容疑者を逮捕してiPhoneを押収しても容疑者はロック解除を拒否できるため、証拠を確保できない可能性がある。指紋センサーに指をあてるよう強制できるかどうかも検討したが、そのような権限はないと判明したとのこと。

そこで考え出されたのは容疑者をすぐに逮捕せず、容疑者がiPhoneのロックを解除するまで尾行するという方法だ。尾行していた警察官の一人は、ロックを解除して通話を開始した容疑者に駆け寄ってiPhoneを奪い、同僚が容疑者を拘束。証拠の確保が完了する前にiPhoneが再びロックされないよう、警察官は画面をスワイプし続けたとのことだ。
13002996 story
インターネット

ネット検閲に積極的なトランプ政権の誕生に対し、Mozillaはネットの中立性を守る活動に注力へ 43

ストーリー by hylom
戦えMozilla 部門より

Mozillaが2015年の年次報告書と「the State of Mozilla for 2015」を発表した(マイナビニュースCNETSlashdot)。

Mozillaの2015年の売上高は前年比28%増で、特にロイヤリティ収入が大きく増加している。これは、2014年にGoogleとの検索パートナー契約を終了させ、国・地域ごとに異なるパートナーと契約する体制に切り替えたことが影響しているという。

また、the State of Mozilla for 2015ではMozillaは今後「インターネットの健全性」を保つ活動に注力することが明かされた。背景にはネットの検閲に積極的とみられるトランプ政権の誕生がある。そのため、Mozillaはネットの中立性がWebのイノベーションを加速させるために重要になると強調、 暗号化の強化などを支援したいと考えているようだ。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...