パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13396757 story
お金

バーガーキングロシア、ブロックチェーン技術を使用したロイヤリティプログラムを開始 11

ストーリー by hylom
バーガーキングが担保する貨幣 部門より
headless曰く、

バーガーキングロシアは25日、「Waves Platform」のブロックチェーン技術を使用したロイヤリティプログラムを発表した(プレスリリースThe VergeWaves PlatformのツイートWaves Community)。

このロイヤリティプログラムでは、ロシアのバーガーキング店舗での支払い1ルーブル(29日の為替レートで1.85円)あたり1ワッパーコインが提供され、1,700ワッパーコインをワッパーバーガー1個と交換できる。バーガーキングロシアではロイヤリティプログラムのために10億ワッパーコインを発行したそうだ。

プログラム開始当初はバーガーキングロシアに電子メールを送信しなければワッパーコインを獲得できないが、近いうちにモバイルアプリをGoogle PlayとiTunes Storeで提供開始する予定だという。

ワッパーコインはワッパーと交換するだけでなく、取引をすることも可能だ。90か国以上で愛されるワッパーは単なるバーガーではなく、投資の手段にもなったとのことだ。

13386841 story
暗号

iPhone 5sのセキュリティコプロセッサのファームウェア復号鍵が公開される 44

ストーリー by hylom
なかなか面白げ 部門より
headless曰く、

iPhone 5sのA7チップに搭載されているセキュリティコプロセッサー「Secure Enclave」のファームウェアを復号するという復号鍵がThe iPhone WikiTwitterで公開された(xerub氏のツイートThe RegisteriClarifiedSoftpedia)。

Secure EnclaveはL4マイクロカーネルベースのOSを実行し、ファイルシステムに保存するデータの暗号化やTouch IDから送られた指紋データの処理などをiOSから独立して実行する(AppleによるiOSのセキュリティ文書PDF)。今回公開された復号鍵は暗号化されたSecure EnclaveのOSを復号するもので、セキュリティ研究者などが脆弱性を調査するのに役立つとみられる。

なお、暗号化されたファイルシステムの復号が可能になるわけではなく、Secure Enclave自体のセキュリティを低下させるものではないという。復号鍵を公開したxerub氏によれば、同氏がGitHubで公開しているimg4libsepsplit.cを使用することで復号が可能になるとのことだ。

13378646 story
IBM

TLS 1.0を無効化したIBMのクラウド、問題が発生して再び有効化 33

ストーリー by headless
往復 部門より
IBMは8日、同社のクラウドプラットフォーム「IBM Bluemix」でTLS 1.0のサポートを無効化したのだが、翌日には再び有効にしたそうだ(The Registerの記事[1][2])。

IBMはTLS 1.0の無効化を事前に告知していたものの、顧客が移行を完了するのに十分な時間がなく、TLS 1.0に依存するコードで問題が発生したとのこと。そのため、TLS 1.0のサポートを復元することで問題を回避したと説明している。今後は顧客が余裕をもって変更に備えられるよう進めていくとのことだ。
13366867 story
Chrome

Google Chrome 60ではSSL証明書の確認が容易に 13

ストーリー by hylom
仕様変更 部門より
headless曰く、

先日安定版の提供が始まったGoogle Chrome 60では、アドレスバーからSSL証明書を確認できるようになっている(9to5GoogleThe Next Web)。

Chromeではもともとアドレスバーから証明書を確認できていたが、Chrome 48ベータでは「Security」タブがデベロッパーツールに追加され、ここに証明書確認機能が移動していた。Chrome 60ではデベロッパーツールに加え、アドレスバー左端で通信の保護状態をクリックすると表示されるメニューから証明書を確認することも可能だ。

ただし、この機能はデフォルトで無効になっており、「chrome://flags」(chrome://flags/#show-cert-link)を開いて「Show certificate link」を有効にする必要がある。この機能を有効にするとメニューに証明書のリンクが追加され、リンクをクリックすれば証明書のプロパティ画面が表示される。

13316271 story
プライバシ

欧州議会の委員会、すべての電子通信にエンドツーエンドの暗号化を推奨 36

ストーリー by hylom
正論 部門より
taraiok曰く、

欧州議会の市民自由委員会(EP委員会)は、電子通信とプライバシーに関する新規則のドラフト案を発表した。このドラフトでは、欧州連合(EU)市民のプライバシー権を保護するため、すべての通信にエンドツーエンドの暗号化を行うことを推奨している。加えて委員会はバックドアの禁止を勧告している。アメリカやイギリスでは、テロ対策の関係で規制を導入したり、暗号化を弱めようとする動きが強まっている。今回の委員会のドラフト案はこうした流れに反対するものとなっている(Tom's Hardware(試訳) 欧州連合基本権憲章[PDF]Slashdot)。

欧州連合基本権憲章7条では「何人も、自己の私的および家庭生活、住居ならびに通信の尊重に対する権利を有する」と規定されており、EP委員会は個人間のコミュニケーションにおけるプライバシー保護も権利の重要な部分であると指摘している。また電子通信はほとんどが個人データであり、昨年制定されたEU一般データ保護規則の観点から見ても守るべきものだと主張している。

13292633 story
暗号

1Passwordに「トラベルモード」が実装される 24

ストーリー by headless
旅行 部門より
あるAnonymous Coward 曰く、

人気のパスワード管理ツール「1Password」に、「トラベルモード」が実装された(AgileBits Blogの記事)。

1Passwordではパスワードを区分別に格納する「Vault」と呼ばれる機能が備わっており、Travel Mode用のオプションとして「Safe for Travel」が追加された。Travel Modeを有効にすると、Safe for TravelとマークされていないVaultがすべての端末から削除される。これにより、移動中に空港などで端末が検査を受けた際、機密情報などへにアクセスされることを避けられるというものだ。目的地に到着後、Travel Modeを無効にすれば、すべての端末にすべてのVaultが復元される。1Password Teamsでは、管理者がTravel Modeをオン/オフしたり、Vaultに対するSafe for Travel設定を行ったりすることも可能だ(Travel Mode使用方法)。

13280187 story
Windows

Microsoft、Windows XPのセキュリティ更新プログラムを公開 76

ストーリー by headless
更新 部門より
Microsoftは12日、Windows XPの新たなセキュリティ更新プログラムを公開した。更新プログラムはMicrosoft Updateカタログから入手できる(MSRCの記事Windows Securityの記事BetaNewsの記事)。

この更新プログラムは4月にShadow Brokersが公開したNSAのエクスプロイト「EternalBlue」で使われている脆弱性を修正するものだ。EternalBlueが悪用するのは、細工したパケットをSMBv1サーバーに送信することで任意コードの実行が可能になるという脆弱性(CVE-2017-0145)で、Windows Vistaを含め、3月時点でサポート期間中のOSではMS17-010で修正されている。

しかし12日以降、EternalBlueを利用したとみられるランサムウェア「WannaCrypt」(別名にWanaCrypt0r/WannaCry/WCryなど)の被害が拡大Avastによれば主なターゲットはロシアとウクライナ、台湾とのことで、ロシアで大規模な被害がみられるが、英国民保健サービス(NHS)をはじめ、欧米の大企業・組織でも感染が広がっている。Avastの地図を見ると、日本での被害も欧米と同レベルのようだ。

MicrosoftはすべてのユーザーのWindowsプラットフォームを保護するため、カスタムサポートでセキュリティ更新プログラムが提供されているバージョンのWindowsについて、全ユーザー向けに更新プログラムを提供する。そのため、Windows XPのほか、Windows 8/Server 2003の更新プログラムも入手可能だ。

なお、WannaCryptはWindows 7までをターゲットにしており、Windows 10は影響を受けないとのことだが、Microsoftでは全ユーザに対してMS17-010の適用を呼び掛けている。
13271032 story
Chrome

Chrome 62、より多くの場面でHTTP接続ページの安全性に関する警告が表示されるようになる 33

ストーリー by headless
増加 部門より
Googleが10月にリリースを予定しているChrome 62では、より多くの場面でHTTP接続ページの安全性に関する警告メッセージが表示されることになるようだ(Google Security Blogの記事9to5Googleの記事The Registerの記事)。

Chrome 56以降では、パスワード入力フィールドやクレジットカード情報入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に「保護されていません」と警告が表示される。Chrome 62では任意の入力フィールドを含むHTTP接続のページで、ユーザーがフィールドへの入力を開始した場合に警告が表示されるようになる。さらに、シークレットウィンドウではすべてのHTTP接続ページで常に警告が表示されるとのことだ。
13270570 story
暗号

一部の大手サイトでTLS 1.0無効化が始まる 27

ストーリー by headless
無効 部門より
あるAnonymous Coward 曰く、

TLS 1.0の無効化は2015年頃から叫ばれていたものの、様々な問題があり延期するサイトが多かった。しかし、とうとうTLS 1.0を無効にする大手サイトが出てくるようだ。

So-netは5月2日以降、一部サービスでTLS 1.0を無効化する。国税庁も5月13日以降、運営するサイトの多くでTLS 1.0を無効化するとのこと 。本番組織でのTLS 1.0無効化を延期していたSalesforceも7月23日に無効化を実施する。

なお、NTT Comは4月に予定していたBizストレージ ファイルシェアでのTLS 1.0の無効化を延期している。TLS 1.0の無効化は混乱なく進むだろうか。

13224065 story
ゲーム

シューティングゲームで高得点を取らないと暗号化解除できないマルウェア 17

ストーリー by hylom
RansomとRensenを掛けたネタなのね 部門より
Fagnux 曰く、

同人ゲームで高得点を出さないと暗号化が解除されないマルウェアが発見されたそうだ(BleepingComputerITmedia)。

「RensenWare」という名称のマルウェアで、感染すると上海アリス幻樂団の同人シューティングゲーム「東方星蓮船 ~ Undefined Fantastic Object.」の最高難易度であるLunaticで2億点取ることを要求するという。このマルウェアは実際に対象のゲームを検知し、その条件を達成すると暗号化が解除されるという。

マルウェア発見後にRensenWareの開発者が「自身も感染した」とツイートしその後BleepingComputerに連絡し謝罪、仲間内でのジョークソフトであると明かしたようだ。

また、誤って感染した人のためにGitHub上で解除ツールの配布も行われている

13207280 story
Chrome

Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 68

ストーリー by headless
提案 部門より
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿The Registerの記事Softpediaの記事Ars Technicaの記事)。

チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。

提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。

提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。
13207271 story
ビジネス

OpenSSL、ライセンス変更に向けて貢献者の合意を求める 39

ストーリー by headless
変更 部門より
OpenSSLがライセンス変更に向け、特設サイトで貢献者の合意を求めている(Core Infrastructure InitiativeによるアナウンスOpenSSL Blogの記事The Registerの記事Phoronixの記事)。

現在、OpenSSLにはOpenSSL LicenseとオリジナルのSSLeay Licenseの両方が適用されている。これを標準的なApache Software License v.2.0(ASLv2)に変更することで、幅広いFOSSプロジェクトや製品で利用できるようにすることがライセンス変更の目的とされる。OpenSSLプロジェクトではコミットした人全員に電子メールで通知しているが、半数が送信エラーで返ってきているという。メールアドレス変更によりメールが届いていない貢献者は、特設サイトで情報を入力すれば意見を表明できる。なお、23日午後の時点で変更に合意した人は265人、反対者も7人いるそうだ。

OpenSSLの貢献者でもあり、OpenSSLプロジェクトをフォークしてLibreSSLプロジェクトを立ち上げたOpenBSDのTheo de Raadt氏のように、変更プロセスに不満を感じる人もいる。de Raadt氏は開発者コミュニティーに相談せず、いきなりメールで合意を求めてきたことや、回答がなければ合意したとみなすとされている点などを批判している。The Registerの記事によれば、大企業(OracleやIntelが変更を支持している)やLinux Foundationなどに都合のいいライセンスだけが選択肢となっている点にも懸念を示しているという。また、現在のライセンスと比べ、ASLv2の制約の方が大きいとも考えているようだ。
13195708 story
セキュリティ

CIAのハッキング技術公開で企業が得た教訓:暗号化はやはり重要 18

ストーリー by hylom
ハックするコスト 部門より
あるAnonymous Coward曰く、

先日、機密情報暴露サイトWikiLeaksウィキリークスがCIAが使用しているハッキングツールに関する文書を公開したが、これによる影響が広範囲に及んでいるという(過去記事)。

現在でも対策に追われている企業は多いというが、今回の騒動の中でハイテク産業が得た教訓もある。それは暗号化技術はやはり有用性だということだ。公開された文書によれば、CIAの仕事を請け負う代理人は、暗号化されたデータに関してはかなり時間を費やさなければならないという(APSlashdot)。

米国政府がデータを入手したいと考えているならば、データが破壊されるような処置はやりにくく、標的を絞った攻撃に頼らざるを得ない。これには相当な資金が必要になるとしている。AppleやGoogle、Microsoftなどは今回明らかになった脆弱性の多くを修正したと言っている。しかし、暗号化をバイパスする手段がまだ残っているとする指摘も多い。

13171107 story
暗号

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 46

ストーリー by headless
粉砕 部門より
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事Google Security Blogの記事Phoronixの記事Ars Technicaの記事論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。
13125621 story
プライバシ

WhatsAppの脆弱性は意図的な実装? バックドア? 9

ストーリー by hylom
暗号化があるだけマシ? 部門より
あるAnonymous Coward曰く、

Facebook傘下のWhatsAppが提供する人気メッセージングアプリ「WhatsApp」にセキュリティ上の問題があるという指摘が出ている(TechCrunch)。

指摘されているのは、暗号化プロトコル「Signal Protocol」の実装方法に問題があるという点。そのため、暗号化されたメッセージが第三者に傍受された場合に、その内容が漏えいしてしまう可能性があるという。

この問題は昨年4月にFacebookに報告したが、同社は修正を行わない意向を示したという。WhatsApp側はこれをメッセージの紛失を防ぐために意図的に実装したものであると述べているという。また、これについては「政府の意向を受けたバックドアではないか」と主張する声も出ている。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...