パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

13210122 story
ビジネス

米コムキャスト、職場監視用のビデオカメラサービス開始 13

ストーリー by hylom
スマートだ 部門より
あるAnonymous Coward 曰く、

米国大手ISPのコムキャストが、クラウドベースのビデオ監視システム「SmartOffice」を発表した。このシステムは中小企業向けで、オーナーが在庫の盗難や職場の生産性低下といった「組織の問題」を監督するためのものだという。同社は昨年、デトロイト警察と提携して一部ガソリンスタンドにビデオカメラを設置。警察本部からリアルタイムで監視できるという同様のシステムを提供している(Phily.comComcastPhiladelphia Business JournalSlashdot)。

このサービスは、監視カメラの画像をクラウドサービス上に保存するもの。動画は720pのHD画質で録画でき、暗視補正機能付き動体検知機能も備わっている。録画データは標準で7日間、最大30日間保存できる。管理者はPCだけでなくスマートフォンやタブレットからもアクセスできるようになっているそうだ。

13210092 story
Chrome

Google Chrome 57でSymantecのEV SSL証明書に組織名が表示されない不具合 9

ストーリー by hylom
タイミング 部門より

Google Chrome 57で、アドレスバーにSymantecのManaged PKI for SSLで発行されたEV SSL証明書の組織名が表示されないバグがあるとのこと(Symantecの発表)。

先日、Symantecや傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していたためにGoogle ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案されるという話があったが、今回のバグはこの件とは無関係のようだ。

13208021 story
セキュリティ

英政府機関曰く、セキュリティ企業は不要な製品を売りつけている 31

ストーリー by hylom
しかも効果は万全ではない 部門より
あるAnonymous Coward曰く、

英国立サイバーセキュリティセンター(NCSC)によると、セキュリティ企業の多くは製品をより多く売るため、必要以上にサイバー攻撃者の脅威を誇張しているそうだ(ITmedia)。

最近ではベンチャーキャピタルがセキュリティ関連の新興企業に介入し、売り上げを増やすよう圧力をかけるケースが多く、そのためにリスクを誇張して表現している可能性があるという。その結果、多くの一般企業はサイバーセキュリティ製品を購入してしまうが、実は全く不要だったり、実際のリスク、事業形態、運用しているインフラに釣り合わないほどの重装備だったりするケースが少なくないとしている。

NCSCの技術責任者であるイアン・リーバイ氏は、「サイバーセキュリティを主な事業とする企業の話だけをうのみにするのは危険だ」と話し、サイバー攻撃者を腕の立つ達人の集団だと顧客に吹き込むセキュリティ企業を批判している。

13207971 story
情報漏洩

JINSのオンラインショップ、Strutsの脆弱性を付かれた不正アクセスで個人情報漏洩の可能性 41

ストーリー by hylom
またStrutsか 部門より

メガネの販売などを手がけるJINSのオンラインショップが不正アクセスを受けたことを発表している(JINSの発表)。不正アクセスが発覚したのは3月22日で、23日には修正を行ったとのこと。これによって顧客の氏名や住所、電話番号、生年月日、性別と言った個人情報が漏洩した可能性があるという。クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。

サイトが改ざんされ、データベース内のデータを列挙するようなページが設置されていたとの報告もある

同社は2013年にもStruts 2の脆弱性を狙った攻撃によって顧客情報を漏洩させていた

13207280 story
Chrome

Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 67

ストーリー by headless
提案 部門より
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿The Registerの記事Softpediaの記事Ars Technicaの記事)。

チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。

提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。

提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。
13207271 story
ビジネス

OpenSSL、ライセンス変更に向けて貢献者の合意を求める 39

ストーリー by headless
変更 部門より
OpenSSLがライセンス変更に向け、特設サイトで貢献者の合意を求めている(Core Infrastructure InitiativeによるアナウンスOpenSSL Blogの記事The Registerの記事Phoronixの記事)。

現在、OpenSSLにはOpenSSL LicenseとオリジナルのSSLeay Licenseの両方が適用されている。これを標準的なApache Software License v.2.0(ASLv2)に変更することで、幅広いFOSSプロジェクトや製品で利用できるようにすることがライセンス変更の目的とされる。OpenSSLプロジェクトではコミットした人全員に電子メールで通知しているが、半数が送信エラーで返ってきているという。メールアドレス変更によりメールが届いていない貢献者は、特設サイトで情報を入力すれば意見を表明できる。なお、23日午後の時点で変更に合意した人は265人、反対者も7人いるそうだ。

OpenSSLの貢献者でもあり、OpenSSLプロジェクトをフォークしてLibreSSLプロジェクトを立ち上げたOpenBSDのTheo de Raadt氏のように、変更プロセスに不満を感じる人もいる。de Raadt氏は開発者コミュニティーに相談せず、いきなりメールで合意を求めてきたことや、回答がなければ合意したとみなすとされている点などを批判している。The Registerの記事によれば、大企業(OracleやIntelが変更を支持している)やLinux Foundationなどに都合のいいライセンスだけが選択肢となっている点にも懸念を示しているという。また、現在のライセンスと比べ、ASLv2の制約の方が大きいとも考えているようだ。
13207049 story
変なモノ

ブリティッシュ・エアウェイズ、搭乗時間短縮のためゲートに顔認識デバイスを導入 17

ストーリー by headless
登録 部門より
チェックイン時間を短縮するためにセルフチェックインを導入する航空会社も増えているが、ブリティッシュ・エアウェイズでは搭乗時間短縮のため、ゲートに顔認識デバイスを導入したそうだ(Consumeristの記事Bloomberg Technologyの記事)。

Bloombergの記事によれば、ロンドン・ヒースロー空港では3つの出発ゲートに顔認識デバイスが配備されており、さらに33のゲートにも数か月中に配備する予定だという。乗客はターミナル5の保安検査場に設置されたバイオメトリックデバイスを利用して顔のスキャンと搭乗券を登録する。ゲートではスタッフによる搭乗券や身分証明書などの確認が不要となり、乗客はそのままゲートを通過して搭乗できる。これにより、搭乗の高速化やミスの減少が可能になる。当面は国内線のみで使われるが、いずれは国際線にも拡大する計画とのことだ。
13207043 story
Windows

ウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」 31

ストーリー by headless
二重スパイ 部門より
ゼロデイ攻撃対策を提供するCybellumは22日、Windows XP以降で利用可能なコード検証ツール「Application Verifier」の仕組みを悪用してウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」の詳細を公表した(Cybellumのブログ記事[1][2]BetaNewsの記事The Registerの記事)。

Application Verifierでは、レジストリを設定することで正規のコード検証ツール以外のDLLをプロセス起動時にインジェクト可能な非公開機能が存在することが、遅くとも2011年から知られている。DoubleAgentはこの非公開機能を悪用するもので、ウイルス対策ソフトウェアに検出されずにコードをインジェクトし、常駐させることが可能となる。

Windows 8.1以降ではウイルス対策ソフトウェアのプロセスを保護する「Protected Processes」などと呼ばれる機能が提供されており、Windows Defenderはこの機能を使用しているが、サードパーティのウイルス対策ソフトウェアではほとんど使われていないという。

攻撃を成功させるにはローカルでのアクセスと管理者権限が必要となるため、影響範囲は狭いとみられるが、Cybellumでは以下のベンダーの製品でPoCを実行し、脆弱性が存在することを確認したとのこと。

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Cybellumは昨年11月に各ベンダーへ脆弱性を通知しており、最新版では既に修正されている製品もあるようだ。ESETTrend Microは最新版で修正済みとしてセキュリティアドバイザリーを公開しており、AvastKasperskyは最新版で修正済みであることをユーザーフォーラムで報告している。BleepingComputerの記事によれば、AVGとMalwarebytesも最新版で修正済みとのこと。また、Aviraはパッチを準備中とツイートしており、Bitdefenderは影響が少ないとしつつも、今後修正を行うとユーザーフォーラムに投稿している。一方、ComodoNorton(Symantec)は攻撃をブロックできると反論するコメントをユーザーフォーラムに投稿している。

13206510 story
MacOSX

WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 11

ストーリー by headless
古典 部門より
WikiLeaksは23日、米中央情報局(CIA)のハッキングツールなどを公開するプロジェクト「Vault 7」の第2弾として、AppleのMacやiPhoneをターゲットにしたプロジェクトのドキュメントを「Dark Matter」として公開した(Vault 7 Dark MatterThe Vergeの記事Neowinの記事Mac Rumorsの記事)。

Dark MatterにはMacのファームウェアに感染させるマルウェアなどのドキュメントが含まれる。ただし、ドキュメントはいずれも4年以上前のもので、古いものは2008年の日付となっており、Appleではすべての脆弱性が数年前に修正済みだと述べている。AppleはVault 7の最初のドキュメントが3月7日に公表された際にも、大半が修正済みだと述べていた。

たとえば「Sonic Screwdriver」は、Macのファームウェアに設定されたパスワードを迂回し、USBメモリーなどからのブートを可能にする仕組みだが、ドキュメントは2012年11月29日の日付になっている。Sonic ScrewdriverのコードはAppleのThunderbolt-イーサネットアダプターのファームウェアに格納されており、ブート時に内部/外部メディアを検索する。指定された名前のボリュームが見つかったら、そこからUEFIブートを実行するとのこと。

「DarkSeaSkies」はMacBook AirのEFIファームウェア用インプラントで、EFI用の「DarkMatter」、カーネルスペース用の「SeaPea」、ユーザーモード用の「NightSkies」で構成される。Mac OS X用のマルウェア「Triton」のドキュメントには、感染ツールの「Dark Mallet」やEFIバージョンの「DerStarke」のマニュアルも含まれる。このドキュメントに含まれるDerStarke 1.4は2013年版だが、Vault 7の別のドキュメントによれば、2016年の時点でも更新版を使用しており、DerStarke 2.0の開発も進めていたようだ。

これらのツールは、システムへの直接アクセスが必要なものばかりだ。CIAは捜査対象者の拘留中など、システムへの直接アクセスが可能な状態でこういったツールを感染させることもあるが、捜査対象の組織が購入した製品の輸送中などを狙って感染させるケースも多いという。iPhone用のビーコン/ローダー/インプラントツールの「NightSkies 1.2」は、工場出荷状態のiPhoneに直接インストールするよう設計されており、遅くとも2008年以降、捜査対象者のサプライチェーンでiPhoneに感染させていたとのことだ。ただしAppleは、この脆弱性の影響を受けるのはiPhone 3Gのみであり、iPhone 3GSをリリースした2009年に修正済みだと述べている。

WikiLeaksではバグの詳細を公表する前に該当企業に開示し、修正のための猶予期間を90日間与える条件として、何らかの要求をしているとも報じられている。一方、AppleはWikiLeaksと情報提供に関して一切の交渉をしていないと述べており、WikiLeaksに対しては通常の脆弱性報告手順を知らせたとのことだ。
13205713 story
Chrome

ハッキングコンテスト「Pwn2Own」で狙われたEdge、仮想マシン内のEdgeからホストにアクセスできる攻撃も行われる 29

ストーリー by hylom
よく見つけるなぁ 部門より
taraiok曰く、

WebブラウザやOSの脆弱性を狙うハッキングコンテスト「Pwn2Own 2017」で、Edgeブラウザの新たな脆弱性や、仮想マシン内からゲストOSにアクセスする手法などが発見された(PC WatchTomsHardwareSlashdot)。

昨年の同コンテストでは、EdgeブラウザのセキュリティはIEやSafariよりも優れているもののChromeには及ばないという結果が出ていたが、今年はEdgeブラウザの状況が悪化し、Edgeに対する攻撃は合計で5回成功したという。Edgeに対する賞金額が多かったために狙われたという側面もあるようだが、一方でChromeへの攻撃は一度も成功しなかったという。

発見された具体的な問題は、JavaScriptエンジンとサンドボックスのロジックバグ、UAF脆弱性とWindowsカーネルでの別のUAFバグを使った攻撃、VMware Workstationの初期化されていないバッファを悪用する攻撃など。特にVMware Workstationの不具合とEdge、Windowsの不具合を組み合わせた攻撃では、仮想マシン上で動作していたEdgeからホストOSへのアクセスが可能になっていたという。この攻撃を成功させたチームは10万5000ドルの賞金を獲得したとのこと。

13205710 story
インターネット

HTTPS監視装置にセキュリティ低下の危険性 19

ストーリー by hylom
古い装置とか危なそうだ 部門より

HTTPS通信を監視するセキュリティ装置の一部で、TLSによる保護が十分ではなく、セキュリティ強度が低下する恐れがあるという(ZDNet JapanJPCERTによる「HTTPS 通信監視機器によるセキュリティ強度低下の問題」という注意喚起)。

HTTPSではクライアント-サーバー間で暗号化されたデータがやり取りされるため、通常その経路に流れるデータを観測してもその中身を読み取ることはできない。そのため、HTTPS通信を監視する装置を利用する場合、クライアント側に専用の証明書をインストールすることで監視装置が暗号化されたデータを復号して読み取れるようにしておく必要がある。この場合、クライアントは監視装置の信頼性については証明書を用いて検証できるが、監視装置と目的のWebサーバーとの間の通信については、クライアントからはコントロールすることができない。

最近発表された論文によれば、多くの監視機器がWebサーバーの証明書チェーンを正しく検証していないという。そのため、監視機器とWebサーバーの間で中間者攻撃が行われる可能性があるという。

各機関では、ユーザーに監視機器が証明書チェーンを適切に検証しているかどうかや、検証結果に関する警告やエラーをクライアント側にレポートしているかを確認してほしいと呼び掛けている。

13205542 story
Windows

「中国政府専用Windows 10」、市場投入への準備が整う 20

ストーリー by hylom
どんな管理機能が入っているのだろうか 部門より
headless 曰く、

Microsoftは中国電子科技集団(CETC)と設立した合弁会社で中国政府専用版のWindows 10を開発していたが、このほど市場投入への準備が整ったそうだ(China DailyMorningstarRegisterArs Technica)。

中国政府専用版のWindows 10はコンシューマー向けのアプリやサービスを減らし、中国政府が必要とする管理機能やセキュリティ機能を強化したもの。ソフトウェア自体は1年ほど前に完成していたが、大企業3社でのテストが完了し、市場投入が可能な状態になっているとのこと。

中国では今年、企業向けPC市場が再び成長に転じることが予想されている。政府機関がWindows 10を導入することになれば、私企業でも導入が進むとみられる。

中国政府は米国家安全保障局(NSA)による大量監視プログラムがエドワード・スノーデン氏の内部告発で明らかになって以降、Microsoftの新製品を調達リストから外している。Windows 10が政府の調達リストへ追加されるために必要な審査はこれからだが、CETCの会長は合格する自信があるようだ。

13205055 story
アメリカ合衆国

旅客機内への電子機器持ち込み禁止は「電池に爆弾を隠す技術」をテロ組織が確立したのが理由だった 45

ストーリー by hylom
それなら仕方がないのか 部門より
あるAnonymous Coward 曰く、

先日「米政権、中東から米国への航空便でPCなどの機内持ち込みを禁止へ。米航空会社は対象外」という話があったが、持ち込み禁止の理由は「アルカイダ系テロ組織が電池に爆弾を隠す技術を完成させた」という情報を米国情報機関が掴んだためだという(CNNAFPハフィントンポストSlashdot)。

複数の米当局者はCNNの取材に対し、テロ組織が爆弾をさまざまな機器の中に隠して持ち込む手口によって、旅客機を狙い続けている痕跡が見つかったと話している。

なお、米国に加えて英国も同様の措置を取ることを明らかにしている。対象となるのは米国ではエジブト、ヨルダン、クウェート、カタール、モロッコ、サウジアラビア、トルコ、アラブ首長国連邦の空港10か所からアメリカへ向かう直行便。英国ではエジプト、ヨルダン、レバノン、サウジアラビア、チュニジア、トルコの6か国からの直行便だという。特定の国から搭乗する乗客の電子機器は機内に持ち込ませず、預け荷物に入れることを義務付けているとしている。また、カナダも同様の措置を検討しているようだ。

13202000 story
セキュリティ

影響範囲が広がるApache Struts2の脆弱性 58

ストーリー by hylom
注意喚起再び 部門より

3月9日、Webアプリケーションフレームワーク「Apache Struts」の脆弱性を狙った攻撃に対する注意喚起が出ていたが(過去記事)、この脆弱性を狙った攻撃や実際の被害が多数報告されている。

すでに特許情報プラットフォーム(過去記事)や都税支払いサイトおよび住宅金融支援機構(過去記事)、日本郵便(Security NEXT記事)などで問題の脆弱性を付いた攻撃が行われて情報流出が発生したことが報じられているが、これ以外にもニッポン放送の音声サービス「Radital」や(ニッポン放送の発表)や沖縄電力(発表PDF)などでも攻撃が確認されている。

当初は「Content-Type」ヘッダを利用して攻撃ができるという話だったが、これ以外の「Content-Disposition」や「Content-Length」といったヘッダを利用した攻撃も可能であることも判明している(Securty NEXT)。また、今回の脆弱性の対応としてパーサーを変更するというものが提案されていたが、この対応を行った場合でも攻撃が可能であることが確認されており、確実な対策としては脆弱性を修正したバージョンにアップデートするしかないようだ(INTERNET Watch)。

13199516 story
idle

米国、冬の嵐でマルウェア感染が増加 21

ストーリー by headless
大雪 部門より
米国では14日、冬の嵐「Stella」により、ニューヨーク州イリオンで1時間に約18センチの積雪が観測されるなど、北東部を中心に1メートルを超える大雪となった、Enigma Software Group(ESG)の観測によれば、Stellaは大雪だけでなくマルウェア感染の増加ももたらしたそうだ(ESGのブログ記事BetaNewsの記事)。

この観測結果は、同社が販売するスパイウェア対策プログラム「SpyHunter」のマルウェア検出データによるもので、Stellaの到来前数日間の平均との比較では14%~90%の増加がみられたそうだ。特に増加率が高かったのはコネチカット州で、91.47%増加。ニュージャージー州(88.25%増)、ニューヨーク市(83.43%増)、ペンシルベニア州(79.18%増)が続く。

マルウェア感染増は大雪で学校や仕事が休みになったことで、自宅でインターネットを使用する人が増えたためとみられる。同様の現象は昨年1月に冬の嵐「Jonas」が到来した際も観測されているとのことだ。
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...