パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

13791980 story
ハードウェア

マザーボードに不正なチップが埋め込まれていたと報じられたSuper Micro、改めてこの問題を否定 54

ストーリー by hylom
どう収束するのだろう 部門より

今年10月、中国によって不正チップが埋め込まれたサーバーが米国に納入されているという報道があったが、問題があったと報じられている製品を製造するSuper Microが、第三者による調査結果を公表した。その結果、報じられたような不正なハードウェアの埋め込みは確認できなかったという(CNET JapanITmedia)。

マザーボードへの不正チップ埋め込み問題については、Super MicroだけでなくAppleやAmazonもこういった不正行為が確認された事例はないと否定していた(PC Watch)。

13791913 story
Firefox

Firefox 64リリース、シマンテックの証明書が無効に 26

ストーリー by hylom
ついに 部門より
あるAnonymous Coward曰く、

12月11日、Firefox 64がリリースされ、以前から予告されていた通りシマンテックの証明書がついに無効になった(リリースノート)。

シマンテックが適切な確認を行わずに大量のSSL/TLS証明書を発行していたという問題に対処するもの(過去記事)。すでにGoogle Chromeではバージョン70からシマンテックが発行したSSL証明書の失効対応が開始されている。

13791785 story
ニュース

マカフィーが2018年10大セキュリティ事件を発表 15

ストーリー by hylom
ほかにも色々あったような 部門より

セキュリティソフトウェアを手がけるマカフィーが、「2018年の10大セキュリティ事件ランキング」を発表した(マカフィーのプレスリリース日経xTECH)。

このランキングは日本国内の経営層や情報システム部門などのビジネスパーソンを対象に行なった「2018年のセキュリティ事件に関する意識調査」に基づき、認知度が高かった事件をまとめたもの。発表されたトップ10は以下の通り。

  1. 仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される
  2. 佐川急便を騙って偽アプリをインストールさせる攻撃が急増
  3. 漫画海賊版サイトで仮想通貨採掘スクリプトが見つかる、閲覧者の知らぬ間に端末で採掘が実行される
  4. 性的な映像をばらまくと脅して仮想通貨を要求するスパムメール
  5. Amazon.co.jpを騙り偽サイトへ誘導するフィッシング攻撃
  6. Facebookユーザーの情報流出(プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響など)
  7. ルーターを狙ったサイバー攻撃(ルーターのDNS設定が改ざんされる被害が相次ぐ、攻撃方法は特定できず家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃ルーターに感染し採掘コードを埋め込むマルウェアが流行、マンションの共有ルータへの感染が疑われる例もなど)
  8. JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる
  9. Twitter、偽アカウントなどの「ロックされたアカウント」をフォロワーとしてカウントしないよう仕様変更
  10. 「セゾンNetアンサー」をかたるフィッシングメール
13791047 story
セキュリティ

Linux.orgのDNSがハイジャックされる 33

ストーリー by hylom
分かりやすい事件ではある 部門より
あるAnonymous Coward曰く、

12月7日にLinuxユーザー向けコミュニティサイト「Linux.org」のドメインが乗っ取られる事件が発生した(Linux.orgThe RegisterMOTHERBOARDSlashdot)。

攻撃者はレジストラのアカウントを窃取し、ドメイン名に紐付けられているIPアドレスを攻撃者の所有するサーバーのものに変更することでトップページを書き換えたように見せたという。このページには「G3T 0WNED L1NUX N3RDZ」というメッセージと、尻の穴を広げている人物の写真が映し出されていたとのこと(Webアーカイブのログ)。反多様性を主旨とした内容のようだが、現在はサイト管理者であるMike McLagan氏により元通りに復元されている。

MOTHERBOARDの記事によると、Linux.org内ではセクハラやLGBTなどの多様性問題に対応するための新しい行動規範規則が設定されたという。しかし、これに反発する意見もあり、コミュニティ内で論争が起きていたという。今回の事件は新規則への抗議行動として行われたことが犯人のTwitterから判明しているとのこと

13788895 story
情報漏洩

復号された警察無線とみられる音声がネットで公開されているのが見つかる 80

ストーリー by hylom
どのルートで漏れたのか 部門より

警察無線を傍受したと見られる音声がYouTubeで公開されていたという。すでに警視庁がGoogleに削除を要請、現在では閲覧できない状況になっているようだ(NHK毎日新聞日経新聞)。

警察無線は暗号化されており、通常は電波を傍受しても音声を聞くことはできない。そのため、警視庁は音声流出の敬意を調べているという。

なお、2004年の電波法の改正により、暗号化された通信を復号してその内容を漏らす/窃用する行為は違法とされている(過去記事)。

13787522 story
ワーム

PETA、反動物的な慣用表現の置き換えを主張 135

ストーリー by headless
慣用 部門より
PETAが動物に対する残酷な行為などを含む反動物的な慣用表現を動物にやさしい表現に置き換えるべきだと主張している(PETAのツイートPETA.orgの記事プレスリリース)。

PETAは人種差別や同性愛差別、障害者差別を含む表現が許容されなくなっているのと同様、種差別的な表現も排除する必要があると主張。「Kill two birds with one stone (1つの石で2羽の鳥を殺す: 一石二鳥)」ではなく「Feed two birds with one scone (1つのスコーンで2羽の鳥を満腹にする)」のように表現するといった例を挙げている。
13787248 story
暗号

ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス 27

ストーリー by headless
仲介 部門より
独自の技術でランサムウェアにより暗号化されたファイルの復号ができると称し、実際にはランサムウェア作者から購入した復号鍵にマージンを乗せて被害者に売るサービスの存在をCheck Pointの研究者が発見したそうだ(BetaNewsの記事The Registerの記事TechRadarの記事SC Media UKの記事)。

研究者はランサムウェアDharmaについて調査中、ロシアでランサムウェア感染マシンの復旧サービスを提供するDr. ShifroのWebサイトを発見する。しかし、まだ復号鍵の公開されていないDharmaのバリアントにも対応することを謳うなど、怪しい点がみられたという。

そこで研究者はDharmaのアルゴリズムを使用した偽の感染ファイルと偽のランサムウェア作者の電子メールアドレスを用意し、被害者を装ってDr. Shifroに連絡。2日ほどのち、偽ランサムウェア作者に仲介人を名乗るメールが届いたそうだ。送信者は2015年からクライアントに代わって復号鍵を取得していると述べ、身代金を偽ランサムウェアが要求する0.2 BTCから0.15 BTCへ値引くよう交渉してきたという。その後、被害者としてDr. Shifroに再び連絡すると、値引き前の身代金に1,000ドルほど上乗せした金額を提示されたとのこと。

研究者はこのようなサービスの提供が非倫理的なだけではなくランサムウェア被害者の支払額を増大させ、サイバー犯罪者の資金源としてランサムウェアの利用を勧める結果になると批判しているとのことだ。
13786657 story
テクノロジー

蜘蛛の糸を超えるというミノムシの糸、製品化へ 61

ストーリー by hylom
新たなシルク 部門より

興和と農研機構が、ミノムシの糸の製品化に向けた研究開発を行っているという(興和のプレスリリース)。

昆虫由来の糸としては蜘蛛の糸の強度が強いという話が有名だが、ミノムシの吐く糸は蜘蛛の糸を凌駕する性能を持っており、今回両社はミノムシから1本の長い糸を採糸する技術を考案、特許出願したという。

ミノムシの糸はタンパク質から構成されている「シルク繊維」とのことで、さまざまな用途で活用が期待できるという。さらにミノムシの繁殖や採糸に関する技術も開発しており、今後の産業化に向けた生産体制の構築を予定しているそうだ。

13786512 story
セキュリティ

「大文字小文字が必須です」はパスワードを脆弱にする 67

ストーリー by hylom
8文字制限がもうダメ 部門より
あるAnonymous Coward曰く、

パスワードを強化するために「大文字/小文字/数字/記号を含めてください」といったサイトはよく見られるが、文字種を制限してしまうとすべて小文字/すべて大文字といった組み合わせが無くなるため、結果的に総当たり攻撃に弱くなるという(Webrootlifehacker)。

特に文字数が8文字のように短い場合、上記全ての文字種を含めるようにすると、組み合わせ数が41%も減ってしまうという。対策としては文字種を増やすのではなく、パスワードをより長くすべきとしている。

13783642 story
SNS

LINEが位置情報の継続的な収集を開始、拒否を勧める動きも 63

ストーリー by hylom
さすがに何も考えずに許可は薦められない 部門より

メッセージングアプリのLINEが11月15日、「サービス向上のための位置情報利用に関するご案内」なるものを出している。位置情報の利用に同意すると、LINEが利用者の位置情報を収集するようになる、という案内だ。これに対し危険性があるとして位置情報の提供拒否を勧める意見が出ている(Togetterまとめ)。

この同意画面はLINEアプリのアップデート後に表示されるとのことで、拒否してもLINEの利用に支障はないが、デフォルトで「同意」にチェックが入っていることへの批判もある。

なお、ASCII.npの解説記事によると、LINEは収集した位置情報を使って関連する情報をユーザーに送信するほか、「LINE Beacon」を有効にすると近くの店舗から広告などの情報が送信されるという。

13782437 story
お金

サイバー犯罪で利用されたビットコインアドレス、経済制裁の対象に 12

ストーリー by hylom
特定しました 部門より
あるAnonymous Coward曰く、

米国財務省・外国資産管理室(OFAC)が、犯罪で使われていたビットコインアドレスを特定し、経済制裁の対象として公表した(COINPOSTCOINTELEGRAPH)。

ビットコインアドレスはビットコインの送付先を指定するために使われる情報。米当局が犯罪に利用されたアドレスを公表したのは初めてだという。合わせて、このアドレスを所有しているとされる2名の氏名なども公開された。彼らはさまざまな組織に対しサイバー攻撃を行い、身代金としてビットコインを脅し取っていたという。

今回ビットコインアドレスが経済制裁対象として指定されたことで、この口座を対象とした取引が米国において禁じられたことになる。

13780961 story
iPhone

米企業、あらゆるスマートフォンのパスコードロックを100%解除できると主張 22

ストーリー by headless
主張 部門より
米国のDriveSaversという企業が11月26日、パスコードロックされたあらゆるスマートフォンをアンロックできるというコンシューマー向けサービスを発表した(プレスリリースサービス紹介ページThe Vergeの記事Mac Rumorsの記事)。

DriveSaversによれば、プロプライエタリな新技術を用い、すべてのメーカー・モデル・OSのスマートフォンやタブレットデバイスでパスコードロックを100%解除できるという。パスコードの長さも問わず、長い複雑なパスコードでも対応可能とのこと。

捜査機関向けにパスコード解除サービスを提供している企業は既に存在するが、DriveSaversは捜査機関にサービスを提供することはなく、デバイスの所有者、もしくは死亡した所有者の相続人限定のサービスとなる。そのため、サービスを申し込むにはデバイスのデータにアクセスする法的権利を証明する書類などの提出が必要となる。

デバイスはアンロックされた状態で所有者に返され、データを外部メディアにコピーするオプションも用意されるという。アンロックの料金は3,900ドル(約44万円)ほどとのことで、安くはない。

しかし、米捜査機関の人気ガジェットとなっていたiPhoneアンロックツールGrayKeyAppleがiOS 12で対策をして使用できなくなったとみられており、すべてのスマートフォンのパスコードロックを100%解除可能といった主張には疑問の目も向けられている。現在一般に知られていない技術をDriveSaversが持っている可能性もあるが、詳細については不明だ。
13779644 story
オープンソース

npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 15

ストーリー by hylom
ピンポイントで狙っていたのか 部門より
あるAnonymous Coward曰く、

JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した(Qiitaに投稿された解説記事event-stremパッケージに対するチケットRegisterZDNet)。

このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。

問題のevent-streamパッケージはビットコインウォレットの「Copay」で利用されており、これを狙ってビットコインウォレットの情報を盗む攻撃を行うマルウェアが含まれていたようだ。

13779531 story
セキュリティ

ウイルス公開の疑いで起訴された「Wizard Bible」管理者が検察と争わなかった理由 41

ストーリー by hylom
なぜ、と思っていたが 部門より

先日「Wizard Bible」管理人、ウイルス公開の疑いで略式起訴。問題のプログラムは一般的なサンプルコードという話題があったが、はてな村定点観測所の齊藤氏が、起訴されたIPUSIRON氏から直接聞いたという「検察と争わなかった理由」を明らかにしている。

理由の1つとしてPCが押収されて仕事に支障が出ているというものが報じられていたが、それ以外にも氏の母親が病気療養中であり起訴前に亡くなられていたこと、氏が住む地域のコミュニティにこの話が広まって自身や家族が孤立することを恐れたこと、の2つの理由があったという。

13776469 story
インターネット

さくらインターネット、適切なセキュリティ対策無しにサーバーを運用しているユーザーに対し対策を求める 43

ストーリー by hylom
お願いしても届かなそうではある 部門より

さくらインターネットが、セキュリティ対策なしにサーバーを放置しているユーザーに対して「お願い」として対策を求めている(INTERNET Watch)。

挙げられている対策は下記のとおり。

  • パスワードはすべて適切な強度を満たすように設定してほしい
  • なるべく自動アップデートを利用してほしい
  • ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール(WAF)を活用すること
  • 持続的な運用または終了方法を考えてほしい

背景には、管理者がいなくなってしまったサーバーや、管理者がやる気をなくしてしまったサーバーが運用状態のまま放置されているという問題があるという。こういったサーバーで利用されているソフトウェアで脆弱性が見つかった場合、管理権限が奪われて攻撃の踏み台にされるおそれもある。

typodupeerror

人生unstable -- あるハッカー

読み込み中...