パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13457791 story
ネットワーク

総務省、暗号化されていない公衆無線LANアクセスポイントを原則禁止にする方針 55

ストーリー by hylom
さすがにこれは妥当では 部門より

総務省が暗号化されていない公衆無線LANアクセスポイントを規制する方針だと報じられている(産経新聞)。

暗号化されていない公衆無線LANでは、第三者が通信内容を盗み見できる可能性があるといった問題点がある。そのため、今年中に課題をまとめ、来年度に公衆無線LAN事業者向けのガイドラインを改定するという。

なお、産経新聞の記事では「パスワード不要の公衆無線LANアクセスポイントを原則として規制」とされているが、パスワード不要という点が問題なのではなく、暗号化されない無線LANを問題視している模様。

13457777 story
Android

Google、一般ユーザー向けAndroidアプリでユーザー補助サービスの使用を禁止する方針か 14

ストーリー by hylom
悪用される例もありました 部門より
headless曰く、

Googleは一般ユーザー向けのAndroidアプリでユーザー補助サービスの使用を禁止する方針のようだ(Android PoliceThe Next Web9to5GoogleGlobal Accessibility News)。

Googleでは「ユーザー補助サービスへのバインド(BIND_ACCESSIBILITY_SERVICE)」パーミッションを要求するアプリの開発者に対し、障害を持つユーザーを補助する目的でユーザー補助サービスを使用しているかどうかの確認を求める通知を送っているそうだ。このパーミッションを要求する場合、それがどのように障害を持つ人の役に立つのかをユーザーに説明する必要があり、30日以内に対処しなければGoogle Playから削除されるという。このほかの対処法としてはパーミッション要求を削除するか、アプリの公開を取りやめるかという選択肢が提示されているとのこと。

Androidのユーザー補助サービスを使用すると別のアプリに表示されているテキストやユーザーの操作内容などを取得できるなど大幅に機能を拡張できる一方、セキュリティリスクも高まることになる。Android DevelopersサイトのAPI解説にユーザー補助サービスの使用目的を制約する記述はもともとなかったが、最近になって障害を持つユーザーを補助する目的でのみ使用するべきとの記述が追加されている。「Building Accessibility Service」にも同様の記述が最近追加されているが、ユーザー補助サービスによる機能追加が役立つ場面として、自動車を運転している時や子供の世話をしている時、非常に騒がしいパーティーに出席している時といった例も挙げられている。

13455871 story
インターネット

産総研が開発した「AISTパスワード認証方式」などが国際標準化される 31

ストーリー by hylom
使いやすい実装はあるのかな 部門より

産業技術総合研究所(産総研、AIST)が開発した「AISTパスワード認証方式」および「AIST匿名パスワード認証方式」が国際標準化された(産総研の発表PC Watch)。

「AISTパスワード認証方式」はパスワードだけで認証を行える技術で、ISO/IEC 11770-4:2017として標準化された。また、「AIST匿名パスワード認証方式」はユーザーを特定せずに特定の権限や属性を有していることを認証できる技術で、「ISO/IEC 20009-4:2017」として標準化された。

AISTパスワード認証方式は、既存の認証方式と比べて少ない計算量で認証を実現できるのが特徴。また、AIST匿名パスワード認証方式は容易に匿名で権限の認証ができるため、プライバシーの確保などに有用だという。

13455821 story
セキュリティ

ウイルス対策プログラムの検疫機能を悪用してローカルでの権限昇格を可能にする攻撃 11

ストーリー by hylom
たびたび狙われるセキュリティソフト 部門より
headless曰く、

ウイルス対策プログラムの「検疫」機能を悪用し、ローカルでの権限昇格を可能にする攻撃手法「#AVGater」について、オーストリアのITセキュリティプロフェッショナルで考案者のFlorian Bogner氏が解説している(#bogner.shArs Technica)。

攻撃の仕組みは管理者権限でサービスを実行するターゲットアプリケーションのDLLと同名の攻撃用DLLを検疫から復元する際に、ディレクトリジャンクションを利用して正規のDLLを置き換えるというものだ。攻撃の流れとしては、ターゲットのインストールフォルダーと同名のフォルダーに攻撃用DLLを格納しておき、ウイルス対策プログラムに検出させて検疫に送る。このフォルダーをターゲットのインストールフォルダーのディレクトリジャンクションと置き換え、攻撃用DLLを復元すればターゲットのDLLが置き換えられる。あとはシステムを再起動すればサービスが起動して攻撃用DLLを読み込み、「DllMain」が管理者権限で実行されることになる。

ウイルス対策プログラムが検疫からファイルを復元する処理はSYSTEM権限で実行されるため、標準ユーザーでも特権の必要な場所にファイルを書き込むことが可能になる。Emsisoft Anti-MalwareMalwarebytes 3(いずれも既に対策済み)を使用した実験では、ウイルス対策プログラム自体の「version.dll」を攻撃用DLLに置き換えてコードを実行することに成功したという。Kaspersky(こちらも対策済み)の場合はクラッシュして実行できなかったようだが、別のサービスのDLLは置き換え可能だったとのこと。

Bogner氏が問題をAVベンダーへ報告したのは昨年のことで、既にディレクトリジャンクションへの復元をブロックするなどの対策が進められているようだ。記事では上述の3社のほか、Trend MicroとCheck Point(ZoneAlarm)、IKARUS Security Softwareが対策済みベンダーとして挙げられている。今回の研究結果は10日にオーストリアで開催されたIT-SECX 2017で発表されている。

なお、Windows 10(バージョン1709)のWindows Defenderでは復元時にUACのダイアログボックスが表示され、ディレクトリジャンクションへの復元もできなかった。何年も前の古いバージョンのAVGでもディレクトリジャンクションへの復元ができないなど、復元時の動作はウイルス対策プログラムごとに異なるようだ。

13454813 story
アメリカ合衆国

米銃乱射事件容疑者のiPhone、死亡した容疑者の指を使えばロックを解除できた? 15

ストーリー by hylom
死後端末を漁られたくなければ指を潰せ? 部門より
あるAnonymous Coward 曰く、

米国テキサス州で11月5日、教会で銃を乱射して子供を含む26人の命を奪った銃乱射事件が起きたが、米FBI(連邦捜査局)はこの犯人が所有していたiPhoneのロックを解除できなかったことが話題になっている(iPhone ManianrpThe Washington PostSlashdot)。

犯罪事件の容疑者が使用していたiPhoneのロック解除についてはたびたび話題となっており、過去には捜査目的で容疑者のiPhone 5sやiPhone 5cのロックを解除したという事例がある。しかし、今回はロック解除ができなかったようだ。担当捜査官は「私はその端末が何かを語るつもりはない。買おうとする人物がみな悪人だなどとは言いたくはないから」と説明し、暗号化技術に対する批判もあったようだ。こうしたことから、スマートフォンの暗号化解除議論が再燃しそうな様相を見せている。

ただ、今回FBIはAppleに対してロック解除を依頼しなかったとも報じられており、FBIの行動に批判的な意見もある。48時間以内にAppleと連絡を取り合っていれば解除できた可能性があるというものだ。専門家は犯人の端末がTouchID対応のiPhoneであったならば、FBIが事件発生2日以内に死者の指を使って解除を試みていれば、解除に成功していた可能性は高いとしている。

13453338 story
Android

KRACK脆弱性の影響は大したことない? 64

ストーリー by headless
影響 部門より
GoogleはAndroidの「KRACK」脆弱性を11月のセキュリティパッチで修正しているが、Nexus/PixelデバイスにはKRACK対策を含むパッチが12月まで提供されないそうだ(Ars Technicaの記事)。

10月に公表されたKRACK(Key Reinstallation AttaCK)はWPA2の脆弱性で、偽アクセスポイントを使用してWi-FiクライアントにWPA/WPA2の暗号鍵を再インストールさせることで通信内容の復号が可能になる。wpa_supplicant 2.4以降を使用するバージョンのLinuxへの影響が特に大きいとされ、Androidでは6.0以降のすべてのバージョンにおける影響が大きいとして注意喚起されていた。

GoogleがAndroidのKRACK脆弱性を修正したのはセキュリティパッチレベル2017-11-06だが、11月に提供されるNexus/Pixelデバイス向けのセキュリティパッチレベル2017-11-05までとなっている。その結果、OEMメーカーがKRACK対策パッチを続々と提供するのに対し、GoogleブランドのすべてのAndroidデバイスは12月まで対策されないことになる。これについてArs Technicaの記事では、KRACK脆弱性のAndroidに対する影響は大したことがないと指摘する。
13453328 story
交通

米空港の保安検査に対する覆面調査、武器や爆発物の検出率に大きな改善はみられず 43

ストーリー by headless
覆面 部門より
maia 曰く、

米国土安全保障省(DHS)は米運輸保安庁(TSA)による空港の保安検査で武器や爆発物を発見できるかどうかの覆面調査を時々行っているが、最新の調査で約8割が検出されなかったという(Daily Mail Onlineの記事)。

今年の6月下旬にミネアポリス-セントポール国際空港で行われた調査では18個中17個を検出できず、失敗率約94%だったので少しは改善したかもしれない。2015年の覆面調査では70個中67個通過したので失敗率は約96%だった。

ちなみに2015年に米国の空港では銃2,653丁が発見されており、その83%は弾が装填されていたという。

今回の調査結果は非公表であり、ABC Newsが関係者に失敗率は80%程度かと尋ねたところ、「そんなものだ」との回答を得たとのこと。TSAでは空港の保安検査場で発見した武器の数を毎週ブログで公表しており、ほぼ毎週80丁前後の銃が発見されている。50丁を下回る週は少なく、150丁を超える週もある。2016年に保安検査場で発見した銃の数は3,391丁で、83%(2,815丁)が装填されていたとのことだ。

13453281 story
アメリカ合衆国

WikiLeaksがソースコードを公開したCIAのハッキングツール、カスペルスキーの偽証明書を生成するサンプルも 31

ストーリー by headless
公開 部門より
WikiLeaksは9日、米中央情報局(CIA)のハッキングツールに関する情報を公開するプロジェクトの新シリーズ「Vault 8」を開始した(Vault 8 - HiveThe Registerの記事)。

WikiLeaksはVault 7でCIAのハッキングツールのドキュメントを公開しているが、Vault 8ではVault 7で公開したハッキングツールを含め、ソースコードや解析結果を公開する。第1弾は4月にドキュメントを公開した「Hive」に関するものだ。Hiveはターゲットホストに侵入させた他のマルウェアが安全にCIAと通信できるようにするバックエンドインフラストラクチャーとなっている。

HiveではターゲットホストからのトラフィックがVPSサーバーを通じてプロキシサーバー「Blot」に送られ、「HELLO」パケットにツールIDが埋め込まれていればツールハンドラー「Honeycomb」に転送する。それ以外のトラフィックは無害なコンテンツを提供する隠蔽用のサーバーに転送されるという仕組みだ。

今回新たに公開されたのはHiveのリポジトリのアーカイブコミット履歴の2件。リポジトリの/client/ssl/CA以下にはKaspersky Labの偽証明書を生成するサンプルも含まれる。また、Vault 7で公開済みのドキュメント6件もあわせてリストアップされている。
13453236 story
Chrome

Google Chrome、ユーザーの望まないWebページリダイレクトを来年からブロックする計画 49

ストーリー by headless
計画 部門より
Googleは8日、ユーザーから多くの不満が寄せられている3種類のWebページリダイレクトについて、来年からGoogle Chromeでブロック開始する計画を明らかにした(Chromium Blogの記事VentureBeatの記事The Vergeの記事Neowinの記事)。

来年1月23日リリース予定のChrome 64では、Webページに埋め込まれたサードパーティーのコンテンツによるリダイレクトをブロックするようになる。iframeからのリダイレクトはユーザーの操作によるものでない限りブロックされ、通知バーにその旨が表示されるとのこと。

ポップアップブロック機能を迂回する「逆ポップアップ」とも呼ばれる動作もユーザーの不満が多く聞かれるリダイレクトの一つだという。これはリンクをクリックした際にリンク先ページを新しいタブで開き、元のタブでユーザーが望まないコンテンツへのリダイレクトを行うというものだ。3月6日にリリース予定のChrome 65では元のタブのリダイレクトがブロックされるようになり、iframeからのリダイレクトブロックと同様に通知される。

また、1月初めにはユーザーをだまして望まないポップアップウィンドウや新しいタブを開くといった不正行為に対し、Google Safe Browsingと同様の仕組みによるブロッキングも開始するという。対象には再生ボタンやその他のWebページコントロールを装ってクリックさせたり、全面に透明レイヤーを配してすべてのクリックを乗っ取ったりする手法が含まれる。この変更にサイト所有者が備えられるよう、Google Web Toolsに不正行為リポート(Googleアカウントへのログインが必要)を表示する機能も追加されている。報告された不正行為を修正せずに30日以上経過すると、ブロック対象になるとのことだ。
13452714 story
ビジネス

ITセキュリティプロフェッショナルの18%が紙ベースで特権アカウントを管理しているとの調査結果 47

ストーリー by headless
管理 部門より
アイデンティティとアクセス管理(IAM)ソリューションを提供するOne Identityの調査によれば、ITセキュリティプロフェッショナルの18%が特権アカウントの資格情報管理を紙ベースで行っているそうだ(調査結果概要BetaNewsの記事)。

調査はOne Identityの依頼によりDimensional Researchがオンラインで実施したもので、IAMの知識がある米国およびカナダ、英国、ドイツ、フランス、オーストラリア、シンガポール、香港のITセキュリティプロフェッショナル913名が回答している。

紙ベースで特権アカウントを管理しているという回答はドイツが26%で最も高く、英国(23%)、シンガポール(22%)が続く。また、回答者の36%は表計算プログラムを使用して特権アカウントを管理しており、67%は2種類以上のツールに依存しているという。

企業システムへの侵入では全体のおよそ80%で特権アカウントがかかわっているが、回答者の57%は特権アカウントの一部のみ、またはまったく監視していないそうだ。また、回答者の21%は管理者アカウントが実行した処理を監視または記録できない点、32%は管理者として処理を実行するユーザーの一貫した識別ができない点を問題点として挙げている。

また、ミッションクリティカルなシステムの管理者アカウントを使用後に変更するという回答は14%にとどまり、ハードウェアやソフトウェアのデフォルト管理者パスワードの変更が確実に実行されていないとの回答も40%に上ったとのことだ。
13451388 story
セキュリティ

電子回路設計向けの暗号化技術IEEE P1735に脆弱性 5

ストーリー by hylom
一般エンジニアにはちょっと縁遠い話かもしれない 部門より
あるAnonymous Coward曰く、

電子回路設計データの暗号化などの標準規格であるIEEE P1735に脆弱性が確認された。これによって暗号化された電子回路設計データが解読されたり、意図しない変更を加えられる可能性があるという(JVNVU#93593263ITmedia)。

P1735は、さまざまな記述言語で実装された電子回路を暗号化するための標準規格。これによって、暗号化された回路設計データをさまざまなツールで扱えるようになる。攻撃手法としては、暗号化されたデータを設計支援ツールに読み込ませた際、処理内容に応じて異なるエラーが発生することを使って解読を行うというもののようだ。

13450508 story
ネットワーク

ClamAVのシグネチャファイル配信システムでトラブル発生中 10

ストーリー by hylom
いったいなにが 部門より
utahime 曰く、

オープンソースのウィルス対策ソフトウェア「ClamAV」で、ウィルス検出に用いられるシグネチャファイルの配信でトラブルが発生しているようだ(公式ブログの記事)。

問題が発生したのは11月1日だが、現時点でも復旧の告知はされていない。何か深刻なトラブルが発生しているのかもしれない。

13449548 story
情報漏洩

GMOインターネットから漏洩した個人情報、Amazonで販売される 12

ストーリー by hylom
斬新だ 部門より
あるAnonymous Coward 曰く、

先日GMOインターネット、「サイトM&A」の登録情報を漏洩という話があったが、ここで漏洩したとされる個人情報がAmazon.co.jpで電子書籍として販売されていたことが確認された模様(日経ITpro)。

すでにGMOインターネットからからの削除依頼を受けてAmazon側での発売は停止されている。この電子書籍は個人が直接Amazonと契約して電子書籍を発売できる「Amazon Kindle ダイレクト・パブリッシング」を使って販売されたようだ。

13449542 story
情報漏洩

パナマ文書の次は「パラダイス文書」、租税回避地における法人に関する文書が流出 72

ストーリー by hylom
合法か違法か 部門より
あるAnonymous Coward 曰く、

南ドイツ新聞と非営利組織・国際調査報道ジャーナリスト連合(ICIJ)が、英領バミューダ諸島などの租税回避地に設立された法人に関する電子データを入手、その内容を報じている(朝日新聞)。

この文書は「パラダイス文書」と名付けられており、バミューダの大手法律事務所Appleby(アップルビー)の内部文書、シンガポールの法人設立業者の内部文書、バハマ・マルタなどの登記文書などが含まれているという。これに対しアップルビーはサイバー攻撃によって情報が違法に入手されたと主張しているようだ(朝日新聞の別記事)。

エリザベス英女王、鳩山由紀夫・元首相、ウィルバー・ロス米商務長官など、47カ国・127人の政治家・君主らの名前がこの文書内で確認できているという。

13447838 story
テクノロジー

小型無人航空機がイベント会場で墜落、6人が軽傷 109

ストーリー by headless
墜落 部門より
あるAnonymous Coward 曰く、

岐阜県大垣市で開催された「ロボフェスおおがき2017」で4日午後、菓子を上空から撒いていた小型無人航空機(ドローン)が制御を失って墜落する事故が発生した(NHKニュースの記事朝日新聞デジタルの記事毎日新聞の記事)。

事故発生時、無人航空機はイベント会場の真上を飛行して菓子をばら撒いていたが、突然機体が傾いて来場者の頭上に墜落し、6人が軽傷を負った。幸いにも被害者は擦り傷程度ということだが、一歩間違えば大惨事になった可能性もある(Twitter投稿動画 [1]、 [2]、 [3]、 [4]、 [5])。

航空法では無人航空機のイベント上空の飛行は禁止されている。イベントで使われた無人航空機による菓子のばら撒きサービス提供元では囲いをして飛行直下に参加者を入れないように、とのただし書きをしていたが、今回の事故では全く守られていなかったようだ。

ちなみに、無人航空機から物を投下することも航空法で禁じられている。航空法(PDF)第132条の2第6には「地上又は水上の人又は物件に危害を与え、又は損傷を及ぼすおそれがないものとして国土交通省令で定める場合を除き」投下禁止とあるが、現時点で省令により投下禁止から除外されるものはなく(PDF)、個別に申請し、許可を得る必要がある。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...