スラド: セキュリティ

YouTube経由で広がるマルウェアが増加

nagazou — 2024-01-15T23:02:00+00:00

Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという（Fortinet、TECH+）。

リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。

米連邦取引委員会、AIによるボイスクローニングから消費者を守るアイディアを募集

nagazou — 2024-01-10T23:03:00+00:00

headless 曰く、

間もなく締め切りとなってしまうが、米連邦取引委員会 (FTC) が AI によるボイスクローニングから消費者を守る手法のアイディアを募集するコンテスト Voice Cloning Challenge を実施し、12 日まで参加を受け付け中だ(プレスリリース、公式ルール: PDF、 The Register の記事、 Neowin の記事)。

AI を用いて特定の人物の声を再現するボイスクローニング技術は医療やアクセシビリティの分野で非常に有益な利用が可能だが、詐欺などの悪用も懸念される。コンテストではボイスクローニングの悪用を防ぐ以下のような 3 つのポイントのうち少なくとも 1 つを解決するアイディアが求められる。

防止または認証: 認証されていないユーザーによるボイスクローニングソフトウェアの使用を制限する手法
リアルタイム検出または監視: クローンボイスまたはボイスクローニング技術の使用を検出する手法
使用後の評価: オーディオクリップにクローンボイスが含まれているかどうかを確認する手法
コンテストは 18 歳以上米国市民および米国永住者の個人・グループまたは、米国で設立および主に活動している組織が対象となり、優勝賞金 25,000 ドル。準優勝者 1 組に 4,000 ドル、3 組に 2,000 ドルが授与される。ただし、10 人以上の組織は別枠の「FTC Voice Cloning Challenge Large Organization Prize」となり、優勝者は表彰のみ (賞金なし) となる。

関連ストーリー：
テキストから音楽を生成する「Suno AI」が話題 2023年12月19日
韓国の大統領選でAI候補が登場 2022年02月22日

ランサムウェアの被害を止めるには身代金支払いを禁止するしかないとの主張

headless — 2024-01-08T06:32:00+00:00

ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している (Emsisoft のブログ記事、 The Register の記事)。

ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。

ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。The Registerでは、全面的に身代金支払いを禁じるとしても重要なインフラストラクチャーや医療機関などには例外を設けることになるだろうとして、これらをターゲットにした攻撃が増加する可能性を指摘する。Palo Alto Networks のサム・ルービン氏によれば、被害者にならないための積極的な対策を行うことが最大の防御になるとのこと (The Register の記事 [2])。

ランサムウェア被害時の身代金支払いについて、スラドの皆さんのご意見はいかがだろうか。

すべて読む | セキュリティセクション | 暗号 | お金 |

LastPass、12文字以上のマスターパスワードを義務付け開始

headless — 2024-01-06T11:38:00+00:00

LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事、 Bleeping Computer の記事、 The Verge の記事)。

LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。

米カリフォルニア州上院議員、州で公共のAIリソースと安全かつ倫理的な枠組みを作る法案を提出

headless — 2024-01-06T09:58:00+00:00

米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリース、 The Verge の記事)。

SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。

パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。

パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加

headless — 2024-01-06T08:12:00+00:00

パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。

エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。

CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。

根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。

KDDI、世界で初めて1409次元の暗号を解読

nagazou — 2023-12-28T04:28:00+00:00

KDDI総合研究所は26日、暗号解読コンテスト「Challenges for code-based problems」で、Classic McElieceと呼ばれる次世代暗号の1409次元の暗号を解読し、これまでの世界記録を更新したそうだ。この1409次元の暗号は10の56乗（=100兆×100兆×100兆×100兆）通りの解の候補が存在する。このため、総当たりでは解読に1兆年以上かかるとされてきたが、KDDIは独自の解読アルゴリズムを用いて、2700万の解読処理を同時に実行できる並列コンピューティング環境を構築・活用することにより、29.6時間で解読に成功したとしている（KDDI、ASCII.jp）。

これにより、1409次元の暗号を解読するために必要な計算量が2の63乗であることを実証し、この次元を上回れば暗号の解読が困難という目安である暗号の強度を突き止めたとしている。この成果は、将来の量子コンピューターの台頭に備えた暗号の開発や標準化に向けた貴重な情報になるとしている。

総務省、非常勤のサイバーセキュリティ人材募集中。時給7500円

nagazou — 2023-12-27T04:31:00+00:00

総務省サイバーセキュリティ統括官室は、非常勤のサイバーセキュリティエキスパートを募集中だという。このエキスパートは、同省のサイバーセキュリティ政策の企画・立案に関する助言や情報提供を行い、国内外のサイバーセキュリティ最新動向の分析や情報提供も担当する（総務省、ScanNetSecurity）。

応募資格は、約10年以上のセキュリティ分野の実務経験とサイバーセキュリティ分野の最新技術や動向に関する専門知識を有すること。勤務時間は毎月第2金曜日の午後4時から6時までの2時間で、勤務地は東京都千代田区霞が関。雇用期間は2024年1月1日から12月31日までの採用日から1年を超えない期間。時給は7500円としている。

「ミズノ」と「ワコール」などの偽広告が増加、消費者庁が注意喚起

nagazou — 2023-12-26T21:05:00+00:00

消費者庁は21日、「ミズノ」と「ワコール」の偽の広告がSNSを中心に拡散し、被害相談が相次いでいるとされるとして注意喚起をおこなった。偽広告には、ワコールのロゴを使用したインナーの広告や、ミズノのロゴを使ったスポーツ用品の広告などがあり、これらの広告をクリックすると偽の販売サイトに誘導される。実際に商品を注文すると本物ではない商品が届くなどの被害が報告されている（消費者庁、日テレNEWS）。

偽広告はInstagramやFacebookなどを通じて拡散されている。消費者庁には2022年4月から2023年10月末までの間に1277件の相談が寄せられているとのこと。消費者庁は価格を強調していないか、不自然な日本語ではないかなどを注意して確認するよう注意を呼びかけている。

警察庁、銃刀法改正案で手製銃や猟銃の悪用防止へ規制強化

nagazou — 2023-12-26T06:12:00+00:00

警察庁は21日、2024年の通常国会に銃刀法改正案を提出する方針を発表した。この改正案では、インターネット上で銃の製造方法を示し、不法所持を促す投稿を罰則付きで禁止することが盛り込まれている（毎日新聞、日経新聞、共同通信）。

改正案では動画などで銃の製造方法を公開し、不法所持を呼びかけたり、販売するための情報を掲載したりする行為が規制される。罰則は懲役1年前後が検討されている。警察庁はこれまでに、銃などの製造や譲渡に関する投稿をSNS事業者に削除要請する制度を導入しており、これに加えて改正案を通じて対策を強化する予定。

また改正案では、2023年5月に長野県中野市で4人が殺害された事件を受け、発射罪や所持罪の厳罰化が盛り込まれる。人の殺傷を目的とする銃に対する罰則が強化され、その他装薬銃砲なども対象に含まれる。電磁石銃（コイルガン）も所持禁止の対象になる。ネット上で数万~30万円程度で取引されているものを警察庁が調べたところ殺傷能力が確認されたのだという。