マスメディアやICTニュースサイトからの最新情報

「きらぼし銀行」初日にシステム障害

ITmedia(セキュリティ) - 2018/05/01(火) 15:43

東京都民銀行と新銀行東京、八千代銀行の3行が合併して5月1日にスタートしたしたきらぼし銀行で、初日からシステム障害が発生した。

Gmail大幅刷新

slashdot(security) - 2018/04/29(日) 11:42
Googleは25日、Gmailの大幅刷新を発表した(The Keywordブログの記事GmailヘルプThe Vergeの記事The Guardianの記事)。

Web版の新Gmailではメッセージをポイントするだけで操作アイコンが表示されるようになっており、メッセージを開いたり選択したりせずに各種操作が実行できる。添付ファイルもメッセージを開かずに直接表示できるようになっている。新たに追加された「スヌーズ」機能を使用するとメッセージが「スヌーズ中」フォルダーに移動し、指定期間を過ぎると受信トレイに戻る。

また、受信したメッセージの内容に応じて提案される応答候補から選択して返信できる「スマートリプライ」機能や、メッセージの送信相手が印刷や転送、コピーなどをできないようにし、有効期限も設定できる「Confidential」モード、未返信メッセージなどにリマインダーを表示する機能、サイドバーからGoogleカレンダーやKeepなどを表示する機能も追加されている。このほか、リスクの高いメッセージに警告を表示する機能も追加されたとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | IT |

関連ストーリー:
自分のGmailアカウントが突然スパムを送信しだしたという報告が相次ぐ 2018年04月26日
Gmail、メール内容に合わせた広告の表示を廃止へ 2017年06月25日
Gmail、拡張子が「.js」のファイルの添付を禁止へ 2017年01月27日
Gmailのエイプリルフール機能、うっかり使ってしまったビジネスユーザーから多数の抗議  2016年04月04日
Gmail、暗号化されていない経路で受信したメールに警告を表示へ 2015年11月17日
Gmail、メール送信直後の取り消し機能を正式版に 2015年06月24日
読み終えると消える電子メール 2015年05月07日
Google、新メールアプリ「Inbox」を発表 2014年10月24日
Gmailが非ラテン文字のメールアドレスに対応 2014年08月06日
Gmailに「配信停止」機能登場 2014年02月28日

AmazonのDNSサービスを狙ったBGPハイジャッキング攻撃が発生

slashdot(security) - 2018/04/27(金) 17:17

Amazonが提供するDNSサービス「Route 53」を狙った攻撃により、仮想通貨管理サービス「MyEtherWallet.com」の利用者が偽サイトに誘導され、仮想通貨管理に利用する秘密鍵などの情報が盗み取られる被害が発生した(ITmediaZDNet)。

今回使われたのは「BGPハイジャッキング」とよばれる手法。インターネットではBGPと呼ばれるプロトコルを使って通信経路情報をやり取りしている。ここでやり取りされた経路情報に基づいて通信パケットを最適なネットワークに転送するのだが、今回は不正な通信経路情報を流すことでRoute 53向けの通信を別のサーバー(偽DNSサーバー)に転送していた。

orangeitems’s diaryによると、MyEtherWallet.comは権威DNSサーバーとしてRoute 53のDNSサーバーを指定していたようだ。そのためMyEtherWallet.comの名前解決のために問い合わせを行ったDNSサーバーの通信パケットが偽DNSサーバーに誘導され、その結果各DNSサーバーが不正なIPアドレスを返すようになっていたという。

今回のような攻撃ではRoute 53自体やユーザーがアクセスするDNSサービス自体が直接第三者に攻撃されて乗っ取られたわけではないため、ユーザー側での対処は困難となっている。今回の件では偽サイトにアクセスした際にWebブラウザがSSL証明書エラーを表示したようだが、これを無視してアクセスを行ったユーザーが被害に遭っているようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー:
8月25日に全国で発生したネットワーク不具合、原因はGoogleの誤設定 2017年08月28日
BGPハイジャックでビットコインの採掘結果を奪う攻撃、攻撃者は83,000ドル以上の利益を得る 2014年08月11日
Google Public DNS(8.8.8.8)がBGPハイジャックされる 2014年03月19日
NTT東エリアでぷららが一時接続障害、DNSトラブルが原因? 2018年05月07日

Drupalの脆弱性を突く攻撃を確認、直ちに対応を

ITmedia(セキュリティ) - 2018/04/27(金) 10:00

Drupalの更新版(バージョン7.59、8.5.3、8.4.8)が公開された。既にこの脆弱性を突く攻撃が確認されていることから、まだ更新を済ませていないサイトは直ちに対応する必要がある。

自分のGmailアカウントが突然スパムを送信しだしたという報告が相次ぐ

slashdot(security) - 2018/04/26(木) 18:57
headless曰く、

日本時間4月22日ごろ、自分のアカウントが突然スパムを送信し始めたとの報告がGmailユーザーから相次いだ(Mashable9to5GoogleSlashGearThe Verge)。

スパムの送信元が偽装されているケースはよくあるが、報告によると問題のスパムは「送信済みメール」フォルダーに格納されていたようだ。パスワードをリセットして二要素認証を有効にしてもスパム送信は止まらなかったという報告や、アクセス履歴を確認しても外部からアクセスされた様子はなかったとの報告もみられる。

Googleによれば、問題のスパムは受信者自らが送ったようにヘッダーが偽装されているもので、誤って送信済みメールとして区分されたのだという。今回の件でアカウントへの不正アクセスはなかったとGoogleはみており、該当するメッセージを特定してスパムに区分し直したとのこと。

また、スパムがtelus.com経由で送信されていたとの報告も数多い。このドメインを所有するカナダの通信会社TELUSでは、スパムは同社が生成したものでも同社のサーバーから送信されたものでもないことを確認したと説明しているとのことだ。

すべて読む | ITセクション | Google | セキュリティ | spam | IT |

関連ストーリー:
サイバーセキュリティの強化後、全国の自治体でメールや申請書類が届かないトラブルが発生 2018年01月15日
警視庁、ボットネットに侵入して迷惑メールの送信を検知する監視システムを運用開始 2016年11月10日
携帯キャリア、携帯Eメールに関する申告情報をキャリア間で共有へ 2016年09月09日
楽天の偽サイトが多数登場、偽装スパムも増加中 2015年02月16日
緊急地震速報を装った迷惑メールに気象庁が注意喚起 2014年09月30日
Gmail大幅刷新 2018年04月29日

世界最大のDDoSサービスが摘発される 月額わずか15ユーロで攻撃実行

ITmedia(セキュリティ) - 2018/04/26(木) 08:40

「webstresser.org」を利用すれば、ITに詳しくなくても、特定の標的を狙ってDDoS攻撃を仕掛けることが可能だった。

Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に

slashdot(security) - 2018/04/25(水) 17:06
あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている(MBSDJPCERT/CC)。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている(Ars TechnicaNetlab 360Slashdot)。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの(knqyf263's blog)。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

すべて読む | セキュリティセクション | セキュリティ | PHP |

関連ストーリー:
コレガの無線LANルーター「CG-WGR1200」に脆弱性、対策の予定なし 2018年03月13日
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 2018年01月04日
GNOMEのファイルマネージャーで任意のVBScriptコードを実行可能なバグ「Bad Taste」 2017年07月22日
被害が急増しているランサムウェア「WannaCrypt」は感染して数分で他のマシンに広まる 2017年05月17日

iOSとmacOS、Safariの更新版リリース WebKitなどの脆弱性を修正

ITmedia(セキュリティ) - 2018/04/25(水) 14:30

米Appleは、「iOS 11.3.1」「Safari 11.1」および「macOS High Sierra 10.13.4」向けのセキュリティアップデート「2018-001」を公開した。

Twitter、カスペルスキーの広告を拒否。同社は具体的な理由を説明しないTwitterを批判

slashdot(security) - 2018/04/25(水) 13:45
headless曰く、

Twitterが具体的な理由の説明なくKaspersky Labの公式アカウントや関連アカウントにプロモツイートの利用を禁じたとして、ユージン・カスペルスキー氏がTwitter CEOのジャック・ドーシー氏と幹部にあてた公開書状をブログに掲載している(Kaspersky Lab公式ブログRegisterReutersBetaNews)。

Kaspersky LabがTwitterから通知を受けたのは1月末。担当者の名前はなく、Kaspersky LabのビジネスモデルがTwitterの広告ビジネス習慣では受け入れがたいものだと判断し、SeurelistやKaspersky Dailyなどを含むKaspersky Labのアカウントに対するプロモツイートの利用を禁じる結論に達したという内容だったという。

しかし、具体的にどのようなビジネスモデルが問題になっているのかは記載がなく、カスペルスキー氏はKaspersky Labのビジネスモデルはサイバーセキュリティ産業共通のもので、理解しがたいとの意を示す。また、通知ではTwitterを利用するユーザーの安全を守り、広告主が価値をもたらすことを期待しているといった記述もみられるが、Kaspersky Labのプロモツイートは新しいサイバーセキュリティ上の脅威から身を守る方法を伝えるものであり、Twitterの広告方針に反するものではないと反論している。

Kaspersky LabではTwitterに説明を求めているが、現在まで具体的な理由は説明されないままだという。カスペルスキー氏はTwitterが政治的圧力などに対処しなくてはならないことを理解できるとしつつ、本件のような決定における透明性を高めるよう求めている。このような問題が一日も早く解決することを期待しているが、もし決定が変更されることになっても今年いっぱいはTwitterへの広告出稿を取りやめ、確保していた予算はインターネット上の検閲と戦うEFFへ寄付するとのことだ。

一方、TwitterもKaspersky Labの広告を禁止したことをReutersやRegisterに認めている。記事で引用されている回答はKaspersky Labへ通知した内容と同じだが、昨年9月に米国土安全保障省(DHS)がKaspersky Lab製品を米政府の情報システムに対する脅威としたことに呼応するものだとも述べているようだ。しかし、DHSからKaspersky Lab製品が脅威になることを示す確かな証拠は示されていない。Kaspersky Lab側は一貫して否定しており、昨年12月にはDHSを提訴している。

すべて読む | セキュリティセクション | 検閲 | セキュリティ | Twitter | 政治 | 広告 | アメリカ合衆国 |

関連ストーリー:
Togetter上のまとめを転載していたまとめサイト、Togetterからの指摘に対しTogetterをブロック 2018年04月20日
Twitter、6月20日に予定していたUser Streams APIの廃止を延期へ 2018年04月11日
MIT、「Twitterでは嘘は真実よりも速く拡散される」との研究結果を発表 2018年03月14日
米連邦地裁判事曰く、米大統領は気に入らないTwitterユーザーをブロックせず、ミュートすればいい 2018年03月11日
カスペルスキー、米国土安全保障省を提訴 2017年12月24日
カスペルスキー氏、ワシントンで証言へ 2017年09月17日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日

AmazonのDNSトラフィック乗っ取り、仮想通貨盗まれる被害

ITmedia(セキュリティ) - 2018/04/25(水) 09:00

AWSのクラウドベースのDNSサービスである「Route 53」のDNSトラフィックが何者かに乗っ取られ、「MyEtherWallet.com」のユーザーが仮想通貨を盗まれる事件が発生した。

マイナンバーと健康保険システムを連携させマイナンバーカードを保険証がわりに利用する計画

slashdot(security) - 2018/04/24(火) 17:07

2020年度よりマイナンバーカードを健康保険証がわりに利用できるようにすることを厚生労働省が明らかにしたという(時事通信)。

診療報酬の審査業務を行う「社会保険診療報酬支払基金」のシステムを利用し、保険運営者にマイナンバーと保険証番号を紐付けて登録してもらう。医療機関はこのシステムに問い合わせを行なって保険情報を照会できるようにするという。

すべて読む | セキュリティセクション | セキュリティ | YRO | IT | 政府 | プライバシ |

関連ストーリー:
「IDとパスワードだけでオンラインで確定申告可能に」という話、スマホからの利用ではマイナンバーカードが必要に? 2017年11月06日
マイナンバーカードに公共施設利用カード機能を付加するマイキープラットフォーム 2017年09月29日
マイナンバーカードでチケット転売防止、ぴあが導入へ 2017年07月13日
マイナンバーのポータルサイトでJavaが必須となった理由 2017年01月26日
マイナンバーカード、保険証や図書館カードに利用拡大へ 2017年01月06日

ハッキングなどの情報を提供していたサイト 「Wizard Bible」、検察からの圧力で閉鎖

slashdot(security) - 2018/04/24(火) 14:58

ハッキングなどに関する技術情報を提供していたWebサイト「Wizard Bible」が、4月22付で閉鎖した。Wizard Bibleは2003年にスタートしたWebマガジンで、主催のIPUSIRON氏だけでなく、複数のエンジニア・研究者などがセキュリティやハッキングなどに関連する記事を寄稿していた。

同サイトの告知によると、閉鎖の理由一部の記事が「不正指令電磁的記録提供」に該当すると判断され、検察から閉鎖を要求されたという(現在これらの説明は削除済み)。「問題のある記事が投稿された場合、記事の内容を改めたとしても、投稿者のPC内のそのファイルが存在するのでアウト。通報しなければならない」「アンダーグラウンドな内容を含むWizard Bibleを続けることは反省が足りない」などとされたという(eagle0wl氏のブログ)。

また、2017年にフィッシングサイトを開設した高校生が逮捕されるという事案があったが(河北新報)、この高校生がWizard Bibleに寄稿していたという話もあるようだ。

この事件を受けて、セキュリティ研究者の高木浩光氏は「本件は別にしても、不正指令電磁的記録の罪については、このところ妥当性を欠く検挙例の話が聞こえてきており、いよいよ放置できない段階に来た」とコメントしている。

すべて読む | セキュリティセクション | 検閲 | テクノロジー | セキュリティ |

関連ストーリー:
ハッカーをライセンス制にするシンガポールのサイバーセキュリティ法案 2017年07月15日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
クレジットカードのセキュリティコードを数秒で割り出せるシステム 2016年12月08日

Info: RSS「ITmedia NEWS 社会とIT」終了のお知らせ

ITmedia(ITと社会) - 2018/04/24(火) 10:00

RSS「ITmedia NEWS 社会とIT」のご利用ありがとうございました。本RSSは4月末をもって配信停止となります。最新のRSS一覧はこちらのリンクから確認できますので、ぜひご利用ください。

IEに未解決の脆弱性、APT攻撃に利用 最新バージョンにも影響

ITmedia(セキュリティ) - 2018/04/24(火) 09:50

脆弱性はIEのエンジンに存在すると思われ、不正なWebページを仕込んだOffice文書を送り付ける手口が使われているという。

ヤフーがパスワードの定期変更求める記載削除へ 総務省も「安全なもの」前提呼びかけ

ITmedia(セキュリティ) - 2018/04/24(火) 07:35

ヤフーが、Yahoo! IDのパスワードについて、「定期的に変更いただくことをおすすめします」との注意喚起を近く削除する方針であることが分かった。

Kaspersky、Twitterの広告禁止に抗議の公開書簡

ITmedia(セキュリティ) - 2018/04/23(月) 10:30

KasperskyはTwitterから広告禁止を通知されたことについて、「Twitter自らが掲げる表現の自由の原則と矛盾する」と反発している。

GoogleのChromeウェブストアに偽の広告ブロッカー、約2000万人がダウンロード

ITmedia(セキュリティ) - 2018/04/20(金) 09:45

偽ブロッカーの作者は検索結果の上位に来るような用語をちりばめて、ユーザーがインストールするよう仕向けていたという。

Oracleの四半期パッチ公開、データベースやJavaなどの脆弱性に対処

ITmedia(セキュリティ) - 2018/04/19(木) 10:00

今回の定例パッチでは計254件の脆弱性を修正した。Database Server、Fusion Middleware、Java SE、MySQL、Oracle Virtualizationなど多数の製品が対象となる。

犯罪に悪用、ベトナム人口座が狙われる理由とは

ITmedia(セキュリティ) - 2018/04/19(木) 07:21

ベトナム人の銀行口座が、特殊詐欺やマネーロンダリングのツールとして存在感を増している。留学生や技能実習生として来日し、国内の金融機関で開設したものが犯罪集団に流出しているとみられる。

Microsoftなど34社が「セキュリティ協定」、国家によるサイバー攻撃支援せず

ITmedia(セキュリティ) - 2018/04/18(水) 11:15

「攻撃の動機に関係なく、世界の全てのユーザーを守る」「政府が仕掛けるサイバー攻撃は支援しない」などの基本原則を打ち出した。

社会運動・市民運動サイトからの情報

コンテンツ配信