slashdot(security)

コンテンツ配信 スラド: セキュリティ
アレゲなニュースと雑談サイト
最終更新: 13週 11時間前

水産庁、ミサイル発射を漁業無線で自動的に漁船に通知するシステムを導入へ

2017/09/12(火) 15:41
あるAnonymous Coward曰く、

水産庁が、漁船に対し自動でミサイル発射を無線で通知するシステムを導入するという(時事通信TBSFNN琉球新報)。

導入されるのは、内閣官房からミサイル発射情報が発信された場合、それを漁業無線局が自動で音声化して通知するというものだそうだ。

無論ミサイルには弾道弾だけでなく、誤動作で漁船に命中しかねない対艦ミサイルもある。漁民・船員を守る為の船舶用ミサイル警報装置に反対はできまいが、コストエフェクティブかどうかは検討の余地があると思う。

すべて読む | セキュリティセクション | セキュリティ | 通信 |

関連ストーリー:
日本政府が高出力レーザーによるミサイル迎撃システムを検討中との報道 2017年09月04日
全国瞬時警報システム(Jアラート)はSIMフリー端末などでは受信できない 2017年09月01日
北朝鮮がミサイルを発射、北海道上空を通過 2017年08月29日

米大手量販店Best Buy、Kaspersky製品の取り扱いを中止

2017/09/12(火) 15:10
headless曰く、

米大手量販店Best BuyがKaspersky Lab製品の取り扱いをすべて中止したそうだ(Star TribuneWindows CentralThe RegisterNeowin)。

米国ではKaspersky Labがロシア政府の影響を受ける可能性があるとして、政府機関でのKaspersky製品排除の動きが進んでいる。2018年国防授権法(NDAA)案には国防省でKaspersky製品の使用を禁ずる条項が盛り込まれており、8月下旬には連邦捜査局(FBI)が米企業にKaspersky製品を使用しないよう要請していることも報じられている。

Star Tribuneによると、Best BuyはKaspersky製品の取り扱いを中止したことを認めたのみで、理由等については回答していないという。ただし、今回の決定に詳しい情報提供者によれば、Best Buyは自ら調査を行ったわけではないが、不明な点があまりにも多いため取り扱い中止の決定を下したとのこと。

10日時点では、Best BuyのWebサイト「kaspersky」の検索結果は0件であり、GoogleでBest BuyのWebサイトを検索した場合、検索結果に表示される製品ページは削除されているか、品切れとなっているようだ。

なお、Best Buyで購入したKaspersky製品がサブスクリプション期間内の場合は今後45日間無料で他社製品への交換を行うとStar Tribuneは述べているが、Best BuyのWebサイトにそのような告知は見当たらない。また、この件に関連するフォーラムでの質問に対しても、Best Buyからの回答はまだない。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | ソフトウェア | アメリカ合衆国 |

関連ストーリー:
Kaspersky Lab、同社を訴えたパテントトロールに5千ドルを支払わせる 2017年09月02日
FBIが米企業にKaspersky製品の使用をやめるよう要請しているとの報道 2017年08月26日
AV-TESTによる家庭向けPCセキュリティ製品耐久テスト、1位はKaspersky 2017年08月25日
ロシアKasperskyとロシア当局がつながっている疑惑、米国が一部政府機関での導入を禁止へ 2017年07月08日

総務省、ネット上のIoT機器全調査を行うと発表

2017/09/11(月) 15:20

総務省がIoT機器に関する脆弱性調査等を実施するとのこと(総務省の発表朝日新聞)。

朝日新聞の記事によると、総務省は一般社団法人ICT-ISACや横浜国立大学と連携し、「国内で動作している全てのIoT機器に接続を試みる」という。問題が発見された場合は、所有者等に対し注意喚起を行うという。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 政府 |

関連ストーリー:
IoTが引き起こす問題は誰が責任を負うべきか 2017年09月01日
自宅に設置したネットワークカメラがサイバー攻撃されて乗っ取られるトラブルが発生? 2017年08月15日
米上院でIoTデバイスのセキュリティ対策を求める法案が提出される 2017年08月10日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは

2017/09/10(日) 19:17
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事TALOS-2017-0306The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | インターネット |

関連ストーリー:
NTLM関連の新たな脆弱性が見つかる 2017年07月16日
Windows 7/8.1をWebページから停止させることも可能なNTFSのバグ 2017年05月28日
Microsoft Edgeの同一生成元ポリシーを迂回可能なバグ 2017年05月18日
Windows 10のディスククリーンアップ自動実行機能を利用してUACをバイパスする方法 2016年07月28日
セキュリティ企業が開発したChromiumベースの「セキュアな」Webブラウザに脆弱性 2016年02月06日
Microsoft、発見者に125,000ドルの賞金を支払ったバグを修正せず 2015年06月25日
Internet Explorer 6~9に修正予定がない脆弱性 2013年06月11日

超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃

2017/09/10(日) 11:45
20kHz以上の超音波を用い、人の耳に聞こえないボイスコマンドでデジタルアシスタントデバイスを操作して攻撃する研究の成果を中国・浙江大学の研究チームが発表した(論文: PDFThe Vergeの記事BetaNewsの記事The Registerの記事)。

オーディオ機能をサポートする多くのデバイスではLPFにより20kHz以上の周波数帯域がカットされることから、超音波での操作は困難と考えられていた。超音波をデバイスが受信できるとしても、実際の人の声と異なる信号をコマンドとして認識できるのか、ユーザーの声を識別するデバイスをアクティベートできるのかといった点も問題となる。

「DolphinAttack」と名付けられた攻撃では、周波数20kHz以上のキャリア信号をボイスコマンドの音声信号でAM変調した信号を用いる。この信号を超音波スピーカーから出力してデバイスのマイクに入力すると、アナログ回路の非直線性によりADCへ入力するまでに元の音声信号が復調されてしまうのだという。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | IT |

関連ストーリー:
CortanaとAlexaが相互通信可能に 2017年09月05日
米バーガーキングの「Ok Google」広告、カンヌライオンズDirect部門でグランプリを獲得 2017年06月24日
Google Play、可聴域外の音声ビーコンをユーザーに無断で使用するアプリを公開停止 2017年05月30日
米バーガーキングが「OK Google」と話しかけるTVCMを放映、Google的にはNG 2017年04月14日
Google Home、TVCMの「OK、Google」という声に一斉に反応 2017年02月08日
Amazon Echo、子供からの音楽再生リクエストに対し卑猥な単語を読み上げる 2017年01月10日
PCの冷却ファンのノイズを利用してエアギャップ環境からデータを盗み出す「Fansmitter」 2016年07月03日
米連邦取引委員会、音声ビーコンでユーザーを追跡する機能のSDKを組み込んだアプリの開発者に警告 2016年03月21日
可聴域外の音を使用したビーコンを使って複数のデバイスにわたってユーザーを追跡する技術 2015年11月25日
オーディオ信号にデータを乗せる「音響OFDM」開発 2006年04月13日

AT&TのISP向けモデムに深刻な脆弱性が発見される

2017/09/07(木) 06:00
taraiok曰く、

AT&TのISP向けに配布されているArris製のホームモデム、ルータなどで悪用可能な脆弱性が発見された。この脆弱性は情報セキュリティコンサルティング会社のNomotionが発見したものだという。公開された五つの欠陥のうち最も深刻なものは、NVG589とNVG599モデムとファームウェアバージョン9.2.2h0d83の組み合わせ(threatpostFierceTelecomSlashdot)。

発見された脆弱性を悪用すれば、リモートハッカーがSSH経由でデバイスに簡単にアクセスでき、無線LANのSSIDやパスワードの表示・変更、ネットワーク設定の変更、ファームウェアの再フラッシュ、暗号化されていないトラフィックに広告を注入することも可能だとしている。モデムメーカーであるARRISは現在、レポートの内容を検証しているとしている。AT&Tは米国内3位のISPで現在約1400万人の顧客を抱えている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
ZTEのADSLモデム「ZXV10 W300」ではtelnetの認証情報がハードコードされていた 2014年02月06日
スマホに隠されている「第2のOS」がもたらす危険 2013年11月15日
mipsel搭載ルータやモデムを狙い、ボットネット形成するワーム 2009年03月27日

Google、Android 8.0でLinuxカーネルバージョンの最低要件を設定

2017/09/06(水) 14:44
headless曰く、

Android 8.0 Oreo(Android O)ではLinuxカーネルバージョンの最低要件が設けられる(Android Open Source ProjectXDA DevelopersBetaNews)。

これまでOEMは任意のバージョンのLinuxカーネルを使用できていたが、2017年に製品化されたSoCを使用するAndroid OデバイスはLinux 4.4以降、それ以外のSoCを使用する場合はLinux 3.18以降が必須となる。また、Android OではAndroid OSフレームワークとベンダー実装部分を分離してAndroid OSフレームワークの更新を容易にするTrebleが導入されており、Trebleを実装するために必要なカーネルの変更は、すべてのSoCで必要だ。なお、既存のAndroidデバイスをAndroid Oにアップデートする場合は、元のカーネルバージョンを使い続けることも可能となっている。

カーネルバージョンの最低要件チェックはVTSテストおよびOTAアップデート中に実行される。また、カーネルは.configサポートを有効にする必要もある。

すべて読む | Linuxセクション | Linux | セキュリティ | Android |

関連ストーリー:
Googleの謎OS「Andromeda」の正体は「Fuchsia」だった 2017年02月17日
TCP仕様の1つに中間者攻撃可能な脆弱性、Linuxが影響を受ける 2016年08月18日
AndroidのQualcommチップセット向けドライバに脆弱性、多数のAndroid端末に影響 2016年08月10日
Androidで新たな脆弱性が多数発見される 2015年08月13日

ペースメーカーの脆弱性を修正するファームウェア更新が提供される

2017/09/03(日) 13:37
Abbott(St. Jude Medical)の植え込み型心臓ペースメーカーに外部からの不正アクセスが可能な脆弱性が発見されたとして、米食品医薬品局(FDA)がファームウェア更新のためのリコールを発表した(FDAの発表AbbottのプレスリリースThe Vergeの記事Consumeristの記事)。

この脆弱性を悪用すると、市販の機器を用いて患者のペースメーカーに不正アクセスが可能になる。これにより、バッテリー消費を増加させたり、不適切なペーシングを実行させたりといった攻撃が実行される可能性がある。

対象となるのは無線テレメトリー機能を搭載したSt. Jude Medicalブランドの植え込み型心臓ペースメーカーおよび心臓再同期療法ペースメーカー(CRT-P)で、米国では465,000台が使われているという。なお、植え込み型心臓除細動器(ICD)および心臓再同期療法ICD(CRT-D)は対象外となる。

ファームウェアの更新は医療機関で行う必要があり、所要時間は3分ほど。この間ペースメーカーはバックアップモードで動作(67BPM)し、生命維持機能は引き続き利用できる。更新が完了すると以前の設定で動作が再開される。更新が失敗する可能性は非常に低く、文鎮化の確率は0.003%とのことだ。

すべて読む | セキュリティセクション | セキュリティ | バグ | 医療 |

関連ストーリー:
2014年内に史上初の「オンライン殺人」が起こる? 2014年10月10日
チェイニー元米副大統領、テロリストからの攻撃を懸念して植え込み型除細動器の無線機能を無効化していた 2013年10月20日
ペースメーカーをハッキングして過電圧を与えることができる脆弱性 2012年10月22日
インターネット接続型無線心臓ペースメーカー、初の装着試験開始 2009年08月13日
通信機能を備えた心臓ペースメーカー、クラックされる可能性あり 2008年07月20日

WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される

2017/09/03(日) 11:44
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事V3の記事The Vergeの記事The Guardianの記事)。

ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。

この件について、ジュリアン・アサンジ氏WikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 情報漏洩 |

関連ストーリー:
米政府機関をターゲットにしたCIAのハッキングツール「ExpressLane」 2017年08月26日
ターゲットPCへの物理的なアクセスの証拠を消すCIAのツール「Dumbo」 2017年08月06日
LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 2017年07月04日
CIA、独自のマルウェアを使ってターゲットの位置を追跡していた 2017年07月04日
特定ユーザーが共有フォルダから実行ファイルをコピーした場合のみマルウェアに置き換えるCIAのツール 2017年06月07日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日
CIAのハッキング技術公開で企業が得た教訓:暗号化はやはり重要 2017年03月17日
WikiLeaksがCIAのハッキング手口を多数公開 2017年03月11日
ソニーミュージックとボブ・ディランの公式Twitterアカウントが侵入され、ブリトニー・スピアーズ死去との偽情報を投稿 2016年12月31日
著名人のSNSアカウントを次々に乗っ取るOurMine、今度はTechCrunchを攻撃 2016年07月27日
Google CEOのQuoraアカウントが乗っ取られ、連携先のTwitterでツイートが送信される 2016年06月30日
Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた? 2016年06月08日
「インターネットコンテンツセーフティ協会」設立、児童ポルノのブロッキング開始へ 2011年03月04日
静岡県警察、「オレオレ証明書の警告が出たら電話で確認せよ」? 2006年08月07日

Essential、フィッシングメールのような通知を顧客に送り、さらに返信内容を他の顧客へ転送するトラブル

2017/09/02(土) 17:18
初の製品Essential Phone(Essential PH-1)の発送をようやく開始したEssential Productsだが、一部の顧客の個人情報を他の顧客と共有してしまうトラブルが発生し、CEOのアンディ・ルービン氏が謝罪している(Essentialのブログ記事The Vergeの記事[1][2])。

発端はEssential Products Customer Careから一部の注文者に対し、本人確認資料を返信するよう求める電子メールが送られたことだ。内容は支払い情報の不正利用を避けるためとして代替の電子メールアドレスと電話番号、写真入り身分証明書の画像を送るよう求めるもので、フィッシングメールではないかと騒ぎになった。

その後、本当にEssential Productsから送られたものと確認されたが、顧客の返信内容が他の顧客あてにEssentialのZendeskアカウントからCCで転送されていることが判明する。原因はZendeskアカウントの設定ミスでグループメールに設定されていたものとみられ、Customer Careあての電子メールが登録アドレスに転送されていたようだ。

Essentialでは問題のアカウントを無効化したうえで、今後同様のことが発生しないように対策を行ったという。影響を受けた約70人の顧客にはLifeLockの個人情報保護サービスを1年間提供するとのことだ。

すべて読む | セキュリティセクション | YRO | 携帯電話 | idle | Android | 情報漏洩 | プライバシ |

関連ストーリー:
Essential Phone販売開始、Androidバージョンアップデートは2年間提供 2017年08月19日
アンディ・ルービン曰く、Essential Phoneは数週間のうちにお届けできる 2017年07月23日
「Androidの父」によるスマホ「Essential Phone」の現状は? 2017年07月14日
米国でのEssential Phone独占販売キャリア決定に微妙な反応 2017年06月16日
アンディ・ルービンのEssentialに商標問題 2017年06月06日
「Androidの父」によるスマートフォン「Essential Phone」が正式に発表される 2017年06月01日
宮崎県日南市市長、女性市職員へのプライベートなLINEメッセージを市職員グループに誤送信 2017年02月27日
文科省が人事情報をメール誤送信、対策は「今後は紙や口頭でやりとり」 2017年01月12日
iFixit曰く、Essential Phoneを修理しようとすれば壊してしまう可能性が高い 2017年09月08日

Kaspersky Lab、同社を訴えたパテントトロールに5千ドルを支払わせる

2017/09/02(土) 15:25
Kaspersky Labが特許侵害で同社を訴えたパテントトロールWetro Lanに対し、訴訟を取り下げたいなら金を支払えと逆に要求。5千ドルを支払わせたそうだ(Nota Beneの記事Ars Technicaの記事The Registerの記事)。

問題の特許US Patent 6,795,918(918特許)は受信したデータパケットから送信元や宛先、プロトコル情報を抽出してユーザーの変更不可能な判定ブロックを生成し、フィルタリングに使用するというもの。これは出願された2000年には既に広く使われていたネットワークファイアーウォールの仕組みそのもので、EFFが2015年6月にStupid Patent of the Monthに選んでいる。918特許は発明者が維持費の支払いをやめ、2012年9月に失効しているのだが、2015年に設立されたばかりのWetro Lanが買収。特許侵害に対する補償を6年前までさかのぼって請求できるという仕組みを利用し、ファイアーウォール技術を使用する企業を訴え始めたそうだ。多くの企業は訴訟になるのを嫌ってWetro Lanに賠償金を支払っていたらしい。

すべて読む | セキュリティセクション | セキュリティ | YRO | 法廷 | パテント | アメリカ合衆国 |

関連ストーリー:
FBIが米企業にKaspersky製品の使用をやめるよう要請しているとの報道 2017年08月26日
AV-TESTによる家庭向けPCセキュリティ製品耐久テスト、1位はKaspersky 2017年08月25日
マイクロソフトがAVベンダーサポート改善を発表、カスペルスキーは独占禁止法違反の訴えを取り下げへ 2017年08月11日
EFF、食事の栄養情報を記録して今後の計画に役立てるというソフトウェア特許を批判 2017年07月09日
EFF、パテントトロールに特許を売却する米大学を批判 2017年04月07日
パテントトロールの所有する「悪しき特許」に対抗するクラウドファンディングサービス 2016年09月21日
米特許商標庁、ソフトウェアのライセンス認証システムに関する特許を無効と判断 2016年03月31日
任天堂に敗訴したパテントトロールのパテントポートフォリオ、すべて任天堂が取得 2014年01月12日
ホワイトハウス、パテントトロールを規制する法案を発表 2013年06月06日
米バーモント州政府、悪質な「パテントトロール」に対し行政訴訟を行う 2013年05月27日
JPモルガン・チェースがモバイルアプリ関連の特許を取得、早速EFFの「今月のバカ特許」に選ばれる 2017年09月05日
米大手量販店Best Buy、Kaspersky製品の取り扱いを中止 2017年09月12日

バーガーキングロシア、ブロックチェーン技術を使用したロイヤリティプログラムを開始

2017/09/01(金) 15:31
headless曰く、

バーガーキングロシアは25日、「Waves Platform」のブロックチェーン技術を使用したロイヤリティプログラムを発表した(プレスリリースThe VergeWaves PlatformのツイートWaves Community)。

このロイヤリティプログラムでは、ロシアのバーガーキング店舗での支払い1ルーブル(29日の為替レートで1.85円)あたり1ワッパーコインが提供され、1,700ワッパーコインをワッパーバーガー1個と交換できる。バーガーキングロシアではロイヤリティプログラムのために10億ワッパーコインを発行したそうだ。

プログラム開始当初はバーガーキングロシアに電子メールを送信しなければワッパーコインを獲得できないが、近いうちにモバイルアプリをGoogle PlayとiTunes Storeで提供開始する予定だという。

ワッパーコインはワッパーと交換するだけでなく、取引をすることも可能だ。90か国以上で愛されるワッパーは単なるバーガーではなく、投資の手段にもなったとのことだ。

すべて読む | idleセクション | idle | 暗号 | お金 |

関連ストーリー:
米国で電話番号経由でのアカウント乗っ取りが多発、Bitcoin投資家などが被害 2017年08月24日
仮想通貨による株式取引的サービス「VALU」でインサイダー・風説の流布疑惑が発生、数千万円相当を荒稼ぎ 2017年08月16日
仮想通貨を使って資金を集める手法が登場 2017年08月04日

FBIに逮捕された著名ハッカー、裁判費用を募集するも不正な寄付が多く集まりいったん中止に

2017/09/01(金) 08:00
あるAnonymous Coward曰く、

5月に大きく話題になったマルウェア「WannaCry」を無効化する方法を発見したセキュリティ研究者のマーカス・ハッチンス氏が、別のマルウェアに関与した疑いでFBIに逮捕されるという事件が発生した。(過去記事)。氏は単にマルウェアサンプルを入手しようとしていただけという見方もあり、同氏の裁判費用を賄うべくクラウドファンディングで資金調達プロジェクトが立ち上げられていたのだが、そこに寄せられた資金の大半は不正なクレジットカード番号で寄付されていたことが判明したという(BuzzFeed NewsTechCrunchSlashdot)。

弁護士のTor Ekeland氏によると、収集された資金のうち少なくとも15万ドルは不正ものだったそうだ。このため、正当なカード番号のものも含めた寄付金は返却されたという。また、正当な寄付金は約4,900ドルほどだったという。裁判費用についてはマーカス・ハッチンス氏の友人が別の手段で募金を集める計画もあるようだが現時点では何も決まっていないようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー:
WannaCryptの拡散を止めた英国のセキュリティ研究者、別のマルウェアの作者として米国で逮捕 2017年08月05日
米NSA、WannaCryには北朝鮮の諜報機関が関与していると判断 2017年06月20日
ランサムウェア「WannaCrypt」、大流行中 2017年05月15日
「4chan」が資金不足で閉鎖の危機。支援を申し入れた人物は証券詐欺疑惑で逮捕歴のある人物 2016年10月06日

IoTが引き起こす問題は誰が責任を負うべきか

2017/09/01(金) 06:00
taraiok曰く、

周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「The Internet of Hackable Things(PDF)」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフトで70%の機器がパスワードを簡単に解析されてしまう、多くの機器が暗号化されていないネットワークを使用していることなどを指摘している(NETWORKWORLDSlashdot)。

デバイスメーカー側にも責任の一端があると指摘する。開発段階からセキュリティのことを考慮している組織は48%。デバイスのリモートアップデートを提供している企業は49%。IoTのセキュリティ専門家を雇う企業は20%ほどしかいない。またセキュリティ研究者にデバイスの脆弱性を特定する企業は35%しかいない。

著者らは、IoTのセキュリティ問題は技術的なものよりも文化的な側面が大きいとし、人間の理解とアルゴリズムを統合することが解決策に繋がるとしている。セキュリティを一つの課題として扱うのではなく、IoT製品の開発ライフサイクル全体を通してセキュリティを考慮することが必要だとしている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
米上院でIoTデバイスのセキュリティ対策を求める法案が提出される 2017年08月10日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日
ドイツ・テレコムの90万台のルータが狙われたマルウェア感染事件、容疑者が捕まる 2017年03月02日

GnuPG 2.2.0 リリース

2017/08/31(木) 17:01
osdn曰く、

GnuPGのバージョン2.2.0がリリースされました(アナウンスOSDN Magazine)。これは長らくmodern版として開発されてきた2.1系が新たな安定板になったことを意味します。

2.0系は今年いっぱいでサポートが終わるので、ユーザは2.2へ移行する必要があります。

すべて読む | セキュリティセクション | セキュリティ | GNU is Not Unix | 暗号 |

関連ストーリー:
多重署名問題を修正したGnuPG 1.4.7 2007年03月08日
GnuPG 2.0.0リリース 2006年11月14日
GnuPGに署名データ改変の脆弱性 2006年03月11日

ドローンやVR機器で使われる加速度センサやジャイロセンサは超音波で誤動作する

2017/08/29(火) 06:00

昨今ではさまざまな電子機器に搭載されている加速度センサやジャイロセンサには、超音波を照射されると誤動作するという脆弱性があるという(日経ITpro)。

中国アリババ集団のセキュリティ部門であるアリババセキュリティーがセキュリティカンファレンスBlack Hat 2017で実験内容などを発表したもの。加速度センサやジャイロセンサでは極小サイズのバネや重りを使って加速度や角速度を検出するが、これらには超音波を加速度や各速度として検出してしまう問題があるという。これを悪用することで、これらセンサの出力する値を外部から操作できる可能性があるという。

実証実験ではきわめて近距離から超音波を照射しているが、大規模なシステムを構築することでより遠距離から攻撃を行える可能性もあるようだ。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ |

関連ストーリー:
KDDI総研、加速度センサの個体差から固有IDを生成する技術を開発 2016年10月18日
スマートフォンの加速度センサーを使って地震情報を集めるアプリ 2016年02月22日
スマートフォンのジャイロメーターを利用して走行品質の評価を行うUber 2016年01月29日
スマートフォンのジャイロセンサを使って周囲の音声を解析する 2014年10月16日

コードを書かずにAndroidをターゲットにしたランサムウェアを作成できるAndroidアプリ

2017/08/28(月) 14:25
headless曰く、

コードを1行も書くことなく、オプションを指定するだけでAndroidをターゲットにしたランサムウェアを作成できるツールの登場により、モバイルランサムウェアの亜種が多数出回る可能性をSymantecのDinesh Venkatesan氏が指摘し、注意を喚起している(Symantec Security ResponseSoftpedia)。

Venkatesan氏が「Trojan Development Kits(TDK:トロイの木馬開発キット)」と呼ぶツールはAndroid用の無料アプリとしてハッキングフォーラムや、中国で人気のあるメッセージングサービスの広告などを通じて配布されているという。現在のところVenkatesan氏が確認しているのは中国のユーザーを対象にしたTDKのみだが、ローカライズは容易であり、他言語版が出回る可能性が高いとのこと。

TDKの使い方は簡単で、Android端末にインストールして起動してオプションを指定するだけでいい。オプションはランサムメッセージとアンロックコード、アプリアイコン、コードをランダム化するのに使うカスタム演算式、感染したデバイスで表示するアニメーションのみ。あとは「生成」をタップすればAPKが生成されるのだが、初回のみTDKの開発者に料金を支払う必要がある。

生成されるランサムウェアはLockdroidと同様のもので、SYSTEM_ALERT_WINDOWを使用してデバイスをロックし、アンロックコードを入力するまで端末が使用できなくなる。配布方法などはTDKの利用者が用意する必要があるものの、カスタマイズしたランサムウェアを作成できるようになることで、サイバー犯罪への参入が容易になるだけでなく、既存のサイバー犯罪者の効率も向上することになる。

すべて読む | セキュリティセクション | セキュリティ | デベロッパー | Android |

関連ストーリー:
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017年08月16日
コードの文脈を判断して自動的にネット上で公開されているコードを提案する「Codota」 2017年06月22日
Microsoftなどが学習機能を持つ自動プログラミング技術を開発 2017年02月28日

米国で大量のアトランティックサーモンが太平洋側に流出

2017/08/27(日) 11:45
米国・ワシントン州のピュージェット湾内、サイプレス島付近で、養殖業者Cooke Aquacultureが所有する養殖施設から大量のアトランティックサーモンが流出し、太平洋側の在来種への影響が懸念されている(Cooke Aquacultureの発表WDFWのニュースリリースThe Guardianの記事CBC Newsの記事The Seattle Timesの記事)。

養殖場は30年ほど前から使われていたもので、昨年Cooke Aquacultureが購入したという。同社は事故の発生を19日にワシントン州魚類野生生物局(WDFW)に報告し、異例の高潮や潮流により養殖場の構造が破損したと発表している。ただし、米海洋大気庁(NOAA)は19日の潮流について、非常に速かったが特別速かったわけではないと述べており、既に7月下旬には問題が発生していたとも報じられている。

養殖場に囲われていたアトランティックサーモンは305,000匹で、うち4,000~5,000匹が流出したとみられるが、実際の流出数は潮の状態が改善後に養殖場内に残っている数を確認する必要がある。個体は4kg前後であり、食用可能。既にキングサーモンなどパシフィックサーモンの漁で捕獲されているという。WDFWではアトランティックサーモンを侵略的外来種に指定しているが、流出による影響がどの程度のものかはわかっていないようだ。

WDFWは流出したアトランティックサーモンが釣り人により回収されることを期待しており、捕獲したアトランティックサーモンの数を報告するよう釣り人に求めている。漁獲可能なアトランティックサーモンの大きさや数に制限は設けられていないが、パシフィックサーモンやトラウトの漁が許可されている区域に限定し、パシフィックサーモンまたはトラウトの漁獲高が1日の制限に達したら漁を終了するようにとのことだ。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 情報漏洩 |

関連ストーリー:
通常の2倍の速度で成長する「遺伝子組み換えサーモン」が出荷される 2017年08月07日
全国で行われている「錦鯉の放流」が環境に与える問題 2017年05月08日
メダカの遺伝子汚染が拡大、原因は善意の放流か? 2017年04月30日
ロシア、テスト中のロボットが施設から脱走 2016年06月19日
地元住民が自前のブロードバンドサービスを構築した米国・ワシントン州の島 2015年11月03日
カムバックサーモン運動の先駆けとなった札幌の運動が終了 2014年11月04日
消費者庁が食材偽装問題に関するガイドラインを決定、ロブスター→イセエビはNG、ニジマス→サケ弁はOK 2014年03月29日
脱走ペンギン識別番号337 2012年06月15日

米政府機関をターゲットにしたCIAのハッキングツール「ExpressLane」

2017/08/26(土) 13:32
WikiLeaksは24日、米中央情報局(CIA)が他の米政府機関に対して使用していたという「ExpressLane」をVault 7プロジェクトで公開した(Vault 7 — ExpressLaneThe Vergeの記事Softpediaの記事)。

CIAはOffice of Technical Services(OTS)が作成した生体情報収集システム「OTS/i2c」を国家安全保障局(NSA)や国土安全保障省(DHS)、連邦捜査局(FBI)といった連携する政府機関に提供しているという。CIAでは各機関に情報の共有を求めているが、共有を拒否された場合にも情報を確保できるようにするのがExpressLaneの役割だ。

ExpressLaneはOTS/i2cのアップグレードの一部としてOTSの担当者がインストールするが、生体情報収集ソフトウェアが更新されるわけではなく、スプラッシュスクリーンの背後でデータがUSBドライブの隠しパーティションに転送される。ExpressLaneはデフォルトで6か月間の期限が設定されており、期間内にウォーターマークの入ったUSBドライブを接続し、データを回収すれば期限が再設定される。

期間内に担当者が該当のPCにアクセスしなかった場合(拒否された場合を含む)はOTS/i2cが動作しなくなる。この場合、関係機関はCIAに修正を依頼する(CIAは修正するふりをしてデータを回収する)か、システムの使用をやめるかのどちらかを選択することになるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | 政府 |

関連ストーリー:
ターゲットPCへの物理的なアクセスの証拠を消すCIAのツール「Dumbo」 2017年08月06日
LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 2017年07月04日
CIA、独自のマルウェアを使ってターゲットの位置を追跡していた 2017年07月04日
特定ユーザーが共有フォルダから実行ファイルをコピーした場合のみマルウェアに置き換えるCIAのツール 2017年06月07日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日
CIAのハッキング技術公開で企業が得た教訓:暗号化はやはり重要 2017年03月17日
WikiLeaksがCIAのハッキング手口を多数公開 2017年03月11日
WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 2017年09月03日

FBIが米企業にKaspersky製品の使用をやめるよう要請しているとの報道

2017/08/26(土) 06:00
headless曰く、

米連邦捜査局(FBI)が米国の企業に対し、Kaspersky Labの製品を使用しないよう要請しているとCyberScoopが報じている(CyberScoopV3SoftpediaConsumerist)。

要請はエネルギー産業やSCADAなどの産業制御システムを使用する企業を優先して行われており、これらの企業のシステムから可能な限り早くKaspersky製品を排除することや、新製品などでKaspersky製品が使われなくなるようにすることを目標にしているという。

また、Kasperskyと提携する大手テクノロジー企業に対しては、ロシアの情報機関とKasperskyが深い関係にあるといった米情報コミュニティーの見解などを含む脅威の評価を説明しているほか、Kasperskyが偽のマルウェアでライバルを妨害していたといった事実関係の定かでない情報も挙げているそうだ。

こういった要請に対し、産業制御システムを使用する企業などは協力的な姿勢を示している一方、大手テクノロジー企業の反応は鈍いとのこと。

米国では2018年度国防授権法(NDAA)案でロシア政府の影響に対して脆弱であるとして、国防省でKaspersky製品の使用を禁ずる条項が盛り込まれる(PDF)など、Kaspersky製品の排除の動きが進んでいる。

すべて読む | セキュリティセクション | セキュリティ | 政治 | アメリカ合衆国 | 政府 |

関連ストーリー:
AV-TESTによる家庭向けPCセキュリティ製品耐久テスト、1位はKaspersky 2017年08月25日
マイクロソフトがAVベンダーサポート改善を発表、カスペルスキーは独占禁止法違反の訴えを取り下げへ 2017年08月11日
ロシアKasperskyとロシア当局がつながっている疑惑、米国が一部政府機関での導入を禁止へ 2017年07月08日
Kaspersky、ライバルが誤検出するよう妨害工作をしていた? 2015年08月15日
Kaspersky Lab、同社を訴えたパテントトロールに5千ドルを支払わせる 2017年09月02日

社会運動・市民運動サイトからの情報