slashdot(security)

コンテンツ配信 スラド: セキュリティ
アレゲなニュースと雑談サイト
最終更新: 23週 3日前

旅行関連サイトの多くが弱いパスワードを許可しているとの調査結果

2018/05/06(日) 17:29
パスワードマネージャーサービスのDashlaneは2日、旅行関連企業55社のWebサイトを対象に、パスワードの安全性を調べた「2018 Travel Website Password Power Ranking」を発表した(Dashlane Blogの記事BetaNewsの記事)。

評価は1)パスワード長8文字以上が必須、2)数字とアルファベットを組み合わせたパスワードが必須、3)設定画面でパスワード強度判定機能を提供、4)アカウント作成確認の電子メールを送信、5)2要素認証を提供、の5項目について各1点、5点満点で判定される。55社には航空会社やホテル、旅行代理店、クルーズ会社などが含まれる。

結果としては、5点満点を獲得したのはAirbnbのみ。Hawaiian AirlinesとHilton、Marriott、Royal Caribbean、United Airlinesが4点で続く。合格ラインの4点以上を獲得したのは11%にとどまり、89%が水準以下となっている。項目別では大半の49サイトが確認メールを送信しているのに対し、2要素認証を提供するのは2サイト、パスワード強度判定機能を提供するのは10サイトにとどまる。

一方、23サイトが8文字未満の弱いパスワードを許可しており、22サイトが数字のみまたはアルファベットのみの弱いパスワードを許可している。両方を許可しているサイトは14サイト、どちらか一方を許可しているサイトは31サイトに上る。両方を許可している14サイトのトータルスコアはすべて0~1点であり、0~2点の29サイト中28サイトが少なくとも一方を許可している。トータルスコア3点を獲得した20サイト中17サイトは弱いパスワードの使用をいずれも認めていないが、Booking.comとHertz、Skyscannerは数字のみ/アルファベットのみのパスワードを許可している。

同社がコンシューマー向けおよびビジネス向けWebサイトを対象に昨年実施した「2017 Password Power Rankings」や暗号通貨取引所のWebサイトを対象に今年実施した「Cryptocurrency Exchange Password Power Rankings」と比較して旅行関連サイトでは水準以下のサイトが多いと説明しているが、前者の合格ラインは3点以上、後者の合格ラインは5点以上。また、前者は4番目の評価項目が10回以上パスワードを誤入力した際にロックアウトなどの措置をとるかどうかとなっているが、これらの違いについては説明されていない。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
「英単語の一部を規則的に記号に置き換えたパスワード」は安全ではない 2018年04月10日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日
英GCHQ、複雑すぎるパスワードの使用中止を推奨 2015年09月22日
英大手ECサイトの66%が単純なパスワードの使用を許可している 2014年03月15日
生パスワードを平文メールで送ってくる企業 2010年11月10日

Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す

2018/05/04(金) 15:30
minet 曰く、

Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事ITmedia Newsの記事)。

Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。

データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。

Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるようにすることを推奨している。ちなみに、今年は5月3日がWorld Password Dayだった。

すべて読む | セキュリティセクション | セキュリティ | Twitter | 暗号 |

関連ストーリー:
Twitter、「Facebookの個人情報を不正入手していた企業」にデータを提供していたことを発表 2018年05月02日
Twitter、カスペルスキーの広告を拒否。同社は具体的な理由を説明しないTwitterを批判 2018年04月25日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日
macOS High Sierraで外部APFS暗号化ボリュームのパスワードが平文でログに記録される問題 2018年03月31日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
GitHubで「remove password」というコミットを検索するとパスワードらしきものが大量に見つかる 2017年02月17日
Google、Chromeでパスワードを平文で確認できることに対し「アカウントにアクセスされた時点で負け」と主張 2013年08月09日
生パスワードを平文メールで送ってくる企業 2010年11月10日

元NSAハッカーが開発したEvil Maid攻撃対策ツール「Do Not Disturb」

2018/05/03(木) 07:00
headless曰く、

元米国家安全保障局(NSA)ハッカーのパトリック・ウォードル氏が、「Evil Maid」攻撃からMac(Book)を守るというセキュリティツール「Do Not Disturb」を公開している(公式ページSoftpediaHackReadWIRED)。

Evil Maid攻撃はホテル宿泊者が外出したすきに、女性の客室係(maid)に化けたスパイが部屋に侵入してノートPCからデータを盗み出したり、スパイウェアを仕込んだりするといったものだ。Do Not Disturbという名称もこれにちなんだもののようで、アイコンもホテルで客室係が入ってこないようドアノブにかける札を模したデザインになっている。

Do Not DisturbではMacBookのディスプレイを開いた時のイベントをトリガーにして処理を開始する。実行できる処理としては、ディスプレイへの警告表示や、攻撃者の行動記録、指定した処理の実行など。iOS用のコンパニオンアプリを使用するとiOSデバイスで警告やMacBookのカメラで撮影した写真を受信したり、リモートからシャットダウンしたりといった処理も可能になる。

Mac用のDo Not Disturb本体は無料で使用でき、ソースコードも公開されている。一方、iOS用のコンパニオンアプリはApp Storeから無料で入手できるが、1週間の試用期間以降はサブスクリプションが必要だ。なお、iOSアプリは最近ウォードル氏が友人と共同設立したDigita Securityが開発したもので、ユーザーガイドなどは同社Webサイトで公開されている。今後は電源やUSB接続といったイベントを警告するなど、監視と検出機能を強化していきたいとのこと。

現在、ウォードル氏はセキュリティ企業Synackの主席セキュリティ研究者を務めており、各地のセキュリティカンファレンスに出席する機会が多い。移動中は機密情報をすべて除いた使い捨ててもいいPCを使用しているそうだが、昨年モスクワで食事をした女性から元ロシア外務省職員だと聞かされ、ホテルの部屋に置いてきたPCが心配になったという。実際に何者かがアクセスした形跡もマルウェアも見つからなかったが、この出来事がきっかけでEvil Maid攻撃のことを考えずにはいられなくなったとのことだ。

ちなみに、エドワード・スノーデン氏もFreedom of the Press FoundationのGuardian Projectと協力して、Evil Maid攻撃対策アプリ「Haven」のベータ版を昨年12月にGoogle Playで公開している。こちらはアプリをインストールしたAndroid端末をノートPCの上に乗せて使用する。侵入者がノートPCにアクセスしようとすると、Android端末の各種センサーが感知して音声や画像を記録するほか、別の端末にテキストメッセージで通知することも可能だ。

すべて読む | モバイルセクション | セキュリティ | ソフトウェア | ノートPC |

関連ストーリー:
岡山県玉野市全市民の個人情報入りパソコン、東京の委託先業者が紛失 2012年12月08日
キーボードから発せられる電磁波で入力されたキーを傍受する 2008年10月22日
ファイルの暗号化は単体では完璧なソリューションではない 2008年07月22日
保守用パソコン盗難でPHSの位置情報流出の危機 2004年09月22日

Gmail大幅刷新

2018/04/29(日) 11:42
Googleは25日、Gmailの大幅刷新を発表した(The Keywordブログの記事GmailヘルプThe Vergeの記事The Guardianの記事)。

Web版の新Gmailではメッセージをポイントするだけで操作アイコンが表示されるようになっており、メッセージを開いたり選択したりせずに各種操作が実行できる。添付ファイルもメッセージを開かずに直接表示できるようになっている。新たに追加された「スヌーズ」機能を使用するとメッセージが「スヌーズ中」フォルダーに移動し、指定期間を過ぎると受信トレイに戻る。

また、受信したメッセージの内容に応じて提案される応答候補から選択して返信できる「スマートリプライ」機能や、メッセージの送信相手が印刷や転送、コピーなどをできないようにし、有効期限も設定できる「Confidential」モード、未返信メッセージなどにリマインダーを表示する機能、サイドバーからGoogleカレンダーやKeepなどを表示する機能も追加されている。このほか、リスクの高いメッセージに警告を表示する機能も追加されたとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | IT |

関連ストーリー:
自分のGmailアカウントが突然スパムを送信しだしたという報告が相次ぐ 2018年04月26日
Gmail、メール内容に合わせた広告の表示を廃止へ 2017年06月25日
Gmail、拡張子が「.js」のファイルの添付を禁止へ 2017年01月27日
Gmailのエイプリルフール機能、うっかり使ってしまったビジネスユーザーから多数の抗議  2016年04月04日
Gmail、暗号化されていない経路で受信したメールに警告を表示へ 2015年11月17日
Gmail、メール送信直後の取り消し機能を正式版に 2015年06月24日
読み終えると消える電子メール 2015年05月07日
Google、新メールアプリ「Inbox」を発表 2014年10月24日
Gmailが非ラテン文字のメールアドレスに対応 2014年08月06日
Gmailに「配信停止」機能登場 2014年02月28日

AmazonのDNSサービスを狙ったBGPハイジャッキング攻撃が発生

2018/04/27(金) 17:17

Amazonが提供するDNSサービス「Route 53」を狙った攻撃により、仮想通貨管理サービス「MyEtherWallet.com」の利用者が偽サイトに誘導され、仮想通貨管理に利用する秘密鍵などの情報が盗み取られる被害が発生した(ITmediaZDNet)。

今回使われたのは「BGPハイジャッキング」とよばれる手法。インターネットではBGPと呼ばれるプロトコルを使って通信経路情報をやり取りしている。ここでやり取りされた経路情報に基づいて通信パケットを最適なネットワークに転送するのだが、今回は不正な通信経路情報を流すことでRoute 53向けの通信を別のサーバー(偽DNSサーバー)に転送していた。

orangeitems’s diaryによると、MyEtherWallet.comは権威DNSサーバーとしてRoute 53のDNSサーバーを指定していたようだ。そのためMyEtherWallet.comの名前解決のために問い合わせを行ったDNSサーバーの通信パケットが偽DNSサーバーに誘導され、その結果各DNSサーバーが不正なIPアドレスを返すようになっていたという。

今回のような攻撃ではRoute 53自体やユーザーがアクセスするDNSサービス自体が直接第三者に攻撃されて乗っ取られたわけではないため、ユーザー側での対処は困難となっている。今回の件では偽サイトにアクセスした際にWebブラウザがSSL証明書エラーを表示したようだが、これを無視してアクセスを行ったユーザーが被害に遭っているようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー:
8月25日に全国で発生したネットワーク不具合、原因はGoogleの誤設定 2017年08月28日
BGPハイジャックでビットコインの採掘結果を奪う攻撃、攻撃者は83,000ドル以上の利益を得る 2014年08月11日
Google Public DNS(8.8.8.8)がBGPハイジャックされる 2014年03月19日
NTT東エリアでぷららが一時接続障害、DNSトラブルが原因? 2018年05月07日

自分のGmailアカウントが突然スパムを送信しだしたという報告が相次ぐ

2018/04/26(木) 18:57
headless曰く、

日本時間4月22日ごろ、自分のアカウントが突然スパムを送信し始めたとの報告がGmailユーザーから相次いだ(Mashable9to5GoogleSlashGearThe Verge)。

スパムの送信元が偽装されているケースはよくあるが、報告によると問題のスパムは「送信済みメール」フォルダーに格納されていたようだ。パスワードをリセットして二要素認証を有効にしてもスパム送信は止まらなかったという報告や、アクセス履歴を確認しても外部からアクセスされた様子はなかったとの報告もみられる。

Googleによれば、問題のスパムは受信者自らが送ったようにヘッダーが偽装されているもので、誤って送信済みメールとして区分されたのだという。今回の件でアカウントへの不正アクセスはなかったとGoogleはみており、該当するメッセージを特定してスパムに区分し直したとのこと。

また、スパムがtelus.com経由で送信されていたとの報告も数多い。このドメインを所有するカナダの通信会社TELUSでは、スパムは同社が生成したものでも同社のサーバーから送信されたものでもないことを確認したと説明しているとのことだ。

すべて読む | ITセクション | Google | セキュリティ | spam | IT |

関連ストーリー:
サイバーセキュリティの強化後、全国の自治体でメールや申請書類が届かないトラブルが発生 2018年01月15日
警視庁、ボットネットに侵入して迷惑メールの送信を検知する監視システムを運用開始 2016年11月10日
携帯キャリア、携帯Eメールに関する申告情報をキャリア間で共有へ 2016年09月09日
楽天の偽サイトが多数登場、偽装スパムも増加中 2015年02月16日
緊急地震速報を装った迷惑メールに気象庁が注意喚起 2014年09月30日
Gmail大幅刷新 2018年04月29日

Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に

2018/04/25(水) 17:06
あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている(MBSDJPCERT/CC)。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている(Ars TechnicaNetlab 360Slashdot)。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの(knqyf263's blog)。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

すべて読む | セキュリティセクション | セキュリティ | PHP |

関連ストーリー:
コレガの無線LANルーター「CG-WGR1200」に脆弱性、対策の予定なし 2018年03月13日
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 2018年01月04日
GNOMEのファイルマネージャーで任意のVBScriptコードを実行可能なバグ「Bad Taste」 2017年07月22日
被害が急増しているランサムウェア「WannaCrypt」は感染して数分で他のマシンに広まる 2017年05月17日

Twitter、カスペルスキーの広告を拒否。同社は具体的な理由を説明しないTwitterを批判

2018/04/25(水) 13:45
headless曰く、

Twitterが具体的な理由の説明なくKaspersky Labの公式アカウントや関連アカウントにプロモツイートの利用を禁じたとして、ユージン・カスペルスキー氏がTwitter CEOのジャック・ドーシー氏と幹部にあてた公開書状をブログに掲載している(Kaspersky Lab公式ブログRegisterReutersBetaNews)。

Kaspersky LabがTwitterから通知を受けたのは1月末。担当者の名前はなく、Kaspersky LabのビジネスモデルがTwitterの広告ビジネス習慣では受け入れがたいものだと判断し、SeurelistやKaspersky Dailyなどを含むKaspersky Labのアカウントに対するプロモツイートの利用を禁じる結論に達したという内容だったという。

しかし、具体的にどのようなビジネスモデルが問題になっているのかは記載がなく、カスペルスキー氏はKaspersky Labのビジネスモデルはサイバーセキュリティ産業共通のもので、理解しがたいとの意を示す。また、通知ではTwitterを利用するユーザーの安全を守り、広告主が価値をもたらすことを期待しているといった記述もみられるが、Kaspersky Labのプロモツイートは新しいサイバーセキュリティ上の脅威から身を守る方法を伝えるものであり、Twitterの広告方針に反するものではないと反論している。

Kaspersky LabではTwitterに説明を求めているが、現在まで具体的な理由は説明されないままだという。カスペルスキー氏はTwitterが政治的圧力などに対処しなくてはならないことを理解できるとしつつ、本件のような決定における透明性を高めるよう求めている。このような問題が一日も早く解決することを期待しているが、もし決定が変更されることになっても今年いっぱいはTwitterへの広告出稿を取りやめ、確保していた予算はインターネット上の検閲と戦うEFFへ寄付するとのことだ。

一方、TwitterもKaspersky Labの広告を禁止したことをReutersやRegisterに認めている。記事で引用されている回答はKaspersky Labへ通知した内容と同じだが、昨年9月に米国土安全保障省(DHS)がKaspersky Lab製品を米政府の情報システムに対する脅威としたことに呼応するものだとも述べているようだ。しかし、DHSからKaspersky Lab製品が脅威になることを示す確かな証拠は示されていない。Kaspersky Lab側は一貫して否定しており、昨年12月にはDHSを提訴している。

すべて読む | セキュリティセクション | 検閲 | セキュリティ | Twitter | 政治 | 広告 | アメリカ合衆国 |

関連ストーリー:
Togetter上のまとめを転載していたまとめサイト、Togetterからの指摘に対しTogetterをブロック 2018年04月20日
Twitter、6月20日に予定していたUser Streams APIの廃止を延期へ 2018年04月11日
MIT、「Twitterでは嘘は真実よりも速く拡散される」との研究結果を発表 2018年03月14日
米連邦地裁判事曰く、米大統領は気に入らないTwitterユーザーをブロックせず、ミュートすればいい 2018年03月11日
カスペルスキー、米国土安全保障省を提訴 2017年12月24日
カスペルスキー氏、ワシントンで証言へ 2017年09月17日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日

マイナンバーと健康保険システムを連携させマイナンバーカードを保険証がわりに利用する計画

2018/04/24(火) 17:07

2020年度よりマイナンバーカードを健康保険証がわりに利用できるようにすることを厚生労働省が明らかにしたという(時事通信)。

診療報酬の審査業務を行う「社会保険診療報酬支払基金」のシステムを利用し、保険運営者にマイナンバーと保険証番号を紐付けて登録してもらう。医療機関はこのシステムに問い合わせを行なって保険情報を照会できるようにするという。

すべて読む | セキュリティセクション | セキュリティ | YRO | IT | 政府 | プライバシ |

関連ストーリー:
「IDとパスワードだけでオンラインで確定申告可能に」という話、スマホからの利用ではマイナンバーカードが必要に? 2017年11月06日
マイナンバーカードに公共施設利用カード機能を付加するマイキープラットフォーム 2017年09月29日
マイナンバーカードでチケット転売防止、ぴあが導入へ 2017年07月13日
マイナンバーのポータルサイトでJavaが必須となった理由 2017年01月26日
マイナンバーカード、保険証や図書館カードに利用拡大へ 2017年01月06日

ハッキングなどの情報を提供していたサイト 「Wizard Bible」、検察からの圧力で閉鎖

2018/04/24(火) 14:58

ハッキングなどに関する技術情報を提供していたWebサイト「Wizard Bible」が、4月22付で閉鎖した。Wizard Bibleは2003年にスタートしたWebマガジンで、主催のIPUSIRON氏だけでなく、複数のエンジニア・研究者などがセキュリティやハッキングなどに関連する記事を寄稿していた。

同サイトの告知によると、閉鎖の理由一部の記事が「不正指令電磁的記録提供」に該当すると判断され、検察から閉鎖を要求されたという(現在これらの説明は削除済み)。「問題のある記事が投稿された場合、記事の内容を改めたとしても、投稿者のPC内のそのファイルが存在するのでアウト。通報しなければならない」「アンダーグラウンドな内容を含むWizard Bibleを続けることは反省が足りない」などとされたという(eagle0wl氏のブログ)。

また、2017年にフィッシングサイトを開設した高校生が逮捕されるという事案があったが(河北新報)、この高校生がWizard Bibleに寄稿していたという話もあるようだ。

この事件を受けて、セキュリティ研究者の高木浩光氏は「本件は別にしても、不正指令電磁的記録の罪については、このところ妥当性を欠く検挙例の話が聞こえてきており、いよいよ放置できない段階に来た」とコメントしている。

すべて読む | セキュリティセクション | 検閲 | テクノロジー | セキュリティ |

関連ストーリー:
ハッカーをライセンス制にするシンガポールのサイバーセキュリティ法案 2017年07月15日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
クレジットカードのセキュリティコードを数秒で割り出せるシステム 2016年12月08日

社会運動・市民運動サイトからの情報