Windows 8.1 の延長サポート終了まで 200 日

1 day 12 hours ago
Microsoft がサポートドキュメントなどでの告知を開始しているが、Windows 8.1 の延長サポート終了まで 200 日となった (Microsoft のサポート記事、 Microsoft コミュニティでの告知、 Neowin の記事、 ZDNet の記事)。 Windows 8.1 のサポートは 2023 年 1 月 10 日 (日本時間 11 日) の月例更新を最後に終了し、以降は更新プログラムが提供されなくなる。Windows 7 の時とは異なり、拡張セキュリティ更新プログラム (ESU) も提供されない。StatCounter の 5 月分 Windows バージョン別シェアデータで Windows 8.1 は 3.06 % となっており、数千万台の Windows 8.1 マシンが存在する計算になるが、企業ユーザーは大幅に少ないとみられる。 それでも ZDNet によると、7 月には Windows 7 と同様のサポート終了に向けた通知の開始が予定されているそうだ。事実とすれば Windows 7 と比べて大幅に遅い通知開始となる。スラドの皆さんの周囲に Windows 8.1 は残っているだろうか。

すべて読む | セキュリティセクション | セキュリティ | Windows | IT |

関連ストーリー:
Windows 7サポート終了に向けた通知を表示する更新プログラムの提供が始まる 2019年03月27日
Windows 7延長サポート終了後の有料セキュリティアップデートオプション、4月1日から販売開始 2019年03月09日
Windows 8.1のメインストリームサポートが終了 2018年01月12日
Windows 7のサポートは2020年1月まで 2017年07月11日
Windowsのセキュリティ更新プログラム、重要な公共サービスなどで多数使われている限り提供し続ける必要がある? 2017年05月21日
4月11日、Windows Vistaがサポート終了を迎える 2017年04月13日
3月のデスクトップOSシェア、Windows 7が過去1年間で最高のシェアを獲得 2017年04月03日
ドイツのMicrosoft、Windows 7を3年後のサポート終了まで使い続けないことを推奨 2017年01月17日
Windows 8のサポートも1月12日で終了 2016年01月10日
Windows 7のメインストリームサポートが終了 2015年01月14日
サポートが終了したWindows XP向けの更新プログラム提供は誤った判断か 2014年05月04日
Windows XPのシェア、4月も4分の1以上を占める 2014年05月03日
IEに関するゼロデイ脆弱性の修正パッチ配布開始、XPにも提供へ 2014年05月02日
ついにWindows XPのサポートが終了 2014年04月09日
Windows XPのサポート終了に向けて何か準備している? 2014年03月29日
Windows XP、サポート終了後は定期的にサポートが終了した旨が表示されるようになる 2014年03月05日
WindowsXPサポート終了まで100日を切る 2014年01月02日

headless

マカフィー忌、遺体は今も冷凍保存

1 day 17 hours ago
6 月 23 日はジョン・マカフィー氏の一周忌にあたるが、遺体は現在もバルセロナで冷凍保存されているそうだ (elDiario.es の記事、 BetaNews の記事、 Reuters の記事、 Sky News の記事)。 米司法省に脱税行為で起訴されたマカフィー氏は 2020 年にスペインで逮捕され、その後暗号通貨関連の詐欺行為でも起訴されていた。しかし、裁判所が米国への身柄引渡を認めた昨年 6 月 23 日に独房で首を吊っているのが見つかり、死亡が確認された。死因は自殺と判断され、今年 2 月 13 日にはカタルーニャ法医学研究所 (IMLCFC) による司法解剖の結果を裁判所が承認した。 しかし遺族はマカフィー氏が自殺などするわけがないと異議を唱えて上訴しており、遺体は現在も司法機関の集中するバルセロナの司法地区 Ciutat de la Justícia で IMLCFC が保管しているとのことだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
訃報:ジョン・マカフィー氏。拘留先のスペインで 2021年06月24日
ジョン・マカフィー、暗号通貨関連の詐欺などで起訴される 2021年03月07日
ジョン・マカフィー、スペインで逮捕 2020年10月07日
逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す 2019年07月09日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
プロセッサの表面を削って固有IDを読み取ればiPhoneのロックは解除できるという話 2016年03月11日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは? 2016年03月05日
ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 2016年02月20日
2016年米大統領選挙、変わった候補者名が数多く登録される 2015年10月31日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日
逃亡中のJohn McAfee氏、ブログで真犯人発見者に2万5000ドルの報酬を出すと発表 2012年11月22日
John McAfee 氏、殺人容疑で指名手配 2012年11月13日
インテル、マカフィーの買収を発表 2010年08月20日

headless

米シカゴ市警察、危険な追跡を禁ずる新ポリシーを発表

2 days 14 hours ago
headless 曰く、米シカゴ市警察 (CPD) は 21 日、対象者を拘束すべき正当な理由がない限り警察官が徒歩 (走って) や自転車で追跡することを禁ずる新ポリシーを発表した (プレスリリース、 新ポリシー、 ABC News の記事、 NPR の記事)。 正当な理由としては、対象者が重罪または A 級軽罪、他人に危害を及ぼす交通違反を実行している (しようとしている・した) 場合、もしくは誰かに危害が及ぶことが明白な逮捕理由となる違法行為を実行している (しようとしている) 場合が挙げられている。警察官との接触を避けたことを理由とする追跡は禁じられる。さらに追跡の安全性への配慮も必要となり、拘束しないことによる脅威が追跡による危険を上回る、と警察官や上司が判断した場合にのみ追跡が認められる。一般市民だけでなく対象者や警察官の安全は追跡開始・継続の判断を行う際に最も配慮すべき点とされている。 このほか、警察官が負傷して安全に追跡できなくなった場合や第三者の負傷者を救護できる人が他にいない場合、現在地が不明な場合や応援を要請する地点を報告できない場合、危機管理・通信室 (OEMC) や他の署員と連絡が取れなくなった場合、署で支給された無線機や火器その他の装備を紛失し、何者かが手にすれば警察官や一般人を危険にさらす可能性がある場合、対象者に追い付いても取り押さえることができないと合理的に考えられる場合には追跡開始や継続が禁じられる。 安全性に少しでも疑いがある場合は区域の封鎖や捜査員の増員といった別の方法をとるべきであり、追跡を行わないと判断したことに対して警察官や上司が批判されたり処罰されたりすることはないとのこと。シカゴでは昨春、新ポリシーでは禁じられる追跡の末に追跡対象者を警察官が射殺する事件が 2 件発生している。プレスリリースやポリシーに直接的な言及はないものの、この事件が強く影響しているようだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 通信 | アメリカ合衆国 |

関連ストーリー:
AI が生成した証拠により起訴された米男性、11 か月拘置の末に証拠が無効と判断される 2021年08月26日
米国で導入が進む警官用ボディカメラ、装着忘れを防ぐ技術も色々と開発される 2017年03月07日
米国で白人の知的障害者を監禁、暴行した様子をネット中継した黒人4名が逮捕される 2017年01月11日
米シカゴ市で初となる顔認識システムでの検挙 2014年06月14日

nagazou

尼崎全市民の個人情報USBメモリが流出。設定されたパスワードの桁数を会見で公表→発見される

2 days 19 hours ago
6月23日、兵庫県尼崎市は全市民の住民基本台帳などのデータが入ったUSBメモリを紛失したと発表した。USBメモリの中には住民基本台帳に記載されてる情報のほか、生活保護や児童手当を受けている世帯の口座情報なども保存されていたとされる。発表ではUSBのファイルはパスワードをかけて暗号化処理されていたことから、23日11時時点では漏えいは確認されていないとされている(神戸新聞NEXT、NHK、日経新聞、TBS NEWS DIG)。ところが尼崎市による記者会見の際、USBメモリに設定されたパスワードの桁数に関して職員がバラしてしまうという大失敗を犯している。ネット上ではその公開された桁数を元に、地名や日付を組み合わせてパスワードを推測する行為などもおこなわれていたようだ(ITmedia)。この騒動に合わせて、「尼崎のUSB」なるものがメルカリに出品されていたことも報じられている。おそらくイタズラだと思われるが商品の説明では、先日から尼崎で使用しているUSBメモリです。パスワードを書けたまま忘れてしまい、中を開くことができないのでお譲りします。諸事情により、中のデータはそのままで出品いたしますので、新しく使用したい場合は、お手数ですがそちらで初期化の手順を踏んでください。といった内容が書かれていた。価格は尼崎市の人口に合わせて45万2600円に設定されていた。なおこの出品は現在削除されているとのこと(FNNプライムオンライン[動画])。この出品物に関しては、尼崎側が偽物であると判定したとのこと。なお紛失した従業員は当日、居酒屋で酒を飲み泥酔、午後10時半に店を出ると、午前3時ごろまで路上に寝ていたことが新たに報じられている(FNNプライムオンライン)。 追記:尼崎市は24日、紛失したとされていた市はUSBメモリーが発見されたと発表した。市は委託業者から電話連絡があり、鞄とともに発見されたとしている。発見された経緯などについては不明(読売テレビニュース、Yahoo!ニュース)。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 | プライバシ |

関連ストーリー:
岩手・釜石市で市民約3万人分全員の個人情報が漏えい 2022年05月30日
情報処理推進機構、中小企業ECサイトの脆弱性診断を無償で実施 2022年03月17日
セキュリティ企業ラック、元従業員がフリマで売却した私物HDD内に取引先情報が 2022年01月19日
リモートワーク中の置き忘れ・紛失経験52.2%、会社への報告は13%しかなく 2022年06月28日

nagazou

オープンソースプロジェクトの脆弱性修正にかかる時間が 3 年間で倍以上に増加したとの調査結果

3 days 14 hours ago
headless 曰く、Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリース、 BetaNews の記事)。 オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ~ 20 が推移的依存関係から発生することになる。 その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 % 長い時間を要するとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | デベロッパー |

関連ストーリー:
国内でVLC media playerの脆弱性を利用したサイバー攻撃。PC Matic発表 2022年05月18日
解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 2022年04月19日
cURLの作者に大企業から「log4j脆弱性に対する24時間以内の無料サポートを求める」メール届く 2022年01月27日
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
人気オープンソースプロジェクトの脆弱性、1年で倍増 2020年06月11日

nagazou

Microsoft Storeの偽物対策、どうする?

3 days 15 hours ago
あるAnonymous Coward 曰く、GIMP for windowsがMicrosoft Storeで公開されたが、これは偽物対策ということのようだ。(公式、窓の杜) 少し前には、CrystalDiskInfo及びCrystalDiskMarkの開発者であるhiyohiyo氏が、Microsoft Storeに登録された偽物への対応を行った一連の流れをTwitter上で報告している。(5/30のツイート、当該スレッド) Microsoft Store上で公式/非公式の判断がつけばよいのだが、現状ではStore外で公式からの情報を得なければ難しいように思われる。ユーザーとしてどのような点に注意をしているか等、スラド諸氏の意見を求めたい。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Windows |

関連ストーリー:
SourceForge、批判を受けて「無断でのアドウェア入りインストーラ配布」を中止へ 2015年06月02日
SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 2015年05月28日
GIMP for Windows 、ダウンロードサイトをSourceForge.netからftp.gimp.org に変更 2013年11月08日

nagazou

徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった

5 days 15 hours ago
徳島県のつるぎ町立半田病院は、2021年10月にランサムウェアに感染し、院内のカルテが閲覧できなくなるなどの被害を受けた。この問題に関して同病院は調査報告書を町議会に提出した。それによれば、感染経路は米Fortinet製のVPN装置経由である可能性が高いという(つるぎ町立半田病院リリース、有識者会議調査報告書[PDF]、日経クロステック)。 過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。 あるAnonymous Coward 曰く、「パスワードは最小桁数が 5 桁であったこと、一定回数以上、ログオンに失敗した際に一定時間ログオンを制限するロックアウトの設定は無かったことなど「総当たり攻撃」を容易に行えてしまう状況であった。また、半田病院としてはウイルス対策ソフトを導入していたが、電子カルテシステムの導入時に不具合が生じたため、同セキュリティ対策ソフトは動作させていなかった」 主張(予算が無いし予算を要求できる空気でも無いからベンダーに無料で頼るしか無かったけどそうしてもらえなかった)含めこれは困った事ですね。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | お金 | 情報漏洩 |

関連ストーリー:
ランサムウェア攻撃の被害にあった日本企業、75%が未公表 2022年05月27日
ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答 2022年05月15日
freeeが実施した障害訓練、従業員はトラウマに 2022年03月22日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
セキュリティ対策されていないデータベースを「ニャー」に書き換えるニャー攻撃が相次ぐ 2020年07月28日

nagazou

Microsoft Defender、個人向けに提供開始

5 days 23 hours ago
headless 曰く、Microsoft は 16 日、Microsoft Defender の個人向け提供を発表した (Microsoft Security Blog の記事、 製品情報、 Neowin の記事、 Ars Technica の記事)。 Windows 標準の「Windows セキュリティ」ではマルウェア対策に「Microsoft Defender ウイルス対策」を使用しているが、今回提供が始まった Microsoft Defender は別のアプリだ。Microsoft Defender は Windows のほか、Android や iOS、macOS (このリンクのみダウンロードリンクなので注意) デバイスの保護にも対応するクロスデバイスアプリであり、デバイスを一か所で管理可能なユーザーインターフェイスが提供される。日本で Microsoft Defender を使用するには Microsoft 365 Personal のサブスクリプションが必要だ。

すべて読む | アップルセクション | セキュリティ | マイクロソフト | Android | ソフトウェア | MacOSX | Windows | iOS |

関連ストーリー:
Microsoft Defender、AV 製品パフォーマンステストで 17 製品中 16 位 2022年05月07日
オフライン時に検知率が大幅に低下する Microsoft Defender 2022年04月16日
Microsoft Defender for Endpoint、Office コンポーネントについて誤ったランサムウェア警告を表示するトラブル 2022年03月19日
CCleaner、Microsoft Store に登場 2022年01月13日
Microsoft、悪意あるドライバに署名を与えてしまったと発表 2021年06月28日

nagazou

コンサル会社がイオンの秘密情報をセブン&アイHDの会議で提出、雑誌にも掲載されてしまう

6 days 18 hours ago
あるAnonymous Coward 曰く、イオンでコンサル契約の元に仕事した際のDX戦略に関する内部資料を、競合企業のセブン&アイHDでの会議の際に、イオンの社名すらも付いたまま会議資料として出してしまったという。この資料はさらに雑誌「週刊ダイヤモンド」にて『特集 セブン DX敗戦』の中で一般公開もされてしまった。競合他社にそのまま資料を持っていくのは、さすがに杜撰過ぎるだろう…(イオンリリース[PDF]、ITmedia、J-CAST ニュース)。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | 情報漏洩 |

関連ストーリー:
インボイス登録で実名が公表される 2022年06月16日
岩手・釜石市で市民約3万人分全員の個人情報が漏えい 2022年05月30日
経産省、安全保障に関わる技術流出防止へ 2022年05月06日
ネスレ曰く、Anonymous がリークだと主張する 10 GB のデータはダミーデータ 2022年03月26日
日本の医療Q&Aサイト、公開状態のAmazon S3バケットからおよそ30GBの顧客データが流出 2022年03月26日
デンソーのドイツ拠点でランサムウエア被害。犯行グループが犯行声明 2022年03月14日

nagazou

英内務大臣、ジュリアン・アサンジ氏の米国への身柄引渡命令に署名

1 week ago
英内務省は 17 日、プリティ・パテル内務大臣がジュリアン・アサンジ氏の米国への身柄引渡命令に署名したことを明らかにした (ニュースリリース、 The Register の記事、 The Verge の記事、 BBC News の記事)。 2003 年身柄引渡法によれば、内務大臣は身柄引渡を裁判所が認めた人物について、身柄引渡先で死刑になる危険がないこと、要求理由以外の罪を裁かれることがないこと、他の国から身柄引渡または国際刑事裁判所 (ICC) から送致された人物であって、元の国や ICC が合意していること、といった要件を満たす場合に身柄引渡を命ずる必要がある。アサンジ氏は 14 日以内の異議申立が可能だ。 WikiLeaks で数多くの機密文書を公開したアサンジ氏について、米政府は国家安全保障法に違反してスパイや外交官を危険にさらした犯罪者とみなしているが、アサンジ氏の支持者は調査報道ジャーナリストかつ告発者とみなしている。アサンジ氏との間に2人の息子がいるパートナーのステラ・モリス氏は声明で、パテル氏が調査報道ジャーナリズムを犯罪扱いした米国の共犯者として永遠に記憶されるだろうと批判し、今後もアサンジ氏解放に向けた闘いを続ける意思を示している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | アメリカ合衆国 | 英国 | 法廷 | スラッシュバック | 政治 | 政府 | 情報漏洩 |

関連ストーリー:
英最高裁、ジュリアン・アサンジ氏の米国への身柄引渡に反対する上告を棄却 2022年03月18日
英高等法院、ジュリアン・アサンジ氏の米国への身柄引渡が不可能ではないと判断 2021年12月12日
米政府、ジュリアン・アサンジ氏の身柄引き渡しを求めて英国で控訴手続きを開始 2021年11月02日
ジュリアン・アサンジ氏のエクアドル市民権、無効と判断される 2021年08月01日
英判事、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下 2021年01月05日
英ファッションデザイナーのヴィヴィアン・ウエストウッド、ジュリアン・アサンジ解放を巨大な鳥かごの中で訴える 2020年07月23日
米当局、WikiLeaks創設者をスパイ活動法違反などで追起訴。これに対し言論の自由に反するとの批判 2019年06月04日
スウェーデンの検察、性的暴行容疑によるジュリアン・アサンジ氏の捜査を再開 2019年05月16日
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は? 2019年04月14日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 2018年10月20日
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaks創設者のジュリアン・アサンジ氏の生存が確認される 2016年12月02日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
WIkileaksの創設者が投獄されるか死亡すると公開される「情報の核爆弾」 2010年12月12日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日

headless

Mozilla 曰く、最もプライベートでセキュアなメジャーブラウザーは Firefox

1 week 1 day ago
Mozilla は 14 日、Firefox の Total Cookie Protection デフォルト有効化を全世界でロールアウトすると発表した (The Mozilla Blog の記事、 Neowin の記事、 Softpedia の記事、 Android Police の記事)。 Firefox 86 で利用可能になった Total Cookie Protection はサイトごとに独立した「クッキージャー」に cookie を格納し、クロスサイト cookie によるユーザー追跡からの保護を強化する仕組みだ。これにより、Firefox は Windows と Mac、Linux で利用可能な最もプライベートでセキュアなメジャーブラウザーになるという。Total Cookie Protection は既にプライベートブラウジングモードで有効化されており、通常ブラウジングモードでも Firefox の設定画面で「プライバシーとセキュリティ→強化型トラッキング防止機能」に「厳格」を選べば手動でも有効化できるが、今後は「標準」を選択した場合にも有効化されていくとのことだ (Firefox ヘルプ)。

すべて読む | セキュリティセクション | セキュリティ | Firefox | Mozilla | プライバシ |

関連ストーリー:
Microsoft Edge は毎回起動時に Chrome からデータをインポートしたい 2022年06月02日
DuckDuckGo、Microsoft へのトラッキング許可発覚を受けてアプリの説明を更新 2022年05月29日
Google、FLoCに変わる追跡技術「Topics」を発表 2022年01月28日
フランスのデータ保護当局、cookie 拒否の操作が許可の操作よりも複雑だとして Google と Facebook に制裁金 2022年01月09日
英最高裁、Safari のプライバシー設定を迂回してユーザーを追跡していた Google に対する代表訴訟を棄却 2021年11月14日
Google、Chrome におけるサードパーティ cookie 廃止を1年先送り 2021年06月27日
Chrome Canary、FLoCをコントロールするオプションを表示可能に 2021年06月02日
Vivaldi 3.8リリース、cookieダイアログやバナーの非表示化が可能に 2021年05月04日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 2021年03月06日
Firefox 86リリース、クロスサイトcookieによる追跡からの保護を強化する「Total Cookie Protection」が利用可能に 2021年02月27日
英政府、cookie 保存をオプトアウト化する計画 2022年06月19日

headless

「アカウント作成前にアカウントを乗っ取る」プリハイジャック攻撃が発見される

1 week 2 days ago
ユーザー「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような攻撃手法が発見されたそうだ。Avinash Sudhodanan氏とAndrew Paverd氏の二人のセキュリティ研究者が見つけたもので、二人はこの攻撃手法を「Pre-hijacking Attack」(プリハイジャック攻撃)」と呼んでいるそうだ(Malwarebytes、TECH+)。 この攻撃方法は5種類の方法に分類されており、一つはメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する「Classic-Federated Merge (CFM)攻撃」。二つ目は先の攻撃手法のサイバー犯罪者とユーザの立場が逆になった「Non-Verifying Identity Provider (NV)攻撃」。三つ目はユーザーによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した「Unexpired Email Change (UEC)攻撃」。 四つ目は認証されたユーザーがパスワードリセット後に、アクティブなアカウントからサインアウトされないという欠陥を悪用する「Unexpired Session (US)攻撃」。最後はCFM攻撃とUS攻撃を組み合わせた「Trojan Identifier (TID)攻撃」となっている。研究者らが人気の高いWebサイト75か所を調査したところ、35以上のWebサイトが少なくとも1手法のプリハイジャック攻撃に対して脆弱な状態だったとしている。 あるAnonymous Coward 曰く、5種類の攻撃方法が例示されているが、全体的に、同じメールアドレスで先にアカウントを登録しておいて正規アカウントが紐づけられたら乗っ取るみたいな方法のようだ?

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー:
着信転送サービスを悪用した WhatsApp アカウント乗っ取り、日本では大丈夫か 2022年06月05日
本人よりも詐欺師の方が高い「秘密の質問」の正解率 2022年04月26日
Google、2段階認証の標準化によりアカウントの乗っ取り被害が50%減少 2022年02月15日
福井県のTwitterアカウント「ふくいブランド」乗っ取り被害か 2022年02月10日
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日

nagazou

RealPlayerに複数の深刻な脆弱性、修正状況や回避策などは不明

1 week 2 days ago
Security NEXTの記事によれば、RealNetworksが開発する「RealPlayer」で複数の深刻な脆弱性が発覚したそうだ。バージョン「20.0.8.310」や「20.0.7.309」では、任意の場所に配置できるディレクトリトラバーサルの脆弱性「CVE-2022-32270」があり、これを突かれると端末の起動時に実行ファイルを実行させたり、DLLインジェクションなどに悪用されるおそれがあるとしている。このほか「20.0.8.310」では、脆弱性「CVE-2022-32269」や脆弱性「CVE-2022-32271」が存在していることも判明したとしている。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア |

関連ストーリー:
RealPlayerに脆弱性、修正されるも脆弱性を含むバージョンが現在も堂々と配布されている 2013年12月27日
RealPlayer 15 公開 2011年11月17日
コピーガード付DVDを合法的にリッピングできると謳うソフト 2008年09月11日
PCで映画鑑賞するのにオススメの再生ソフトは? 2008年07月29日

nagazou

Bingの検索結果で自治体の偽サイトが表示される事例が頻発

1 week 2 days ago
先日、楽天トラベルのフィッシングサイト広告の記事を取り上げたが、それとは別に検索エンジンの「Bing」をターゲットにした市公式サイトの偽サイトが乱立していることが話題になっている。横浜市、徳島市、青森市、長野市、藤沢市などの偽サイトの事例が紹介されている。名前の挙がった市の名前をBing上で検索すると、現在は公式サイトも殆ど表示されない模様(ITmedia、朝日新聞、カナロコ)。 また内閣官房内閣サイバーセキュリティセンター(NISC)も15日に警告を発表した。偽サイトの中には悪質なサイトへのリンクに置き換えられているものがあるとしている。上に上がった各自治体だけでなく、金融庁や文部科学省、総務省、デジタル庁などの省庁も関連サイトの偽サイトに注意を促す発表を行なっている(内閣官房内閣サイバーセキュリティセンター[PDF]、神奈川県警告、デジタル庁注意喚起、金融庁注意喚起、文部科学省注意喚起、消費者庁注意喚起、、 Impress Watch)。

すべて読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ | ニュース | インターネット | アナウンス | 政府 |

関連ストーリー:
SMSを悪用したスミッシング被害増加中。一方で攻撃者のレベルは低下か 2022年06月16日
楽天をターゲットにしたフィッシングサイト広告が乱立。二要素認証未対応も一因? 2022年06月15日
毎日新聞に偽装した偽サイトの報道でグリー株が急騰。風説の流布を意図か 2022年01月18日
KADOKAWAの小説投稿サイト「カクヨム」を模倣したフィッシングサイト 2021年09月07日
Brave.com の偽物 Bravė.com、Googleの広告を通じてマルウェアを配布 2021年08月03日

nagazou

ウクライナ政府のデータはAWSで保全されていた。4か月で1万TB超

1 week 3 days ago
実質的な戦争状態にあるロシアとウクライナ。そのロシアの攻撃直後から、ウクライナ政府が国家の活動継続に必要となるデータのクラウド移行を進めていたことが判明した。AWSが10日に公開したブログに経緯等が紹介されている(AWSのブログ、ITmedia)。 それによると、攻撃が開始された2月24日から米AWSと協力してデータの移転を始めていたという。6月10日までに移転されたデータは27省庁、18大学などのデータ計10PB(1万TB)以上に及ぶという。今後も増加する予定であるとしている。ウクライナでは政府などの所有する重要なデータは、国内サーバーに保存するよう法律で定めていた。しかし、ロシア側の攻撃が始まる約1週間ほど前に法律を改正。国家のデータ保全に向けて、クラウド移行を可能にしていたとしている。

すべて読む | ITセクション | 軍事 | セキュリティ | クラウド | 政治 | 政府 |

関連ストーリー:
日本電子計算のクラウドで障害、全国約50自治体に影響 2019年12月06日
戸籍の正本をデジタルデータに変更する戸籍法改正が官報告示 2019年06月01日
南三陸町の戸籍データが消失 2011年03月21日
リコーが帯広市役所の戸籍関連データ紛失 2003年07月30日
住基ネットで遂にデータ盗難 2002年12月28日
同人誌キエフの幽霊のウクライナ語版は初版1万部 2022年06月24日

nagazou

x86 CPUに新たなサイドチャネル脆弱性「Hertzbleed」が見つかる。リモートでも攻撃可能

1 week 3 days ago
テキサス大学やイリノイ大学らの研究チームは14日、最新のx86プロセッサに新たなサイドチャネル攻撃が可能な脆弱性「Hertzbleed Attack」があったと発表した。研究チームはHertzbleed Attackを用いることで、対象となるCPUの暗号化を突破できると主張しているそうだ(Hertzbleed Attack、窓の杜、GIGAZINE)。 この攻撃は周波数を動的に変更して消費電力を削減するIntelの「Turbo Boost」やAMDの「Precision Boost」といった周波数スケーリング技術と単純電力解析のサイドチャネル攻撃を組み合わせて実現しているようだ。周波数スケーリング技術に存在する「計算処理の実行時間が消費電力に依存する」という特徴を悪用したという。研究チームはこの脆弱性を用いて、実際に暗号アルゴリズム「SIKE」の暗号化キーをリモート取得することに成功したとしている。 影響を受けるCPUに関してはIntel製プロセッサに関してはすべてで、同社は開発者向けにHertzbleed Attackの対策ガイダンスを公開している。脆弱性の深刻度はCVSSのベーススコアで「6.3」(Medium)となっている(Frequency Throttling Side Channel Guidance)。AMD製プロセッサに関しても、Ryzen ThreadripperやRyzen 2000シリーズ以降のCPUといった比較的新しいものに関してはほぼすべてに影響があるようだ(Frequency Scaling Timing Power Side-Channels)。 ただ研究者らが提案した緩和策が、CloudflareやMicrosoftによって展開されているとのことで、深刻な問題にはならない模様。

すべて読む | セキュリティセクション | セキュリティ | Intel | AMD |

関連ストーリー:
Apple M1 チップのポインタ認証を迂回する攻撃「PACMAN」 2022年06月12日
インテルとARMのCPUに脆弱性、Spectre-v2の拡張版亜種 2022年03月14日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから? 2021年07月08日
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
Intelから大量の機密データが流出。Kabylake関連のサンプルコードなども含まれる 2020年08月12日

nagazou

SMSを悪用したスミッシング被害増加中。一方で攻撃者のレベルは低下か

1 week 4 days ago
あるAnonymous Coward 曰く、半導体・セキュリティ事業のマクニカは8日、SMSを悪用したフィッシング詐欺である「スミッシング」の対策等をまとめたレポート「スミッシングの実態と対策」を公開した。スミッシングは、フィッシング行為の一種で、SMSを悪用して受信者を偽のウェブサイトに誘導、個人情報を盗み取る手口。このレポートでは実際に観測されたスミッシング手口から犯罪手口の変化を考察、各事業者を巻き込んだ犯罪エコシステムとスミッシング対策フレームワークを図解している(マクニカリリース、ASCII.jp)。 この犯罪エコシステムでは、情報バイヤーやフィッシャー(実行犯というべきか)、配達の受け子と商品を市場に還流するブローカーの存在があるとしている。また、スミッシングの総量が増えているが偽サイトのブランド名とSMSの文面が一致していなかったり、SMS文面の日本語が不自然などオペレーションレベルの低い人々が参入するようになってきたことや分業化が起こっていると推測している。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | 携帯通信 |

関連ストーリー:
SMSでは簡単に送信元を偽装できる 2019年09月04日
Bingの検索結果で自治体の偽サイトが表示される事例が頻発 2022年06月17日

nagazou

楽天をターゲットにしたフィッシングサイト広告が乱立。二要素認証未対応も一因?

1 week 4 days ago
ack.ioさんのツイートによれば、Googleで「楽天トラベル」を検索すると、楽天トラベルそのものに見えるといった偽装サイトの広告が増えているそうだ。同氏がリンク先をクリックするとxyzというドメインのサイトに繋がった。しかしリンク先のサイトのデザインは楽天トラベルそのものとなっており、間違って契約してしまう可能性もあると指摘している。同氏によれば、同じデザインでドメイン違いのものが数多く出回っているようだ(Togetter)。 またTogetterのまとめによれば、「楽」と「天」の間に半角スペースを入れることにより、Google広告のチェックをすり抜けているといった指摘も出ている。Google公式の広告リンクであることから、ドメイン関係のチェックをあまりしない傾向のあるスマートフォン世代などが間違って契約してしまう可能性もあるかもしれない。楽天側もこうした偽装サイトに対する警告は出しているものの(その1、その2)、現時点ではトップページから分かりやすい場所には警告にリンクが張られていないようだ。楽天はウォレットのような一部を除いて2段階認証がないことから、フィッシング詐欺に遭いやすいのではといった指摘もあった。なお同様の指摘はかなり前からあったようだ(ゼロからBLOG)。 nemui4 曰く、一休.comでも同様のサイトが発生しているらしい。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 変なモノ | 広告 | インターネット |

関連ストーリー:
えきねっとを語る巧妙なフィッシングメール増加。東京都水道局や千葉銀行なども 2022年03月08日
米FTC、2021年発生のSNS詐欺の被害総額、約7億7000万ドルと発表。前年の約3倍 2022年02月09日
KADOKAWAの小説投稿サイト「カクヨム」を模倣したフィッシングサイト 2021年09月07日
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日
Bingの検索結果で自治体の偽サイトが表示される事例が頻発 2022年06月17日

nagazou

活動を再開したマルウェア「Emotet」の機能が進化

1 week 4 days ago
警察庁が9日にマルウェア「Emotet」に新たな機能が確認されたと発表した。「Google Chrome」に保存されているクレジットカード情報を外部に送信するようになったそうだ。感染すれば第三者にクレジットカード情報が漏れる可能性がある(警察庁 Emotetの解析結果について、窓の杜)。 発表された警察庁の解析によると、EmotetはメーラーのMicrosoft Outlookから過去にやり取りしたメールの内容を元にして、偽装した文章のメールを関係者に送り付けて感染を広げようとする。2021年11月中旬ころから活動を再開したEmotetは、新たにThunderbirdも情報窃取の対象となることが判明したという。今後もターゲットとなるメーラー等は今後増える可能性がある。2021年11月中旬ころから活動を再開した新しいEmotetは暗号データを元に戻すための鍵も同時に盗み出すため、利用しているクレジットカード情報が第三者に知られてしまう可能性がある。 Google Chromeはショッピングサイトの決済などを円滑化するためクレジットカードなどの個人情報を暗号化し保存しているが、これが抜き取られてしまう可能性があるとのこと。

すべて読む | セキュリティセクション | セキュリティ | ボットネット | インターネット | アナウンス | 政府 |

関連ストーリー:
終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 2021年11月23日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
最恐のウイルスと呼ばれた「Emotet」終息の日を迎える 2021年04月27日

nagazou

ウクライナの鉄道、広軌から標準軌へ改軌を進める構想

1 week 5 days ago
maia 曰く、ウクライナが鉄道の軌間を広軌1520mmから標準軌1435mmへ改軌を段階的に進める方針を表明した(まいどなニュース、鉄道プレスネット)。1520mmは旧ソ連圏の軌間だが、ポーランド、ハンガリー、ルーマニアといった旧東欧を含め、EUの大部分は1435mmで、ウクライナとの直通列車は国境で台車交換していた。改軌は以前から検討課題で、2021年2月にウクライナ国内に標準軌の高速鉄道(250km/h)を2000km整備する構想を発表している。しかし全国の改軌には少なくとも1000億米ドルかかる。また貨車の幅と軸重が重厚長大?なので、車両の交換も必要となる。

すべて読む | セキュリティセクション | セキュリティ | ニュース | 交通 |

関連ストーリー:
ロシア製品のみ、購入ボタンが「STOP THE WAR」になるホビーショップ 2022年05月31日
ウクライナ情勢で政府、国産ロケットの打ち上げ設備に拡充方針 2022年05月24日
ゼレンスキー氏の「国民の僕」、Netflixで配信開始 2022年05月24日
フィンランドとスウェーデンがNATOに加盟を申請 2022年05月19日

nagazou
Checked
39 minutes 21 seconds ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed