1bitずらしたドメインを取得してトラフィックを盗み見る方法

5 hours 31 minutes ago
PC Watchの記事によれば、1bitずらしたドメインを取得することで、別ドメインのトラフィックを取得する「bitsquatting(ビットスクワッティング)」と呼ばれる手法があるそうだ。実際にこの手法を実験した人物がいるという(remy氏のサイト)。その実験を行ったremy氏は「windows.com」を対象として検証をしたという。同氏によるとwindows.comの場合は、こうした32のドメインのうち、14は誰でも購入可能な状態だったことから、14のドメインをすべて購入し、アクセスしてくるパケットをキャプチャした。その結果、その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。同氏は、このようなアクセス数の多いドメインに関しては、bitsquattingという手法は実用性が十分にあるとしている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | インターネット | Windows |

関連ストーリー:
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
KRACK脆弱性の影響は大したことない? 2017年11月12日
Tim Cook曰く、Apple製品にバックドアはない 2015年10月26日
米アイオワ州、運転免許証として利用可能なモバイルアプリを提供する計画 2014年12月14日
米企業が堂々と発売する「スパイウェア入りスマートフォン」 2014年03月24日
60 m 先からスマートフォンへの文字入力を検出する方法 2011年11月09日

nagazou

QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ

10 hours 39 minutes ago
あるAnonymous Coward 曰く、中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している(360 Netlab Blog)。 同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。 この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。 対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。 情報元へのリンク

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー:
アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 2020年05月19日
外観からは識別できないSMR採用のHDDが増えている? 2020年04月22日
ランサムウェア被害者が攻撃者のデータベースをハックして約3千人分の復号化キーを公開 2019年10月10日
nasne、「近日出荷完了予定」に 2019年06月26日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
NASのHDDでオーディオの音質が変わるのか検証するイベント、6日に開催 2015年06月05日

nagazou

Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発

11 hours 41 minutes ago
米国で「Microsoft Exchange Server」のProxyLoginと呼ばれる脆弱性を突いた攻撃が広まっている。被害は米国企業だけでも3万の組織に及ぶとも報じられている。Microsoftによれば、中国に拠点を置くサイバー攻撃グループ「Hafnium」が米国に置かれているレンタルのVPSサーバーを経由して攻撃を行っているという(Microsoft、ProxyLogon.com、Security NEXT、日経新聞)。 この脆弱性ProxyLoginは攻撃者が認証をバイパスして管理者になりすますことが可能なもの。共通脆弱性識別子はCVE-2021-26855が割り振られている。Microsoftによれば、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」でセキュリティ上の問題が発生している。同社は米国時間の2日にセキュリティ更新プログラムをリリースしており、JPCERT/CCや情報処理推進機構(IPA)も早急に修正プログラムを適用するよう求めている(IPA、JPCERT/CC)。 これに合わせて米サイバーセキュリティ・インフラセキュリティ庁(CISA)は3日、緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」を発令。政府機関に直ちに脆弱性に対処することを求めている(ZDNet、TECH+ )。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | マイクロソフト | バグ |

関連ストーリー:
Microsoft、Windowsの更新プログラムで問題の発生した部分だけをロールバックできる「Knows Issue Rollback」の仕組みを解説 2021年03月07日
ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 2021年03月02日
Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 2021年02月16日
Microsoft、ドメインコントローラー強制モードのデフォルト有効化に向けて対応を呼びかけ 2021年01月22日
Windows 10でBSoDを引き起こすWin32デバイス名前空間パス 2021年01月20日
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 2021年01月05日
GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 2020年12月27日

nagazou

ジョン・マカフィー、暗号通貨関連の詐欺などで起訴される

1 day 6 hours ago
米司法省は5日、「サイバーセキュリティのレジェンド」ことジョン・マカフィー氏とその暗号通貨チームのエグゼクティブアドバイザーを暗号通貨に関連する詐欺やマネーロンダリングの共謀罪で起訴したことを明らかにした(プレスリリース、 The Vergeの記事、 Mashableの記事、 Ars Technicaの記事)。 訴状によれば、マカフィー氏は自身が購入したことを隠して暗号通貨をソーシャルメディアで宣伝し、価格が上昇すると売却していたほか、新規暗号通貨発行(ICO)実施者から報酬を得ていることを隠してソーシャルメディアで宣伝していたという。マカフィー氏が宣伝した暗号通貨の価値は急上昇するもののすぐに下落して投資家に損害を与える一方、マカフィー氏とその暗号通貨チームは詐欺的行為により1,300万ドル以上を得たとされる。 マカフィー氏は米国での脱税および申告漏れにより昨年スペインで逮捕されており、現在も米国への身柄引き渡し待ちで収監されている。アドバイザーは4日にテキサス州で逮捕されたとのこと。本件に関しては別途、米商品先物取引委員会(CFTC)が民事訴訟を提起している(PDF)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 暗号 | お金 |

関連ストーリー:
ジョン・マカフィー、スペインで逮捕 2020年10月07日
逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す 2019年07月09日
米裁判所、ベリーズでの殺人事件についてジョン・マカフィー氏の法的責任を認める 2018年11月17日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
プロセッサの表面を削って固有IDを読み取ればiPhoneのロックは解除できるという話 2016年03月11日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは? 2016年03月05日
ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 2016年02月20日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日

headless

Google Chrome、メジャーバージョンリリース間隔を4週間に短縮する計画

1 day 10 hours ago
Googleは4日、Chromeのマイルストーン(メジャーバージョン)リリース間隔を現在の6週おきから4週おきに短縮する計画を発表した(Chromium Blogの記事、 The Vergeの記事、 9to5Googleの記事、 Android Policeの記事)。 現在、Googleではオープンソースコードにセキュリティバグの修正が適用されてから安定版に反映するまでのパッチギャップを小さくするため、2週間おきにChromeのセキュリティアップデートをリリースしている。また、テストとリリースのプロセスも改善していることから、リリース間隔を短縮して新機能をより早く提供できるのは明らかだという。新しいリリース間隔は第3四半期のChrome 94から開始する予定とのこと。 これに加え、アップデートの管理に時間が必要な企業のIT管理者とChromium埋め込みアプリ開発者向けに、8週間おきにメジャーバージョンをリリースする「Extended Stable」オプションを追加する計画も示された。Extended Stable向けには重要な問題を修正するアップデートが2週間おきにリリースされるが新機能は含まれず、4週間隔のオプションに提供されるセキュリティ修正のすべてが含まれることにはならないという。また、Chrome OSでは複数の安定版リリースをサポートする計画だといい、詳細は今後発表するとのことだ。

すべて読む | セキュリティセクション | Chrome | アップグレード | Google | セキュリティ | インターネット | Chromium | デベロッパー |

関連ストーリー:
アップデート適用が進まないLinux Mint、より多くのユーザーに迅速なアップデート適用を実行してもらうための改善計画 2021年03月01日
Windows 10 21H1は小規模なアップデートとなり、21H2が大規模なアップデートになるという報道 2020年11月29日
Firefoxのリリーススケジュール、現在のところ変更なし 2020年04月01日
Google Chrome、4月第2週にはメジャーアップデート再開へ 2020年03月28日
Google、ChromeブラウザーおよびChrome OSの次バージョンリリースを一時停止 2020年03月21日
Mozilla、Firefoxのメジャーリリースサイクルを4週間に短縮する計画 2019年09月18日
Mozilla、Firefoxのリリース間隔を6~8週間ごとに変更 2016年02月06日

headless

ソフトバンクの個人情報流出、銀行口座と同じ暗証番号の利用で被害が発生か

2 days 18 hours ago
先日のソフトバンクの顧客情報流出の件では、持ち出した情報が他人に渡り、不正利用されたとみられている。新たな話としては、決済サービス「PayPay」などの不正チャージに悪用された可能性があるという。なおFNNプライムオンラインによると、銀行口座から現金を引き出された被害に遭ったユーザーは、口座と携帯電話の暗証番号が同じだったことが分かったそうだ(NHK、FNNプライムオンライン)。 なお、顧客情報を流出させた疑いで逮捕された販売代理店の稲葉修作容疑者は、「違法になるとは知らなかった」として容疑を否認しているとのこと。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | お金 | 情報漏洩 |

関連ストーリー:
ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される 2021年03月04日
ドコモ口座の不正出金容疑でグループの主犯格再逮捕。PayPayの不正入金にも関与 2021年01月08日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日

nagazou

RSA暗号を破壊するとの論文が発表されるも「ほぼ誤報」とみられる

3 days 4 hours ago
数学者で暗号学者であるClaus Peter Schnorr氏の発表した未査読の論文が話題となっている。この論文はRSA暗号を破壊するレベルで劇的に高速化したアルゴリズムを開発したとするものだ。筆者であるClaus Peter Schnorr氏はドイツ・フランクフルト大学の有名な暗号の専門家として知られていることからも大きな話題を呼んだようだ。RSA暗号技術はHTTPS、VPN、SSHなどにも使用され、現在のネットのセキュリティにおいて重要な役割を持つことから、仮に論文の内容が正しかった場合は大事になりかねない(未査読の論文、The Daily Swig、heise online)。結論からいうとおそらくは誤報である可能性が高い。heise onlineの記事によれば、もともとアップロードされた論文がドイツ語の混ざった誤記などがあるものだった上、作者のSchnorr氏が3月3日に最終改訂版としてアップロードしたものも、Googleの暗号研究者であるSophieSchmieg氏などによって多くの数学的矛盾が指摘されている。記事によれば、Schnorr氏は比較的小さな数に対してのみ計算を実行した可能性があるという(SophieSchmieg氏のツイート)。国内で話題のきっかけになった情報セキュリティの研究者のTsukasa #01氏の関連する新たなツイートでは、【重要】RSA 破壊を主張する未査読論文ですが、現状再現成功の報告なし (失敗報告あり https://github.com/lducas/SchnorrGate)。また証明内の誤りを指摘する意見 (https://crypto.stackexchange.com/questions/88582/does-schnorrs-2021-factoring-method-show-that-the-rsa-cryptosystem-is-not-secur) もあり。どう少なく見積もっても、未査読論文を不適切なまでにセンセーショナルに扱ってしまいました。申し訳ありません。としている。なお、同氏の話題のきっかけとなった関連ツイートも一応記載しておくとこちらになる(該当ツイート)。

すべて読む | idleセクション | idle | 暗号 |

関連ストーリー:
駆け込み合意の英-EU通商協定文書にNetscapeが登場 2021年01月05日
Microsoft、モバイル向けセキュリティソリューションを開発中 2020年02月22日
米国家安全保障局、リバースエンジニアリングツール「Ghidra」を予告通り公開 2019年03月10日
RSA Conferenceの公式モバイルアプリに脆弱性 2018年04月24日
Microsoftプレジデント兼最高法務責任者曰く、サイバー攻撃から民間人を守るデジタルジュネーブ条約が必要 2017年02月18日

nagazou

ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される

4 days 11 hours ago
ソフトバンクは4日、同社の訪問販売による代理店業務を行っていた人物が6347人の顧客情報を不正に取得していたと発表した。リリースによれば、この人物は2015年から2018年の期間、ソフトバンクのお客さま控えを写真撮影やコピーをすることで不正に取得していたとしている(ソフトバンク[PDF]、毎日新聞)。 流出した情報は氏名、住所、生年月日、連絡先電話番号、携帯電話番号、携帯電話機の製造番号(IMEI)、交換機暗証番号、料金支払い用の金融機関名および口座番号で、この人物からソフトバンクとワイモバイルの携帯電話サービス、SoftBank 光、SoftBank Airの契約手続きを行った契約者のデータであるとしている。発表では人物の名前は出ていないが、毎日新聞によると元携帯電話販売代理店社長の稲葉修作容疑者であるという。警視庁サイバー犯罪対策課などが不正競争防止法違反(営業秘密の領得、使用)容疑で逮捕したとしている。稲葉容疑者が取得した情報は、最終的にドコモ口座事件の主犯とされる菅(かん)拓朗被告に渡り、それが犯罪に悪用されたと見られている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | 情報漏洩 |

関連ストーリー:
ソフトバンク・中日のオープン戦、Pepperが昨年の2倍の数が応援に駆り出される 2021年03月03日
ソフトバンクの値上げ要請で大容量MVNO「FUJI Wifi」がサービス停止の危機 2021年03月02日
ソフトバンク元社員、楽天モバイル転職時に機密情報を持ち出したとして逮捕。楽天は情報利用を否定 2021年01月15日
ドコモ口座の不正出金容疑でグループの主犯格再逮捕。PayPayの不正入金にも関与 2021年01月08日
総務省、代理店がマンション関係者を装いSoftBank Airの営業したとしてソフトバンクを指導 2020年12月16日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日
日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 2020年09月15日
ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 2020年09月10日
七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ 2020年09月08日
ソフトバンクの個人情報流出、銀行口座と同じ暗証番号の利用で被害が発生か 2021年03月06日

nagazou

佐賀市の公式サイトでマイナンバーカードなどの画像が見られる状態に

5 days 15 hours ago
佐賀市の公式サイトで、マイナンバーカードや運転免許証などの個人情報が閲覧可能になっていたことが分かった(佐賀市リリース、NHK)。 同市のお問い合わせのメール送信フォームから送信された添付画像に関して、特定のURLを直接入力することにより第三者が閲覧できる状態となっていたという。同市は外部からの指摘で状況を把握したとしている。3月1日時点では被害は確認されていないとしている。 閲覧できる状態となっていた画像データは986件。そのうちマイナンバーカード・同通知カード、運転免許証、パスポート、申請書等の個人情報を含む画像データが123件。報告写真等の個人情報を含まない画像データは863件だという。 2019年に市の公式サイトを改修したときに、メール送信フォームに画像添付機能を追加した。この画像データはファイル名がランダムに付けられ、メール本文とともに各課に送信される。メール送信履歴は、第三者が閲覧できないようアクセス制限を設定していたものの、画像データにはアクセス制限が適切に設定されていなかったとのこと。

すべて読む | セキュリティセクション | セキュリティ | 政治 | バグ | 情報漏洩 |

関連ストーリー:
前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 2020年02月21日
居酒屋チェーンの運営会社、車上荒らしでマイナンバーを含む個人情報流出 2016年04月27日
堺市、情報漏洩対策としてUSBポートをふさぐ 2016年02月13日
ECサイト「こまもの本舗」に不正アクセス、セキュリティコードを含むカード情報などが漏洩 2016年02月10日
ネットショップでの情報漏洩、裁判で開発会社の責任が認められる 2015年01月22日
ベネッセコーポレーションの顧客情報が流出 2014年07月10日

nagazou

ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた

6 days 5 hours ago
SolarWinds製の更新プログラムを悪用する形で、現在も米政府やMicrosoft、シスコシステムズなどに影響を与えている大規模攻撃。この攻撃をめぐって米国では2月26日に公聴会が開かれた。公聴会にはSolarWindsの現CEOであるSudhakar Ramakrishna氏、前CEOのKevin B. Thompson氏、Microsoft プレジデントのBrad Smith氏、FireEye CEOのKevin Mandia氏が参加した(下院監視・改革委員会、CNET、MUO、GIGAZINE、ZENet)。 Rashida Tlaib議員はSolarWindsの幹部に対して、SolarWindsのサーバーの一部が「solarwinds123」などのパスワードで保護されていたと報じられていた件について問いただした。これに対して前CEOのThompson氏は、インターンがパスワードを設定していた部分が、外部のセキュリティ研究者に発見されたとして事実であったことを認めた。このセキュリティ研究者は、2019年にSolarWindsに対して事前に警告を行っていたが、それでもSolarWinds側は問題のパスワードを更新していなかったと報じられている。 先の公聴会ではThompson氏はインターンの責任であるかのように発言したが、インターンにこうした重要なサーバーのパスワード設定を任せた点は額面通りには信じられないとMUOの記事では指摘している。このパスワードは2017年に設定されていたという。会社が3年以上前に設定されたパスワードをまったく精査していなかったことも問題視している。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | アメリカ合衆国 | 情報漏洩 |

関連ストーリー:
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 2021年01月05日
マイクロソフト、SolarWinds OrionをDefender Antivirusでブロックへ。大規模サイバー攻撃に利用されたバージョン 2020年12月17日
APT29と見られる組織が米財務省などのメールを傍受。アップデートを改ざんして侵入か 2020年12月14日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日

nagazou

警察庁などISPを通じてEmotet感染端末ユーザーへの警告を行うと発表。2月下旬から

1 week 3 days ago
昨年から日本国内でもEmotetの感染事例が急増していたが、2021年1月27日に欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)による合同捜査作戦「Operation LadyBird」が行われ、これが成功を収めたと発表されたという(欧州刑事警察機構、JPCERT/CC、ITmedia)。 この作戦は欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)が主導、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナの8カ国の法執行機関が参加した。この作戦の成功により、Emotetをコントロールしていたサーバーの差し押さえに成功したという。トレンドマイクロによると、Operation LadyBird作戦の成功以降は、EMOTETのbotネットへのC&Cサーバからの指令は見られなくなったという(トレンドマイクロ)。 一方で総務省や警察庁、ICT-ISACなどの各団体から2月19日に、マルウェアへの感染を誘導する攻撃メールが出ているとする警告が一斉に発表された。背景にはEmotetの感染端末に別の攻撃者が別のマルウェアを注入するといった攻撃が指摘されているためのようだ。 JPCERT/CCによると今のところIPアドレス数で最大約1000、コンピュータ数では約500件のEmotet感染端末が残っているようだ。このため警視庁サイバー犯罪対策プロジェクトは、マルウェアに感染している機器の利用者に対してISPを経由して感染端末を持つユーザーに警告を行うという。警告は2月下旬から準備が整い次第行うとしている(総務省、警視庁サイバー犯罪対策プロジェクト)。 bigface 曰く、JPCERT/CC WEEKLY REPORT 2021-02-25の【今週のひとくちメモ】より。2021年2月19日、総務省は、「マルウェアに感染している機器の利用者に対す             る注意喚起の実施」を公開しました。今月までに、海外の捜査当局から警察庁             に対して、国内のEmotetに感染している機器の情報提供があり、今月下旬から             準備が整い次第、ISPを通じて機器の利用者を特定し、注意喚起を行うとのこ             とです。         参考文献 (日本語)             総務省             マルウェアに感染している機器の利用者に対する注意喚起の実施             https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00095.html             警察庁             マルウェアに感染している機器の利用者に対する注意喚起の実施について             https://www.npa.go.jp/cyber/policy/mw-attention.html             一般社団法人ICT-ISAC             マルウェアに感染している機器の利用者に対する注意喚起の実施             https://www.ict-isac.jp/news/news20210219.html             JPCERT/CC Eyes             マルウェアEmotetのテイクダウンと感染端末に対する通知             https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html// 踏み台にされてる機器の調査を行うような話が以前ありましたが、その関連かな?

すべて読む | セキュリティセクション | セキュリティ | 日記 | ボットネット | インターネット | 政府 |

関連ストーリー:
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
マルウェア「Emotet」に無線LANネットワーク経由で拡散するタイプが発見される 2020年02月18日

bigface (posted by nagazou)

ポイ活ブラウザ「SMOOZ」、個人情報の調査結果と返金対応を発表

1 week 4 days ago
個人情報の送信などの問題が指摘された結果、昨年12月にサービスの提供が終了した「Smooz」。運営のアスツールは2月19日、Smoozが得たユーザーデータの取り扱いに関する発表を行った。第三者による調査結果から情報の取り扱いについて不適切な点が複数見つかったとし、この後に記載するプレミアムサービス・Smoozポイントの返金に必要なデータ以外は全て削除をしたとしている。また返金処理が終了後、関連するすべてのデータを削除するとのこと(SMOOZユーザーデータの取り扱いに関する調査結果とお詫び)。同日にプレミアムサービスとSmoozポイントの返金手続きについても発表を行った(プレミアムプラン返金・SMOOZポイント交換についてのご案内)。返金の内容は次の通り。 返金の対象 返金対象プレミアムサービス:2020年12月1日以降のお支払い済みの期間分を日割りで返金Smoozポイント:残っているSmoozポイントを1ポイント単位で交換返金のお支払い方法 返金額分のAmazonギフト券を発行返金の受付期間 2021年2月19日から2021年4月20日まで

すべて読む | セキュリティセクション | ビジネス | セキュリティ | お金 | 情報漏洩 |

関連ストーリー:
ポイ活ブラウザ「SMOOZ」サービス終了のお知らせ 2020年12月24日
ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している 2020年12月21日

nagazou

Samsung、同社のAndroidデバイスに4年間のセキュリティアップデートを提供する計画

1 week 4 days ago
headless 曰く、Samsungは22日、同社のAndroidスマートフォン・タブレットで最初のリリースから最低4年間のセキュリティアップデートを提供する計画を発表した(プレスリリース、 Android Policeの記事、 Neowinの記事、 Softpediaの記事)。 対象機種のリストには2019年以降に発売された機種の大半が含まれ、AシリーズやMシリーズといった低価格シリーズも含まれる。ただし、A0x型番やM0x型番のローエンドモデルで対象となっているのはA02のみ。2019年よりも前に発売された機種は含まれていない。対象機種は定期的に見直されるが、今年4年目に入る2018年モデルが今後リストに追加される可能性は低いだろう。最低4年間のセキュリティアップデート提供はGoogle Pixelのセキュリティアップデート提供期間(最低3年間)よりも長い。 セキュリティパッチは月毎または四半期毎に提供され、機種や市場によって提供状況は異なる。国内で発売されているSamsung製品はほぼキャリアモデルなので、実際に提供されるかどうかはキャリア次第になると思われる。たとえば2018年発売のGalaxy S9は現在も月例セキュリティアップデートの対象となっており、2021年2月のセキュリティパッチが海外では提供されているが、国内モデルの最新セキュリティパッチレベルはドコモ・auともに2020年6月となっている。

すべて読む | セキュリティセクション | モバイル | アップグレード | セキュリティ | 携帯電話 | Android |

関連ストーリー:
Google、Android 12 Developer Preview 1を公開 2021年02月20日
Android 12、Google内部のコードネームは「Snow Cone」か? 2021年02月18日
Huaweiの「独自OS」は結局Androidのフォークなのか 2021年02月05日
セキュリティ研究者曰く、Android端末メーカーはLinuxカーネルを独自に改変するべきではない 2020年02月26日
Galaxy S10の指紋認証、スクリーンプロテクターによっては登録されていない指紋でも認証してしまう問題 2019年10月19日
Microsoft、メーカーの認定業者以外による機器の修理はセキュリティリスクにつながると主張 2019年07月02日
「全世界で重大な被害を与えた6種のマルウェアに感染しているノートPC」という芸術作品、オークション入札額が120万ドルを超える 2019年05月25日
米AT&T、LTE接続のスマートフォンに「5G E」アイコンの表示を開始 2019年01月12日
自己暗号化SSDの中にはパスワードを知らなくてもデータを復元できる製品があるという研究結果 2018年11月11日

nagazou

3万台近いMacに感染しているが、まだ活動開始していないマルウェア「Silver Sparrow」

1 week 6 days ago
現在のところマルウェアとしての活動は開始していないが、3万台近いMacコンピューターに感染しているというマルウェア「Silver Sparrow」の情報をRed Canaryが発表し、実際の攻撃が始まる前に対策するよう呼び掛けている(Red Canaryのブログ記事、 Mac Rumorsの記事、 Mashableの記事、 The Vergeの記事)。 Silver Sparrowはバージョン1(updater.pkg)とバージョン2(update.pkg)の2つのインストールパッケージが見つかっており、バージョン1がx86_64アーキテクチャー(Intel Mac)向けにコンパイルされたMach-Oバイナリを含むのに対し、バージョン2はx86_64とM1の両アーキテクチャー向けにコンパイルされたMach-Oバイナリ(Universal 2バイナリ)を含む点が大きな違いだという。ただし、これらのバイナリに特別な機能はなく、バージョン1は「Hello, World!」と表示し、バージョン2は「You did it!」と表示するだけのものとのこと。 従来のmacOSマルウェアでみられなかった点として、実行にmacOSインストーラーのJavaScript API(Installer JS)を使用する点が挙げられている。Red CanaryはMalwarebytesおよびVMwareのCarbon Blackと協力して調査を進めており、Malwarebytesの調べによると2月17日時点で153か国で29,139台のmacOSエンドポイントが感染しているそうだ。特に米国・英国・カナダ・フランス・ドイツで感染数が多いという。 M1チップにネイティブ対応するマルウェアとしては、Silver Sparrowとは異なるマルウェアの発見をPatrick Wardle氏が先に報告している。Intel Mac用バイナリはRosetta 2による変換でM1 Macでもそのまま動作するが、Xcode 12を使用すればコードを変更することなくUniversal 2バイナリが作成できるため、今後増加していくとみられる。 現時点でSilver Sparrowが悪意あるペイロードをダウンロードする様子はないものの、将来を見据えたM1チップ互換性や世界での感染の広がりと感染数の多さ、運用の成熟性などを考慮して、Red Canaryでは大きな影響を与える可能性のある深刻な脅威とみなしている。これを受けてAppleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考えを示しているとのことだ。

すべて読む | アップルセクション | セキュリティ | MacOSX | アップル | デベロッパー |

関連ストーリー:
プログラミング言語「Go」がM1チップ搭載Macに対応 2021年02月19日
インテルが「MacにできないことがPCにできる」というツイートキャンペーンを展開 2021年02月15日
Apple、ARM Macアプリ開発移行キット返却時に提供するクレジットを200ドルから500ドルへ増額 2021年02月07日
M1 Mac上でUbuntuデスクトップの起動に成功との発表。ネットワーク機能も動作可能 2021年01月25日
Intel次期CEO曰く、クパチーノのライフスタイル企業よりも全てにおいて優れた製品をPCエコシステムに届ける必要がある 2021年01月17日
M1 Macなどで動くLinux移植プロジェクト「Asahi Linux」がスタート 2021年01月07日
国税庁がM1 Macで確定申告書類を提出する場合の注意ページを作成 2021年01月06日
EIZO、Apple M1チップ搭載Macで互換性問題があると発表。他社製品でも起こりうるとも 2020年12月14日
Mac mini、国内デスクトップPC市場でシェア一位に 2020年12月04日
Apple、M1 Macで再インストール時にエラーが発生した場合の対処法を公開 2020年11月26日
Linus Torvalds曰く、M1 Mac絶対欲しい……Linuxが動くなら 2020年11月25日
Apple曰く、M1 MacでWindowsが実行できるようになるかどうかはMicrosoft次第 2020年11月23日
Apple、M1チップとM1チップ搭載MacBook Air/13インチMacBook Pro/Mac miniを発表 2020年11月11日
Appleの公証を受けたマルウェアによるアドウェアキャンペーンが発生 2020年09月03日
Apple、Macのプロセッサーを2年間で同社製に移行する計画 2020年06月23日
Malwarebytes調べ、Macに対する脅威がWindowsに対する脅威を初めて上回る 2020年02月12日
2020年2月3日よりmacOS向け「野良アプリ」の公証サービスが厳格化される 2019年12月26日
北朝鮮の関与が疑われるハッカー集団、WindowsとmacOSの両方をターゲットにしたマルウェアを開発 2018年09月07日
Apple、M1 Mac miniで画面にピンク色の四角い点々が表示される問題を調査中 2021年02月24日
macOS Big Sur 11.2.2リリース、非準拠のサードパーティ製電源内蔵USB-Cハブやドックの接続で故障する問題を修正 2021年03月01日

headless

BraveのTorモード、.onion URLに対して通常のDNSクエリを実行するバグ

1 week 6 days ago
BraveのTorモードに、ローカルマシンで設定されたDNSサーバーへ.onion URLのDNSクエリを送信してしまうバグが発見された(Bleeping Computerの記事、 HackReadの記事、 The Daily Swigの記事、 RAMBLEの記事)。 BraveのTorモードはハンバーガーメニューから「Torで新しいプライベートウィンドウを開く」を選択すれば利用できる。Torモードではプライバシー向上のため、非Torのインターネットデバイスに情報を一切送るべきではないが、このバグによりアクセスしたTorサイトの情報がDNSサーバー/DoHサーバーに送られてしまう。 このバグはCNAMEクローキングブロック機能に存在し、この機能をTorモードで無効化して問題に対応する。バグ自体は1月に報告されており、修正は現在ベータ版のBrave 1.21.xで提供する計画だったが、Redditでバグが公開されたことから20日リリースのV1.20.108で修正されている。

すべて読む | セキュリティセクション | セキュリティ | バグ | インターネット | プライバシ |

関連ストーリー:
Brave 1.19、分散型WebプロトコルIPFSをネイティブサポート 2021年01月24日
Brave、プライバシーに配慮したニュースリーダーを新規タブページに追加 2020年12月13日
Brave、1年間で月間アクティブユーザー数が倍以上に増加 2020年11月07日
Brave、CNAMEクローキングブロック機能追加へ 2020年10月31日
Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 2020年06月11日
Webブラウザ「Brave」、広告ブロックツールを導入したブラウザを狙ってポップアップ広告を表示して不評を買う 2020年05月26日
Braveブラウザー製品版、バージョン1.0に到達 2019年11月17日
Chrome派生のBraveブラウザ、Chromeの広告ブロック仕様変更に反対し独自に高速なAPIを実装 2019年07月04日
Brave 0.57、ユーザーインターフェイスがChromiumベースに 2018年12月20日
Webブラウザー「Brave」、プライベートタブにTorを統合 2018年07月02日
Brave、プライバシーを重視する独自サーチエンジンを提供する計画 2021年03月06日

headless

NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化

1 week 6 days ago
過去記事の通り、NVIDIAはビデオカード不足への対応のため、近く販売されるGeForce RTX 3060では意図的に暗号資産のマイニング性能を低下させ、ゲーマーなどに製品が行き渡るようにする措置を取った。そのマイニングユーザーへのビデオカードの代替品として18日にマイニング専用のGPU「CMP HX」シリーズを発表している(NVIDIA、PC Watch)。 このCMP HXシリーズではすでに4モデルについて発表が行われており、まず第1四半期中に「30HX」と「40HX」の2モデルが投入、続いて第2四半期に「50HX」と「90HX」が投入される。数字が大きいモデルほどEthereum Hash Rateが高く、メモリの搭載量の多いスペックの高いモデルとなる。特徴は電力効率をマイニング用途向けに最適化しているため、市販ビデオカードより投資コストが下げられるとしている。また、一つのCPUからより多くのGPUを制御できるようになっているという。

すべて読む | セキュリティセクション | 暗号 | お金 |

関連ストーリー:
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日
GTX 1650以上のビデオカードの品不足が深刻化。受注も停止との話も 2021年02月01日
ツクモがビデオカードに購入制限、ビットコイン高騰でマイニングブーム再燃か? 2021年01月13日
Intel、ゲームプラットフォーム向けCore H-35などの4種類の新型プロセッサを発表 2021年01月12日
ベネズエラ軍、資金獲得のためビットコインのマイニングを開始 2020年12月22日
個人情報保護委員会が官報公表破産者情報の掲載サイトに停止命令、マイニングにも言及 2020年08月06日
Linus Sebastian氏、NVIDIAのマイニング対策を「ゲーマーをかばうフリをしている」と批判 2021年02月26日

nagazou

フランス民間航空総局、第5世代端末が航空機の高度計に干渉するリスクを指摘

2 weeks ago
フランスの民間航空総局(DGAC)は16日、第5世代(5G)端末が「周波数が電波高度計と近いもしくは同等であることから信号干渉を起こす可能性がある」として対応端末の電源を切るよう求めている。これにより着陸時に影響を及ぼす可能性があるという。DGACはこの問題を航空会社に告知、飛行中は5G端末の電源を切るか機内モードに設定することを求めている(AFPBB News、QUEENS CITIZEN)。

すべて読む | セキュリティセクション | モバイル | セキュリティ | EU | 携帯電話 | 交通 |

関連ストーリー:
Apple Watchの高度計、急激な気圧変化に対応できない? 2021年01月12日
気圧高度計の自動温度補償を使用すると誤った旋回方向が指示されるフライトマネージメントシステムのバグ 2020年06月03日
はやぶさ2の着陸リハーサルが始まる、一度目は高度600mで中断 2018年09月13日
米デューク大学、Wi-Fiの電波を高い効率で電力に変換する装置を開発 2013年11月10日
かぐや、月の地下に溶岩から成る層状構造を確認 2008年01月13日

nagazou

Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開

2 weeks 1 day ago
あるAnonymous Coward 曰く、先日、SHA-1署名されたコンテンツのダウンロードセンターからの提供中止に伴い、SHA-1署名されたDirectX SDKとDirectXエンドユーザーランタイムもダウンロードセンターから削除されたが、影響の大きさをかんがみてか、これらのダウンロードはSHA-2で署名され直して提供が再開された模様である。 なおタレコミ時点では、DirectXエンドユーザーランタイムWebインストーラー日本語版のダウンロードページおよびそのページへの短縮リンクは復活していないが、英語版のページからダウンロードできる。以前からどの言語版のページでもダウンロードできるファイルは結局同じだったので、とくに問題はない。

すべて読む | セキュリティセクション | Windows | ゲーム | 暗号 |

関連ストーリー:
Microsoftダウンロードセンター、SHA-1署名のダウンロードを「本当に」提供中止 2021年02月08日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 2017年05月16日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日
Microsoft EdgeとIE11、来年2月からSHA-1証明書を使用するWebサイトをブロック 2016年11月22日
Chrome 46ではSHA-1証明書などを利用したHTTPSはHTTPと同様の表示になる 2015年10月17日
SHA-1はもう安全ではない? 専門家チームが利用廃止の前倒しを提言 2015年10月13日
フルバージョンのSHA-1にコリジョン発見 2005年02月16日

headless

秘密計算技術の普及を目的とする「秘密計算研究会」

2 weeks 3 days ago
nagazou 曰く、NECなどの3社が2月18日「秘密計算研究会」を立ち上げたと発表した。この研究会はデータを暗号化したまま運用する「秘密計算」の普及を目的とした組織であるという。参加企業はNEC、デジタルガレージ、ソフトウェア開発企業のレピダム(秘密計算研究会、ITmedia、TECH+)。 公式サイトによれば、秘密計算は、高度な暗号理論を用いて、データを暗号化した状態のままでデータベース処理、統計分析、AIによる分析などができる技術です。データ保護性が非常に高いクラウドサービスや、複数組織のデータを安全に共有・統合して1つのビッグデータとして利活用できるシステムを実現する技術として、期待されています。とのこと。 秘密計算には「秘密分散」や「準同型暗号」を元に下した異なる方式が複数存在しているが、それぞれ独立して研究されてきたことから、安全性や性能などを一定のの基準で定量的に評価する方法が確立されていなかったという。秘密計算研究会は秘密計算における評価基準を策定し、秘密計算がクラウドなどの社会インフラ上に広く実装されることを目指すとしている。

すべて読む | セキュリティセクション | 暗号 | IT |

関連ストーリー:
Microsoft、人体の活動データを用いて暗号通貨を採掘するシステムの特許を出願 2020年04月05日
米内国歳入庁(IRS)、暗号通貨を利用した脱税行為が疑われる1万人以上に警告を送付 2019年11月15日
OpenSSHにメモリ上の暗号鍵を暗号化する機能が追加される 2019年06月28日
NICT、格子理論に基づく耐量子計算機暗号「LOTUS」を発表 2018年01月15日
30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功? 2015年08月08日
京大や筑波大、KEKのスパコンで不正アクセスが発覚 2013年12月19日

nagazou

Salesforceでの設定不備問題で、両備システムズの自治体向けサービスに不正アクセス

2 weeks 3 days ago
Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した(両備システムズ 2021.02.12、両備システムズ 2021.02.15)。 対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという(毎日新聞、Security NEXT、ScanNetSecurity、NHK)。 同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている(日経新聞)。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー:
Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 2021年02月04日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
NTTコミュニケーションズで「水平移動」型の不正アクセス、621社の情報流出の恐れ 2020年05月30日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日

nagazou
Checked
2 hours 29 minutes ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed