Exchange Server に 2 件のゼロデイ脆弱性

17 hours 30 minutes ago
headless 曰く、Microsoft が Exchange Server 2013 / 2016 / 2019 に影響する 2 件のゼロデイ脆弱性を公表し、緩和策を紹介している (Microsoft Security Response Center の記事、 Neowin の記事、 Ars Technica の記事、 HackRead の記事)。 2 件の脆弱性は特権昇格の脆弱性 (SSRF 脆弱性) CVE-2022-41040 と、PowerShell を利用したリモートコード実行 (RCE) の脆弱性 CVE-2022-41082 だ。認証された攻撃者は CVE-2022-41040 を悪用することで、リモートから CVE-2022-41082 を引き起こすことができる。 攻撃者は脆弱性のある Exchange Server で認証される必要があるため影響範囲は限定的だが、実際に攻撃が確認されているという。Exchange Online のユーザーは影響を受けない。 Microsoft では脆弱性の修正を緊急に進めているが、現時点で提供時期は未定のようだ。そのため、IIS Manager の URL 書き換えルールで既知の攻撃パターンをブロック対象に指定するという緩和策を紹介しており、この緩和策を適用する PowerShell スクリプトも提供している。また、Microsoft Exchange Emergency Mitigation Serviceを有効にしている顧客の Exchange Server 2016 / 2019 環境では、緩和策が自動で有効になるとのことだ。

すべて読む | ITセクション | セキュリティ | マイクロソフト | バグ |

関連ストーリー:
Exchange Server、新年早々「2201010001」を long に変換できないエラー 2022年01月03日
米国土安全保障省、実際に攻撃が行われている脆弱性 300 件近くへのパッチ適用を政府機関に義務付ける指令を発出 2021年11月06日
米国、中国のサイバー攻撃関与を非難する声明発表。日本を含む同盟国と共同で 2021年07月20日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日

nagazou

三菱電機の幅広い家電製品に脆弱性

2 days 8 hours ago
maia 曰く、三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDF、 CVE-2022-29859 / CVE-2022-33322: PDF、 ITmedia NEWS の記事、 TECH+の記事、 日本経済新聞の記事)。 対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。 20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-29859 は 3 月に修正された amb1_sdk の脆弱性となっている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
三菱電機の不正検査問題、16拠点148件に拡大 2022年05月26日
三菱電機、宇宙空間において3Dプリンターで人工衛星アンテナを製造する技術を開発 2022年05月23日
防衛省、三菱電機への不正アクセスによる安全保障上の影響に関する調査結果 2021年12月28日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果 2019年02月09日
シャープのロボット掃除機にセッション管理不備の脆弱性 2017年11月21日
IoTが引き起こす問題は誰が責任を負うべきか 2017年09月01日
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 2017年03月31日
サムスンのスマート冷蔵庫に脆弱性、Googleサービスへのログイン情報が盗まれる恐れ 2015年08月27日
カートリッジ式コーヒーメーカー「Keurig 2.0」に脆弱性、正規カートリッジへの成り済ましが可能 2014年12月13日
スイス Jura 社製コーヒーマシンの深刻な脆弱性がようやく公開される 2012年10月17日
コーヒーメーカーの脆弱性が発覚 2008年06月20日

headless

Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった

3 days 9 hours ago
あるAnonymous Coward 曰く、 先日発生した Uber や Rockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事、 Yahoo! ニュースの記事)。 Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。 ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る 2022年09月24日
不正アクセスにより開発中のグランド・セフト・オート6の情報が流出 2022年09月22日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
米Uber Technologies、システムにハッキング攻撃を受ける 2022年09月20日
Microsoft 曰く、ランサムウェア攻撃の 80 % 以上が誤った構成を狙う 2022年08月31日
攻撃者が多要素認証エンロールの仕組みを悪用し、多要素認証を有効にした組織のアカウントを入手する手法 2022年08月25日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日

headless

かっぱ寿司運営会社社長ら 3 人、はま寿司の営業秘密を不正取得した疑いで逮捕

3 days 11 hours ago
警視庁は 9 月 30 日、回転ずしチェーン「かっぱ寿司」の運営会社カッパ・クリエイト社長ら 3 人をライバルチェーンの営業秘密不正持ち出しに関連する容疑で逮捕した (東京新聞の記事、 NHK ニュースの記事、 読売新聞オンラインの記事)。 社長はライバルチェーン「はま寿司」の親会社ゼンショーホールディングスからカッパ・クリエイトに移籍。それに先立ち、はま寿司の仕入れに関するデータを不正に持ち出した疑いがもたれている。逮捕されたのは社長のほか、カッパ・クリエイト商品企画部長と、はま寿司時代の社長の部下の 3 人。 社長と商品企画部長の逮捕容疑は持ち出したデータを同社データと比較するなどして使用した不正競争防止法違反、元部下の逮捕容疑はデータを開くためのパスワードを教えるなどした不正競争防止法違反ほう助となっている。警視庁は昨年、はま寿司側からの刑事告訴を受けて捜査を進めており、食材の原価や使用料に関するデータが営業秘密に当たると判断したとのことだ。

すべて読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ |

関連ストーリー:
ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される 2021年03月04日
ソフトバンク元社員、楽天モバイル転職時に機密情報を持ち出したとして逮捕。楽天は情報利用を否定 2021年01月15日
ソフトバンクの元社員、業務情報をロシアに渡したとして逮捕される 2020年01月27日
顧客の情報を勝手に別の会社に横流ししたシステム開発・運用会社が摘発される 2016年07月13日
ベネッセ個人情報流出事件、被告の元SEに懲役3年6か月の実刑判決 2016年03月30日

headless

不正アクセスを受けたFast Company、わいせつで人種差別的な通知をApple Newsに送信

3 days 17 hours ago
headless 曰く、Fast Company は 9 月 27 日夜、同社のコンテンツ管理システムが不正アクセスを受け、わいせつで人種差別的な 2 通の通知が Apple News のフォロワーに送信されたことを明らかにした(Fast Company の声明、 The Verge の記事、 Neowin の記事、 9to5Mac の記事)。 27 日の不正アクセスは 25 日午後に発生した FastCompany.com への不正アクセスに関連するとみられる。25 日の不正アクセスでも今回と同様のわいせつで人種差別的な表現がホームページ (Internet Archive のスナップショット) やその他のページに表示され、同社は 2 時間ほどサイトを閉鎖して復旧作業を行ったという。 Fast Company は攻撃者による表現が同社の考えに一致するものでなく、このような表現が同社プラットフォームや Apple News で表示されたことに遺憾の意を示し、取り消される前に見てしまった人に謝罪している。現在、FastCompany.com では本件に関する声明のみが表示されるようになっており、問題が解決するまでは閉鎖を続け、ソーシャルメディアチャンネルのみで記事を配信するとのこと。 Apple News は本件を受け、Fast Company のチャンネルを無効化したと発表している。攻撃者によるメッセージがソーシャルメディアや公式サイトに表示されることは多いが、Apple News を通じて表示されたのは初とみられるとのことだ。

すべて読む | ITセクション | セキュリティ | ニュース | インターネット | アップル |

関連ストーリー:
最高裁、実在児童の裸の写真を元にして作成されたCGについて児童ポルノと判断 2020年01月30日
フィッシング容疑で続々立件、14歳少年を書類送検、別の詐欺団8人を逮捕 2006年05月31日

nagazou

Bluetoothスピーカー付き照明で外部から勝手に接続されるトラブル

4 days 10 hours ago
アイリスオーヤマが販売するBluetoothスピーカー付きシーリングライトを購入したところ、他人に勝手にペアリングされて音楽を流されたとするトラブルがネットで話題となっている。この問題を指摘した幽らり@人形狂の狂想曲さんによると、Bluetoothにパスワードが設定されていないため、集合住宅だと隣家などから勝手に接続され音楽を流されるとしている(幽らり@人形狂の狂想曲さんのツイート、J-CASTニュース、Togetter)。 アイリスオーヤマは9月28日、同製品にペアリング制御機能を実装していないことを認め、問題となっている指摘の内容は事実だと認めた。ITmediaによると今後、ペアリング制御機能の追加を検討しているという。ただし、実装の可否や方法、時期などは「コメントできない」としている。今のところ返品対応も検討していないとしている(ITmedia)。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ | 音楽 |

関連ストーリー:
Bluetooth を搭載して音声通話を可能にした電話機型おもちゃ、盗聴可能な問題が見つかる 2021年12月28日
フィッシャープライス、幼児向け電話機型おもちゃに Bluetooth を搭載して音声通話を可能に 2021年10月20日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか? 2021年04月23日
Amazon、新Echoや無線イヤホン、Alexa対応眼鏡などを発表 2019年09月27日

nagazou

デジタル庁が運用するメール中継サーバが不正アクセス、1万3000件の迷惑メールが送信

5 days 10 hours ago
デジタル庁は26日、同庁が運用する「GビズID」のメール中継サーバーが不正アクセスを受けたと発表した。これにより「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したとしている。迷惑メールは9月24日16時30分から17時00分までの間に送信された。個人情報の漏えいは確認されていないとしている(デジタル庁、時事ドットコム)。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 政府 | Digital |

関連ストーリー:
2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る 2022年09月24日
不正アクセスにより開発中のグランド・セフト・オート6の情報が流出 2022年09月22日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
電子決済「Kyash」悪用、中国人ら4人らか現金詐取の疑いで逮捕 2022年07月21日

nagazou

SSDのデータ消去、TrimやSecure Eraseが早くて有効

1 week ago
SSDやHDDなどのストレージ機器を含んだPCを中古で売買する場合、そのデータ内容の扱いがよく問題になるが、PC Watchの記事では個人情報や企業の機密情報をストレージ機器の廃棄や譲渡によって露呈させないようにするにはどうすればいいのか、データ復旧事業に聞くという記事がまとめられている(PC Watch)。 基本的に他人に譲渡する場合はストレージの記憶領域全体を「別の情報で上書きする」ことが大事だが、SSDの場合は、領域情報を管理している「Trim(SATA SSDの場合)」や「UNMAP(NVMe SSDの場合)」という標準機能を利用することで、データの上書きをしなくてもデータを意味のないものにすることができるという。またSSDでは、Secure EraseやFormatNVMなどのコマンドを実行することもデータを抹消する上で有効な手段になるとしている。

すべて読む | ハードウェアセクション | ハードウェア | セキュリティ | ストレージ |

関連ストーリー:
5年内ならSSDの「平均寿命」はHDDより長い。Backblaze調査結果 2022年09月20日
セキュリティ企業ラック、元従業員がフリマで売却した私物HDD内に取引先情報が 2022年01月19日
スクラッチ障害のHDDでも傷のない部分からはデータ救出が可能に 2022年01月14日
Androidの端末データ初期化機能は不完全? 2015年05月24日
手早く安価にできるデータ消去方法は 2011年10月02日
SSD 内のデータを完全に消去するのは難しい 2011年03月03日

nagazou

警察庁、「110番映像通報システム」の試行運用開始

1 week ago
警察庁は10月1日から「110番」の通報者がスマートフォンで交通事故などの現場の映像・画像を送信できる新システムを試験運用する。試行運用後に課題などを改善し、来年の4月から本格運用につなげる方針(110番映像通報システムの試行運用の開始について、mpress Watc)。 このシステムでは、110番通報を受けた担当者が、通報内容に応じて、通報者に映像等の送信が可能かどうかを確認。通報者が同意した場合、通報者にSMSでワンタイムURLを送信、通報者はそのURLと口頭で伝えられるアクセスコードを入力してログインする。ログイン後は、通報者のスマホのカメラが起動し、通報者がリアルタイムで映像を撮影し送信するのだという。既に撮影済みの映像や写真も送信できる。

すべて読む | セキュリティセクション | モバイル | セキュリティ | 通信 | 携帯通信 |

関連ストーリー:
auで24日、東日本エリアの一部のエリアで通信障害。45分ほどで回復 2022年08月25日
NTT東日本、 KDDIの通信障害を受けて災害時用公衆電話活用を提言 2022年08月18日
固定電話番号・電話機を変えずにドコモのモバイル回線で使う「homeでんわ」 2022年02月08日
デュアルSIM利用時のiPhoneで緊急通報できず技適不適合等リスト入り問題、iOS 15.2で解消 2021年12月17日
Google Pixel 6が技適不適合確認リスト入り、デュアルSIM利用時に緊急通報できず 2021年11月24日

nagazou

Instagram、DM で送りつけられるヌード写真の自動ブロック機能を開発中

1 week ago
headless 曰く、Meta が Instagram の DM で送りつけられるヌード写真を自動でブロックする機能の開発を進めているそうだ。 (The Verge の記事、 9to5Mac の記事、 Alessandro Paluzzi 氏のツイート) 見知らぬ相手に性的な嫌がらせメッセージを送りつける「cyberflashing」は大きな問題になっている。Instagram が提供するテキストベースの嫌がらせメッセージをブロックする機能は効果が低いと指摘されており、画像ベースの嫌がらせメッセージへの対策は行われていない。 現在開発が進められているのは実際のメッセージを Meta が閲覧したり、外部と共有したりすることなくヌード写真を検出する機能だ。ユーザーのプライバシーを侵害することなく、受信したメッセージをユーザー自らコントロールできるよう、専門家の協力も得て開発を進めているという。より具体的な情報は今後数週間のうちにも公表できる見込みとのことだ。

すべて読む | ITセクション | セキュリティ | spam | Facebook | IT | SNS | プライバシ |

関連ストーリー:
Pornhub の Instagram アカウント、削除される 2022年09月07日
リモート診察のため子供の性器の写真を撮るとGoogleアカウントがBANされる 2022年08月24日
米連邦地裁、VisaがPornhubの児童ポルノマネタイズに関与していたことを否定できないと判断 2022年08月05日
DMM、MasterCard決済終了のメール送付でフィッシング詐欺疑惑もたれる 2022年07月21日
ロシアでも通用する "Gachimuchi" 2022年05月13日
YouTube自動字幕機能、音声の誤認識で子ども向け動画でもエロ表現に 2022年04月25日
Steam、エロゲ解禁 2018年09月13日

nagazou

イーサリアムがマイニング不用に仕様変更、GPU暴落説でるもNVIDIAは否定

1 week 1 day ago
暗号通貨であるイーサリアムは9月中旬、大型アップグレードである「The Merge」を実施し、プルーフ・オブ・ワーク(PoW)からプルーフ・オブ・ステーク(PoS)へと歴史的な転換を完了させた(Data Center Café、CoinPost、coindesk JAPAN、coindeskその2)。 PoWではマイナー(採掘者)は複雑なアルゴリズムを解いて取引を検証することで報酬としてイーサリムを手に入れ、それを定期的に現金化して運用資金に充てていた。PoSでは高価なマイニング用のコンピューターがなくてもネットワークに参加できる。Mergeでは平行して動作していた従来型のPoWからPoSへの統合が図られた。 今回おこなわれたMergeにより、イーサリアムに関連する二酸化炭素排出量が99%以上削減され、世界のエネルギー消費量が0.2%減少すると予測されているという。またMergeによって、イーサリアムの1日あたりの発行量は95%減少したとされる。coindesk JAPANの記事によれば、The Mergeにより結果としてイーサリアムのデフレ効果を生み、長期的には強気派に有利な動きを導くと考えられているという。なお一部でこの影響により、ビデオカードの価格下落などの噂が出ているが、これに関してはNVIDIAのCEOが19日に開かれたカンファレンスイベント「GTC 2022」で、「もうGPUの価格低下傾向はおわった」とする発言があったようだ(AUTOMATON)。

すべて読む | ハードウェアセクション | ビジネス | ハードウェア | ニュース | ハードウェアハック | 暗号 | お金 |

関連ストーリー:
ゲームストップのNFT販売サイト、NY同時多発テロのビルから落ちる男のパロディが出品 2022年07月28日
カフェでPC本体からビデオカードを抜き取る手口動画。GPU価格自体は低下傾向 2022年06月22日
マイニング需要の低下でビデオカードの価格が正常化に向かう 2022年05月18日
Intel、ビットコインマイニングチップ「Blockscale ASIC」を発表 2022年04月08日
日本の単相200V用ACケーブルを同梱した最大出力2000WのATX電源 2022年03月30日
仮想通貨マイニングに使ったGPU、業者が中古販売前に水洗い 2022年09月29日

nagazou

2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る

1 week 3 days ago
ゲームパブリッシャー 2K は 21 日、同社の使用するヘルプデスクプラットフォームが不正アクセスを受け、一部のプレイヤーに悪意あるリンクが送信されたと発表した (The Verge の記事、 BleepingComputer の記事、 2K Support のツイート)。 BleepingComputer によると、ターゲットとなったプレイヤーにはまずサポートチケット作成を知らせる電子メールメッセージが届き、その続報としてパスワードを盗むマルウェア RedLine のリンクを含むメッセージが届いたという。 2K サポートではリンクをクリックしてしまった人に対し、念のため下記のような対応を推奨している。 ブラウザーに保存されているすべてのユーザーアカウントパスワードのリセット 利用可能なすべてのアカウントで多要素認証を有効化。テキストメッセージによる認証は避け、認証アプリを使用すること 信頼できるアンチウイルスソフトウェアのインストールと実行 電子メールアカウントで転送設定が変更されていないか確認 関連会社の Rockstar Games も先日不正アクセスを受けているが、こちらとの関連は不明だ。なお、2K はサポートサイトの再開を 24 日に発表している。サイト保護強化の一環として、サポートサイトへの次回ログイン時にはすべてのユーザーにパスワードリセットが求められる。新しいパスワードに関しては、複雑さの要件が強化されているとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ゲーム |

関連ストーリー:
不正アクセスにより開発中のグランド・セフト・オート6の情報が流出 2022年09月22日
デジタル庁が運用するメール中継サーバが不正アクセス、1万3000件の迷惑メールが送信 2022年09月29日
Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった 2022年10月01日

headless

米国土安全保障省、ビデオゲームを通じた過激主義拡大を防ぐプロジェクトに補助金約 70 万ドル

1 week 4 days ago
標的型暴力とテロリズムを防ぐプロジェクトに対する米国土安全保障省 (DHS) の補助金プログラムで、ビデオゲームを通じた過激主義者の活動拡大を防ぐプロジェクトに補助金 699,763 ドルが支給される (Ars Technica の記事、 Motherboard の記事)。 プロジェクトは Middlebury Institute of International Studies at Monterey の Center on Terrorism, Extremism, and Counterterrorism (CTEC) および、ビデオゲームにおける精神衛生を専門にする非営利組織 Take This と オンラインでの問題行動解決に取り組む Logically が共同で実施し、ゲームにおける過激主義を理解するための枠組みを開発する。 ゲームを通じた暴力的過激主義の拡大は昨年 12 月に国連が開催した専門家による円卓会議でも議題となっているが、ゲーム開発者は規模にかかわらず、過激主義者がどのようにゲームを悪用してその思想を広げていくのかについて理解が遅れているという。プロジェクトでは過激主義者を監視してゲームの悪用を防ぐためのリソースの開発や、ゲーム開発者やコミュニティマネージャーなどが過激主義を防ぐためのワークショップ開催なども行うとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 政治 | ゲーム |

関連ストーリー:
ロシアの「マインクラフト事件」で少年に 5 年の実刑判決 2022年02月16日
米軍のTwitchチャンネル、怪しい賞品による入隊勧誘が禁じられる 2020年07月19日
SIE、ロシアでのPS4版「Call of Duty: Modern Warfare」発売を自粛? 2019年10月27日
ユーロポール、暗号通貨追跡訓練をゲーム化するまじめなゲームを開発中 2019年06月16日
ロシア国防相、ゲームの画面キャプチャを「米国のIS支援の証拠写真」としてアップしてしまう 2017年11月18日
米英の情報機関、ネットゲーム内へも「潜入調査」していた 2013年12月11日
Xbox 360 ゲーマー 3 万人中 72 % が無人機でのテロ容疑者攻撃を承認 2012年10月29日
過度にプライバシーを守る行為は「テロ行為の潜在指標」として疑われる? 2012年02月03日

headless

不正アクセスにより開発中のグランド・セフト・オート6の情報が流出

1 week 5 days ago
人気ゲーム「Grand Theft Auto(グランド・セフト・オート)」シリーズの発売予定の次回作に関して、大量の画像や映像などが出回ったそうだ。開発元であるRockstar Gamesは19日、新作の開発中映像が流出したことを認めた。画像は海外フォーラムなどで出回っていたものとされる。Rockstar Gamesの発表によると、リークは「権限のない第三者」がシステムに侵入、機密情報をダウンロードした結果だとしている。流出した映像は開発初期のものだったとしている(Rockstar Games公式Twitter、AUTOMATON、Game Spark、IGM)。 このリークをおこなったハッカーは、先日、Uberが被害を受けた大規模なサイバー攻撃についても自分の犯行だと述べているという。UberはFBIおよび米司法省と積極的に協力して問題の解決にあたっている。Uberによるとこのハッカーは、ここ最近になってNVIDIA、マイクロソフト、Samsungを攻撃したハッカー集団Lapsus$に所属していると考えていると述べているそうだ(IGM)。

すべて読む | セキュリティセクション | セキュリティ | ゲーム | 情報漏洩 |

関連ストーリー:
米Uber Technologies、システムにハッキング攻撃を受ける 2022年09月20日
Twilioのフィッシング攻撃者、Signal ユーザー 1,900 人分の電話番号を取得した可能性 2022年08月19日
嫌いな相手に匿名で糞尿を送れるサービスから顧客情報が流出 2022年08月18日
Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 2022年08月12日
サンドラッグで不正アクセス。計1万9057件の個人情報が流出した可能性 2022年07月14日
デジタル庁が運用するメール中継サーバが不正アクセス、1万3000件の迷惑メールが送信 2022年09月29日
2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る 2022年09月24日

nagazou

台風のときに「川・用水路の様子」を見に行きたくなる心理

1 week 5 days ago
台風14号が日本を通過したばかりだが、FNNプライムオンラインで台風のときに「川の様子」を見たくなる現象についての記事が掲載されている。危険であるにもかかわらず、このような行動をとってしまう人がいるのは、一体なぜなのか(FNNプライムオンライン)。 山口大学・人文学部の高橋征仁教授によると、一般には川や用水路の様子を見に行ってしまう心理は、仕事上の責任感から見に行ってしまうとされているが、進化心理学の観点では自分の縄張りを維持するためのスカウティング(偵察・哨戒行動)の一種なのだという。 教授によると、田んぼや川の様子を見に行って亡くなるのは基本的に男性であり、「若い男性」と「初老の男性」がこうした行為をおこないやすいのだという。教授によると女性の場合は、子どもや親の救出・安否確認が関心の焦点となることから、田んぼや川の様子を見に行って死亡することは聞いたことがないとしている。

すべて読む | Linuxセクション | Linux | Debian | セキュリティ |

関連ストーリー:
台風 14 号、観測史上 4 位の 935 hPa で九州に上陸 2022年09月18日
岡山県の危険な用水路、安全対策が進む 2019年07月17日
台風による淡路市の風力発電風車倒壊事故、強風時の倒壊防止機能が無効にされていた 2019年02月28日
全日空の航空機で着陸時に大きな歪みが入る事故が発生。突風の影響か 2012年06月22日

nagazou

Microsoft Edge、新しいタブページのニュースフィードで不正広告攻撃が行われていた

1 week 6 days ago
headless 曰く、Microsoft Edge の新しいタブページで、ニュースフィードに表示される広告を悪用した不正広告攻撃が確認されたそうだ (Malwarebytes Labs の記事、 Neowin の記事)。 不正広告は広告ネットワーク Taboola を通じて配信され、ユーザーの興味を引き付けそうな奇妙なストーリーへのリンクとして表示される。広告がクリックされるとユーザー環境のチェックが行われ、不正広告のターゲットにならないと判定した場合は広告に表示されていた通りの無害なページを表示する。一方、ターゲットと判定した場合はテクニカルサポート詐欺のページにリダイレクトするとのこと。Malwarebytes によれば、このような活動が少なくとも 2 か月間は行われていたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | 広告 | インターネット |

関連ストーリー:
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
Bing検索結果にGoogle Chromeの偽広告が出現 2018年11月01日
Android版/iOS版Microsoft Edgeでコンテンツブロッカーが利用可能になる 2018年06月30日
Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 2018年02月12日
Windows 10でChromeをBing検索するとEdgeの広告が大きく表示される 2018年01月07日

nagazou

LastPass、8 月の不正アクセスに関する調査の続報を発表

2 weeks ago
headless 曰く、LastPass が 8 月に発生した不正アクセスの調査について続報を発表している (The LastPass Blog の記事、 Ghacks の記事)。 不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。 LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。 また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック |

関連ストーリー:
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
デジタル庁が運用するメール中継サーバが不正アクセス、1万3000件の迷惑メールが送信 2022年09月29日

nagazou

米Uber Technologies、システムにハッキング攻撃を受ける

2 weeks ago
あるAnonymous Coward 曰く、 朝日新聞の記事によると、米Uber Technologiesがハッキング攻撃を受けたそうだ。>配車サービス等への影響は不明のようだ。Uberは、2017年にもハッキング攻撃を受け個人情報を盗まれたが、1年以上隠蔽していたらしい。 攻撃を受けたのは15日で、ニューヨーク・タイムズが接触した攻撃者を名乗る人物によれば、この攻撃者は自分は18歳のハッカーだと話しているという。Slackのアカウントをを乗っ取り、従業員らにシステム侵害を宣言、Uberの運転手に対してもっと高い報酬を払うべき的な主張していたらしい。各種アプリやサービスはすべて稼働を続けているとのこと。16日午前の段階では機密データにアクセスした形跡はないとしている(日経新聞)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット |

関連ストーリー:
Uber Eats のデリバリーロボット、立ち入り禁止テープを無視して犯罪現場を通過 2022年09月17日
Uber Eats、ブラジルでのレストラン配達サービスを停止へ 2022年01月14日
上位のテック企業曰く、PCは生産性で選ばないと損をする 2021年11月29日
Uber Eats配達員はタワーマンションを敬遠している 2021年10月27日
不正アクセスにより開発中のグランド・セフト・オート6の情報が流出 2022年09月22日

nagazou

ビデオ会議で眼鏡に映り込んだ画面から漏洩する情報に関する研究

2 weeks 1 day ago
ビデオ会議中、眼鏡に映り込んだ画面から漏洩する情報について、米ミシガン大学と中国浙江大学の研究グループが研究成果を発表している (論文アブストラクト、 The Register の記事)。 Amazon Mechanical Turk のワーカーと OCR モデルにより研究室環境で用意した 720p のウェブカメラ映像を処理する実験では、画面上での表示サイズが高さ 10 mm のテキストを 75 % の正確さで復元できたという。そのため、ビデオ会議参加者が大きなフォントを用いるウェブサイトを画面に表示している場合、十分にテキスト読み取りが可能とみられる。また、テキストではなくグラフィカルなコンテンツから Alexa トップ 100 ウェブサイトを当てる実験では、94 % の正確さでサイトを推定できたとのこと。 このような情報は上司による部下の監視から、ビジネスの交渉に重要な情報の読み取りにまで用いられる可能性があり、将来的により高解像度な 4K などのウェブカメラが普及すればその危険性はさらに高まる。研究グループでは対策として、照明の位置変更などで眼鏡の反射を低減する物理的な方法や、映像の眼鏡部分にぼかしをかけるソフトウェア的な方法を提案している。眼鏡にぼかしをかけるフィルターのプロトタイプは GitHub で公開されている。

すべて読む | セキュリティセクション | セキュリティ | YRO | プライバシ | モニター |

関連ストーリー:
米連邦地裁、大学のリモート試験で不正防止のために行われる部屋のスキャンが合衆国憲法に違反すると判断 2022年08月26日
花火大会の動画は撮影地点を割り出しやすい 2022年08月19日
マイクをミュートしても音声を聴き続けるビデオ会議アプリケーション 2022年04月17日
女性アイドルの熱狂的ファン、アイドルがSNSに上げた写真の瞳に映る景色から場所を特定し襲撃 2019年10月09日

headless

Android 版 Chrome ブラウザー、シークレットタブをロック可能に

2 weeks 1 day ago
最新の Android 版 Chrome ブラウザーではシークレットタブをロックし、画面ロック時と同じ操作でロックの解除が可能になっている (9to5Google の記事、 Ars Technica の記事、 Android Police の記事)。 この機能を使用するには、Chrome の設定画面で「プライバシーとセキュリティ」の「Chrome を終了するときにシークレットタブをロックする」をオンにすればいい。これにより、アプリ切り替え後やロック画面解除後などには開いている Chrome のシークレットタブがロックされた状態となり、指紋認証や PIN 認証などを行わなければ表示できなくなる。 なお、このオプションは現在ロールアウト中だといい、最新の Chrome でも表示されないことがあるようだ。この場合は「chrome://flags」で「Enable device reauthentication for Incognito」(chrome://flags/#incognito-reauthentication-for-android)を「Enabled」にして Chrome を再起動すれば表示されるようになる。

すべて読む | セキュリティセクション | Chrome | セキュリティ | IT | Android | プライバシ |

関連ストーリー:
Android版Chrome、ライトモード終了へ 2022年02月25日
Chromeがシークレットモードでも個人情報を収集したとして集団訴訟へ。成立すれば5000億円規模の賠償の可能性も 2021年03月17日
Chromeのシークレットモードを検知できる手法はまだ残っている 2019年08月17日
Chrome 76ではWebサイトによるシークレットモード検出が困難に 2019年07月21日
Android向けブラウザ「Chrome for Android」ベータ版リリース 2012年02月09日
ブラウザの「プライベートブラウズ」機能はそんなにプライベートではない 2010年08月10日

headless
Checked
1 hour 13 minutes ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed