ソースコードの改ざん防止や本人確認に使われるPGP署名で、鍵の偽造が問題になっているようだ。 問題となっているのは鍵IDが32ビットの鍵だそうで、Linuxの開発者であるLinux Torvalds氏やGrek K-H氏の偽造鍵が発見されているようだ(LKMLへの投稿、ZDNet Japan)。 すでに32ビットの鍵IDは脆弱であることが知られており、GPUを使った処理で容易に偽の鍵を生成できる状態になっているようだ。 対策としては鍵IDのビット数をより長いものにすれば良い。また、今回は偽造鍵が見つかっただけで、それ以外のトラブルや問題、これを利用した攻撃などは確認されていないようだ。 ただ、こういった脆弱な鍵が存在する状況で公開鍵サーバーを利用することについて懸念の声も上がっている。
9月8日、分散型サービス拒否(DDoS)攻撃などを提供していた「VDOs」の経営者2人がイスラエル当局によって逮捕された。逮捕されたのはイスラエル人のItay HuriとYarden Bidani(ともに18歳)。現在は当局によってパスポートを取り上げられ、自宅軟禁状態にあるという(KrebsOnSecurityの記事、Inquirer、Slashdot)。 これら記事によると、過去4年間に発生したDDoS攻撃のほとんどがVDOsによって仕組まれていたものだという。2人はDDoSサービスの提供によって過去2年間で60万ドルもの収益を得ていたと見られている(KrebsOnSecurityの別記事)。今回の逮捕によってVDOsの顧客数万人の情報が明らかになる可能性があるが、定期的に顧客情報は消されていたという話もあるようだ。 VDOsの足取りは長年つかめていなかったが、2016年7月末にKre
米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ
Windows 10は新しいWebブラウザー「Microsoft Edge」を搭載するが、Norton Antivirusではユーザーに他のブラウザーを使用するよう促しているそうだ(WinBeta、Digital Trends、Neowin)。 Norton Antivirusではブラウザーの拡張機能を使用して危険なWebサイトをフィルターし、ユーザーを保護する。しかし、現在のEdgeでは拡張機能がサポートされていないので、十分な保護機能が提供できないのだという。そのため、Edgeがデフォルトブラウザーに設定されている場合、拡張機能をサポートするブラウザーをデフォルトに設定するよう警告が表示されるとのこと。 EdgeではChromeやFirefoxの拡張機能を移植して利用できるようになることが発表されている。ただし、Windows 10のリリース時点では拡張機能が利用できず、拡張機能サポー
認証局業者は未だに「SSL」という名称にこだわりつづけているようです。Symantec [symantec.com] も GlobalSign [globalsign.com] もトップページに「TLS」という文字すら存在しない (ツイートの表示部分を除く) という異常な状況です。「TLS」を「SSL」を呼ぶことが技術的に誤りなのは明確ですし、「SSL」が安全だと錯覚させ「TLS」への移行を遅らせることになりますので、古い名称にこだわり続けることは有害だと思います。一方、Wikipedia では「SSL」のページを廃止して「TLS」にリダイレクトするようにしており [wikipedia.org]、素晴らしい対応だと思います。 SSLでググる [google.co.jp]と、認証局業者の広告が山ほど表示され、不自然な程に「SSL」というキーワードを散りばめた人間から見たら異常な認証局業者のW
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
Android 4.3では個人情報などへのアクセス許可をアプリごとに設定できる「App Ops」という隠し機能が追加されていたが、先日リリースされたAndroid 4.4.2で取り除かれてしまったそうだ(Electronic Frontier Foundationの記事、 The Vergeの記事、 本家/.)。 Androidアプリには、システムリソースや個人情報などへのアクセスを要求するパーミッション設定がある。アプリの中には無断で個人情報を外部送信するものも多いが、各項目へのアクセス許可をユーザーが指定することはできず、インストール時に確認してアプリを使うかどうかを選択することしかできなかった。Android 4.3ではApp Opsを使用することで、アプリが要求するアクセス許可の項目をリストアップし、望ましくない項目を無効化できるようになっていた。しかし、Android 4.4.2
スマートフォンの「第2のOS」を狙った攻撃の可能性について、OSNewsが紹介している(GIGAZINE、本家/.)。 スマートフォンには携帯電話ネットワークとの接続を行うデバイスであるBaseband processorなるものが組み込まれているが、そこではリアルタイムOS(RTOS)が稼動している。ルクセンブルク大学のセキュリティ研究者ラルフ・フィリップ・ウェインマン氏が、QualcommおよびInfineonのBaseband processor用ソフトウェアを分析し、その結果Hayes command set(1981年に設計されたモデム用コマンド言語)を使ってリモートでコードが実行できたとしている。マイク、カメラを起動したり、電話やSMSなどのメッセージを送信することも可能になるとしている。 RTOSは通信機能を持つ機器にすべて搭載されているだけでなく、QualcommやInfi
シマンテックの調査によると、Android版のFacebookアプリが端末の電話番号を外部へ送信していることが検出されたそうだ(Symnantec Official Blogの記事、 マイナビニュースの記事、 ケータイWatchの記事)。 初めてFacebookアプリを起動すると、ログイン操作などをしなくても端末の電話番号がインターネット経由でFacebookのサーバーに送信されるとのこと。Facebookでは電話番号の利用などはしておらず、すでにサーバーから電話番号を削除したとのことで、アプリは次期リリースで修正を行う予定だという。ケータイWatchの記事によれば、Facebook側はバグが原因と説明しているそうだ。シマンテックでは、ほかのアプリについても調査を進め、個人情報の漏えいにつながるアプリに関する情報を発表する予定とのことだ。
リモート操作ツールを使用して事業者がパソコンを操作し、利用者の承諾を得ないままプロバイダー契約を結ぶなどのトラブルに関する相談が複数寄せられているとして、国民生活センターが注意を呼び掛けている( 国民生活センターの発表情報、 報告書本文: PDF、 NHKニュースの記事、 ITproの記事)。 国民生活センターの発表によると、事業者は「利用料金が安くなる」「現在のプロバイダーがなくなるので移行が必要」などとして電話で勧誘を行う。大手通信会社を名乗るケースもあるようだ。事業者は必要な登録作業を遠隔操作で行うと説明し、手順を指示してOS標準のリモート操作機能を有効化またはリモート操作ツールをインストールさせる。あとは利用者が接続に必要なIDやパスワードなどを伝えると、事業者が遠隔操作で登録作業を行うというもの。 しかし、これまでよりも料金の高くなるコースや不要なオプションサービスが申し込まれて
携帯電話を使ってスキャンするだけでウェブサイトに移動できるという手軽さで多用されているQRコードだが、これを利用した新たなマルウェア配布方法が増えてきたそうだ(Help Net Securitiy、本家/.)。 QRコードを使った攻撃は以前からあったが(QRコードを利用した攻撃に注意、QRコードを使ったフィッシングに気をつけろ!)、最近目立っているのが既存のQRコードの上に不正なQRコードを貼り付けることで不正サイトへ誘導するというもの。街の中心部や空港など人が多く集まる場所がターゲットとなっており、広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認されているという。 QRコードだけから不正なものかどうかを見分けるのは難しく、スキャンしてしまった人を簡単にフィッシングサイトや悪意あるサイトのURLへ誘導することが可能とのこと。 身を守るには、開く前
グルジアのセキュリティー研究者、Ucha Gobejishvili(longrifle0x)氏はリモートからコードを実行可能なGoogle Chromeの重大なゼロデイ脆弱性を7月に発見したと主張している。しかし、詳細をGoogleには伝えておらず、11月24日にニューデリーで開催されるマルウェアカンファレンス「MalCon」で行うデモで詳細を明らかにするとのこと(The Security Ledgerの記事、 MalConによるUcha Gobejishvili氏のプロフィール、 本家/.)。 脆弱性はChromeのDLLに存在し、悪用するとリモートからマルウェアをダウンロードして実行させることが可能となる。MalConでのデモはWindowsを使用するが、ほかのOSでも同様の操作が可能だという。Gobejishvili氏によれば非常に危険な脆弱性であり、デモ後にソースコードを公開するこ
11月19日、三菱UFJニコスのクレジットカード所有者向けWebサービスにおいて、9桁以上のパスワードを設定していたユーザーに対し、パスワードを強制的に8桁に切り詰める処理が行われたことが話題になっている(Togetterまとめ)。 ユーザーに送付されたメールによると、処理の内容は以下の通り。 従来、MUFGカードWEBサービスでは、お客様がパスワード登録に際して9桁以上の文字をご入力された場合、お客様のご入力された文字数にかかわらず、頭8桁をパスワードとして登録し、その後のご利用時に照合させていただいておりました。 このたび、MUFGカードWEBサービスのログイン方法変更に伴い、同サービスのパスワードの文字数を6~8桁に限定し、ご利用時にはそのすべてを照合させていただくことにいたしました。 パスワードご登録時に9桁以上ご入力されたお客様におかれましては、前述のとおり、頭8桁をパスワードと
ストーリー by hylom 2012年10月19日 18時32分 あーこのソフトの古いバージョン16年前に使ってたわー16年前にー 部門より 最近巷を騒がせている「遠隔操作ウイルス」だが、時事通信によると、なんとこのウイルスは「素人が購入することは考えにくい」「数万円から数十万円以上する専門的なソフト」である「VisualStudio2010」という開発ツールで作成されていたそうだ。 冗談はさておいて、この件についてはInternet Watchが詳しく報道しているが、プログラムにはC#や.NET Frameworkが使われており、「手製」で作成されていた模様。不正プログラム作成のためのツールキットやフレームワーク、既存コンポーネントなどは使われておらず、またルートキットやコードの難読化は行われていなかったとのこと。そのため、ウイルス対策ソフトでも検出できない状態が続いていたようだ。 プ
トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析、トレンドマイクロの分析などによると、手口は以下の様な物である。 まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込
ストーリー by headless 2012年09月22日 17時48分 steveballmer@outlook.comからのメール 部門より Hotmailにログインする際、パスワードの先頭16文字だけを入力するように表示されることが本家/.で話題になっている(The Next Webの記事、 本家/.)。 現在、Hotmailにログインしようとすると「Microsoft アカウントのパスワードは、16 文字までの長さにします。16 文字より長いパスワードをお使いの場合は、最初の 16 文字を入力してください。」と表示される。Microsoftアカウントの設定画面でも、新たに16文字以上のパスワードを設定することはできない。 MicrosoftがOutlook.comのサービスを開始した際、Microsoftアカウントのパスワードは最大16文字とされており、Yahoo!アカウント(最大
ストーリー by hylom 2012年09月14日 19時01分 100万円でいかがでしょうか(ただし『PR』付きに限る) 部門より 個人向け無料ウイルス対策ソフトや互換Officeスィートの発売元で有名なキングソフトが、高木浩光氏に「ネット上での評判形成」を依頼したとして、Twitter上で話題になっている。 これは高木氏本人が自らTwitterで『こんなメールが来た』として公表した事 から発覚したもので、『評判形成についてご協力いただける方を探しております』などとして、『影響力のあるブログ、facebook、twitter、もしくは、ヤフー知恵袋などに執筆いただき、弊社製品のポジティブな評判形成にご協力いただけないか』『まずは、「無料セキュリティソフトって良いよね」、「無料の中ではキングソフトよいよね」といった論調にしていきたい』という依頼であるとの事。 ステルスマーケティングはそも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
