パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

12826577 story
情報漏洩

有料放送を無料視聴可能にするプログラムを公開していた少年、佐賀県教委のシステムに不正アクセスしていた 44

ストーリー by hylom
どれだけのセキュリティだったのか 部門より
あるAnonymous Coward 曰く、

佐賀県教育委員会のシステムに不正アクセスを行い、氏名や住所と言った個人情報および成績情報などを不正に入手した疑いで17歳少年が再逮捕された。(NHK)。

この少年は、B-CASカード不要で有料放送を視聴できるプログラムを独自に開発・公開して逮捕されている。警視庁が少年のPCなどを調べたところ、流出したと見られるデータが発見されて発覚したようだ。また、この情報流出について佐賀県教育委員会は今まで公表していなかったという。

佐賀県は教育システムのデジタル化を進めており、「ICT化が最も進んでいる」とも言われていたようだ(Yahoo!ニュース)。

12823446 story
セキュリティ

コレガの無線LANルーターに脆弱性、サポート終了機種のため使用中止や設定変更を呼びかけ 40

ストーリー by hylom
2007年からスルーのほうが興味深い 部門より

コレガの無線LANルーター「CG-WLBARGL」にコマンドインジェクション脆弱性が発見された(INTERNET WatchJVN#76653039)。

この製品は2006年3月に発売された製品で、すでにサポート期間も終了していることから、コレガは使用停止を呼びかけている。なお、この脆弱性の情報が最初に情報処理推進機構(IPA)に寄せられたのは2007年9月だったとのこと。なお、ほかにも同社製の「CG-WLBARAGM」におけるDoSの脆弱性(JVN#24409899)および「CG-WLR300GNVシリーズ」における認証試行回数が制限されていない脆弱性(JVN#75028871)の情報が公開されている。

12823445 story
インターネット

自力でトラブルシューティングできない人や組織は、自前でWordPresでサイトを構築してはいけない? 39

ストーリー by hylom
実は恐ろしいWordPress 部門より
あるAnonymous Coward曰く、

セキュリティ研究者の徳丸浩氏がTwitterに「自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」というコメントを投稿したことが一部で話題になっている。

WordPressやそのプラグインではたびたび脆弱性が発見されており、単純に情報を漏洩させるだけで無く、別の攻撃を行う踏み台にされるケースもある。そういう状況を受けての発言だが、これに対し反論もあるようだ(「おおいわのこめんと」ブログGeekなぺーじ)。

12822198 story
Intel

Intel x86プロセッサに含まれている遠隔管理システムに危険性? 17

ストーリー by hylom
まだ現実的ではなさそうだが 部門より

最近のIntelのx86プロセッサやチップセットに含まれる「ME(Intel Management Engine)」に脆弱性があり、ハードを遠隔で操作可能になる可能性があるという話をマイナビニュースが伝えている。

MEはCPUとは独立したシステムで、ネットワークインターフェイスと接続されている。そのため、PCが停止状態でもネットワークアクセスを行える仕組みになっている。本来はリモートからの設定変更や管理などを行うための機構であり、さまざまな操作をネットワーク越しに行えるようになっているという。

マイナビニュース記事の元ネタとなっている研究者の記事(BoingBoing)によると、暗号化MEファームウェアについて「脆弱性を使って初期のモデルのMEの部分的なコントロールを奪取できた」という。ただ、MEでは多数のセキュリティ機能があり、その解析は非常に難しいようだ(セキュリティ関連イベント「CODE BLUE」で発表された資料「インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー」)。そのため、これを使ってファームウェアを不正に操作したり、RootKitを実行させるのはまだ現時点では難しいようだ。

12822433 story
セキュリティ

マイナンバーカードの電子証明書を使ってSSHログインする 38

ストーリー by hylom
使えるのか 部門より

マイナンバーカードには公的個人認証サービスのための電子証明書が格納されていることは公表されているが(総務省の「公的個人認証サービスによる電子証明書」ページ)、これには2048ビットのRSA秘密鍵が使われており、これをSSHログインの際の認証に使うことができるという(AAA Blog:マイナンバーカードでSSHする)。

記事によると、OpenSSHでICカードを使った認証を利用するためのソフトウェアが公開されており、対応ICカードリーダーを使って認証用の公開鍵を取得したり、SSHサーバーから送られたNONCEに対してカード内の秘密鍵で署名して送り返すことで認証を行う、といったことが可能という。ちなみに、証明書の失効情報を得るには総務大臣の認可が必要、だそうだ。認証の際、PIN(数字4桁)の入力は必要となるが、ICカードをかざすだけでログイン認証ができるのは手軽ではある。

12822414 story
Google

Googleが使い勝手の良い二段階認証を導入。PCのサインインをスマホ側で承認可能に 87

ストーリー by hylom
確かに使いやすい 部門より
あるAnonymous Coward曰く、

Googleが新たなログイン手法「Google Prompt」を発表した(CNET JapanGoogle Apps updatesブログEngadget Japanese)。

従来よりセキュリティを高めるためとして使われていた二段階認証は、専用のスマートフォンアプリを利用して生成するか、もしくはSMSで送信されたパスコードをPCで入力するというもの。しかし、このようにわざわざパスコードを入力するのは面倒であった。

今回新たに発表されたGoogle Promptでは、ログインをしようとした際にあらかじめ登録しておいたスマートフォンに「ログインしようとしていますか?」等のメッセージを表示して確認を行うもの。ここで「はい」をタップするだけでログインが完了する。

12820956 story
アメリカ合衆国

米国防総省の懸賞金付きバグ探しプログラム「Hack the Pentagon」、成功を受けて拡大へ 6

ストーリー by hylom
合法的に米国防総省を狙えますよ 部門より

米国防総省が、システムの脆弱性を見つけて報告した人に報奨金を支払う「Hack the Pentagon」プログラムを拡大する方針を明らかにした(TechCrunch)。

このプログラムは4月18日から5月12日にかけて実施されたもの。410名が参加し、合計138種類のバグが報告され、計7万1200ドルの賞金が支払われたという(hackeroneのHack the Pentagonページ。最も多く発見された脆弱性はXSSで、続いて意図しない情報公開とCSRFが続いたという。また、最も深刻だった脆弱性はSQLインジェクションだったそうだ。

この成功を受けて、米国防総省はより多くのシステムやネットワークを対象に加えて新たなプログラムを開始する方針だそうだ。

12819566 story
政府

政府機関に対するセキュリティ脅威、2015年度は前年度比1.5倍に 2

ストーリー by hylom
狙われる政府 部門より
あるAnonymous Coward 曰く、

政府・サイバーセキュリティ戦略本部が2015年度の「サイバーセキュリティ政策に係る年次報告」を決定した。これによると、2015年度の政府機関に対するサイバー攻撃といったセキュリティ脅威発生件数は前年度比1.5倍の約613万件だったという(日経コンピュータDigital)。

また、内閣サイバーセキュリティセンター(NISC)が対象機関に対応を促すために通報した件数は前年度比約3分の2となる163件だった。このうち4割が「不審な通信の検知」によるものだったという。なお、通報には深刻な事態を引き起こした年金機構事案関連のものも含まれている。

今後は「政府機関等の情報セキュリティ対策のための統一基準群」の改定も行う計画で、「情報システムの重要な情報を扱う部分のインターネットからの分離」「クラウドサービス及び提供事業者の信頼性の確認」などが検討されているという。

12818523 story
情報漏洩

米民主党、ロシア系組織からサイバー攻撃を受けトランプ氏の調査資料を流出させる 26

ストーリー by hylom
セキュリティ関連でもトランプ氏が話題に 部門より
caret曰く、

米民主党全国委員会 (DNC) のコンピュータが、ロシア政府系とみられる2つの組織からのサイバー攻撃を受けたという。この攻撃によって、米大統領選の共和党候補であるドナルド・トランプ氏について同党が調査した資料が盗み出されていたそうだ。ワシントン・ポスト紙(電子版)が6月14日、DNC関係者やセキュリティ専門家の話を元に報じた(Washington PostEndpoint Protection Blog from Crowdstrikeの投稿時事通信日経新聞CNN.co.jpAFPロイターブルームバーグ)。

同紙によれば、一連のサイバー攻撃は1年間にわたって行われた非常に大規模なもので、DNCのシステム内の電子メールやチャットが外部からすべて読める状態になっていたという。この攻撃の痕跡をDNCが発見したのは今年4月で、その後調査依頼を受けたセキュリティ企業・米クラウドストライク社によると、攻撃を行ったのは「コージー・ベア」と「ファンシー・ベア」という名称だそうだ。ロシアの情報機関と密接な関係を持ち、ロシア政府に有利な政治的・経済的スパイ活動を行っており、高度な技術を有しているという。

うち1つはホワイトハウスや国務省の非機密ネットワークの侵入にも成功していたという。また、両グループは協力しておらず、それぞれ独立して侵入したとみられるという。さらに民主党の大統領候補指名を確実にしたヒラリー・クリントン氏やドナルド・トランプ氏本人、共和党の複数の政治活動委員会も標的にしていたとワシントン・ポストは報じている。なお、財務データや資金提供者などの個人情報を盗まれた形跡はないとしている。

先週末にDNCのシステム修正が行われ、またクラウドストライク社による監視も行われているとのこと。なお、ロシアのペスコフ大統領報道官は、モスクワで「政府または政府機関がこの件に関与していた可能性を全面的に否定する」と述べたという。

なお、今回盗まれた200ページ超のドナルド・トランプ氏に関する調査資料が、「Guccifer 2.0」を名乗る人物により、ネットメディア企業Gawkerに送付されたという(GawkerCNET Japan)。この人物は100GBに及ぶ財務報告書、資金提供者の一覧、選挙綱領、共和党対策、個人のメールなどのデータを所有していると主張しており、Gawkerが報じたところによれば、ほかにも寄付の登録台帳や戦略ファイルなどさまざまな文書が送られてきたという。この報道は、前述の財務データや個人情報は盗まれていないというワシントン・ポスト紙の報道と矛盾する。

なお、ロシア政府系クラッカーとしては、今回の動きは異例だという。

12815750 story
テクノロジー

非接触ICカードを非接触で「毎秒15枚」コピーできるというデバイス 43

ストーリー by hylom
暗号もすでにクラックされているのだろうか 部門より
taraiok曰く、

「The CC Buddies」と呼ばれる犯罪者グループが、非接触ICカードの情報を8cmほどまで近づけばコピーできるというツール「X5」を販売しているという(SOFTPEDIASlashdot)。

X5はRFIDを採用した非接触ICカードからデータを抜き出せるツールで、「毎秒15枚ペース」でカードのコピーを作成できるという。バッテリー駆動が可能であるため、コンサートや混雑した地下鉄などで悪用された場合影響が大きいと見られる。デビットカードなどを不正にコピーして金銭を引き出す、という使い方が想定されているようだ。

価格は1.2Bitcoin(約800ドル)でX5デバイス本体、充電機器やデータ転送用USBケーブル、および20枚のブランクカードが付属するという。

12815870 story
テレビ

テレビを乗っ取り身代金を要求するランサムウェアが登場 35

ストーリー by hylom
テレビならリセットすれば良いような 部門より
あるAnonymous Coward 曰く、

ランサムウェアがテレビを乗っ取り身代金を要求する事例が出てきたそうだ(Engadget JapaneseGIGAZINE)。

トレンドマイクロが、Android OSをベースとするスマートテレビにランサムウェア「Flocker」が感染した例を報告している。報告されたFLockerは、感染すると画面に警察などの法的執行機関を装って"罰金"と称してユーザーに対し約1~2万円相当のiTunesギフトカードを要求してくるという。

今回スマートテレビに感染したFLockerはスマートフォンなどを標的としたものとまったく同じもので、感染経路はスパムメールやウェブページの不正リンクなどだと見られている。

12814494 story
Windows

「Windows 7のセキュリティは不十分」? 122

ストーリー by hylom
紐付き調査 部門より

FFRIが、日本マイクロソフトの依頼を受けて調査を行い制作したという「Windows 10セキュリティリスク抑制効果調査報告」(PDF)を公開した(INTERNET Watch)。これによると、「Windows 7はセキュリティ面では不十分」だという。

Windows 7は未だ多くのユーザーが利用しているが、Windows 7に搭載されているセキュリティ機能は調査・分析が進んでおり、回避・対抗する手法が発見されているという。Windows 10ではコード実行時に実行使用とするコートが正規のコードなのかをチェックする「CFG」という仕組みや、スパムや不審なメールを防ぐ「SmartScreen」といった機能、仮想化技術を利用した環境分離機能、生体認証のOS標準でのサポートなどが導入されており、「Windows 7リリース以降に積み上げられた攻撃技術の進歩に対して確かな防御機能を搭載、提供している」という。

いっぽう、Windows 10の新しいセキュリティ機能については「懸念材料」もあるという(キヤノンITソリューションズのマルウェア情報局)。こちらはセキュリティ企業ESETの研究員による記事で、Windows 10の新セキュリティ機能について「かなり有望である」としつつも、「これらの新たなセキュリティ機能はいずれも、ハードウェアの次元での有効性しか、今のところ実証されていない」といい、「マルウェアによって金を稼いでいる犯罪者にとっては、たとえMicrosoft社からセキュリティの強固なWindowsの新しいバージョンが出たとしても、ただ、これまでと同じことをするだけなのです」と指摘している。

12814501 story
バグ

Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信 20

ストーリー by hylom
うっかり 部門より
headless 曰く、

Let's Encryptが11日、ほかのユーザーの電子メールアドレスを記載した電子メールをユーザーに送信していたことを発表、謝罪した(Let's Encryptの報告Register)。

この電子メールは、電子メールアドレスを登録しているすべてのアクティブサブスクライバーに対し、サブスクライバー契約書の内容変更を知らせる内容で、自動送信システムにより送信された。しかし、プログラムのバグにより、前に送信した送信先が次々と本文に付加されていったのだという。問題に気付いたLet's Encryptは全体のおよそ1.9%にあたる7,618通を送信したところでシステムを停止させたが、0~7,618件(件数は原文ママ)の電子メールアドレスが記載された電子メールが送信されてしまったとのこと。

Let's Encryptでは原因を調査し、再発防止に努めるとしており、調査結果を後日発表するとのこと。また、該当する電子メールを受信したユーザーに対しては、リストを公開しないように求めている。

12814665 story
セキュリティ

「実在には存在しない情報」をメモリキャッシュに埋め込むというセキュリティ対策 43

ストーリー by hylom
名前だけで無くWebサイトも色々とアレゲ 部門より

インテリジェントウェイブ(IWI)が、セキュリティ対策ソリューション「Deception Everywhere」を発表した(発表PDF)。

このシステムでは端末やサーバーのメモリキャッシュに実際には存在しないサーバーへのログイン情報や閲覧履歴などを埋め込むことで、実際には存在しないサーバーがネットワーク内にあたかも多数存在するように見せかけるという。これにより、攻撃者が実在するサーバーへ攻撃を行うことを防ぐという(ASCII.jp)。

この技術を開発したillusive networks(直訳すると幻影のネットワーク)社のWebサイトによると、この技術ではサーバーだけで無く、実在しない端末やユーザーについても作り出せるようだ。このような「幻のユーザーやサーバー、端末」への攻撃を行わせ、それを検出してアラートを出す、というものらしい。

12813376 story
携帯電話

カスペルスキー、「信頼できない充電スポット」に警鐘を鳴らす 58

ストーリー by hylom
以前から言われているアレ 部門より

カスペルスキーが、「スマートフォンの充電によるデータ収集の危険性を調査」なる文書を公開している。スマートフォンを安易に信頼できないPCや充電器に接続するのは危険、という内容のものだ。

スマートフォンはPCと接続すると、それだけでさまざまな情報をPCに送信するという。送信される情報には端末を識別するのに十分な情報が含まれており、これを悪用することでユーザーを追跡するようなことも可能だという。また、カスペルスキーではPCに接続された携帯電話に対し、管理者権限が必要なアプリをインストールさせることにも成功したという。

この結果を受けてカスペルスキーは、信頼できない充電スポットやコンピュータを使ってスマートフォンと充電するのは避けるべきである、としている。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...