パスワードを忘れた? アカウント作成

12851952 story
スパコン

KDDIおよび九大の研究チーム、「世界で誰にも解読されていない」という暗号問題を初めて解読 26

ストーリー by hylom
手法が凄いのか実装が凄いのか 部門より

KDDI研究所と九州大学の研究チームが、「これまで誰も解読に成功していなかった」という60次元のLearning with Errors(LWE)問題の解読に成功したと発表した

n次元のLWE問題とは、m×nサイズの行列Aとn×1サイズのベクトルbが与えられた場合にA・x+e=bを満たすxを求めるというものである。Aおよびe、bがすべて既知であれば単純な問題であるが、LWE問題ではAおよびbのみが与えられ、eについては未知(非公開)であることがポイントとなる。

現在、この問題を解くためのコンテスト「TU Darmstadt Learning with Errors Challenge」が行われており、KDDI研究所と九州大学だけが解読に成功している状況だ。このコンテストでは次元数およびeの分散が異なる複数の問題が用意されているが、次元数や分散が多いほど解を得るのが難しく、60次元のLWE問題を解いたのは同チームが初めてだという。

KDDIおよび九州大学が開発した手法についての詳細は明らかにされていないが、分枝限定法という、解を探索しながら条件を満たす解の候補の集合を小さくしていく手法に分類されるもののようだ。

12852123 story
暗号

北朝鮮の平壌放送、数分にわたって延々と数字を読み上げ続ける 52

ストーリー by hylom
誰か解読した人はいないのだろうか 部門より

北朝鮮の国営平壌放送が、6月24日の未明に「2桁か3桁のページ数」と「1桁か2桁の番号」を次々と読み上げるラジオ放送を3分半にわたり行ったという。また、7月15日にも同様の放送を12分にわたって行ったそうだ(NHK)。

放送された数字は何らかの情報を暗号化したものと推測されており、「暗号放送」「乱数放送」と呼ばれている。工作員はこの数字を乱数表を使って解読することで、その内容を知ることができるという。しかし、近年北朝鮮はインターネットを使って工作員とやり取りしていると言われており、今回の暗号放送は単なる「心理戦」の一環だとの指摘もある。

12850754 story
人工知能

DARPA、ゼロデイ脆弱性の自動発見と自動対処を目指すサイバーグランドチャレンジを開催 10

ストーリー by hylom
自動防御壁 部門より
あるAnonymous Coward曰く、

国防高等研究計画局(DARPA)が、自動でゼロデイ脆弱性を発見し、さらにそれへの対処パッチも自動で作成するという技術の開発を競う「DARPA Cyber Grand Challenge(CGC)」を開催する(ロボスタYahoo!FINANCETECH INSIDERSlashdot)。

ゼロデイ脆弱性が悪用されてからベンダーがその脆弱性に気がつくまでに平均して312日かかっているとされる。その間はハッカーは脆弱性を利用できることになる。CGCは数分以内にこの問題を自動で対処できるようにし、長年にわたる問題を解決することが目的だという。

CGCは8月4日に決勝戦が行われ、優勝チームは賞金200万ドルが、2位・3位にはそれぞれ100万ドル、75万ドルが贈られる。エントリーは「アメリカに基盤を置くチーム」のみが可能で、一次予選には104チームが出場していたという。

12850945 story
政府

総務省「高度な知識を要する」情報セキュリティ非常勤職員募集。日給8000円 70

ストーリー by hylom
安い高度な知識 部門より
あるAnonymous Coward 曰く、

総務省情報流通行政局情報流通振興課情報セキュリティ対策室が「情報セキュリティに関する施策」に関する非常勤職員の募集を開始した。勤務時間は10時00分から16時45分まで(土日休日を除く)、休憩時間60分で賃金は日給8000円とのこと。

職務内容は「高度な専門的知識を必要とする以下の事務に従事させる」とし、「情報セキュリティに関する施策」とそれに関する「周知広報に関する業務」「その他、関連業務」となっており、募集対象者は「情報通信ネットワークの構築・運用に関する専門的知識、実務経験を有する」などとしている。

これ応募したい人いる?

12849786 story
インターネット

「HTTP_PROXY」環境変数に不適切な値が与えられる脆弱性、多くの環境で影響 18

ストーリー by hylom
なるほど 部門より
あるAnonymous Coward曰く、

JPCERT/CCが、CGI等を利用するWebサーバの脆弱性(CVE-2016-5385等)に関する注意喚起を行っている。

UNIX/Linux系環境で動作するHTTPクライアントの多くは、通信を行う際に「HTTP_PROXY」環境変数を参照し、もしこの環境変数が設定されていればここで指定されているホストをプロクシとして使用するという動作を行う。このHTTP_PROXY環境は本来はサーバーやアプリケーションを実行する側が設定するものであるが、HTTPリクエストヘッダを利用してこれを外部から任意の値に書き換えることができるという(INTERNET WatchITmediaJPCERT/CC)。

kb.cert.orgの説明が分かりやすいが、CGIの動作について記述したRFC3875の4.1.18.では、HTTPヘッダの形でサーバーに渡されたメタ変数について、その変数名を大文字にし、「-」を「_」に置換し、先頭に「HTTP_」を付ける、というルールが明記されている。もしサーバーに対して送信されるリクエストヘッダ内に「proxy:」というヘッダが存在した場合、このルールに従うと「HTTP_PROXY」という変数名に送信されたヘッダの内容が格納されることになる。CGIの多くではこのような変数を環境変数に格納するため、結果としてHTTP_PROXY環境変数が外部から送信された値に書き換えられてしまうことになる。

また、同様にして「HTTP_」で始まるHTTP_PROXY以外の環境変数についても外部から書き換えることが可能になり、これを悪用することで攻撃者は中間者攻撃やサーバーに対し意図しない挙動を実行させることが可能になる可能性がある。

現時点ではApache HTTP ServerやPHP、GO、Pythonなど多くのソフトウェアが影響を受けるとのこと。対策としてはリクエストヘッダ内の「proxy:」ヘッダを無視するよう設定する、HTTP_PROXYや「HTTP_」で始まる環境変数を使用しない、などが挙げられている。

12848127 story
Windows

Windows 10 Anniversary UpdateでBSoDに追加されるQRコード、攻撃に使われる可能性が指摘される 38

ストーリー by headless
用心 部門より
Windows 10 Anniversary Updateでは深刻なエラーが発生したときに表示されるブルースクリーン(BSoD)にQRコードが追加されるようだが、これを悪用した攻撃が行われる可能性をPanda Securityが指摘している(Panda Securityのニュース記事BetaNewsの記事)。

BSoDのQRコードは、スマートフォンのQRコードリーダーアプリなどでスキャンするとMicrosoftのトラブルシューティングページにリダイレクトされるというものだ。しかし、偽のBSoDを表示させることはそれほど難しいことではなく、QRコードでフィッシングサイトに誘導したり、ドライブバイダウンロードでマルウェアに感染させるなどの攻撃に悪用される可能性もある。

QRコードを悪用した攻撃以前から注意喚起されているが、深刻なエラーが発生したと思い込まされることで、偽サイトであることに気付かず個人情報などを入力してしまう可能性もある。現在のところ、本物のBSoDに表示されるQRコードはエラーの内容にかかわらず同じページを示しているのでわざわざスキャンするまでもないが、今後変更される可能性もある。そのため、実際の処理を実行する前に読み取り内容を確認できるQRコードリーダーアプリを使用したり、スキャンする前にCtrl+Alt+Delキーを押すなどするといいだろう。
12847117 story
お金

データを復元できないのに身代金を要求する新種のランサムウェア 35

ストーリー by headless
手軽 部門より
データの復元手段を持っていないのに身代金を要求する新種のランサムウェア「Ranscam」の詳細について、Talosが報告している(Cisco Talos Blogの記事Ars Technicaの記事The Registerの記事)。

RanscamはWindows上で動作し、ユーザーのファイルを暗号化するのではなく削除してしまう。削除されるのは「ドキュメント」「ダウンロード」「ピクチャ」「ミュージック」といったフォルダー内のファイルとサブフォルダーのほか、「システムの復元」で使用する実行ファイルやシャドウコピーなども削除し、ユーザーによる復元を困難にする。また、セーフモードでの起動に関連するレジストリキーの削除やタスクマネージャーを起動できないようにする設定なども行われるという。

ファイルは既に削除されているにもかかわらず、Ranscamは「隠しパーティションに移動して暗号化された」などと表示し、復元のためにビットコイン(0.2 BTC)の支払いを要求する。しかし、ビットコインを支払って確認用のボタンをクリックしても実際の確認処理は行われず、「支払いは確認されなかった」といったメッセージが表示されるとのこと。そもそもRanscamの作者はファイルの復元手段を持っていないのだが、Talosがビットコインの支払いができなかったと連絡すると、支払い手順を電子メールで丁寧に説明してくれたそうだ。

なお、Talosが入手したすべてのサンプルで同じビットコインワレットのアドレスが使われており、トランザクションを確認したところ、実行ファイルの署名の発行日以降に被害者が支払いを行った形跡はなかったという。また、現段階ではRanscamが広く拡散している様子はないとのこと。

TalosではRanscamのようなランサムウェアの出現により、身代金を支払えばランサムウェアの作者が正直にファイルを復元してくれる段階は過ぎたとしている。Ranscamのようなランサムウェアでは暗号化処理のように高度な技術を必要としないため、手軽に収入を得ようとする亜種が今後増加する可能性もある。そのため、完全に復元可能なオフラインバックアップを用意し、ランサムウェア作者が収入を得られないようにする必要があると述べている。
12847115 story
暗号

Google、Chrome Canaryでポスト量子暗号を実験 30

ストーリー by headless
実験 部門より
あるAnonymous Coward 曰く、

Googleは7日、デベロッパー版のChrome Canaryに「ポスト量子暗号」の暗号技術を搭載したことを発表した(日経コンピュータDigitalの記事TechCrunch Japanの記事)。

ポスト量子化暗号が使われるのは、Chrome CanaryとGoogleドメインとの通信の一部だ。TLSなどで使われる公開鍵暗号を復号するには、鍵を取り出すために大きな数を因数分解する必要がある。現在のコンピューターでは非常に長い時間がかかるため公開鍵暗号は安全とされているが、量子ゲート方式の量子コンピューターが実現すると、妥当な時間内で鍵を取得できてしまう可能性がある。そのため、量子コンピューターでも破れない暗号として開発が進められているのがポスト量子暗号だ。Chrome Canaryでは実験にあたり、「New Hope」アルゴリズムを選択している。

Googleによれば、実験は現在の暗号化された通信を記録し、大規模な量子コンピューターが実現した際に復号するといった問題を想定したものだという。現在の量子コンピューターは小規模で実験的なものだが、情報の中には数十年にわたって機密扱いとなるものもあるため、将来を見据えた準備が必要とのこと。Chrome CanaryとGoogleのサーバーとの通信で既存の楕円曲線暗号に加えてポスト量子暗号を用いることで、現在のコンピューターでポスト量子暗号が破られることがあっても、通信のセキュリティを犠牲にすることなく実験が行えるとのことだ。なお、GoogleではNew Hopeをデファクトスタンダードにするつもりはなく、よりよいアルゴリズムに置き換える形で2年以内に実験を終える計画だという。

12846148 story
ソフトウェア

Flash Playerの拡張サポート版、2016年10月11日をもって廃止に 44

ストーリー by hylom
そろそろFlashを止めることも検討すべきでは 部門より
あるAnonymous Coward曰く、

Adobe Flash Player 18系拡張サポート版(ESR)の維持・更新が、2016年10月11日で終了する(Adobe Systemsの配布サイト)。

現在Flash Playerの最新版はバージョン22系(Linux番はバージョン11系)だが、互換性などの問題のために過去のバージョンを使い続けたいユーザーに向けて拡張サポート版としてバージョン18系もリリースされ続けていた。しかし、セキュリティ関連の修正が機能変更の数を上回るようになったため、ESRブランチを廃止し標準リリースのみに注力することにしたという。

12846139 story
セキュリティ

複数のWebサービスで共通のパスワードを使用していないか調べるツール 21

ストーリー by hylom
これをネットサービス化して不特定多数のパスワードをゲットしよう 部門より
headless曰く、

複数のWebサービスで共通のパスワードを使用する危険性は以前から指摘されているが、このような共通のパスワードを使用しているサービスを調べるコマンドラインツール「shard」がGitHubで公開された(GitHub — shardArs Technica、、Register)。

shardはユーザー名とパスワードを指定して実行することで、FacebookやLinkedIn、Reddit、Twitter、Instagramで共通の認証情報を使用していないかどうかを確認できる。認証情報の書かれたファイルを指定することで、複数の認証情報をまとめて確認することも可能だ。

作者のPhilip O'Keefe氏は多くのWebサービスで共通のパスワードを使用していたが、LinkedInから流出したパスワードの中に自分のパスワードが含まれていることを確認したためshardを開発したという。

shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。調査先のサイトはモジュール化されているため、モジュールを作成することで任意のサイトを追加できる。

12845222 story
Firefox

Firefox 48にはRust言語で書かれたコンポーネントが初搭載される 42

ストーリー by hylom
Rustも触ってはみたいものの 部門より
headless曰く、

Mozillaは12日、Rust言語で開発されたコンポーネントを8月2日リリース予定のFirefox 48に初搭載すると発表した(Mozilla HacksPhoronixSoftpediaRegister)。

Firefoxに初搭載されるRustのコンポーネントはMP4パーサーだ。悪意のあるメディアコンテンツから保護するため、メディアスタックのコンポーネント開発ではメモリーセーフなRust言語が威力を発揮する。このMP4パーサーはオリジナルのC++で書かれたコンポーネントと遜色ない結果が得られ、Firefoxが収集した10億件以上のテレメトリーデータで問題が一切発生しなかったことが確認されているという。このコンポーネントはFirefox 48のすべてのデスクトッププラットフォームに搭載され、Androidでも近くサポート予定とのこと。

Mozillaは先日、Rustで書かれた新ブラウザーエンジン「Servo」のナイトリービルドを公開しているが、Servoの開発者は2016年中にServoのコンポーネントを少なくとも1つはGecko/Firefoxのリリース版に搭載することを目標にしているそうだ。

12843807 story
携帯電話

「拳銃型スマートフォンケース」の携帯にご注意を、場所によっては罪に問われる可能性も 34

ストーリー by hylom
冗談では済まされないご時世 部門より
あるAnonymous Coward 曰く、

ロンドンのスタンステッド空港に拳銃型のiPhoneケースを持ち込んだ男性が、罪に問われる可能性が浮上している。地元エセックス警察はTwitterで男性の後ろ姿の写真を掲載しているが、確かに銃器のグリップにしか見えないものがポケットから見えている(CNETiPhone ManiaSlashdot)。

こうした銃にしか見えないiPhoneケースは、以前から物議を醸してきた。昨年の9月には銃を模したiPhoneケースが本物の銃と勘違いされ、オランダの空港で非常線が張られるという騒ぎが起きているという。警察はこのような状況に直面した場合「瞬時に決断を下さなければならない」とし、こうした形状のケースを空港に携帯すれば「飛行機に乗れる可能性は非常に低くなる」と警告、今回の男性も罪に問われる可能性があるという。

12844194 story
アメリカ合衆国

米国はマルウェア「Stuxnet」でイランに深刻なダメージを与えようとしていた 36

ストーリー by hylom
リアル戦争 部門より
あるAnonymous Coward 曰く、

マルウェア「Stuxnet」をテーマにしたドキュメンタリー映画「Zero Days」が米国で公開された。この映画では関係者の証言がまとめられているが、これによると米国はサイバー攻撃によってイランに深刻なダメージを与えようとしていたという(Network WorldシネマトゥディSlashdot)。

このサイバー攻撃計画のコードネームは「Nitro Zeus」でイランの通信システム、電力網、輸送、金融システムといった主要インフラをダウンさせることを目指していた。また、イランのウラン濃縮施設内部コンピューターに侵入し、遠心分離機を損傷させる目的もあったという。

映画ではStuxnetを作成したのは誰なのか、ターゲットはどこなのかという全体像を把握するため、コード解明に注力したシマンテックの研究者などへのインタビューも行われている。研究者はこのコード解析を行った場合、政府に口封じされるのではないかと内心心配していたようで、シマンテックの研究者Eric Chien氏は「私が月曜日に死んでいたとしてもそれは自殺ではない」と同僚のLiam O Murchu氏に語っていたほど危機感を感じていたという。

また、映画は匿名のCIAとNSAの関係者による「サイバー攻撃によってインフラを攻撃した場合、甚大な被害が出るだろう。電力網が長期間落ちた場合、膨大な死者が出ていたはずだ」との発言も引用されている。

12843272 story
情報漏洩

顧客の情報を勝手に別の会社に横流ししたシステム開発・運用会社が摘発される 44

ストーリー by hylom
やってることはベネッセ事件と同じ 部門より
あるAnonymous Coward 曰く、

「電話を使った占いサービス」のシステム開発や保守を請け負っていた企業「アンサー」が、保守を請け負っていたシステムから営業情報を不正に複製して同業他社に提供したとして、その取締役が不正競争防止法違反(営業秘密の複製、開示)容疑で逮捕された(時事通信NHK)。

不正に複製された営業情報は電話占いサービスの利用状況や金額などとのこと。容疑者は容疑を認めているという。

システムやネットワークにどんな対策を施していたところで、システム会社に情報を横流しされてしまってはどうしようもないと思うのだが、こういうリスクにはどのように取り組むべきなのだろうか?

12842807 story
Android

話題のPokemon GO、さっそく偽アプリが登場 17

ストーリー by hylom
色々な方向で話題に 部門より
あるAnonymous Coward 曰く、

リリース後、米国内の全Android端末の5%強にインストールされたとも報じられている話題のアプリPokemon GOだが、早速これに便乗した偽アプリが登場しているそうだ(ITmedia)。

この偽アプリはサードパーティが運営するAndroidアプリ配布サイトで公開されているという。アイコンやタイトルは「Pokemon GO」のものをそのまま使っているようだが、このアプリには遠隔操作ツールが埋め込まれているそうで、インストールすると端末内の情報が盗まれたり、遠隔操作される可能性があるという。

なお、Pokemon GOが本来不要なはずのGoogleアカウントへのフルアクセス権限を要求していることも判明、こちらは開発元のNianticが問題を認め、修正を行うことを明らかにしている(Engadget Japanese)。

そのほか米国では、Pokemon GOユーザーを狙った強盗事件も起きているという。アイテムやポケモンを入手できる場所として指定されている駐車場や教会に待ち伏せし、集まってきたユーザーを拳銃で脅して強盗するという手口だそうだ(ギズモード・ジャパン)。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...