パスワードを忘れた? アカウント作成

今週も投票をしましたか?

12898032 story
NASA

NASA、HPEの保守サービスに不満。セキュリティレベルが低下しているという指摘も 7

ストーリー by hylom
HPか 部門より
taraiok曰く、

NASAは2011年、当時のHP Enterprise Services(現HPE)と25億ドルでACESプログラムに基づいたPCや携帯端末などの提供および保守のための契約を行った。しかし、NASAはHPEの提供するサービスに不満を持っており両社の関係が悪化、NASAのセキュリティにも影響が出ているとの指摘があるようだ(Federal News RadioArs TechnicaSlashdot)。

米国政府機関のビジネス機器を外部業者が保守するには、ATO(An Authorization to Operate)という認証を受ける必要がある。しかし、NASAのRenee Wynn CEOは、HPEに対してこの認証許可を出さず、HPEのATOは7月24日に失効したという。そのため現在HPEには「制限付き」ATOが付与されているそうだ。政府機関が大手代理店にATOを失効させるというのは前代未聞だとしている。

原因はACES契約条件に関する意見の相違で、具体的にはHPEが提供するサービス内容にNASAが不満を持っているという。たとえば、2016年4月現在、NASAの53,000台以上(うち38,000台以上はACES契約中)のシステムで426,000個の重要なパッチ見落としが発生していたそうだ。

12896235 story
iOS

Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 11

ストーリー by headless
修正 部門より
Appleは25日、iOS 9.3.5をリリースした。このバージョンで修正された3件のゼロデイ脆弱性は、連携させることでリモート脱獄が可能となるものだ(Appleサポートの記事Lookout Blogの記事The Citizen Labの記事Ars Technicaの記事)。

脆弱性はカーネル関連2件とWebKit関連1件で、それぞれアプリケーションによるカーネルメモリー漏洩(CVE-2016-4655)、アプリケーションによるカーネル特権での任意コード実行(CVE-2016-4656)、Webサイトを訪問することによる任意コード実行(CVE-2016-4657)となっている。これらの脆弱性はイスラエルのNSOグループによる「Pegasus」スパイウェアで使われており、脆弱性を確認したCitizen LabとSophosでは3件の脆弱性をまとめて「Trident」と呼んでいる。

NSOグループは「合法的な傍受」を可能にするスパイウェア製品を政府機関専門に販売するサイバー戦争企業だという。Pegasusはターゲットを攻撃用のWebサイトに誘導してiOSデバイスにスパイウェアをインストールすることで、メッセージや通話、電子メール、アプリのデータなどへのアクセスを可能にする。

(続く...)
12894389 story
情報漏洩

Dropbox、4年以上パスワードを変更していないユーザーにパスワード変更を促す 25

ストーリー by headless
変更 部門より
Dropboxでは、4年以上パスワードを変更していないユーザーに対し、パスワード変更を促している(DropboxヘルプセンターNeowinの記事The Registerの記事BetaNewsの記事)。

これは2012年に発生したメールアドレス流出に関連するもののようだ。この件は他のWebサイトから流出したユーザー名とパスワードがDropboxアカウントへのサインインに使われたとの結論が出ているが、当時取得されたとみられるDropboxの認証情報(メールアドレスとソルトを加えてハッシュ化されたパスワード)の存在が確認されたとのこと。対象は2012年半ば以前にDropboxに登録し、2012年半ば以降パスワードを変更していないユーザーとなっている。

Dropboxによると現在のところ不正アクセスの発生は確認されていないが、該当するユーザーには予防措置としてパスワード変更を必須としているとのこと。対象ユーザーにはメールで通知されるほか、dropbox.comへの次回ログイン時にパスワード変更が促される。ただし、対象とならないアカウントのユーザーにもメールで通知されることがあるようだ。

詳しくはDropboxヘルプセンターの記事に記載されているが、日本語版にはあいまいな部分があるため、不明な点が出た場合は英語版もあわせて参照してほしい。言語設定はページ下部のリンクから変更できる。
12892448 story
セキュリティ

ありがちなパスワードを「強い」パスワードと判断してしまうパスワード強度メーター 27

ストーリー by hylom
あてにしてはいけないやつ 部門より
headless 曰く、

昨年、パスワードの強度を判定するツールの問題点が話題になったが、jQueryプラグインとして提供される人気のパスワード強度メーターでは現在もあまり改善されていないようだ(Naked SecurityGuardianRegister)。

デジタルコンサルタント会社、英Compound EyeのMark Stockley氏は昨年、スラドで紹介したカナダ・コンコルディア大学の研究とは異なる方法でパスワード強度メーターを調査し、Naked Securityで結果を発表している。先日新たに掲載された記事によれば、前回の調査から1年以上たった現在も状況は変わっていないという。

判定に問題のあるパスワード強度判定ツールの弱点は、文字種や文字数の多さといったエントロピーにばかり注目するところだ。Stockley氏の行ったテストは、jQueryプラグインとして公開されているパスワード強度メーターで人気の高いもの5本を選び、よく使われるパスワード上位10,000件のリストから特定の条件を満たすパスワード5本を選んで判定させるというものだ。パスワード強度メーターはGoogleで「jquery strength meter」を検索し、上位5本を選んでいる。

選ばれたパスワードは「abc123 (14位、英字と数字の組み合わせで最上位)」「trustno1 (29位、英字と数字の組み合わせで2位)」「ncc1701 (158位、エンタープライズ号の登録番号)」「iloveyou! (8,778位、英数字以外の文字種が使われた中で最上位)」「primetime21 (8,280位、英字と数字の組み合わせで一番長い)」となっている。これらのパスワードはパスワードクラックツール「John the Ripper」で1秒以内にクラックできてしまうという。

これらのパスワードは確実に弱いパスワードだが、5本のパスワード強度メーターは少なくとも1つのパスワードでパスワード強度「中」と判定している。今回使用したパスワード強度メーターのうち2本は前回と同じものだが、前回とまったく同じ結果が出ている。今回はDropboxなどでも使われ、評価の高いオープンソースのパスワード強度メーター「zxcvbn」を比較対象として同じテストを行っており、こちらはすべて「非常に弱い」と判定したとのこと。

12890542 story
情報漏洩

東京電力パワーグリッドの社員、執務室内で法人情報入りHDDを紛失 48

ストーリー by hylom
いったいどうして 部門より
あるAnonymous Coward 曰く、

東京電力傘下で送配電事業を行う東京電力パワーグリッドで、顧客情報が格納された外付けHDDを社員が執務室内で紛失するという事件が発生したとのこと(東京電力パワーグリッドの発表)。

問題のHDDに含まれていた情報は約21万軒の法人情報(契約名義、住所、郵送先、連絡先情報)や社内文書。外部のPC等では容易にデータ閲覧が行えないよう、セキュリティ対策が行われているためデータ流出の可能性は低いとしている。

しかし、外付けHDDを外に持ち出して紛失、という話なら分かるが、オフィス内で紛失して行方不明というのはどういう状況なのかよく分からない。さすがにこのご時世で清掃スタッフがゴミとして捨てる、ということはないだろうし。

12887179 story
暗号

PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される 9

ストーリー by hylom
時代の進化 部門より

ソースコードの改ざん防止や本人確認に使われるPGP署名で、鍵の偽造が問題になっているようだ。

問題となっているのは鍵IDが32ビットの鍵だそうで、Linuxの開発者であるLinux Torvalds氏やGrek K-H氏の偽造鍵が発見されているようだ(LKMLへの投稿ZDNet Japan)。

すでに32ビットの鍵IDは脆弱であることが知られており、GPUを使った処理で容易に偽の鍵を生成できる状態になっているようだ。 対策としては鍵IDのビット数をより長いものにすれば良い。また、今回は偽造鍵が見つかっただけで、それ以外のトラブルや問題、これを利用した攻撃などは確認されていないようだ。

ただ、こういった脆弱な鍵が存在する状況で公開鍵サーバーを利用することについて懸念の声も上がっている。

12886607 story
プライバシ

スノーデン氏曰く、米当局は日本でもネット監視を行っている 32

ストーリー by hylom
元記事が色々曖昧でなんとも 部門より
あるAnonymous Coward 曰く、

米国家安全保障局(NSA)によるネット監視を告発したエドワード・スノーデン氏が、米当局による日本でのネット監視について答えたインタビュー記事が現代ビジネスに掲載されている。

スノーデン氏は米空軍横田基地内にある日本のNSA本部に勤務していた経験があるという。日本では横須賀基地や三沢基地、横田基地、キャンプ・ハンセン、嘉手納基地といった米軍基地や米大使館において約1000人が信号諜報に当たっているそうで、スノーデン氏によると主に国際海底ケーブルを通過する情報を記録してNSAのデータベースに転送する活動が行われていたという。また、スノーデン氏の勤務先には日本側の「パートナー企業」がたびたび訪れていたという。

また、スノーデン氏は「日本で近年成立した(特定)秘密保護法は、実はアメリカがデザインしたものです」といった発言も行っている。

とはいえ、発言には憶測によるものも多いため、どこまで信憑性があるかは判断が難しいところである。

12886239 story
セキュリティ

人間は適切なタイミングで表示されないセキュリティ警告を9割方無視する 30

ストーリー by hylom
広告とかもそうですよね 部門より
taraiok 曰く、

Brigham Young University(BYU)がGoogle Chromeの開発者らと共同で行った研究結果によると、最大9割の人がソフトウェアの表示する警告メッセージを無視しているという(PHYS.ORGSlashdot論文要旨)。

論文によると、Webページを閉じるときのポップアップ警告については74%が無視、動画を見ている最中の警告は79%が無視、情報を転送するかどうかの確認については87%もの人が無視していたという。

多くのソフトウェアでは、ユーザーが行っている操作に関係なく強制的に警告メッセージを表示する。しかし、人間の脳はマルチタスクには向いていないため、このようなメッセージは無視される傾向が高いという。

警告の表示タイミングを工夫することによって、この問題を緩和させることは可能だそうだ。具体的には、動画の再生後に表示させたり、ページのロード時間中に表示させたり、設問中に表示させたりといった具合に、人間がタスクを中断したときに表示させるのが一番適切な表示方法だとしている。

12884929 story
spam

WikiLeaksが公開したトルコ・公正発展党からの流出メール、添付ファイルのマルウェアもそのまま公開されていた 14

ストーリー by headless
流出 部門より
WikiLeaksではトルコの与党、公正発展党(AKP)のメールサーバーから流出した電子メールのコピーを公開しているが、添付されたマルウェアがそのままの状態になっているそうだ(GitHub — Malware hosted by WikiLeaksThe Registerの記事Softpediaの記事HackReadの記事)。

電子メールのコピーは、Hacking Teamのサーバーをサイバー攻撃して脆弱性情報などを流出させたハッカーのPhineas Fisher氏が入手したものだ。Fisher氏はトルコとシリアのクルド系住民をサポートするため、、AKPのメールサーバーに侵入して情報を収集していた。ダウンロードしたデータの半分はクルド系の人物に渡され、受け取った人物が分析のためにWikiLeaksに渡したのだという。WikiLeaksでは公開しない条件でデータを受け取っていたが、7月に発生したトルコでのクーデター未遂事件後にデータを公開した。

公開された電子メールの添付ファイルを分析し、マルウェアが多数含まれることを発見したのは、ブルガリア・National Laboratory of Computer VirologyのVesselin Bontchev教授。Bontchev氏はマルウェアであることが確認された3,000件以上の添付ファイルをリストにし、GitHubで公開している。

(続く...)
12884017 story
EFF

EFF、Microsoftがユーザーの選択とプライバシーを無視していると批判 70

ストーリー by headless
要求 部門より
Electronic Frontier Foundationは17日、Windows 10に関連してMicrosoftがユーザーの選択とプライバシーを露骨に無視していることを批判するブログ記事を掲載した(Deeplinks Blogの記事Neowinの記事BetaNewsの記事The Registerの記事)。

「ユーザーの選択を無視」というのは、7月29日に終了したWindows 10の無償アップグレードキャンペーンに関するものだ。Microsoftは更新プログラムとして「Windows 10を入手」アプリをWindows 7/8.1に提供し、Windows 10への無償アップグレード1年以上にわたって勧め続けた。このほかにも、アップグレード推奨にはさまざま方法が使われている。 2月にはWindows 10へのアップグレードが「推奨される更新プログラム」となり、Windows Updateを実行すると設定によっては自動的にアップグレードが開始されるようになった。5月には強制アップグレードが開始され、中央アフリカで密猟者から攻撃されているレンジャーに指示を出せなくなるというトラブルも発生した。

(続く...)
12883344 story
アメリカ合衆国

ハッカー集団が米国家安全保障局のサイバー攻撃ソフトを奪取、競売で売る計画 14

ストーリー by hylom
売るのか 部門より
あるAnonymous Coward曰く、

以前、米国家安全保障局(NSA)がネット監視を行っていたことが話題になったが、このNSAが使用していたと見られるサイバー攻撃ツールが流出した模様。これを入手したハッカー集団はオークション形式でこのツールを売却するという(Business Insider日本経済新聞Slashdot)。

このツールはルーターの脆弱性を使ってシステムに侵入するものと見られており、NSAが外国機関のシステムから情報を収集するために使っていたという。ハッカー集団は「Shadow Brokers」と名乗っているが、ロシア政府と関連がある可能性もあり、FBIが捜査を進めているという。なお、Business Insiderによると、このツールは本物だろうと元NSA関係者が発言しているそうだ。

12882431 story
Windows

Windows 7/8.1の更新プログラム、10月からロールアップパッケージでの提供に移行 48

ストーリー by hylom
アップデートに必要な時間が短縮されると良いのだが 部門より
headless曰く、

Microsoftは15日、Windows 7/8.1(Windows Server 2008 R2/2012/2012 R2を含む)を対象に、10月から更新プログラム提供をロールアップモデルに移行し、セキュリティ関連の修正と信頼性関連の修正を1つにまとめたロールアップパッケージとして提供することを発表した(Windows for IT ProsWindows CentralV3Ars Technica)。

Microsoftでは5月にWindows 7 SP1以降の更新プログラムをまとめた「便利な更新プログラムのロールアップ」を提供開始した際にロールアップモデルへの移行を発表していたが、この時点ではセキュリティに関連しない修正プログラムのみが含まれると説明していた。しかし、ユーザーからのフィードバックを受けてセキュリティ関連の修正プログラムも含めるようにしたとのこと。サービススタックやAdobe Flashなど個別に提供される更新プログラムもあるが、ロールアップパッケージにセキュリティ関連の修正も含まれるということで、毎月の更新プログラムの本数は大幅に少なくなるとみられる。これによりパッチの依存関係などの問題が発生しにくくなり、パッチの適用やテストは単純化される。一方、問題発生時に特定のパッチだけを削除するといった対応は難しくなる。

ロールアップパッケージは11月以降、前月までのロールアップによる修正をすべて含むものとなる。来年にはそれ以前のパッチも順次追加されていき、最終的には完全な累積的な更新プログラムとして提供することを目指すという。ロールアップパッケージはWindows Updateで配布されるほか、WSUSやSCCM、Microsoft Updateカタログでも配布される。

なお、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供される。こちらは当該月にリリースされたパッチのみが含まれ、WSUSやSCCMおよびMicrosoft Updateカタログで配布される。更新プログラムの配布方式変更に伴い、ロールアップとセキュリティのみの更新プログラムについては、Windows 10と同様のリリースノート形式で変更点の説明が行われるようになるとのこと。

このほか、同時に.NET Frameworkの更新プログラムもロールアップモデルへ移行する。こちらもセキュリティ関連のパッチだけをまとめた更新プログラムがMicrosoft UpdateカタログおよびWSUSで提供される。また、近いうちにMicrosoft UpdateカタログはActiveXコントロールに依存せず実行できるようになるそうだ。現在のMicrosoft UpdateカタログはActiveXコントロールを必要とするため、使用できるのはInternet Explorerのみ。Microsoft Edgeでも使用できなかった。

12881685 story
暗号

中国が解読不可能な暗号通信の実現へ向けた量子科学実験衛星を打ち上げ 20

ストーリー by hylom
世界に先駆けられるか 部門より
あるAnonymous Coward 曰く、

中国が16日未明、世界初という量子科学実験衛星「墨子」の打ち上げに成功したという(産経新聞ウォール・ストリート・ジャーナルCNET Japan)。

墨子は量子鍵配送システムによる量子暗号通信を行うことを目的とした衛星。これを利用することで、非常に堅牢な暗号化通信が可能となる。光ファイバーを利用した量子鍵配送システム自体はすでに一部商業利用されているが、量子鍵配送を目的とした人工衛星の打ち上げは初めてという。

中国は関連施設の建設も行っており、今後衛星と地上を結ぶ量子暗号通信の実験システム構築を目指すという。

12880840 story
ネットワーク

TCP仕様の1つに中間者攻撃可能な脆弱性、Linuxが影響を受ける 34

ストーリー by hylom
影響が広まる 部門より
あるAnonymous Coward曰く、

TCPのセキュリティを向上させるはずの仕様であるRFC 5961に重大な脆弱性が発見され、その仕様を実装していたLinuxカーネル3.6以上を搭載する端末が影響を受けることが明らかになっていたが、この脆弱性がAndroid 4.4以降にも存在することが報じられている(RegisterZDNet JapanINTERNET Watch)。

この脆弱性は7月12日に公開されていたもので、短い所要時間・高い成功率で通信の妨害や乗っ取りが可能とのこと。既にパッチや回避策が提供されているが、Android向けの修正プログラムはまだ未提供とのこと。

なお、WindowsやMac OS X、FreeBSDなどのLinux以外のOSではRFC 5961の実装が遅れていたため、影響は無い。

12880839 story
ハードウェアハック

ハードディスクのシーク音を利用してエアギャップ環境からデータを盗む「DiskFiltration」 16

ストーリー by hylom
よく考えるなあ 部門より
headless曰く、

PCの冷却ファンを操作してエアギャップ環境からデータを盗み出す「Fansmitter」を考案したイスラエル・ベングリオン大学のCyber Security Research Centerが、今度はハードディスクのシーク音を利用してエアギャップ環境からデータを盗み出す「DiskFiltration」を発表した(論文要旨Ars TechnicaRegister)。

ネットワークから隔離されたエアギャップ環境のPCからデータを盗み出す方法は、ターゲットのPCでデータ送信用のソフトウェア(マルウェア)を実行し、電磁波や光、熱、音声に乗せてPCから収集したデータをエンコードして送信するといったものだ。あとは受信用のハードウェアでデータをデコードして外部に転送すればいい。

実験では2つのトラック間を移動する際のシーク音を使い、シーク音が出ている部分を「1」、出ていない部分を「0」としてデータを送信する。ディスクキャッシュによる影響を避けるため、送信時にはOSのキャッシュとハードディスクのキャッシュは無効化している。データは4ビット(1010)のプリアンブルに36ビットのペイロードを組み合わせたものを1フレームとし、受信側のスマートフォンではバンドパスフィルターを用いて最もSN比の高かった2,050~2,100Hzを取り出して処理を行ったとのこと。

送信可能なビットレートは周辺ノイズやターゲットのPCと受信用ハードウェアとの距離にも影響されるが、静かな場所では3ビット/秒=180ビット/分程度のビットレートが実現できたとのことだ。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...