パスワードを忘れた? アカウント作成
12966397 story
iOS

誤って緊急通報システムを攻撃するPoCを公開して逮捕されたアリゾナのハッカー18歳 22

ストーリー by headless
surprrrrise!!! 部門より
米国・アリゾナ州のマリコパ郡保安官事務所は27日、緊急通報番号(911)に対してサイバー攻撃を実行するコードへのリンクをTwitterに投稿した18歳の男を逮捕したことを発表した。男は調べに対し、間違ったリンクを投稿してしまったと話しているとのこと(プレスリリース: PDFマリコパ郡保安官事務所のFacebook記事Softpediaの記事Arizona Daily Independentの記事)。

このコードはJavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするものだという。バグの存在を友人から聞いた彼は、ポップアップを表示するバージョンやメールアプリを呼び出すバージョンなど複数のPoCを作成したが、911に発信するバージョンが違法であることは認識しており、公開するつもりはなかったとのこと。そのため、ポップアップを表示するバージョンを公開したつもりだったが、実際には911に発信するバージョンを誤って公開してしまったと主張しているそうだ。

コードへのリンクは1,849回クリックされたとのことで、アリゾナ州フェニックス周辺を中心に、テキサス州やカリフォルニア州の緊急通報システムも影響を受けたという。問題の発生をマリコパ郡保安官事務所に通知したサプライズ警察署の緊急通報システムには、数分の間に100回以上の着信があったとのこと。男はコンピューターへの不正アクセスに関する第2級重罪3件に問われ、マリコパ郡の4th Avenue Jailに収監されたとのことだ。
12966000 story
ゲーム

自律走行車が増えると強引に横断する歩行者が増える? 106

ストーリー by headless
義経 部門より
交通の安全性を高めると考えられている自律走行車だが、その安全性を期待して道路を横断する歩行者が増加し、走行速度が低下するという見方もあるようだ。これについてカリフォルニア大学サンタクルーズ校のAdam Millard-Ball氏がゲーム理論を使用した検討を行っている(論文アブストラクトThe Registerの記事論文マニュスクリプト: PDF)。

Millard-Ball氏によれば、歩行者は道路を横断する際にチキンゲームをプレイしているのだという。人間のドライバーはあえて歩行者を轢こうとはしないため、十分な距離がある場合に歩行者が道路に出てくれば減速したり、停止したりする。しかし、ドライバーが脇見をしていたり、酔っていたり、ソシオパスであったりする可能性もある。道路を無理に横断すれば速く移動できるが、事故にあった場合の損失は自動車よりも歩行者の方が大きい。そのため、歩行者は状況を見て横断するかどうかを決めている。

これに対し自律走行車では脇見運転などの可能性がなく、人間のドライバーよりも交通規則を守って走行する。また、十分な距離があれば停止することが期待されるため、強引に横断する歩行者が増加し、自律走行車の走行速度は低下することになる。特に都会の住宅密集地では速度低下が著しくなり、自律走行車は乗客を住宅地の外側の幹線道路で降ろして駐車場所へ向かうことになる。その結果、都市密度をさらに上げることが可能となり、歩行者の活動を増やす結果にもつながるとのこと。

このほか、交通規則や道路設計の変更により横断を減らすシナリオや、コストが同様であっても速度を優先して人間の運転する自動車を選ぶ人が残るというシナリオも考えられるという。また、同じメーカーの自律走行車には道を譲り、他メーカーの自律走行車には道を譲らないといったメーカー同士の競争にも言及している。
12965602 story
プライバシ

アムネスティによる人気メッセージングアプリ11社のプライバシーランキング、1位はFacebook 18

ストーリー by headless
評価 部門より
Amnesty Internationalが人気メッセージングアプリを提供する11社のプライバシーランキングを公表している。評価は100点満点で、主にエンドツーエンドの暗号化が評価の対象となっているが、プライバシー保護に対する姿勢も加味されているようだ(Amnesty Internationalの記事BetaNewsの記事)。

1位はFacebook(Messenger、WhatsApp)で100点満点中73点。WhatsAppはエンドツーエンドの暗号化がデフォルトで有効になっており、エンドツーエンドの暗号化が使われない場面ではユーザーに明確な警告を表示する唯一のアプリである点が高く評価されている。一方、Messengerについてはエンドツーエンドの暗号化がデフォルトで有効になっておらず、弱い暗号を使用する場面で警告しない点がマイナス評価となっている。

2位のApple(iMessage、Facetime)はエンドツーエンドの暗号化がデフォルトで有効になっている点や、政府の要求によるバックドア設置とデータ開示に反対している点が評価され、100点満点中67点。ただし、メッセージをiPhone以外のユーザーに送信する場面など、エンドツーエンドの暗号化が使われない場合に通知することが求められるとのこと。

2位にはAppleと同点でTelegram(Telegram Messenger)が並んでいる。こちらはプライバシーと表現の自由を売りにしているにもかかわらず、エンドツーエンドの暗号化がデフォルトで有効になっておらず、弱い暗号を使用する場合にも通知されない点がマイナス点として挙げられている。Appleと同点になった理由は不明だ。
12963873 story
犯罪

Microsoftの「Security Essentials」を装うマルウェア「Hicurdismos」が確認される 18

ストーリー by hylom
日本でもテクニカルサポート詐欺はあるのだろうか 部門より

海外ではユーザーの偽のテクニカルサポートに誘導し金銭を詐取する「テクニカルサポート詐欺」がたびたび話題になっているが、Microsoftのセキュリティソフトウェア「Microsoft Security Essentials(MSE)」の偽インストーラを提供し、偽ヘルプセンターに連絡させるという手口が新たに発見されたという(ZDNet Japan)。

このインストーラを実行してマルウェアをインストールすると、エラーメッセージとともにMicrosoftのサポートセンターではないフリーダイヤル電話番号に電話するよう指示するブルースクリーンが表示されるとのこと。MSEはWindows 7以前むけのソフトウェアだが、このマルウェアはWindows 8以降にもインストール可能で、それぞれのOSのブルースクリーンに対応した偽の画面を表示するという。

12963867 story
政府

e-Taxソフトのインストーラ再公開、引き続き国税庁は脆弱性とは案内せず 37

ストーリー by hylom
問題って何ですか 部門より
あるAnonymous Coward曰く、

先日、e-Taxソフトのインストーラに脆弱性、国税庁はメンテナンス中と案内という話題があったが、国税庁が問題のあったソフトウェアの修正を一部完了させ、ダウンロードが再開された(国税庁のお知らせ窓の杜)。

ただし、 前年以前分の申告に係るe-Taxソフトを利用する場合など一部機能についてはまだメンテナンスは完了しておらず、完全復旧は10月末頃の予定とのこと。

国税庁は前回と同様に今回のリリースでも「インストールソフトウェアに問題が発見されたためメンテナンスを実施」、「既にパソコンに保存されているインストール用ファイルは実行せずに確実に削除をお願いする」という内容で、インストーラに脆弱性があったことは告知していない。

12962667 story
アメリカ合衆国

中国メーカー、大規模DDoS攻撃の原因機器となっているWebカメラを米国でリコールへ 14

ストーリー by hylom
中国らしくない 部門より
bigface 曰く、

中国杭州のXiongMai(雄邁)社製のWebカメラが米国でリコールになった(BBCguardianTechCrunch)。

最近ではWebカメラやネットワークプリンタなどの機器を乗っ取ってDDoS攻撃に参加させるマルウェアによる被害が増えているが、XiongMaiのWebカメラはセキュリティが脆弱で乗っ取られやすいそうで、そのためのリコールとなったようだ。

先月からいろいろなサイトがダウンしてイライラしてる人も多いのではないだろうか。このカメラはデフォルトで遠隔操作可能であり、かつその設定が変更できない点もリコールの理由一因かもしれない。何も考えずネットにつなぐと簡単にサイバー攻撃の踏み台に使われてしまう。

地獄谷野猿公苑ライブカメラとか様々な映像を見て喜んでたけどIoT機器の管理人さん達には今一度パスワードの確認をして欲しいと思った。

12961452 story
お金

若い世代を狙い始めた「テクニカルサポート詐欺」 27

ストーリー by hylom
日本ではまだ流行ってないようですがご注意を 部門より
headless 曰く、

テクニカルサポートを提供すると偽って金銭を詐取する「テクニカルサポート詐欺」が海外で流行しているが、従来は中高年を狙っていたこのテクニカルサポート詐欺が、最近では若者もターゲットにしている傾向があるという。Microsoftが実施したテクニカルサポート詐欺に関する調査によると、テクニカルサポート詐欺からの連絡を受けたのちに詐欺師とのやりとりを続けたという回答者の半数が18歳~34歳のミレニアル世代だったそうだ(StaySafeOnline.orgのブログ記事SoftpediaWinBetaThe Next Web)。

調査対象となったのはオーストラリア、ブラジル、カナダ、中国、デンマーク、フランス、ドイツ、英国、インド、シンガポール、南アフリカ、米国の12か国。各国で18歳以上の成人1,000人を対象にオンラインで回答を集めている。

過去12か月間にテクニカルサポート詐欺を経験したという回答者は3人中2人。ソフトウェアのダウンロードや詐欺サイトへの訪問、リモートアクセスの許可、クレジットカード情報など決済情報の提供といった詐欺師とのやりとりを続けた人は5人中1人にのぼり、10人中1人は金銭的被害にあっている。

詐欺師とのやりとりを続けた人の50%がミレニアル世代であり、36歳~54歳が34%、従来テクニカルサポート詐欺のターゲットと考えられていた年齢層を含む55歳以上は17%に過ぎなかったという。

このような結果になった理由として、テクニカルサポート詐欺のエントリーポイントが拡大している点が挙げられている。従来のテクニカルサポート詐欺は、Microsoftなど有名IT企業のサポート担当などと名乗ってお年寄りの自宅に電話をかけるのがエントリーポイントだ。

一方、現在のテクニカルサポート詐欺は、オンライン広告やスパム、詐欺サイトなどをエントリーポイントとして活用することで、新たなターゲットを獲得している。実際、65歳以上は44%で電話がエントリーポイントになっているのに対し、18歳~34歳で電話がエントリーポイントになったのは26%に過ぎないとのことだ。

12961446 story
政府

「情報処理安全確保支援士」の登録受付が開始 56

ストーリー by hylom
結構なお値段 部門より
あるAnonymous Coward 曰く、

かねてより設置が報じられていた情報セキュリティに関する国家資格「情報処理安全確保支援士」についてIPAは24日、既存試験の合格者の初回登録受付を開始した(支援士ページ)。

初回申請の受付期間は10月24日から来年1月31日までで、対象となるのは「情報セキュリティスペシャリスト試験」又は「テクニカルエンジニア(情報セキュリティ)試験」の合格者。合格年度は問わないが、以前の報道では対象に含まれていた旧セキュアドについては、パブリックコメントにより外された模様である。申請は今後通年受け付けるが、登録日は年2回のうちいずれかになる。支援士登録者は、ホームページ上で登録番号と年月日、合格日、講習修了年月日が公開されるとしている。

今回の発表では合わせて講習の内容も発表されているが、それによると支援士には1年に1回6時間のオンライン学習と3年に1回6時間の集合講習が義務付けられるという。講習費用など詳細については11月初旬目途に改めて掲載とされているが、3年で15万円前後を予定とあり、5000円で済んだ既存試験と比べて大幅な値上がりとなっている。また申請自体にも、免許税9000円と手数料10,700円がかかる模様である。

12959537 story
暗号

Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 14

ストーリー by headless
適当 部門より
世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCRSoftpediaの記事The Registerの記事heise Securityの記事)。

ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。

そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。
12959457 story
暗号

Mozilla、Firefox 52のデフォルトでTLS 1.3を有効にする計画 10

ストーリー by headless
有効 部門より
Mozillaは20日、Firefox 52のデフォルトでTLS 1.3を有効にする計画を明らかにした(GoogleグループでのアナウンスSoftpediaの記事Threatpostの記事)。

Mozillaでは6月にDeveloper EditionのFirefox 49にTLS 1.3のサポートを追加しており、安定版もFirefox 49以降でTLS 1.3をサポートしている。ただし、デフォルトでは無効になっているため、使用するには「about:config」画面で「security.tls.version.max」の値を「4」に変更する必要がある。

TLS 1.3は現在IETFが策定中の次期バージョンTLSであり、古い暗号プリミティブの除去や現代的な分析技術の使用などにより安全性や速度が向上する。Firefox 52では現時点で最新版のTLS 1.3 draft 16を実装し、利用可能になった段階でdraft 17にアップデートする計画だという。

2017年3月7日にリリース予定のFirefox 52は同時にESRとしてもリリースされるが、TLS 1.3がドラフトの段階ということもあり、ESRリリースでは有効にしないとのこと。

現在のところTLS 1.3はFirefoxのほか、Chrome Canaryが数か月前からサポートしており、Chrome 54でも「chrome://flags/」画面で有効なTLSの最大バージョンの選択肢に「TLS 1.3」が存在する。また、Cloudflareのサービスでは9月からTLS 1.3を利用できるようになっている。
12958975 story
パテント

Apple調べ、Amazon.comのApple純正充電器・ケーブルはAmazon.comが直接販売しているものも含めて大半が偽物 44

ストーリー by headless
偽物 部門より
Appleの調査によると、Amazon.comでApple純正品として販売されている充電器やケーブルの大半が偽物だという。また、Amazon自ら販売している製品にも偽物が含まれていたそうだ。そのためAppleは17日、Amazonに偽のApple純正品を卸していたMobile Star社のほか、名称不特定の被告50社を相手取って販売中止などを求める訴訟を提起している(Patently Appleの記事9to5Macの記事Consumeristの記事訴状: PDF)。

Appleはブランド保護の一環として、Amazonが出品者に代わって商品の管理・注文処理・配送などを行う「フルフィルメント by Amazonプログラム」(Amazon.co.jpの解説ページ)で販売されるApple純正品を購入・テストしており、過去9か月に購入した100点以上のiPhoneデバイスや充電器、Lightningケーブルの90%近くが偽物だったという。また、Amazonが直接販売する5W USB電源アダプタとLightningケーブルのセットについても偽物であることが判明したとのこと。

これらの製品はAppleの商標権など知的財産を侵害しているだけでなく、十分な安全対策が取られておらず、過熱や発火、感電などの危険性がある。Mobile StarはAmazonのほかGrouponにも偽のApple純正品を卸しており、Appleでは偽のEarPodsをMobile Starから直接購入しているという。Mobile Star以外の被告については名称不特定の被告1~50となっているが、本当の名前などが判明し次第訴状を修正するとのことだ。
12958857 story
バグ

Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 51

ストーリー by headless
汚牛 部門より
Linuxカーネルに11年以上前から存在するバグが修正された。このバグは以前から知られていたものだが、最近になって特権昇格の脆弱性(CVE-2016-5195)であることが判明し、エクスプロイトの存在も確認されて「Dirty COW」と名付けられていた(メーリングリストでのアナウンスV3の記事The Registerの記事Ars Technicaの記事)。

Dirty COWはLinuxカーネルのサブシステムがcopy-on-write(COW)を処理する際に競合を起こし、プライベートな読み取り専用メモリーマッピングへの書き込みが可能になるというもの。このバグを特権のないローカルユーザーが利用することで、特権の昇格が可能になる。Linus Torvalds氏は11年前にバグの修正を試みているが、s390アーキテクチャーで問題が発生して取り消されていたとのこと。

RedHatではDirty COWの深刻度を2番目に高い「Important」としており、任意コード実行の脆弱性などと比べて低い評価になっている。しかし、発見者のPhil Oester氏によれば、エクスプロイトは少なくとも2007年から存在しており、侵入されたサーバーも発見されているという。エクスプロイトの実行が容易ということもあり、迅速な対応が求められるとのことだ。

脆弱性はLinuxカーネル4.8.3/4.7.9/4.4.26 LTSで修正されており、DebianUbuntuもアップデートがリリースされている。Red Hatのアップデートはまだのようだが、Bugzillaで緩和策を紹介している。
12956605 story
セキュリティ

e-Taxソフトのインストーラに脆弱性、国税庁はメンテナンス中と案内 7

ストーリー by hylom
このご時世にこれか 部門より

国税庁が提供するe-Taxソフトウェアのインストーラに脆弱性が発見された(JVN#63012325ITmedia)。これの影響か、国税庁Webサイトでは「e-Taxソフト等のメンテナンスについて」との告知を発表、ソフトウェアの配布を中断するとともに、ダウンロードしたインストーラを破棄するよう指示している。

問題の脆弱性は、DLLを読み込む際の検索パスに関連するもの。これにより、意図しないDLLを読み込んで実行してしまう可能性があるという。

12955778 story
日本

外国人に対する入国審査でテロリスト容疑者データベースとの顔写真照合を実施へ 57

ストーリー by hylom
サイバーな感じ 部門より

今月17日より、空港や港などでの来日外国人の入国審査時に撮影した顔写真をテロリスト容疑者データベースと照合する調査が実施されるようになるそうだ(時事通信読売新聞朝日新聞)。

対象は16歳未満の子供や外交官、在日韓国・朝鮮人などの特別永住者らを除くすべての外国人。作業は自動化されており、顔写真の撮影を行うと自動で照合が行われるという。テロリスト容疑者の顔写真と一致した場合、入国拒否などの対応が行われる。容疑者顔写真データベースは国際刑事警察機構(ICPO)や各国の治安当局から提供されているという。

12955777 story
Android

Androidを狙うマルウェア「Ghost Push」、登場から2年が経過するもいまだに健在 29

ストーリー by hylom
2年でディスコン、というわけにはいかなかった 部門より

2年前に登場した、Androidを狙ったトロイの木馬「Ghost Push」による被害が未だに続いているという(ZDNet Japan)。

Ghost pushは勝手にアプリをインストールしたり、個人情報の窃取などを行うマルウェア。「Google Play」以外のアプリストアでこのマルウェアが含まれるアプリが配信されているという。Android 6以降では動作しないとされているが、Androidユーザーの半数以上がAndroid 5以前を使用しているとされており、そのため現在でも被害は続いているという。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...