あるAnonymous Coward 曰く、

Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという（Togetterまとめ：Amazonのほしい物リストを公開していると個人情報を抜かれます）。

必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。

これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい物リストに入っていない商品を勝手に送りつけることができる。このとき、自分が商品の出品者となっている商品を利用することで、実際に商品を購入することなしに、「発送先情報」という形で相手の個人情報を取得できてしまうという仕組みだ。

ちなみに先日Amazon ウィッシュリスト経由で砂 1 トンを送る方法というネタも一部で話題になっていた。「ほしい物リスト」に入っていない商品も送付できるという点が根本的な問題であるので、迅速な修正を期待したい。

対処方法としては、「ほしい物リスト」の設定で「お届け先住所」を設定しないようにするのが良さそうだ。

あるAnonymous Coward 曰く、

Symantecは、同社製品のソースコード流出を受け、リモートアクセスソフトウェア「pcAnywhere」の無効化をユーザーに呼びかけている(ホワイトペーパー: PDF、 CNET Japanの記事、 本家/.)。

流出したソースコードは2006年バージョンのもので現行版への影響は少ないが、pcAnywhereの場合は通信傍受や不正アクセスなどを受ける可能性があるという。pcAnywhereはPC同士が直接接続して通信を行うため、エンコード技術や暗号化技術に関するソースコードを攻撃者が入手していれば、通信内容が読み取られる可能性がある。また、傍受によりログイン情報が盗まれた場合は、不正なリモートセッションが確立される可能性もあるとのこと。

Symantecはこの問題を脆弱性と認識しており、1月23日にバージョン12.5用のパッチを公開済み。バージョン12.0と12.1用のパッチも先週中に公開する予定とされていたが、現時点では提供開始のアナウンスはない。すべての更新完了までpcAnywhereクライアントだけでなく、リモートアクセスサーバーやサービスの停止なども推奨されている。

あるAnonymous Coward 曰く、

コンピューターウイルスを作成・送信したとして、大阪府在住の男性が不正指令電磁的記録供用の疑いで逮捕され、その後不正指令電磁的記録作成容疑と合わせて送検された。不正指令電磁的記録作成は「ウイルス作成罪」とも言われているが、この罪状の適用は初めてとなる（時事通信）。

読売新聞によると、容疑者は別の男性と共同で運営していたアニメサイトの運営方法を巡ってトラブルとなっていたという。問題となるウイルスはWebサイトに埋め込むタイプのもので、埋め込まれたWebサイトにアクセスすると「容疑者が運営していたサイトに書き込みをしたように発信記録を偽装する」という。

容疑者は男性に対しウイルスを設置したサイトに誘導するメールを送信、ウイルスを使って「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」との文言を男性が書き込んだように偽装し、「男性に脅迫された」と大阪府警に相談したという。

マルウェア「Android.Counterclank」を組み込んだアプリが13本、公式のAndroidマーケットで発見された。リストアップされているアプリのうち、現在も8本が公開されている(Symantec Official Blogの記事、 Computerworldの記事、 本家/.)。

Android.Counterclankは「Android.Tonclank」の亜種で、端末情報などを収集して攻撃者のWebサイトに送信するものだという。発見されたアプリは「iApps7 Inc」、「Ogre Games」、「redmicapps」という3開発者により公開されている。1ヶ月以上公開されていたアプリもあるとのことで、Symantecは100万人から500万人のユーザーがダウンロードしたと推定している。

(追記 1/29 17:17) iApps7 Incのアプリが1本に減り、公開中のアプリは6本となっている。

cheez 曰く、

ティーンエイジャーの間で互いへの信頼の証としてメールや SNS アカウントのパスワードを交換することが流行しているそうだ (The New York Times の記事、本家 /. 記事より) 。

交換相手は主に交際相手や親友であり、中には互いに同じパスワードを設定する者もいるとのこと。米非営利調査機関 Pew Internet & American Project が 12 〜 17 歳の 770 人のインターネットユーザを対象に行った調査によると、33 % がこのようなパスワード交換を行ったことがあると回答したそうだ。

専門家らによると交際関係において性交渉を迫るのと同種の「信頼しているなら何でもできるはず」というプレッシャーが生じていたり、禁止されていることだからやってみたいという好奇心が背景に存在するという。子供らはパスワード交換は危険であることは理解しているといい、だからこそ「愛情の印」や「信頼の証」としてパスワード交換をすることの象徴的意味合いが強くなっている様子が伺えるとのことだ。

ちなみに上記のような目的とは異なり、「期末試験の勉強のために」といった理由で自分の Facebook 等のパスワードを友人に変更してもらい、一定期間ログインできなくするといった行為も若者たちの間で行われていることも分かっているそうだ。

insiderman 曰く、

無線LANの接続設定規格「WPS（Wi-Fi Protected Setup、WPS）」で用いられているPIN認証の仕様に脆弱性が確認された（JVNの脆弱性情報）。

WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4～8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗＋10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。

WPS対応機器では間違ったPINを送信した場合、リトライまでに一定間隔を必要とするといった対策を備えていないものがあるため、短時間での総当たり攻撃ができてしまうとのこと。

headless 曰く、

さまざまな場所で使われているQRコードだが、マルウェアの作者もQRコードの利用を始めているらしい（Dark Readingの記事、本家/.）。

QRコードは携帯電話のカメラでスキャンするだけでWebサイトを表示できるなどの手軽さが受けているが、目で見ただけではスキャン結果がわからないという問題がある。そのため、マルウェアをダウンロードさせたり、フィッシングサイトに誘導したりといった攻撃に使われる例があるのだという。QRコードによる支払いサービスが利用される可能性も指摘されている。

謎のQRコードを見かけると、ついスキャンしてみたくなる人も多いだろう。しかし、未知のQRコードをスキャンすると攻撃のターゲットになってしまう可能性もある。そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。

danceman 曰く、

IBM は昨年末、恒例の未来予測で「パスワード不要化」を挙げていたが (/.J 記事) 、カナダのカールトン大とマイクロソフトの研究者によれば、音声や顔認識、指紋、網膜認証といったものがパスワードに取って代わることは当分の間はないだろうとのこと (IEEE Security&Privacy Magazine の予稿[PDF]、本家 /. 記事より) 。

これまでパスワードはいずれなくなるものと考えられていたため、パスワードそのものにはこの 20 年間、何も進歩がみられなかった。一方、生体認証や PKI などパスワードに取って代わろうとした他の認証方法は、費用対効果、即時性、利便性といった点でパスワードには勝てなかったとしている。また、多くのシチュエーションにおいてパスワードの利用がふさわしいということを踏まえ、代わりとなる他認証方法を求めてさらに 20 年を無駄にすることはやめ、セキュリティー性をより高めるべくパスワード利用に対するサポート方法を考え直すべきであると結論づけている。加えて、パスワード認証が好ましくないようなシナリオの特定及びそういった場合の代替認証方法の特定を行うべきとしている。

masakun 曰く、

昨年秋の「政府、職員向けにサイバー攻撃に対する訓練」というストーリーを覚えておられるだろうか。

その後伝えられるところによると、12の政府機関の6万人の職員を対象に、10～12月にかけて2度、訓練用の不審メールを無作為に送付したところ、その10.1％が初回の添付ファイルを開封して訓練用マルウェアに感染、さらに3.1％が2回目のリンクメールをクリックするという結果になったそうだ。職員の2割超が開封した機関もあったという（毎日.jpの記事、内閣官房情報セキュリティセンター報道発表資料）。

さらに今後の課題として、不審メールを開封するにとどまらず、「①不審メールの送信元に対しメールを返信する方法で差出人の確認をしているケース」や「②メールの自動返信機能を設定することで、攻撃者に対し、不在通知が自動発信されたケース」が発生。攻撃者に政府組織内で使用しているメールアドレスを通知した可能性が憂慮されている……というか実際に多くの政府省庁が攻撃にさらされている昨今、模擬訓練と対策は遅きに失した感があるのですがいかがでしょうか。

Aluminum-Carbide 曰く、

フィンランドのセキュリティ企業F-Secureによると、1時間あたり2ドルからでDDoS攻撃を行うという業者が存在するという。F-Secureのブログでは、YouTubeにアップされている業者の広告ビデオとともに業者のWebサイトを紹介している（日経PC Online）。

このブログによると、業者は「安価なプロフェッショナルDDOSサービス」「信頼でき、強力で高速なサービス」「大規模Webサイトや掲示板、ゲームサーバーなどをダウン」「時間制限なし」といったうたい文句を掲げており、料金は1～4時間までが1時間あたり2ドル、12～24時間までが1時間あたり4ドル、24～72時間までは1時間あたり5ドル、1か月間で1000ドルだそうだ。