パスワードを忘れた? アカウント作成
21610878 story
インターネット

IPA、情報セキュリティ10大脅威 2024を発表 8

ストーリー by nagazou
発表 部門より
p>独立行政法人情報処理推進機構(IPA)は24日、2023年に発生した情報セキュリティに関する重要な脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。これは毎年公開しているもので、情報セキュリティの専門家や企業の担当者など約200人からなる「10大脅威選考会」によって選定されている(IPAINTERNET Watch)。

今回は、個人向けの脅威には順位がなくなり、代わりに初選出年と過去の取り扱い状況が記載された。個人における情報セキュリティ10大脅威に選ばれたのは以下の通り。
  • インターネット上のサービスからの個人情報の窃取(初選出年2016/5年連続8回目)
  • インターネット上のサービスへの不正ログイン(同2016/9年連続9回目)
  • クレジットカード情報の不正利用(同2016/9年連続9回目)
  • スマホ決済の不正利用(同2020/5年連続5回目)
  • 偽警告によるインターネット詐欺(同2020/5年連続5回目)
  • ネット上の誹謗・中傷・デマ(同2016/9年連続9回目)
  • フィッシングによる個人情報等の詐取(同2019/6年連続6回目)
  • 不正アプリによるスマートフォン利用者への被害(同2016/9年連続9回目)
  • メールやSMS等を使った脅迫・詐欺の手口による金銭要求(同2019/6年連続6回目)
  • ワンクリック請求等の不当請求による金銭被害(同2016/2年連続4回目)

一方、組織向けの脅威では、ランキング形式が残されている。選ばれたのは以下の通り。

  • 1位 ランサムウェアによる被害(前回順位1位)
  • 2位 サプライチェーンの弱点を悪用した攻撃(同2位)
  • 3位 内部不正による情報漏えい等の被害(同4位)
  • 4位 標的型攻撃による機密情報の窃取(同3位)
  • 5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(同6位)
  • 6位 不注意による情報漏えい等の被害(同9位)
  • 7位 脆弱性対策情報の公開に伴う悪用増加(同8位)
  • 8位 ビジネスメール詐欺による金銭被害(同7位)
  • 9位 テレワーク等のニューノーマルな働き方を狙った攻撃(同5位)
  • 10位 犯罪のビジネス化(アンダーグラウンドサービス)(同10位)
21607233 story
マイクロソフト

Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告 1

ストーリー by nagazou
重大 部門より
headless 曰く、

Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している (Microsoft Security Response Center Blog の記事The Verge の記事Neowin の記事Form 8-K 報告書)。

不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。

不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。

今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。

21606862 story
ニュース

UEFIのPXEブートに脆弱性が見つかる。多くのBIOSに影響 14

ストーリー by nagazou
脆弱性 部門より

サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(QuarkslabPC Watch)。

EDK IIを実装していて影響を受けるUEFIは下記の通り。

  • Armのリファレンスソリューション
  • Insyde SoftwareのInsyde H20 UEFI/BIOS
  • American Megatrends Inc(AMI)のAptio OpenEdition
  • Phoenix TechnologiesのSecureCore
  • MicrosoftのProject Mu

PixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。

  • 整数アンダーフロー(CVE-2023-45229)
  • バッファオーバーフロー(CVE-2023-45230)
  • 境界外読み取り(CVE-2023-45231)
  • 無限ループ(CVE-2023-45232、CVE-2023-45233)
  • TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)
  • 擬似乱数ジェネレーターの使用(CVE-2023-45237)

ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。

21563692 story
ニュース

YouTube経由で広がるマルウェアが増加 33

ストーリー by nagazou
増加 部門より

Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという(FortinetTECH+)。

リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。

21558883 story
アメリカ合衆国

米連邦取引委員会、AIによるボイスクローニングから消費者を守るアイディアを募集 24

ストーリー by nagazou
募集 部門より
headless 曰く、

間もなく締め切りとなってしまうが、米連邦取引委員会 (FTC) が AI によるボイスクローニングから消費者を守る手法のアイディアを募集するコンテスト Voice Cloning Challenge を実施し、12 日まで参加を受け付け中だ(プレスリリース公式ルール: PDFThe Register の記事Neowin の記事)。

AI を用いて特定の人物の声を再現するボイスクローニング技術は医療やアクセシビリティの分野で非常に有益な利用が可能だが、詐欺などの悪用も懸念される。コンテストではボイスクローニングの悪用を防ぐ以下のような 3 つのポイントのうち少なくとも 1 つを解決するアイディアが求められる。

  • 防止または認証: 認証されていないユーザーによるボイスクローニングソフトウェアの使用を制限する手法
  • リアルタイム検出または監視: クローンボイスまたはボイスクローニング技術の使用を検出する手法
  • 使用後の評価: オーディオクリップにクローンボイスが含まれているかどうかを確認する手法

コンテストは 18 歳以上米国市民および米国永住者の個人・グループまたは、米国で設立および主に活動している組織が対象となり、優勝賞金 25,000 ドル。準優勝者 1 組に 4,000 ドル、3 組に 2,000 ドルが授与される。ただし、10 人以上の組織は別枠の「FTC Voice Cloning Challenge Large Organization Prize」となり、優勝者は表彰のみ (賞金なし) となる。

21556875 story
お金

ランサムウェアの被害を止めるには身代金支払いを禁止するしかないとの主張 62

ストーリー by headless
禁止 部門より
ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している (Emsisoft のブログ記事The Register の記事)。

ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。

ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。The Registerでは、全面的に身代金支払いを禁じるとしても重要なインフラストラクチャーや医療機関などには例外を設けることになるだろうとして、これらをターゲットにした攻撃が増加する可能性を指摘する。Palo Alto Networks のサム・ルービン氏によれば、被害者にならないための積極的な対策を行うことが最大の防御になるとのこと (The Register の記事 [2])。

ランサムウェア被害時の身代金支払いについて、スラドの皆さんのご意見はいかがだろうか。
21552860 story
暗号

LastPass、12文字以上のマスターパスワードを義務付け開始 47

ストーリー by headless
義務 部門より
LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事Bleeping Computer の記事The Verge の記事)。

LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。
21552857 story
人工知能

米カリフォルニア州上院議員、州で公共のAIリソースと安全かつ倫理的な枠組みを作る法案を提出 12

ストーリー by headless
提案 部門より
米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリースThe Verge の記事)。

SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。

パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。
21552764 story
Google

パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加 19

ストーリー by headless
侵害 部門より
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事The Register の記事)。

エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。

CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。

根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。
21542143 story
暗号

KDDI、世界で初めて1409次元の暗号を解読 18

ストーリー by nagazou
桁が違う 部門より

KDDI総合研究所は26日、暗号解読コンテスト「Challenges for code-based problems」で、Classic McElieceと呼ばれる次世代暗号の1409次元の暗号を解読し、これまでの世界記録を更新したそうだ。この1409次元の暗号は10の56乗(=100兆×100兆×100兆×100兆)通りの解の候補が存在する。このため、総当たりでは解読に1兆年以上かかるとされてきたが、KDDIは独自の解読アルゴリズムを用いて、2700万の解読処理を同時に実行できる並列コンピューティング環境を構築・活用することにより、29.6時間で解読に成功したとしている(KDDIASCII.jp)。

これにより、1409次元の暗号を解読するために必要な計算量が2の63乗であることを実証し、この次元を上回れば暗号の解読が困難という目安である暗号の強度を突き止めたとしている。この成果は、将来の量子コンピューターの台頭に備えた暗号の開発や標準化に向けた貴重な情報になるとしている。

21541320 story
政府

総務省、非常勤のサイバーセキュリティ人材募集中。時給7500円 54

ストーリー by nagazou
どこもかしこも 部門より

総務省サイバーセキュリティ統括官室は、非常勤のサイバーセキュリティエキスパートを募集中だという。このエキスパートは、同省のサイバーセキュリティ政策の企画・立案に関する助言や情報提供を行い、国内外のサイバーセキュリティ最新動向の分析や情報提供も担当する(総務省ScanNetSecurity)。

応募資格は、約10年以上のセキュリティ分野の実務経験とサイバーセキュリティ分野の最新技術や動向に関する専門知識を有すること。勤務時間は毎月第2金曜日の午後4時から6時までの2時間で、勤務地は東京都千代田区霞が関。雇用期間は2024年1月1日から12月31日までの採用日から1年を超えない期間。時給は7500円としている。

21540316 story
広告

「ミズノ」と「ワコール」などの偽広告が増加、消費者庁が注意喚起 50

ストーリー by nagazou
ご注意 部門より
消費者庁は21日、「ミズノ」と「ワコール」の偽の広告がSNSを中心に拡散し、被害相談が相次いでいるとされるとして注意喚起をおこなった。偽広告には、ワコールのロゴを使用したインナーの広告や、ミズノのロゴを使ったスポーツ用品の広告などがあり、これらの広告をクリックすると偽の販売サイトに誘導される。実際に商品を注文すると本物ではない商品が届くなどの被害が報告されている(消費者庁日テレNEWS)。

偽広告はInstagramやFacebookなどを通じて拡散されている。消費者庁には2022年4月から2023年10月末までの間に1277件の相談が寄せられているとのこと。消費者庁は価格を強調していないか、不自然な日本語ではないかなどを注意して確認するよう注意を呼びかけている。
21540306 story
ニュース

警察庁、銃刀法改正案で手製銃や猟銃の悪用防止へ規制強化 80

ストーリー by nagazou
YouTuberにダメージ 部門より

警察庁は21日、2024年の通常国会に銃刀法改正案を提出する方針を発表した。この改正案では、インターネット上で銃の製造方法を示し、不法所持を促す投稿を罰則付きで禁止することが盛り込まれている(毎日新聞日経新聞共同通信)。

改正案では動画などで銃の製造方法を公開し、不法所持を呼びかけたり、販売するための情報を掲載したりする行為が規制される。罰則は懲役1年前後が検討されている。警察庁はこれまでに、銃などの製造や譲渡に関する投稿をSNS事業者に削除要請する制度を導入しており、これに加えて改正案を通じて対策を強化する予定。

また改正案では、2023年5月に長野県中野市で4人が殺害された事件を受け、発射罪や所持罪の厳罰化が盛り込まれる。人の殺傷を目的とする銃に対する罰則が強化され、その他装薬銃砲なども対象に含まれる。電磁石銃(コイルガン)も所持禁止の対象になる。ネット上で数万~30万円程度で取引されているものを警察庁が調べたところ殺傷能力が確認されたのだという。

21539644 story
spam

宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン 8

ストーリー by nagazou
偽装 部門より
headless 曰く、

Sophos X-Ops によると、ホテル業界をターゲットにした「Inhospitality」マルスパムキャンペーンが世界規模で発生しているそうだ (Sophos News の記事The Register の記事)。

このマルスパムは宿泊客の苦情や問い合わせなど、ホテル従業員が応答せざるを得ない内容で、より詳細な情報を求めるとマルウェアのリンクを送ってくるという。ペイロードはパスワード付きの ZIP 形式や RAR 形式ファイルで、Google Drive などに保存されている。Sophos では 50 以上の異なるサンプルを入手しているが、マルウェアは主にパスワード窃取型の Redline Stealer や Vidar Stealer などと呼ばれるものとのことだ。

21539471 story
犯罪

アップルギフトカードを購入させる特殊詐欺が急増。警察庁が注意呼びかけ 16

ストーリー by nagazou
ご注意 部門より

コンビニ店などでプリペイド式の電子マネーを購入させる詐欺の件数が増加しており、警察庁が注意を呼び掛けている。今年1月から11月までの架空請求でプリペイド式の電子マネーを購入させる詐欺の認知件数は3047件、被害額は18億5700万円で件数、被害額ともに過去最悪を更新中とされる(12月22日:令和5年11月の特殊詐欺認知・検挙状況等についてTBS NEWS DIGNHK読売新聞)。

今年は特に「Apple Gift Card」を購入させる手口が多く約2000件、およそ13億円が「Apple Gift Card」の悪用。11月に限っては被害件数、被害額ともに全体の9割を占めているという。パソコン画面に「ウイルスに感染した」などの虚偽の警告を表示させて、見た相手にギフトカードを買いに行かせ、裏面の番号の写真を送らせるなどの手口が目立つとしている。犯行にApple Gift Cardが選ばれる理由については「販売店舗数が多さ」や「だまし取った電子マネーの現金化の容易さ」などが挙げられている。

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...