パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13943571 story
ソフトウェア

Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 33

ストーリー by hylom
順当な感じではある 部門より

headless曰く、

GeekWireが入手した「Microsoftが日常業務で禁止または非推奨としているソフトウェア・オンラインサービス」のリストによると、コラボレーションツールのSlackや文法チェックツールのGrammarly、Kasperskyのセキュリティソフトウェアが禁止のカテゴリーに含まれるそうだ(GeekWireThe VergeBetaNewsOn MSFT)。

記事によれば、禁止のカテゴリーに含まれるものはITセキュリティや企業秘密保護の観点が第一に考慮されているという。たとえばSlackの場合、Slack FreeとSlack Standard、Slack PlusはMicrosoftの知的財産(IP)を適切に保護するために必要な手段が与えられていないとして使用を禁ずる一方、Slack Enterprise GridはMicrosoftのセキュリティ要件を満たすものの競合ソフトウェアを使用するよりもMicrosoft Teamの使用を推奨するとなっている。Grammarlyについては、電子メールやドキュメント内のInformation Rights Management(IRM)で保護されたコンテンツにアクセス可能であることから、機密情報が外に漏れる可能性があるという理由で使用を禁じている。

記事ではこのほか、非推奨のソフトウェア・オンラインサービスとしてGitHubやAmazon Web Services、Google Docsを挙げている。Amazon Web ServicesとGoogle DocsはMicrosoft製品と競合することが非推奨の理由で、使用するには正当な理由が必要とされているとのこと。Microsoft傘下のGitHubについてはクラウド版(GitHub.com)のみが対象で、機密度の高い情報やコードなどを保存しないように注意を促している。そのため、オンプレミス版のGitHubについてはリストに掲載されていないとのことだ。

13942857 story
アメリカ合衆国

米、イランにサイバー攻撃で報復か 29

ストーリー by hylom
バーチャルと現実 部門より

Anonymous Coward曰く、

タンカー攻撃やその後の無人機撃墜など、緊張が高まるばかりのイラン情勢であるが、米サイバー軍がイランへの報復攻撃を行ったことが報じられている(CNNAFP時事通信)。

イラン周辺では、13日に日本などのタンカーが何者かの攻撃を受けたほか、20日には米空軍の無人偵察機グローバルホークがイランの革命防衛隊により撃墜されている(米側は国際空域を飛行、イラン側は領空侵犯と主張)。トランプ大統領は報復として、米軍のイランへの軍事攻撃を承認したものの、無人機撃墜に対する報復としては過剰であるとして攻撃10分前にに撤回したと報じられており、まさに一触即発の状態にある。

一方で、ワシントンポスト等が報じたところによると、米サイバー軍の攻撃は撤回はされなかったようで、サイバー攻撃によりイランのミサイル制御コンピュータが機能不全に陥ったほか、タンカーの追跡に用いられたというイランのスパイ組織に対しても攻撃が行われたという。死傷者は出ていない模様。

ただし、米国土安全保障省のサイバーセキュリティー部門責任者によると、そもそもイラン政府や関連組織によるとみられる米政府機関や企業や狙ったサイバー攻撃も相次いでいるのだという。最近はデータや資金を盗むだけでなく、コンピュータ網を破壊するような手口も目立つということで、イラン側の動きに注視しているとのこと。

13942805 story
NASA

NASA、誰かが無許可でネットワーク内に設置したRaspberry Pi経由で不正アクセスを受けデータ流出 28

ストーリー by hylom
これは恐ろしい 部門より

NASAのジェット推進研究所(JPL)で、ネットワーク内に無許可で設置されていたRaspberry Pi端末を経由した外部からの不正アクセスがあり、それによってJPL内の多数のデータにアクセスされるという事件が発生していたことが明らかになった(ITmedia)。

この端末は2018年4月に接続されたもので、使用目的やその設置者は不明だという。

JPLのネットワークではネットワーク内に接続する端末をデータベースに登録して管理するルールだったが、問題の端末は登録が行われていなかったという。また、それ以外にもNASAのシステムではセキュリティ的な問題が多数存在しているとも指摘されているそうだ。

NASAに対しては、昨年サイバー犯罪集団による攻撃のターゲットになっているとの報道があった(CNET Japan)。

13942071 story
インターネット

東京五輪チケット詐欺メールにご注意を 20

ストーリー by hylom
URLも電話番号もないと逆に不審に思ってしまいそうだ 部門より

先日、東京オリンピックのチケット抽選申込み結果が発表されたが、それに乗じた詐欺メールが出回っているそうだ(朝日新聞NHK産経新聞)。

大会組織委員会からの正式なメールでは抽選結果と当選枚数、支払い金額のみが記されており、詐欺メールを防ぐため公式サイトのURLや問い合わせ電話番号は記載されていないという。そのため、メール内にURLなどが記載されているものは偽メールだそうだ。

また、TVでは『「tokyo2020」のドメインで送られてくれば本物』などと紹介されたそうだが、メールの送信元アドレスはいくらでも詐称できるため、これでは判別できないため注意したい(Togetterまとめ)。

13941133 story
ノートPC

Apple、旧世代15インチMacBook Proのバッテリー自主回収プログラムを開始 23

ストーリー by headless
防火安全上の問題 部門より
Appleは20日、15インチMacBook Proバッテリー自主回収プログラムを開始した(プレスリリース)。

対象は主に2015年9月から2017年2月の間に販売された15インチMacBook Pro(Retina, 15-inch, Mid 2015)で、バッテリーが過熱して防火安全上の問題が発生する(つまり発火する)可能性があるとのこと。該当モデルの場合はシリアル番号を自主回収プログラムのページで入力すれば対象かどうかを確認できる。自主回収プログラムの対象になる場合、Apple正規サービスプロバイダまたはApple直営店、Appleサポートで修理を依頼すれば無償でバッテリー交換が行われる。
13941114 story
バグ

Dell SupportAssistでまた脆弱性が見つかる 11

ストーリー by headless
発見 部門より
Dell製PCの多くにプリインストールされているサポートツール「Dell SupportAssist」に存在する、DLLハイジャックの脆弱性(CVE-2019-12280)が公表された(DSA-2019-084SafeBreachの記事The Next Webの記事BetaNewsの記事)。

Dell SupportAssistでは4月にも不適切なオリジン検証の脆弱性(CVE-2019-3718)とリモートコード実行の脆弱性(CVE-2019-3719)が公表され、Dell SupportAssist Client バージョン3.2.0.90で修正されている(DSA-2019-051)が、今回の脆弱性はサードパーティー製のPC-Doctorモジュールに存在するものだ。

脆弱性のあるPC-DoctorではDLLの安全な読み込みや署名の検証が行われないため、システムのPATH環境変数で指定されたディレクトリーから任意の無署名DLLを読み込ませることが可能だという。PC診断ツールのPC-DoctorはローレベルのハードウェアにアクセスするためSYSTEMの権限で実行されており、悪用することで権限昇格も可能となる。脆弱性を発見したSafeBreach Labsでは、物理メモリの任意アドレスからデータを読み取るPoCを作成している。ただし、PC-Doctorのプレスリリースでは、管理者権限のないユーザーが書き込み可能なフォルダーをシステムのPATH環境変数で指定する必要があることから、実際に攻撃に使われる可能性は低いとの見解を示している。

脆弱性は開発元のPC-Doctorが直接提供するPC-Doctor Toolbox for Windowsのほか、他社ブランドで提供されているOEM製品にも存在するが、PC-DoctorがDellを通じて脆弱性を通知されたのは5月21日のことであり、既に修正版がリリースされている。Dell Support Assistでは5月28日にリリースされたビジネスPC向けのバージョン2.0.1、ホームPC向けのバージョン3.2.1で脆弱性が修正されており、SupportAssistの自動更新が有効になっていれば何もする必要はないとのこと。なお、これらのバージョンでは不適切な権限管理によりローカルユーザーがSYSTEMに権限昇格可能な脆弱性(CVE-2019-3735)も修正されている(DSA-2019-088)。
13940451 story
Firefox

Firefoxにゼロデイ脆弱性、修正版が1日おきにリリースされる 35

ストーリー by headless
攻撃 部門より
Mozillaは18日、Firefoxの脆弱性(CVE-2019-11707)を公表し、修正版のFirefox 67.0.3/ESR 60.7.1をリリースした(MozillaのセキュリティアドバイザリCISのセキュリティアドバイザリHacker Noonの記事Android Policeの記事)。

脆弱性はArray.popにおける型の取り違えの脆弱性で、JavaScriptオブジェクトを操作する際に発生する。これにより、攻撃に利用可能なクラッシュを引き起こすことができ、成功すれば任意コード実行が可能になるという。Mozillaではこの脆弱性を悪用したターゲット型の攻撃を既に確認しているとのこと。

報告者のSamuel Groß氏(Google Project Zero)のツイートによると、脆弱性を発見して4月15日にMozillaへ報告したが、攻撃の具体的な内容については知らないそうだ。報告者として併記されているCoinbase Securityが何らかの攻撃を確認した可能性もあるが、この時点ではCoinbase側から特に情報は出ていなかった。

さらに20日、Mozillaはサンドボックス迂回の脆弱性(CVE-2019-11708)を修正するFirefox 67.0.4/ESR 60.7.2をリリースした。この脆弱性は親プロセスと子プロセス間のIPCメッセージ「Prompt:Open」で渡されるパラメーターのチェックが不十分なことにより、侵害された子プロセスが選んだWebコンテンツをサンドボックス化されていない親プロセスが開いてしまうというもの。他の脆弱性と組み合わせることで任意コード実行が可能になるとのこと(Mozillaのセキュリティアドバイザリ[2])。

CoinbaseのPhilip Martin氏によると、これら2つの脆弱性を組み合わせた攻撃が同社従業員をターゲットに実行されていることを17日に検出し、ブロックしていたという。また、元NSAハッカーで現在はMac用のセキュリティツールを開発しているPatrick Wardle氏によれば、同じ脆弱性を利用してmacOSにバックドアを送り込む攻撃のサンプルをユーザーから入手したとのことだ(Philip Martin氏のツイートObject-See's Blogの記事Ars Technicaの記事)。
13939800 story
ネットワーク

医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 3

ストーリー by hylom
命を人質に取るマルウェアが出てきそうだ 部門より

headless曰く、

医療用の輸液ポンプ/シリンジポンプに電源とネットワーク接続機能を提供するBD社のAlaris Gateway Workstation(AGW)で、悪用すると輸液速度をリモートから変更することも可能になる脆弱性CVE-2019-10959が公表されている(BDのサポート記事[1]CyberMDXの発表[1]ICS-CERTのアドバイザリThe Register)。

点滴スタンドのポールを2本にしたような形状のAGWはドックを備えており、RS-232または赤外線で輸液ポンプ/シリンジポンプと接続することでスマート輸液システムを構成する。CVE-2019-10959は任意ファイルをアップロード可能な脆弱性で、認証なしのSMB共有フォルダーが存在するようだ。この脆弱性を悪用すると、ローカルネットワークに接続した攻撃者がWindows CEで実行可能な不正なファームウェア更新プログラムを含むCABファイルをアップロードすることで、ファームウェアの書き換えが可能になるという。ただし、脆弱性を発見した医療関連のサイバーセキュリティ企業CyberMDXはアップロードするだけでファームウェアが書き換えられるように説明しているが、BDは何らかの方法でアップデートを実行する必要があるように説明しており、CVEの説明ではファームウェア更新中に任意のファイルをアップロード可能となっている。

不正なファームウェアを使用することで、攻撃者はAGWに接続された輸液ポンプ/シリンジポンプの調整コマンドの範囲を変更できるほか、古いバージョンのソフトウェアを使用するシリンジポンプ4機種では輸液速度を変更することも可能とのこと。CVSS v3スコアは10.0(Critical)となっているが、最新のファームウェア(バージョン1.3.2または1.6.1)では脆弱性の影響を受けず、攻撃者が病院内のネットワークへ接続する必要があることや、ファームウェア更新プログラムに関する知識が必要になることから、BDは攻撃を受ける可能性は低いと考えているようだ。BDでは最新ファームウェアへの更新、SMBプロトコルのブロック、VLANネットワークの分離、適切な関係者のみにネットワークへのアクセスを認める、といった対策の実施を推奨している。

また、ローカルネットワークに接続した攻撃者がIPアドレスを知っていればWebベースのAGW設定画面に認証なく接続できる、という脆弱性CVE-2019-10962も同時に公表されている。設定画面ではポンプの状態を監視できるほか、設定の変更やAGWの再起動などが可能になる。こちらのCVSS v3スコアは7.3(High)で、CVE-2019-10959と同様に最新ファームウェアでは影響を受けないとのことだ(BDのサポート記事[2]CyberMDXの発表[2])。

13939100 story
Facebook

Facebook、新しい暗号通貨「Libra」に対応するデジタルワレット「Calibra」を発表 12

ストーリー by hylom
ブロックチェーンを使う必要はあるのか 部門より

headless曰く、

Facebookは18日、新たに設立した子会社Calibraで2020年にデジタルワレット「Calibra」を提供開始する計画を発表した(ニュースリリース)。

Calibraは同日Libra協会が発表(PDF)した暗号通貨「Libra」に対応し、Facebook MessengerやWhatsApp、スタンドアロンアプリから利用可能になるという。Calibraを使用することで、スマートフォンを持っている人ならほぼ誰にでも無料または少額の手数料で簡単に送金ができるようになる。いずれは請求書の支払いや、店頭での支払い、公共交通機関への乗車にも利用できるようにしたいとのこと。

Calibraでは銀行やクレジットカードなどで使われる不正利用防止の仕組みを取り入れるほか、詐欺行為を検出・防止する自動化されたシステムを用いてユーザーを保護する。誰かがユーザーをだましてアカウントにアクセスし、その結果Libraが失われた場合には返金する仕組みも用意されるそうだ。なお、限定的な場面を除き、Calibraがユーザー同意なくアカウント情報や財務データをFacebookやサードパーティーと共有することはないとのこと。限定的な場面としては、人々の安全を守るために必要な場合や、法令順守に必要な場合、基本的な機能を提供するのに必要な場合が挙げられている。

Libra協会はFacebookのほか決済サービス企業やテクノロジー・マーケットプレース企業、通信企業、ブロックチェーン関連企業などにより設立された非営利組織。暗号通貨のLibraは資産を裏付けとした価格変動の小さいステーブルコインで、オープンソースのLibra Blockchain上に構築されており、エントリーレベルのスマートフォンとデータ通信があれば世界中で利用可能な暗号通貨と金融インフラの提供を目指すとのことだ(ホワイトペーパー)。

13939069 story
Windows

Microsoft、一部のBluetoothデバイスからWindowsへの接続を拒否するよう修正 48

ストーリー by hylom
そんな製品があるのか 部門より

headless曰く、

Windowsの更新プログラムではBluetoothデバイスとのペアリングや接続ができなくなるバグも発生しているが、6月の月例更新では脆弱性のある一部のBluetoothデバイスからの接続を拒否するよう修正を行ったそうだ(KB4507623SlashGearSoftpedia)。

該当する脆弱性CVE-2019-2102は、Bluetooth Low Energy(BLE)規格で提供されているサンプルのLong Term Key(LTK)をデバイスが実際のLTKとしてハードコードしている場合、ペアリングされたAndroidデバイスに対し近くにいる攻撃者がキーストロークを送信可能というものだ。Androidで影響を受けるのはAndroid 7.0~9で、セキュリティパッチレベル2019-06-01以降で修正(A-128843052)されている。

Microsoftによると、更新プログラムをインストールすることで、既知のキーを使用して通信を暗号化するデバイスのすべてが影響を受ける可能性があるとのこと。更新プログラムのインストール後にBluetooth接続の問題が発生した場合、デバイスの製造元に更新プログラムの有無を問い合わせるよう求めている。

この修正が含まれるのはWindows 10/Server 2016/Server 2019の累積更新プログラムおよび、Windows 8.1/Server 2012/Server 2012 R2/Embedded 8 Standardのマンスリーロールアップとセキュリティのみの更新プログラム。対象がBLEデバイス限定とは書かれていないが、Windows 7はBLEに対応していない。

13939004 story
インターネット

Samsung曰く、スマートTVでは数週間ごとのウイルススキャンがおすすめ 19

ストーリー by hylom
そういう機能があるのか 部門より

Anonymous Coward曰く、

「Samsung Support USA」Twitterアカウントが突然同社のスマートテレビ「QLED TV」でウイルススキャンを実行することを推奨する投稿を行ったそうだ。この投稿ははなぜか月曜日の朝に削除されているが、内容としては次の通り。

コンピュータをウイルススキャンして、マルウェア対策をすることは重要です。これは、QLED TVがWi-Fi経由でインターネットに接続されている場合にも当てはまります。数週間ごとにウイルススキャンを行うことで、テレビに対して悪意のあるソフトウェアが攻撃されることを防ぐことができます

あえてOSによる自動スキャンではなく、手動のウイルス・スキャンの手段を説明した理由については不明だという。SamsungはCNETの問い合わせに対し、「このビデオは顧客の教育および所有者のトラブルシューティング用に用意されたものだ」と回答したという(CNETSlashdot)。

SamsungのスマートTVでは手動でウイルススキャンを実行する機能が備えられているそうで、この機能は設定画面から呼び出せるという。

13936060 story
暗号

VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」? 67

ストーリー by hylom
定番のエンコード方式ですね 部門より

Anonymous Coward曰く、

4月にスタートした、株式会社ZIGが運営するVTuberファンコミュニティサイト「MeChu」で利用者のユーザー名およびメールアドレス、パスワードが漏洩する事件が発生した(ニュースリリースTwitterでの告知ZIPによる「お詫びとご報告」1「お詫びとご報告」2)。

管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもので、パスワードはエンコードされていたものの容易に復号できたという。記事内で使用しているツールから、Base64でエンコードされていただけのものと見られている。

13935349 story
お金

ユーロポール、暗号通貨追跡訓練をゲーム化するまじめなゲームを開発中 14

ストーリー by headless
追跡 部門より
ユーロポールが暗号通貨追跡の訓練に使用するため、まじめな(遊びではない)ゲームを開発しているそうだ(プレスリリースThe Next Webの記事)。

プロジェクトの存在はユーロポール本部で14日まで開催された第6回暗号通貨カンファレンスで明らかにされた。このゲームは英シェフィールド・ハラム大学に設置されたCENTRIC(テロリズム・回復力・情報・組織犯罪に関する中核的研究拠点)と緊密に連携して共同開発されているという。ゲームは10月のユーロポールとインターポールの第7回サイバー犯罪カンファレンスでの公開を計画しており、捜査員が暗号通貨の捜査をゲーム化により訓練できる初の機会になるとのことだ。
13934725 story
Firefox

Firefox 67.0.2、保存していたログイン情報がセキュリティソフトウェアにより消えるトラブル 19

ストーリー by headless
保存 部門より
一部の環境でFirefoxをバージョン67.0.2にアップデートすると、Firefoxに保存されていたログイン情報が消えてしまうトラブルが発生していたそうだ(gHacksの記事MozillaのBugzilla — Bug 1558765BetaNewsの記事Softpediaの記事)。

当初AvastやAVGが原因だと考えられていたが、AVGによるとAVGアンチウイルス本体ではなく、AVG Password Protectionというオプション機能を購入したユーザーだけが影響を受け、Avastユーザーは影響を受けないという。トラブルの原因は、Firefoxが新しいバージョンのブラウザーにサインインするための証明書を更新したが、AVGが新しい証明書に信頼できるとマークしていなかったためとのこと。

影響を受けた環境では、Firefoxのプロファイルフォルダー(通常は「C:\Users\<ユーザー名>\AppData\Roaming\Mozilla\Firefox\Profiles\<ランダムな文字列>.default」)内のログイン情報を格納するファイル「logins.json」がFirefoxにより「logins.json.corrupt」のようにリネームされている。データ自体は削除されていないため、Firefoxを終了してファイルを元の名前に戻せば復旧するそうだ。AVGでは問題を修正する更新プログラムを既に配布しており、製品バージョン「VPS 190614-02」以降では影響を受けないとのことだ。
13934719 story
広告

Google曰く、Chrome拡張機能プラットフォームの新マニフェストは広告ブロックをより安全にする 24

ストーリー by headless
安全 部門より
広告ブロック拡張機能の動作を制限するものだと批判されているChrome拡張機能プラットフォームのマニフェスト新バージョンManifest V3について、広告ブロックをだめにするのではなく、より安全にするものだとChrome拡張チームのDevlin Cronin氏が説明している(Google Security Blogの記事VentureBeatの記事The Registerの記事Neowinの記事)。

Manifest V3のドラフトではブロッキング用途でのWeb Request API使用が非推奨(かつ制限される可能性あり)となり、ブロッキング用にはDeclarative Net Request APIが新たに追加される。Web Request APIによるブロッキングではページコンテンツを受け取った拡張機能が広告を除去するのに対し、Declarative Net Request APIでは拡張機能からブロッキング処理内容を受け取ったChrome側が広告を除去することになる。これにより処理は高速化するが、複雑なブロッキングアルゴリズムは使用できなくなる。ルールの数も3万件に制限され、現在広く使われているルール(EasyListだけでも7万件を超える)をすべて使用できない点も批判されている。また、5月下旬にはChrome拡張開発者支援を担当するSimeon Vincent氏が企業ユーザーにはWeb Request APIのブロッキング機能を引き続き提供すると述べたことも批判の対象となった。

Cronin氏はブロッキングをWeb Request APIからDeclarative Net Request APIへ移行すべき理由としてパフォーマンス向上に加え、プライバシーの改善を挙げている。Web Request APIではユーザーの個人情報を含む可能性のあるページコンテンツへのアクセス許可を拡張機能へ与える必要がある。一方、Declarative Net Request APIでは拡張機能のリクエストに応じてChrome側でブロッキングを実行するため、拡張機能に個人情報へのアクセス許可を与える必要がなくなるとのこと。なお、ブロッキングルールについては、グローバルで最大15万件に拡大する計画をChromiumブログでVincent氏が明らかにしている。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...