パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

15760676 story
AMD

AMDのZen世代全CPUに脆弱性 30

ストーリー by nagazou
脆弱性 部門より
AMDのZen 1、Zen 2、またはZen 3コアを使用するCPUで、サイドチャネル攻撃に対する脆弱性が報告されている。CVE IDはCVE-2021-46778で深刻度は中程度(SQUIP: Exploiting the Scheduler Queue Contention Side Channel[PDF]AMDリリースWCCF TECHTom's HardwarePC Watch)。

ジョージア工科大学やグラーツ工科大学などの研究者らによって発見されたもので、この脆弱性には「SQUIP(Scheduler Queue Usage via Interference Probing)」という名称が付けられている。この脆弱性は同時マルチスレッディング(SMT)が有効な場合に機能するという。攻撃者がスケジューラキューの競合レベルを測定するサイドチャネル攻撃がおこなった場合、機密情報が漏洩する可能性があるとしている。AMDによれば、この潜在的な脆弱性を緩和するためには、ソフトウェアがシークレットに依存する制御フローを回避する、一定時間のアルゴリズムなどを使うことで軽減できるとしており、関連する案内を開発者向けにおこなっているという。
15758709 story
Google

Blogger、19年前の記事のリンク先がマルウェアサイトになったとして非公開化措置 20

ストーリー by nagazou
難しい問題 部門より
Googleのレンタルブログサービス「Blogger」で、19年前のブログ記事のリンク先がマルウェアサイトになっているとして記事が非公開化されてしまうという事例があったそうだ。報告をおこなっているのはdiamond geezer氏で、2003年5月に投稿した記事が非公開にされたとのメールが運営から送られてきたという。非公開になった理由として、該当記事がマルウェアやウイルスに関するポリシーに違反したためだとしている(diamond geezer)。

削除された記事は人気テレビ番組に関する話題を集めたいわゆるリンク集だったようだ。同氏はマルウェアやウイルスにリンクした覚えはなく、同氏はかつてリンクしたサイトが消滅し、ドメインの所有者が悪意のあるユーザーに変わってしまったのではないかと推測したようだ。

そこで問題の記事中のリンクをチェックしたところ、31あったリンクのうち12が完全に消失、9サイトは存在しているものの記事自体はなくなっていた。The Guardianからリンクした4サイトは無事だった。しかし6つのサイトがまったく別のWebページに置き換えられていたという。問題が指摘されたのはこのうちの一つだったとしている。同様の問題はほかのBloggerの投稿者も抱えていると思われる。

あるAnonymous Coward 曰く、

「Bloggerが危険コンテンツへの問題を処理しているのは素晴らしいが、多数の記事が将来公開されなくなるリスクがある」

15757807 story
バグ

Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた 3

ストーリー by headless
招待 部門より
Slack は 4 日、およそ 0.5 % のユーザーにパスワードをリセットしたと通知したそうだ (Slack のブログ記事The Register の記事)。

この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。

このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ~ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。
15756653 story
SNS

Snapchat、保護者が子供の行動を把握できるようにする「ファミリーセンター」機能を発表 4

ストーリー by nagazou
把握 部門より
headless 曰く、

Snap は 9 日、Snapchat のアプリ内に追加する新ツール「ファミリーセンター」を発表した (Snap のブログ記事The Verge の記事Neowin の記事機能紹介動画)。

ファミリーセンターは保護者が子供の行動を把握して子供の安全を保つためのツールだ。オフラインで子供が遊んでいる友達を保護者が知るのと同様に、子供と友達の会話の内容を見ることなく相手を確認できるほか、懸念されるアカウントの報告も可能になるという。

ファミリーセンターを使用するには、保護者が自分のスマートフォンにインストールしたSnapchatアプリで子供を招待すればいい。子供が招待に応じれば、保護者が友達や会話の相手を確認できるようになる。保護者以外でも信頼される25歳以上の家族であれば子供を招待できるという。

ファミリーセンターは今後数週間のうちに利用可能となり、今秋にはコンテンツコントロールなどの機能を追加する予定とのことだ。

15756613 story
プライバシ

Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 34

ストーリー by nagazou
流出 部門より
headless 曰く、

Twitter は 5 日、システムの脆弱性が悪用され、電話番号や電子メールアドレスに関連付けられた Twitter アカウントが悪意ある人物に知られた可能性があると発表した (Twitter のブログ記事The Verge の記事BetaNews の記事HackRead の記事)。

この脆弱性はログインのフローで電話番号や電子メールアドレスを入力すると、既存の Twitter アカウントに関連付けられている場合はそのアカウントが表示されるというものだ。2021 年 6 月の更新で導入されており、2022 年 1 月に脆弱性報告報奨金プログラムを通じて報告を受けてすぐに修正したという。しかし、7 月になってこの脆弱性を悪用して収集したとみられる 540 万人分のデータが 3 万ドルで販売されていると BleepingComputer に報じられ、データのサンプルを調べたところ悪用が確認されたとのこと。

Twitter は影響が確認されたアカウントの所有者に直接通知しているが、影響を受けたすべてのアカウントを確認することはできないことや、特に仮名を使用している人が国家などの監視対象になっている可能性にも配慮してブログで発表することにしたそうだ。既に仮名のアカウントが知られてしまった場合は新たにアカウントを作成するしかないと思われるが、仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう Twitter は推奨している。

15756411 story
プライバシ

Twilio、フィッシングで奪われた従業員の認証情報による不正アクセスで顧客の情報が漏洩 5

ストーリー by headless
認証 部門より
Twilio は 7 日、フィッシングで奪われた従業員の認証情報による不正アクセスで少数の顧客に関連する情報が漏洩したことを発表した (Twilio のブログ記事The Verge の記事HackRead の記事The Register の記事)。

フィッシングは SMS でログインの期限切れやスケジュールの変更などを知らせ、偽サイトの偽サインインページに誘導して認証情報を入力させるというもの。偽サイトは「Twilio」「Okta」「SSO」といった単語を組み合わせたドメイン名だったという。このようなフィッシング SMS は従業員や元従業員から報告されており、幅広く送信されていたようだ。発信元は米国の携帯電話キャリアを使用しており、電話番号を含むデータを従業員の名前と一致させる技術も持っているとみられる。

Twilio では同様のフィッシング攻撃を受けた他社とも協力して携帯電話キャリアに送信を止めるよう働きかけたほか、レジストラントやホスティングプロバイダーに偽サイトを停止するよう働きかけたが、攻撃はキャリアやホスティングプロバイダーなどを切り替えて続けられた。そのため、攻撃者は組織化されて高度な技術を持っていると考えられるとのこと。

Twilio が不正アクセスに気付いたのは 8 月 4 日。セキュリティチームが問題確認後に侵害された従業員のアカウントからのアクセスを無効化し、フォレンジック企業にも調査への協力を依頼したという。データにアクセスされた顧客には個別に連絡しており、Twilio から連絡がない限りは影響なしと考えていいようだ。日本では KDDI ウェブコミュニケーションズが Twilio の代理店となっているが、8 月 9 日 10 時 30 分時点の調査の結果では同社を通じて契約したアカウントに影響を受けたものはないそうだ。

なお、Cloudflareも同様の攻撃を受けて従業員がフィッシングに引っかかったが、同社は全従業員に物理的なセキュリティキーを発行しており、アプリケーションへのアクセス時に必須としていたことで難を逃れたとのことだ (The Cloudflare Blog の記事)。
15756320 story
インターネット

Microsoft Edge、「強化されたセキュリティ」の既定でアクセス数の少ないサイトを防御対象に 16

ストーリー by headless
強化 部門より
Microsoft は 5 日、Microsoft Edge バージョン 104.0.1293.47 を Stable チャネルでリリースした (リリースノートMicrosoft Edge でより安全に閲覧するThe Register の記事Windows Central の記事)。

本バージョンでは「強化されたセキュリティ」モードの既定のオプションとして「基本」が追加されており、JavaScript の JIT コンパイル無効化といった追加の防御機能がアクセスの少ないサイトにのみ適用される。従来の規定のオプションであった「バランス」とは異なり、ユーザーのアクセス頻度は考慮されない。これにより、一般に人気の高いサイトが影響を受けることはなく利用できるとのこと。

なお、強化されたセキュリティモード自体は既定でオフになっている。使用するには Edge の設定画面で「プライバシー、検索、サービス」にある「Web 上のセキュリティを強化する」をオンにすればいい。

このほか、本バージョンでは最初の実行エクスペリエンスで Chrome を使用せず、Google アカウントにログインして Chrome のデータをインポートできるようになっているとのことだ。
15754730 story
日本

自衛隊の兵器開発もアジャイル化 58

ストーリー by nagazou
高度の柔軟性を維持しつつ臨機応変に 部門より
政府は長射程ミサイルとして開発中の地対艦ミサイルに関して、開発完了前でも一定の性能を獲得できた段階で導入する「アジャイル開発」を用いて、配備の時期を前倒しする方針を固めたそうだ。12式地対艦誘導弾の改良型がそれにあたり、計画では12式の約200キロを大きく上回る900~1500キロの射程延長を目標としている。政府は従来は26年度以降の量産・配備開始を目指していたが、23年度以降に前倒しすることを目指すとしている(毎日新聞Yahoo!ニュース)。

あるAnonymous Coward 曰く、

開発完了を待たず100%の性能が得られなくても実戦配備をおこなってアジャイル化・スパイラル開発をおこなうそうです

#射程1500kmの対艦ミサイルを対地攻撃に転用すれば日本列島からソウル、ピョンヤン、台北、北京、南京、ウラジオストックに届く

15754712 story
SNS

一部韓国車にUSBケーブルだけで始動できる問題が発覚。米国で盗難が多発 66

ストーリー by nagazou
遊び半分でやってしまっているそうです 部門より

米国で韓国車の盗難が大幅に増加しているそうだ。原因はTikTok上でトレンドとなった「起亜チャレンジ」で、韓国の起亜自動車と現代自動車の一部車種の盗難が増加しているという(NextSharkNews4JAXの動画かいこれ!)。

両社の自動車にUSBケーブルまたは電話充電器を使用することで簡単に車を始動することができるバグがあることが発覚、この手法がSNSで拡散したことにより、韓国車の盗難件数が全米で急上昇したようだ。米国のルイビルメトロ警察署の発表によれば、7月1日から7月25日までの間に52台の車両が盗難されたという。この52台は起亜と現代製のものが半々であるとのこと。

15754677 story
セキュリティ

アイコンの似たマルウェアが多い正規アプリはSkypeとAcrobat、VLCという調査結果 26

ストーリー by nagazou
色の割合が似てると押し間違いやすい 部門より
headless 曰く、

VirusTotal の報告書「Deception at scale: How malware abuses trust」によれば、似せたアイコンを使用するマルウェアが多い正規アプリトップ 3 は Skype と Adobe Acrobat、VLC だったそうだ (VirusTotal Blog の記事HackRead の記事)。

調査はダウンロード回数の多い正規の Windows アプリケーション 25 本に似せたアイコンを使用するサンプルが対象だ。マルウェアとして判定されたサンプルに占める割合でみると、Skype (28.0 %)・Adobe Acrobat (18.2 %)・VLC (17.6 %) の 3 本で 63.8 % を占め、7zip (11.5 %)・Team Viewer (7.5 %)・CCleaner (5.6 %) を含めると 88.4 % にのぼる。

一方、正規アプリと似たアイコンのサンプルに占めるマルウェアの割合が高いのは Adobe Acrobat・Skype・7zip の 3 本で、いずれも 75 % 以上がマルウェアだったという。具体的な数字は記載されていないが、Adobe Acrobat と似たアイコンのサンプルでは 90 % 以上がマルウェアだったようだ。

15754683 story
日本

店舗の無線LANに侵入、わいせつ画像などを印刷した疑いで書類送検 53

ストーリー by nagazou
エロ画像テロ 部門より
福岡県太宰府市で外部から店舗の無線LANに侵入し、プリンターでエロ画像など約100枚を印刷されたという事件が発生したそうだ。この事件で福岡県大野城市在住の45歳の男が業務を妨害した疑いで書類送検されたという。容疑者は動機に関して「数年前から勉強したネットの知識を試すため、いたずら目的でやった」などと述べているという。男は2020年12月以降、脆弱な他人のネットワークを探して100回以上にわたり侵入を試みていたとされる(読売新聞テレビ西日本)。
15754723 story
Windows

Windows 11、最新プロセッサーでデータ破損しやすい問題 49

ストーリー by nagazou
データ破損はまずい 部門より
headless 曰く、

Microsoft が 7 月の月例更新に合わせて公開したサポートドキュメント (KB5017259) が今になって注目されている (Neowin の記事Softpedia の記事The Register の記事)。

KB5017259 は Windows 11 / Server 2022 でサポートされる最新の CPU を搭載したデバイスでデータ破損が発生しやすいというものだ。具体的には最新の VAES インストラクションセット (AES-XTS または AES-GCM) をサポートするデバイスが対象となる。Neowin によれば、Intel では第 10 世代の Ice Lake 以降、AMD では ZEN 3 アーキテクチャーの Ryzen 5000 シリーズ以降が影響を受けるとのこと。

問題は 5 月 24 日リリースの累積更新プログラムのプレビュー (リリース C) および 6 月の月例更新で修正されているが、AES ベースの操作に 2 倍の時間がかかるようになり、BitLocker や TLS、ディスクのスループットでパフォーマンス低下が発生する可能性があるという。

パフォーマンス低下の問題は 6 月 23 日リリースの累積更新プログラムのプレビューおよび 7 月の月例更新で修正されているとのことで、最新の累積更新プログラム適用が推奨される。

15752785 story
統計

フィッシング対策協議会の7月次報告書、URL数が6月の約1.8倍に急増 15

ストーリー by nagazou
7月は数が多かった 部門より
フィッシング対策協議会は3日、2022年7月に同協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より1万9698件増加し、10万7948件となったと発表した。発表によれば、「クレジットカードの利用確認を装うフィッシング」の報告が急増、特にVISA、マスターカード、JCBをかたるメール文面が多くみられたという。以前からフィッシング報告の多かった Amazon、三井住友カードをかたるものと合わせると全体の約73.2%を占めるとしている(フィッシング対策協議会)。

フィッシングURL数に関しては、6月と比較して約1.8倍と急増している。ショートメッセージ (SMS) から誘導されるフィッシングでは、宅配便関連の不在通知を装うものや、Appleをかたる内容、モバイルキャリア、Amazon、Yahoo! JAPANをかたる文面のものが多かったとしている。
15752753 story
SNS

「SNS特定屋」に注意 107

ストーリー by nagazou
こういうのが得意な人は割といるので注意 部門より
以前からSNSに上げられた写真等からアップした人物の活動範囲や居住場所が特定されてしまうことが問題となっている(関連過去記事関連その2)が、テレ朝NEWSの記事によると、Twitterなどでは特定の個人の住所特定などを目的とした「特定屋」も数多く存在するという(テレ朝NEWS)。

記事によれば、1人5000円とかiTunesカードといった報酬で活動を行っているという。最近のスマートフォンで撮れる写真は解像度も高いことから、背景の電柱に書かれている地域名などを読み取るのも難しくないとしている。またこの電線の影などから大体の撮影時刻が分かるともしている。
15752750 story
テクノロジー

Microsoft Teams、電子メールサービス Tutanota のアドレスによる登録をブロック 16

ストーリー by nagazou
誤ブロック 部門より
headless 曰く、

Microsoft Teams がセキュアな電子メール Tutanota の電子メールアドレスによる登録をブロックしているそうだ (Tutanota のブログ記事HackRead の記事)。

Microsoft Teams のアカウント作成時に Tutanota ドメイン (tutanota.de) の電子メールアドレスを入力すると、アドレスが組織のディレクトリに追加されていないと表示され、管理者に連絡するか、別の電子メールアドレスを入力するか促されるという。つまり、tutanota.de が電子メールサービスのドメインではなく、組織のドメインと誤認識されているとみられる。そのため、Microsoft が Tutanota のドメインを電子メールサービスとして扱うよう修正すれば解決とみられるが、Microsoft は修正が不可能だと述べ、Tutanota 側の度重なる要請を無視しているとのこと。このような Microsoft の対応に、市場支配力をもって小規模な競合他社を害するものだなどと Tutanota は批判し、巨大テクノロジー企業を規制する法律の必要性を示す好例だなどと述べている。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...