パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

13688892 story
マイクロソフト

Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 1

ストーリー by hylom
無害なサイトの誤検知はどうすれば 部門より
headless曰く、

Windows Defender ATPによるファイルの誤検知を避けるため、ソフトウェア開発者側で実行可能な対策をMicrosoftが紹介している(Microsoft SecureNeowin)。

誤検知を避けるにはセキュリティベンダーだけでなくソフトウェア開発者の協力が不可欠だ。MicrosoftではアプリケーションをMicrosoft Storeで公開するのが誤検知を避けるのに最も良い方法だとしつつ、セキュリティベンダーやユーザーからの信頼を高めるのに有効なポイントを取り上げている。

最初に挙げられているのはファイルへのデジタル署名だ。署名によりファイルが改変されていないことを確認できるが、Microsoftでは署名に使われたデジタル証明書の信頼性評価もファイルの信頼性評価に使用するのだという。特にEV証明書が使われている場合、過去に評価されていないファイルやパブリッシャーであっても、Windows Defender ATPは高い評価を与えるとのこと。

また、バンドルしたソフトウェアに評価の低いものがあると、本体ソフトウェアの評価も低下する。さらに、インストーラーに署名した証明書の評価も下げられることになる。このほか、ファイルの難読化や標準以外のインストール場所の使用、ソフトウェアの目的とは異なる名称の使用といったマルウェアが使用するようなテクニックを使用した場合、誤検知される可能性が高くなるとのことだ。

13687745 story
インターネット

中国がカンボジアの総選挙に対しネットなどでの工作を行っているとの疑惑 59

ストーリー by hylom
独裁者を支援するほうが楽だからねぇ 部門より

ロシアが米大統領選など他国の選挙を狙い、サイバー攻撃で盗み出した情報をリークしたり、SNSなどを使って世論の誘導を試みているという疑惑はたびたび報じられているが、中国もこういった手法を行っていると見られているそうだ(日経新聞NHKテレビ朝日)。

中国が介入を行った具体的な例としては、7月29日に行われたカンボジアの総選挙が挙げられている。中国は親中派のフン・セン首相を経済的に支援していることが知られているが(ニューズウィーク日本版)、選挙でもフン・セン陣営を支援するような工作が中国主導で行われていたという。

また、中国は他国もこういった工作のターゲットにしているのではないかと心配する声も出ている。その具体例として、来年のインドネシア大統領選、フィリピン中間選挙などが挙げられているほか、日本の沖縄県知事選、総裁選への影響もあるのではないかとの声もある。

13687704 story
日本

Coinhive摘発の基準、神奈川県警への情報開示請求で一部公開 69

ストーリー by hylom
「俺たちは雰囲気で取り締まりをやっている」案件 部門より

サイトにCoinhiveを設置していたサイト管理者が不正指令電磁的記録取得・保管罪で摘発された事件では、警察がどのような基準で摘発を行っていたのかが注目されており、有志が神奈川県に対し開示請求を行っていた。そしてこのたび、その結果が公開された(Togetterまとめ)。

公開された文章では、要件である「不正な指令」について「社会的に許容し得るものであるか否かという観点から判断します」とされているなど、具体例に欠けるものが多く、これだけでは利用者や提供者が個々のプログラムについて違法かどうかを判断することは難しいと思われる。

13683627 story
セキュリティ

NTTドコモのオンラインショップに不正アクセス、約1000台のiPhone Xが不正に購入される 47

ストーリー by hylom
ドコモさん大丈夫だろうか 部門より

第三者のIDを使ってNTTドコモのオンラインショップに不正アクセスし、他人名義でスマートフォン(iPhone X)の購入を行うという事件が発生している(共同通信読売新聞マイナビニュース朝日新聞)。

piyologにて状況がまとめられているが、「約1000件」という被害件数は不正購入されたiPhone Xの台数であり、不正ログイン自体は約1800件だという。不正購入されたiPhone Xはドコモショップやコンビニなどで受け取られたとのことで、多くがすでに犯人の手に渡っているようだ。

NTTドコモはこれに対し、被害者には請求を行わない方針だという。

13683515 story
政治

政府機関でのHuawei製品とZTE製品の使用を禁ずる2019年度米国防授権法が成立 29

ストーリー by hylom
締め出し 部門より
headless曰く、

米国の2019年度国防授権法(H.R.5515 — John S. McCain National Defense Authorization Act for Fiscal Year 2019)に13日、ドナルド・トランプ大統領が署名し、成立した(ホワイトハウスの発表トランプ大統領の声明副大統領の演説The Verge)。

2019年度国防授権法では、Huawei製およびZTE製の通信機器について、政府機関のシステムで重要な要素として使用・調達・契約更新などを禁じている。政府機関は両社製の通信機器をシステムの重要な要素として使用する団体との契約も禁じられる。

また、HyteraやHikvision、Dahuaといった中国企業製のビデオ監視システム、国防長官や国家情報長官、FBI局長が中国政府の影響下またはつながりがあるとみなす企業の通信機器及びビデオ監視システムも同様の扱いとなる。

6月に上院で可決した国防授権法修正案ではZTEの輸出特権停止解除阻止が盛り込まれていたが、今回成立した下院の法案には含まれていない。その代わり、中国企業製の通信機器やビデオ監視システムの使用禁止条項が最終的に盛り込まれたようだ。

なお、2019年度国防授権法は現在闘病中のジョン・マケイン上院議員に敬意を払った名称となっている。トランプ氏は2015年、ベトナム戦争で捕虜になったマケイン氏を英雄とは認めないと発言し、その後英雄と認めたが、謝罪はしなかった。今回の法律に関する声明でも、マケイン氏については一切触れられていない。

13682628 story
インターネット

海賊版サイトをブロックするのではなくサイバー攻撃しろという提案が出る 87

ストーリー by hylom
どこまで本気なのか 部門より
grapefruit7曰く、

「海賊版サイトをブロッキングする代わりに、権利者が海賊版サイトに直接DoS攻撃を仕掛ける」という提案が、「インターネット上の海賊版対策に関する勉強会」で出されている(ITmediaの記事1記事2日経xTECH)。

この提案は、日本IT団体連盟から出されたもの。海賊版サイトの対策として、権利者が自ら「権利者による海賊版サイトへのDoS攻撃」をするという提案だが、「犯罪行為だ」「正当防衛にならないのでは」「法治国家の発想ではない」という批判も出ている。

DoS攻撃はCloudflareのようなCDNサービスに対しては効果が薄いとされており、現実的ではないとういう批判もある。さらに、EDoS攻撃(相手に経済的損失を与えるDos攻撃)でも、CloudflareはDDoS攻撃を受けて生じた損害分は無料とするサービスを開始しており、有効ではないと考えられる(TechCrunch Japan

なお、日本IT団体連盟はヤフーの川邊健太郎社長が代表理事/会長を、コンピュータソフトウェア協会や日本インターネットプロバイダー協会などの国内のIT関連組織関係者が理事を務めており、「参加企業数5000社、従業員数400万人に及ぶ国内最大のエンジニア集団を代表する団体であり、様々なノウハウを持っているため、より効果的なアクセス集中手段の実装について技術的支援を行える」などとも提案している。

13682388 story
プリンター

電話回線からFaxを通じてローカルネットワークを攻撃する「Faxploit」 22

ストーリー by hylom
FAXにセットした紙の両端をくっつけて無限に送るやつとは違う 部門より
headless曰く、

ネットワーク接続されたFaxを入り口として、電話回線からローカルネットワークに侵入する攻撃「Faxploit」の仕組みをCheck Pointが解説している(Check Pointブログ技術詳細BetaNews)。

Check Pointが使用したのはHPのプリンター(デジタル複合機)で、カラーFax(JPEG)の送受信に対応している。しかし、TIFFデータを使用するモノクロFaxではネゴシエーションでメタデータを決定するのに対し、JPEGの場合はファイルがそのまま送信されるのだという。ITU-Tの標準では受信側でサポートしないJPEGマーカーや特定のJPEGマーカーを削除すべきと規定する一方、特に整合性チェックなどは規定されていないようだ。

Check PointはプリンターのJPEGパーサーで発見したリモートからのコード実行が可能になる2件の脆弱性(CVE-2018-5924CVE-2018-5925)の1件を利用し、送信したJPEGファイルに格納したペイロードを読み取って実行するエクスプロイトを作成。ペイロードにはプリンターのLCD画面に任意の画像を表示、プリンターにネットワークケーブルが接続されているかどうかのチェック、Shadow Brokersが昨年公開した米国家安全保障局(NSA)のサイバー攻撃ツール「Eternal Blue」と「DoublePulsar」を使用したネットワーク内コンピューターの攻撃といった処理が実装されているとのこと。動画ではネットワーク内のコンピューターから機密情報ファイルを探し出し、攻撃者にFax送信させている。

この脆弱性についてCheck Pointは事前にHPへ報告しており、既にファームウェアのアップデートが公開されている。ただし、同様の脆弱性は他社のプリンターに存在する可能性があるほか、Faxをメールで受信できるサービスや、スタンドアロンのFax専用機にも存在する可能性があるとのことだ。

13682370 story
Intel

Intel CPUに新たな脆弱性 26

ストーリー by hylom
また出たか 部門より

Intel CPUの「Software Guard Extensions(SGX)」や仮想化関連機能に脆弱性が発見された(ITmedia)。

発見された脆弱性は、CVE-2018-3615およびCVE-2018-3620CVE-2018-3646の3つ。SGXはほかのプロセスからのアクセスが制限されたメモリ領域を作成する機能で、例えばWindows向けのUHD Blu-ray再生ソフトでは暗号化されたコンテンツの復号時に鍵が漏洩しないようこの機能を使っているという(PC Watch)。

今回の脆弱性を悪用することで、マシン上で動作しているOSやアプリケーションのデータを漏洩させることができるという。また、仮想マシン上で動作しているプロセスから、ホストマシンのメモリにアクセスすることもできるという。

13681108 story
インターネット

TLS 1.3正式リリース 7

ストーリー by hylom
ついに正式に 部門より

2018年8月付で、「The Transport Layer Security (TLS) Protocol Version 1.3」(TLS 1.3)に関する文書であるRFC8446が発行されている(Internet Engineering Task ForceのブログITmediaTechCrunchCNET JapanCloudflare Blog)。これによって標準化プロセスが完了し、TLS 1.3が「完成」したことになる。

すでに主要WebブラウザはTLS 1.3のドラフト版に対応しており、またFacebookやCloudflareなどのサーバー側でもTLS 1.3のサポートが導入されている。

13680091 story
セキュリティ

Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 26

ストーリー by hylom
ちぐはぐ 部門より
あるAnonymous Coward曰く、

Googleのセキュリティ研究部門「Project Zero」に所属する「バグハンター」のIan Beer氏が、Appleのセキュリティ対応について批判している。

氏によると、Appleのセキュリティに対するアプローチが業界全体を後退させているという。同氏はBlack Hatの講演で、この2年間にiOSでは30件以上のバグが発見されたと述べた。その上で、Appleがこれまでの脆弱性の開示から学んでいないと感じていると話した。

氏曰く、Appleの個々の技術者は、強力なエンジニアリングセキュリティスキルを持っているものの、彼らはバグが悪用される背景を理解しておらず、また問題の根本的な原因を見つけることもしていないという。

同氏は、AppleのCEO、Tim Cookに対する挑発的な呼びかけの中で、アムネスティ・インターナショナルに250万ドルを寄付するよう要望した。これは、同氏の発見した30件以上のiOS脆弱性におけるバグ賞金収入とほぼ同額だ(The Vergethreat postSlashdot)。

13678857 story
ハードウェア

VIA C3に隠し機能が見つかる。一般プロセスでも無制限でメモリやハードウェアへアクセス可能 33

ストーリー by hylom
まさかのC3の話題 部門より

2001年にVIAが発表したx86互換CPU「C3」の「Nehemiah」版に非公表の機能が存在し、これを利用することで特権を得ることができるという脆弱性が発見された(デモや詳細公開しているGitHubリポジトリtom's HARDWRE)。

昨今のCPUには「リングプロテクション」という特権レベル管理機構があるが、この命令を実行することで最高の特権を得ることができ、例えば一般プロセスから無制限にハードウェアやほかのプロセスにアクセスするといったことが可能になるそうだ。

発表によると、問題のCPUにはx86コアとは別の小型のコアが組み込まれており、レジスタの特定のビットを操作することでこのコアが有効になるという。このコアを有効にして特定の形式でx86命令を与えると、その命令は全てのメモリ保護や特権チェックをバイパスした状態で実行されるという。

C3はすでに生産終了となっているため今後影響が拡大する可能性は少ないものの、C3を採用しているシステムはまだ現存する可能性があるため注意は必要なようだ。

13677806 story
ゲーム

Google Play、Fortniteの検索結果に警告を表示 28

ストーリー by headless
警告 部門より
Google Playで「Fortnite」を検索すると、検索結果の上に警告が表示されるようになっている(Android Policeの記事9to5Googleの記事The Vergeの記事Neowinの記事)。

Google Playを経由せず、開発元のEpic Gameが直接配信することを決めた人気ゲーム「Fortnite Battle Royale」のAndroid版だが、偽物や紛らわしい名前のアプリが出現することも予想される。偽アプリがGoogle Playに登録されてしまう例は過去にもあるため、ユーザーが誤って偽アプリをインストールしないよう予防的に警告を表示しているとみられる。ただし、Googleがこのような警告を表示するのは珍しい。

警告が表示されるのは「Playストア」アプリで検索した場合のみ。現在、「fortnite」「fortnite battle royale」などの語句を検索すると「Fortnite Battle Royale (デベロッパー: Epic Games, Inc) はGoogle Playではご利用いただけません」と表示される。ただし、「fortnite beta」「fortnite battle royale game」「fortnite battle royale the real game」などの場合、警告は表示されない。
13677803 story
バイオテック

カイコの遺伝子を置き換え、クモ糸タンパク質を高い割合で含むシルク繊維の大規模生産を可能にする研究成果 47

ストーリー by headless
繊維 部門より
ゲノム編集したカイコガを用いることで、高い割合でクモ糸タンパク質を含むシルク繊維を得ることに中国の研究グループが成功したそうだ(論文Ars Technicaの記事)。

クモ糸は高い強度や伸展性など優れた特性を持ち、バイオ素材として注目を集めている。しかし、クモの生態上、飼育による大規模なクモ糸繊維の生産は困難だ。他の生物にクモの遺伝子を挿入してクモ糸タンパク質を生成させる場合、多くは繊維を作る工程が必要になる。カイコガを使用すれば直接繊維を採取可能となるが、トランスポゾンを用いてクモの遺伝子を挿入する従来の方法ではクモ糸タンパク質を効率よく得られなかったという。

研究グループではヌクレアーゼを用いた相同性依存的な修復(HDR)により、カイコガのフィブロインH鎖遺伝子をアメリカジョロウグモ(Nephila clavipes)の牽引糸タンパク質(MaSp1)遺伝子で置き換えた。その結果、遺伝子組み換えカイコガの繭では最大35.2%をMaSp1が占めたという。繭から得られるシルク繊維を通常のカイコガのものと比較したところ、直径が15.8%小さく、強度が17.4%低下する一方、破断ひずみは22.5%から32.2%に増加し、破壊エネルギーも22.5%増加したとのこと。

異種発現系による大規模なクモ糸生産の可能性を示す今回の研究成果は、将来のクモ糸を含む新たなバイオ素材の開発に役立つとのことだ。
13676009 story
セキュリティ

企業の92%がDevOpsにセキュリティ行程を統合するのに苦戦している 16

ストーリー by hylom
セキュリティを学ぶのは難しい 部門より
あるAnonymous Coward曰く、

セキュリティ企業であるCheckmarxによる最新の調査によると、大多数の企業がDevOpsにセキュリティ工程を組み込むことに苦労しているという。調査ではDevOpsは開発速度の向上に貢献しているが、ソフトウェア的な複雑さも増し、セキュリティ上での問題も増えているという。調査の回答者の96%は、開発者がセキュアなコードを作成する方法についての適切な訓練を受けていることが「望ましい」または「非常に望ましい」と答えた。また、回答者は運用担当者やセキュリティ専門家といった分野よりも、開発者の教育や権限の強化が必要だとしている。

しかし、41%は開発者に対してソフトウェアセキュリティに関して明確な責任を定義することは挑戦的な課題であるともしている。一方で、11%と少数ではあるが、開発者教育の必要性に適切に対処していると回答したものもいる。ソフトウェアセキュリティは経営上のビジネスリスク問題であると回答者の57%は考えているようだ。ソフトウェアのより良いセキュリティを確保するためには、開発者とセキュリティチームは経営者側の支援が必要だと感じているものの、45%は上級管理職にセキュリティトレーニングの資金調達を承認するのが難しいと感じているともしている(BetanewsSlashdot)。

13676089 story
セキュリティ

北洋銀行、Webサービスでキャッシュカードの暗証番号の入力を求める 55

ストーリー by hylom
これが日本の一般企業のセキュリティです 部門より
あるAnonymous Coward曰く、

北海道に拠点を置く北洋銀行(第二地方銀行)では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。

ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。

はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装ったサイトを作れば、口座番号も氏名も生年月日も、さらには暗証番号までも、すんなりと手に入れられてしまうだろう。

フィッシングに注意を促すべき銀行自体が、その手口を理解していないようにも思えるこの事案。あっちはダメでこっちはよいという、ダブルスタンダードを掲げる金融機関のセキュリティポリシーに疑問を感じざるを得ない。

最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが:p

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...