パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

15499481 story
セキュリティ

2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」 20

ストーリー by nagazou
マルウェア 部門より
headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

15499474 story
インターネット

リクルートIDがinfo@など特定のユーザ名に制限。利用者には変更を要請 26

ストーリー by nagazou
制限 部門より
リクルートの提供しているサービス向けID「リクルートID」で、特定のユーザ名を含んだメールアドレスへのメール配信を制限しているそうだ。制限されるユーザ名はサイトに一覧として掲載されているが、「info@」「www@」「admin@」「group@」といったものが制限の対象となっている(リクルートID登録しようとすると「このメールアドレスではリクルートIDからのメールを受信できません」とエラー表示される)。

この件に関する説明記事によれば、プロバイダなどでは不適切なメールを検知してブロックする場合があることから、こうしたアドレスにメール配信をし続けるとドメイン単位でブロックされてしまい、ほかのユーザーへのメール送信に遅延や停止等の支障がでてしまうためだとしている。同社では該当するメールアドレスを利用している場合、メールアドレスの変更を行うように求めている。

あるAnonymous Coward 曰く、

独自ドメインを利用している人は、該当する場合が結構あるのではないでしょうか。

15499512 story
インターネット

英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 46

ストーリー by nagazou
法案 部門より
イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ(英国政府リリースEngadgetGIGAZINEiPhone Mania)。

この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド(約15億2610万円)あるいは世界市場での売上げの4%が罰金として科せられるとしている。
15498646 story
Windows

Microsoft、Windows 10 Update Assistant の脆弱性 2 件を修正 2

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。

2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。

脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。

一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。

CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。

先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

15498255 story
暗号

Collins Dictionary が選ぶ 2021 年を代表する言葉は「NFT」 40

ストーリー by headless
代表 部門より
Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事Neowin の記事Mashable の記事Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。
  • double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した
  • hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
  • pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
  • climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
  • neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
  • Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811~1820) の上流階級の衣服をイメージした服装
  • cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの
15498252 story
Google

乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 29

ストーリー by headless
採掘 部門より
Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1Neowin の記事The Guardian の記事)。

Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。
15497938 story
Windows

Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 53

ストーリー by headless
不満 部門より
Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1][2]Cisco Talos Intelligence Group の記事Neowin の記事)。

Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379その一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。

Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。

PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。

脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。

Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。
15495676 story
インターネット

Apple、イスラエルのNSO Groupを提訴。スパイウェア「Pegasus」開発 18

ストーリー by nagazou
覚悟を決めたようで 部門より
Appleが23日、イスラエルのNSO Groupに対し、Appleユーザーを監視・標的にした責任を問う訴訟を起こした。この件に関しては過去記事でも何度か取り上げられているが、同グループは個人データ、写真、メッセージ、正確な位置情報などを把握できるスパイウェア「Pegasus」を開発し、人権抑圧国家に売却していた(関連その1その2)。ジャーナリスト、活動家、反体制派、学者、政府関係者といった反体制派の言論抑制などに用いられたとされる(AppleリリースReutersTechCrunchEngadget日経新聞GIGAZINEITmedia)。

今回の訴訟でAppleはユーザーへのさらなる悪用と被害を防止するため、同グループがAppleのソフトウェアやサービス、デバイスの使用を禁止する恒久的な差止命令や賠償金支払い命令を求めている。訴状では、NSO Groupが被害者の機器にスパイウェア「Pegasus」を感染させる方法に関する情報なども記載されているという。Appleはリリースの中で、NSO Groupのような国家に支援されている組織が、説明責任を果たさず高度な監視技術に何百万ドルも費やしているとし、この状況を変える必要があるとしている。
15495683 story
お金

J.R.R. トールキン作品をテーマに使った暗号通貨 JRR Token、滅びの裂け目に投げ込まれていた 34

ストーリー by nagazou
侵害 部門より
headless 曰く、

世界知的所有権機関 (WIPO) が 9 月、ドメイン名「jrrtoken.com」が商標「J R R TOLKIEN」を侵害しているとして、商標を保有する J.R.R. トールキンの遺産管理団体への移転を命じていたようだ (WIPO の裁定The Verge の記事Ars Technica の記事)。

このドメイン名を使用していた暗号通貨「JRR Token」は「すべてを支配する一つのトークン (The One Token That Rules Them All)」をキャッチフレーズとし、トールキン作品のさまざまな要素をテーマに用いていた。そのため、トークンの提供が開始された直後の 8 月 7 日、トールキンの遺産管理団体が WIPO の調停仲裁センターに申立てを行っていたという。このドメインはセンターが裁定を行った時点で「thetokenofpower.com」にリダイレクトされており、トールキン作品「ホビット」に登場するガンダルフに似た人物を含む複数の魔法使いの画像や、トールキン作品に関連するそのほかの画像が使われていたそうだ。

訴えられたドメイン保有者 (被告) は「jrrtoken.com」が商標の「L」と「I」を含まず、混乱するほど似ていないと主張したほか、トールキン作品のイメージを使用したのはパロディであり、不誠実さをもって使用したのではないなどと主張した。しかし、被告は著名な商標の 1 ~ 2 文字を置き換えたドメイン名が必ずしも商標を侵害しないという WIPO の過去の裁定を依拠としていたが、現在は当時と異なる認知可能性テストにより判定が行われるようになっている。そのため、審査委員は現在の基準で混乱するほど似ていると判断した。また、被告がパロディだと主張した点も商標の想起を認識していたことを裏付けるものとされた。

このほか、ドメイン名に対する正当な権利が被告にないこと、ドメイン名が不誠実に登録・使用されたことも認定され、ドメイン名移転の申立要件がすべて満たされたとのことだ。

15494609 story
テクノロジー

LiDARで隠しカメラを発見する技術 41

ストーリー by nagazou
すご 部門より
taka2 曰く、

シンガポール国立大学と韓国の延世大学の研究チームは、スマホの深度センサーを用いて隠しカメラを発見する「Laser Assisted Photography Detection (LAPD) 」という技術を、ACM SenSys 2021で発表した(論文Forbes JAPANINTERNET Watch)。

LiDARの出すレーザーがカメラレンズに反射したときのパターンを機械学習することで、隠しカメラ検出を実現している。
実験では、肉眼では46%しか見つけられなかった隠しカメラを、スマホカメラを用いたLAPDで88.9%検出できている。

サンダーバード一号の自動カメラ探知機が現実のものになるとは…

15493188 story
Chromium

Chromiumのソースツリーにテスト用マルウェア混入、ユーザーには影響なし 1

ストーリー by headless
混入 部門より
Chromium のソースツリーに 9 月 9 日から 11 月 18 日まで、マルウェアを含むテスト用の Office ドキュメントが誤ってコミットされていたそうだ(Google グループでのアナウンス9to5Google の記事)。

このマルウェアが Chrome のリリースに含まれることはなく、Google Chrome や派生版ブラウザーのユーザーが影響を受けることはないという。また、マルウェアサンプルは 5 年前の古いものであり、Windows 上で Chromium のソースコードから Microsoft Office を使用して開かかなければ実行されることはないが、Chromium 開発者にはリベースの実行が推奨されている。
15491751 story
インターネット

終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 14

ストーリー by nagazou
注意 部門より
過去記事でも取り上げたようにマルウェア「Emotet」は、欧米8か国の合同捜査チームに一度制圧され活動を停止した。4月26日以降は国内での感染はほとんど観測されていなかった。ところが情報処理推進機構(IPA)の16日に発表によると、14日ごろからマルウェア「Emotet」の攻撃活動再開の兆候がみられるという(IPAINTERNET WatchJPCERT/CC 分析センターTwitterBOMさんのツイート)。

それによるとEmotetへの感染を狙う攻撃メールが複数着信。IPAで攻撃メールに添付されていたWordおよびExcelファイルを入手して解析したところ、悪意のあるマクロが仕組まれていたとしている。IPAでは信用のおけないメールの添付ファイルは開かない、編集を有効にする、コンテンツの有効化というボタンはクリックしないよう注意するよう促している。
15491641 story
Firefox

Firefox ユーザーが誤って GitHub にアップロードしたとみられる cookie データベース数千件が見つかる 36

ストーリー by nagazou
やらかし 部門より
headless 曰く、

数千人の Firefox ユーザーが誤ってアップロードしたとみられる Firefox の cookie データベースファイル「cookies.sqlite」が GitHub の公開リポジトリで見つかったそうだ (The Register の記事)。

発見した英国の列車・長距離バス予約アプリ Trainline のセキュリティエンジニア Aidan Marlin 氏は問題を HackerOne で報告したが、GitHub からはユーザーが自ら公開した認証情報は脆弱性報告報奨金プログラムの対象にならないと言われたうえ、公表も自由にしていいと言われたため、怒って The Register にタレ込んだらしい。

Marlin 氏は個人情報が関わっていることから英情報コミッショナーオフィス (ICO) にも報告したといい、誤ってデータベースをアップロードしたユーザーの責任ではあるものの、個人情報を含むファイルが 4,500 件近く見つかっている以上、GitHub も何らかの対応をすべきだと主張する。

GitHub ではユーザーが誤ってアップロードしたクラウドの認証情報をスキャンし、公開リポジトリで見つかった場合は該当のクラウドプロバイダーに通知して失効させるサービスを 2015 年から行っている。クラウドの認証情報とは異なるものだが、The Register では Firefox の cookie データベースもスキャン対象に追加すべきだと述べている。

15491016 story
情報漏洩

2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 109

ストーリー by headless
人気 部門より
パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事HackRead の記事Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。
15490297 story
Chrome

Google、Chrome の Windows 7 サポートをさらに 1 年間延長 13

ストーリー by headless
延長 部門より
Google が Google Chrome の Windows 7 サポートを 1 年間延長すると以前のブログ記事に追記する形で発表している (Google Cloud Blog の記事 [1][2]Softpedia の記事)。

Google は Windows 7 の延長サポート終了直前の昨年 1 月、Microsoft によるサポートが終了してから少なくとも 18 か月、2021 年 7 月 15 日までは Google Chrome で Windows 7 をサポートすると発表した。しかし昨年 11 月には COVID-19 パンデミックにより Windows 10 への移行が遅れたことを踏まえ、少なくとも 2022 年 1 月 15 日までサポート期間を延長すると発表していた。今回の延長により、Windows 7 上の Google Chrome は少なくとも 2023 年 1 月 15 日までセキュリティと安定性に関する更新を受け取ることができるようになる。

なお、Microsoftも Microsoft Edge の Windows 7 / Server 2008 R2 サポート期間を当初は 2021 年 7 月 15 日までとしていたが、その後延長が繰り返されて現在では 2023 年 1月 15 日までとなっている。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...