パスワードを忘れた? アカウント作成

16543536 story
インターネット

QRコードにレーザーを照射し、任意の時間帯だけ別URLへ誘導するハック 22

ストーリー by nagazou
遠距離だとスナイパー並みの腕が必要な気が 部門より
東海大学の研究チームは、遠隔からレーザー光をQRコードに当て一時的にだけ偽装QRコードに変える攻撃をすることで、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する手法を考案したという。QRコードの誤り訂正機能を悪用、レーザー光を照射したときにだけ高確率に悪性サイトへ誘導するように設計されている。この方法を用いればQRコードを撮影しているときに遠くからレーザー光で照射。別の悪意あるサイトへ誘導することが可能になるとしている(ITmedia)。

以前から正規QRコードを外部から書き換える方法に関してはいくつか提案されてきたそうだ。正規QRコード上に偽装QRコードのステッカーを張り付ける方法や、QRコードの特定部位をマジックなどで塗りつぶす方法などが提示されてきた。しかし、こうした方法は継続して偽装QRコードに書き換わってしまうことから、偽装QRコードだと発見されやすい欠点があった。今回の方法は一時的に正規のQRコードを書き換えるため、一部のユーザーにしか悪性サイトに誘導されない。このことから、偽装QRコードだと見抜かれにくい特徴を持つとしている。
16542757 story
犯罪

バックアップからランサムウェア被害直前の水準まで復元できたのは約18.9% 22

ストーリー by nagazou
完璧は難しい 部門より
ランサムウェア被害が増加しているが、被害に遭った企業がバックアップを用意していたケースでも、被害直前の状況まで復元できたケースは2割に届いていないという。2022年に警察庁への報告があったランサムウェアの被害は、あわせて230件で前年の146件から57.5%増となった。直接的な金銭の要求が確認されたものは54件で、そのうちの50件については暗号通貨、のこる4件については米ドルによる支払いを迫るものだったという(令和4年におけるサイバー空間をめぐる脅威の情勢等について[PDF]Security NEXT)。

ランサムウェアの感染経路に関して各期企業に聞いたところ102件の有効な回答があった。VPN機器からの侵入が63件で62%、リモートデスクトップからの侵入が19件で19%を占めた。テレワーク等に利用される機器等のぜい弱性等を悪用した侵入が81%と大半を占めているとされる。

復旧に要した期間は131件の有効な回答があり、うち復旧までに1か月以上を要したものが35件。被害に遭ったシステム又は機器のバックアップの取得状況に関しては、139件の有効な回答があり、バックアップがあったとの回答が116件で83%を占めた。そのうちバックアップから被害直前の水準まで復旧出来なかったものは90件で81%だったとしている。
16542445 story
Windows

Windows 11、設定にかかわらずデバイスが脆弱だと警告され続ける問題 37

ストーリー by headless
警告 部門より
Windows 11の「Windowsセキュリティ」でローカルセキュリティ機関 (LSA) 保護機能のオン・オフにかかわらず、オフなのでデバイスが脆弱だと警告され続ける問題が発生している (Microsoft Learn の記事The Register の記事Ghacks の記事BetaNews の記事)。

この問題は Windows 11 バージョン 22H2 で「Update for Microsoft Defender ウイルス対策マルウェア対策プラットフォーム — KB5007651 (バージョン 1.0.2302.21002)」のインストール後に発生するという。

バージョン 1.0.2302.21002 をインストールすると、Windows セキュリティの「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」と警告が表示される。このオプションをオンにすると「この変更を適用するにはデバイスを再起動してください。」と表示されるのだが、再起動後にも警告は消えず、再起動の要求も表示されたままになる。通知も表示されるような説明になっているが、手元の環境では確認できなかった。なお、警告には「無視」というリンクがあり、クリックすることで警告表示を消すこともできるが、再起動要求が消えることはない。

Microsoft によれば再起動後は警告を無視できるとのことだが、実際に保護が有効であるかどうかはイベント ビューアーの「Windows ログ」でイベントID 12 のイベントを確認する必要がある。イベントID 12で「LSASS.exe がレベル 4 で保護されたプロセスとして起動されました。」というイベントが記録されていれば LSA 保護は有効だ。Microsoft は問題の解決に取り組んでいるといい、更新プログラムがリリースされるまではこの状態が続くことになる。
16541876 story
暗号

GitHub、誤公開した RSA SSH ホスト鍵を更新 6

ストーリー by headless
更新 部門より
GitHub が日本時間 24 日 14 時頃、GitHub.com の Git 操作で使用する RSA SSH ホスト鍵を更新したそうだ (The GitHub Blog の記事The Register の記事)。

今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。

RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。
16539285 story
Android

Google、マルウェアがGoogle Play外のアプリで見つかったことを理由にアプリの公開を停止 8

ストーリー by nagazou
停止 部門より
headless 曰く、

Google Play で中国のソーシャルショッピングアプリ「拼多多 (Pinduoduo)」が公開停止となっている (Bloomberg の記事HackRead の記事The Register の記事)。

Google によれば、同アプリの Google Play で提供されていないバージョンでマルウェアが見つかり、調査を進める間、念のために Google Play での公開も停止したのだという。Google Play Protect ではマルウェアを含むバージョンのインストールをブロックしており、インストール済みの場合は削除を促すとのこと。Pingduoduo ではアプリ自体に悪意ある機能が組み込まれているという疑いを否定してGoogle の対応を批判し、同時にブロックされたアプリが複数あるのにもかかわらず Pinduoduo だけを記事で取り上げた Bloomberg も批判しているとのことだ。

16539066 story
グラフィック

WindowsのSnipping Toolにも脆弱性見つかる 20

ストーリー by nagazou
脆弱性 部門より
加工前のスクリーンショットが復元できてしまう脆弱性が、Windowsの画像編集ツール「Snipping Tool」で見つかっているという。先日取り上げたGoogle Pixelのマークアップツールで編集前の画像が復元できる脆弱性(CVE-2023-21036)に類似した内容だとされている(発見者のDavid Buchanan氏のツイートPC WatchGIGAZINE)。

この脆弱性はトリミングや塗りつぶしといった加工を行なったスクリーンショットを、加工前の状態に部分的に復元できてしまうとしている。スクリーンショットに写り込んだクレジットカード番号や住所、その他の見られたくない箇所をSnipping Toolでトリミングしたり、ぼかしたりして投稿することがあるが、編集後の画像から元画像を復元できるこの脆弱性は、非常に深刻なセキュリティリスクをもたらす可能性があるとしている。
16537697 story
犯罪

FBI、ハッカーフォーラム運営者「ポムポムプリン」を逮捕 16

ストーリー by headless
逮捕 部門より
サンリオのキャラクター「ポムポムプリン」をユーザー名やアイコンに使用して活動していたハッカーフォーラムのオーナーが米ニューヨーク州ピークスキルの自宅で逮捕されたそうだ (HackRead の記事news12 Westchester の記事Bloomberg の記事The Register の記事裁判所文書: PDF)。

このハッカーフォーラム「BreachForums」は閉鎖された Raidforums の代替として開設されたもので、企業やウェブサイトから盗まれたデータベース 1,000 件近くをホストする現在最も活発なハッカーフォーラムだという。昨年中国で流出した 10 億人規模の個人情報や、1 月に米航空会社から流出した米国の飛行禁止リストも同フォーラムで公開されている。pompomprin は 2021 年に fbi.gov ドメインで偽メールが大量送信された事件の実行者としても知られる人物だ。BreachForums では pompomprin の逮捕を受け、他のシステム管理者が新オーナーとして運営を続けていくと発表している。
16536547 story
スラッシュバック

「w6!j38?pa7J」と「CanYouCelebrate?」ではどっちが強力なパスワードか? 152

ストーリー by nagazou
回答の解説が悪いのでは 部門より

しんやさんのツイートによると、とあるセキュリティ研修で

問:下記のどちらが強力なパスワードですか? という問題が出たようだ(しんやさんツイートTogetter)。

1.「w6!j38?pa7J」
2.「CanYouCelebrate?」

この問題の正解は「2」。説明によると、

1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。

とのことだったようだ。このセキュリティ研修の問題はあちこちの企業で使われているらしく、Twitter上では「全く同じ問題出てみんな間違えてた」とする声が相次いでいた模様。

一方で2で正解なのが当然だとする指摘も出ている。その理由としてエクスリさんは

2は字数長い、全角半角記号まで使っている、生体情報的な単語がない、辞書攻撃リストにはあまりない文と固さの条件整っている上で忘れにくいわかりやすさだからなぁ

と解説している。また1のような複雑過ぎるパスワードは、メモされて画面やキーボードの裏とかに貼られたりする傾向があり、ソーシャルハックに弱いとする指摘もあった。

16536185 story
Google

Google Pixelのマークアップツールで編集前の画像が復元できる脆弱性、エクスプロイトが公開 12

ストーリー by headless
復元 部門より
Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事9to5Google の記事Android Police の記事Simon Aarons 氏のツイート)。

マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。

脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。

エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。
16534251 story
オープンソース

OSSを信頼すると同時に検証せよ 37

ストーリー by nagazou
維持するのは大変 部門より
日本シノプシスは14日、研究機関「Cybersecurity Research Center(CyRC)」が、企業の合併・買収の際に棚卸しした1703のソフトウェアを対象に匿名化したデータを分析したオープンソース·セキュリティ&リスク分析レポートに関する説明会を開催した(オープンソース·セキュリティ&リスク分析レポートZDNET JapanIT Leaders)。

この分析によると、リスク診断を実施した1480のコード中、既知の脆弱性を一つ以上含んでいた割合は84%あったという。これは昨年比で4%の上昇だったそうだ。また、4年以上前のコードを含む割合は89%(こちらは昨年比4%上昇)だった。また、CyRCが2022年中に調査した企業が使用するソフトウェア1703本中、OSS(オープンソースソフトウェア)を含む割合は96%におよび、全コードにOSSが占める割合は76%だった。脆弱性を含むOSSの割合は84%で、ライセンスの競合が見つかったOSSは54%など増加傾向にあるとされる。

日本シノプシスの吉井雅人氏は「OSSを信頼すると同時に検証せよ。OSSのセキュリティはビジネスリスクに直結する。自らの責任でセキュリティを確保すべきだ。SBOM(ソフトウェア部品表)によるコンポーネントの可視化」が重要だと述べていたとのこと。
16534245 story
政府

英政府、CPNI を発展させた新たなセキュリティ組織 NPSA を設立 1

ストーリー by nagazou
情報防衛 部門より
headless 曰く、

英国のリシ・スナク首相は 13 日、英国政府の新たなセキュリティ組織 National Protective Security Authority (NPSA) を MI5 内に設立すると発表した (プレスリリースNPSA の About ページThe Register の記事)。

NPSA は Center for the Protection of National Infrastructure (CPNI) が発展したもので、今日の英国が直面する脅威を反映し、国家の重要なインフラにとどまらずより幅広い権限を持つという。NPSA では現在の脅威を反映したガイダンスをセキュリティ知識がない人でもわかりやすく作成し、組織の規模や業種を限定せずにトレーニングなども提供していくとのことだ。

16533364 story
情報漏洩

SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 5

ストーリー by nagazou
123456 部門より
headless 曰く、

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリースNeowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

16533183 story
犯罪

オープンソースのマルチツール「Flipper Zero」がブラジル当局に押収される 7

ストーリー by nagazou
押収 部門より
ブラジルの電気通信庁(Anatel)がオープンソースのマルチツールデバイス「Flipper Zero」の輸入を差し止めたという。Flipper Zeroは「ギーク向けのポータブル・マルチツール・デバイス」として販売されている製品で、電子回路図やファームウェアがオープンソース化されている(Electronic Frontier FoundationGIGAZINE)。

Kickstarterでクラウドファンディングで資金調達に成功したFlipper Zeroは、2022年1月から順次注文した人への出荷が開始されていたそうだ。しかし、ブラジルの購入者からは「Flipper Zeroが届かない」という報告が相次いでいたという。Flipper Zeroは、その玩具のような外観に反して、NFC・Bluetooth・赤外線通信など多数の無線通信規格に対応する本格的な性能を備えており、デジタルキーをクローニングしたり、RFIDをエミュレーションしたりできる機能がある。このため第三者が自動車や玄関のスマートロックを解除するといった犯罪に使われることが懸念され、ブラジル当局により差し止められたようだ。
16532146 story
携帯電話

インド政府がスマートフォン OS アップデートの公開前審査義務付けを検討との報道 18

ストーリー by nagazou
これは厳しい 部門より
headless 曰く、

インド政府が主要なスマートフォンOSについて、アップデートの一般リリース前に審査の実施を義務付けることを検討していると報じられている (Neowin の記事Reuters の記事)。

Reutersによればインド政府ではスパイや個人情報の不正利用を懸念しており、プリインストールアプリをアンインストール可能にすることを義務付ける計画を進めているという。インドでは中国製アプリを中心に多数のアプリを禁じているが、プリインストールアプリはアンインストール不可のものも多い。新ルールではスマートフォンメーカーにプリインストールアプリのアンインストールオプション提供を義務付け、新モデルはインド規格局が検査を行うことになる。

OSアップデートの審査はプリインストールアプリのアンインストールオプションの義務付け計画とともに検討されているものだが、リリースまでの期間が長くなることを懸念する声も出ているとのこと。実際に現実的な時間で審査できるのだろうか。

16528080 story
インターネット

米フォルクスワーゲン、子供を乗せたまま盗まれた車の追跡を拒否した問題を受けてサービスを 5 年間無料化 33

ストーリー by headless
追跡 部門より
米フォルクスワーゲン (VW) は 8 日、2020 年式 ~ 2023 式の多くの車両で Car-Net Safe & Secure サービスを 5 年間無料化すると発表した (VW の Facebook 投稿Ars Technica の記事)。

VW の Car-Net サービスは 2 月、子供を乗せたまま盗まれた VW Atlas の追跡を保安官事務所から要請されたが、試用期間が終了しているとして料金が支払われるまでサービスの有効化を拒否。捜査官がクレジットカード番号を入手して料金を支払い、GPS の位置情報を入手した時には既に子供が発見されていた。VW では追跡拒否が誤りであったことを認め、顧客の安全を重視していると述べていたが、無料化はそれを具体化するものとなる。

Safe & Secure 無料サービスの対象となるのは Car-Net ハードウェア搭載車に限られ、盗難車両追跡機能はガソリン車に限られるという。たとえば、2020 年式の Passat は多くが Car-Net ハードウェアを搭載しておらず、電気自動車の ID.4 は盗難車両追跡に対応しない。無料サービスは米国内限定で、6 月 1 日から有効になる。6 月 1 日時点で有料の Safe & Secure サブスクリプションが残っている場合、終了後に無料サービスが有効化されるとのことだ。
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...