パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

14231385 story
情報漏洩

最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 30

ストーリー by nagazou
勇者123456 部門より
taraiok 曰く、

過去に漏洩した10億を超える認証情報を元に分析したところ、未だに「123456」のパスワードが多く使われていることが分かった。この分析はコンピュータエンジニアリングの学生であるAtaHakçıl氏が先月実施したもの。さまざまな企業で発生したデータ侵害後、オンライン上に漏洩したユーザー名とパスワードの組み合わせを分析したという(ZDNet分析に使われたデータセットなどslashdot)。

同氏の分析結果によると、10億件以上のデータの中から重複していない一意のパスワードは168,919,919個であったという。さらに700万以上が毎度おなじみの「123456」文字列であったとしている。パスワード長に関しては平均で9.48文字であったことも分かったという。ほとんどのセキュリティ専門家は、16〜 24文字以上の長いパスワードを使うことを推奨しているが、9.48文字はとくに少ないはいえないとしている。

別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12%ほどだったという。ほとんどの場合、ユーザーは文字のみ(29%)や数字のみ(13%)だけのパスワードを使用している。
つまり10億個のデータセットに含まれていたすべてのパスワードのうち、約42%が辞書攻撃に対して脆弱であることを意味している。

14229946 story
EU

FSFE、デンマーク政府にCOVID-19接触追跡アプリのオープンソース化を求める 57

ストーリー by headless
追跡 部門より
Free Software Foundation Europe(FSFE)がデンマーク政府に対し、COVID-19感染者との接触を追跡する公式アプリのソースコードをオープンソースライセンスで公開するよう求めている(FSFEのニュース記事Neowinの記事)。

WHOでは透明性を確保するためCOVID-19追跡アプリのオープンソース化を推奨(PDF)しており、欧州委員会では再利用や相互運用性、監査可能性、セキュリティを最大にするためにオープンソース化を推奨している。また、欧州議員45人は欧州理事会に対し、オープンソース化を必須とするよう求めている。

一方、デンマーク政府では公式COVID-19追跡アプリ「Smitte|stop」公式サイトのQ&Aでソースコードを公開しない理由として、オープンソース化はハッキングを容易にし、セキュリティ侵害の危険性が増すためだと説明している。ソースコードは外部のセキュリティ企業が確認しており、AppleとGoogleのAPIは仕様が公開されているとし、徹底的なテストを行っているので安心して使用できるとの説明もみられる。

FSFEによれば、このようなセキュリティへの懸念は誤っており、COVID-19追跡アプリをオープンソース化したドイツやオーストリア、イタリアではその理由の一つにセキュリティ向上を挙げているという。そのためデンマーク政府に対しては、このような状況を即刻是正してSmitte|stopのソースコードを即時公開するよう、強く要請している。
14228979 story
バグ

NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 21

ストーリー by nagazou
該当機器の所有者は注意 部門より
80個近いネットギア製のネットワーク製品に脆弱性があること報じられている。脆弱性を悪用された場合、攻撃者に管理者権限で任意のコードを実行される可能性があるとされる(マイナビ)。

あるAnonymous Coward 曰く、

トレンドマイクロが運営するZero Day Initiative (ZDI)は6月15日、NETGEAR製品に幅広く影響する計10件の脆弱性を公開した(JVNの発表)。 この脆弱性はTeam FlashbackのPedro Ribeiro氏とRadek Domanski氏、およびVNPT ISCを通じてd4rkn3ss氏によって報告された。10件中8件はリモートからの任意コード実行が可能となるもので、Web管理画面のCGIプログラムに対するバッファオーバーフロー攻撃などで発生する。JVNによると以下の諸問題のため、影響が深刻化するおそれがあるという。

  1. 当該製品では httpd が root 権限で動作している
  2. Netgear 製品では、バッファオーバーフロー対策に用いられる Stack cookie (カナリア値) が使用されていないものが多い
  3. 本脆弱性の攻撃には認証を必要としない
  4. CSRF 対策のトークンがチェックされる前の段階で本脆弱性の攻撃が可能
  5. 機器の情報が /currentsetting.htm ページを閲覧するだけで取得できるため、攻撃者にとって攻撃対象の選定が容易

すでにZDIによってZDI-20-709の解説と実証コードが公開されているほか、サイバーセキュリティ組織のGRIMMも独自にZDI-20-712に相当する脆弱性を発見・報告しており、その解説実証コードが公開されている。 ZDIでは2019年11月から2020年2月にかけてNETGEARに脆弱性を報告して公表に向けた調整を進めていたが、報告から120日が経過したため、修正プログラムの提供を待たず公表に踏み切ったという。NETGEARは6月18日にセキュリティアドバイザリを公開、一部製品については修正プログラムの提供を開始し、残る製品についてはリモート管理機能をオフにする回避策を推奨している。最大で80種類近くの製品が影響を受ける可能性があり、米CERT/CCが脆弱性の影響を受ける製品一覧とそれらの対応状況をGoogle スプレッドシートで公開している。

情報元へのリンク

14227907 story
Sony

未改造のPlayStation 2で自作プログラムの実行が可能になる新たな脆弱性 14

ストーリー by nagazou
新作ゲーム開発に期待 部門より
headless 曰く、

未改造のPlayStation 2(PS2)で自作プログラム(ホームブルー)を実行可能にする脆弱性が新たに見つかり、これを利用するエクスプロイト「FreeDVDBoot」が公開されている(開発者による解説記事Ars Technicaの記事GitHubリポジトリ)。

利用する脆弱性はPS2のDVDプレイヤーに存在する境界外アクセスの脆弱性だ。細工したIFOファイルを含むDVDメディア(DVD-R推奨)をDVDビデオディスクとして認識させることで、任意の実行ファイル(ELFファイル)を実行可能になる。

GitHubで公開中のエクスプロイトではVTS_02_0.IFOにリネームしたランチャープログラム「uLaunchELF」が起動し、同じディスクに書き込んだELFファイルを選択して起動できるようになっている。uLaunchELFを他のELFファイルと置き換えれば直接起動させることも可能だという。

現在のところ対応するDVDプレイヤーのバージョンは3.10/3.11。すべてのリージョンに対応するが、PS2の言語は英語に設定する必要がある。開発者のCTurt氏は対応言語を増やすことよりも、対応バージョンを増やすことを優先したいと述べている。

PS2のハックは今更という感じでもあるが、コピープロテクトされたゲームのバックアップをプレイすることも可能だという。ネットワークを通じたファームウェアアップデートが一般的になる前のPS2で、このような脆弱性が全盛期に発見されなかったのはソニーにとって幸運だったとArs Technicaは評している。

14226742 story
ビジネス

Yahoo!スコアがサービス終了。満足いただけるサービス提供に至らないと判断 29

ストーリー by nagazou
そもそも信用スコアのイメージがよくない 部門より
約1年前にスタートしたYahoo!スコアが2020年8月31日に終了するそうだ(Yahoo!スコアITmediaImpress Watch)。

Yahoo!スコアは、いわゆる信用スコアで、Yahoo! JAPAN ID所有者の本人確認度、信用行動度、消費行動、Yahoo! JAPAN IDからスコアリングされ、そのスコアに応じて割引などの特典が得られるサービスだった(ITmedia)。

なお、Yahoo!からスコアを提供していたランサーズ、HELLO CYCLING、TableCheck、クラウドワークスといった企業へのデータ提供も6月29日以降順次終了するとしている。関連サービスも同時に終了し、スコア作成に同意した利用者のデータもは8月31日までに削除される。

開始当時の記事を見ると分かるが、ヤフーID所有者はデフォルトでYahoo!スコアを作る仕様になっている、本人が作成されたスコアを見ることはできないなどの不透明感があった。その後、プライバシー対策は取られたが反面、利用は伸びなかったようだ。
14226755 story
医療

製品評価技術基盤機構、新型コロナウイルスに有効な消毒物資の評価結果を公表。次亜塩素酸水は拭き掃除と掛け流しに限定 22

ストーリー by nagazou
一定の条件下で有効 部門より
hylom 曰く、

経済産業省が独立行政法人製品評価技術基盤機構(NITE)に要請して行なっていた、新型コロナウイルスに有効な消毒物資の評価結果をまとめた(経済産業省の発表)。ここでは、以下の界面活性剤と次亜塩素酸水について、新型コロナウイルスに対し有効な消毒効果があると判断されている。

  • 直鎖アルキルベンゼンスルホン酸ナトリウム(0.1%以上)
  • アルキルグリコシド(0.1%以上)
  • アルキルアミンオキシド(0.05%以上)
  • 塩化ベンザルコニウム(0.05%以上)
  • 塩化ベンゼトニウム(0.05%以上)
  • 塩化ジアルキルジメチルアンモニウム(0.01%以上)
  • ポリオキシエチレンアルキルエーテル(0.2%以上)
  • 純石けん分(脂肪酸カリウム(0.24%以上))
  • 純石けん分(脂肪酸ナトリウム(0.22%以上))
  • 次亜塩素酸水(有効塩素濃度35ppm以上)

次亜塩素酸水については、霧状にしての噴霧を行うことで「空間除菌を行う」とうたう製品もあるが、今回有効性が確認されている使い方は「拭き掃除」と「流水で掛け流す」の2通りで、拭き掃除の場合は有効塩素濃度80ppm以上、掛け流しの場合は35ppm以上とされている。いずれも物品の消毒向けとされており

また、いずれも対象物と接触させて消毒する使い方を想定した評価であり、手指等への影響や、空間噴霧の有効性・安全性については評価されていない。

14225926 story
テレビ

SIMカードのPINロックがテレビ番組で紹介された結果、入力ミスでロックされる例が複数発生 82

ストーリー by nagazou
余計なことを 部門より
6月27日に放映された日本テレビの「世界一受けたい授業」を見た視聴者が、番組内でセキュリティを守るための方法として紹介された「SIMカードロック」を試したところ、入力ミスによりSIMカードロックされてしまう事例が複数発生しているようだ(すまほんITmedia)。

SIMカードロックは、端末の再起動時やSIMを別端末に入れ替えたときに、4~8桁のPINコードを入力しないとSIMカード自体にロックがかかり、通話ができなくなる仕組み。端末を紛失したときの予防策として有効な面もあるが、スマートフォンの仕組みなどを理解している上級者向けの仕組みといえる。

SIMカードロックの具体的な仕組みは、すまほんやITmediaの記事を見てほしいが、設定自体が非常に複雑なため、視聴者がやり方を間違えてとロックをかけてしまう事例が多発したようである。端的に言えば、番組内でのリスク説明などが不足していたものと見られている。なお日本テレビは6月30日現在、番組の公式サイトのトップでこの問題についての告知を行っている
14224374 story
犯罪

パキスタン国際航空、免許の正当性が疑われるパイロット150人の乗務を停止 27

ストーリー by headless
停止 部門より
パキスタン国際航空(PIA)は25日、免許の正当性が疑われるパイロットの乗務を停止すると発表した(PIAのツイート[1][2]Associated Press Newsの記事Aviation International Newsの記事)。

この発表は97人が死亡した5月22日のPIA8303便墜落事故について、航空事故調査委員会(AIIB)の暫定報告書(PDF)が公表されたことを受けたものだ。報告書では8303便の機長と副操縦士に適切な資格と経験があったとしつつ、乗務員の記録や書類の精査が必要だと記載しており、航空相は発表の際にパキスタンのパイロット860人のうち262人は偽の免許証を持っていると述べたそうだ。

PIAによれば、免許証自体は当局が発行したものであり、当局の記録上は正当なものだが、取得にあたって何らかの問題があって調査が行われることになったという。APの記事ではPIAが発表した内容として、乗務停止になるパイロットは150人で、免許を替え玉受験で取得した疑いがあると説明している。
14222774 story
中国

政府が大学の技術流出防止へ。政府が支援する研究では資金提供元の開示を義務化 51

ストーリー by nagazou
研究にはお金がかかる 部門より
あるAnonymous Coward 曰く、

政府が大学などから国外に技術が流出しないように対策を取る。国から研究費の補助を受けている場合に限定されるが、外国企業からの資金援助を受けている場合、その情報開示を義務づける方針。中国を警戒する米国の経済安全保障政策に合わせる形となる。

現時点では、研究室が政府の補助を受けていても、ほかの国や企業といった組織に関する情報を開示する必要はない。このため、政府が重要と考えている研究であっても、中国などの国外機関の関与があるかどうかは把握できていないという。

東京大学・大学院には、外国人留学生が4000人以上いるとされ、そのうち中国籍は6割を占めているそうだ。人工知能(AI)の開発などでは、中国人留学生が研究を支えているのが現実他という。一方で輸出規制対象となっている技術や製品を持ち出そうとする例もあるという。中には中国軍との関わりがあった人物もいた模様(日経新聞)。

14220303 story
アメリカ合衆国

CIAがネトフリやHuluなどでスパイを募集開始。対象年齢は18から35歳まで 30

ストーリー by nagazou
高度な情報戦 部門より

米中央情報局(CIA)が初めて、動画を使った「スパイ」募集活動に乗り出したことが話題になっている。動画は90秒・60秒・15秒のものがあり、ネットフリックスやHuluなどの動画ストリーミングサービスで配信されるとのこと。求人対象は18歳から35歳までだそうだ。

動画はスパイの活動の様子などが描かれ、動画では「CIAでキャリアをスタートさせれば、国のために想像以上のことができる」とCIAの役割や重要性などを説く内容となっている。こうした動画を作成した理由として、CIA広報担当者は「最も優れた才能を獲得するには、旧来型の求人方法だけに頼っているわけにはいかない」と説明している(ロイター時事通信テレ東NEWS)。

14219072 story
プライバシ

今どきの探偵はスパイウェアやキーロガーを駆使する 32

ストーリー by nagazou
こわいこわい 部門より
Twitterである探偵会社の事例集がバズっているようだ。調査手法としてアナログな取材を偽装する方法だけでなく、スパイウェアを仕込んだメールを送りつけたりもするという。またハードウェアタイプのキーロガーを子供のPCに取り付け、ログイン情報やパスワードの入手などもしている。

また業務をサボっていないかを調べるために、タイプ数カウントツールの導入を提案したりとかなりハイテクな感じとなっている(Togetter相沢京子調査室)。
14218378 story
インターネット

TISのテレワークサービス障害、復旧できず終了へ 26

ストーリー by hylom
また他のユーザーの情報が見えてしまう系トラブルか 部門より

システムの不具合を理由にサービスを停止していたTISのリモートアクセスサービス「RemoteWorks」が、サービスを終了するとのこと。大規模な不具合の修正が必要になり、対応が難しいとの判断のようだ(日経新聞)。

当初TIは利用者数が急増したために不具合が発生したとしていたが、その後他の利用者のユーザーIDが表示されるという問題が発覚していた。

14211745 story
Chrome

延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 18

ストーリー by hylom
設定のご確認を 部門より

新型コロナウイルス感染拡大の影響で延期されていたTLSバージョン1.0および1.1(TLS 1.0/1.1)の無効化がついに行われるようだ。Firefoxでは、6月30日公開のFirefox 78でデフォルトでTLS 1.0/1.1の無効化が行われる(MozillaのBugzilaFirefoxサイト互換性情報)。

HTTPSなどの暗号化通信で使われるTLSのバージョン1.0および1.1では脆弱性が発見されており安全ではないとして、2020年中に主要WebブラウザではTLS 1.0/1.1のサポートが廃止される方針だった

Firefoxだけでなく、Google Chromeの次期バージョンであるChrome 84でもTLS 1.0/1.1のサポートが削除される予定(窓の杜)。

14208583 story
お金

Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 25

ストーリー by hylom
マネタイズ圧力がかかってきているのだろうか 部門より

headless曰く、

Braveブラウザーの検索ボックスに特定のURLを入力すると、入力補完の候補にアフィリエイトコード入りのURLが提示されることが発覚した(Android PoliceThe VergeSoftpediaブレンダン・アイク氏のツイート)。

最初に問題化したのは暗号通貨取引サイトBinanceのURLを入力したときの動作だ。「bina」ぐらいまで入力するとアフィリエイトコード入りのURLが提示されるが、「binance.com」または「binance.us」まで入力するとアフィリエイトコード入りのURLが第1候補として選択された状態になる。そのため、別の候補を選択しない限り、Enterキーを押すとBraveのアフィリエイトコード入りURLに移動する。付加されるアフィリエイトコードはBinanceの紹介プログラムのもので、紹介者は紹介したユーザーの取引手数料の一部を受け取ることが可能になるという。

Braveは3月にBinanceとの提携を発表し、新規タブページから直接暗号通貨の取引を行える仕組みを導入している。入力候補へのアフィリエイトコード追加はその一環だったようだが、Brave Software CEOのブレンダン・アイク氏は誤った判断だったとして修正を約束している。アイク氏によればサーチエンジンと提携したブラウザーが検索クエリにアフィリエイトコードを含めることにヒントを得たとのことだが、入力したURLに何かを付加するべきではなかったとのこと。

なお、Binanceとは違って第1候補にはならないようだが、Ledgerなどの暗号通貨取引サイトのURLを入力した場合にもアフィリエイトコード入りのURLが提示される。ただし、アイク氏はLedgerの件は知らないと説明し、すべてのアフィリエイトコードを自動補完のデフォルトから削除すると述べている。

ちなみに、Braveの設定画面の「デザイン」(brave://settings/appearance)で「Show Brave suggested sites in autocomplete suggestions」をオフにすれば、未訪問のアフィリエイトコード入りURLは入力候補に表示されなくなる。

14208390 story
音楽

ソニーの複数のBluetoothヘッドホンに脆弱性、第三者によって音量変更などの操作が行われる恐れ 23

ストーリー by hylom
耳への物理攻撃が可能に 部門より

ソニーのBluetooth接続ヘッドホンで、第三者がペアリングして外部からヘッドホンを操作できる脆弱性が見つかった。これにより、利用者が意図しない音量変更などの操作が行われる可能性があるという(INTERNET WatchJVN#67447798)。

すでに問題となっている製品向けにはセキュリティアップデートが提供されている

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...