パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13411208 story
アメリカ合衆国

キューバで発生した米大使館職員の健康被害、原因は音響兵器? 42

ストーリー by headless
攻撃 部門より
キューバで昨年末から今年春にかけて米国の大使館職員を狙い、健康被害を与える謎の「攻撃」が行われていたそうだ(米国務省報道官ブリーフィング — 9月14日APの記事The Vergeの記事Ars Technicaの記事)。

米国務省が最初にこの問題を認めたのは8月上旬8月下旬の段階で米職員の被害者は少なくとも16人と説明していた。しかし、14日のブリーフィングでは21人に増加している。

米大使館書記官が「Health Attack」と呼ぶ攻撃や被害の状況について国務省は公式な見解を示していないが、耳鳴りや難聴から軽い脳外傷、神経中枢の傷害まで幅広い被害が出ていると報じられている。APの記事によれば、室内のきわめて狭い範囲で大音量の騒音を聞いた被害者や、振動を感じた被害者もいるとのこと。

被害は職員の自宅のほか、少なくとも1件はホテルで発生しているという。カナダ大使館職員の家族にも被害者が出ているそうだ。音響兵器のようなものが使われたとも推測されるが、装置は大掛かりで隠すのは困難だ。APの記事では超強力な超音波発生装置を並べたプールに頭を突っ込みでもしない限り、脳が損傷を受けることはないとする音響心理学専門家の意見も紹介している。
13411205 story
Python

PyPIに悪意のあるパッケージがアップロードされていた 47

ストーリー by headless
偽物 部門より
utahime 曰く、

スロバキア政府のサイバーセキュリティ対策チーム SK-CSIRTは、Pythonパッケージの公式リポジトリ PyPI に悪意あるコードを含む10個の偽ライブラリパッケージがアップロードされていたことを発表した(SK-CSIRTアドバイザリー: skcsirt-sa-20170909-pypiArs Technicaの記事The Registerの記事Bleeping Computerの記事)。

偽パッケージはいずれも有名パッケージのコピーで、オリジナルのパッケージ名を一部変えた名前が付けられている。コード自体はオリジナルと全く同じものだが、インストール時に実行されるスクリプトが悪意のあるコードを含むものに変えられていたとのこと。

SK-CSIRTの通報により既に問題のパッケージは全てリポジトリから削除されたが、公開されていた6月から9月の間に複数回のダウンロードが確認されているという。そのため、SK-CSIRTではインストールされているパッケージを確認し、偽パッケージが存在する場合は削除して正規のパッケージをインストールすることを推奨している。

The Registerの記事では、タイプミスによりインストールされることを狙ったTypesquattingという手法だと指摘。SK-CSIRTではpipを使用してPythonパッケージをインストールする際は十分な注意が必要だと述べている。なお、偽パッケージに追加されたコードスニペットはPython 3.xと互換性がなく、インストール時の問題が複数回報告されていたが、セキュリティ問題とは認識されていなかったとのことだ。

13411182 story
クラウド

米国・ヒューストンとマイアミ、ハリケーン襲来でマルウェア感染が大幅に減少 11

ストーリー by headless
現象 部門より
Enigma Software Group(ESG)によると、大型のハリケーンで大きな被害を受けた米国のテキサス州とフロリダ州では、ハリケーンの接近とともにマルウェア感染数が大きく減少したそうだ(ESGのブログ記事BetaNewsの記事)。

データは同社のセキュリティソフトSpyHunterによるもので、テキサス州のヒューストンとフロリダ州のマイアミからのデータに絞って変動をまとめている。ハリケーン Harvey に襲われたヒューストンでは、8月28日~30日のマルウェア感染数は前週平均から26.2%減少。特に大きく減少したのは8月29日で、平均から52.5%減少したという。

マイアミではハリケーン Irma がプエルトリコ付近で5段階中最強のカテゴリー5となった9月6日から減少をはじめ、6日のマルウェア感染数は平均から49.1%減。フロリダ半島を Irma が直撃した10日には平均から89.3%減少し、数えるほどのマルウェアしか検出されなかったそうだ。5日間の平均では通常よりも48.8%少なくなったとのこと。

この現象について、ESGでは 1)インターネット接続手段が失われた 2)インターネット接続ができる人もマルウェアに感染するサイトなどを見ている余裕はなかった、という2つの要素が大きな原因との見方を示している。ESGは気象の影響によるマルウェア感染数の変動をしばしばまとめており、3月には冬の嵐 Stella によるマルウェア感染増という観測結果を発表している。
13410749 story
アメリカ合衆国

カスペルスキー氏、ワシントンで証言へ 33

ストーリー by headless
証言 部門より
Kaspersky Lab CEOのユージン・カスペルスキー氏が米下院科学・宇宙・技術委員会の調査・監視小委員会で証言することになったそうだ(カスペルスキー氏のツイートV3の記事)。

カスペルスキー氏は同社がロシア政府の影響を受ける可能性があるとの疑惑が持ち上がった際、隠すことなど何もないと述べ、疑惑を晴らすために製品のソースコード開示や米連邦議会での証言などをたびたび提案していた。委員会の招へいもこれを受けたもので、9月27日のヒアリングに出席して証言することを求めている。

米国土安全保障省では13日、Kaspersky Lab製品の連邦政府機関における使用中止・削除計画を90日以内に策定し、90日目から計画を実行に移すように指令を出している。しかし、確固たる証拠があるわけではないようだ。カスペルスキー氏は米政府組織への同社製品販売本数は非常に少ないとツイートしている。
13409555 story
ビジネス

Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 25

ストーリー by hylom
とばっちりは利用者に 部門より
あるAnonymous Coward曰く、

GoogleがSymantecによって発行された証明書を無効化する計画を発表した(Google Security BlogGIGAZINEDigiCertSlashdot)。この問題は、Symantecやその傘下の認証局が適切でないプロセスによって大量にSSL証明書を発行していたというもの(過去記事)。

まず、2018年4月17日前後に安定版がリリースされる予定のChrome 66以降では2016年6月1日以前にSymantecによって発行された証明書が無効化され、2018年10月23日前後に安定版がリリースされる予定のChrome 70では、Symantecが発行したすべての証明書は信頼できないものとして取り扱われる。

また、今年8月、Symantecは認証関連の事業をDigiCertに売却することを発表しているが(過去記事)、DigiCertのシステムに移管される2017年12月1日以降は、Symantecから発行された証明書はChromeでは信頼されないものとして扱われ、この証明書を使用しているサイトの閲覧時などに警告やエラーが表示されるとのこと。

13408672 story
情報漏洩

信用情報会社Equifaxが個人情報漏洩、インサイダー疑惑もあり米政府が調査に乗り出す 4

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward曰く、

クレジットカードなどの信用情報を扱う米大手消費者信用情報会社Equifaxが不正アクセスによって個人情報を漏洩させたことが報じられている。流出したのは氏名や住所、生年月日のほか、社会保障番号や免許証番号、クレジットカード番号なども含まれているという。(ITmedia)。

これだけならまだ昨今ではよくある話なのだが、漏洩を知った同社役員らがメディアで報じられる前に同社の株式を売却していたことも発覚、批判されている(TechCrunchTHE HELL米エネルギー・商業委員会米下院金融サービス委員会Slashdot)。

また、利用規約には集団訴訟の権利を放棄するという条項が含まれており、こうしたことから政府からも批判を受けているとのこと。Tammy Baldwin上院議員は「Equifaxはこの重大な違反数週間にわたって被害者に伝えなかった」と発言している。また、米エネルギー・商業委員会が書簡で問い合わせを行い、米下院金融サービス委員会は聴聞会を開催すると発表、Equifaxにデータセキュリティ違反がなかったか調べる方針だそうだ。

13408562 story
Android

Androidの「Toast」機能を使用したオーバーレイ攻撃 18

ストーリー by hylom
パンを焼く機能ではない 部門より
headless曰く、

Androidに対する「オーバーレイ攻撃」を容易に実行できるようにする脆弱性(CVE-2017-0752)についてPalo Alto Networksが解説している(Palo Alto NetworksのブログThreatpostV3Register)。

オーバーレイ攻撃は他のウィンドウの手前に描画したオーバーレイウィンドウを用いてクリックジャッキングを実行したり、ユーザーの操作を不可能にするといった攻撃だ。これまで知られているAndroidのオーバーレイ攻撃では、攻撃者のアプリで「他のアプリの上に重ねて表示(SYSTEM_ALERT_WINDOW)」のアクセス権限が必要だった。

新たなオーバーレイ攻撃の手法はAndroidでポップアップ通知に使われるToastを使用するものだ。Toastは最前面に表示されるが、特別なアクセス権限は必要ない。Palo Alto NetworksではToastを全画面表示し、オーバーレイウィンドウと同様に使用できることを確認したとのこと。

この脆弱性はAndroid 8.0を除くすべてのバージョンのAndroidが影響を受け、9月のセキュリティパッチで修正されている。なお、この脆弱性を狙った攻撃は現在のところ確認されていないとのことだ。

13408544 story
セキュリティ

非常に多数のBluetoothデバイスに影響する脆弱性が見つかる 116

ストーリー by hylom
これはやばい 部門より
あるAnonymous Coward 曰く、

JPCERTからの注意喚起が出ているが、さまざまなOSで使われているBluetoothの実装に脆弱性が判明した。この脆弱性は「BlueBorne」と呼ばれており、この脆弱性を悪用することで外部から端末を乗っ取られる可能性もあるという(CNET JapanITmediaTechCrunchPC Watch)。

影響を受けるOSはLinux Kernel 3.3-rc1以降、BlueZのすべてのバージョン、iOS 9.3.5以前、tvOS 7.2.2以前、9月のセキュリティ更新を適用していないWindow Vista以降、9月のセキュリティパッチを適用していないAndroidと非常に幅広い。物理的な接続なしに攻撃が行えるため、ネットワーク的に隔離されている環境でも攻撃を受ける可能性がある。

13407592 story
お金

Apple Payを利用したクレジットカードの不正利用が発覚 130

ストーリー by hylom
手口としては分かりやすいが 部門より

不正入手した他人のカード情報をiPhoneの決済機能「Apple Pay」に登録して使用する詐欺事件が発生していたという。背景には中国人らによる犯罪組織が関わっているようだ(ITmedia)。

Apple Payの登録時にはカード発行会社が送信する認証コードが必要だが、カード所有者の個人情報を用意した上でカードの発行会社に対し「電話番号を変更した」などと連絡し、本人が所有していないスマートフォンに認証コードを送信させていたという。使われた個人情報はフィッシングサイトなどで集められていたようだ。

13406282 story
通信

水産庁、ミサイル発射を漁業無線で自動的に漁船に通知するシステムを導入へ 37

ストーリー by hylom
技術的には問題なさそうではあるが 部門より
あるAnonymous Coward曰く、

水産庁が、漁船に対し自動でミサイル発射を無線で通知するシステムを導入するという(時事通信TBSFNN琉球新報)。

導入されるのは、内閣官房からミサイル発射情報が発信された場合、それを漁業無線局が自動で音声化して通知するというものだそうだ。

無論ミサイルには弾道弾だけでなく、誤動作で漁船に命中しかねない対艦ミサイルもある。漁民・船員を守る為の船舶用ミサイル警報装置に反対はできまいが、コストエフェクティブかどうかは検討の余地があると思う。

13406274 story
アメリカ合衆国

米大手量販店Best Buy、Kaspersky製品の取り扱いを中止 16

ストーリー by hylom
冷戦の影響 部門より
headless曰く、

米大手量販店Best BuyがKaspersky Lab製品の取り扱いをすべて中止したそうだ(Star TribuneWindows CentralThe RegisterNeowin)。

米国ではKaspersky Labがロシア政府の影響を受ける可能性があるとして、政府機関でのKaspersky製品排除の動きが進んでいる。2018年国防授権法(NDAA)案には国防省でKaspersky製品の使用を禁ずる条項が盛り込まれており、8月下旬には連邦捜査局(FBI)が米企業にKaspersky製品を使用しないよう要請していることも報じられている。

Star Tribuneによると、Best BuyはKaspersky製品の取り扱いを中止したことを認めたのみで、理由等については回答していないという。ただし、今回の決定に詳しい情報提供者によれば、Best Buyは自ら調査を行ったわけではないが、不明な点があまりにも多いため取り扱い中止の決定を下したとのこと。

10日時点では、Best BuyのWebサイト「kaspersky」の検索結果は0件であり、GoogleでBest BuyのWebサイトを検索した場合、検索結果に表示される製品ページは削除されているか、品切れとなっているようだ。

なお、Best Buyで購入したKaspersky製品がサブスクリプション期間内の場合は今後45日間無料で他社製品への交換を行うとStar Tribuneは述べているが、Best BuyのWebサイトにそのような告知は見当たらない。また、この件に関連するフォーラムでの質問に対しても、Best Buyからの回答はまだない。

13405304 story
インターネット

総務省、ネット上のIoT機器全調査を行うと発表 45

ストーリー by hylom
どんな結果になるのかは興味があるが 部門より

総務省がIoT機器に関する脆弱性調査等を実施するとのこと(総務省の発表朝日新聞)。

朝日新聞の記事によると、総務省は一般社団法人ICT-ISACや横浜国立大学と連携し、「国内で動作している全てのIoT機器に接続を試みる」という。問題が発見された場合は、所有者等に対し注意喚起を行うという。

13404658 story
マイクロソフト

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは 47

ストーリー by headless
仕様 部門より
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事TALOS-2017-0306The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。
13404458 story
テクノロジー

超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃 26

ストーリー by headless
認識 部門より
20kHz以上の超音波を用い、人の耳に聞こえないボイスコマンドでデジタルアシスタントデバイスを操作して攻撃する研究の成果を中国・浙江大学の研究チームが発表した(論文: PDFThe Vergeの記事BetaNewsの記事The Registerの記事)。

オーディオ機能をサポートする多くのデバイスではLPFにより20kHz以上の周波数帯域がカットされることから、超音波での操作は困難と考えられていた。超音波をデバイスが受信できるとしても、実際の人の声と異なる信号をコマンドとして認識できるのか、ユーザーの声を識別するデバイスをアクティベートできるのかといった点も問題となる。

「DolphinAttack」と名付けられた攻撃では、周波数20kHz以上のキャリア信号をボイスコマンドの音声信号でAM変調した信号を用いる。この信号を超音波スピーカーから出力してデバイスのマイクに入力すると、アナログ回路の非直線性によりADCへ入力するまでに元の音声信号が復調されてしまうのだという。
13401242 story
セキュリティ

AT&TのISP向けモデムに深刻な脆弱性が発見される 15

ストーリー by hylom
大穴 部門より
taraiok曰く、

AT&TのISP向けに配布されているArris製のホームモデム、ルータなどで悪用可能な脆弱性が発見された。この脆弱性は情報セキュリティコンサルティング会社のNomotionが発見したものだという。公開された五つの欠陥のうち最も深刻なものは、NVG589とNVG599モデムとファームウェアバージョン9.2.2h0d83の組み合わせ(threatpostFierceTelecomSlashdot)。

発見された脆弱性を悪用すれば、リモートハッカーがSSH経由でデバイスに簡単にアクセスでき、無線LANのSSIDやパスワードの表示・変更、ネットワーク設定の変更、ファームウェアの再フラッシュ、暗号化されていないトラフィックに広告を注入することも可能だとしている。モデムメーカーであるARRISは現在、レポートの内容を検証しているとしている。AT&Tは米国内3位のISPで現在約1400万人の顧客を抱えている。

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...