パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

13295564 story
プライバシ

本日より改正個人情報保護法が施行される 7

ストーリー by hylom
アップデート 部門より
nemui4 曰く、

今日5月30日より、改正個人情報保護法が施行される(NHK産経新聞日経新聞)。

情報管理部門の人はどっと疲れそうな気配。提供されるデータに個人情報が削除されているか確認したり、ビッグデータを解析したり、データ保護のためのシステムやデータマイニング系の案件とかの仕事も増えると良さげ。

改正個人情報保護法では、企業などが持つ個人情報に付いて、個人を特定できない形に加工することでその個人の同意無しで第三者への提供が可能になる。また、個人情報の漏えいといった不適切な取り扱いが発生した場合に対応を行う窓口が個人情報保護委員会に統一されたほか、今まで個人情報保護法の対象外であった中小企業や団体に対しても情報管理の徹底が義務付けられるようになるといった変更もある。

改正個人情報保護法については、企業の対応が進んでいないという話もあった(日経ITpro)。

13294693 story
アメリカ合衆国

英爆弾テロ事件の情報が米当局から情報漏洩。英警察、米当局との情報交換を停止へ 13

ストーリー by hylom
これじゃ検閲も無意味ですね 部門より
あるAnonymous Coward曰く、

英マンチェスターの爆弾テロ事件で、現場で回収された証拠品(爆発物の現場写真)のものとされる写真が24日、米紙ニューヨーク・タイムズに掲載された。これに対し英政府が捜査を困難にするとして激怒しているという。さらに、実行犯とされるサルマン・アベディ容疑者(22)の名前が、攻撃の数時間後に米メディアにリークされたことも明らかになった。

英政府はこうした情報を米当局が情報をリークしたとみており、英警察は、米当局との情報交換を停止したという。メイ首相は25日、「英米の情報共有関係は厳重でなければならない」と話し、同日開催のNATO首脳会議でトランプ米大統領に再発防止を強く申し入れた。

この問題に関してトランプ大統領は声明を出した。「政府機関から漏れた疑いが高い。この問題を徹底的に再調査するよう、司法省や他の関連機関に要請しており、適切なら犯人を法の許す限り最大限の範囲で訴追すべきだ」と述べている(BBC日経新聞TPMロイターSlashdot)。

13294394 story
政治

今年のDEFCONで米国選挙で使用される投票機のハッキング大会が企画される 17

ストーリー by hylom
電子投票機ハックブーム 部門より
taraiok 曰く、

7月末に開催されるハッキングカンファレンスであるDEFCONで、アメリカの投票機のハッキング大会が企画されている。ロシアのハッキング事件以降や大統領選への介入などの噂が出てきて以降、投票機のセキュリティは注目度が高まっている。主催者はハッカーたちによって、投票機がいかに脆弱であるかを証明させるつもりのようだ(POLITICOSlashdot)。

現在は計画の初期段階にあり、主催者らはeBayなどで実物の投票機を探し出してきているという。アメリカの選挙で使用されている投票機には、湿度や耐衝撃性など基準はあってもセキュリティに関しては基準が存在していない。しかし、製造メーカーは投票機はすべての点で安全だと主張しているという。

13292633 story
暗号

1Passwordに「トラベルモード」が実装される 24

ストーリー by headless
旅行 部門より
あるAnonymous Coward 曰く、

人気のパスワード管理ツール「1Password」に、「トラベルモード」が実装された(AgileBits Blogの記事)。

1Passwordではパスワードを区分別に格納する「Vault」と呼ばれる機能が備わっており、Travel Mode用のオプションとして「Safe for Travel」が追加された。Travel Modeを有効にすると、Safe for TravelとマークされていないVaultがすべての端末から削除される。これにより、移動中に空港などで端末が検査を受けた際、機密情報などへにアクセスされることを避けられるというものだ。目的地に到着後、Travel Modeを無効にすれば、すべての端末にすべてのVaultが復元される。1Password Teamsでは、管理者がTravel Modeをオン/オフしたり、Vaultに対するSafe for Travel設定を行ったりすることも可能だ(Travel Mode使用方法)。

13292618 story
ハードウェアハック

Chaos Computer Club、Galaxy S8の虹彩認証を突破 33

ストーリー by headless
突破 部門より
Samsungの新フラッグシップスマートフォン、Galaxy S8には虹彩認証機能が搭載されているのだが、Chaos Computer Club(CCC)のstarbug氏が写真を使って突破することに成功したそうだ(CCCのニュース記事デモ動画ページ)。

虹彩認証を突破する手法としては、虹彩の写った目の写真をレーザープリンターで実寸印刷し、眼球のカーブを真似るために普通のコンタクトレンズを載せるというものだ。コンタクトレンズにより、虹彩認証システムに本物の目と認識させることができたとのこと。レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ。

必要な写真はデジタルカメラの夜間撮影モードを有効にするか、赤外線フィルターを除去すれば簡単に撮影できるという。デモでは200mmのレンズを搭載したデジタルカメラを用い、5mほどの距離から撮影した写真を使用している。

高解像度の顔写真がインターネットで公開されていれば使用できることもあるが、瞳の色が濃い場合は虹彩の詳細な画像が得られないこともある。デジタルカメラで赤外線領域をキャプチャーできるようにすることで、こういった瞳でも虹彩認証突破に使用可能な写真が撮影できるとのこと。

starbug氏はiPhone 5sの発売直後にTouch IDの指紋認証を突破している。指紋の写真と比べて虹彩の写真は入手しやすいため、認証が突破されるリスクは高い。今回の手法は指紋認証突破よりも簡単だ。スマートフォンに保存されているデータや支払い機能を保護したいなら、指紋認証や虹彩認証といった生体認証ではなく、PINコードを使用するようCCCのDirk Engling氏は推奨している。

これについてSamsungでは、デモ動画では簡単に見えるが、現実的なシナリオではないと述べているとのことだ(The Korea Heraldの記事)
13291915 story
書籍

メディアプレイヤーを狙った字幕ファイルを使用した攻撃の可能性が指摘される 10

ストーリー by hylom
そういう背景が 部門より
headless曰く、

VLC media playerなど、動画再生ソフトウェアのオンライン字幕読み込み機能の脆弱性を悪用した攻撃の可能性をセキュリティ企業Check Pointが指摘し、注意を促している(Check PointブログTorrentFreakRegister)。

攻撃の詳細は明らかにされていないが、攻撃用に細工した字幕ファイルを読み込ませることで、任意コード実行が可能になるのだという。字幕ファイルには25種類以上の形式があり、それぞれ独自の機能を提供する。さまざまな字幕ファイル読み込みに対応するため、脆弱性が混入しやすいようだ。

オンライン字幕読み込み機能を搭載したメディアプレイヤーにはオンライン字幕リポジトリがプリセットされており、基本的には信頼できるソースとして扱う。また、字幕ファイルはテキストファイルであり、セキュリティソフトウェアも安全なファイルと判定してしまうとのこと。

攻撃者は細工した字幕ファイルを字幕リポジトリにアップロードし、ランキングを操作してユーザーに選択されやすいようにする。自動で字幕を検索して読み込むメディアプレイヤーの場合、ユーザーが何も操作をしなくても攻撃が成立することもある。PCだけでなく、スマートTVやモバイルデバイスでも脆弱性の影響を受けるそうだ。

Check Pointが脆弱性を確認したのはVLCのほか、Kodi(XBMC)、Popcorn TimeStreamioの4本だが、その他のメディアプレイヤーにも脆弱性が存在する可能性もある。Check Pointは脆弱性の存在を各開発元に連絡しており、VLCとStreamioは最新版で修正済みだという。Kodiも21日に修正版の公開を発表している。Popcorn Timeの公式サイトではまだ修正版が公開されていないようだ。

13291017 story
犯罪

Android向けマルウェアを使って感染者から多額の資金を盗んでロシアのハッカーグループ、摘発される 12

ストーリー by hylom
おそロシア 部門より
あるAnonymous Coward曰く、

世界中で「サイバー銀行強盗」活動を行っていたハッカーグループに対し、ロシア当局が摘発を行ったという(CNET JapanReutersSlashdot)。

このハッカーグループは使用するマルウェアにちなんで「Cron」と呼ばれている。Cronのメンバーの大半は2016年11月22日に逮捕されたほか、それ以外のメンバーも4月までに逮捕されたそうだ。

CronはAndroid向けのトロイの木馬型マルウェアで、感染すると銀行にテキストメッセージを送信して送金を依頼するという。これにより、5000万ロシアルーブル(約89万2000ドル)以上を盗んでいたという。2016年初めの時点では対象はロシアの銀行だけだったが、ロシア外の銀行を狙う計画もあったという。

13287186 story
Windows

Windowsのセキュリティ更新プログラム、重要な公共サービスなどで多数使われている限り提供し続ける必要がある? 157

ストーリー by headless
更新 部門より
WannaCryptの問題を受け、英政府通信本部元本部長のデビッド・オマンド氏がサポート期間終了後のシステムであってもMicrosoftのようなベンダーはセキュリティに責任を持つべきだと主張する一方、米国では上院議員2名が政府機関の発見した脆弱性の開示などに関する法案を提出している(The Registerの記事[1][2]米上院国土安全保障・政府問題委員会のメディアリリース法案: PDF)。

オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。

米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。

開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。
13287140 story
Chrome

WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 29

ストーリー by headless
認証 部門より
Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事Threatpostの記事The Registerの記事Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。
13286413 story
Windows Azure

Microsoft、Azureユーザー向けのWannaCrypt対策ガイダンスを公開 26

ストーリー by headless
対策 部門より
MicrosoftがAzureユーザーに対し、WannaCrypt対策ガイダンスを公開している(Microsoft Azureブログの記事The Registerの記事On MSFTの記事)。

Microsoftが推奨する対策は以下の8点。WannaCryptの影響を受けていない場合でも、同様の攻撃から保護するために対策の実施が推奨されている。
  1. MS17-010をインストールする
  2. すべてのAzureサブスクリプションでSMB関連のポートがインターネットに開いていないか確認し、必要のないポートを閉じる
  3. SMBv1を無効化する
  4. Windows UpdateでWindowsを最新の状態に保つ
  5. Azure Security Centerを使用して脅威を継続的に監視する
  6. Network Security Groups(NSG)を使用してネットワークアクセスを制限する
  7. マルウェア対策ソフトウェアが最新の状態に保たれていることを確認する
  8. Azure Backupを使用している場合、多要素認証を有効にする

Azure向けのマルウェア対策とWindows Defenderでは、先週リリースされたアップデートでWannaCryptを「Ransom:Win32/WannaCrypt」として検出できるようになっているとのこと。他社のセキュリティソフトウェアを使用している場合、WannaCryptへの対策がされているかどうか確認する必要がある。

13285678 story
オーストラリア

オーストラリアも旅客機客室内への電子機器持ち込み制限を検討 2

ストーリー by hylom
広まる影響 部門より
headless曰く、

オーストラリアが旅客機客室内への電子機器持ち込み制限を検討しているそうだ(The Sydney Morning Heraldnews.com.auABC NewsRegister)。

オーストラリアのマルコム・ターンブル首相が16日に明らかにしたもので、政府は国際的に得たすべての情報とアドバイスを勘案しており、同盟国と緊密に連携して検討を進めているという。ただし、具体的な内容については運輸大臣から発表されると述べるにとどまった。一方、インフラ・運輸大臣のダレン・チェスター氏は同日、政府が脅威を取り巻く環境の変化を国内外ともに監視しており、問題に見合ったセキュリティ対策を行うと述べている。

米国と英国では3月、中東・北アフリカ数か国からの直行便について電子機器の客室内持ち込み制限を開始した。オーストラリアも同様の地域からの直行便に対する制限を検討しているとみられるが、米国が欧州からの直行便にも制限の拡大を検討していると報じられるなど、中東・北アフリカ以外の出発地が対象になる可能性もある。

米国と英国の電子機器持ち込み制限は、テロ組織によるバッテリーに爆発物を隠す技術の確立が理由とされているが、貨物室での電子機器保管は大事故につながる可能性も指摘される。欧州航空安全局ではリチウム電池を搭載する電子機器の客室内持ち込みを推奨しており、客室内に持ち込めない場合の安全対策を勧告している。搭乗手続きや保安検査などの見直しも必要となり、乗客や航空会社への影響が大きいとの意見も出ている。また、バッテリーに隠した爆発物を発見できないとすれば、保安検査そのものの有効性が問われるとも指摘されている。

13284615 story
プライバシ

英イスラム教活動家、空港でPCや携帯電話のパスワード引き渡しを拒否して逮捕される 75

ストーリー by hylom
政府は簡単に人権を抑圧する 部門より
あるAnonymous Coward曰く、

英国のイスラム教徒活動家ムハンマド・ラバニ(Muhammad Rabbani)氏は11月、ヒースロー空港で所有するノートPCと携帯電話のパスワードの引き渡しを拒否した結果、逮捕された。逮捕の根拠は疑惑の理由なしに入国港の個人を捜索できる広範な権限を持つ反テロ対策法「Schedule 7」によるものだという。同氏の所属する人権グループ「Cage」は、この件で英国の反テロ対策法に対して法的な対応を行うと表明した。ラバニ氏は一晩拘束された後に保釈された(guardianAl JazeeraSlashdot)。

同氏によれば「Schedule 7」の本当の目的はテロリストの英国入国を防ぐことではなく、英国市民の巨大データバンクを構築するための道具だいう。Cageは、先の法律が成立後、イスラム教徒の英国人50万人以上がこのような形で拘束されていると主張している。結果として逮捕されたのはそのうちの0.2%だったという。英国に本拠を置くOpen Rights Groupのエグゼクティブディレクター、ジム・キロック(Jim Killock)氏は、警察による調査は疑惑があるときに行われるべきだとしている。

13284538 story
軍事

政府、サイバー攻撃に対し反撃を行えるように法整備を検討へ 92

ストーリー by hylom
サイバー戦闘力の低さが露呈しなければ良いが 部門より

政府がサイバー攻撃を受けた際に、国が同様の手段で対抗措置を行えるようにするための立法や法改正を検討しているという(TBS日経新聞)。

現在ではサイバー攻撃は不正アクセス禁止法などで規制されているが、電力や鉄道といった重要インフラが攻撃を受けた際に対抗できるようにする。2020年までの法整備を目指すようだ。

13283733 story
Windows

Microsoft Edgeの同一生成元ポリシーを迂回可能なバグ 17

ストーリー by hylom
難しい 部門より
headless曰く、

Microsoft Edgeの同一生成元ポリシー(SOP)を迂回し、別のドメインからCookieやログイン情報などを取得できるバグが発見された(Broken BrowserRegisterOn MSFTの記事[1][2]Neowin)。

Microsoft EdgeやInternet Explorerには、サーバーリダイレクトの途中でwindow.locationの内容を書き換えると、リダイレクト先をリクエスト元と認識するバグがあるのだという。これをリダイレクト先ページ内のiframeに適用し、locationにデータURIスキームでJavaScriptコードを指定すれば、ほぼ親ドキュメント(リダイレクト先ページ)のコンテキストでコードが実行できるとのこと。ただし、リダイレクト先の読み込みが開始される前にlocationを書き換えてしまうと予期した通りの動作をしない。そのため、PoCではアラートを表示してコードの実行を待機させている。

PoCとしては、TwitterやFacebookのログインページにリダイレクトしてブラウザーが保存したログイン情報を表示するものや、Google reCAPTCHAのページにリダイレクトしてCookieを表示するもの、リファラーをmicrosoft.comに偽装するものが公開されている。コードを一部変更することで、Internet Explorerでも動作するようだ。

なお、テストした環境(Windows 10 Creators Update)ではFacebookのログイン情報が取得できず、Twitterは空のユーザー名とパスワードが表示されることもあった。また、Broken Browserの記事に掲載されているスクリーンショットとは異なり、リファラー偽装のPoC以外ではアドレスバーにURLが表示されず、ページタイトルも「空白のページ」となっていた。

今回のバグはMicrosoftも認識しているが、修正時期については明言していないようだ。バグを発見したセキュリティ研究者のManuel Caballero氏は、4月にもMicrosoft EdgeでSOPを迂回可能なバグ2件発見しているが、これらは未修正のままだという。ちなみに、昨年12月にCaballero氏が発見したMicrosoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題については、3月の月例更新での修正は迂回方法が同日発見され、さらに5月の月例更新での修正も迂回方法が同日発見されている。

13283605 story
マイクロソフト

Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 40

ストーリー by hylom
備蓄したものが簡単に漏洩しますからね 部門より
headless曰く、

Microsoftのプレジデント兼最高法務責任者のブラッド・スミス氏が、脆弱性情報をベンダーに報告せずサイバー兵器として備蓄する政府を批判し、サイバー攻撃から市民を守るための集団的な対応を呼びかけている(Microsoft On the Issues)。

現在、世界規模で被害が拡大しているランサムウェアWannaCryptは、Shadow Brokerが公開したNSAのエクスプロイトを使用するものだ。また、WikiLeaksも米中央情報局(CIA)の使用するハッキングツールなどをVault 7プロジェクトで次々公開している。

スミス氏は今回の件を米軍からトマホークミサイルが盗まれたようなものだとし、各国政府は現実世界で兵器に適用されるのと同じルールをサイバー空間にも適用する必要があると主張。各国政府に対し、脆弱性を備蓄してエクスプロイトを使用することによる市民への被害を考慮するよう求めている。各国政府が脆弱性を悪用せずにベンダーへ報告することは、スミス氏が提唱するデジタルジュネーブ条約の項目の一つだ。

今回の件は各国政府だけでなく、すべての人に対する警鐘であり、テクノロジー分野と顧客、各国政府が協力して集団的にサイバー攻撃へ対応する必要があるとスミス氏は主張する。Microsoftではこの警鐘への対応に協力する責任を認識し、役割を果たすとのことだ。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...