パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13130424 story
Chrome

Adobe Readerをインストールすると勝手にインストールされるChrome拡張に脆弱性が発見される 24

ストーリー by hylom
勝手に広まる脆弱性 部門より

先日最新版Adobe Readerをインストールすると勝手にChrome拡張がインストールされるという話があったが、この拡張を悪用した脆弱性が存在することが指摘されている(ZDNet Japan)。

発見された脆弱性は、閲覧しているページとは無関係の任意のJavaScriptコードを実行可能にできるクロスサイトスクリプティング(XSS)脆弱性(Chromiumのバグトラッカー)。すでにAdobeは1月19日付けでこの問題に対処するアップデートをリリースしている。

13129421 story
idle

エアインディア、国内線エコノミークラスの座席に女性専用列を設定 41

ストーリー by headless
専用 部門より
エアインディアは18日、国内線エコノミークラスで座席1列を女性の乗客専用に割り当てるサービスを開始した(プレスリリースエアインディアのツイートThe Hinduの記事Times of Indiaの記事)。

女性専用に割り当てられるのはエコノミークラスの3列目。1人で搭乗し、予約記録に乗客1人のみ登録されている女性客は追加料金なしで利用できる。また、2人分で予約している場合でも、乗客が2人とも女性の場合は利用できるとのこと。乳児を連れている場合も利用は可能だが、バシネット(乳児用ベッド)のない席になる。子供連れの場合は対象外だ。

女性専用列は国内線のエアインディア運航便に設定されるが、国際線から国内線に接続し、国内で機材変更が行われない便については設定されないとのこと。既に複数の航空会社が子供禁止ゾーンを設定しているが、女性専用ゾーンを設定するのはエアインディアが初めてのようだ。

エアインディアでは男性の乗客が女性の乗客や乗務員の体を触るといったトラブルが続発しており、女性専用列の設定はこういったトラブルに対応するためとみられる。また、暴れる乗客への対策として、エアインディアはプラスチック製の手錠などの拘束具を国際線にのみ装備していたが、国内線にも装備することを明らかにしているとのことだ。
13127502 story
情報漏洩

「最もよく使われているパスワード」、2016年調査でもトップは「123456」 42

ストーリー by hylom
みんな大好き123456 部門より
headless 曰く、

パスワードマネージャー「Keeper」を開発するKeeper Securityの調査によると、2016年も最もよく使われているパスワードは「123456」だったそうだ(Keeper Securityのブログ記事BetaNewsの記事The RegisterSoftpedia)。

今回の調査は、2016年に発生したさまざまな情報流出により公開されたパスワード1,000万件を対象としており、2016年に公表された過去の情報流出は除外されている。また、1件の情報流出でのみ出現するパスワードも対象外にしているという。記事では特に説明されていないが、流出したパスワードはハッシュ化されていることが多いため、クラック済みのパスワードのみが調査対象とみられる。

パスワード「123456」は全体の17%近くを占めるという。上位8件には6桁の「123456」から10桁の「1234567890」まで、キーボード上段の数字を順に並べたものがすべて入っており、逆行パターンや繰り返し、往復を含めると上位19件中9件。「111111」のように同じ数字を6つ並べただけのものも4件あり、数字だけのパスワードは上位20件中13件を占める。

「qwerty」のようにキーボード上の英字を順に並べたものは3件、「1q2w3e4r」のような2列を交互に並べたパターンも4件ある。単語を使用したパスワードは「password」と「google」で、「mynoob」というパスワードはゲーム関連サイトの2件の情報流出でのみみられるパターンだという。

上位25件の中には「18atcskd2w」「3rjs1la7qe」というパスワードも含まれるが、これらはボットがスパムを投稿する目的で作成したアカウントのパスワードとみられるとのこと。

よく使われるパスワード上位25件は以下の通り。

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e
13126583 story
犯罪

1.6万台ものPCに感染したスパイウェアを作成・販売した大学生が逮捕される。懲役10年の可能性も 29

ストーリー by hylom
さすがにこれはアウト 部門より
あるAnonymous Coward曰く、

先週の金曜日、キーストロークを監視するスパイウェアを販売したとして、21歳の大学生Zachary Shames氏がバージニア州で起訴された。米エネルギー省によれば、このスパイウェアは3000人以上に販売され1万6000台以上のPCが感染しているという(MOTHERBOARD米国司法省Slashdot)。

彼は2013年の高校生の時からスパイウェアの販売を始め、最近は大学寮で通販を行っていたとされる。公開情報が少ないため詳細は不明だが、MOTHERBOARDの記事によればスパイウェアは「Limitless Keylogger Pro」という名前だったという。

犯人のLinkedInのページによれば、彼は2015年5月から2016年8月までノースロップ・グラマン社のインターンとして仕事をしていたようだ。6月16日に刑を言い渡され、有罪となった場合、最長10年の懲役刑が課せられる可能性がある。

13125621 story
プライバシ

WhatsAppの脆弱性は意図的な実装? バックドア? 9

ストーリー by hylom
暗号化があるだけマシ? 部門より
あるAnonymous Coward曰く、

Facebook傘下のWhatsAppが提供する人気メッセージングアプリ「WhatsApp」にセキュリティ上の問題があるという指摘が出ている(TechCrunch)。

指摘されているのは、暗号化プロトコル「Signal Protocol」の実装方法に問題があるという点。そのため、暗号化されたメッセージが第三者に傍受された場合に、その内容が漏えいしてしまう可能性があるという。

この問題は昨年4月にFacebookに報告したが、同社は修正を行わない意向を示したという。WhatsApp側はこれをメッセージの紛失を防ぐために意図的に実装したものであると述べているという。また、これについては「政府の意向を受けたバックドアではないか」と主張する声も出ている。

13125717 story
アップグレード

ドイツのMicrosoft、Windows 7を3年後のサポート終了まで使い続けないことを推奨 120

ストーリー by hylom
ハードと一緒に買い換えかな 部門より
headless曰く、

Windows 7のサポート終了まで残り3年となった13日、早めにWindows 10へ乗り換えようという記事をドイツのMicrosoft Germanyが掲載した。Windows 7の延長サポートは2020年1月14日で終了する(Microsoft Germanyのニュース記事BetaNewsSoftpedia)。

記事によれば、クラウド時代への最初の一歩となったWindows 7だが、現在要求されるセキュリティー要件についていくことができないのだという。Windows 7を使い続ければ維持やサポート、マルウェア攻撃によるダウンタイムなどにより運用コストが上昇するだけでなく、新しいデバイスが使用できないこともある。さらに多くのプログラムはWindows 7よりも新しいバージョンのWindowsを対象に開発されているとのこと。

Windows 7は古いセキュリティーアーキテクチャーをベースにしており、サポート終了まで3年も使い続けることは、3年間危険を放置しておくことと同様だという。Windows 10は多くのセキュリティー機能が統合されているだけでなく、ユーザーはさまざまな新機能による利益を受けられるので、3年後ではなく今が移行に適切な時期とのことだ。StatCounterのデータによると、ドイツでは12月にWindows 10のシェアが3分の1を超え、初めてWindows 7を上回っている

ちなみに米国のMicrosoftでは13日、11月に修正された権限昇格の脆弱性2件、CVE-2016-7255MS16-135)とCVE-2016-7256MS16-132)のエクスプロイトを用い、未パッチのWindows 10 Anniverssary Updateが攻撃を回避できたことを発表している(Microsoft Malware Protection Centerの記事)。

13124560 story
変なモノ

「セキュリティフォント」なる仕組みが考案される 57

ストーリー by hylom
えんがちょ 部門より
90曰く、

WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。

13123305 story
情報漏洩

Cellebriteから顧客情報が流出、ロシアやトルコなどの政府機関に販売していた可能性も指摘される 2

ストーリー by headless
秘密 部門より
モバイルフォレンジックを専門とするCellebriteのサーバーが不正アクセスを受け、情報が流出したとMotherboardが報じている。Motherboardはハッカーから900GBのデータを入手したという(Motherboardの記事[1][2]Cellebriteのプレスリリース)。

Cellebriteは2015年12月に米国で発生した銃乱射事件の犯人が使用していたiPhone 5cロック解除技術を持つ企業として注目を集めた。実際にはこのiPhone 5cのロック解除にCellebriteの技術は使われなかったとも報じられているが、米国ではFBIなどの連邦捜査機関だけでなく、各州の警察もCellebrite製品を利用しているという。

世界各国の捜査機関が導入し、テロ事件の捜査などで使われているというCellebrite製品だが、バーレーンでは拷問にかけた反体制活動家を起訴するのに使われたと12月にThe Interceptが報じている

Motherboardが入手したデータにはCellebriteのユーザーアカウント情報やサポートチケットなどが含まれているという。これらのデータからMotherboardでは、バーレーンのほかにもロシアやトルコ、UAEなど抑圧的な政権下の政府機関がCellebrite製品を購入している可能性を指摘する。

Cellebriteでは抑圧的な政権に製品を販売しているかどうかについて回答を拒否しており、同社の重役もその質問には答えられないとBBCのインタビューで述べている。しかし、CellebriteのEULAには人権尊重に関する言及はなく、ジャーナリストなど特定の人々への使用も禁じていないとのこと。

Cellebriteではライセンス管理システムデータベースのバックアップを保存したWebサーバーが不正アクセスの被害にあったことを認めたうえで、既に新しいユーザーアカウントシステムに移行しているため、流出したのは基本的な情報のみであり、ユーザーに重大なリスクをもたらすものではないとの見解を示している。
13122896 story
セキュリティ

GoDaddyのSSL証明書発行の際のドメイン所有者確認システムにバグ、証明書8,850件が失効 16

ストーリー by headless
失効 部門より
hylom 曰く、

ホスティングサービスやドメイン名取得代行、認証局などを手がける米GoDaddyは10日、SSL証明書発行の際のドメイン所有者確認システムのバグが判明したため、バグを修正し、発行済み証明書8,850件を失効させたことを明らかにした(GoDaddy Blog - The Garbageの記事徳丸浩の日記の記事ITmediaエンタープライズの記事)。

徳丸浩氏の日記が詳しいが、GoDaddyではSSL証明証発行申請者にランダムなコードを発行し、申請者がこのコードを含むファイルを対象ドメインのサーバーの指定位置に配置したことを確認することで、申請者をドメイン所有者として認証する仕組みを採用している。

しかし、修正前のシステムではWebサーバーのレスポンスコードを確認せず、コードをそのままファイル名にするよう指定していたため、サーバーの設定によってはファイルが設置されていないにもかかわらず、認証成功の扱いになることがある。たとえば、404エラーとともに「The requested URL /<コード>.html was not found on this server. 」というレスポンスが返された場合、レスポンスにコードが含まれるため、ファイルが設置されたものと認識してしまう。これにより、ファイルを設置しなくても証明書を入手することが可能だったという。

問題が発生しはじめたのは2016年7月29日とのことで、この期間に発行された証明書を失効させる手続きが取られたそうだ。

なお、この期間中に発行された証明書のうち、申請者を正しく認証しないまま発行された証明書は2%程度とのことだ。

13121612 story
スター・ウォーズ

カスペルスキー曰く、デススター崩壊の原因はサイバーセキュリティ対策の不備 71

ストーリー by hylom
サイバー攻撃のない世界 部門より
あるAnonymous Coward 曰く、

ロシアのセキュリティ企業Kasperskyが、映画「スター・ウォーズ」エピソード4のクライマックスである、巨大宇宙要塞「デス・スター」が主人公らの工作によって陥落したエピソードについて、サイバーセキュリティの観点から分析している。これによると、デス・スターが破壊された原因は、「指揮系統の純然たる怠慢とずさんなサイバーセキュリティ対策」が原因の一つだったという(Kasperskyのブログ)。

デス・スターが破壊された直接の原因は反応炉にミサイルを撃ち込まれたことだが、反応炉の脆弱性自体については「あの規模の物体に1つも脆弱性がなかったら、かえっておかしい」とし、それよりも標的型攻撃への対策が行われていなかったことが大きな問題だとしている。具体的に挙げられているのは下記の点だ。

  • データ漏洩に気付かずスルー
  • トロイの木馬の可能性がある不審物を基地内に引き込む
  • システムの認証がほぼなし 手作業での電源停止時にアラートの送信を行っていない
  • 認証無しで操作できるシステムからデータだけでなく多くのシステムが制御可能

これを受けてカスペルスキーでは、帝国は多層的なセキュリティ保護の構築に失敗していたと結論付けられている。

13120109 story
セキュリティ

Let’s Encryptのアクティブな証明書が2000万を超える 11

ストーリー by hylom
お世話になっている方も多いはず 部門より

無料でSSL証明書を発行するLet's Encryptが、2016年の活動レビューを発表している。

Let's Encryptは2016年4月にサービスを一般公開し、その後順調に利用者を増やしているという。現在では2000万のアクティブ(有効期限が切れていない)証明書がLet's Encryptによって発行されており、また毎秒7600のOCSPレスポンスを処理しているという。

Let's EncryptではすべてのWebサイトを暗号化に対応させることを目的としているとのことで、2017年も積極的に活動を進めていく方針のようだ。

13119966 story
セキュリティ

ピースサインの写真から指紋情報が流出する恐れ? 80

ストーリー by hylom
指紋認証が普及しつつあるので危険も増大 部門より

近年のデジタルカメラの高解像度化により、「ピースサイン」を撮影した写真から指紋情報を採取される可能性があるとの指摘が出ている(産経新聞)。

国立情報学研究所によると、「3メートルの距離で撮影した画像でも読み取れる」という。そのため、「指紋の盗撮」を防ぐ技術も開発されているそうだ。

13117474 story
教育

身代金ではなくセキュリティ記事を読むように要求するランサムウェア「Koolova」 16

ストーリー by headless
non-piangere 部門より
セキュリティ研究者のMichael Gillespie氏が12月、「身代金」の代わりにセキュリティ記事を読むよう要求するランサムウェア「Koolova」を発見していたそうだ(Michael Gillespie氏のツイートNeowinの記事Bleeping Computerの記事The Hacker Newsの記事)。

Koolovaはランサムメッセージでランサムウェア「Jigsaw」の良い方の双子だと自己紹介し、ファイルを復号するには2本のセキュリティ記事を読む必要があると表示する。Jigsawは身代金を支払わなければ1時間おきに暗号化したファイルを削除していくというもので、Koolovaも時間内に記事を読まなければファイルが削除されるという。

読むことを要求されるのはGoogle Security Blogのブラウズ中に安全を保つ方法を解説する記事と、Bleeping ComputerのJigsawに関する記事だ。記事を読むと「Decripta i Miei File (私のファイルを復号する)」ボタンが有効になり、クリックするとC&Cサーバーに接続して復号キーがダウンロードされるとのこと。ランサムメッセージは英語だが、ボタンのラベルなどはイタリア語になっている。

ただし、Koolovaは未完成のランサムウェアとみられ、Bleeping Computerではランサムメッセージを表示させるのにローカルのhttpサーバーを調整する必要があったという。なお、被害者を「教育」するのみで、金銭を要求しないランサムウェアはKoolovaが初めてではなく、昨年6月には「EduCrypt」というランサムウェアが発見されているとのことだ。
13117471 story
iPhone

戦争被害者を救うためシリアへ行こうとした英国の元兵士、英テロリズム法違反で有罪判決を受ける 47

ストーリー by headless
違反 部門より
英国人の元兵士の男性が昨年9月、シリアの戦争被害者を救う目的で英国を出国しようとしたところ逮捕され、英国の2000年テロリズム法に違反したとして12月に有罪判決を受けたそうだ(The Registerの記事Wales Onlineの記事)。

罪状は警察官が要求したiPhoneのPINコード開示を拒否したというものであり、テロ行為そのものではない。2000年テロリズム法の附則7では、出入国の際に捜査員の求める情報を提示することを義務付けており、これに抵触したようだ。

警察では昨年7月から、男性がクルド人部隊を助けるためにシリアへ行こうとしているのではないかと考えていたそうだ。そのため、警察は何度か男性を訪ねており、男性は9月9日のフライトを予約していると伝えていたという。

フライト当日、男性がヒースロー空港に到着すると職務質問を受け、iPhoneのPINコードを要求される。男性はPINコードを伝え、指紋認証を行ったが、ロックを解除できなかったため逮捕されたようだ。男性はPINコードを忘れたなどとして、その後も正しいPINコードを伝えていないとのこと。

裁判で有罪判決を受けた男性は、50時間の無償労働を伴う12か月間の社会奉仕を命じられ、刑罰賦課金として85ポンドの支払いも命じられる。それだけでなく、男性はISISと戦う意思を公言したため、ISISを名乗る者からの脅迫を受けているとのことだ。
13115440 story
インターネット

「kokuzei.noufu.jp」ドメインを使った「国税クレジットカードお支払サイト」が登場、今度は本物 25

ストーリー by hylom
偽サイトが作りやすそうだ 部門より

先日『都道府県型ドメインを使って紛らわしいドメインを作れる問題、今度は「zei.tokyo.jp」ドメインが登場』という話題があったが、今度は「kokuzei.noufu.jp」というドメインで運用されている「国税クレジットカードお支払サイト」なるサイトが登場した。

「紛らわしいドメイン」問題はたびたび指摘されており、そのたびに政府機関のサイトは「go.jp」ドメイン、地方公共団体のサイトは「lg.jp」ドメインを使うべきという話題が出ているが、今回のサイトは「国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する国税のクレジットカード納付専用のサイトです」とされており、運営は民間であるためgo.jpドメインではなく汎用JPドメインが使われている模様。

また、このサイトはトヨタファイナンス株式会社と提携したGMOペイメントゲートウェイが制作・運営しており(INTERNET Watch)、そのためサイトのデジタル証明書は「GMO Payment Gateway, Inc.」に対して発行されたものになっている点も紛らわしい。

なお、セキュリティ研究者の高木浩光氏によると、国税のクレジットカード支払いは「国税庁が委託しているのではなく、納税者が委託するもの」だという。そのためgo.jpドメインを使わないのが正しいようだ(Togetterまとめ)。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...