パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

15000400 story
Chrome

Chrome 88でrel="noopener"が既定値に。FirefoxやSafariに追随

ストーリー by nagazou
既定値変更 部門より
窓の杜によると、Google Chrome 88以降のバージョンでは「target=_blank」で記載されているリンクに関しては、自動的に「rel=noopener」を付与する形式へ変更されるそうだ。以前からtarget=_blankには脆弱性があることが指摘されており、その対策のためであるとのこと。同様の仕様はSafariやFirefoxでも取られており、今回Chromeでも同様の形に足並みを揃えたとしている(窓の杜Web担当者Forum)。
15000220 story
通信

警察庁内にある端末で1年以上不正アクセス。民間の通報で発覚か 14

ストーリー by nagazou
発覚 部門より
警視庁は27日、庁内の端末で2019年8月から20年11月中旬までの期間不正アクセスが行われていた発表した。不正アクセスは計46回ほど発生しており、警視庁から25日に連絡があるまで気がついていなかったという。情報流出は今のところ確認されていないとしている(毎日新聞日経新聞)。

警察庁がメディア以外に情報を公開していないことから、不正アクセスの内容は各メディアの報道から推測するしかないが、クラウドセキュリティアナリストの大元隆志さんの記事によれば、Fortinet製SSL-VPNにあった脆弱性CVE-2018-13379を悪用したものではないかと見られている(Yahoo!ニュース)。

というのも警視庁から警察庁への通報は、同氏の連絡が元になっている可能性が高いためだ。同氏はハッカーフォーラムのスレッドに、VE-2018-13379を悪用可能な機器リストが公開されていることを発見。リストを入手して確認したところ機器リスト49,577台の中には、日本の企業や大学、政府機関、ISPと思われるIPアドレスも含まれていたという(Yahoo!ニュースその2BleepingComputer)。

その中には警察庁のIPも含まれており、同氏は24日に警視庁の「不正アクセスに関する情報提供」から警察庁のIPが含まれていたことを連絡したとしている。その翌日の25日に警視庁から警察庁に連絡が入り、報道があったことから、同氏の通報が元になって不正アクセスが発覚した可能性が高いと思われる(piyologによるまとめ)。
14999489 story
ソフトウェア

GoogleのreCAPTCHAの対抗馬「hCaptcha」、外的要因もあって市場シェア15%に 54

ストーリー by nagazou
一極集中は避けたい 部門より
人間とボットの識別に使われている「CAPTCHA」。中でもGoogleの「reCAPTCHA」の知名度は高い。そんな中、独立したCAPTCHAサービスを展開している「hCaptcha」がreCAPTCHAから顧客を奪うことでシェアを伸ばしているという。同社のCAPTCHAはGoogle以外のものとしては最大のシェア15%を獲得することに成功したそうだ(hCaptchaGIGAZINE)。

同社はプライバシーに焦点を当てることで成長を遂げることができたと説明している。EU一般データ保護規則(GDPR)やカリフォルニア州の消費者プライバシー法(CCPA)などの規制により、Googleを含むオンライン広告およびマーケティング業界が、ユーザーから得たビッグデータなどをどのように利用してきたか知られるようになってきた。加えてGoogleがCloudflareなどの大手に対して「reCAPTCHA」の有料化を通告したこともシェアが伸びた一因である模様。
14999705 story
バグ

NURO光のHuawei製ONU「HG8045Q」に権限昇格の脆弱性、修正予定はなし 57

ストーリー by nagazou
うーむ 部門より
あるAnonymous Coward 曰く、

IT系ニュースサイトのGIGAZINEによると、NURO光加入者に貸与されるHuawei製のONU兼無線LANルータ「EchoLife HG8045Q」には権限昇格が可能な脆弱性が存在するという(NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能 — GIGAZINE)。

GIGAZINEの公開した再現手順では2つの脆弱性が利用されている。1つ目は今年9月に博士研究者であるAlex Orsholits氏が発見したマスターアカウントの資格情報がハードコードされている問題(meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q)、2つ目はGIGAZINE編集部(log1n_yi氏)が独自に発見した入力値検証の不備に起因する権限昇格の問題だ。

マスターアカウントというのは、ISPが加入者に貸与しているONUの設定を変更するために利用する特権アカウントのことで、ウェブ管理画面からマスターアカウントを用いてログインすると、通常は制限されている様々な機能が利用できる。NURO光のONUでは一体不可分のルータ機能を無効化するためこの手のハックに需要があり、Alex氏はNANDから吸い出したダンプから、マスターアカウントのIDが「admin_iksyomuac13」であること、そしてパスワードがハードコードされた文字列「iksyomuac13_admin_」に機器固有のMACアドレスのサフィックス4文字を付け足したものであることを発見していた。

更にこれを用いてSSHログインすると、Huawei製のネットワーク機器特有の「WAP」というシェルで特定のコマンドを実行できる。マスターアカウントであっても通常はごく限られたコマンドしか実行できないが、log1n_yi氏がシェルスクリプトを調査した結果、pingコマンドの後ろに「大量の文字列」「"」「> |」「実行したいBusyBoxコマンド」を入力することで、BusyBoxに実装されたコマンドをroot権限で実行できることを発見したという。

NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという。問題の機器ではWAN側のSSHポートは閉じられているため、直ちに外部から不正なアクセスをされるわけではないというのが理由のようだ。逆に言えば、内部からアクセス可能な場所――例えば公共施設や商業施設などでネットワークを訪問者に開放している場合は注意が必要になりそうだ。

GIGAZINEではNURO光がバグ報奨金プログラムを用意していない点にも触れ、「脆弱性に対する窓口対応の弱さが目立ちました」と結んでいる。

情報元へのリンク

14999085 story
情報漏洩

Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 7

ストーリー by headless
判明 部門より
Canon USAは11月25日、7月下旬から8月上旬にかけて同社のネットワークに不正アクセスがあり、従業員に関するデータが流出していたことを明らかにした(Canon USAの発表Softpediaの記事)。

Canon USAでは8月4日にランサムウェア攻撃を確認し、対策を行うとともに調査を進めていたそうだ。同社ネットワークでは7月20日から8月6日の間に不正な活動が確認されており、この間にファイルサーバー上のファイルへの不正なアクセスが行われていたという。ファイルサーバーの調査は11月2日に完了し、2005年~2020年にCanon USAまたは特定の子会社・前身会社・関連会社に勤務していた従業員(現・元)および、その受取人や扶養家族に関する情報を含むファイルへのアクセスが判明したとのこと。

ファイルには個人の名前および、その人の社会保障番号・運転免許証番号・政府発行の身分証明書番号・振込先金融機関の口座番号・電子署名・生年月日のうち少なくとも1つ以上のデータが含まれていたという。Canon USAでは影響を受けた人に謝罪するとともに、Experianの信用情報保護サービスIdentityWorksのメンバーシップ12か月分を無償提供すると述べている。
14998868 story
プライバシ

サイバーセキュリティ企業 Sophos、ツールの設定ミスでごく一部の顧客データを流出させる 9

ストーリー by headless
設定 部門より
Sophosが内部で使用するツールに設定ミスがあり、ごく一部の顧客に関するデータが流出したそうだ(Sophos CommunityでのアナウンスHackReadの記事)。

このツールはカスタマーサポートが連絡を受けた顧客の情報を保存するもので、アクセス許可の問題があるという情報提供を11月24日に受けたという。既に問題は修正済みだが、ごく一部の顧客について姓名と電子メールアドレスが(顧客から伝えられた場合は電話番号を含む)流出したそうだ。Sophosでは影響を受けた顧客に電子メールで連絡しており、連絡がない場合は影響を受けていないとのこと。影響を受けた顧客に対しては、現時点で特別な対策は必要ないと説明している。
14997448 story
アメリカ合衆国

米連邦捜査局、同局になりすます偽ドメインが多数確認されているとして注意喚起 9

ストーリー by nagazou
なにを信じたら 部門より
headless 曰く、

米連邦捜査局(FBI)は23日、同局になりすます偽ドメインが多数確認されているとして注意喚起した(FBIのアナウンスSoftpediaの記事)。

FBIのアナウンスに掲載されている偽ドメインは92件。うち14件が現在解決できなくなっているという。正規のFBIのメインWebサイトはwww.fbi.gov(アナウンスが掲載されているのはwww.ic3.gov)だが、偽ドメインのトップレベルドメインは「com」が半数近くを占め、「us」を含む各国の国別コードトップレベルドメインや、汎用トップレベルドメインも多い。ドメイン名としては「fbi」に別の単語を組み合わせたものがほとんどだが、「fbi」だけのものもある。

攻撃者は容易に正規のドメインと間違えやすい偽ドメインを悪用し、虚偽の情報を広めたり個人情報を収集したりするほか、マルウェアの拡散に使用することもある。対策としてはスペルの確認やOS・セキュリティソフトウェアの更新、電子メールで受け取った文書のマクロを有効にしない、知らない人からの電子メールや添付ファイルを開かない、電子メールで個人情報を知らせない、などが挙げられている。

14997319 story
アメリカ合衆国

Appleの最高セキュリティ責任者、贈賄罪で起訴される 23

ストーリー by nagazou
お主も悪よのう 部門より
headless 曰く、

米カリフォルニア州サンタクララ郡の検事局は23日、大陪審がAppleの最高セキュリティ責任者Thomas Moyer氏を贈賄罪で起訴したことを発表した(ニュースリリースThe Vergeの記事The Registerの記事起訴状: PDF)。

Moyer氏は保留になっていたAppleの従業員の銃器携帯(CCW)許可4件と引き換えに、総額7万ドル近い200台のiPadを郡保安官事務所へ寄付すると2人の郡保安官事務所職員(保安官代理と警部)に約束したという。ただし、両者は検事局が捜査令状を執行してCCW許可関連の記録をすべて押収したことを知り、寄付は取りやめになったとのこと。2人の職員は本件の収賄罪で起訴されているほか、CCW許可に関する別件の収賄罪でも贈賄側とともに起訴されている。

本件についてMoyer氏の弁護士は、Moyer氏が保安官事務所と検事局の争いの巻き添えになったと指摘。Moyer氏は何も悪いことをしておらず、彼のキャリアは常に高い誠実さを保っており、裁判で無罪になるのは間違いないと述べているとのこと。Moyer氏は2018年にAppleが従業員にリーク防止を呼び掛けた内部メモの中で、リークが犯罪となり、その記録が一生ついて回る可能性を警告していた。

14996385 story
日本

平将門の首塚、大手町の再開発事業で一時的に消える 44

ストーリー by nagazou
本当に何事も起こりませんように 部門より
大手町の再開発事業で、平将門の首塚として知られる「将門塚」の改修工事がスタートしたそうだ。将門塚保存会によれば、今年は平将門公没後1081年にあたるという。今回の改修工事は1961年の第1次整備工事から数えて6度目になるという。工事は令和2年11月から令和3年4月末まで行われるとのこと。現場にアクセスできる菊千代さんのツイートによれば、21日頃から改修工事が始まった模様。22日にはすっかり何もない状態になっていたようだ(将門塚保存会Togetter)。
14996362 story
ボットネット

WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 72

ストーリー by nagazou
大事になりそう 部門より
過去にウォルマートが独占販売していた「Jetstream」ブランドのWiFiルーター、およびAmazonやeBayで販売されている「Wavlink」ブランドのWiFiルーターに不審なバックドアが見つかったそうだ。いずれも古い製品だが、手頃な価格で入手可能であったことから当時は人気があったようだ(Cyber​​NewsMashableGIGAZINE)。

この二つのブランドのルーターには、ルーターを通じて接続されている機器すべてのデバイスを制御可能なバックドアが仕掛けられていたとしている。このバックドアを発見したCyber​​Newsのチームは、Jetstreamの販売元であるウォルマートに状況を把握しているかどうか認識しているか確認を取ったが、現在確認中という回答があったという。製品については現在販売していないとしている。

もう一つのWavlinkルーターでは、近くのWi-Fiを一覧表示し、それらをネットワークに接続する機能を備えたスクリプトが含まれていた。これらのバックドアが積極的に悪用されているという証拠も見つかっているという。これらのルーターは、接続しているデバイスをマルウェアMiraiのボットネットに端末を追加しようとする試みるという。リモート制御された端末はボットネットの一部として被害者のルーターをリモートで制御されてしまう。実際に2016年に発生したDynDNSへのDDoS攻撃で悪用されたとしている。

この二つのブランドであるWavlinkとJetstreamは「Winstars Technology Ltd.」という深圳の企業の子会社らしいが、他に「Ematic」と言うブランドもあり、対象ブランド、製品は今回の報告に留まらない可能性が高いとしている。
14996309 story
情報漏洩

Spotifyでアカウントデータが流出。30~35万人規模 10

ストーリー by nagazou
該当者はほかのサービスでのパスワード確認を 部門より
音楽ストリーミングサービス「Spotify」で、一部顧客のユーザーアカウントデータが流出したようだ。セキュリティ企業vpnMentorの研究者であるNoamRotem氏とRanLocar氏が発見した(vpnMentorZDNetEngadgetマイナビ)。

流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、該当したユーザーはパスワードの再設定が必要となる。

ただし、ほかのサービス上で同様のユーザー名やパスワードを使用している場合、流出した資格情報を元にして不正侵入が行われるリスクがあるとしている。
14995470 story
Twitter

オランダ国防相の投稿写真から暗証番号を入手した記者がEUの機密ビデオ会議に乱入 48

ストーリー by nagazou
普段からやばいモノが映らないように注意しましょう 部門より
オランダで国防相がTwitterに投稿した情報を元にして、欧州連合(EU)の機密会議に記者が勝手にログインするというかなりまずいトラブルがあったそうだ(AFPBB News)。

ログインを行ったのはオランダの民放「RTL Nieuws」の記者Daniel Verlaan氏。同氏はオランダ国防相がTwitterに投稿した写真をもとにログイン用アドレスと暗証番号の一部を入手することに成功。これをもとにEUの国防相機密会議にログインしたのだという。元記事によれば、オランダ国防相がTwitterに投稿した写真には、テーブルの上に書類が映り込んでおり、その書類から6桁の暗証番号のうち5桁を読み取ることができたとしている。

記者が侵入した時の映像では、記者がEUの国防相らに手を振る様子が映っていたそうだ。記者が名乗ったことで、その場は案外和やかに終わったようだが、会議はセキュリティー上の理由から中止されたとのこと。
14995413 story
インターネット

大阪府知事・大阪市長は公用メールを使わない 103

ストーリー by nagazou
私用メール問題 部門より

沙和さんによると、大阪府や大阪市に何度が情報請求をかけても、知事も市長もメールが一切出てこないことから、ある考えに思い至ったという(沙和|note)。

この人たち、公用メールを使ってる?

そこで沙和さんが情報請求などを通じていろいろと問い合わせた結果、市長は公用メールを使っておらず、知事には公的なメールアドレスが存在していないことが判明したという。担当者曰く、市長の公用メールは、市長室にあるPCでしか送受信できないことから使用しておらず、職員とのやりとりは電話とLINE WORKSが使われているそうだ。

メールは公文書に当たるため、市民情報プラザで全部観閲可能になっているのに対し、LINE WORKSに関しては全文公開対象ではないという。ただし、特定の事例を定めて請求を行って、それに該当する内容であればLINE WORKSのやりとりも公開されるのだそうだ。ちなみにLINE WORKSが導入されたのは吉村前市長になってからとのこと。吉村前市長の私用メールは過去に問題になったこともある

知事に関しては知事の公用メールは一切使っていないという。基本的には口頭による指示で、緊急時には、LINE WORKSや私用メアドを使うこともあるという。こちらに関しても、行政に関わる内容であれば情報公開の対象になるそうだ。これによって生じる問題については沙和さんの元記事で触れられている。

14994740 story
Twitter

24時間で表示されなくなるTwitterのFleet、24時間過ぎても表示できるトラブル 9

ストーリー by nagazou
爆弾発言隠滅失敗 部門より
headless 曰く、

Twitterの期限付き投稿「Fleet」で期限の24時間が過ぎても引き続き表示可能となるトラブルが発生していたそうだ(Twitter Supportのツイート)。

Twitterによれば、スケーリングの問題で太平洋時間20日午前にバックエンドシステムによる期限切れFleetの処理が追い付かなくなったのだという。その結果、Twitterアプリでは24時間過ぎたFleetが表示されなくなる一方で、期限内にFleetのURLを保存していれば期限が切れても表示可能だったそうだ。その後バックログの問題は解消し、再発の可能性を減らすためにシステムの更新を行ったとのこと。

Fleetに関してはこのほか、ログインしていないユーザーが閲覧できる可能性に対する懸念や、ユーザーが既読リストに表示されずに閲覧できる可能性に関する懸念が出ているという。前者については、APIを使用すればFleetのメタデータを取得できるが、リクエスト時に認証セッションが必要となるよう変更し、APIの使用に手間がかかるようにしたとのこと。後者についてはリストが長くなった場合に上限を設けるなど、リストが完全であることは保証できないと説明しつつ、改善を検討していると述べている。

14994735 story
日本

3900トン型護衛艦FFM初進水。二番艦が先行し「くまの」と命名される 63

ストーリー by nagazou
どこぞのホワイトベースみたいな 部門より
海上自衛隊は19日、新型護衛艦「くまの」の命名・進水式を行った。2022年3月に就役する予定となっている。船体がコンパクト化されているほか、オートメーション化が進み、従来型より少ない90人ほどでの運用が可能になっている(NHK共同通信動画[乗りものチャンネル])。

この護衛艦は掃海艦艇が担当していた対機雷戦機能を持つことから、フリゲートの意味を持つFFと機雷の「Mine」、そして汎用型を意味する「Multi-purpose」を意味する「FFM」という艦種記号が与えられているという。なお「くまの」は2番艦として作られていたが、1番艦が試験中のトラブルから工事進捗に遅延が発生、2番艦が先に進水することになったそうだ。このため「くまの級」にはならない模様(航空新聞社)。

あるAnonymous Coward 曰く、

https://www.msn.com/ja-jp/news/national/e6-96-b0-e5-9e-8b-e8-ad-b7-e8-a1-9b-e8-89-a6-e3-80-8c-e3-81-8f-e3-81-be-e3-81-ae-e3-80-8d-e9-80-b2-e6-b0-b4/ar-BB1ba7x8
https://www3.nhk.or.jp/lnews/okayama/20201119/4020007115.html
https://www.47news.jp/5513853.html
https://www.47news.jp/news/5512932.html
https://www.sankei.com/politics/news/201119/plt2011190026-n1.html
ほぼ同時に建造開始した一・二番艦の二番艦が先に進水式が行われた(この後艤装を経て、一番艦とほぼ同時再来年3月就役予定)ので、このまま「くまの型」となるかは不明。
https://ja.wikipedia.org/wiki/3900%E3%83%88%E3%83%B3%E5%9E%8B%E8%AD%B7%E8%A1%9B%E8%89%A6
https://ja.wikipedia.org/wiki/%E3%81%8F%E3%81%BE%E3%81%AE_(%E8%AD%B7%E8%A1%9B%E8%89%A6%E3%83%BB2%E4%BB%A3)
同級はフリゲート級(FFMの「FF」はフリゲートを表す)で、米海軍の失敗に終わった沿海域戦闘艦程の冒険を避けたのは、実に日本人らしい。
記事中にある通り、省人化に意を尽くしており、2チーム交代で乗艦する「クルー制」を採用、併せてスタートレックに出てくる艦の様な、円形CICが特徴となっているが、常識的に公開される事は殆ど無いであろう。
https://srad.jp/submission/82681/

情報元へのリンク

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...