パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13889933 story
プライバシ

Outlook.comへの不正アクセス、一部のユーザーはメールの内容が閲覧された可能性も 7

ストーリー by hylom
話が変わってくる 部門より
headless曰く、

1月1日~3月28日にかけてMicrosoftが提供する電子メールサービス(outlook.com/msn.com/hotmail.com)に不正アクセスがあり、影響を受けるユーザーMicrosoftから通知が送られたことが先週話題になっていたが、当初の報道ではアクセスされていないと考えられていたメッセージの内容にもアクセスされたユーザーがいるようだ(MotherboardThe VergeOn MSFTSlashGear)。

不正アクセスの原因はMicrosoftのサポート担当者の認証情報が奪われたことで、これによって外部の人物が一部のユーザーの電子メールアカウントに対し不正にアクセスできる状況になっていたという。当初の報道でメディアが入手したMicrosoftからの通知では、攻撃者がアクセス可能だった情報としてユーザーの電子メールアドレスや送受信した電子メールのタイトル、送受信相手の電子メールアドレスが挙げられており、メッセージ本文は除外されていた。Microsoftによれば、影響を受けるユーザーはコンシューマー向けアカウントのごく一部で、侵害された認証情報は既に無効化して攻撃をブロックしたとのこと。

しかしMotherboardの情報提供者によると、Microsoftサポートアカウントはほかの従業員よりも高い権限があり、この方法で不正アクセスした場合は電子メール本文も閲覧可能だという。情報提供者からは「Email Body」というラベルに電子メールのボディー部分が表示されたスクリーンショットも提供されたとのこと。このスクリーンショットを添えてMotherboardがMicrosoftに問い合わせたところ、影響を受けたユーザーのおよそ6%が電子メール本文を閲覧された可能性があり、該当するユーザーにはそのような内容の通知を送っているとの回答があったそうだ。Motherboardの情報提供者は不正アクセスが行われた期間を少なくとも6か月と述べているが、Microsoftはこれを否定している。なお、影響を受けたユーザーの具体的な数については現在も明らかにされていない。

13888486 story
クラウド

Office 365のセキュリティ機能、組織に送られたスパムメールの25%を見逃す 10

ストーリー by hylom
緩く設定しているのだろうか 部門より
headless曰く、

クラウドセキュリティ企業AvananのGlobal Phish Reportによると、Office 365を使用する組織に送られたスパムメールの25%がOffice 365のセキュリティ機能Exchange Online Protection(EOP)でブロックされず、受信トレイに配信されていたそうだ(プレスリリースBetaNews)。

調査対象はOffice 365に送られた5,200万通以上の電子メールとG Suiteに送られた300万通以上の電子メールで、その1.01%がフィッシングメールだったという。Office 365を使用する組織に送られたフィッシングメールのうち5.3%は組織が誤ってホワイトリストに登録していたとのことで、EOPが安全だと判断した25%に加えて合計30%以上が受信トレイに配信されている。リポートはOffice 365が中心になっており、G Suiteによるスパムメールブロック率は記載されていないが、それなりの割合がセキュリティ機能を通過しているようだ。

また、企業名で送信された電子メールの25通に1通はスパムメールであり、最も騙られることの多い企業はMicrosoft(43%)で、Amazon(38%)が続く。ただし、ホリデーシーズンのみAmazonがMicrosoftを上回るそうだ。このほか、WordPressサイトへのリンクを含む電子メールの35%、暗号通貨ワレットのアドレスを含む電子メールの98%がフィッシングメールだったとのことだ。

13888482 story
セキュリティ

謎の高機能スパイウェア「TajMahal」、開発者などの詳細は不明 12

ストーリー by hylom
謎ばかり 部門より

Kasperskyが、サイバー攻撃者によって使われているという新しい攻撃ツール「TajMahal」(タージマハル)について紹介している(KasperskyのブログWIRED)。このツールは5年前から使用されており、実際に攻撃に使われていることも確認されているという。

このツールは単にバックドアを設置するだけでなく、「プラグイン」によってさまざまな機能を提供できるとのこと。すでに80ものプラグインモジュールが発見されており、次のような攻撃を行えるという。

  • 攻撃対象のブラウザのCookieを盗む
  • プリントキューから印刷するファイルを盗む
  • 攻撃対象のさまざまなデータを収集する
  • VoIP通話の音声を録音する
  • 光学ディスクイメージを盗む
  • ファイルシステムのインデックスを作成する

実際にこのツールでの攻撃が確認されたのはまだ1件だけとのことだが、このツールは非常に大規模なものであるため、他にも公になっていない被害者がいるのではないかとも見られている。

13888006 story
セキュリティ

無線LANのセキュリティ規格WPA3に脆弱性 34

ストーリー by hylom
早くも 部門より

無線LAN向けセキュリティ規格のWPA3に脆弱性が発見されたことが報じられている(INTERNET WatchQiitaサイオスセキュリティブログ)。

WPA3では無線LANに接続しようとする端末に対し、「SAE(Simultaneous Authentication of Equals)」と呼ばれる手法で認証を行うが、このSAEのパスワード生成やエンコーディングアルゴリズムに脆弱性があり、これによってパスワードが推測されたり、総当たり攻撃によるパスワード解析が実行される可能性があるという。

13887162 story
アニメ・マンガ

マンガ配信アプリのバイナリを不正に改変して無料利用時間を増やしていた男性、書類送検される 101

ストーリー by hylom
そんな簡単にできてしまったのか 部門より

スマートフォン向けのマンガ配信アプリ「マンガワン」のAndroid版バイナリを改変して不正にマンガを閲覧していたとして、25歳男性が電磁的記録不正作出・同供用の疑いで書類送検された。

マンガワンでは毎日一定時間内はマンガを無料で閲覧できる仕組みになっているそうだが、この男性はアプリを改変することで閲覧可能時間を不正に「約6億秒」へ延長していたと報じられている(ITmedia朝日新聞産経新聞共同通信)。男性はブログでその手口を公開していたという。

この男性はヤフーの社員とのことで、ヤフーは「疑いが事実であれば、大変遺憾であり、厳正に対処する予定」としている。

13886906 story
Google

Android端末が物理セキュリティキー代わりに、Bluetooth経由で接続して利用可能に 24

ストーリー by hylom
確かに手軽 部門より
あるAnonymous Coward曰く、

GoogleがPCとAndroidスマートフォンをBluetoothで接続することで、スマートフォンを物理的なセキュリティキー代わりに利用できるようにすると発表した。WindowsおよびmacOS、Chrome OS上のGoogle ChromeからのGoogleアカウントのログインに利用できるという(ITmdiaEngadget日本版Slashdot)。

対応するAndroidのバージョンは7.0(Nougat)以降で、事前の設定が必要。この機能を有効にしていた場合、PCでのログイン試行時に紐付けられているAndroid端末にBluetooth経由で通知が行われ、Android端末で確認捜査を行うことでログインが行える。

13886903 story
IT

Uberの運転手、空港に乗客を送り届けた後その乗客の家に戻って空き巣を働く 25

ストーリー by hylom
効率的 部門より
nemui4曰く、

米カリフォルニア州で、配車サービスUberを利用する運転手が、乗客をその自宅から空港まで送り届けたあと、その乗客の自宅に戻って空き巣に入るという事件が起きたそうだ(GIGAZINEBusiness Insider)。

この事件では設置されていた防犯カメラが犯人の姿を撮影しており、これによって容疑者が逮捕されたようだ。Uberはこの事件を受けて容疑者のUberアプリへのアクセス権を剥奪したうえで捜査に強力しているとのこと。また、設置されていた防犯カメラはAmazon.com傘下のRing製のもので、異変を察知して自動的に撮影した画像や映像をクラウド上にアップロードし通報を行う機能を備えているそうだ(過去記事)。

なお、Uberでは配車サービスを利用する運転手が犯罪行為を起こす事件がたびたび発生している(New York TimesCNN)。

13885785 story
プライバシ

ホテルのオンライン予約システム、3分の2が意図せず外部サービスに予約情報を送信するとの調査結果 14

ストーリー by headless
予約 部門より
Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ(Symantec Blogsの記事PCMag.comの記事SlashGearの記事)。

調査は54か国・1,500軒以上の2つ星~5つ星ホテルを対象に行われた。調査対象はランダムに目的地を決めてホテルをWeb検索し、検索結果上位に含まれるホテルを抽出したという。

予約が完了すると確認メールが送られてくるが、57%は予約情報ページへの直リンクを記載していたそうだ。リンクはURLに予約番号と客のメールアドレスが引数として付加されており、客はログインすることなく予約情報の閲覧・変更が可能となる。しかし、多くのWebサイトは外部サービスプロバイダーによる広告やWeb解析、ソーシャルメディアアイコンといった外部のリソースを配置しているため、リソースをリクエストする際に引数を含めたURLがサービスプロバイダーへ送信されることになる。

これ自体はサービスプロバイダー側の責任ではないのだが、サービスプロバイダーに悪意のある従業員がいれば、予約情報へログインして個人情報を閲覧することや予約をキャンセルすることも可能となる。中には予約情報ページに個人情報を記載しない予約システムもあるものの、大半が客の名前や電子メールアドレス、住所、携帯電話番号、クレジットカード番号の下4桁、パスポート番号といった個人情報を記載しているそうだ。

さらに29%はHTTPSリンクを使用せず、HTTPリンクを確認メールに掲載しているため、空港などの公衆Wi-Fi接続でリンクをクリックすると攻撃者に盗み見られる可能性もある。予約手続きの過程や、ユーザーが自分でログインした後に予約情報をサービスプロバイダーへ送信するものもあるという。ホテルの比較・予約サービス5社についても調査したところ、2社が予約番号をサービスプロバイダーへ送信し、1社はHTTPリンクを使用していたとのこと。

このほか、予約番号が単なる連番であることから、総当たり攻撃により予約情報ページへログインできる可能性もある。予約情報ページへのアクセスが可能になった攻撃者は個人情報を収集してスパム送信に使用することや、勝手に予約をキャンセルするいやがらせも可能になる。競合他社が妨害のため予約をキャンセルする可能性も指摘されている。Symantecは各ホテルへ調査結果を連絡しているが、ホテル側の反応は鈍いようだ。
13883984 story
インターネット

コインハイブ事件、検察側が控訴 188

ストーリー by hylom
男性側を支援したい 部門より

サイト閲覧者の端末上でに無断で仮想通貨のマイニング(採掘)を行わせたとして不正指令電磁的記録保管の罪に問われていた男性に対し、横浜地裁が無罪判決を出したが(過去記事)、検察側はこれを不服として控訴したとのこと(弁護士ドットコムITmedia日経新聞)。

横浜地裁はCoinhiveについて「人の意図に反する動作をさせるプログラム」としたもののの、不正な指令を与えるプログラムであるとは判断できないとの結論を出していた。

13883747 story
ワーム

寄生虫が体重増加を抑制するメカニズム 19

ストーリー by hylom
寄生虫がエネルギーを消費するのではないのか 部門より
pongchang曰く、

群馬大などの研究グループが、寄生虫での体重増加抑制効果についての論文を発表した(群馬大学の発表、Infection and Immunity誌のInfection and Immunity誌掲載論文 上毛新聞)。

研究では、あらかじめ太らせたマウスに寄生虫を感染させて観察したという。その結果、寄生虫の感染によって体重の増加が抑えられ、脂肪量も低下し、血中の中性脂肪や遊離脂肪酸が優位に低下することが分かったという。

寄生虫の感染によって血中のノルエピネフリン濃度が対照の2倍に増え、交感神経系の活動が活発になっていた。また脂肪の分解を促すミトコンドリア脱共役蛋白質(uncoupling protein;UCP1)の発現が脂肪組織で増加していた。腸内細菌叢をみると、エシュリキア(大腸菌)属とバシラス属(枯草菌などの仲間)が増加していたとのこと。

腸内細菌は腸管内容の脂肪濃度でも異なるが(pdf)寄生虫が脂肪を横取りするなり代謝して酢酸などに変えた結果として腸内細菌叢が変わったのか? 免疫応答なのか? その辺は論文は触れていない。

寄生虫症でノルエピネフリンが上がるのが本当なら高血圧など併発症も懸念される。一方でヒトのやせ薬としてのβ3受容体アゴニストは不成功に終わっている。

13882806 story
セキュリティ

情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 28

ストーリー by hylom
なぜ時間制限 部門より

オンラインストレージサービス「宅ふぁいる便」利用者の個人情報約480万件が漏洩した事件(過去記事)では、システム構築のためサービスが「当面」休止される事態となっている。そのため、利用者が退会などを行うための特設サイトが設置されたのだが(宅ふぁいる便を運営するオージス総研による告知)、このサイトの「利用時間」が9時から17時45分までとなっていることや、「パスワードの確認」ができることが物議を醸している(はてなブックマーク)。

このサイトでは「宅ふぁいる便に登録されているパスワードをご確認いただける機能」「退会のお申し込み受付機能」「宅ふぁいる便ポイント交換機能」が提供されている。パスワードの確認については、入力されたものが登録されたものと一致するかどうかを確認できるものだが、パスワードの一部がヒントとして平文で表示されることから、未だに平文でパスワードを保存しているのではないか、またとの危惧も出ている。

13881108 story
アメリカ合衆国

米中通商協議で中国がハッキング行為を初めて認めたとの報道 10

ストーリー by hylom
認めちゃうの 部門より

4月3日に再開された米中通商協議において、中国が過去の知的財産権侵害や米企業に対する技術移転の強要、ハッキング行為を認めたと報じられている(ロイター時事通信テレビ東京)。

これまでの米中通商協議においては知的財産関連の問題が議題とされていたが、これまで特に大きな進展はなかった(ブルームバーグ)。

13881094 story
中国

ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 36

ストーリー by hylom
とはいえ危なかったことは確か 部門より

中国・華為技術(Huawei、ファーウェイ)のノートPCにプリインストールされているドライバに脆弱性があり、これを悪用することで不正に管理者権限を取得できる可能性があることをMicrosoftの研究者らが見つけた(Microsoft Defener Research Teamによるブログ大紀元)。

ファーウェイに対してはその製品に中国政府がアクセスできるバックドアが設置されているという疑惑がかけられているが、ファーウェイはこの脆弱性については意図的に仕掛けたバックドアであることを否定、単純なソフトウェア上の欠陥であるとしている(Tom's Hardware)。また、この問題は2019年1月に修正パッチをリリースしているとのこと。

13880358 story
Ruby

バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 20

ストーリー by headless
発見 部門より
RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事GitHub — Issue 1195Computingの記事CVE-2019-10842)。

発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。

この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。
13879256 story
テクノロジー

カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃 46

ストーリー by hylom
だまし絵にころっと騙されそう 部門より
headless曰く、

TeslaのAutopilot機能を車載システムに侵入することなく攻撃する手法について、Tencent Keen Security Labが研究結果を公表している(Keen Security Lab BlogSlashGearArs Technica動画)。

Keen Security LabではTesla車のセキュリティ調査を以前から行っており、昨年のBlack Hat USA 2018ではTesla車のWi-Fi/3G通信機能を経由してAutopilot ECU(APE)に侵入し、のルート権限を取得する研究の成果を発表している。今回の研究ではルート権限を利用して外部からゲームコントローラーでハンドルを操作する手法に加え、車載カメラにadversarial exampleを撮影させ、自動ワイパー機能や車線検出機能のニューラルネットワークを混乱させる手法が検証されている。

従来の自動ワイパーではフロントガラスに落ちた雨粒による光の反射の変化を光センサーで検出する手法が用いられているのに対し、Teslaではカメラで撮影したフロントガラスの映像をニューラルネットワークで処理して降雨を判断しているという。研究ではカメラからの映像にわずかなノイズを加えることで降雨スコアが上昇することを確認しているが、映像を改変する攻撃は現実的ではない。そのため、車両前方に配置したテレビにノイズの画像を表示する実験を行い、ウォーリーノイズを表示した場合に降雨スコアが大きく上昇することを確認した。動画ではウォーリーノイズを画面に表示するとワイパーが動き出しており、先行車両のリアウィンドウや道路脇など、Teslaの魚眼カメラに写る場所へノイズ画像を表示することでワイパーを作動させることができるとみられている。

車線検出機能を混乱させる攻撃としては、車線を見失わせる攻撃と偽の車線を認識させる攻撃を検証している。車線を見失わせる攻撃では、カメラからの映像に強いノイズを加えたり、ペイント部分にパッチを加えたりすることで、ペイントが検出されなくなることが確認された。ただし、現実の道路でAPEが混乱するレベルまでペイント部分にステッカーなどのパッチを貼った場合、ドライバーが気付いてしまう可能性が高い。Teslaではペイントが消えかかっているなど状態の悪い道路の画像を学習させているとみられ、車線を見失わせる攻撃には強いようだ。一方、道路上に小さなステッカーをいくつか配置することで車線のペイントと誤認識することが確認されており、動画では車線を斜めに横切る形で数個のステッカーを貼るだけで対向車線に進ませるデモも行われている。

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...