パスワードを忘れた? アカウント作成
13163883 story
セキュリティ

JavaScriptでASLRを無効化する攻撃「AnC」 27

ストーリー by headless
整列 部門より
あるAnonymous Coward 曰く、

x86/ARM CPUの多くが行っているメモリ管理の仕組みを悪用し、アドレス空間配置のランダム化 (ASLR)をJavaScriptから無効化する攻撃が公表された(PC Watchの記事)。

ASLRはアドレス予測を困難にすることで攻撃を防ぐという技術で、2000年代前半から実装が進んでいる。ローカルからの攻撃により無効化する手法も発見されているが、Webブラウザーの脆弱性緩和などには有効な対策と考えられていた。記事によれば、CPUのキャッシュ階層を利用した「ASLR⊕Cache (AnC)」と名付けられた攻撃により、100秒未満という短い時間でアドレスのランダム化が解除されてしまったという。AnCはハードウェアの仕組みを使用した攻撃のため、ユーザー側では対処不能としている。

正直タレコミ子には説明が難しすぎて理解不能なのだが、技術レベルの高い攻撃者であれば公開された論文を元に数週間程度で攻撃コードが再現できるという事なので、今後はメモリ周りの脆弱性に一層注意が必要かもしれない。

AnCはソフトウェアの弱点を利用するものではないため修正は容易ではないが、CPU/OS/ブラウザーベンダーに対しては公表前に短期的・長期的な緩和策が通知されている。実際にAppleはiOS 10.2.1でWebKitの強化を行ったとのこと。ユーザーレベルでは信頼できないソースからのスクリプト実行をブロックするといった対策しかできないが、有効な攻撃を行うためには別途ブラウザーの脆弱性を利用することになるため、セキュリティ更新プログラム適用の重要性も増しているといえるだろう(VUSecの記事The Registerの記事Ars Technicaの記事)。

13161681 story
インターネット

Microsoftプレジデント兼最高法務責任者曰く、サイバー攻撃から民間人を守るデジタルジュネーブ条約が必要 21

ストーリー by headless
条約 部門より

Microsoftのプレジデント兼最高法務責任者のブラッド・スミス氏は14日、サイバー攻撃から民間人を守るデジタルジュネーブ条約の必要性をRSA USA 2017のキーノートで語った(キーノートMicrosoft On the Issuesの記事The Registerの記事)。

戦時下の民間人は1949年以来、ジュネーブ条約第4条約により保護されてきた。しかし、現代では平和時においても国民国家によるサイバー攻撃により、民間人の安全が脅かされている。スミス氏の提唱するデジタルジュネーブ条約は、こういった脅威から民間人を保護するものだ。

具体的なデジタルジュネーブ条約の内容としては、以下のような項目が挙げられている。

  1. テクノロジー企業や民間企業、重要なインフラをターゲットにしない
  2. サイバー攻撃を検出・抑制・対応・復旧できるよう民間企業を支援する
  3. 脆弱性を悪用せず、ベンダーに報告する
  4. サイバー兵器の開発を制限する
  5. サイバー兵器の拡散を防止する
  6. 攻撃的な活動を制限する
13160832 story
バグ

Microsoft、2月の月例更新プログラム提供を延期 20

ストーリー by hylom
いつ出るんだろう 部門より
headless 曰く、

Microsoftは14日、2月のセキュリティ更新プログラム提供を延期すると発表した(MSRCOn MSFTArs TechnicaSoftpedia)。

Microsoftによれば、直前になって発見された一部のユーザーに影響する問題の修正が間に合わなかったため、提供の延期を決めたとのこと。具体的な問題の内容や新たな提供日などについては記載されていない。

Microsoftでは毎月第2週の火曜日(日本時間では水曜日)に更新プログラムを提供しており、月例更新プログラムなどと呼ばれる。Windows 10では累積的な更新プログラムが提供されているが、昨年10月からはWindows 7/8.1/Server 2008 R2/2012/2012 R2でもロールアップモデルに移行した。

ロールアップパッケージに加え、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供されているが、今月からはInternet Explorerの更新プログラムを分離する計画だった。

また、先日話題になったSMBの脆弱性に対応する更新プログラムも今月の月例更新に含まれる予定とされていた。

13160804 story
セキュリティ

GitHubで「remove password」というコミットを検索するとパスワードらしきものが大量に見つかる 8

ストーリー by hylom
pushしてしまったら取り返しはつきません 部門より

GitHubで「remove password」というキーワードでコミットを検索すると、大量の平文パスワードらしきものを見つけられるという話がHacker Newsで取り上げられている。

Gitでは変更履歴がすべて記録されているので、このようにして検索したコミットの変更点を見ることで削除したパスワードを見ることができてしまう可能性がある。もちろんその後パスワードが変更されたり、パスワードが必要なサービスへのアクセス自体が制限されている可能性もあるため大きな問題になるかどうかはケースバイケースだが、とりあえずバージョン管理しているファイル中のパスワードの扱いには注意が必要だ。

13157952 story
インターネット

Torなどの匿名化技術を使って構築された「ダークウェブ」上のホスティングサービスがハックされデータ流出 32

ストーリー by hylom
アレなセキュリティ 部門より
あるAnonymous Coward 曰く、

Torなどの匿名化技術を使って構築されたネットワークは「ダークウェブ」などと呼ばれ、違法コンテンツを提供するサイトや違法商品の販売サイトなどがダークウェブ上で運営されていると言われている。このダークウェブで多く使われているWebホスティングサービス「Freedom Hosting II」が攻撃され、ホスティングされているサイトのデータ流出などが発生した(ギズモード・ジャパンComputerWorld)。

攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。その後この攻撃者はサーバー上にあったデータをBitTorrentを使って公開。公開されたデータには74GBのファイル、2.3GBのデータベースが含まれてり、その中には児童ポルノコンテンツや詐欺サイト、違法な物品を販売するサイトに関するコンテンツも含まれていたという。

また、Freedom Hosting IIの利用者やオンラインフォーラムへの投稿内容も含まれていたとのことで、法執行機関などがこのデータを使った捜査に乗り出す可能性も高いという。

13155145 story
セキュリティ

WindowsにDefender以外のアンチウイルスソフト不要論にカスペルスキーが反論 78

ストーリー by hylom
しかしウイルス対策ソフトだけではセキュリティ対策にならないという話も 部門より

先日、「Microsoft以外のウイルス対策ソフトは使うべきではない」、「行儀のいいアンチウイルスはWindows Defenderだけ」といった話題があったが、これに対しセキュリティ企業Kasperskyが反論を行っている(INTERNETCOM)。

Kasperskyはセキュリティに注意している人のデバイスが感染するリスクは高くはないとしつつも、そうでない人々を保護するために重要とし、また同社の製品はMicrosoftのセキュリティソフトと比較しても優れた保護能力があると主張、(少なくともKasperskyの)セキュリティソフトについては導入する意義があると主張している。

13155155 story
SNS

米国入国者はSNSアカウントだけでなくパスワードの提示も求められる可能性 36

ストーリー by hylom
大量のアカウントを持っている人は大変そうだ 部門より
あるAnonymous Coward 曰く、

アメリカでは、入国時にSNSのアカウント情報の提供が求められるという話が出ている(NBC News毎日新聞Slashdot)。

NBC Newsによると、アカウント名だけでなくパスワードの提示も求める可能性があるという。ジョン・ケリー国土安全保障長官は、特定七カ国のイスラム圏の難民やビザ申請者を摘発するための一案として存在すると認めた。彼らが回答を拒否した場合、入国は認められないだろうとしている。ただ、この案は「考えていること」の一つに過ぎず、具体的な計画にはなっていないと強調した。

トランプ米大統領は、中東・アフリカ7カ国からの米国入国を一時禁止する大統領令を出しているが司法判断で停止中。対抗策として国土安全保障省に入国審査を厳格化するよう命じた結果、今回の案が出てきた模様

13154537 story
プリンター

不正アクセス可能なプリンターに対し遠隔からメッセージを印刷して警告するハッカー 37

ストーリー by hylom
キレて通報する人はいなかったのだろうか 部門より
あるAnonymous Coward 曰く、

インターネット経由で無制限にアクセス可能なプリンターに対し、「このプリンターはハックされている」という内容とロボットのアスキーアートを印刷させるという「警告」が行われているそうだ(INTERNET WatchRegister)。

日本でやると「不正アクセス行為の禁止等に関する法律」でアウトなんでしょうねえ。

このメッセージを送りつけた「Stack」と名乗るハッカーは、ネットワーク経由で印刷に対応し、かつそれらがインターネットからアクセス可能になっているものを検索し、発見したプリンタに印刷ジョブを送信するスクリプトを作成して実行したそうだ。その結果、16万以上のプリンタに対しこの警告メッセージを送信したという。また、一部のプリンタにある脆弱性を使った攻撃も利用してメッセージを送りつけてもいるそうだ。

13152260 story
Windows

NSA、機密情報を扱える商用製品としてWindows 10とSurfaceデバイスを認定 31

ストーリー by headless
認定 部門より
Microsoftは10日、Windows 10およびSurfaceデバイスが米国家安全保障局(NSA)のCommercial Solutions for Classified Program(CSfC)に認定されたことを発表した(Windows For Your Businessの記事CSfC — Components ListSoftpediaの記事Neowinの記事)。

CSfCは米政府機関が機密情報を扱うのに適した安全な商用製品を認定するプログラム。Windows 10はVPNクライアントおよびSurfaceデバイスのOSとしてリストに掲載されている。Surfaceデバイスでは既にWindows 8.1を搭載したSurface Pro 3が認定済みで、今回Windows 10を搭載したSurface Book/Pro 3/Pro 4が追加されている。モバイルデバイスとしてはAppleのiPhone/iPadシリーズやSamsungのGalaxyシリーズ、LGのGシリーズなどがリストに掲載されているが、デスクトップOSを搭載しているのはSurfaceデバイスのみのようだ。
13152254 story
NASA

NASA、制御システムのIT化に伴う対策不足を指摘される 17

ストーリー by headless
対策 部門より
米航空宇宙局(NASA)の重要な制御システムのセキュリティについて、NASA監察総監室(OIG)が監査結果を公表している(リポート: PDFV3の記事)。

従来の運用技術(OT)は人の手による直接的な操作が中心となっていたが、近年ではデバイスの「スマート」化が進み、ITインフラを通じた操作の導入が進んでいる。NASAにおけるOTシステムはロケット推進テストシステムや宇宙船制御・通信システム、地上の支援設備など重要なインフラを数多く制御しており、物理的なセキュリティ対策に加え、サイバーセキュリティ対策の重要性が増している。

しかし、NASAではOTを適切に定義しておらず、設備の管理システムや保護計画なども作られていないという。ITとOTの区分も明確になっていないため、OTに特化したトレーニングなどは行われず、OTシステムに対してITシステム向けのセキュリティ対策をそのまま適用することによるトラブルも発生しているそうだ。

たとえば、大型電気炉の温度管理を行うOTシステム稼働中、セキュリティパッチが適用されたコンピューターが再起動し、温度調整ソフトウェアが動作しなくなったことで火災が発生。再起動でアラーム機能も動作しなかったため、職員が発見するまで3時間半を要し、内部に置かれていた宇宙船のハードウェアが破損したとのこと。脆弱性スキャンが開始されたことで地球軌道上の宇宙機との通信が失われ、次の軌道通過までデータが収集できないトラブルも発生したという。

監査の結果、OIGではOTシステムの範囲を明確にし、セキュリティ計画や組織全体で協調的にセキュリティ対策を行うためのフレームワークを策定すること、OTシステムに特化したトレーニングを実施することなどを勧告している。
13149554 story
教育

IPAの脆弱性体験学習ツール「AppGoat」に脆弱性が見つかる 14

ストーリー by hylom
体験できます 部門より
insiderman 曰く、

IPAが無償で提供している脆弱性体験学習ツール「AppGoat」に脆弱性が発見された(JVN#39008927:脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性)。

AppGoatは「学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できる」という学習アプリケーション。意図的に脆弱性を含んだWebアプリケーションに対して攻撃を行う、といったことを試しながら、脆弱性について学べるという(過去記事)。

今回発見された脆弱性は「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」にログインした状態で細工された別のページにアクセスすると意図しない操作が行われる可能性がある、いわゆるクロスサイトリクエストフォージェリ(CSRF)。AppGoatは内部的にApache Webサーバーを使用しており、そこでのリクエスト処理に問題があったようだ。

身をもって脆弱性を教えてくれる良い教材というか、ミイラ取りがミイラになるというパターンというか……。

13148722 story
Windows

Windowsをクラッシュさせるゼロデイ・エクスプロイトコードがGitHubで公開 16

ストーリー by hylom
マーケティングの事情ってなんだ 部門より

「Windows Server 2016のマーケティングの事情からMicrosoftによるパッチ適用が遅れた」という、Windowsに存在する脆弱性が公開された(PC WatchVU#867968)。

この脆弱性はWindowsのファイル共有やプリンタ共有などで使われているSMBプロトコルに関連するもので、悪用することで認証されていない攻撃者が遠隔から該当システムに対するDoS攻撃を行えるという(INTERNET Watch)。

今回、この脆弱性を使った攻撃を行う実証コードも公開されている。この脆弱性は2月14日に配信されるセキュリティパッチで修正されるとのことだが、実証コードを公開したLaurent Gaffie氏によると、この脆弱性は以前より確認されていたにもかかわらず、Microsoftが「マーケティングの事情」でパッチのリリースを遅らせていたと指摘している。

13147436 story
情報漏洩

コピーガードを開発するDenuvo社、顧客からのメールや営業情報などを流出させる 18

ストーリー by hylom
ガードできなかったか 部門より
insiderman 曰く、

コピーガードを開発するDenuvo社のWebサイトから、顧客からのメールや営業情報などが流出した模様(TorrentFreakArs Technica)。

Webサイトの公開設定に不備があったようで、一部のディレクトリに対して制限無しにアクセスができる状態になっていたようだ。流出したファイルの1つである「Ajax.log」(ファイル名と内容から見るに、問い合わせフォーム等のログと思われる)にはカプコンなど複数のゲームメーカーやGoogleが同社の技術に対して興味を持ち問い合わせを行う内容が含まれていたという。そのほか、営業用の資料なども含まれていたようだ。

流出した情報の中にDenuvoのコピーガードをクラックするために使える情報が含まれているかどうかは不明。今回の件は単にWebサーバーの権限設定ミスのようなので、これ以上の重要な情報はない気はする。

13145209 story
セキュリティ

「偽ランサムウェア」による攻撃が増加 14

ストーリー by hylom
より手軽に攻撃 部門より

ストレージ内のデータを暗号化したり、システムをロックした上で復元のために「身代金」を要求するマルウェアは「ランサムウェア」と呼ばれている。こういったランサムウェアによる被害は近年増えているが(ITmedia)、最近では実際には暗号化やロックなどを行っていないにも関わらず金銭を要求する「偽ランサムウェア」も増えているという。要求に応じて金銭を支払ってしまう例も少なくないようだ(ZDNet Japan)。

偽ランサムウェアはデータの暗号化を行ったといった表示は行うものの、実際にはデータの暗号化や削除などは行わないという。しかし記事によると、英国の大企業のうち5分の2が偽ランサムウェアの攻撃を受けており、その3分の2弱が身代金を支払っているという。

13144178 story
Chrome

Googleのエンジニア曰く、行儀のいいアンチウイルスはWindows Defenderだけ 100

ストーリー by headless
作法 部門より
Googleのエンジニア Justin Schuh氏によれば、経験上得られた多数のデータからみて、行儀のいいアンチウイルスと呼べるのはMicrosoft Defender(Windows Defender)だけだという(On MSFTの記事)。

先日、Microsoft以外のアンチウイルス製品は使用すべきではないというRobert O'Callahan氏のブログ記事が話題となった。このO'Callahan氏の発言を誘発したのが、安全なブラウザーを出荷する最大の障害はアンチウイルスなどと指摘したSchuh氏の一連のツイートだ。

Schuh氏の新たな発言は、O'Callahan氏のブログ記事を話題にした一連のツイートからの流れで飛び出したもの。行儀のいい唯一のアンチウイルスなので、ブラウザーメーカーはWindows Defenderに苦情を言わないと述べている。また、Windows Defenderは「第一に害を及ぼさない」というルールを守っている、Chromeのセキュリティメカニズムを壊したことのない唯一の存在、などとも述べている。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...