パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

13171334 story
アナウンス

英研究、眠っている子供の多くは一般的な煙報知機の警報音に反応しない 47

ストーリー by headless
爆睡 部門より
英国・ダンディー大学の研究によると、眠っている子供の多くが一般的な煙報知器の警報音に反応しないことが判明したそうだ(ダンディー大学のニュース記事Derbyshire Fire & Rescure Serviceの記事The Guardianの記事BBC Newsの記事)。

研究者のDave Coss氏はダービーシャーの消防・救急サービスに勤務して火災現場の調査などを行っており、2012年に5歳~13歳の子供6人が亡くなった火災で全員の遺体がベッドの上で発見されたことから研究を始めたそうだ。研究の第1段階は2歳~13歳の子供34人を対象に各家庭で実施された。その結果、全体の80%、男子は全員が警報音で目を覚まさなかったという。

大人と子供では反応する警報音の周波数や鳴動パターンが異なるとみられ、より低い周波数(520Hz)の警報音と火事だから起きるように(Wake up! The house is on fire.)告げる女性の声を組み合わせたものでは90%が目を覚ましたとのこと。研究の第2段階としては、2歳~16歳の子供がいる500以上の家庭をボランティアとして募集し、この警報音の効果を調べる計画だ。
13171330 story
情報漏洩

Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 17

ストーリー by headless
通過 部門より
CloudflareのHTMLパーサーのバグにより、同社のリバースプロキシを使用するWebサイトにアクセスすると、別のユーザーのCookieや認証トークン、パスワード、APIキーなどを含むデータが送信される状態になっていたそうだ(Cloudflareのブログ記事Project Zero — Issue 1139The Registerの記事The Vergeの記事)。

このバグはバッファー終端のチェックで「>=」ではなく「==」を使用していたため、ポインターがバッファー終端を超えていることを認識できないというものだ。そのため、破損したHTMLタグを含むページを処理するとバッファーオーバーランによるメモリーリークが発生し、別のユーザーのデータが一緒に送信されることになる。バグを発見したGoogleのTavis Ormandy氏は、Heartbleedのようなバグと説明しつつ、「Cloudbleed」と呼ばないように求めているが、既にロゴも作られてしまっている。
13171107 story
暗号

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 46

ストーリー by headless
粉砕 部門より
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事Google Security Blogの記事Phoronixの記事Ars Technicaの記事論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。
13170954 story
Chrome

Google Chromeの追加フォントダウンロードに見せかけた攻撃が確認される 9

ストーリー by headless
偽物 部門より
Google Chromeで必要なフォントが見つからないなどと表示して、Windowsユーザーにマルウェアをインストールさせようとする攻撃が確認されている(NeoSmartのブログ記事The Next Webの記事Neowinの記事Softpediaの記事)。

攻撃の内容としては、JavaScriptを使用してページ内のテキストを文字化けしたように見せかけ、正しく表示するには「Chrome Font Pack」を更新する必要があるとのプロンプトを表示するというもの。プロンプトには現在使用しているChromeのバージョンが反映されておらず、クローズボタンがプロンプトの内部にあるといった問題はあるものの、不足しているというフォントは実在のフォントであり、プロンプト内のテキストや配色なども本物らしい仕上がりとなっている。

しかし、「Update」ボタンをクリックすると攻撃のクオリティは急激に低下するという。プロンプトはインストール手順を説明する内容に切り替わるが、実行するよう指示されるファイルと実際にダウンロードされるファイルの名前が異なる。しかも、Chromeのダウンロードバーには「一般的にダウンロードされておらず、危険を及ぼす可能性」があるとの警告が表示される。また、説明で使われている警告ダイアログボックスの画像は別の実行ファイルのもので、ファイル名や発行者名の部分にぼかしがかけられている。

ただし、Chromeは危険性に関する警告を表示するにとどまり、ChromeもWindows Defenderもマルウェアとは認識しないという。VirusTotalのスキャン結果では59本のセキュリティソフト中、このファイルをマルウェアと認識したのは9本にとどまる。この攻撃を発見したNeoSmart TechnologiesのMahmoud Al-Qudsi氏は、Chromeのセーフブラウジング機能でブロックできるよう、このファイルのコピーをChromeのセキュリティチームに送っているとのこと。なお、Al-Qudsi氏はクラックされたWordPressサイトをブラウズしているときにこの攻撃を発見したそうだ。
13170886 story
Windows

Microsoft、Flash Playerのセキュリティ更新プログラムを定例外で公開 24

ストーリー by headless
例外 部門より
Microsoftは22日、Adobe Flash Playerのセキュリティ更新プログラムを定例外で公開した(セキュリティ情報の概要脆弱性情報MS17-005TechNetブログ — 日本のセキュリティチームの記事)。

この更新プログラムは提供が3月に延期された2月の月例更新の一部だ。修正される脆弱性はリモートでのコード実行が可能というもので、深刻度は「緊急」となっている。対象はWindows 8.1/10/RT 8.1およびWindows Server 2012/2012 R2/2016で、適用後のFlashバージョンは24.0.0.221となる。

AdobeはMicrosoftの月例更新に合わせて脆弱性情報を公表したが、該当バージョンのWindowsではInternet Explorer/Microsoft Edge向けのFlash Playerが更新できない事態になっていた。

更新プログラムはWindows Updateで適用できるほか、Windows RT 8.1を除きMicrosoft Updateカタログからの入手も可能だ。
13169685 story
携帯電話

米トランプ大統領は未だにセキュリティ対策が行われていないスマートフォンを使っている 29

ストーリー by hylom
すでにハックされてたりして 部門より
あるAnonymous Coward 曰く、

米トランプ大統領は、未だにセキュリティ対策が行われていないAndroidスマートフォン(Galaxy S3)を使っているようだ。これはトランプ氏が大統領に就任した直後から問題となっており、政府はスマートフォンを別のものに変えるよう働きかけているようだが、トランプ氏は未だ無視しているという(TechCrunchAndroidCentral)。

ヒラリー・クリントン候補との大統領選挙時、ヒラリー候補は「安全でない私的なメールサーバー/メールアドレスを使用していた」問題(いわゆるメール問題)で大きく追求されており、トランプ大統領が「安全でない私的なスマートフォン」を使用していることについてツッコんでいる人もいるようだ。

Galaxy S3は2012年に発売されたモデルで、すでにセキュリティサポートも終了しているという。

13168055 story
プライバシ

無線通信機能を備える「喋るおもちゃ」に脆弱性、盗聴や任意の言葉を遠隔から喋らせることが可能 21

ストーリー by hylom
一歩間違えばホラー 部門より
taraiok曰く、

ドイツで無線通信によるインターネット接続機能やマイク、スピーカーを備えたおもちゃの人形「「My Friend Cayla」が、「盗聴器」に当たるとしてトラブルになっているという(THE VERGEBBCPHYS ORGSlashdot)。

この人形はユーザーの「質問」に対し、インターネット経由でサーバーに接続してその回答を喋らせる機能を備えている。しかし、2015年にソフトウェアに脆弱性が発見され、この人形を「ハック」して音声を盗聴したり、任意の言葉を喋らせたりすることが可能になる状態になっているという。

13165198 story
Windows

Windowsに感染してマルウェア「Mirai」を拡散させるマルウェアが確認される 17

ストーリー by hylom
Windowsだからといって安心はできない 部門より

IoTデバイスを狙うマルウェア「Mirai」は過去にも話題になっているが、新たにWindowsにも感染するMiraiマルウェアを拡散させるためのマルウェアが観測されたとトレンドマイクロが明らかにしているITmedia)。

今回発見されたマルウェアは、Miraiの感染対象となるIoT機器を探索して攻撃を行い、Miraiのボットネットを拡大させることを目的とするそうだ。このマルウェアは攻撃対象デバイスへのログインを試み、それがLinux端末だった場合はMiraiを設置し、Windows端末だった場合にはそこに自身のコピーを設置してIoT端末の探索作業を行わせるという。

このマルウェアはターゲットの探索のため、22番(SSH)、23番(Telnet)、135番(DCE/RPC)、445番(Active Directroy)、1433番(Microsoft SQL Server)、3306番(MySQL)、3389番(RDP)ポートをチェックするとのこと。

13163883 story
セキュリティ

JavaScriptでASLRを無効化する攻撃「AnC」 27

ストーリー by headless
整列 部門より
あるAnonymous Coward 曰く、

x86/ARM CPUの多くが行っているメモリ管理の仕組みを悪用し、アドレス空間配置のランダム化 (ASLR)をJavaScriptから無効化する攻撃が公表された(PC Watchの記事)。

ASLRはアドレス予測を困難にすることで攻撃を防ぐという技術で、2000年代前半から実装が進んでいる。ローカルからの攻撃により無効化する手法も発見されているが、Webブラウザーの脆弱性緩和などには有効な対策と考えられていた。記事によれば、CPUのキャッシュ階層を利用した「ASLR⊕Cache (AnC)」と名付けられた攻撃により、100秒未満という短い時間でアドレスのランダム化が解除されてしまったという。AnCはハードウェアの仕組みを使用した攻撃のため、ユーザー側では対処不能としている。

正直タレコミ子には説明が難しすぎて理解不能なのだが、技術レベルの高い攻撃者であれば公開された論文を元に数週間程度で攻撃コードが再現できるという事なので、今後はメモリ周りの脆弱性に一層注意が必要かもしれない。

AnCはソフトウェアの弱点を利用するものではないため修正は容易ではないが、CPU/OS/ブラウザーベンダーに対しては公表前に短期的・長期的な緩和策が通知されている。実際にAppleはiOS 10.2.1でWebKitの強化を行ったとのこと。ユーザーレベルでは信頼できないソースからのスクリプト実行をブロックするといった対策しかできないが、有効な攻撃を行うためには別途ブラウザーの脆弱性を利用することになるため、セキュリティ更新プログラム適用の重要性も増しているといえるだろう(VUSecの記事The Registerの記事Ars Technicaの記事)。

13161681 story
インターネット

Microsoftプレジデント兼最高法務責任者曰く、サイバー攻撃から民間人を守るデジタルジュネーブ条約が必要 21

ストーリー by headless
条約 部門より

Microsoftのプレジデント兼最高法務責任者のブラッド・スミス氏は14日、サイバー攻撃から民間人を守るデジタルジュネーブ条約の必要性をRSA USA 2017のキーノートで語った(キーノートMicrosoft On the Issuesの記事The Registerの記事)。

戦時下の民間人は1949年以来、ジュネーブ条約第4条約により保護されてきた。しかし、現代では平和時においても国民国家によるサイバー攻撃により、民間人の安全が脅かされている。スミス氏の提唱するデジタルジュネーブ条約は、こういった脅威から民間人を保護するものだ。

具体的なデジタルジュネーブ条約の内容としては、以下のような項目が挙げられている。

  1. テクノロジー企業や民間企業、重要なインフラをターゲットにしない
  2. サイバー攻撃を検出・抑制・対応・復旧できるよう民間企業を支援する
  3. 脆弱性を悪用せず、ベンダーに報告する
  4. サイバー兵器の開発を制限する
  5. サイバー兵器の拡散を防止する
  6. 攻撃的な活動を制限する
13160832 story
バグ

Microsoft、2月の月例更新プログラム提供を延期 20

ストーリー by hylom
いつ出るんだろう 部門より
headless 曰く、

Microsoftは14日、2月のセキュリティ更新プログラム提供を延期すると発表した(MSRCOn MSFTArs TechnicaSoftpedia)。

Microsoftによれば、直前になって発見された一部のユーザーに影響する問題の修正が間に合わなかったため、提供の延期を決めたとのこと。具体的な問題の内容や新たな提供日などについては記載されていない。

Microsoftでは毎月第2週の火曜日(日本時間では水曜日)に更新プログラムを提供しており、月例更新プログラムなどと呼ばれる。Windows 10では累積的な更新プログラムが提供されているが、昨年10月からはWindows 7/8.1/Server 2008 R2/2012/2012 R2でもロールアップモデルに移行した。

ロールアップパッケージに加え、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供されているが、今月からはInternet Explorerの更新プログラムを分離する計画だった。

また、先日話題になったSMBの脆弱性に対応する更新プログラムも今月の月例更新に含まれる予定とされていた。

13160804 story
セキュリティ

GitHubで「remove password」というコミットを検索するとパスワードらしきものが大量に見つかる 8

ストーリー by hylom
pushしてしまったら取り返しはつきません 部門より

GitHubで「remove password」というキーワードでコミットを検索すると、大量の平文パスワードらしきものを見つけられるという話がHacker Newsで取り上げられている。

Gitでは変更履歴がすべて記録されているので、このようにして検索したコミットの変更点を見ることで削除したパスワードを見ることができてしまう可能性がある。もちろんその後パスワードが変更されたり、パスワードが必要なサービスへのアクセス自体が制限されている可能性もあるため大きな問題になるかどうかはケースバイケースだが、とりあえずバージョン管理しているファイル中のパスワードの扱いには注意が必要だ。

13157952 story
インターネット

Torなどの匿名化技術を使って構築された「ダークウェブ」上のホスティングサービスがハックされデータ流出 32

ストーリー by hylom
アレなセキュリティ 部門より
あるAnonymous Coward 曰く、

Torなどの匿名化技術を使って構築されたネットワークは「ダークウェブ」などと呼ばれ、違法コンテンツを提供するサイトや違法商品の販売サイトなどがダークウェブ上で運営されていると言われている。このダークウェブで多く使われているWebホスティングサービス「Freedom Hosting II」が攻撃され、ホスティングされているサイトのデータ流出などが発生した(ギズモード・ジャパンComputerWorld)。

攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。その後この攻撃者はサーバー上にあったデータをBitTorrentを使って公開。公開されたデータには74GBのファイル、2.3GBのデータベースが含まれてり、その中には児童ポルノコンテンツや詐欺サイト、違法な物品を販売するサイトに関するコンテンツも含まれていたという。

また、Freedom Hosting IIの利用者やオンラインフォーラムへの投稿内容も含まれていたとのことで、法執行機関などがこのデータを使った捜査に乗り出す可能性も高いという。

13155145 story
セキュリティ

WindowsにDefender以外のアンチウイルスソフト不要論にカスペルスキーが反論 78

ストーリー by hylom
しかしウイルス対策ソフトだけではセキュリティ対策にならないという話も 部門より

先日、「Microsoft以外のウイルス対策ソフトは使うべきではない」、「行儀のいいアンチウイルスはWindows Defenderだけ」といった話題があったが、これに対しセキュリティ企業Kasperskyが反論を行っている(INTERNETCOM)。

Kasperskyはセキュリティに注意している人のデバイスが感染するリスクは高くはないとしつつも、そうでない人々を保護するために重要とし、また同社の製品はMicrosoftのセキュリティソフトと比較しても優れた保護能力があると主張、(少なくともKasperskyの)セキュリティソフトについては導入する意義があると主張している。

13155155 story
SNS

米国入国者はSNSアカウントだけでなくパスワードの提示も求められる可能性 36

ストーリー by hylom
大量のアカウントを持っている人は大変そうだ 部門より
あるAnonymous Coward 曰く、

アメリカでは、入国時にSNSのアカウント情報の提供が求められるという話が出ている(NBC News毎日新聞Slashdot)。

NBC Newsによると、アカウント名だけでなくパスワードの提示も求める可能性があるという。ジョン・ケリー国土安全保障長官は、特定七カ国のイスラム圏の難民やビザ申請者を摘発するための一案として存在すると認めた。彼らが回答を拒否した場合、入国は認められないだろうとしている。ただ、この案は「考えていること」の一つに過ぎず、具体的な計画にはなっていないと強調した。

トランプ米大統領は、中東・アフリカ7カ国からの米国入国を一時禁止する大統領令を出しているが司法判断で停止中。対抗策として国土安全保障省に入国審査を厳格化するよう命じた結果、今回の案が出てきた模様

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...