パスワードを忘れた? アカウント作成
13410749 story
アメリカ合衆国

カスペルスキー氏、ワシントンで証言へ 33

ストーリー by headless
証言 部門より
Kaspersky Lab CEOのユージン・カスペルスキー氏が米下院科学・宇宙・技術委員会の調査・監視小委員会で証言することになったそうだ(カスペルスキー氏のツイートV3の記事)。

カスペルスキー氏は同社がロシア政府の影響を受ける可能性があるとの疑惑が持ち上がった際、隠すことなど何もないと述べ、疑惑を晴らすために製品のソースコード開示や米連邦議会での証言などをたびたび提案していた。委員会の招へいもこれを受けたもので、9月27日のヒアリングに出席して証言することを求めている。

米国土安全保障省では13日、Kaspersky Lab製品の連邦政府機関における使用中止・削除計画を90日以内に策定し、90日目から計画を実行に移すように指令を出している。しかし、確固たる証拠があるわけではないようだ。カスペルスキー氏は米政府組織への同社製品販売本数は非常に少ないとツイートしている。
13409555 story
ビジネス

Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 25

ストーリー by hylom
とばっちりは利用者に 部門より
あるAnonymous Coward曰く、

GoogleがSymantecによって発行された証明書を無効化する計画を発表した(Google Security BlogGIGAZINEDigiCertSlashdot)。この問題は、Symantecやその傘下の認証局が適切でないプロセスによって大量にSSL証明書を発行していたというもの(過去記事)。

まず、2018年4月17日前後に安定版がリリースされる予定のChrome 66以降では2016年6月1日以前にSymantecによって発行された証明書が無効化され、2018年10月23日前後に安定版がリリースされる予定のChrome 70では、Symantecが発行したすべての証明書は信頼できないものとして取り扱われる。

また、今年8月、Symantecは認証関連の事業をDigiCertに売却することを発表しているが(過去記事)、DigiCertのシステムに移管される2017年12月1日以降は、Symantecから発行された証明書はChromeでは信頼されないものとして扱われ、この証明書を使用しているサイトの閲覧時などに警告やエラーが表示されるとのこと。

13408672 story
情報漏洩

信用情報会社Equifaxが個人情報漏洩、インサイダー疑惑もあり米政府が調査に乗り出す 4

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward曰く、

クレジットカードなどの信用情報を扱う米大手消費者信用情報会社Equifaxが不正アクセスによって個人情報を漏洩させたことが報じられている。流出したのは氏名や住所、生年月日のほか、社会保障番号や免許証番号、クレジットカード番号なども含まれているという。(ITmedia)。

これだけならまだ昨今ではよくある話なのだが、漏洩を知った同社役員らがメディアで報じられる前に同社の株式を売却していたことも発覚、批判されている(TechCrunchTHE HELL米エネルギー・商業委員会米下院金融サービス委員会Slashdot)。

また、利用規約には集団訴訟の権利を放棄するという条項が含まれており、こうしたことから政府からも批判を受けているとのこと。Tammy Baldwin上院議員は「Equifaxはこの重大な違反数週間にわたって被害者に伝えなかった」と発言している。また、米エネルギー・商業委員会が書簡で問い合わせを行い、米下院金融サービス委員会は聴聞会を開催すると発表、Equifaxにデータセキュリティ違反がなかったか調べる方針だそうだ。

13408562 story
Android

Androidの「Toast」機能を使用したオーバーレイ攻撃 18

ストーリー by hylom
パンを焼く機能ではない 部門より
headless曰く、

Androidに対する「オーバーレイ攻撃」を容易に実行できるようにする脆弱性(CVE-2017-0752)についてPalo Alto Networksが解説している(Palo Alto NetworksのブログThreatpostV3Register)。

オーバーレイ攻撃は他のウィンドウの手前に描画したオーバーレイウィンドウを用いてクリックジャッキングを実行したり、ユーザーの操作を不可能にするといった攻撃だ。これまで知られているAndroidのオーバーレイ攻撃では、攻撃者のアプリで「他のアプリの上に重ねて表示(SYSTEM_ALERT_WINDOW)」のアクセス権限が必要だった。

新たなオーバーレイ攻撃の手法はAndroidでポップアップ通知に使われるToastを使用するものだ。Toastは最前面に表示されるが、特別なアクセス権限は必要ない。Palo Alto NetworksではToastを全画面表示し、オーバーレイウィンドウと同様に使用できることを確認したとのこと。

この脆弱性はAndroid 8.0を除くすべてのバージョンのAndroidが影響を受け、9月のセキュリティパッチで修正されている。なお、この脆弱性を狙った攻撃は現在のところ確認されていないとのことだ。

13408544 story
セキュリティ

非常に多数のBluetoothデバイスに影響する脆弱性が見つかる 116

ストーリー by hylom
これはやばい 部門より
あるAnonymous Coward 曰く、

JPCERTからの注意喚起が出ているが、さまざまなOSで使われているBluetoothの実装に脆弱性が判明した。この脆弱性は「BlueBorne」と呼ばれており、この脆弱性を悪用することで外部から端末を乗っ取られる可能性もあるという(CNET JapanITmediaTechCrunchPC Watch)。

影響を受けるOSはLinux Kernel 3.3-rc1以降、BlueZのすべてのバージョン、iOS 9.3.5以前、tvOS 7.2.2以前、9月のセキュリティ更新を適用していないWindow Vista以降、9月のセキュリティパッチを適用していないAndroidと非常に幅広い。物理的な接続なしに攻撃が行えるため、ネットワーク的に隔離されている環境でも攻撃を受ける可能性がある。

13407592 story
お金

Apple Payを利用したクレジットカードの不正利用が発覚 131

ストーリー by hylom
手口としては分かりやすいが 部門より

不正入手した他人のカード情報をiPhoneの決済機能「Apple Pay」に登録して使用する詐欺事件が発生していたという。背景には中国人らによる犯罪組織が関わっているようだ(ITmedia)。

Apple Payの登録時にはカード発行会社が送信する認証コードが必要だが、カード所有者の個人情報を用意した上でカードの発行会社に対し「電話番号を変更した」などと連絡し、本人が所有していないスマートフォンに認証コードを送信させていたという。使われた個人情報はフィッシングサイトなどで集められていたようだ。

13406282 story
通信

水産庁、ミサイル発射を漁業無線で自動的に漁船に通知するシステムを導入へ 37

ストーリー by hylom
技術的には問題なさそうではあるが 部門より
あるAnonymous Coward曰く、

水産庁が、漁船に対し自動でミサイル発射を無線で通知するシステムを導入するという(時事通信TBSFNN琉球新報)。

導入されるのは、内閣官房からミサイル発射情報が発信された場合、それを漁業無線局が自動で音声化して通知するというものだそうだ。

無論ミサイルには弾道弾だけでなく、誤動作で漁船に命中しかねない対艦ミサイルもある。漁民・船員を守る為の船舶用ミサイル警報装置に反対はできまいが、コストエフェクティブかどうかは検討の余地があると思う。

13406274 story
アメリカ合衆国

米大手量販店Best Buy、Kaspersky製品の取り扱いを中止 16

ストーリー by hylom
冷戦の影響 部門より
headless曰く、

米大手量販店Best BuyがKaspersky Lab製品の取り扱いをすべて中止したそうだ(Star TribuneWindows CentralThe RegisterNeowin)。

米国ではKaspersky Labがロシア政府の影響を受ける可能性があるとして、政府機関でのKaspersky製品排除の動きが進んでいる。2018年国防授権法(NDAA)案には国防省でKaspersky製品の使用を禁ずる条項が盛り込まれており、8月下旬には連邦捜査局(FBI)が米企業にKaspersky製品を使用しないよう要請していることも報じられている。

Star Tribuneによると、Best BuyはKaspersky製品の取り扱いを中止したことを認めたのみで、理由等については回答していないという。ただし、今回の決定に詳しい情報提供者によれば、Best Buyは自ら調査を行ったわけではないが、不明な点があまりにも多いため取り扱い中止の決定を下したとのこと。

10日時点では、Best BuyのWebサイト「kaspersky」の検索結果は0件であり、GoogleでBest BuyのWebサイトを検索した場合、検索結果に表示される製品ページは削除されているか、品切れとなっているようだ。

なお、Best Buyで購入したKaspersky製品がサブスクリプション期間内の場合は今後45日間無料で他社製品への交換を行うとStar Tribuneは述べているが、Best BuyのWebサイトにそのような告知は見当たらない。また、この件に関連するフォーラムでの質問に対しても、Best Buyからの回答はまだない。

13405304 story
インターネット

総務省、ネット上のIoT機器全調査を行うと発表 45

ストーリー by hylom
どんな結果になるのかは興味があるが 部門より

総務省がIoT機器に関する脆弱性調査等を実施するとのこと(総務省の発表朝日新聞)。

朝日新聞の記事によると、総務省は一般社団法人ICT-ISACや横浜国立大学と連携し、「国内で動作している全てのIoT機器に接続を試みる」という。問題が発見された場合は、所有者等に対し注意喚起を行うという。

13404658 story
マイクロソフト

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは 47

ストーリー by headless
仕様 部門より
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事TALOS-2017-0306The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。
13404458 story
テクノロジー

超音波でデジタルアシスタントデバイスを操作する「DolphinAttack」攻撃 26

ストーリー by headless
認識 部門より
20kHz以上の超音波を用い、人の耳に聞こえないボイスコマンドでデジタルアシスタントデバイスを操作して攻撃する研究の成果を中国・浙江大学の研究チームが発表した(論文: PDFThe Vergeの記事BetaNewsの記事The Registerの記事)。

オーディオ機能をサポートする多くのデバイスではLPFにより20kHz以上の周波数帯域がカットされることから、超音波での操作は困難と考えられていた。超音波をデバイスが受信できるとしても、実際の人の声と異なる信号をコマンドとして認識できるのか、ユーザーの声を識別するデバイスをアクティベートできるのかといった点も問題となる。

「DolphinAttack」と名付けられた攻撃では、周波数20kHz以上のキャリア信号をボイスコマンドの音声信号でAM変調した信号を用いる。この信号を超音波スピーカーから出力してデバイスのマイクに入力すると、アナログ回路の非直線性によりADCへ入力するまでに元の音声信号が復調されてしまうのだという。
13401242 story
セキュリティ

AT&TのISP向けモデムに深刻な脆弱性が発見される 15

ストーリー by hylom
大穴 部門より
taraiok曰く、

AT&TのISP向けに配布されているArris製のホームモデム、ルータなどで悪用可能な脆弱性が発見された。この脆弱性は情報セキュリティコンサルティング会社のNomotionが発見したものだという。公開された五つの欠陥のうち最も深刻なものは、NVG589とNVG599モデムとファームウェアバージョン9.2.2h0d83の組み合わせ(threatpostFierceTelecomSlashdot)。

発見された脆弱性を悪用すれば、リモートハッカーがSSH経由でデバイスに簡単にアクセスでき、無線LANのSSIDやパスワードの表示・変更、ネットワーク設定の変更、ファームウェアの再フラッシュ、暗号化されていないトラフィックに広告を注入することも可能だとしている。モデムメーカーであるARRISは現在、レポートの内容を検証しているとしている。AT&Tは米国内3位のISPで現在約1400万人の顧客を抱えている。

13401147 story
Android

Google、Android 8.0でLinuxカーネルバージョンの最低要件を設定 19

ストーリー by hylom
今までなかったのが不思議 部門より
headless曰く、

Android 8.0 Oreo(Android O)ではLinuxカーネルバージョンの最低要件が設けられる(Android Open Source ProjectXDA DevelopersBetaNews)。

これまでOEMは任意のバージョンのLinuxカーネルを使用できていたが、2017年に製品化されたSoCを使用するAndroid OデバイスはLinux 4.4以降、それ以外のSoCを使用する場合はLinux 3.18以降が必須となる。また、Android OではAndroid OSフレームワークとベンダー実装部分を分離してAndroid OSフレームワークの更新を容易にするTrebleが導入されており、Trebleを実装するために必要なカーネルの変更は、すべてのSoCで必要だ。なお、既存のAndroidデバイスをAndroid Oにアップデートする場合は、元のカーネルバージョンを使い続けることも可能となっている。

カーネルバージョンの最低要件チェックはVTSテストおよびOTAアップデート中に実行される。また、カーネルは.configサポートを有効にする必要もある。

13398069 story
医療

ペースメーカーの脆弱性を修正するファームウェア更新が提供される 65

ストーリー by headless
心臓 部門より
Abbott(St. Jude Medical)の植え込み型心臓ペースメーカーに外部からの不正アクセスが可能な脆弱性が発見されたとして、米食品医薬品局(FDA)がファームウェア更新のためのリコールを発表した(FDAの発表AbbottのプレスリリースThe Vergeの記事Consumeristの記事)。

この脆弱性を悪用すると、市販の機器を用いて患者のペースメーカーに不正アクセスが可能になる。これにより、バッテリー消費を増加させたり、不適切なペーシングを実行させたりといった攻撃が実行される可能性がある。

対象となるのは無線テレメトリー機能を搭載したSt. Jude Medicalブランドの植え込み型心臓ペースメーカーおよび心臓再同期療法ペースメーカー(CRT-P)で、米国では465,000台が使われているという。なお、植え込み型心臓除細動器(ICD)および心臓再同期療法ICD(CRT-D)は対象外となる。

ファームウェアの更新は医療機関で行う必要があり、所要時間は3分ほど。この間ペースメーカーはバックアップモードで動作(67BPM)し、生命維持機能は引き続き利用できる。更新が完了すると以前の設定で動作が再開される。更新が失敗する可能性は非常に低く、文鎮化の確率は0.003%とのことだ。
13398062 story
情報漏洩

WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 16

ストーリー by headless
簡易 部門より
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事V3の記事The Vergeの記事The Guardianの記事)。

ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。

この件について、ジュリアン・アサンジ氏WikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...