パスワードを忘れた? アカウント作成
13421200 story
Windows

特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」 33

ストーリー by headless
代理 部門より
攻撃用に細工したSMBサーバーを用い、Windowsのアンチウイルスプログラムによるマルウェア検出を避けるという攻撃手法「Illusion Gap」について、セキュリティ企業CyberArkが解説している(CyberArkのブログ記事Neowinの記事Bleeping Computerの記事The Registerの記事)。

アンチウイルスプログラムがインストールされたWindows環境でSMBサーバー上の実行ファイルを実行する場合、アンチウイルスプログラムによる安全確認後、Windowsローダーが実行ファイルを起動する。SMBサーバー側ではファイルのリクエストがアンチウイルスプログラムからのものか、Windowsローダーからのものかを識別できるため、前者では安全なファイルを返し、後者で悪意あるファイルを返すことでウイルススキャンをバイパスしてマルウェアを実行させることができるという。
13421189 story
MacOSX

Macに最新のアップデートを適用してもファームウェアは更新されないことがあるという調査結果 42

ストーリー by headless
確認 部門より
AppleはMacのOS/セキュリティアップデートにEFIファームウェアのアップデートを含めているが、最新のアップデートを適用していてもEFIが最新版になっていないことがあるという調査結果をDuo SecurityのDuo Labsが発表した(Duo Labsのブログ記事ホワイトペーパー: PDFMac Rumorsの記事Ars Technicaの記事)。

Duo LabsではOS X 10.10からmacOS 10.12.6までの各バージョンで、同梱されているEFIファームウェアと対象モデル、OSバージョン/ビルドのリストを作成。企業で使われている73,324台のMacを対象にOSバージョン/ビルドとファームウェアバージョンを調査している。ファームウェアの問題はMacに限らないが、MacではAppleがハードウェアからファームウェア、OSまでをコントロールしていることからMacエコシステムを調査対象にしたそうだ。

調査した73,324台中、OS X 10.10~macOS 10.12.6を実行していたのは65,853台であり、うち4.2%以上がOSバージョンから想定されるバージョンよりも古いEFIファームウェアを使用していたという。中でも古いEFIファームウェアの比率が最も高かったのはiMac16,2(Retina 4K、21.5-inch、Late 2015)の43%で、2016年モデルのMacBook Pro全機種(MacBookPro13,1~3)が35%~25%で続く。機種によってはOSバージョンにかかわらず1度もEFIファームウェアのアップデートが提供されていないものもあるとのこと。
13421185 story
インターネットエクスプローラ

Internet Explorerのアドレスバーに入力した内容をWebページが読み取れるバグ 30

ストーリー by headless
ミエテタセンイ 部門より
Internet Explorer(IE)でユーザーがアドレスバーに入力した文字列をWebページから読み取れるというバグが発見された(Broken Browserの記事Neowinの記事Ars Technicaの記事動画)。

このバグはobjectタグ内でスクリプトを実行する場合にドキュメントモードが「8」以前に設定されていると、最上位階層(window==top)のドキュメント内で実行していると認識されてしまうことによるものだ。そのため、metaタグで互換表示を指定し、objectタグで指定したWebドキュメント内でスクリプトを実行してlocation.hrefを読み取ると、アドレスバーで指定されているURLが返ってくる。

これだけでは攻撃者が取得できるのは自分のWebページのURLだが、window.onbeforeunloadイベントでobjectを注入すると遷移先のURLが取得できる。つまり、被害者が攻撃者のWebページを表示した状態でアドレスバーからWeb検索を実行すると、検索語句を含むサーチエンジンのURLを取得可能となる。IE 11の最新版に追加されている検索ボックスからの検索でも結果は同じだ。また、URLをアドレスボックスに直接入力した場合や、お気に入りの項目を開いた場合にも指定先のURLを取得できる。

PoCでは遷移先のURLを表示し、遷移を中断させるようになっている。ただし、そのまま遷移してしまうこともあるようだ。
13420837 story
インターネット

DNSSECにおけるルートゾーンKSKの更新処理、延期に 27

ストーリー by headless
延期 部門より
ICANNは9月27日、ルートゾーンDNSSECのKSK(鍵署名鍵)を更新するKSKロールオーバー計画で、10月11日に予定していた新KSKによるルートゾーン鍵セットの署名開始を延期すると発表した(ICANNの発表INTERNET Watchの記事JPRSの資料)。

これについて hylom 曰く、

最近の調査でキャッシュDNSサーバーの相当数がこれに対応できていないことが分かったためだという。少なくとも年内は新KSKによる署名は開始されず、新たな日程は2018年第1四半期を目処に調整中とのこと。

ICANNによれば、予定通りにKSKロールオーバーを実施した場合、世界のインターネットユーザーの4分の1に相当する7億5千万人が影響を受けるとのことだ。

13420626 story
Android

Google、Nexus 5X/6Pのセキュリティアップデート提供保証期限を2か月延長 10

ストーリー by headless
延長 部門より
GoogleがNexusのヘルプページを更新し、Nexus 5XおよびNexus 6Pのセキュリティアップデート提供保証期限を2か月延長した(NexusヘルプNeowinの記事Softpediaの記事)。

これまでNexus 5X/6Pのセキュリティアップデート提供保証期限は2018年9月となっていたが、2018年11月に変更されている。これにともない、サポートの提供保証期限も2018年11月に変更された。Androidバージョンアップデートの提供保証期限については変更されておらず、2017年9月のままになっている。
13420624 story
iPhone

米FCC委員長がiPhoneでのFMラジオ機能有効化を要請、Appleの回答は? 79

ストーリー by headless
抵抗 部門より
米連邦通信委員会(FCC)は9月28日、iPhoneでFMラジオ機能を有効化するようAppleに要請するFCC委員長Ajit Pai氏の声明を発表した(ニュースリリース: PDFThe Vergeの記事Ars Technicaの記事9to5Macの記事)。

米国で販売されるスマートフォンの多くはFMラジオ機能を含むチップを搭載しているが、FMラジオ機能が有効にされていないものが多かった。FCCでは災害により通信機能が途絶えた際の情報収集に役立つとして、FMラジオ機能の有効化をスマートフォンメーカーに要請している。この要請に大手メーカーの多くが応じているが、Appleは抵抗を続けているという。

Pai氏の声明はHarveyやIrma、Mariaといった強いハリケーンの被害が続いたことを念頭に置いたものだ。Pai氏はAppleに対して米国の人々の安全を第一に考え、正しいことをするよう求めている。ただし、FCCではFMラジオ機能の有効化をメーカーに強制しないというスタンスをとっており、今回も強い調子ではあるが、あくまで要請という形になっている。

これに対しAppleは、ユーザーの安全を非常に重視しており、現代的な安全対策を製品に組み込んでいると主張。緊急通報サービスに発信できることやMedical IDをロック画面で確認できること、政府の緊急警報サービスを利用できることを挙げている。また、iPhone 7とiPhone 8にはFMラジオチップが搭載されておらず、FMラジオ信号に対応したアンテナも搭載されていないため、FMラジオ受信機能を有効にすることはできないと述べているとのことだ。
13420083 story
ロボット

AI搭載の「ラブドール」がハッキングされ人間を襲う危険性が指摘される 63

ストーリー by hylom
SFが現実に 部門より
hylom 曰く、

以前、人工知能を搭載したラブドールが開発されているという話があったが、こうした人工知能搭載ラブドールがハッキングされ、ユーザーを襲う危険性が懸念されている(DailyStarカラパイア)。

サイバーセキュリティを専門とするオーストラリア・Deakin UniversityのNick Patterson教授によると、人間の労働者が人間のようなロボットに置き換えられる時代はすぐ来るという。それらには携帯電話やタブレット、PCのようにOSが搭載され、またこれらがインターネットに接続されることは容易に想定できる。そのときに問題となるのが、サイバー攻撃の標的となることだという。そして、「セックスロボット」の登場や、それがハッキングされる可能性も十分に考えられるという。

リアルな人間のような動きが可能なロボットがもし実現したとすると、それらは人間に危害を加える能力を十分に備えている。セックスロボットのユーザーは無防備な状態でロボットと対面する可能性が高いと思われ、そのような状態でロボットがハッカーの制御下になった場合、危険性は高い。

13419276 story
お金

仮想通貨採掘スクリプトでThe Pirate Bayが得る収入は? 22

ストーリー by hylom
アイデア的には面白いが 部門より
headless曰く、

The Pirate Bay(TPB)は先日、仮想通貨採掘スクリプトをWebページに埋め込む実験を実施しているが、継続的に行う場合の収入はどの程度になるか、TorrentFreakが試算している。

TPBが使用したのは仮想通貨「Monero(XMR)」を採掘するCoinhiveのスクリプトだ。TorrentFreakの記事作成時点で、支払われるMoneroは100万(1M)ハッシュ当たり0.00015XMRだったという。CoinhiveのWebサイトによれば、採掘スクリプトはネイティブの採掘プログラムの65%程度のパフォーマンスとのことで、デスクトップ版のCore i7で1秒当たり90ハッシュ(90 h/s)と説明されている。TorrentFreakがCoinhiveに問い合わせたところ、ミッドレンジのノートPCで30 h/sとの回答を得たそうだ。TPBの訪問件数についてはSimilarWebのデータを用い、月間約3億1,500万件(315M件)。訪問1回あたりの滞在時間は平均5分としている。

これらのデータから1か月に生成できるハッシュは、30ハッシュ×300秒×315M件で2,835,000Mハッシュとなる。ただし、TPBでは適切なCPU使用率を20~30%としており、30%の場合で850,500Mハッシュまで減少する。1Mハッシュ当たり0.00015XMRが支払われるとすれば、TPBの1か月の収入は約127.5XMR。試算時のレートではおよそ12,000ドルになったとのこと。Adblock Plusが説明するような方法で採掘スクリプトをブロックする人もいるため、実際の収入はさらに少なくなるとみられる。仮想通貨採掘スクリプトはWeb広告に代わる存在になりえるのだろうか。

13418281 story
セキュリティ

電力管理システムを悪用してARM系CPUのTrustZoneをハックする手法が報告される 47

ストーリー by hylom
これは対処しづらい 部門より
あるAnonymous Coward 曰く、

ARM系プロセッサに搭載されている電力管理機構「DVFS」の脆弱性を利用することで、CPUに備えられているセキュリティ機構を突破できるという報告が出ている(the morning paperUsenixSlashdot)。

DVFSは、システムの状況に応じて動作クロックを変えたり、回路ブロックごとに電源のON/OFFや電源電圧を動的に変動させることで消費電力を削減するというもの(マイナビニュース)。今回報告されている脆弱性は、プログラム側で特定のパターンの負荷を与えることでDVFSによる回路ブロックの電圧変動を発生させ、それによってプロセッサの回路に意図しない動作を起こさせるというもの。これによって別のスレッドの実行結果に干渉することができるという。

報告では、ARM系プロセッサに使われているセキュリティ機構の「TrustZone」(PC Watchの解説記事)で保護された領域から秘密鍵を抽出、Trustzoneに自己署名コードをロードして権限昇格ができるとしている。ARM Trustzoneだけでなく、Intel SGX(ソフトウェア保護拡張)でも同様の問題があるようだ。

13416740 story
セキュリティ

「CCleaner」に混入されたマルウェアは特定企業を狙った標的型攻撃だった 16

ストーリー by hylom
大規模に巻き込まれる 部門より
あるAnonymous Coward曰く、

先日、Avast SoftwareのWindows向けユーティリティソフト「CCleaner」にマルウェアが混入していたたことが発覚したが、これは特定の企業を狙った標的型攻撃だったことがマルウェアの解析結果から分かったという(ITmediaWIREDZDNetSlashdot)。

ターゲットとされていたのはCisco、Intel、Google、Microsoft、Akamai、Samsung、ソニー、VMware、HTC、Linksys、D-Linkなどで、これら企業のドメインがマルウェア制御用サーバー内のファイルに含まれていたという。実際、これらのうち8組織・20台のマシンが「第2段階」の攻撃を受けていたという。また、マルウェアに感染したマシンは環境に応じて異なる挙動を行うようになっていたようだ。

13415824 story
暗号

Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 24

ストーリー by headless
秘密 部門より
AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイートArs Technicaの記事The Registerの記事)。

PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。

なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開鍵のみが掲載されている。
13415478 story
Windows

ビル・ゲイツ、Ctrl+Alt+Deleteについて語る 110

ストーリー by headless
三本 部門より
ビル・ゲイツ氏がCtrl+Alt+Deleteについて、もしも過去に戻って小さな修正を行えるなら1キーで操作できるようにすると発言している(Bloombergの動画記事The Registerの記事Mashableの記事CNN Techの記事)。

この発言はBloomberg Global Business Forumのインタビューで飛び出したもの。インタビューはカーライル・グループ共同CEOのデビッド・ルーベンスタイン氏を聞き手に、ゲイツ氏のほかダンゴートグループCEOのアリコ・ダンゴート氏、ペプシコCEOのインドラ・ヌーイ氏、ソフトバンクグループ会長の孫正義氏が参加して行われた。

インタビューでは現在の地位や名誉、財産などを捨ててでも30~40年にわたる新たなイノベーションを再び行いたいかといった質問や、この10年間に目にした重要なイノベーションに関する質問などに続き、かつてWindows NTのログインダイアログを表示するのに使われていたキーコンビネーションとしてのCtrl+Alt+Deleteが話題に上った(該当部分は動画の8分15秒あたりから)。

なぜCtrl+Alt+Deleteを選んだのかというルーベンスタイン氏の質問に対し、ゲイツ氏はIBMのPCキーボードで確実に割り込みを発生させるにはその方法しかなかったと説明。開発に携わっていた人々は1つのキーで動作するようにすべきだったとし、現在は多くのマシンがそれをより明確な機能として備えているとも述べている。

さらにルーベンスタイン氏は、Ctrl+Alt+Deleteを選んだことを後悔しているかと尋ねる。これに対しゲイツ氏は、他のことに影響を与えず過去に戻って小さな変更ができるのであれば、1キーで操作できるようにするだろうと答えた。
13413667 story
iOS

Apple、App Storeのガイドラインを改定しiOS向けのウイルス対策ソフトを禁止 30

ストーリー by hylom
ウイルスの危険性がないとも言えないが対策もできないという 部門より
headless曰く、

AppleがApp Store審査ガイドラインを改訂し、実際にはアプリが提供しないサービスやコンテンツが含まれるかのように宣伝することを明確に禁じた(英語版ガイドラインHacking with SwiftMac Rumors9to5Mac)。

現在のところ日本語版のガイドラインには変更が反映されていないが、該当部分はアプリのメタデータに関連する2.3.1だ。具体例としては「iOSベースのウイルス/マルウェアスキャナー」が挙げられている。Appleは春からApp Storeでウイルス/マルウェアスキャンアプリの削除を開始しており、ガイドラインでも明確に禁じたことになる。

iOSアプリはサンドボックス内で動作するため、サードパーティーのiOSアプリが他のiOSアプリをスキャンすることは困難だが、3月に「VirusBarrier」を削除されたIntegoではiOSがウィルスに感染すると思われたくないとAppleが考えているとみているようだ。

また、不適切なコンテンツを規定する1.1.1で差別的な内容が禁じられたほか、攻撃のターゲットになるグループに出身国/民族が追加され、ターゲットグループへの侮辱や脅迫にあたるアプリも禁じられている。顔認識機能やARKit、ユーザー間の送金といった新機能を使用するアプリへの制限事項も追加されている(2.5.13、3.2.14.2.1、5.1.15.1.2)。

さらに、法的事項ではアプリが人身売買や子供からの搾取を促進するものと判明した場合にしかるべき当局に通報することが明記された。なお、5.2.5ではApple製品の名前を間違えないようにという記述が削除された。このほか、細かい文言の追加や変更も行われている。

13412694 story
ソフトウェア

Piriformが32ビット版CCleanerのマルウェア感染を発表、最新版への更新を呼び掛け 25

ストーリー by hylom
セキュリティ企業傘下のソフトでもやられるのか 部門より
headless曰く、

Piriformは18日、旧バージョンの32ビットWindows版CCleanerおよびCCleaner Cloudがマルウェアに感染していたことを明らかにした(PiriformのアナウンスTalos Intelligence Group BlogArs TechnicaBetaNews)。

マルウェアに感染していたのは8月15日に公開された32ビット版CCleaner v5.33.6162と、8月24日に公開された32ビット版CCleaner Cloud v.1.07.3191。CCleanerは9月12日、CCleaner Cloudは9月15日に感染コードを含まないバージョンが公開されている。

マルウェア感染バージョンでは米国に置かれたサードパーティーのサーバーにコンピューター名やIPアドレス、アプリケーション一覧などを送信することが確認されており、このサーバーは米捜査当局との協力により9月15日にシャットダウンされたという。

Piriformを7月に買収した親会社のAvastは、これらのソフトウェアがマルウェアに感染していると9月12日に結論付け、9月12~15日に非感染バージョンを公開するほか、ダウンロードサイトから感染バージョンを削除するなどの対応も行っている。感染バージョンを使用したユーザーは227万人と推計されており、32ビット版CCleanerのユーザーに対してはv5.34へのアップデートを呼び掛けている。CCleaner Cloudは自動更新でv1.07.3214に更新されているとのこと。

マルウェア感染についてAvastでは、洗練された方法が用いられたと述べている。CiscoのTalosチームでは感染バージョンがPiriformの有効なデジタル証明書で署名されていたことなどから、開発/ビルド環境の一部が感染していた可能性のほか、内部の犯行である可能性も指摘している。

13411208 story
アメリカ合衆国

キューバで発生した米大使館職員の健康被害、原因は音響兵器? 48

ストーリー by headless
攻撃 部門より
キューバで昨年末から今年春にかけて米国の大使館職員を狙い、健康被害を与える謎の「攻撃」が行われていたそうだ(米国務省報道官ブリーフィング — 9月14日APの記事The Vergeの記事Ars Technicaの記事)。

米国務省が最初にこの問題を認めたのは8月上旬8月下旬の段階で米職員の被害者は少なくとも16人と説明していた。しかし、14日のブリーフィングでは21人に増加している。

米大使館書記官が「Health Attack」と呼ぶ攻撃や被害の状況について国務省は公式な見解を示していないが、耳鳴りや難聴から軽い脳外傷、神経中枢の傷害まで幅広い被害が出ていると報じられている。APの記事によれば、室内のきわめて狭い範囲で大音量の騒音を聞いた被害者や、振動を感じた被害者もいるとのこと。

被害は職員の自宅のほか、少なくとも1件はホテルで発生しているという。カナダ大使館職員の家族にも被害者が出ているそうだ。音響兵器のようなものが使われたとも推測されるが、装置は大掛かりで隠すのは困難だ。APの記事では超強力な超音波発生装置を並べたプールに頭を突っ込みでもしない限り、脳が損傷を受けることはないとする音響心理学専門家の意見も紹介している。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...