パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

13624232 story
iOS

Grayshift、iOS 12に搭載予定のUSB制限モードを既に突破か

ストーリー by headless
突破 部門より
AppleがiOS 12への搭載を計画しているUSB Restricted Modeについて、iPhoneアンロックツール GrayKeyを提供するGrayshiftが既に迂回方法を発見したのではないかとMotherboardが報じている(Motherboardの記事SlashGearの記事9to5Macの記事The Next Webの記事)。

USB Restricted ModeはiOSデバイスが最後にアンロックされてから一定時間が経過するとLightningポートの機能が充電のみに制限され、USBアクセサリーやPC/Macと通信するにはパスコードの入力が必要になるというもの。iOSベータにはたびたび実装されており、iOS 12ベータの実装では制限時間が1時間となっている。米捜査機関が利用するGrayshiftやCellebriteのiPhoneアンロックツールはLightningポート経由でiOSデバイスと通信する必要があり、実装されれば押収したiPhoneから情報を引き出せる可能性が大幅に低下する。

これまでUSB Restricted ModeがiOSの正式版に搭載されたことはないが、先日Appleが次の一般リリースで提供する計画を明らかにしたため捜査機関などの間で不安が広がっていた。Appleはユーザーの安全を第一に考えたもので、捜査機関の邪魔をする意図はないとも述べているが、ツールの利用が制限されることに違いはない。

これについて、Grayshiftとの面談を計画しているフォレンジック専門家がMotherboardにメールで伝えたところによれば、Grayshiftは同社の技術が長らく使用できるようあらゆる手を尽くしており、既にiOSベータのUSB Restricted Modeを突破したという。この話が事実かどうかは不明だが、メールではGrayshiftが自信満々のように見えるとも述べているそうだ。なお、GrayshiftはMotherboardのコメント要請を断ったとのことだ。
13623613 story
Chrome

Google、Chrome拡張のインラインインストール廃止へ 16

ストーリー by headless
廃止 部門より
Googleは12日、Chrome拡張のインラインインストール機能を廃止する計画を発表した(Chromium Blogの記事Neowinの記事The Vergeの記事Softpediaの記事)。

インラインインストールを利用すると、Chromeウェブストアでホストされている拡張機能を作者のWebサイトなどから直接インストール可能になる。以前は任意のWebサイトでホストする拡張機能をインストールできていたが、不正な拡張機能が問題になったことから Googleはインラインインストールへの移行を推奨。2014年5月にはChromeウェブストア以外でホストされる拡張機能のブロックを開始していた。

さらに2015年にはユーザーをだますような説明で誘導する拡張機能のインラインインストールを無効化しているが、その後も同様の手法が後を絶たなかったようだ。Googleでは望まない拡張機能に関する大量の苦情を受けており、大半を不正なインラインインストールが占めているという。一方、Chromeウェブストアからインストールされた拡張機能は苦情が大幅に少ないとのこと。

インラインインストール廃止は3段階で進められる。まず、6月12日以降に新規公開された拡張機能では既にインラインインストールが無効化されており、chrome.webstore.install()メソッドを呼び出そうとすると自動でChromeウェブストアにリダイレクトされるようになっている。9月12日以降は既存の拡張機能でもインラインインストールが無効となり、Chromeウェブストアへのリダイレクトが行われる。12月初めに安定版リリース予定のChrome 71では、インラインインストール用のAPIメソッドが削除されるとのことだ。

インラインインストールを利用している拡張機能開発者に対しては、Chrome 71安定版リリースより前にWebサイトのインストールボタンをChromeウェブストアへのリンクに変更するよう求めている。
13623346 story
セキュリティ

米朝首脳会談のプレスキットにUSB扇風機が含まれていたことから騒動に 31

ストーリー by hylom
定番手法ではある 部門より
headless曰く、

シンガポール・セントーサ島で開催された米朝首脳会談のプレスキットにUSB扇風機が入っていたことで、陰謀論が持ち上がる騒ぎになったそうだ(MashableBetaNews)。

プレスキットには資料のほかにドナルド・トランプ大統領とキム・ジョンウン委員長の顔が印刷された穴あきうちわや、同じく2人の顔がラベルに印刷されたペットボトル入りの水、セントーサ島のガイドブックに加え、USB扇風機が入っていたという(袋には「Mini USB Fan」と印刷されているが、別の写真ではLightning端子にも見える)。

しかし、USB扇風機は中がどうなっているのかわからないことから、マルウェア感染の可能性が指摘され、使わないよう呼びかけが行われる騒ぎとなった。確実なセキュリティリスクだとの指摘も出ているが、実際に中身が確認されたわけではないようで、単なる扇風機の可能性もある。

13621028 story
セキュリティ

クロスサイトスクリプティングを解説するマカフィーのブログ記事にツッコミが入る 57

ストーリー by hylom
生暖かく見守りつつ指摘しましょう 部門より

セキュリティベンダーMcAfee(マカフィー)の公式ブログ記事で、JavaScriptを利用しているサイトは減少傾向にあるといった記述があり話題となっている(はてなブックマーク)。

問題の記事は「情報漏えいにつながる脆弱性「クロスサイトスクリプティング」」というもの。現在では修正されているが、WebArchiveで確認すると以下のような記述があったことが確認できる。

スクリプトとはJavaScriptのことで、Webサイト上でさまざまな機能を使用できるため、多くのサイトに導入されていました。ただし、現在は脆弱性の多さから減少傾向にあります。

また、現在のバージョンでも次のような理解しにくい記述が残っている。

最近ではJavaの脆弱性が多く発見されており、深刻な影響を受けるケースもあるため、スクリプトを無効にするWebサイトも増えています。

13620239 story
セキュリティ

サイトにCoinhiveを設置していたサイト管理者、不正指令電磁的記録取得・保管罪で摘発される 221

ストーリー by hylom
裁判にして司法の場で争うべきでしょうね 部門より

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告しているITmedia)。

この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。

こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

13619349 story
プライバシ

To:欄を使ったプライバシポリシ変更通知メールの一斉送信でメールアドレス漏えい 40

ストーリー by hylom
原因としてはよくあるものなのだが 部門より

広告やスクリプトによるユーザー追跡をブロックするツールを提供しているGhosteryが、複数の顧客に送信するメールにおいて送信先メールアドレスをBcc:ではなくTo:で指定するというミスをしてしまったようだ。その結果、多数のメールアドレスが記載されたメールが顧客に届く事態となった(BleepingComputerScanNetSecurity)。

一括送信メールでBcc:ではなくTo:を利用してしまったためのトラブルはよく聞く話ではあるが、今回の件は送信されたメールが欧州の一般データ保護規則(GDPR)対応のための個人情報ポリシー変更通知メールであり、メール内には個人情報保護のための対応を済ませたなどと記載されていたことから話題となっている。

このメールはなんらかのバッチ処理で送信されたようで、各メールのTo:欄には500件のメールアドレスが入力されていたという。Ghosteryはこれに対し人的ミスだったとして謝罪した。

13619165 story
バグ

さまざまなソフトウェアでのアーカイブファイル展開処理に脆弱性、任意コードの実行を許す可能性 32

ストーリー by hylom
広範囲に影響 部門より
あるAnonymous Coward曰く、

イギリスのセキュリティベンダーSnykが、ZIPなどのアーカイブファイルの展開時における脆弱性について注意喚起を行っている(発表された情報JPCERT/CC窓の杜)。

この脆弱性は「Zip Slip」と名付けられており、アーカイブ内に格納されているファイルのパスを相対パスに設定することで、利用者の意図とは異なる場所にファイルを展開させるというもののようだ。アーカイブファイルを操作するツールの一部ではこういった相対パスで指定されたファイルを検証せずにその場所に展開するものがあり、こういったツールで問題が発生するという。また、こういった問題はZIP以外のファイル形式でも発生する可能性があるという。

すでに複数のベンダーに非公開で報告が行われているとのことで、その多くで対策が実施されているという。影響を受ける製品やそのバージョン、対策状況などは“GitHub”のプロジェクトページで公開されている。

この問題はプログラマ向け情報サイト「StackOverflow」などで公開されている脆弱性のあるサンプルコードがそのまま使われることで拡散したともされている。

13619138 story
中国

iPhoneにも「侵入」できる中国製スキャナー 12

ストーリー by hylom
どこまで「実用的」なのだろう 部門より
maia曰く、

北京での国際警察装備品展示会において、スマートフォンに侵入してデータを読み取る中国製の「スキャナー」が展示されていた。こうした機器は西側含めて珍しいものではないそうだが、このスキャナーはiOSに強いという(ニューズウィーク)。

一般にiPhoneは最も安全と言われ、イスラエルと米国の数社しか侵入できないと報じられているが、北京の展示会では複数の会社が、iOS 6からiOS 8.1まで、4ケタのパスワードを破ることができると主張していた(実演はしなかったそうだが)。iOS 10については研究中としている。

こうしたブラックテクノロジー(黒科技)に中国は熱心に取り組んでいるそうで、すでにTwitterやFacebookのアカウント情報の窃取が可能だという。こうしたハッキングの技術が中国の「民間」で競いあって開発され、それらが展示会において公開されている状況である。

13618132 story
MacOSX

Apple、絵文字の使用や暗号通貨採掘の規定などを明記したApp Store審査ガイドライン改定 8

ストーリー by headless
改定 部門より
Appleは4日、App Store審査ガイドラインを改定した。日本語版にはまだ反映されていないが、改定版ではプライバシー関連の項目が大幅に加筆されており、アプリ内での絵文字使用アプリのトライアル版提供、リモートアプリのミラーリング表示など、最近話題になった問題について明記されている(英語版ガイドラインMac Rumorsの記事[1][2]The Vergeの記事)。

プライバシーについては、ユーザーから収集したデータの不正使用を避けるための適切なセキュリティ基準を設けるよう求める項目(1.6)や、録音・録画・アクティビティ記録などを行う場合はユーザーの明確な合意を必要とし、記録中であることが見てわかるようにすることを求める項目(2.5.14)が新設された。また、データの収集及び保存(5.1.1)やデータの使用と共有(5.1.2)にも多くの制限が追加され、EUの一般データ保護規則(GDPR)に関する記述も追加されている。

絵文字の使用については、アプリやメタデータでAppleの絵文字を使用する場合にUnicodeで指定するよう求め、他のプラットフォームで使用したり、アプリのバイナリーに埋め込んだりすべきはでないとする項目(4.5.6)が新設された。アプリのトライアル版は、3.1.1(App内課金)で定期購読タイプ以外のアプリ、3.1.2(定期購読)で定期購読タイプのアプリについてそれぞれ提供可能との記述が追加されている。
13617373 story
プライバシ

iOSにおけるUSB接続制限機能、iOS 12でついに導入か 34

ストーリー by hylom
引き延ばしが続いていたやつ 部門より
あるAnonymous Coward曰く、

法執行機関などによる、所有者の許諾を得ないままiPhoneのロックを解除する行為については長らく議論になっていた。iPhoneのアンロックを解除する「GrayKey」などと呼ばれるデバイスも登場しており(過去記事)、米連邦捜査局(FBI)などはこういったデバイスを導入しているとも言われているが、iOS 12では新たなセキュリティ機能が導入され、こういったデバイスによるロック解除を行えなくなるという(MotherboardiPhone ManiaSlashdot)。

この機能はロックされてから一定時間が経過すると、Lightning端子からのiOSデバイスへのアクセスを完全に禁止するというもの。こういった機能は以前から導入が噂されていたが、実際には導入されていなかった。

この設定が有効になると、FBIなどの捜査機関は捜査対象の人物からロックされてから1時間以内にiPhoneを入手してGrayKeyなどの機器に接続しない限り、データにアクセスできなくなる。いっぽう、コンピュータにiPhoneを接続してバックアップする場合などもiPhoneのロックを解除する必要があるが、iPhoneの所有者であればロックを解除できるので、ユーザーにとって実質的なデメリットは無いと考えられる。

13616130 story
インターネット

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 62

ストーリー by hylom
スラドですらちゃんと買っているのに 部門より

無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweetShigeki Ohtsu氏のTweet)。

SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。

(以下、追記と訂正@6/8 0:55)セキュリティ研究家の高木浩光氏によると、「TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能はTLS(SSL)の機能ではない。)」とのこと(指摘Tweet)。

SSL/TLS証明書にはドメインの認証のみを行うDV証明書と運営者の実在性審査を行うOV証明書、厳格に運営者の審査を行うEV証明書があるが(解説記事)、高木氏によるとOV証明書は無意味とのことで、DV証明書を利用するのであれば無料の証明書でも十分だという。そのため、企業サイトにおけるLet's Encryptの証明書の利用も問題ないようだ。

13615278 story
セキュリティ

文字を特定のルールに従って変形させることで情報を埋め込む手法が開発される 14

ストーリー by hylom
既存手法があった 部門より

フォントを特定のルールにしたがって微妙に変形させることで、文章内にまったく別の情報を埋め込むという手法が開発された(CNET Japan)。

この手法は「FontCode」と呼ばれており、文章内のそれぞれ文字を埋め込むデータの値に応じて微妙に変形させることで値を埋め込むという。埋め込まれた情報は、ディスプレイに表示された、もしくは印刷された文字をカメラやスキャナなどで画像として取得し、元のフォントと比較して分析することで取り出せる。一般的に使われるさまざまな英文フォントで情報を埋め込めることを確認できたという。

なお、フォントの形を微妙に変化させて情報を埋め込む手法は2003年に日立も開発している

13614335 story
ビジネス

はてな、Let's Encryptへの継続的な寄付を開始 15

ストーリー by hylom
スポンサーにはならないの? 部門より

はてながブログサービス「はてなブログ」では、無料のSSL/TLS証明書発行サービス「Let's Encrypt」を使い、独自ドメインで運用されているブログについてもHTTPSへの対応を行なっている。そういった背景から、はてながLet's Encryptを運営するInternet Security Research Group(ISRG)への寄付を実施したとのこと(はてなの発表)。

同プロジェクトへの寄付はDonateページから行える。なお、同プロジェクトでは「スポンサー」枠もあるが、今のところそこにははてなの名は入っていない。ちなみに日本企業としてはさくらインターネット時雨堂が名を連ねている。

13612740 story
インターネット

CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 11

ストーリー by headless
攻撃 部門より
CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事Ars Technicaの記事SlashGearの記事)。

Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。

これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、iframe上のターゲットピクセルの色を識別できる。PoCではFacebookのソーシャルプラグインを埋め込んだ攻撃用ページから、Facebookユーザーの名前やプロフィール写真を読み取っている。ただし、1回のレンダリングでは処理時間の違いを測定できないため、多数のsaturationレイヤーを重ねている。また、別のブレンドモードを指定したレイヤーをiframeとsaturationレイヤーの間に入れることで、特定のカラーチャネルを抽出するなどの処理を事前に行っている。

この脆弱性はGoogle ChromeとMozilla Firefoxで確認され、昨年12月リリースのChrome 63と今年5月リリースのFirefox 60でぞれぞれ修正されている。脆弱性は昨年3月に別の発見者がChromiumメーリングリストで報告していたが、Mozillaには手違いで11月まで報告されていなかったため、修正が遅れたとのこと。なお、Safariは発見時点で既に対策済みだったようで、Microsoft Edge/Internet Explorerではmix-blend-mode自体が実装されていない。
13612433 story
法廷

米連邦地裁、米政府機関でのカスペルスキー製品使用禁止は違法だとする2件の訴訟を棄却 27

ストーリー by headless
棄却 部門より
米コロンビア地区連邦地裁は5月30日、米政府機関でKaspersky Lab製品の使用を禁じたのは違法だとして同社が米政府などを訴えていた2件の訴訟を棄却した(裁判所文書: PDFThe Registerの記事BetaNewsの記事)。

1件目の訴訟は2017年9月に米国土安全保障省(DHS)が出した指令「Binding Operational Directive 17-01」(BOD)が米行政手続法(APA)および、適正な法手続きを定めた合衆国憲法修正第5条に違反するとしてDHSを訴えたもの(BOD訴訟)。BODでは政府機関におけるKaspersky製品の使用中止・削除を命じている。2件目は2017年12月に成立した2018年度国防授権法(NDAA)で、政府機関におけるKaspersky製品の使用を禁じる条項が違憲な私権剥奪法にあたるとして米政府を訴えていたものだ(NDAA訴訟)。

2件の訴訟は独立したものだが、政府側はNDAA訴訟の棄却およびBOD訴訟の棄却または略式判決、Kaspersky側はBOD訴訟の略式判決をそれぞれ申立ている。これらの申立を含めて重複・関連する事項が多いことから、判事の意見書は2件をまとめたものになっている。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...