パスワードを忘れた? アカウント作成
13660714 story
プライバシ

メールアドレスを無断使用したらしい他人の個人情報が送られてくること、ある? 150

ストーリー by headless
無断 部門より
あるAnonymous Coward のタレコミより。

このタレコミ人は日本人の姓名を英数字7文字以下で表現したGmailアドレスを持っているが、他人が企業のWebサービス登録時にこのGmailアドレスを使用しているらしく、他人の個人情報(住所・氏名・年齢・携帯電話番号など)が記載された通知メールが送られてくるようになったという。タレコミ人はこのGmailアドレスを15年ほど前に確保しただけで使っていなかったとのことだが、メールの受信だけは実行しており、こういった通知メールには自分ではないという返信までしているそうだ。

これについてタレコミ人は以下のような聞くに聞けない疑問をスラドの皆さんに聞きたいとのこと。
  1. 適当な電子メールアドレスを入力することで個人情報が他人に送信される可能性を気にしないのか。個人情報が送られてくるのはすべて30歳以下だが、世代による違いなのか
  2. 企業は入力された電子メールアドレスが有効であることを確認しないまま、いきなり個人情報を記載して送信することに問題を感じないのか
  3. 日本人の名前を含む短いGmailアドレスを取得した人は同様の経験をしているか
  4. そもそも送られてくるメール自体が偽物なのか(タレコミ人はWebサイトの存在や電子メールアドレスの信頼性は一応確認しているという)
13658518 story
セキュリティ

Bluetoothの実装に脆弱性、AppleやIntelの製品に影響 1

ストーリー by hylom
またか 部門より
あるAnonymous Coward曰く、

一部のBluetoothデバイスで、通信の暗号化に使われている「楕円曲線ディフィー・ヘルマン(ECDH)鍵交換」の実装に不備があることが明らかになった。これを悪用することで第三者が暗号鍵を入手したり、通信内容の傍受、改ざんなどを行える可能性があるという(マイナビニュースITmedia)。

影響を受ける可能性がある製品のベンダーとしてはAndroid Open Source ProjectやApple、Broadcom、Google、Intel、Qualcommが挙げられている。Microsoftや製品については影響なしとなっている。なお、Appleは2018年7月9日にリリースした「macOS High Sierra 10.13.6」でこの問題に対処済みとのこと。

13657458 story
携帯電話

他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 13

ストーリー by hylom
そんなことができるのか 部門より

米国でソーシャルエンジニアリング的な手口を使って他人名義のSIMカードを取得する事件が増えているという。昨今ではスマートフォンを使った2要素認証などを使うサービスも増えているが、この手口を使うことでこういった認証も突破できてしまうという(GIGAZINEMOTHERBOARD)。

手口としては、ターゲットの個人情報を収集した上で、携帯電話事業者のサポートに「SIMカードを紛失した」として連絡し、攻撃者が所有する別のSIMカードに電話番号などを移転する手続きを依頼するというもの。日本ではSIMカードを紛失した場合には再発行が行われることが一般的だが、海外では別のSIMカードに電話番号などの登録情報を移行させることが可能で、これを悪用したもののようだ。

こういった攻撃は主にSNSアカウントの乗っ取ったうえで転売し利益を得ることを目的に行われているそうだ。

13657343 story
犯罪

郵便はがきを使った架空請求詐欺が急増 19

ストーリー by hylom
ご注意を 部門より

昨今では物理的な郵便はがきを使った架空請求詐欺が増えているそうだ(ITmedia)。

以前からこういった架空請求はあったが、2017年度に消費生活センターに寄せられた「ハガキによる架空請求」に関する相談は前年度比で約50倍、10万件にも上ったという。

電子メールやSMSなどによる詐欺も前年度比約2倍の20万件あり、詐欺自体が増えていることも背景にありそうだが、最近は詐欺・迷惑メールのフィルタリング技術の発展やこうした電子的詐欺手法が周知されていることもあって郵便はがきという手法に回帰しているのではと分析されている。

被害者は50代の専業主婦の女性などが多く、今までとは違う手法であるため信じてしまう人が多いようだ。

13656054 story
iPhone

iPhoneがインドの携帯電話ネットワークから切断される可能性 25

ストーリー by hylom
どうなる 部門より
headless曰く、

インド電気通信規制庁(TRAI)が先日発表した新規制では、Appleが対応しなければiPhoneがインドの携帯電話ネットワークに接続できなくなる可能性がある(India TodayThe Economic TimesNeowinVentureBeat)。

昨年TRAIは音声通話やSMSによるスパムへの対策として、スパムのブロックや通報ができるモバイルアプリ「Do Not Disturb(DND)」を開発した。DNDはGoogle Playでは公開されたが、Appleはプライバシーポリシーに違反するとしてApp Storeでの公開を拒否。TRAIとの度重なる話し合いにもかかわらず、現在も公開されていない。

TRAIの新規制では、当局または当局の承認により作成されたモバイルアプリを苦情受付などの手段の一つとして顧客に提供する必要がある。キャリアに対しては、こういったアプリの実行が許可されないスマートフォンデバイスを6か月以内にネットワークから切断するよう求めている。

そのため、アプリをインストールするかどうかはユーザーの自由だが、AppleがApp StoreでのDNDアプリ公開を認めなければ規定に抵触することになる。インド政府は反スパムの取り組みにAppleが協力しなければ法的手段をとるとも述べており、この規定はAppleを念頭に置いたものとみられる。一方、アプリの実行ができないことを理由にネットワークからの切断を強制するのは越権行為との見方も出ているようだ。

13653881 story
通信

米空港パブリックWi-Fi危険度ランキング、1位はサンディエゴ 24

ストーリー by headless
危険 部門より
クラウドセキュリティサービスを提供するCoronetの調査によると、米国の空港でパブリックWi-Fiの危険度が最も高いのはサンディエゴ国際空港だったそうだ(プレスリリースHackReadの記事リポート: PDF)。

調査では最も旅客数の多い45空港を利用した個人ユーザーおよび企業ユーザー25万人以上から5か月にわたってデータを収集・分析。危険度は空港を利用するユーザーのデバイスにおける脆弱性と、偽ホットスポットなどに接続する危険性について各5点満点、計10点満点(高い方が危険)で評価している。

Wi-Fiの利用が危険な空港トップ10とスコアは以下の通り。いずれもデバイスに適切な保護を行っていなければWi-Fiの利用を避けるべき、危険度スコア5.9以上となっている。
空港 スコア
サンディエゴ国際空港(SAN) 10
サンタアナ・ジョンウェイン空港(SNA) 8.7
ヒューストン・ホビー空港(HOU) 7.5
フォートマイヤーズ・サウスウェストフロリダ国際空港(RSW) 7.1
ニューアーク・リバティー国際空港(EWR) 7.1
ダラス・ラブフィールド空港(DAL) 6.8
フェニックス・スカイハーバー国際空港(PHX) 6.5
シャーロット・ダグラス国際空港(CLT) 6.4
デトロイト・メトロ空港(DTW) 6.4
ボストン・ローガン国際空港(BOS) 6.4
5位のリバティー国際空港では中リスクのネットワークに接続する可能性が1%、高リスクのネットワークに接続する可能性が0.6%なのに対し、一位のサンディエゴ国際空港ではそれぞれ30%、11%に跳ね上がる。サンディエゴは危険度スコア満点であり、正規のWi-Fiアクセスポイントと同名の偽(Evil Twin)アクセスポイント「#SANfreewifi」がARPポイズニング攻撃を実行しているとのこと。
13652978 story
マイクロソフト

Microsoft、ユーザー認証サービスの脆弱性に関する報奨金プログラムを開始 16

ストーリー by headless
開始 部門より
Microsoftは17日、ユーザー認証サービスの脆弱性に関する報奨金プログラムMicrosoft Identity Bounty Programを発表した(MSRCの記事Neowinの記事On MSFTの記事Softpediaの記事)。

報奨金の対象となるのはMicrosoftアカウントまたはAzure Active Directoryアカウントの乗っ取りが可能になる未発見・未報告の脆弱性や、OpenID標準関連の未発見・未報告の脆弱性など。報奨金額は500ドル~100,000ドルとなっている。

一方、セキュリティへの影響が明確でないものや、ユーザーによるサービスの構成ミスが原因となっているもの、パスワードポリシー・アカウントポリシーに関するものなどは対象外となる。調査にあたっては、Microsoft従業員へのソーシャルエンジニアリング攻撃、DoSテスト、大量のトラフィックを生む自動化テスト、自分のアカウント以外への不正アクセスが禁じられる。
13652283 story
セキュリティ

新たなSNSアカウント特定手法「Silhouette」 27

ストーリー by hylom
現実的にどこまで問題となるか 部門より
take-ash曰く、

NTTは新たなSNSアカウント特定手法「Silhouette」を発見し、そのリスクを評価する手法を開発したと発表した(ニュースリリース技術解説NHKニュース)。

あるアカウントが別のアカウントをブロックしているか/していないかでSNSサイトからの応答時間が異なることを利用する。攻撃者は予めSNSサイトに複数のアカウント特定補助用アカウントを作成しておく。被攻撃者がアカウント特定スクリプトが仕込まれたサイトを訪問すると、SNSサイトのアカウント特定補助用アカウント群への応答時間が測定される。被攻撃者のブロック状況によって応答時間のパターンが異なることから攻撃者が被攻撃者のアカウントを特定可能である。

ユーザ側の対策としてはこまめにログアウトすることを推奨している。

13652008 story
セキュリティ

大阪大学の不正アクセス事件、その後 42

ストーリー by reo
絵に描いた餅 部門より

昨年末に 8 万件余の個人情報漏洩インシデントを発生させた大阪大学だが (2017 年 12 月 14 日のスラド記事参照)、その顛末と後始末 (の一部?) と大阪大学が目指すインシデント対応チーム (Computer Security Incident Response Team: CSIRT) の在り方に関する記事が掲載されている (ITmedia 記事前編, 後編) 。

記事によると「CSIRT は疎まれてしまっては機能しない」「信頼関係重要」「構成員の利益を損ねるようなゴリ押しをしない」「一人 CSIRT よくない」「情報リテラシーが高い人に合わせるな」といった文言が並ぶが、理想論に過ぎず脳内にお花畑が咲いているのではないか、迅速な対応が困難なのではという感がある。

スラドをお読みの諸氏におかれましては今まさに CSIRT として働いている・働かされている方もおられるだろうし、インシデント対応に駆り出された経験がある方も少なくないと思う。やらかした組織の後始末としてこの対応はどう感じられるだろうか。

13650035 story
ビジネス

Apple、1Passwordを導入 19

ストーリー by hylom
下手な社員教育よりもセキュリティの向上が期待できそう 部門より
あるAnonymous Coward曰く、

Appleが同社の全従業員にパスワード管理アプリ「1Password」を提供するという(ITmedia)。

1Passwordには企業向けの料金プランがあり、これをAppleが導入した模様。1Passwordはクロスプラットフォームで利用できるほか、管理者が各メンバーの利用状況を管理できる機能もある。下手に個人に管理を任せるよりはこういったサービスを導入した方が企業用途でもセキュアになると思うが、皆様のお勤めの企業ではこういったサービスを利用しているだろうか。

13648968 story
セキュリティ

新たな「Spectre」関連の脆弱性が発見される 35

ストーリー by hylom
まだ終わらなかった 部門より
あるAnonymous Coward曰く、

CPUの投機的実行機能が原因の脆弱性「Spectre」の新たな亜種が報告された。「Spectre 1.1」「Spectre 1.2」などと名付けられており、IntelのほかAMDやARM系のプロセッサも影響を受けるという(Bleeping CcomputerITmediaSlashdot)。

Spectre 1.1では、本来プロセスがアクセスできない領域に格納されているデータを読み取れる可能性があり、現時点ではこれを使った攻撃を効率的な手段はないという。また、Spectre 1.2ではCPUメモリ上にあるリードオンリーに設定されたデータを書き換えることができるという。

13648242 story
軍事

フランス軍のサイバー防衛部隊、革命記念日のパレードに初参加 57

ストーリー by headless
行進 部門より
7月14日、フランス革命記念日(パリ祭)のパレードにフランス軍のサイバー防衛部隊(COMCYBER)が初めて参加したそうだ(La Revue du Digitalの記事LCIの記事RTLの記事The Vergeの記事)。

2017年に発足したCOMCYBERは情報システムの防衛、サイバー攻撃の無力化、サイバー空間での作戦行動などを担う。3,400人以上の隊員のうち、パリのシャンゼリゼ通りで行われたパレードに参加したのは56人。中には一度も行進をしたことがない隊員もいたため、2か月以上にわたる行進の訓練が行われたとのことだ。
13648076 story
iOS

偽のモバイルデバイス管理サーバーからiPhoneに不正アプリを送り込む攻撃 17

ストーリー by headless
偽物 部門より
偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事The Registerの記事Ars Technicaの記事)。

この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。

改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。
13647502 story
Chrome

デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 19

ストーリー by headless
対策 部門より
デスクトップ版のChrome 67ではSpectre/Meltdownなどの脆弱性を狙う投機的実行のサイドチャネル攻撃を緩和するため、すべてのサイトを別プロセスで読み込む「Site Isolation」が有効になっているそうだ(Google Security Blogの記事Ars Technicaの記事The Registerの記事BetaNewsの記事)。

Chromeでは以前からタブごとに別のプロセスを使用しているが、タブ内のiframeやポップアップで別のサイトが読み込まれる場合はメインタブと同一プロセスが使われていたという。通常は同一オリジンポリシーによりクロスサイトiframeやポップアップの内容にメインドキュメントからアクセスすることはできないが、何らかの脆弱性を狙われた場合にはSpectreに限らず、Site Isolationが有効な緩和策となる。また、Webページがサブリソースとして読み込もうとするクロスサイトのHTML/XML/JSONレスポンスをブロックするCross-Origin Read Blocking(CORB)も含まれる。なお、同一ドメインのサブドメインについては同一サイト扱いになるとのこと。

Site IsolationはChrome 63 で実験的な企業向けのポリシーとして実装されており、多くの問題が解決されたことから、デスクトップ版Chromeの全ユーザーで有効にできるレベルに達したという。ただし、現時点で有効になっているのは99%のユーザーで、1%はパフォーマンス改善などのため無効のままにしているそうだ。プロセス増加により、メモリー使用量は10~13%程度の増加が見込まれる。

Site Isolationの動作はhttp://csreis.github.io/tests/cross-site-iframe.htmlを開いて「Go cross-site (complex page)」をクリックし、Chromeのメニューから「その他のツール→タスクマネージャ」を選んでタスクマネージャを起動すれば確かめられる。有効になっていればiframeに読み込まれたサイトが「サブフレーム」として表示されるはずだ。
13646416 story
セキュリティ

ダークウェブで空港システムのアクセス情報が10ドルで販売される 9

ストーリー by hylom
なんでもそろうダークウェブ 部門より
あるAnonymous Coward曰く、

空港のシステムに接続するための情報がダークウェブ上で10ドルで販売されていたとMcAfeeが伝えている

発見されたのは、ネットワーク経由でコンピュータのデスクトップに接続するプロトコル「RDP(Remote Desktop Protocol)」の接続情報。これを利用することで、空港システム内のコンピュータを外部から操作できるという。そのほか、ビルオートメーションシステムや監視カメラ、交通管制システムなどにアクセスするための情報も販売されていたそうだ(Engadget JapaneseAXIOSSlashdot)。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...