パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13813369 story
アメリカ合衆国

米国家安全保障局、WikiLeaksが存在を明らかにしたリバースエンジニアリングツールを公開へ 22

ストーリー by headless
開発 部門より
米国家安全保障局(NSA)のシニアアドバイザー、ロバート・ジョイス氏が3月のRSA Conference 2019で、リバースエンジニアリングツール「GHIDRA」のデモを行い、同時に一般提供も行うそうだ(RSA Conferenceのセッション情報BetaNewsの記事HackReadの記事)。

GHIDRAはWikiLeaksのVault 7プロジェクト第一弾として2017年3月に存在が明らかにされた米中央情報局(CIA)のハッキングツールの1本で、NSAが開発したものだ。WindowsやMac OS、Linuxを含むさまざまなOSに対応し、各種プロセッサーの命令セットをサポートするという。GHIDRAプラットフォームには、商用のハイエンドツールに期待されるすべての機能が含まれるとのこと。Vault 7で公開された情報によれば、実行にはJavaが必須となるようだ。
13812877 story
セキュリティ

脆弱性の買取会社が買い取り価格をアップ。セキュリティ技術が向上したため 3

ストーリー by hylom
一山目指せ 部門より
あるAnonymous Coward曰く、

脆弱性に関する情報やハッキングツールの売買を行っているZerodiumが、脆弱性の買い取り価格を引き上げた。背景には、モバイルデバイスのセキュリティが向上しており「ハック」が難しくなっていることがあるという(GIGAZINEMOTHERBOARDSlashdot)。

たとえばWhatsAppやiMessage、SMS/MMSなどのメッセージングアプリの脆弱性に対しては100万ドル(約1億900万円)を支払うという。これは以前の価格設定である50万ドルから倍増している。そのほか、iOSを遠隔からjailbreakさせる脆弱性については200万ドル、Chromeの脆弱性では50万ドルを支払うともされている。

13812655 story
英国

ロンドン・ガトウィック空港とヒースロー空港、ドローン対策システムを導入 14

ストーリー by hylom
新たなセキュリティ 部門より
headless曰く、

ロンドン・ガトウィック空港へ無許可侵入したドローンによりおよそ1,000便が欠航した事件を受け、ガトウィック空港とヒースロー空港はそれぞれ数百万ポンドをかけてドローン対策システムを導入したそうだ(The GuardianThe Verge)。

ガトウィック空港では12月19日に無許可で滑走路に侵入したドローンが確認され、現地時刻同日21時から21日6時まで1日半にわたって滑走路が閉鎖された。これに伴い、20日から英空軍が出動してドローン対策システムを配備したが、3日後に撤収したという。このドローン対策システムはドローンを検知して妨害電波を発するイスラエル製のDrone Domeとも報じられているが、BBC Newsによると機器はまだ届いておらず、ガトウィック空港では別のシステムを使用したとのこと。両空港が導入したドローン対策システムについても詳細は明らかにされていないが、ガトウィック空港では軍が配備したものと同レベルの保護を可能にする機器だと回答しており、ヒースロー空港では軍用グレードの機器だという報道を認めているそうだ。

本件について英サセックス警察は12月22日に2名の逮捕を発表したが、23日には容疑が晴れて釈放している。ガトウィック空港では目撃情報に5万ポンドの賞金を懸けており、有力な情報も多数寄せられているようだが、現在のところ新たな容疑者逮捕にはつながっていない。なお、英政府では警察によるドローン対策の執行力を強化する方針だという。空港周辺のドローン飛行禁止区域はおよそ5km拡大され、滑走路の端ではさらに拡大される。警察はドローンによる軽微な違反行為に違反切符を切れるようになり、操縦者が警官の指示に従わない場合は最高100ポンドの罰金が科せられる。また、内務省では空港や刑務所におけるドローン対策システムのテストや評価を開始しているとのことだ。

13811089 story
セキュリティ

一律に「脆弱性ではない」とは評価できないテキストインジェクション 41

ストーリー by hylom
人を狙う危険性 部門より

URLなどを操作することで、Webページ内に任意の文字列を挿入して表示させられる不具合は「テキストインジェクション」と呼ばれている。このテキストインジェクションは危険な脆弱性としては認識されないことが多く、脆弱性報奨金制度で認定されづらいという(これを指摘する記事)。

多くの場合、テキストインジェクションではコンピュータに不正な処理を実行させることはできない。そのため、脆弱性としては認められないケースが多いようだ。しかし、たとえば「○○に移転しました」のようなメッセージを表示させてユーザーに不正なサイトへのアクセスを誘導したり、脅迫メッセージを表示するといった悪用が可能だ。そのため、テキストインジェクションだからといって脆弱性ではないと決めつけるのではなく、十分な評価が必要だと指摘されている。

13809369 story
セキュリティ

USB Type-C認証プログラムが発足 34

ストーリー by hylom
対応機器が普及すれば良いけれど 部門より

USBインプリメンターズ・フォーラム(USB-IF)がUSB Type-C認証プログラムを立ち上げた(Engadget JapaneseプレスリリースForbes)。

このプログラムでは認定USB Type-C充電器/デバイス/ケーブル/電源を認証するための標準プロトコルが規定されており、認証システムを採用したUSB機器ではUSB Type-Cでの接続時にこのプロトコルを使って接続した機器を認証できるようになる。これにより、たとえば認証されていない充電器やケーブルに接続した場合には充電を行わない、といったことが可能になる。

13806789 story
テクノロジー

ミツロウ製のダミーで静脈認証を突破 16

ストーリー by hylom
簡単ではないのか 部門より
headless曰く、

Chaos Computer Club(CCC)のJan Krissler(starbug)氏とJulian Albrecht氏が12月27日、ミツロウ製のダミーで静脈認証を突破したことをCCCのイベントChaos Communication Congressで発表した(発表スライド: PDF動画HackReadMotherboard)。

starbug氏はiPhone 5sのTouchIDを発売直後に突破し、Galaxy S8の虹彩認証も突破したいるほか、ドイツ国防大臣の写真から指紋を複製したこともスラドで話題になった。今回の静脈認証突破では、手または指のダミーを手の甲側と手のひら側に分割してミツロウで作成し、レーザープリンターで印刷した静脈パターンをはさみ込んだものを使用する。静脈パターンの作成には赤外線フィルターを外したデジタル一眼レフカメラを用い、手のひらまたは指先の写真を撮影して画像調整したものを使用している。

これだけ書くと簡単そうだが、2人はさまざまなカメラを試し、2,500枚の写真を撮影したそうだ。写真は好条件で撮影しているため、通りすがりに撮影したような写真で静脈認証を突破するのは難しいとのこと。ダミーの素材についても、試行錯誤の末にミツロウにたどり着いたようだ。作業量としては1か月ぐらいでできる内容だが、余暇を利用して進めたため、完成までに半年かかったとのこと。

なお、ステージ上では手のひら静脈認証を何度試してもダミーが認証されず、照明を薄暗くしてもうまくいかなかった。そのため、机の下で試行してようやく認証されている。一方、指静脈認証は一発で成功しているが、残念なことに動画ではその場面が写っていない。

13805595 story
iOS

米国のApp Store、偽のAmazon Alexaセットアップアプリが一時チャート上位に 11

ストーリー by hylom
なぜ審査を通った 部門より
headless曰く、

「Setup for Amazon Alexa」というiOS向けの偽アプリが一時米国のApp Storeでチャート上位に入っていたようだ(9to5MacVentureBeat)。

アプリの説明にはデバイスを正しく設定する手順や重要なコマンドを教えると書かれている。しかし、起動するとユーザーのIPアドレスやデバイスのシリアルナンバー、「name」の入力を求めるだけで、Amazon Alexaのセットアップはできないという。その一方でポップアップ広告が繰り返し表示されるようになるとも報告されていた。

ホリデーシーズンでAlexaデバイスを新規に購入したり、プレゼントでもらったりしてセットアップに悩む人が多いとみられ、米国のiTunesでは一時「無料App」カテゴリーで60位、ユーティリティ部門で6位に入っていたとのこと。Internet Archiveには12月23日のスナップショットのみが保存されているが、この時点ではユーティリティ部門25位となっている。

アプリの開発元One World Softwareは他にも2本のアプリをApp Storeで公開(Internet Archiveのスナップショット)していたが、現在はSetup for Amazon Alexaを含めすべて削除されている。One World Softwareのプライバシーポリシーでは個人情報を入力しなければサービスを提供しないこと、ユーザーの位置情報も収集すること、収集した情報はマーケティング目的でサードパーティーと共有することなどが記載されている。

昨年はAppleの審査をくぐり抜けてApp Storeで公開された偽アプリがたびたび発見されている。9月にはMac App Storeで公開されていた「Adware Doctor:Anti Malware &Ad」が報告の1か月後に削除されており、先日はユーザーをだましてTouch IDによる支払いを実行させる複数のiOS向け偽フィットネスアプリが削除されている。

13804763 story
セキュリティ

PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 48

ストーリー by hylom
発生した不正利用の情報はないのか 部門より

先日、流出したクレジットカード番号がPayPay経由で使われる懸念という話題があった。キャッシュレス決済サービスPayPayではクレジットカード情報の登録時、セキュリティコードを何度間違えてもリトライできることが指摘されていたのだが、こうした批判を受けてPayPay側がクレジットカード登録時に「3Dセキュア」による認証を導入することを発表した(PayPayの発表)。

すでにクレジットカード情報の入力回数に制限を設ける対応は行なっているとのことだが、「クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件」と少なく、さらにPayPayでの利用があった9件についてはすべて本人による登録と利用だったという。そのため、3Dセキュアによる認証で本人確認を行うことにしたようだ。

また、もしクレジットカードの不正利用があった場合はPayPayがその全額を補償することも明らかにしている。

13803894 story
情報漏洩

情報漏洩で妥当と考える補償額、本人特定が難しい情報には寛容 45

ストーリー by hylom
とりあえずくれるだけ欲しいという感じ? 部門より

IPAが「2018年度情報セキュリティに対する意識調査」報告書を公開している。これによると、クレジットカードなどの個人情報漏洩に対する補償額として「妥当と考える」金額の最多は「50,001円以上」だった(IPAの発表)。

この設問は「あなたが利用しているサービスにおいて提供側の不適切な運用による情報漏えいが発生した場合、その補償として妥当と考える(お詫びとして納得できる)金額についてそれぞれあてはまるものを選択してください。」というもの。この中で、「クレジットカード情報」「パスポートの情報」「氏名と、住所や電話番号などの連絡先」「氏名と、生年月日や血液型などの個人に関する情報」については「50,0001円以上」が最多となった。一方で「0円(特に補償などは不要)」と答えた人も多い。

また、IDとパスワード、メールアドレス、「趣味や嗜好に関する情報」、「学歴または職歴」、「既往歴や健康診断結果などの情報」などについては「0円(特に補償などは不要)」と答えた人が多いという結果となっている。

13801598 story
情報漏洩

ZIPのパスワードを直後のメールで送る不思議 200

ストーリー by hylom
何週目だろう 部門より
maia曰く、

@ITの連載記事「こうしす!@IT支線」の「21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?」が、今更だが興味深い。

添付ファイルをパスワード付ZIPにして直後のメールでパスワードを別送する手順が、企業や政府等(市区レベルでも)に広くみられるようだ。セキュリティ的には意味がないと思われるが、それとも何か計り知れない事情があるのだろうか。パスワードはまったく別の手段・経路で送る、というのなら分かるが。

13800247 story
spam

金を払わなければ殺し屋を送る、と脅迫する詐欺メール 43

ストーリー by headless
詐欺 部門より
メール受信者を殺害するよう依頼されたが、金を払うなら見逃す、と脅迫する詐欺メールをBleeping Computerが入手し、全文を公開している(Bleeping Computerの記事HackReadの記事)。

下手な英文で書かれたメール本文は、差出人がターゲットを殺害したり、負傷させたりする仕事をダークウェブで請け負っており、今回のターゲットがメール受信者であるという説明から始まる。代金は4,000ドルだが支払いは仕事の後であり、しばしば殺し屋を消すことになるなど負担が大きいため、受信者が1,200ドルをビットコインで支払うなら殺し屋を送らず、依頼人に関する情報も提供すると述べている。

まだ実際にだまされた人はいないようで、記載されているビットコインアドレスに入金された形跡はないとのことだ。同様の詐欺メールはこれまでにも米国で出回っており、FBIが注意喚起していた。
13800231 story
犯罪

英警察、ロンドン・ガトウィック空港へのドローン無許可侵入容疑で2名を逮捕 41

ストーリー by headless
混乱 部門より
英サセックス警察は22日、ロンドン・ガトウィック空港にドローンが無許可で侵入した事件について、2名の逮捕を発表した(プレスリリースThe Registerの記事London Evening Standardの記事Express.co.ukの記事)。

逮捕されたのは空港に近いクローリーに住む47歳の男性と54歳の女性。男性はラジコン自動車や小型ドローンなどを趣味にしているという。しかし、男性の知人からは事件が発生した時刻に男性とお茶を飲んでいた(ドローンを操作していたはずはない)といった証言が相次いでいるようだ。

ガトウィック空港では19日、無許可のドローンが滑走路に侵入しているのが確認され、同日21時(GMT)に滑走路を閉鎖21日6時に再開されるまで、閉鎖は1日半近くにおよんだ。

これについて pongchang 曰く、

複数回の目撃情報がありクリスマスを数日後に控える中で数万人の乗客が足止めを余儀なくされている。英当局は、フェンスの周囲で猟銃を構えたり、近隣の屋上で監視をするなど、警察に加え軍隊も投入して操縦者の捜索を急いでいる。ガドウィック空港はハブ機能があるので英国のみならず欧州や世界各地にダイヤの乱れがある。乗客も離陸待機で数時間機内に閉じ込められた末、フライトがキャンセルになるなど混乱が続き、当然ながら預かり荷物の紛失などの混乱も重なっている(FlyTeamニュースの記事AFPBB Newsの記事)。

13799445 story
Windows

Microsoft、アプリケーションを安全に実行できるWindows Sandboxを発表 46

ストーリー by headless
安全 部門より
Microsoftは18日、信頼できない実行ファイルを安全に実行できるというWindows Sandboxを発表した(Windows Kernel Internalsの記事The Vergeの記事BetaNewsの記事Neowinの記事)。

Windows Sandboxは軽量のバーチャルマシンがベースになっており、ディスクイメージを動的に生成するため、専用のVHDをダウンロードする必要はない。起動すると仮想デスクトップ画面が表示され、ホストからコピーした実行ファイルをテストできる。テスト終了後にWindows Sandboxを閉じれば、インストール・実行したプログラムファイルおよび関連データはすべて削除される。

Windows Sandboxは19日にファーストリング向けの提供が始まったWindows 10 Insider Preview ビルド18305(19H1)のPro/Enterpriseエディションで利用可能となっている。システム要件としては2コア以上(4コア+HT推奨)のAMD64環境に4GB以上(8GB推奨)のRAM、1GB以上のディスク空き領域(SSD推奨)となっており、BIOSで仮想化機能を有効に設定しておく必要がある。
13797997 story
プライバシ

米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 9

ストーリー by hylom
日本もいずれそうなるのか 部門より
あるAnonymous Coward曰く、

以前、香港の人気歌手のコンサート会場に設置された顔認識カメラによって逃亡犯が相次いで逮捕されるという話があったが(過去記事)、米人気アーティスト、テイラー・スウィフトのコンサート会場でもセキュリティ目的のためにこのような顔認識カメラの設置が行われていたという(米Rolling Stone)。

2017年5月のマンチェスター・アリーナでの自爆テロ事件以降、テイラー・スウィフトのような大物アーティストが行う規模のライブイベントでは、セキュリティ対策が重要な課題になっているという。

顔認識カメラが設置されたのは5月18日にカリフォルニア州で開催されたコンサート。取得した顔画像は、テイラー・スウィフトの「数百人のストーカー」の情報と照合されていたという。

この顔認識システムを提供したのは米エンターテインメントシステム企業Oak View Groupで、こうしたイベントテロ対策のための専門部隊であるという。テイラー・スウィフトはテロ対策に積極な立場を取っているようで、今年6月に行われた公演でも昨年のマンチェスター・アリーナにおけるテロ事件の被害者に追悼の意を表している。一方で、無断で無差別に顔認証データを収集することについてはさまざまな意見があるようだ(ITmediaNMEJapanSlashdot)。

13798133 story
セキュリティ

ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話 96

ストーリー by hylom
ただの一要素ということで 部門より

ヨドバシカメラのネット通販サイト「ヨドバシ・ドット・コム」でクレジット決済をする場合、セキュリティコードを間違えても決済が通ってしまうという(ITmediaTogetterまとめ)。

ヨドバシカメラ側はこれに対し、「セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できる」という仕様だと説明している。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...