パスワードを忘れた? アカウント作成
13829039 story
Firefox

Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止 73

ストーリー by headless
証明 部門より
先日リリースされたFirefox 65でセキュリティソフトウェアによる問題が発生し、MozillaがWindows版の自動更新による提供を一時中止したそうだ(Bug 1523701Softpediaの記事Techdowsの記事)。

この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。

Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。
13828322 story
インターネット

IPA、「情報セキュリティ10大脅威 2019」を発表 17

ストーリー by hylom
金銭的被害が発生するものばかり 部門より

IPAが「情報セキュリティ10大脅威2019」を発表した

情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーによる「10大脅威選考会」が選んだもので、まず個人に対する10大脅威については以下のようになっている(括弧内は昨年順位)。

  1. クレジットカード情報の不正利用(1位)
  2. フィッシングによる個人情報等の詐取(1位)
  3. 不正アプリによるスマートフォン利用者の被害(4位)
  4. メールやSNSを使った脅迫・詐欺の手口による金銭要求
  5. ネット上の誹謗・中傷・デマ(3位)
  6. 偽警告によるインターネット詐欺(10位)
  7. インターネットバンキングの不正利用(1位)
  8. インターネットサービスへの不正ログイン(5位)
  9. ランサムウェアによる被害(2位)
  10. IoT機器の不適切な管理(9位)

なお、昨年の1位は「インターネットバンキングやクレジットカード情報等の不正利用」だったが、これは今年から「インターネットバンキングの不正利用」「クレジットカード情報の不正利用」「仮想通貨交換所を狙った攻撃」「仮想通貨採掘に加担させる手口」「フィッシングによる個人情報等の詐取」に細分化されている。また、組織に対する10大脅威は以下の通り。

  1. 標的型攻撃による被害(1位)
  2. ビジネスメール詐欺による被害(3位)
  3. ランサムウェアによる被害(2位)
  4. サプライチェーンの弱点を悪用した攻撃の高まり
  5. 内部不正による情報漏えい(8位)
  6. サービス妨害攻撃によるサービスの停止(9位)
  7. インターネットサービスからの個人情報の窃取(6位)
  8. IoT機器の脆弱性の顕在化(7位)
  9. 脆弱性対策情報の公開に伴う悪用増加(4位)
  10. 不注意による情報漏えい(12位)

今年新たにランクインしたのは、個人では「メールやSNSを使った脅迫・詐欺の手口による金銭要求」、組織では「サプライチェーンの弱点を悪用した攻撃の高まり」となっている。

13827760 story
セキュリティ

匿名で質問を募集できるサービス「Peing」でアクセストークンを第三者が閲覧できる問題が発覚 44

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward曰く、

匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された(ITmedia)。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。

同サービスでは、以前より脆弱性問題が指摘されていたという。

なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表しているITmedia)。

13826871 story
インターネット

Anonymous、ロシアの政治家などがやり取りしたメッセージなどのデータを公開 27

ストーリー by hylom
おそロシア 部門より

ハッカー集団Anonymous(アノニマス)が、ロシアの政治家やジャーナリスト、財閥、宗教的指導者およびウクライナの愛国者/テロリストがやり取りしたメッセージやファイルを公開したとの声明を出している(AnonymousのTweetNew York Times)。このデータはInternet Archiveのミラーサイトからダウンロードできる状態になっていたようだが、現時点ではアクセスできないようだ。

これらのデータの合計サイズは108GBとのことで、「The Dark Side of the Kremlin」と名付けられている。

13826845 story
IT

「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 93

ストーリー by hylom
2次被害が予想されます 部門より

25日、ファイルアップローダサービス「宅ふぁいる便」でユーザー情報が漏洩していたことが発覚したが(過去記事)、漏洩した情報には「暗号化されていない」パスワードが含まれていたという(宅ふぁいる便による「お知らせ」)。

これによると、「流出したログインパスワードは、暗号化されておりませんでした」とのこと。なお、1月29日17時時点で復旧の目処は立っておらず、また復旧するまで登録しているアドレス帳の内容や退会手続き、領収書の発行などが行えない状況だという。

FNN PRIMEの記事によると、同サービスは開始当初からパスワードを暗号化していなかったとのこと。この仕様が問題だという認識はあったようだが、具体的な対応はまだ行われていなかったという。また、アップロードされたファイルについては漏洩は確認されていないようだ。

13826761 story
Java

1月末でOracle Java SE8の無償アップデートが終了 29

ストーリー by hylom
ご対応を 部門より

2019年1月末で、商用ユーザー向けのJava SE 8の公式アップデートが終了する(Oracle Java SE サポート・ロードマップ)。

なお、有償のPremier SupportおよびExtended Supportではアップデートがそれぞれ2022年3月、2025年3月まで提供される(過去記事)。また、個人ユーザー向けには2020年12月末まで公式アップデートおよび自動更新が提供される。

13826607 story
セキュリティ

大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる 20

ストーリー by hylom
権限分離してないのか 部門より

大塚商会が提供しているホスティングサービス「アルファメール」および「アルファメールダイレクト」が1月19日に不正アクセスを受け、不正にファイルが設置されるという事案が発生した(piyologINTERNET Watch)。20日の時点で不正に設置されたファイルの削除などの措置が取られているという。

大塚商会の発表によると、利用者が設置していたWordPressの脆弱性を狙った攻撃が行われ、その結果他の利用者の領域にも不正にファイルが設置されたという。また、この攻撃を行なったと主張する者がPastebinに攻撃を行なったWebサイトのリストを掲載していたという。

13825925 story
インターネット

第三者向けにJavaScriptコードを提供していたドメインが乗っ取られ悪用される事例 35

ストーリー by hylom
ありそう 部門より

有効期限が過ぎたまま放置されたドメインが第三者に乗っ取られることはよくあるが、かつてJavaScriptコードを第三者向けに配信していたドメインが乗っ取られ、悪意のあるコードが配信されるというケースがあるようだ(tike blog)。

画像やコンテンツなどの場合、意図したものではないものに置き換えられていた場合は閲覧者が比較的容易に判別できるが、JavaScriptコードについては注意してチェックしない限り気付きにくいという問題があるという。先のブログでは、放置されたドメインを大量に取得し、これとCDNを組み合わせて情報を送信させるような例が紹介されている。

13825020 story
情報漏洩

60万サイトで使われるWordpress多言語プラグインWPML、サイトがハッキングされ情報流出 3

ストーリー by hylom
退職者のアカウントはちゃんと削除しましょう 部門より

サイトを多言語対応させるためのWordPress向けプラグイン「The WordPress Multilingual Plugin(WPML)」の開発チームで働いていた元従業員がWPMLのWebサイトを乗っ取り、その顧客に修正されていないセキュリティホールの存在を知らせるメールを大量送信したそうだ(ZDNetwelivesecurity)。

このメールでは、プラグインを利用することで脆弱性が生じる可能性があるということを伝えていたという。WPMLの開発者によると、WPMLのサイトに元従業員によってバックドアが仕掛けられており、これが悪用されたという。

また、これに関連して顧客の氏名やメールアドレス、さらにWPMLのアカウントが流出した可能性もあるとし、顧客に対してはパスワード変更などを行うことを推奨している。

13824288 story
アメリカ合衆国

ニューアーク国際空港で遅延を発生させた上空でのドローン目撃情報、実際にはドローンではなかった可能性も 36

ストーリー by headless
目撃 部門より
ニューアーク・リバティー国際空港で22日、上空からのドローン目撃情報による遅延が発生したそうだ(ABC Newsの記事The Vergeの記事SlashGearの記事CNNの記事)。

目撃情報は2件。いずれもニューアークへ向かう旅客機からの報告で、24kmほど離れたところにある同じニュージャージー州内のテターボロ空港上空約3,500フィートで目撃されたという。機長の1人は最終着陸態勢中にドローンのようなものが右翼の30フィート以内まで接近したと述べているそうだ。これを受けて連邦航空局ではニューアークへの到着便の受け入れを一時停止した。その後さらなる目撃情報がなかったため短時間で再開されたものの、ニューアークへ向かう一部の便は出発地で一時待機することになったとのこと。

しかし、FAAでは目撃された物体がドローンかどうか確認できていないという。また、DJIのBrendan Schulman氏は風船か何かをドローンと見間違えたのではないかとの見方を示しているそうだ。ドローンは高度3,500フィートで目撃されたが、FAAでは高度400フィートを超えるドローンの飛行を許可していない。個別に許可を得れば高度400フィート以上での飛行も可能とはいえ、その可能性は非常に低いとSchulman氏は語る。ロンドン・ガトウィック空港やヒースロー空港でのドローン侵入騒ぎ以降、人々は空を飛ぶ物体をドローンと判断してしまいがちになっているとのことだ(Chicago Tribuneの記事)。
13823696 story
情報漏洩

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 137

ストーリー by headless
漏洩 部門より
オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせYOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。
13823282 story
Google

Google、フィッシングメールの見分け方を学習できるクイズを公開 21

ストーリー by hylom
フィッシングメールとしてクイズが送られてくるわけではない 部門より
headless曰く、

Googleは22日、クイズ形式でフィッシングメールの見分け方を学習できる「Phishing Quiz」を公開した(MediumThe VergeSlashGearMashable)。

クイズを開発したJigsawによれば、毎日数百万人がフィッシングメールのリンクをクリックしていることから、フィッシングメールが使用する偽装テクニックとともに見分け方を学習できるようにすることが目的だという。クイズは全8問。Jigsawがジャーナリストや活動家、政治的指導者を対象に世界中で実施しているセキュリティトレーニングをベースにしているそうだ。

なお、冒頭で名前と電子メールアドレスの入力を求められるが、これらはクイズで表示するためだけに使用され、外部に送信されることはないとのこと。そのため、必ずしも自分の名前と電子メールアドレスである必要はない。スラドの皆さんには物足りないかもしれないが、ご感想はいかがだろう。

13821592 story
セキュリティ

新潟県警のサーバーに攻撃、荒らし行為のための踏み台にされた疑いも 48

ストーリー by hylom
タイムリーに悪用された模様 部門より

新潟県警察のサーバーが攻撃を受けて乗っ取られ、荒らし行為などの踏み台として使われた可能性があるという(NHKpiyolog)。

新潟県警のWebサイトが改ざんされていたことが確認されたほか、5ちゃんねるなどのネット掲示板に対し不適切な投稿を行う荒らし行為の踏み台として使われていた可能性もあるようだ。

新潟県警によると、「ホームページ上の警察への情報提供や意見などを書き込む画面のプログラムに欠陥が見つかった」という。

13821297 story
PHP

PHP向けパッケージ管理ツールPEARへの攻撃が確認される、過去半年にわたって改竄の可能性 26

ストーリー by hylom
ご注意を 部門より
あるAnonymous Coward曰く、

PHP向けのパッケージ管理ツールPEAR(Wikiepdiaページ)の公式サイトpear.php.netが19日、攻撃を受けた痕跡が見つかり、さらに改竄されたgo-pear.pharが発見されたことを明らかにした(今回のクラッキングに関するアナウンス)。

PEARは公式サイトをクリーンな状態で再構築しようと試みており、いまだサイトは停止中の状態にある。過去半年以内に公式サイトで配布されていたgo-pear.pharは改竄されていた可能性があるとのことで、ダウンロードしたユーザーにはGitHubのリリースページを元にハッシュのチェックや、再ダウンロードを行うよう呼びかけられている(改竄対策のアナウンス)。

最近ではPHPのライブラリ周りはComposerへの移行が進んでおり、PEARを使う機会は少ないかもしれないが、該当する方は注意されたし。

13819473 story
Android

Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる 70

ストーリー by hylom
どっちにしろ信用はできなさそうな 部門より
maia曰く、

ダウンロード件数が数億とも言われるAndroid向け人気ファイルマネージャー「ES File Explorer」が、バックグラウンドでWebサーバーを実行させているとの指摘が出ている。これによって外部から端末内のさまざまなデータにアクセスできるようになっていたという(TechCrunch)。

「ES File Explorer」の噂をチェックしてみると、以前にも「巷で危険なアプリだと騒がれて」いたらしいが、開発会社のES(EStrongs)は2013年1月に百度(Baidu)に買収されており(黒翼猫のコンピュータ日記2nd Edition)、その後BaiduのSDKを使っているようだ。

9to5GoogleAndroid Policeによると、起動時に59777番ポートでの待ち受けを行い、ここにJSON形式で指定した命令をHTTPで送信することで、端末内のファイルを読み取ったり、端末の情報を取得できるようになっていたという。このアプリではファイル共有機能を新機能として実装していたようで、これに関する問題のようだ。開発者はこれに対し、問題を修正したバージョンをリリースするとしているという。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...