パスワードを忘れた? アカウント作成
13891490 story
プライバシ

Facebook、最大150万人のユーザーからサインアップ時に連絡先情報を無断収集していたことを認める 37

ストーリー by headless
収集 部門より
FacebookがBusiness Insiderに対し、最大150万人のユーザーがサインアップする際に使用した電子メールアカウントから連絡先情報を無断収集していたことを認めたそうだ(Business Insiderの記事Mashableの記事The Guardianの記事SlashGearの記事)。

問題発覚のきっかけとなったのは、一部の電子メールサービスのアカウントを使用してFacebookにサインアップする際、電子メールアカウントのパスワード入力が求められると3月末に指摘されたことだ。パスワード入力が求められていたのはYandexなどoAuthに対応しない電子メールアカウントを確認するためとされていたが、批判を受けてFacebookは電子メールアカウントに送信したコードによる確認へ変更している。

ところが、変更前にBusiness InsiderがYandexで作成したアカウントを使用してFacebookへのサインアップを試したところ、パスワード入力後に「連絡先をインポート中」といったタイトルでキャンセル不能なダイアログボックスが表示されたのに続き、連絡先がなかった旨表示されたそうだ。Facebookによれば、電子メールパスワードによる確認とともに連絡先をアップロードするオプションを2016年5月以降削除したが、アップロード機能自体を削除しておらず、一部のユーザーが意図せずサインアップ時に連絡先をアップロードする結果となっていたようだ。

連絡先アップロード機能は電子メールパスワードによる確認処理の廃止に伴って機能しなくなったとみられるが、Facebookによれば最大150万人のユーザーが影響を受けるという。連絡先情報がアップロードされていたユーザーには個別に通知するが、連絡先情報は誰とも共有したことはなく、削除中だとも述べているとのことだ。

なお、Facebookが3月に数億人分のパスワードが可読状態で保存されていたと発表した際、影響を受けるInstagramのユーザーを数万人としていたが、18日にブログ記事が更新され、影響を受けるInstagramユーザーの数が数百万人に変更されている。
13890711 story
Windows

Windows月例更新でVIAプロセッサ向けSpectre/Meltdown対策が盛り込まれる 20

ストーリー by hylom
そういえばVIAでもありましたね 部門より

4月9日にリリースされたWindowsの月例更新およびセキュリティ更新プログラムには、VIAプロセッサ向けのSpectre V2およびMeltdown対策が含まれているという(PC Watch)。

この対策はWindows 7/8.1、Windows Server 2008 R2 SP1/2012 R2向けだが、Windows Serverにおいてはデフォルトでは無効になっているとのこと。無効/有効はレジストリ設定で切り替えられる。

なお、Windows 10ではバージョン1803向けに同様の対策が含まれているという。

13890642 story
Windows

月例パッチでWindows 7などが起動不能に。一部ウイルス対策ソフト利用者の間で発生 50

ストーリー by hylom
またセキュリティソフトか 部門より
あるAnonymous Coward曰く、

Microsoftが配布した2019年4月のセキュリティ更新プログラムにより、Windows 7などのシステムが起動しなくなる問題が起きているようだ。

この問題は、SophosやAvastなどのアンチウイルスソフトウェアを使用し、かつWindows 7など一部のWindowsを利用しているユーザ。その上で4月の月例更新プログラムをインストールした場合に起きる模様。Microsoft側も13日にこの問題を認めている。

問題が発生する可能性があるのは、Windows 7/8.1およびWindows Server 2008 R2/2012/2012 R2で先のウイルス対策ソフトを導入しているユーザー。Microsoftは対策として、Windows 7と8.1のSophos、Aviraユーザー向けに、4月の更新プログラムを一時的にブロックする機能を実装したとしている(CNET Japan窓の杜)。

13889933 story
プライバシ

Outlook.comへの不正アクセス、一部のユーザーはメールの内容が閲覧された可能性も 7

ストーリー by hylom
話が変わってくる 部門より
headless曰く、

1月1日~3月28日にかけてMicrosoftが提供する電子メールサービス(outlook.com/msn.com/hotmail.com)に不正アクセスがあり、影響を受けるユーザーMicrosoftから通知が送られたことが先週話題になっていたが、当初の報道ではアクセスされていないと考えられていたメッセージの内容にもアクセスされたユーザーがいるようだ(MotherboardThe VergeOn MSFTSlashGear)。

不正アクセスの原因はMicrosoftのサポート担当者の認証情報が奪われたことで、これによって外部の人物が一部のユーザーの電子メールアカウントに対し不正にアクセスできる状況になっていたという。当初の報道でメディアが入手したMicrosoftからの通知では、攻撃者がアクセス可能だった情報としてユーザーの電子メールアドレスや送受信した電子メールのタイトル、送受信相手の電子メールアドレスが挙げられており、メッセージ本文は除外されていた。Microsoftによれば、影響を受けるユーザーはコンシューマー向けアカウントのごく一部で、侵害された認証情報は既に無効化して攻撃をブロックしたとのこと。

しかしMotherboardの情報提供者によると、Microsoftサポートアカウントはほかの従業員よりも高い権限があり、この方法で不正アクセスした場合は電子メール本文も閲覧可能だという。情報提供者からは「Email Body」というラベルに電子メールのボディー部分が表示されたスクリーンショットも提供されたとのこと。このスクリーンショットを添えてMotherboardがMicrosoftに問い合わせたところ、影響を受けたユーザーのおよそ6%が電子メール本文を閲覧された可能性があり、該当するユーザーにはそのような内容の通知を送っているとの回答があったそうだ。Motherboardの情報提供者は不正アクセスが行われた期間を少なくとも6か月と述べているが、Microsoftはこれを否定している。なお、影響を受けたユーザーの具体的な数については現在も明らかにされていない。

13888486 story
クラウド

Office 365のセキュリティ機能、組織に送られたスパムメールの25%を見逃す 10

ストーリー by hylom
緩く設定しているのだろうか 部門より
headless曰く、

クラウドセキュリティ企業AvananのGlobal Phish Reportによると、Office 365を使用する組織に送られたスパムメールの25%がOffice 365のセキュリティ機能Exchange Online Protection(EOP)でブロックされず、受信トレイに配信されていたそうだ(プレスリリースBetaNews)。

調査対象はOffice 365に送られた5,200万通以上の電子メールとG Suiteに送られた300万通以上の電子メールで、その1.01%がフィッシングメールだったという。Office 365を使用する組織に送られたフィッシングメールのうち5.3%は組織が誤ってホワイトリストに登録していたとのことで、EOPが安全だと判断した25%に加えて合計30%以上が受信トレイに配信されている。リポートはOffice 365が中心になっており、G Suiteによるスパムメールブロック率は記載されていないが、それなりの割合がセキュリティ機能を通過しているようだ。

また、企業名で送信された電子メールの25通に1通はスパムメールであり、最も騙られることの多い企業はMicrosoft(43%)で、Amazon(38%)が続く。ただし、ホリデーシーズンのみAmazonがMicrosoftを上回るそうだ。このほか、WordPressサイトへのリンクを含む電子メールの35%、暗号通貨ワレットのアドレスを含む電子メールの98%がフィッシングメールだったとのことだ。

13888482 story
セキュリティ

謎の高機能スパイウェア「TajMahal」、開発者などの詳細は不明 13

ストーリー by hylom
謎ばかり 部門より

Kasperskyが、サイバー攻撃者によって使われているという新しい攻撃ツール「TajMahal」(タージマハル)について紹介している(KasperskyのブログWIRED)。このツールは5年前から使用されており、実際に攻撃に使われていることも確認されているという。

このツールは単にバックドアを設置するだけでなく、「プラグイン」によってさまざまな機能を提供できるとのこと。すでに80ものプラグインモジュールが発見されており、次のような攻撃を行えるという。

  • 攻撃対象のブラウザのCookieを盗む
  • プリントキューから印刷するファイルを盗む
  • 攻撃対象のさまざまなデータを収集する
  • VoIP通話の音声を録音する
  • 光学ディスクイメージを盗む
  • ファイルシステムのインデックスを作成する

実際にこのツールでの攻撃が確認されたのはまだ1件だけとのことだが、このツールは非常に大規模なものであるため、他にも公になっていない被害者がいるのではないかとも見られている。

13888006 story
セキュリティ

無線LANのセキュリティ規格WPA3に脆弱性 34

ストーリー by hylom
早くも 部門より

無線LAN向けセキュリティ規格のWPA3に脆弱性が発見されたことが報じられている(INTERNET WatchQiitaサイオスセキュリティブログ)。

WPA3では無線LANに接続しようとする端末に対し、「SAE(Simultaneous Authentication of Equals)」と呼ばれる手法で認証を行うが、このSAEのパスワード生成やエンコーディングアルゴリズムに脆弱性があり、これによってパスワードが推測されたり、総当たり攻撃によるパスワード解析が実行される可能性があるという。

13887162 story
アニメ・マンガ

マンガ配信アプリのバイナリを不正に改変して無料利用時間を増やしていた男性、書類送検される 109

ストーリー by hylom
そんな簡単にできてしまったのか 部門より

スマートフォン向けのマンガ配信アプリ「マンガワン」のAndroid版バイナリを改変して不正にマンガを閲覧していたとして、25歳男性が電磁的記録不正作出・同供用の疑いで書類送検された。

マンガワンでは毎日一定時間内はマンガを無料で閲覧できる仕組みになっているそうだが、この男性はアプリを改変することで閲覧可能時間を不正に「約6億秒」へ延長していたと報じられている(ITmedia朝日新聞産経新聞共同通信)。男性はブログでその手口を公開していたという。

この男性はヤフーの社員とのことで、ヤフーは「疑いが事実であれば、大変遺憾であり、厳正に対処する予定」としている。

13886906 story
Google

Android端末が物理セキュリティキー代わりに、Bluetooth経由で接続して利用可能に 24

ストーリー by hylom
確かに手軽 部門より
あるAnonymous Coward曰く、

GoogleがPCとAndroidスマートフォンをBluetoothで接続することで、スマートフォンを物理的なセキュリティキー代わりに利用できるようにすると発表した。WindowsおよびmacOS、Chrome OS上のGoogle ChromeからのGoogleアカウントのログインに利用できるという(ITmdiaEngadget日本版Slashdot)。

対応するAndroidのバージョンは7.0(Nougat)以降で、事前の設定が必要。この機能を有効にしていた場合、PCでのログイン試行時に紐付けられているAndroid端末にBluetooth経由で通知が行われ、Android端末で確認捜査を行うことでログインが行える。

13886903 story
IT

Uberの運転手、空港に乗客を送り届けた後その乗客の家に戻って空き巣を働く 25

ストーリー by hylom
効率的 部門より
nemui4曰く、

米カリフォルニア州で、配車サービスUberを利用する運転手が、乗客をその自宅から空港まで送り届けたあと、その乗客の自宅に戻って空き巣に入るという事件が起きたそうだ(GIGAZINEBusiness Insider)。

この事件では設置されていた防犯カメラが犯人の姿を撮影しており、これによって容疑者が逮捕されたようだ。Uberはこの事件を受けて容疑者のUberアプリへのアクセス権を剥奪したうえで捜査に強力しているとのこと。また、設置されていた防犯カメラはAmazon.com傘下のRing製のもので、異変を察知して自動的に撮影した画像や映像をクラウド上にアップロードし通報を行う機能を備えているそうだ(過去記事)。

なお、Uberでは配車サービスを利用する運転手が犯罪行為を起こす事件がたびたび発生している(New York TimesCNN)。

13885785 story
プライバシ

ホテルのオンライン予約システム、3分の2が意図せず外部サービスに予約情報を送信するとの調査結果 14

ストーリー by headless
予約 部門より
Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ(Symantec Blogsの記事PCMag.comの記事SlashGearの記事)。

調査は54か国・1,500軒以上の2つ星~5つ星ホテルを対象に行われた。調査対象はランダムに目的地を決めてホテルをWeb検索し、検索結果上位に含まれるホテルを抽出したという。

予約が完了すると確認メールが送られてくるが、57%は予約情報ページへの直リンクを記載していたそうだ。リンクはURLに予約番号と客のメールアドレスが引数として付加されており、客はログインすることなく予約情報の閲覧・変更が可能となる。しかし、多くのWebサイトは外部サービスプロバイダーによる広告やWeb解析、ソーシャルメディアアイコンといった外部のリソースを配置しているため、リソースをリクエストする際に引数を含めたURLがサービスプロバイダーへ送信されることになる。

これ自体はサービスプロバイダー側の責任ではないのだが、サービスプロバイダーに悪意のある従業員がいれば、予約情報へログインして個人情報を閲覧することや予約をキャンセルすることも可能となる。中には予約情報ページに個人情報を記載しない予約システムもあるものの、大半が客の名前や電子メールアドレス、住所、携帯電話番号、クレジットカード番号の下4桁、パスポート番号といった個人情報を記載しているそうだ。

さらに29%はHTTPSリンクを使用せず、HTTPリンクを確認メールに掲載しているため、空港などの公衆Wi-Fi接続でリンクをクリックすると攻撃者に盗み見られる可能性もある。予約手続きの過程や、ユーザーが自分でログインした後に予約情報をサービスプロバイダーへ送信するものもあるという。ホテルの比較・予約サービス5社についても調査したところ、2社が予約番号をサービスプロバイダーへ送信し、1社はHTTPリンクを使用していたとのこと。

このほか、予約番号が単なる連番であることから、総当たり攻撃により予約情報ページへログインできる可能性もある。予約情報ページへのアクセスが可能になった攻撃者は個人情報を収集してスパム送信に使用することや、勝手に予約をキャンセルするいやがらせも可能になる。競合他社が妨害のため予約をキャンセルする可能性も指摘されている。Symantecは各ホテルへ調査結果を連絡しているが、ホテル側の反応は鈍いようだ。
13883984 story
インターネット

コインハイブ事件、検察側が控訴 189

ストーリー by hylom
男性側を支援したい 部門より

サイト閲覧者の端末上でに無断で仮想通貨のマイニング(採掘)を行わせたとして不正指令電磁的記録保管の罪に問われていた男性に対し、横浜地裁が無罪判決を出したが(過去記事)、検察側はこれを不服として控訴したとのこと(弁護士ドットコムITmedia日経新聞)。

横浜地裁はCoinhiveについて「人の意図に反する動作をさせるプログラム」としたもののの、不正な指令を与えるプログラムであるとは判断できないとの結論を出していた。

13883747 story
ワーム

寄生虫が体重増加を抑制するメカニズム 19

ストーリー by hylom
寄生虫がエネルギーを消費するのではないのか 部門より
pongchang曰く、

群馬大などの研究グループが、寄生虫での体重増加抑制効果についての論文を発表した(群馬大学の発表、Infection and Immunity誌のInfection and Immunity誌掲載論文 上毛新聞)。

研究では、あらかじめ太らせたマウスに寄生虫を感染させて観察したという。その結果、寄生虫の感染によって体重の増加が抑えられ、脂肪量も低下し、血中の中性脂肪や遊離脂肪酸が優位に低下することが分かったという。

寄生虫の感染によって血中のノルエピネフリン濃度が対照の2倍に増え、交感神経系の活動が活発になっていた。また脂肪の分解を促すミトコンドリア脱共役蛋白質(uncoupling protein;UCP1)の発現が脂肪組織で増加していた。腸内細菌叢をみると、エシュリキア(大腸菌)属とバシラス属(枯草菌などの仲間)が増加していたとのこと。

腸内細菌は腸管内容の脂肪濃度でも異なるが(pdf)寄生虫が脂肪を横取りするなり代謝して酢酸などに変えた結果として腸内細菌叢が変わったのか? 免疫応答なのか? その辺は論文は触れていない。

寄生虫症でノルエピネフリンが上がるのが本当なら高血圧など併発症も懸念される。一方でヒトのやせ薬としてのβ3受容体アゴニストは不成功に終わっている。

13882806 story
セキュリティ

情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 28

ストーリー by hylom
なぜ時間制限 部門より

オンラインストレージサービス「宅ふぁいる便」利用者の個人情報約480万件が漏洩した事件(過去記事)では、システム構築のためサービスが「当面」休止される事態となっている。そのため、利用者が退会などを行うための特設サイトが設置されたのだが(宅ふぁいる便を運営するオージス総研による告知)、このサイトの「利用時間」が9時から17時45分までとなっていることや、「パスワードの確認」ができることが物議を醸している(はてなブックマーク)。

このサイトでは「宅ふぁいる便に登録されているパスワードをご確認いただける機能」「退会のお申し込み受付機能」「宅ふぁいる便ポイント交換機能」が提供されている。パスワードの確認については、入力されたものが登録されたものと一致するかどうかを確認できるものだが、パスワードの一部がヒントとして平文で表示されることから、未だに平文でパスワードを保存しているのではないか、またとの危惧も出ている。

13881108 story
アメリカ合衆国

米中通商協議で中国がハッキング行為を初めて認めたとの報道 10

ストーリー by hylom
認めちゃうの 部門より

4月3日に再開された米中通商協議において、中国が過去の知的財産権侵害や米企業に対する技術移転の強要、ハッキング行為を認めたと報じられている(ロイター時事通信テレビ東京)。

これまでの米中通商協議においては知的財産関連の問題が議題とされていたが、これまで特に大きな進展はなかった(ブルームバーグ)。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...