パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13998681 story
iOS

Apple、iOSの脆弱性に対する攻撃をGoogleが誇張していると批判 30

ストーリー by headless
印象 部門より

GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明The Vergeの記事[1][2]Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10~12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃に使われていたのがウイグル族向けのWebサイトで幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたWebサイトは1ダースもなく、攻撃が行われていた期間も2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12のゼロデイ脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性を強調している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。

13998565 story
お金

ZERODIUMがエクスプロイト買取価格を改定、Androidのエクスプロイト買取価格が初めてiOSを上回る 31

ストーリー by headless
改訂 部門より

各種ゼロデイ脆弱性を利用したエクスプロイトの買取を行うZERODIUMが3日、モバイル向けエクスプロイトの買い取り価格一部改訂を発表した(ZERODIUMのツイート価格改定内容Ars Technicaの記事The Registerの記事)。

これまでの最高額はiOSのエクスプロイト緩和策をすべて迂回してユーザーの操作なしに任意のアプリを永続的にインストール可能なエクスプロイト(iOS FCP Zero Click)の最高200万ドルだったが、新たに追加されたAndroidに対する同様のエクスプロイト(Android FCP Zero Click)が最高250万ドルに設定されており、Androidのエクスプロイト買取価格がiOSを初めて上回った。

また、ユーザーの操作なしに任意コード実行およびローカルでの権限昇格が可能なWhatsAppのエクスプロイト(WhatsApp RCE+LPE Zero Click)またはiMessageのエクスプロイト(iMessage RCE+LPE Zero Click)は、これまでの100万ドルから150万ドルにそれぞれ増額されている。一方、ユーザーの操作が必要なエクスプロイトに関しては、iOSのエクスプロイト(iOS FCP One Click)が150万ドルから100万ドルに減額され、iMessageのエクスプロイト(iMessage RCE+LPE)は100万ドルから50万ドルに減額された。

ZERODIUMでは今回の価格改定を市場の動向に従ったものだと説明している。

13997815 story
ニュース

ファーウェイ、日本に自社製品ソースコードの公開を提案 85

ストーリー by hylom
ハード的なバックドア疑惑の解決にはならなそう 部門より

Anonymous Coward曰く、

中国・華為技術(Huawei、ファーウェイ)製品に対しては以前よりバックドアが存在するのではないかとの疑惑があったが、同社はこの疑惑を晴らすため日本政府に自社製品のソースコードを公開することを提案しているという(日経新聞共同通信)。

「通信会社など顧客企業の要望があれば製品の様々な検証に対応する」との方針。すでにファーウェイは英国などで製品のソースコードを公開し第三者機関などの検証を受けているという。

13996073 story
携帯通信

SMSでは簡単に送信元を偽装できる 13

ストーリー by hylom
送信サービスによっては番号も設定できるのかな 部門より

SMSでは容易に送信元を偽装でき、正規の送信元からのメッセージに偽装したメッセージを紛れ込ますことができるという(SMSで送信元を偽装したメッセージを送る)。

SMSでは任意の英数字を送信元として表示するための仕様(Sender ID)があり、これに従ってメッセージを送信するだけで任意の文字列を送信元として指定できるという。また、iOSのメッセージアプリなど、昨今のスマートフォンに搭載されているSMSアプリではチャットのような体裁でメッセージのやり取りを表示するものがあるが、iOSのメッセージアプリではこのSender IDを元にスレッド表示を行うため、正規の送信元からのメッセージと同じSender IDを使用することで、偽装したメッセージがスレッドに混入してしまうという。

こうした行為は「スミッシング」と呼ばれ、今年6月に日本サイバー犯罪対策センターから注意喚起も出されている

なお、SMSを送信する上記の記事で検証に使用したSMS送信サービスTwilioでは電話番号をSender IDに設定することはできないとのこと。

13995873 story
インターネット

JR西の特急「パンダくろしお」号運行スケジュールサイト、改ざんされフィッシング詐欺サイトへの誘導に使われる 6

ストーリー by hylom
原因はなんだろう 部門より

JR西日本のWebサイトが不正アクセスを受け、フィッシング詐欺サイトに誘導するよう改ざんされていたという(NHKpiyologITmediaJR西の発表)。

問題となったのは特急「パンダくろしお」号の運行スケジュールを掲載している『パンダくろしお「Smileアドベンチャートレイン」運行情報』というサイト。このサイトにアクセスすると、アンケートへの回答を求める不審なサイトが表示される状態になっていたという。

JR西がサイト運営会社に確認を求めたところ、サイトの改ざんが確認されたという。問題のアンケートサイトではクレジットカード情報の入力が求められていたようだ。

13995804 story
アニメ・マンガ

ラピュタの滅びの呪文は多要素認証 95

ストーリー by hylom
分かりやすい多要素認証の説明 部門より

Anonymous Coward曰く、

スタジオジブリのアニメ映画「天空の城ラピュタ」では、天空の城である「ラピュタ」を崩壊させるための滅びの呪文「バルス」が登場するが、このシステムは多要素認証の観点からして安全だとする説がTwitterに投稿されて議論になっている(Togetterまとめ)。

曰く、「王家の人間が(生体:What you are)」「飛行石を握り(物理鍵:What you have)」「呪文を唱える(パスワード:What you know)」という、現代のセキュリティ概念の3要素が含まれているという。

13995793 story
ハードウェアハック

硬貨選別器を壊す新たな自販機荒らし手法 80

ストーリー by hylom
物理的脆弱性 部門より

Anonymous Coward曰く、

自動販売機の硬貨選別器(コインメック)に衝撃を与えることで誤作動させ中身の硬貨や飲料を盗む手口が広がっているという(朝日新聞)。

硬貨選別機を破壊することで、投入した硬貨は釣り銭口に戻ってくるにも関わらず該当金額を投入したと認識させることができるそうだ。特定の機種ばかりが狙われているとのことで、クチコミ等でこの脆弱性(?)がある自販機の情報が広がっている模様。

13994825 story
Android

Google Playの脆弱性報告報奨金プログラム、対象が1億回以上インストールされた全アプリに拡大 5

ストーリー by hylom
拡大だけど広くはない 部門より

headless曰く、

Googleは8月29日、Google Playの脆弱性報告報奨金プログラム「Google Play Security Reward Program(GPSRP)」の対象拡大と、新しい報奨金プログラム「Developer Data Protection Reward Program(DDPRP)」を発表した(Android Developers BlogAndroid PoliceVentureBeatThe Register)。

これまでGPSRPではGoogle製のアプリおよびプログラム参加企業/開発者のアプリのみが対象となっていたが、今後はGoogle Playでのインストール件数が1億回を超えているすべてのアプリが対象となる。これによりアプリ開発者が報奨金プログラムを用意していない場合でも、Googleが開発者に対する脆弱性の責任ある開示の手助けをする。開発者が脆弱性を認めた場合、報告者はGoogleに報奨金を請求できる。開発者が報奨金プログラムを用意している場合、報告者は開発者からの報奨金に加えてGoogleからの報奨金も受け取ることが可能となる。

GoogleはGPSRPを通じて得た脆弱性情報から自動化された検査項目を生成し、同様の脆弱性をGoogle Playで公開されているすべてのアプリでスキャンする。脆弱性が発見された場合はApp Security Improvement(ASI)プログラムの一環としてPlay Consoleを通じて開発者に通知し、修正内容などの情報を提供するとのこと。

DDPRPはAndroidアプリやOAuthプロジェクト(Google API)、Chrome拡張によるユーザーデータ不正利用の発見・報告に対する報奨金プログラムだ。たとえば、ユーザーデータを暗号化せずに送信することや、ユーザーデータの無断収集、ユーザーデータの目的外使用などが該当する。Androidアプリの場合はGoogle Playストアで1億回以上インストールされていること、Google APIとChrome拡張の場合はユーザーが5万人以上いることが報奨金の条件となる。

13993977 story
インターネット

フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除 3

ストーリー by hylom
反撃 部門より

Anonymous Coward曰く、

フランス警察がAvastの協力のもと、マルウェアのボットネットを利用して、マルウェアに感染した85万台のコンピューターを操作し、そのマルウェアを消去した( ZDNet)。

問題になったマルウェアは2017年から確認されている「Retadup」と呼ばれるもので、Windowsマシンで暗号通貨を採掘・送信する。技術的な情報と実行された対処については、Avastが8月28日付けで詳しいレポートを出している(公開されたファイル情報やレジストリのキーなど)。

ウィルス対策ソフトを意識してサンドボックス下での動作を嫌って大人しくしているところや、フォルダに見えるショートカットをC:以外の全てのドライブに作成する(つまり、USBメモリなどを通じてゆっくり増殖する)など、物語として読んでもわりと面白い。BBCによると当局が説明した侵入経路は「儲け話やエロ画像を餌にしたメールと、感染済みのUSBドライブ」らしい。2017年のトレンドマイクロの解説では標的型、いわゆるスピアフィッシングが疑われていたので、ピンポイントな攻撃があったかどうかは気になるところ。

犯人は逮捕されていないが、Avastは作者のTwitterアカウントを特定した、としている。確かに、よく見るとトレンドマイクロとのやり取りでは犯行声明(曰く、「自分はハッカーではなく採掘の初心者」)らしきものもある。

ただ、感染地域を見ると、フランスを含むEU地域はほぼゼロで、中南米を中心にアメリカやロシアにも広がっていたようだ。法的にはどうなんだろうか。

13993513 story
医療

ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう 37

ストーリー by headless
耐性 部門より

米国で歯科医院向けにクラウドバックアップサービスを提供する企業がランサムウェア攻撃を受け、サービスを利用する歯科医院がカルテなどのデータにアクセスできなくなったそうだ(PerCSoftのFacebookページThe Digital Dental Recordとウィスコンシン歯科医師会の声明: PDFKrebs on Securityの記事The Next Webの記事)。

攻撃を受けたのは米ウィスコンシン州のPerCSoftとThe Digital Dental Record(2社の住所は同じ)が提供する「DDS Safe」という製品だ。クラウドとローカルドライブ、外付けドライブの3か所にバックアップを保存することで、ランサムウェアの影響を最小限に抑えることができるというのが売りとなっている。

The Digital Dental Recordは8月26日8時44分、クライアントデータをバックアップするリモート管理ソフトウェアにランサムウェアが展開されたことに気付いたという。すぐに調査を行って脅威を排除したが、多くの歯科医院が影響を受けることになる。ウィスコンシン歯科医師会(WDA)によると、全米でおよそ400軒の歯科医院がデータにアクセスできなくなったとのこと。PerCSoftはデクリプターを入手してデータの復号を進めており、相当部分が復旧しているようだ。

ZDNetの記事は2社が身代金を払ったと報じており、Krebs on Securityの記事では歯科業界で働くITプロフェッショナル向けFacebookグループに投稿された、身代金を払っていることをPerCSoftが説明したものだというスクリーンショットを掲載している。ただし、2社は表立って身代金支払いを認めてはいない。WDAでは調査が進められている最中なので攻撃の詳細を説明することはできないが、会が身代金を支払ったことはなく、問題解決に会費が使われることはないとも述べている。

現在、クラウドのデータやバックアップサービスはランサムウェアの主要なターゲットになっているという。なお、上述のFacebookグループに投稿されたデクリプターのスクリーンショットから、攻撃に使われたのは「REvil」「Sodinokibi」などと呼ばれるランサムウェアとみられている。

13993487 story
Twitter

Twitter、CEOのアカウントが再びハックされる 20

ストーリー by headless
投稿 部門より

Twitter CEO ジャック・ドーシー氏のTwitterアカウントが8月31日4時44分ごろから少なくとも15分にわたってハックされ、攻撃者が多数のツイート・リツイートを投稿した(Twitter CommsのツイートThe Vergeの記事[1][2]Windows Centralの記事)。

ドーシー氏のTwitterアカウントは2016年にもハックされている。2016年の攻撃はOutMineによるもので、ドーシー氏のVineアカウントを乗っ取ってTwitterへの投稿が行われた。今回の攻撃はSMSを使用して携帯電話からTwitterに投稿する機能にSIMスワッピングを組み合わせたものだという。

SMSによるTwitter投稿は日本ではサポートされていないが、Twitterでは専用のショートコード宛にSMSを送信することで、携帯電話の電話番号と結びつけられたTwitterアカウントに投稿できる。SIMスワッピングとは本人に成りすまして携帯電話キャリアをだまし、新しいSIMカードへ携帯電話番号を移動するというものだ。Twitterでは今回の件について、携帯電話キャリアのミスだと説明している。

攻撃者は最近ソーシャルメディアの有名人のTwitterアカウントを次々にハックしているChucklingSquadなどと名乗るグループとみられている。Internet Archiveのスナップショットによると、ドーシー氏のTwitterアカウントには日本時間8月31日4時44分以降15分間にわたり、攻撃者が立て続けにツイート・リツイートを投稿している。すべて確認したわけではないが、リツイートされた元の投稿者はアカウント停止になっているようだ。

13992682 story
お金

NTTドコモのd払い、相次ぐ不正利用を受け利用規約を改定、補償を明記。PayPayも追随 27

ストーリー by hylom
避けて通れない不正対策 部門より

Anonymous Coward曰く、

NTTドコモは8月28日、同社が提供する決済サービス「d払い」などにおける不正利用の被害を補償する制度を導入すると発表した(ドコモからのお知らせNHKニュースケータイWatchマイナビニュース)。

同日、ソフトバンクグループ傘下のPayPayも不正利用による被害を補償する制度の導入を発表した(プレスリリースPDF日本経済新聞朝日新聞ITmedia NEWSケータイWatchマイナビニュース)。

NTTドコモのd払いに関しては、昨今NTTドコモを騙るフィッシングSMSによるアカウント乗っ取り、不正利用被害が多発しており同社による注意喚起や、不正利用被害がAmazon.co.jpによるものに集中していたことからAmazonにおけるd払い設定時の認証方法を変更する対策も取られていた。

8月26日にはNHKニュースもこの問題について詳報しており、コメントで補償制度の導入を準備していると明らかにしていた。

PayPayは自社によるアンケート調査で、スマホ決済サービスを利用しない理由の一つに不正利用に対する不安があり、また不正利用発生時の補償対応へのニーズが高いことがわかったため利用規約の改定を決定したとしている。 メルカリが提供するメルペイも7payの不正利用問題を受け補償制度が存在しないことがTwitterなどで問題視されたが、先行して8月15日に利用規約を改定、補償を明記している。

なお、piyologにてキャッシュレス決済サービスの補償制度の状況がまとめられているが、現在規約で補償制度について言及されているのはPayPayおよびd払い、メルペイ、LINE Pay、J-COin Pay、&Payの6社のみだったという。

13992683 story
Android

Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 15

ストーリー by hylom
広告SDKの危険性 部門より

headless曰く、

Google Playでのダウンロード件数が1億回を超える人気アプリ「CamScanner - Scanner to scan PDF」(CamScanner)の最近のバージョンにマルウェアが混入していたことが発覚した。これを受けて現在アプリの公開は停止されている(Kaspersky公式ブログKaspersky SecurelistAndroid PoliceCamScannerの告知ページ)。

CamScannerはスマートフォンのカメラをドキュメントスキャナーのように利用できるようにするアプリ。Kasperskyによると元々は特に問題のないアプリだったが、最近のバージョンでは広告ライブラリを通じて「ドロッパー」と呼ばれる悪意のある処理をするコードが組み込まれていたという。

Kaspersky製品がTrojan-Dropper.AndroidOS.Necro.nとして検出するこのドロッパーは、アプリが起動するとアプリのリソースに含まれるZIPファイル中のコードを展開・実行し、攻撃者のサーバーから追加のコードをダウンロードして実行する。CamScannerでドロッパーが具体的に何をしていたのかについては書かれていないが、侵襲的な広告を表示したり、有料サブスクリプションを登録して携帯電話のアカウントに課金したりといったことも可能とのこと。

Google Playからは既に削除されているが、8月26日に取得されたアプリページのGoogleキャッシュが残っていることから、最近まで公開されていたらしい。ただし、Android Policeの調査によると、マルウェアが混入していたのは6月17日公開のバージョン5.11.3.20190616から7月25日公開のバージョン5.12.0.20190725までで、削除時点で公開されていたバージョンは安全だったようだ。

CamScannerの告知によれば、Android版のバージョン5.11.7に組み込んだAdHubという広告SDKに広告クリックを発生させる悪意あるモジュールが見つかったそうだ。調査の結果、モジュールがドキュメントのデータを流出させた形跡は見つからなかったという。CamScannerではGoogle Playで認定されないすべての広告SDKを削除したとのことで、現在最新版のAPKをGoogle Play外でダウンロード提供している。また、Google Playでも再公開できると見込んでいるという。

13992002 story
マイクロソフト

Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる 45

ストーリー by hylom
大事なところでは多要素認証を 部門より

Anonymous Coward曰く、

Microsoftが8月20日、多要素認証を使うことでアカウントに対する攻撃の99.9%は防ぐことができる、といった内容のブログを公開した(Microsoft Securityブログ)。

これによると、Microsoftのクラウドサービスに対しては毎日3億件以上の不正なサインインが試みられているという。また、ランサムウェアによる攻撃は一日4000件、マルウェアによる攻撃は1.67億件が発生しているそうだ。こうした攻撃には盗まれたパスワードが使われており、セキュリティ企業などの調査によると、情報漏洩事件のうち81%が盗まれた認証情報によって引き起こされているという。また、複数のサービスで重複したパスワードを使用しているケースも多い。

これを踏まえてMicrosoftは、多要素認証を有効にすることでこうしたパスワードの問題を解決でき、99.9%の攻撃をブロックできるとしている(ZDNetマイナビSlashdot)。

13991939 story
Windows

Microsoft、Windows 10 E5などの利用者にWindows 7サポート終了後のセキュリティ更新1年目を無料提供 4

ストーリー by hylom
追加の1年 部門より

headless曰く、

MicrosoftがWindows 10 Enterprise E5/Microsoft 365 E5/Microsoft 365 E5 Securityのサブスクライバーを対象に、Windows 7サポート終了後の有料セキュリティアップデートオプション1年目(Windows 7 ESU 2020)を無料で提供するプロモーションを実施している(Windows 7 and Office 2010 End of Support FAQ Final [DOCX][PDF]Computerworld)。

プロモーション期間は2019年6月1日~12月31日で、この間に上述のSKU(EDU E5を除く)の有効なサブスクリプションがあればWindows 7 ESU 2020無料提供の資格が得られる。有資格者は2020年1月14日以降、ボリュームライセンスサービスセンター(VLSC)でWindows 7 ESUのキーが表示されるようになるとのこと。プロモーションを利用した場合、2020年分のESUを購入しなくても2021年~2022年のESUを購入可能だ。なお、ESUを購入した場合の提供期間は1年間に固定されているが、プロモーションによるESU提供はサブスクリプション終了時点で終了となる。

プロモーションは3か月近く前から実施されているが、Windows 7サポート終了の特設ページからリンクしているFAQのPDFはプロモーションに関する記述のない古いバージョンであり、Computerworldが取り上げるまで特に注目されなかったようだ。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...