パスワードを忘れた? アカウント作成
14018529 story
Chrome

Google、Chromeで混合コンテンツを完全にブロックする計画 52

ストーリー by headless
計画 部門より
Googleは3日、Gooogle Chromeで混合コンテンツを完全にブロックする計画を発表した(Chromium Blogの記事VentureBeatの記事Android Policeの記事SlashGearの記事)。

混合コンテンツはHTTPSページのサブリソースがHTTP接続で読み込まれる状況を指し、Chromeを含む現在のブラウザーのほとんどがスクリプトやiframeといった危険性の高い混合コンテンツをブロックする。一方、比較的危険性が低いと考えられる画像や音声、動画については読み込みが許可されるが、偽の画像への差し替えや、トラッキングcookieの挿入といった攻撃を受ける可能性もある。

Chromeでの混合コンテンツ完全ブロック計画は段階的に行われる。まず、12月に安定版がリリースされるChrome 79ではサイト単位で混合コンテンツのブロックを解除可能なオプションが設定に追加され、現在はブロックされているスクリプトやiframeの読み込みを許可できるようになる。

Chrome 80ではHTTPSページで音声と動画のリソースをHTTP接続で読み込むよう指定されている場合、HTTPS接続に自動アップグレードして読み込みを試みる。HTTPSでの読み込みが失敗した場合はデフォルトでブロックされるが、先述のオプションで読み込みを許可することも可能だ。画像の混合コンテンツは引き続き許可されるが、読み込まれた場合はHTTPページと同様に「保護されていない通信」という表示がOmnibox左端に追加される。

Chrome 81では画像の混合コンテンツも自動アップグレードの対象となり、HTTPS接続で読み込めない場合はデフォルトでブロックされるとのこと。Chrome 81は2020年3月に安定版リリース予定となっている。
14017956 story
Chrome

Google、ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表 18

ストーリー by headless
計画 部門より
Googleは1日、Google ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表した(Chromium Blogの記事Neowinの記事gHacksの記事)。

主要Webブラウザーでは昨年10月に2020年のTLS 1.0/1.1無効化計画が発表されている。Mozillaはこれに先立ち、先日Firefox NightlyのデフォルトでTLS 1.0/1.1を無効化した。

GoogleはChrome 72でTLS 1.0/1.1を非推奨とし、開発者ツールのコンソールに警告を表示しているが、2020年1月13日にはChrome 79以降でTLS 1.0またはTLS 1.1接続のページに警告メッセージが表示されるようになる。警告メッセージはページ情報アイコンの右側にHTTP接続ページと同様に「保護されていません」と表示されるほか、ページ情報には接続が完全に安全ではないことが記載されるとのこと。

3月に一般リリース予定のChrome 81では、予定通りTLS 1.0/1.1のブロックが始まる。UI要素による警告メッセージは削除され、ページいっぱいに警告メッセージが表示されるようになる。なお、組織で管理しているChromeではポリシー「SSLVersionMin」の値を「tls1.2」にすることで、無効化後の状態を今すぐ確認できる。逆に無効化後はこのポリシーを使用して2021年1月までTLS 1.0またはTLS 1.1を再び有効化できるとのことだ。
14017476 story
インターネット

ドイツの捜査機関、NATO掩体壕跡地を利用したダークウェブ向けデータセンターを閉鎖 4

ストーリー by hylom
闇でも捕まる 部門より

headless曰く、

ドイツ・コブレンツの検察とラインラント-プファルツ州の警察は9月27日、ダークウェブのホスティングや大規模なサイバー攻撃に使われていたトラーベン-トラーバッハのデータセンターを9月26日に強制捜査し、7名を逮捕したと発表した(プレスリリースZEIT ONLINEWELTAPRegister)。

「Cyberbunker」と呼ばれるこのデータセンターは、かつてNATOの掩体壕(bunker)だった建物を利用したもので、地上1階、地下5階。提供されるサービスは防弾ホスティングサービスとうたわれ、違法薬物の取引サイトなどが利用していたという。運営者は以前オランダで同様の施設跡を用いたサービスを提供していた人物とみられ、Krebs on Securityの記事では「Cyberbunker 2.0」と表現している。

トラーベン-トラーバッハのデータセンターが運用を開始したのは2013年。敷地内に猛犬を放すといった厳重な警戒が尋常ではないとも噂されたが、市の調査では扱われているデータの内容まで確認することはできなかったそうだ。ダークネットの仕組み上、捜査は容易ではなかったが、コブレンツ検察のサイバー犯罪対策センターとラインラント-プファルツ州警察は共同で5年近くに及ぶ捜査を行い、データセンターを掘り起こすことに成功したとのこと。

既に逮捕された7名のほか6名にも逮捕状が出されており、容疑者は計13名となる。9月26日には各地の捜査機関が連携して数百名を投入した捜査がドイツと近隣各国で行われ、およそ200台のサーバーや多額の現金などを押収したとのことだ。

14016774 story
Windows

Windows 7の2023年1月までの延長サポート、全Professional/Enterprise版ユーザーを対象に有償提供へ 32

ストーリー by hylom
どうなるWindows 7 部門より

2020年1月にWindows 7のサポートが終了し、それ以降はセキュリティアップデートなどが提供されなくなるが、Microsoftが10月1日、Windows 7 Professional/Enterpriseを利用している全ユーザーに対し、有料での延長サポートを2023年1月まで提供することを発表した日経xTECHPublickey)。

ボリュームライセンス契約を行っている企業に対してはすでにWindows 7の有料延長サポートの提供がアナウンスされていたが(過去記事)、この対象を広げた形になる。なお、サポート料金は毎年値上げされていく予定。

14016765 story
Yahoo!

米Yahoo!のエンジニア、特権を利用して若い女性ユーザーのプライベートな動画を収集していたとして起訴される 27

ストーリー by hylom
DBからハッシュパスワードを抜いたのかな 部門より

米Yahoo!で働いていたソフトウェアエンジニアが、システムへのアクセス権限を悪用してユーザーのパスワードを解読し、そのアカウントに不正にアクセスしていたという。このエンジニアはコンピュータ侵入や有線通信の傍受の罪で起訴されている(MashableVergeITmedia)。

被告はYahoo!のバックエンドツールとパスワードクラックツールを使ってパスワードを収集しており、アクセスしたアカウントは約6000と供述している。さらに、これらアカウントやパスワードを使ってGmailやiCloud、Dropboxのアカウントへのアクセスも試みていたとのこと。ターゲットは主に若い女性ユーザーのアカウントで、性的な写真や動画の収集を目的としていた。集めた写真や動画は自宅PCに保存していたという。

14016692 story
Windows

Microsoft、暗号化機能付きのSSDもBitLockerの対象に 23

ストーリー by hylom
Windowsとハードウェア、どっちを信じるか 部門より

Anonymous Coward曰く、

Windowsには、BitLockerという名称の暗号化ツールが付属している。BitLockerはこれまで、ハードウェアベースの暗号化機能を持つというSSD製品に関しては、信頼して暗号化の対象にはしなかった。しかし、9月24日にリリースされたWindows 10「KB4516071」の更新でこの方針が変更された。すべてのSSDは暗号化していない前提であると仮定、デフォルトでBitLockerの適用対象にするようになった。

これに対し、セキュリティ情報を提供しているSwiftOnSecurityは「MicrosoftはSSDメーカーを信頼しなくなった」と説明、こうした方針変更はSSDの暗号化機能に脆弱性があることが昨年11月に発覚したことが原因としている。この脆弱性では、パスワードや秘密鍵を知らなくても暗号化されたストレージの内容を復号できたという研究が発表されている(TomsHardwareTechRadarSlashdot)。

14015140 story
スラッシュバック

Amazon.co.jpで他人の注文履歴や氏名が表示される不具合、解消される。原因は「技術的な不具合」 74

ストーリー by hylom
何が起きた 部門より

9月26日、Amazon.co.jpで他人のアカウントの注文履歴や住所、名前などが表示されるというトラブルが発生したことが報じられていたが(過去記事)、9月28日にこのトラブルは解消されたとのこと(ITmedia)。

原因は「Amazon内での技術的な原因によるもの」とのこと。問い合わせたユーザーには連絡を行っているとのことだが、どの程度の規模で問題が発生したかは依然不明のままだ。

14014967 story
Firefox

Firefox Nightly、デフォルトでTLS 1.0/1.1が無効化される 20

ストーリー by hylom
来年には終了ですからねぇ 部門より

headless曰く、

Mozillaは9月27日にリリースしたFirefox Nightlyで、TLS 1.0/1.1をデフォルトで無効化した(Bug 1579270Firefox Site CompatibilityNeowingHacks)。

無効化はFirefoxの設定(about:config)で「security.tls.version.min」の既定値が「1」(TLS 1.0)から「3」(TLS 1.2)に変更されただけで、TLS 1.0/1.1サポートが削除されたわけではない。SSL Pulseの9月分データではSSL 1.2をサポートするサイトが95.8%に上るものの、影響の大きな変更であることから幅広い確認が呼びかけられている。

主要Webブラウザでは昨年10月、2020年にTLS 1.0/1.1を無効化する計画が発表されており、FirefoxのTLS 1.0/1.1無効化は2020年3月に設定されている。Nightlyでは10月に無効化する計画が発表されていたが、少し繰り上げられたようだ。

現在のFirefox Nightlyの製品バージョンは71.0a1。今後はベータチャンネルのFirefox 71以降でフィードバックを確認しつつ徐々にTLS 1.0/1.1を無効化するユーザーの比率を高めていき、来年3月までにすべての切り替えを完了してリリースチャンネルでの無効化に備える計画だ。来年3月にリリースが予定されているのはFirefox 74だが、無効化をどのように、いつ実施するのかという計画については確定していないようだ。

14014003 story
iOS

脱獄不要のiOSアプリストア「AltStore」登場 9

ストーリー by hylom
開発プログラムに登録せずに自作アプリを端末に入れられるのかな 部門より

jailbreak(脱獄)をせずにiOSデバイスに任意のアプリをインストールできるという「AltStore」なるサービスのプレビュー版が公開されている(Engadget日本版The Verge)。

iOSでは公式のAppStore以外からのアプリインストールが原則として認められておらず、そのためAppleの審査を受けて許可を得たアプリしか利用できない。サードパーティが提供するアプリストアも存在するものの、利用するにはOSの脆弱性などを利用した脱獄を行う必要があった。AltStoreはmacOSもしくはWindowsアプリケーションに「AltServer」というソフトウェアをインストールし、このAltServer経由でアプリをインストールする仕組み。

AltServerではiOSアプリ開発者が自身の端末でアプリをテストするための仕組みを使ってiOSデバイスにアプリをインストールしているという。

14013357 story
iOS

古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 42

ストーリー by headless
脱獄 部門より
パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイートGitHubリポジトリMac Rumorsの記事Ars Technicaの記事)。

脆弱性はA5~A11チップのBoot ROMに存在し、iPhoneではiPhone 4S~iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。
14013043 story
検閲

Microsoftコミュニティ、投稿から非表示にするWebサイトのブラックリストが存在する?存在しない? 21

ストーリー by headless
3回書き直した 部門より
イタリアのITニュースブログサイトHTNovoは26日、MicrosoftコミュニティがCCleanerのWebサイト「www.ccleaner.com」をフィルター対象にしたと報じた24日の記事は誤りだったとして謝罪した(HTNovoの訂正記事)。

問題の記事はHTNovoを運営するMicrosoftコミュニティのモデレーターJo Val氏が執筆したもの。記事は既に削除されているが、Googleキャッシュで閲覧可能だ。

削除された記事によれば、CCleaner.comを含む11のドメインをフォーラムでフィルター対象に設定したという部外秘の連絡がモデレーター全員に送られたという。記事に掲載されていたモデレーター向けページのスクリーンショットでは、Microsoftはコミュニティーメンバーの安全を保つためにさまざまなフィルターを使用しており、一般のユーザーがブラックリストに登録されたWebサイトのURLを投稿した場合は一部分が「****」に置き換えられると説明されている。ブラックリストには「www.ccleaner.com」を含む11サイトが記載されているが、他の10サイトについてはマスクされている。

一方、同じくJo Val氏が執筆した訂正記事では、CCleanerがブラックリストに含まれていないだけでなく、Microsoft公式フォーラムにはWebサイトをフィルタリングするためのブラックリスト自体存在しないと説明されている。ただし、フォーラムでは以前からCCleanerのようなサードパーティーの最適化ツールの使用を推奨していないとのこと。
14012239 story
お金

北朝鮮に所属するハッカーグループ、インドのATMをターゲットにしたマルウェア開発 11

ストーリー by hylom
なぜインド 部門より

taraiok曰く、

Kaspersky Labsの研究者であるKonstantin Zykov氏によると、北朝鮮政府の下で働いていると目されるハッカー「Lazarus Group」が、インドのATMをターゲットにしたマルウェアを開発したという。このマルウェアは、ATMに挿入されたクレジットカードに含まれている個人情報を読み取って保存できる(Ars TechnicaCISO MAGSlashdot)。

Lazarus Groupは、2014年のSony Pictures Entertainmentへのサイバー攻撃や2017年のWannaCryランサムウェア攻撃などの容疑者とされている。Lazarus Groupは、昨年の夏ごろからインドのATMをターゲットにして広まっており、「ATMDtrack」という名称で呼ばれているという。ATMDtrackは、金融機関や研究センターをターゲットに広まっている、リモートアクセスを可能にする「Dtrack」と呼ばれるトロイの木馬の一種とされる。Dtrackは慎重に暗号化されているため、研究者によるマルウェアは困難だった。そこで感染したデバイスのメモリを分析してみたところ、ATMDtrackとDtrackに共通したコードがあることが判明した。

そのコードは2013年に韓国の銀行などの攻撃に使用されたコードの断片と同じだったとされる。こうした分析から最終的に、北朝鮮政府の主要なハッキング部門であるLazarus Groupの犯行だと結び付けられたとしている。

14011689 story
情報漏洩

Amazon.co.jpの一部ユーザーで他人の名前や住所、注文履歴などが表示される問題発生中 69

ストーリー by hylom
よくありそうなトラブルではある 部門より

Amazon.co.jpで、注文履歴ページを開くと他人の注文履歴が表示されるというトラブルが発生しているようだ(CNET JapanINTERNET Watch)。

すべてのユーザーで発生しているわけではないが、CNET Japanの記事では問題が発生しているユーザーが確認できたという。Amazon側はこの問題を確認しており、調査中だという。

14011443 story
インターネットエクスプローラ

Microsoft、既に攻撃が確認されているIEの脆弱性に対する更新プログラムをリリース 16

ストーリー by headless
これは結構怖い 部門より

headless曰く、

Microsoftは23日、Internet Explorerの脆弱性(CVE-2019-1367)を発表するとともに、セキュリティ更新プログラムをリリースした(セキュリティ更新プログラムガイドNeowinWindows CentralThe Register)。

CVE-2019-1367はスクリプトエンジンのメモリ破損の脆弱性で、悪用すると現在のユーザーのコンテキストでリモートからの任意コード実行が可能になるというもの。既に攻撃が確認されており、深刻度の評価はクライアント系で「緊急」、サーバー系で「警告」となっているが、現在のところ更新プログラムはWindows Updateで提供されず、Microsoft Updateカタログからダウンロードして適用する必要がある。また、回避策として「jscript.dll」のアクセス許可を変更する方法が紹介されている。

Windowsバージョン別のKB記事およびダウンロードリンクは以下の通り。

14009707 story
情報漏洩

LINE傘下のLINE Credit、担当者が誤って個人情報を含むExcelファイルをオープンチャットに投稿 42

ストーリー by hylom
どうしてそうなった 部門より

LINE傘下のLINE Creditが、個人向けローンサービス「LINE Pocket Money」申込者の個人情報を含むExcelファイルを、誤ってLINEのチャットサービス「OpenChat」に投稿してしまい、チャット参加者がファイルをダウンロードできる状態になっていたと発表した(LINE Creditの発表)。

誤って投稿されたファイルは2分後に削除されたが、削除までの間、4名がこのファイルをダウンロードしていたという。漏洩したデータは280人分で、氏名および生年月日、自宅/携帯電話番号、LINE Creditで扱う管理番号、指定信用情報機関から取得した情報の一部が含まれていたとのこと。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...