パスワードを忘れた? アカウント作成
14101748 story
アメリカ合衆国

米裁判所への物理的な侵入テスト中に逮捕された業者のスタッフ2名、起訴が取り下げられる 20

ストーリー by headless
侵入 部門より
セキュリティ企業Coalfireは1月30日、米国・アイオワ州のダラス郡裁判所庁舎への侵入テスト中に逮捕された同社のスタッフ2名に対する不法侵入罪による起訴が取り下げられたことを発表した(プレスリリースArs Technicaの記事Des Moines Registerの記事The Registerの記事)。

事件が起こったのは昨年9月11日。Coalfireは州裁判所事務局から侵入テストを依頼され、ダラス郡裁判所庁舎に2名を派遣していた。しかし、2名は物理的な侵入テストを実施中、アラームが作動して駆け付けたダラス郡保安官に逮捕され、侵入窃盗と侵入用具所持で起訴されてしまう。ただし、起訴事実はその後不法侵入に軽減された。Coalfireによる2名の派遣もダラス郡保安官による2名の逮捕も市民の安全を守るためだったことは明らかだが、不法侵入罪による起訴の継続は長期的な正義と公共の安全を実現するために最もよい方法とはいえない。これらを実現するには関係各所が対立するのではなく、連携して行動する必要がある。そのため、Coalfireの代理人とダラス郡保安官、ダラス郡検事との話し合いの末、検事が起訴の取り下げを決めたとのこと。

逮捕された2名にとっては災難だが、これによりサイバー犯罪との静かな戦いやレッドチームによる侵入テストの重要さに対する認知度が全米で高まることになったという。Coalfireでは今回の教訓を生かし、ベストプラクティスのさらなる改善や、捜査機関とセキュリティプロフェッショナルの連携強化に注力した新たな意見交換を始めているとのことだ。
14101373 story
Windows

セキュリティソフトウェアの多くが当面はWindows 7をサポート 51

ストーリー by headless
当面 部門より
MicrosoftはWindows 7の延長サポート終了後もMicrosoft Security Essentialsにウイルス定義ファイルの更新を提供すると発表しているが、AV-TESTのまとめによるとサードパーティー製セキュリティソフトウェアの多くが当面はWindows 7のサポートを継続するそうだ(AV-TESTのニュース記事BetaNewsの記事On MSFTの記事Ghacksの記事)。

ベンダーの多くはWindows 7の具体的なサポート終了時期を発表しておらず、TotalAVが少なくとも1年間、F-Secure/McAfeeが少なくとも2021年12月まで、AhnLab/AVG & Avast/Bitdefender/BullGuard/Carbon Black/ESET/FireEye/G Data/Ikarus/K7 Computing/Kaspersky/Microworld/PC Matic/Quickheal/Seqrite/Symantec(NortonLifeLock)/ThreatTrack(Vipre)/Trend Microが少なくとも2年間サポートを継続するという。一方、Sophosはオンプレミスサポートを2020年12月まで、クラウドマネージドサービスを2021年6月まで継続し、Aviraは2022年11月にサポートを終了するとのこと。

なお、日本語版の情報を出しているベンダーの中では、カスペルスキーがWindows 7対応バージョンのライフサイクル終了までWindows 7をサポート、トレンドマイクロは個人向け製品を2021年12月まで、企業向け製品を2024年1月までサポートすると発表している。ノートンの場合は期間を示していないが、マルウェア定義や脆弱性対策の更新版、互換性対応の修正は提供する。ただし、ソフトウェア更新版は提供しないとのこと。マカフィーからは企業向け製品に関する情報のみ出ており、2021年12月31日までサポートを継続し、2022年1月以降は延長サポートSKUの購入が必要だと説明している。
14101234 story
プライバシ

Avast、ユーザーデータを販売していた子会社を廃業する計画 9

ストーリー by headless
終了 部門より
Avast CEOのOndrej Vlcek氏は1月29日、同社のセキュリティ製品が収集したユーザーデータを販売していた子会社のアナリティックス企業 Jumpshotの廃業計画を発表した(Avast Blogの記事)。

Vlcek氏は最近のJumpshotに関するニュースが多くの人の心情を傷つけたことを謝罪。Avastにとって最も重要なことは人々を守ることであり、それに反することは一切受け入れられないため、取締役会とともにJumpshotによるデータ収集の即時終了と段階的な廃業を決めたとのこと。

AvastがJumpshotを開始したのは2015年。当時はサイバーセキュリティがビッグデータを使用した競争になるとの見方が広がっており、Avastがコアのセキュリティだけでなくデータアナリティックス能力を拡大することでセキュリティ製品を強化していけると考えていたという。AvastもJumpshotも個人情報の扱いに注意を払っており、GDPRにも100%準拠することを目指していたそうだ。

しかし、Vlcek氏が7か月前にAvast CEOに就任して以降、同社のすべてのビジネスを再評価した結果、データ収集ビジネスがプライバシーを優先する同社にそぐわないとの結論に達していたという。残念ながら今回の決定は数百名のJumpshot従業員や数十件の顧客に影響を与えることになるが、絶対的に正しい行為であるとのことだ。
14100886 story
ニュース

NECも不正アクセスによる攻撃を受け情報漏洩 34

ストーリー by hylom
やられ放題 部門より

先日三菱電機が不正アクセスによる攻撃を受けて情報漏洩を発生させたことが報じられたが、NECにもサイバー攻撃が行われ、防衛省との取引に関する情報を含む約2万7000件のファイルに不正アクセスが行われたことが新たに発覚した(ITmedia共同通信)。

さらに、三菱電機およびNECだけでなく、別の防衛関連の企業にもサイバー攻撃があったことが河野防衛大臣によって公表された(共同通信の別記事)。このサイバー攻撃は2社に対して2016年度と2018年度に行われているとのことだが、社名については公表されていない。

14100721 story
IT

IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 9

ストーリー by hylom
良くも悪くも話題になりました 部門より

情報処理推進機構(IPA)が1月29日、「情報セキュリティ10大脅威 2020」を発表した

「個人」と「組織」の2部門に分かれており、個人部門のトップ10は次の通り。

  1. スマホ決済の不正利用
  2. フィッシングによる個人情報の詐取
  3. クレジットカード情報の不正利用
  4. インターネットバンキングの不正利用
  5. メールやSMS等を使った脅迫・詐欺の手口による金銭要求
  6. 不正アプリによるスマートフォン利用者への被害
  7. ネット上の誹謗・中傷・デマ
  8. インターネット上のサービスへの不正ログイン
  9. 偽警告によるインターネット詐欺
  10. インターネット上のサービスからの個人情報の窃取

また、組織部門のトップ10は次のとおり。

  1. 標的型攻撃による機密情報の窃取
  2. 内部不正による情報漏えい
  3. ビジネスメール詐欺による金銭被害
  4. サプライチェーンの弱点を悪用した攻撃
  5. ランサムウェアによる被害
  6. 予期せぬIT基盤の障害に伴う業務停止
  7. 不注意による情報漏えい(規則は遵守)
  8. インターネット上のサービスからの個人情報の窃取
  9. IoT機器の不正利用
  10. サービス妨害攻撃によるサービスの停止

このなかで新たにランクインしたものが、個人1位の「スマホ決済の不正利用」。2019年には7payで不正利用被害報告が相次いだことや、NTTドコモの「d払い」の不正利用などが話題となっていた。

14099857 story
セキュリティ

不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向 27

ストーリー by hylom
高度化する手法 部門より

不正なコードをファイルに書き込むことなしに実行するようなマルウェアが近年増加傾向にあるという。こうしたマルウェアはその痕跡がファイルとしては残らないため、既存のセキュリティソフトでは検出が難しいそうだ(ITmedia)。

こういった攻撃手法は「ファイルレス攻撃」などと呼ばれており、プログラムの脆弱性を悪用して不正なコードを直接メモリ内に展開させて実行させたり、攻撃対象内にインストールされているPowerShellなどのツールを悪用することでその活動が検出されることを防ぐという。また、一時的にファイルを書き込むも、その後そのファイルを削除する、もしくはその内容を0で上書きするような挙動を行うのもあるという(McAfeeの「ファイルレス攻撃解説」ホワイトペーパー)。

PowerShellがよく悪用されるのは、メモリ上にダウンロードしたコードを直接実行する仕組みがサポートされているからだそうだ。また、多くの場合システムが再起動されるとこれらマルウェアは活動が止まるが、レジストリやファイルシステム以外のストレージを活用することで持続的に攻撃を行うものもあるという。なお、PowerShellが攻撃に悪用される可能性については以前より指摘されていた(ITmediaの2017年記事)。

14098857 story
ビジネス

Avastが販売する匿名化したユーザーデータに対し、ユーザーの特定が可能との指摘 27

ストーリー by hylom
匿名化の難しさ 部門より

headless曰く、

Avastはユーザーから収集したデータを匿名化して販売すると説明しているが、MotherboardとPCMagの共同調査によれば、このデータはほかのデータと組み合わせることで容易にユーザーを特定可能になっていたという(MotherboardPCMagBetaNews)。

AvastはオプトインしたユーザーのWebアクセスデータを匿名化し、傘下のアナリティックス企業Jumpshotに提供することをプライバシーポリシーに明記している。しかし、MotherboardとPCMagが入手したドキュメントや情報提供者の証言によると、データは匿名化されているもののデバイスIDとアクセス日時がミリ秒単位(ただし、PCMagが例示したデータは秒単位であり、後述するOmnicomとの契約に限られる可能性もある)で含まれているという。そのため、Jumpshotからデータを購入した企業が自社サイトのアクセスデータと照合すれば、ユーザーを特定でき、他社サイトの利用状況も把握できる。

Jumpshotが販売するデータの中には特定のオンラインショッピングサイトでのクリックをすべて含む「All Clicks Feed」と呼ばれる製品があり、内部規定では個人を特定可能な情報の「三角測量」を防ぐためデバイスIDを含めないことになっている。ただし、マーケティング企業Omnicom Media Groupとの契約ではデバイスIDも提供データに含まれていたそうだ。さらにはリファラーのURLやミリ秒単位のアクセス日時、ユーザの予想される年齢や性別も契約に含まれていたという。Omnicomはデータの使用目的に関する問い合わせに回答しなかったとのこと。

Avastと子会社のAVGはWebブラウザ拡張機能による過剰なデータ収集が指摘されて以来、拡張機能での収集するユーザーデータを制限している。ただし、セキュリティソフトウェアでのデータ収集はやめていない。Avastはセキュリティソフトウェアで収集するユーザーデータについて昨年7月から明確なオプトイン画面を表示していると説明するが、匿名化されたデータからユーザーが特定可能になることを読み取ることはできない。そもそも匿名化というものが不可能だとの指摘も出ている。この問題を受け、PCMagでは無料版Avastから推奨製品の認定を外したとのことだ。

14097281 story
インターネット

pixiv、脆弱なパスワードの登録を行えない仕組みを導入 93

ストーリー by hylom
なるほど 部門より

Pixivが同社サービスにおいて、「脆弱なパスワード」を登録できないように仕様変更を行ったことを発表した(pixiv inside)。

漏洩したメールアドレスやパスワードに関する情報を提供するプロジェクト「Have I Been Pwned」で提供されている、過去に他サービスで漏洩したハッシュ化されたパスワードのリストを使用し、一定以上漏洩したパスワードを登録できないようにしたとのこと。

「漏洩したパスワード」には「辞書にある単語」や「繰り返したり順番になっている単語」なども含まれているため、結果としてこれらも登録できないようになっているという。

14097394 story
ビジネス

ソフトバンクの元社員、業務情報をロシアに渡したとして逮捕される 40

ストーリー by hylom
たった数万円 部門より

Anonymous Coward曰く、

ソフトバンクの機密情報をロシア人に提供したとして、不正競争防止法違反(保護される営業秘密の漏洩)で逮捕された(ITmediaソフトバンクの発表AERA dot.FNN PRIME)。

持ち出されたのは営業情報や通信設備の構築業務に関する作業手順書などとのこと。容疑者はソフトバンクのインフラ整備部門の統括部長だったとのことで、在日ロシア通商代表部職員に数回接触し情報を渡し、1回あたり数万円の報酬を受け取っていたという。

ロシアのスパイは日本でそれなりに活動している模様で、過去に本件以外の摘発事例がある。

持ち出された文書には顧客の個人情報や通信の秘密に関わる情報、取引先に関する情報などは含まれていなかったとのこと。

14096541 story
データベース

Microsoftのカスタマーサポートデータベース、誤設定で1か月近く公開状態に 9

ストーリー by headless
公開 部門より
Microsoftは22日、内部でカスタマーサポートのケースアナリティックスに使用するデータベースが昨年12月5日から31日まで誤設定により公開状態になっていたことを明らかにした(Microsoft Security Response Centerのブログ記事Comparitech Blogの記事Bob Diachenko氏のツイートWindows Centralの記事)。

Microsoftによれば、12月5日にデータベースのネットワークセキュリティグループを変更した際、誤って設定されたセキュリティ規則が含まれていたのが原因だという。発見者のBob Diachenko氏から通知を受け、12月31日には設定を修正して承認されていないアクセスを防ぐ措置をとったとのこと。Microsoftは影響を受けたレコードの件数を示していないが、Diachenko氏によればデータは2005年から2019年12月にわたる2億5千万件近いもので、Webブラウザーから認証なしでアクセスできる状態だったという。

Diachenko氏が問題を発見後すぐにMicrosoftへ知らせたところ、24時間以内に修正が行われたとのことで、大みそかにも関わらず迅速な対応を行ったMicrosoftのサポートチームをDiachenko氏は称賛している。なお、データのほとんどは匿名化されているが、Microsoftによれば「@」の前後にスペースの入った電子メールアドレスなど、標準的な形式で表記されていないデータは匿名化されていなかった可能性もあるとのことだ。
14096110 story
iPhone

FBIから反対を受けたのち、AppleがiCloudバックアップのエンドツーエンド暗号化計画を取りやめていたとの報道 12

ストーリー by headless
中止 部門より
AppleはiPhoneのiCloudバックアップをエンドツーエンドで暗号化する計画だったが、米連邦捜査局(FBI)から捜査の障害になると反対を受けたのちに取りやめていたとReutersが報じている(Reutersの記事The Vergeの記事9to5Macの記事Mac Rumorsの記事)。

Appleは暗号化されたiPhoneからのデータ復元は不可能だとして捜査機関からの要請を一貫して拒否しているが、iCloudのデータは令状があれば提出している。しかし、エンドツーエンドで暗号化した場合はAppleが復号できなくなってしまう。

Reutersの情報提供者6名(FBIの職員1名/元職員3名、Appleの従業員1名/元従業員1名)によれば、2年以上前にAppleがこの計画をFBIに伝えたところ、iPhoneを使用している容疑者に関する最も効率的な証拠収集手段が失われると反対を受けたという。その翌年、Appleはこの計画を取りやめたとのこと。

別のApple元従業員は、犯罪者を保護していると当局から批判されるリスクを避けるため、Appleは計画を取りやめにしたと述べている。ただし、また別のApple従業員はユーザーがデータを失う可能性を懸念して計画を取りやめた可能性を指摘しているそうだ。

Reutersでは(FBIの反対を受けていたことを)Appleが計画を取りやめた理由として断定はできないと述べている。
14095008 story
プライバシ

Amazon・ベゾスCEOの携帯電話を狙った攻撃が行われたとの報道 21

ストーリー by hylom
スピア型攻撃 部門より

米Amazon.comのジェフ・ベゾスCEOの携帯電話がサイバー攻撃を受け、それによってプライベートな情報が流出したとの疑いが出ている(ウォール・ストリート・ジャーナルロイターAFP)。

この問題が発覚した発端は、ベゾス氏とその不倫相手とされる相手との間でやりとりされていたメッセージが漏洩したこと。これを受けて調査を行ったところ、サイバー攻撃を受けた可能性が浮上してきたという。サウジアラビアのハンマド・ビン・サルマン皇太子がベゾス氏に「悪意のある動画」を送信し、これが情報漏洩の原因になったという話も出ている。

14094998 story
インターネット

三菱電機を狙ったサイバー攻撃、トレンドマイクロのセキュリティソフトの脆弱性が悪用されていた 66

ストーリー by hylom
Windows標準機能を使っていれば良かったのでは 部門より

三菱電機を狙ったサイバー攻撃が行われ、さまざまな情報が流出したことが報じられているが(過去記事)、この攻撃にはトレンドマイクロのセキュリティソフト「ウイルスバスター」の脆弱性が悪用されていたという(共同通信)。

トレンドマイクロのセキュリティソフトに関しては、法人向け製品での脆弱性対応が遅いとの指摘も出ている。

なお、共同通信の記事タイトルでは問題のセキュリティソフトを「ウイルスソフト」と呼んでいることも話題になっている

14094173 story
インターネット

フィッシング詐欺メールを文面から見破ることは困難との指摘 73

ストーリー by hylom
見破れると思ってるほうが危険という説 部門より

日本テレビ系列の放送局で1月18日に放送された「世界一受けたい授業」という番組内で、フィッシング詐欺が取り上げられたという。しかし、そこで紹介された対策手法が正しくないとの指摘が出ている(Togetterまとめ)。

番組内ではメール内のURLを確認するといった手法が紹介されたようだが、昨今ではフィッシング詐欺メールを見破ることが困難であり、見た目や文面で区別することはほぼ不可能だという。そのため、たとえばサイトへのアクセスを求めるようなメールが届いた場合、そのメール内のURLではなく、ブックマークなどからアクセスするべきだと指摘されている。

14093303 story
情報漏洩

とある海兵隊員、演習中の自撮りで部隊は「全滅」扱いに 41

ストーリー by hylom
まあ駄目ですよね 部門より

海兵隊の演習中、ある隊員が自撮りを撮影していたことが原因でその部隊を「全滅」扱いにされるという出来事があったそうだ(Military.comMilitary BlogTogetterまとめ)。

この自撮りには部隊の火器が映り込んでおり、ここから位置情報なども取得できるため、この部隊については訓練において全滅したという扱いにされてしまったとのこと。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...