パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

14135377 story
バグ

オープンソースソフトウェアの脆弱性、2019年は前年から50%近く増加したとの調査結果 57

ストーリー by headless
増加 部門より
WhiteSourceの年次報告書「The State of Open Source Security Vulnerabilities」によると、2019年に報告されたオープンソースソフトウェアの脆弱性は前年から50%近く増加していたそうだ(BetaNewsの記事The Registerの記事)。

データはWhiteSourceがNVD(National Vulnerability Database)のほか、セキュリティアドバイザリやピアレビュー型の脆弱性データベース、バグトラッカーから収集したもので、2019年のオープンソースソフトウェアの脆弱性は6,000件を超えているという。オープンソースソフトウェアの脆弱性は85%が公表時点で修正されている一方、NVDに掲載されるのは84%にとどまる。当初はNVDに報告されないものも45%にのぼり、29%はいずれNVDに掲載されるものの数か月のタイムラグがあるとのこと。

オープンソースソフトウェアの脆弱性で最も多いのはCで書かれたものだ。ただし、2009年~2018年のデータでは脆弱性の47%を占めていたのに対し、2019年は30%まで減少している。一方、PHPは15%から27%に増加した。脆弱性の種類ではC以外の言語(C++/Java/JavaScript/PHP/Python/Ruby)でXSS(CWE-79)が最多、不適切な入力確認(CWE-20)と情報漏洩(CWE-200)が続く(Rubyのみ逆順)のに対し、Cではバッファーエラー(CWE-119)・領域外読み込み(CWE-125)・NULLポインター参照(CWE-476)の順になっている。
14135233 story
Windows

Microsoft、SMBv3の脆弱性を修正する更新プログラムを公開 16

ストーリー by headless
修正 部門より
Microsoftは12日、SMBv3(Microsoft Server Message Block 3.1.1)の脆弱性(CVE-2020-0796)を修正する更新プログラム(ビルド18362.720/18363.720)を公開した(KB4551762セキュリティ更新プログラムガイド)。

この脆弱性はSMBv3プロトコルが特定のリクエストを扱う方法に存在するリモートコード実行の脆弱性で、攻撃者が悪用すればSMBサーバー上またはSMBクライアント上でのコード実行が可能になるという。SMBサーバーを攻撃するには細工したパケットを送り付ければよく、SMBクライアントの攻撃では攻撃用のSMBv3サーバーを設置してターゲットに接続させればいい。脆弱性の影響を受けるのはSMBv3圧縮が導入されたバージョン1903以降のWindows 10/Serverのみとなっている。

もともとCVE-2020-0796は3月の月例更新プログラム(KB4540673)で修正予定だったようだ。KB4540673には修正が含まれていなかったのだが、脆弱性情報が予期せず公開されてしまったため、Microsoftは緩和策を含むセキュリティアドバイザリ(ADV200005)を公開していた(Ars Technicaの記事BetaNewsの記事[1][2])。
14135222 story
医療

RSA Conference、参加者2名がCOVID-19検査で陽性 32

ストーリー by headless
陽性 部門より
RSA Conferenceは10日、2月に開催したRSA Conference 2020参加者のうち2名が最近になって新型コロナウイルス感染症(COVID-19)の検査で陽性と判定されたことを公表した(RSA ConferenceのCOVID-19更新情報)。

RSA Conference 2020はCOVID-19感染拡大の懸念から出展取りやめが相次ぐ中、米国・サンフランシスコのモスコーネセンターで2月24日に開幕。2月25日にはサンフランシスコ市長がCOVID-19に関する非常事態宣言を出したものの、予定通り2月28日まで開催された。同じ会場で3月16日から開催が予定されていたGDC 2020は延期となっている。

2名がイベント来場時に症状が出ていたのか、潜伏期間中だったのかといった情報は現在のところ得られておらず、保健当局の調査に協力している段階だという。RSA Conferenceでは状況を引き続き監視しており、すべてのイベント参加者が必要な対策を取れるよう情報を随時公表すると述べている。

一方、RSA Conference 2020に出展していたExabeamによると、感染者2名は同社の従業員のようだ。感染時期がイベント前なのかイベント後なのかは判明していないが、同社ブース訪問者やパーティー参加者などには個別に連絡しているとのこと。Bloombergによるとうち1名は深刻な状況だという(Exabeamのツイート[1][2]Bloombergの記事The Registerの記事)。

RSA Conferenceでは7月に予定していたRSA Conference 2020 Asia Pacific & Japanをバーチャルイベントにすることも発表している。
14134811 story
セキュリティ

ロウハンマー、DDR4でも解決せず 20

ストーリー by hylom
これはハードな 部門より

Anonymous Coward曰く、

メモリの特定アドレスに特定のパターンで頻繁にデータを書き込むことで、その周辺アドレスの内容を書き換えられるという脆弱性「ロウハンマー(Row Hammer)」攻撃はDD4メモリでも有効だという報告がなされた(窓の杜JVNVU#99239584)。

ロウハンマー攻撃はメモリの物理的構造に由来するもので、単にデータを破損させてシステムをクラッシュさせる攻撃に使えるだけでなく、これを悪用してAndroidにおいて非特権プロセスから本来得られない特権を取得する手法が見つかっている(PC Watchによる解説記事)。

DDR4メモリを使用するシステムではこの攻撃への対策として「 TRR(Target Row Refresh)」という機能を備えているものが多いそうだが、このTRRには複数の実装形態があり、実装形態に応じてパターンを工夫することで攻撃が可能になっているという。

14134707 story
インターネット

「新型コロナは体調管理ができていない証拠」との求人広告、IDを知る元従業員が不正アクセスで改ざんしたものとの発表 57

ストーリー by hylom
担当者が変わったらパスワードを変えましょう 部門より

Anonymous Coward曰く、

先日、「新型コロナは体調管理ができていない証拠」などとうたった求人広告が炎上する事案があった。この求人広告を出していた企業は、不正アクセスによる改ざんと発表していたが、その後調査の結果、同社の元従業員が嫌がらせ目的でこれを行なったと同社が発表している(ITmedia)。

求人サイトの管理用IDやパスワードを知る元従業員が、在職当時の12月下旬に嫌がらせ目的で虚偽のメッセージを掲載したという。その後この社員は退職したが、IDやパスワードは変更されていなかったために改ざんが続けられていたという。

なお、この元従業員が働いている企業は対応の完了後に責任を取って辞任するとしている

14134561 story
Android

イラン政府公式の新型コロナウイルス対策アプリ、Google Playストアから削除される 5

ストーリー by hylom
確かにコロナ感染が分かるアプリは詐欺だ 部門より

Anonymous Coward曰く、

Googleはイラン政府公式のAndroidアプリをPlayストアから削除した。このアプリはコロナウイルスによる新型肺炎(COVID-19)の感染をチェックしたり、追跡したりするためのものだという。このアプリをめぐっては、Playストアから削除される前に議論があった。イラン政府はCOVID-19の恐怖を利用して市民にこのアプリをインストールさせ、これを使って電話番号とリアルタイムの地理的位置データを収集するとするものだ。

ZDNetはESETのAndroidマルウェア研究者であるLukas Stefanko氏に、このアプリにスパイウェアのような動作がないか調査を求めた。その結果「アプリのAPKを分析したところ、このアプリはトロイの木馬やスパイウェアではありません」とStefanko氏は語っている。

Googleの広報担当者は、アプリが削除された理由についてはコメントしなかった。ただし、Playストアポリシーに詳しい情報筋はZDNetに対し、アプリではとうてい不可能な「COVID-19感染を検出できる」という誤解を招く主張があったために削除された可能性が高いとしている(ZDNetSlashdot)。

14132516 story
テクノロジー

複数メーカーの自動車のイモビライザに脆弱性、RFIDリーダーを使って暗号鍵を推測可能 13

ストーリー by hylom
リスクは低いが悪用の仕方はある感じ 部門より

乗用車のキーレスエントリーシステムにおける脆弱性は度々話題となっているが、物理的な鍵を採用する乗用車においても脆弱性があり、これを悪用することで無線で車両のイモビライザーを無効化できてしまうという(WIRED)。

この脆弱性は、Texas Instruments製の「DST80」と呼ばれる暗号化システムを使った車両に存在するもので、比較的安価に入手できるRFIDリーダーを使って自動車のキーフォブ(いわゆるリモートコントロールキー、スマートキー)からその秘密鍵を推測するのに十分な情報を得られてしまうのだという。さらに、このRFIDリーダーを使ってイモビライザーを無効化できてしまうそうだ。

ただし、この脆弱性を悪用するには、RFIDリーダーをキーフォブの2.5~5cmほどの距離に近づける必要があり、またキーシリンダーは物理的に解錠しなければならないため、利用できる状況は限られているという。

なお、この脆弱性はDST80自体に問題があるわけではなく、車両メーカーによる実装方法に問題があり、起亜自動車、現代自動車、トヨタ自動車の一部車両で影響があるという。これに対しトヨタは物理的なキーが必要になることなどから「リスクが低い」としている。

14131653 story
Intel

Intelのセキュリティ機能CSMEに存在する脆弱性、ハードウェアに物理的にアクセスできなくとも悪用できるとの指摘 28

ストーリー by hylom
結局どっちなんだ 部門より

Anonymous Coward曰く、

Intelは2019年、同社CPUに搭載されているセキュリティ機能「Converged Security and Management Engine(CSME)」の不具合を修正するパッチ「Intel-SA-00213」をリリースした。しかし、このパッチでは問題を根本的には解決できないとの指摘が出ている(ZDNet JapanSlashdot)。

Positive Technologiesが米国時間3月5日に公表した報告書によると、過去5年間にリリースされたIntel製チップセットの大半にこの脆弱性が含まれているという。攻撃は検出が不可能で、Intelのパッチは問題を部分的にしか解決しないとしている。

問題の脆弱性(CVE-2019-0090)は、ハードウェアに物理的にアクセスすることで、権限のないユーザーが特権を取得できる可能性があるというもの。しかし、報告によるとこの不具合は物理的にシステムにアクセスできない場合でも、たとえばデバイス上で動作するマルウェアなどがこの脆弱性を悪用することができるという。また、対策としてはCPUを交換することしかないともされている。

一方Intelは、この不具合を悪用するには物理的なアクセスが必要であるとの立場を崩していないようだ。

14131793 story
インターネット

「新型コロナは体調管理ができていない証拠」などとうたった求人広告が炎上、企業側は不正アクセスによる改ざんと発表 106

ストーリー by hylom
そんなことを言う役員はいなかったんですね 部門より

採用支援サービス「engage」上で、「執行役員からのメッセージ」として「新型コロナだって体調管理ができてない証拠」「気持ちいれて働いてたらかからない」などと記載していた企業が批判を浴びている。これに対しこの企業側は本人の投稿ではなく、不正アクセスで内容が改ざんされたなどと主張している(キャリコネニュースBuzzap!Togetterまとめ)。

この企業側の説明によると、「執行役人本人が投稿したものではない」「本人になりすました悪質な投稿」であり、社内でサイトの管理に使われていたIDが不正に使われた可能性があるとしている。なお、この企業の求人ページでは「残業代は一切出しません」などと書かれていたことも指摘されている。

14131607 story
AMD

セキュリティ研究者ら、AMD CPUの新たな脆弱性を発見したと報告。AMDは否定 25

ストーリー by hylom
結局どっちなんだ 部門より

研究者らが、2011年以降のAMDプロセッサーにおいて2種類の脆弱性を発見したと発表した(Engadget日本版窓の杜ZDNet)。

これらはAMDプロセッサのL1Dキャッシュの挙動に関するもので、これを悪用することでデータ漏洩もしくはデータに関する手がかりを得ることができるという。

なお、AMDはこれら脆弱性は新しいものではなく、すでにリリースされているパッチで緩和できると述べているが、研究者らはこれに対しAMDの反応はミスリーディングを誘うものだと否定している。ただ、以前問題となったMeltdownなどの脆弱性と比較すると影響は小さいとも述べられている。

14130740 story
インターネット

国立感染症研究所のWebサーバーでCGIに脆弱性、踏み台として使われる 30

ストーリー by hylom
いにしえの 部門より

国立感染症研究所のサーバーに脆弱性があり、このサーバーを踏み台とした不正行為に使われていたことが発覚した(日経xTECH)。

問題のサーバーは2012年まで公式Webサイトで使われていたもので、その後ファイルサーバーとして使われていたという。このサーバー上で動いていた「20年以上前にPerl言語で作られたCGIプログラム」に脆弱性があり、これを狙った攻撃によってサーバーが外部から操作されてしまったという。

14130108 story
バグ

2019年に報告された脆弱性が最も多い製品はAndroid 93

ストーリー by headless
製品 部門より
VPN比較サイトTheBestVPNの集計によると、2019年に報告された脆弱性が最も多い製品はAndroidだったそうだ(リポート9to5Googleの記事)。

データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。

一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。

なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
14129888 story
暗号

Let's Encrypt、証明書およそ300万件の強制失効処理を取りやめ 38

ストーリー by headless
影響 部門より
Let's Encryptでは標準に準拠せずに発行した可能性のある証明書およそ300万件を3月5日12時までに失効させる計画を示していたが、最終的に取りやめたそうだ(Let's Encrypt Community Supportの記事[1][2]MozillaのBugzillaArs Technicaの記事The Registerの記事)。

この問題はLet's EncryptのCAソフトウェアBoulderがCAAレコードを再チェックするコードのバグが原因で発生した。Let's Encryptではドメイン所有者確認を30日間有効としているが、CAAレコードは証明書発行の8時間以内のチェックが必要だ。そのため、ドメイン所有者確認から8時間以上経過した証明書発行申請に対してはCAAレコードの再チェックが行われることになる。しかし、申請にN個のドメインが含まれていた場合、Boulderは1個のみを選択してN回チェックしていたとのこと。これにより、ドメイン所有者確認後にLet's Encryptによる証明書発行を禁ずるCAAレコードがインストールされたドメインにも証明書を発行していた可能性がある。

Boulder にバグが追加されたのは2019年7月25日で、バグは2月29日に確認された。影響を受ける可能性のある証明書の大半にセキュリティリスクはないとみられるが、標準に準拠せずに発行した証明書は失効させる必要があるという業界の取り決めに従い、Let's Encryptが発行したアクティブな証明書の2.6%に相当する3,048,289件の失効処理を3月5日5時に開始すると発表。CAAレコードでLet's Encryptによる証明書発行が禁じられていた445件の証明書をはじめ、既に置き換えられているものや使われていないもの計1,711,396件はコンプライアンス期限の5日12時までに失効処理を完了した。しかし、残る1,336,893件のうち65%はインターネットスキャンで使用中であることが確認され、あとの35%は状態を確認できなかったとのこと。

そのため、強制的に証明書を失効させない方がインターネット利用者の利益にかなうと判断したそうだ。その後、295,799件の証明書を6日までに失効処理しており、37,499件は失効処理する前に期限切れになったという。Let's Encryptが発行する証明書の有効期限は90日間であり、影響を受ける証明書は今後、毎日数千~数万件が有効期限を迎えることになる。失効処理を行わなくても5月29日にはすべて期限切れとなるが、利用者に影響を与えないと確信し次第、より多くの証明書の失効処理を行う計画とのことだ。
14129444 story
インターネット

Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 17

ストーリー by headless
放置 部門より
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事BetaNewsの記事The Registerの記事)。

サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。

Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。
14126075 story
アメリカ合衆国

「パスワードは複雑さより長さが大切」 FBIが指南 70

ストーリー by hylom
現実的な答え 部門より

FBIの技術部門が、パスワードやパスフレーズを使ったセキュリティ向上のための手法を解説しているITmedia)。

ここで推奨されているのが、長いパスワードを使うという手法。短く複雑なパスワードは覚えにくいため、それよりも複数の単語から構成される長いパスワードを使う方が良いという。その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。また、複数の関連性のない単語を入れるとより良いそうだ。

なお、ここではNIST(米国立標準技術研究所)による安全なパスワードに関する次のような提案も紹介されている。

  • 15文字以上のパスワードを必須とする。大文字/小文字、特殊文字の混在を必須にする必要はない
  • ネットワークへの不正侵入が発生したという場合を除き、パスワードを強制的に変更させる必要はない
  • 辞書に載っているような単語や「安全でないパスワード」の使用は禁止
  • 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
  • パスワードの「ヒント」は許可しない
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...