アナウンス:スラドとOSDNは受け入れ先を募集中です。
イオン銀行が、指紋と静脈を使った2要素生体認証サービスを7月31日で終了することを発表した。
同サービスについては、一部顧客の利用時に認証に時間がかかるという問題があったそうだ。しかし、改良を加えてはいるものの、現在の認証技術ではすべての顧客に「均一なサービスを提供できない」としてサービス中止を発表した。
イオン銀行は2016年に指紋認証のみで銀行取引を行える実証実験を開始しており(流通ニュース)、その後2017年11月より本格導入を初めていた(当時のプレスリリース)。
ウイルス対策ソフトがマルウェアなどを削除するタイミングで競合状態を発生させることで、OSに必要なファイルなどを破壊できるという攻撃手法が報告されている(PC Watch)。
ウイルス対策ソフトはマルウェアを含むファイルを検知した場合、そのファイルを削除もしくは隔離するが、そのタイミングで削除・隔離対象のファイルをジャンクションやシンボリックリンクに置き換えることで、そのジャンクションやシンボリックリンクが参照しているファイルやディレクトリを削除できるという。ウイルス対策ソフトは多くの場合特権を持っているため、この手法ではシステムファイルなども削除できてしまうことが問題だとされている。
ネットワークに接続されていないコンピュータから情報を盗み出す手法は過去にいくつか紹介されているが、新たな手法として「冷却ファン由来の振動を使ってPCからスマートフォンに情報を送信する」という手法が開発された(GIGAZINE、論文)。
こういった手法としては、PCの発する熱を利用するものやハードディスクのシーク音を利用するもの、冷却ファンのノイズを利用するものなどが過去に提案されていたが、今回提案されているものは冷却ファンの回転数を意図的に操作することでPCの筐体を振動させ、その振動をスマートフォンの加速度センサー経由で取得して解析することで情報をやり取りするというもの。
なお、この手法を利用してデータを盗む場合、対象のPCに対しあらかじめ送信したいデータを冷却ファンの回転数変化パターンにエンコードするマルウェアをインストールしておく必要がある。
ベトナム政府がコロナウイルスによる新型肺炎(COVID-19)対策のため、中国政府機関へのサイバー攻撃を試みていたという話が出ている(QUARTZ、Register、New York Times)。
セキュリティ企業FireEyeがブログで公表した調査結果によると、ベトナム政府とつながりのある「APT32」というハッカー集団が、中国政府の緊急危機管理機関に対しフィッシングメールを送信していたという。このフィッシングメールのタイトルは中国語で書かれており、明確に中国内の組織・人物をターゲットにしていたそうだ。
攻撃が最初に確認されたのは1月6日で、このメールを開くとその旨が送信者に通知されるようなコードが含まれており、その後このメールを開いた人物をターゲットにマルウェアが送信されていたという。
最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。
この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。
iOSのメール機能に新たな脆弱性が確認された。細工されたメールを開いたり受け取ることで悪意のあるコードが実行される可能性があるという(ITmedia)。
この脆弱性はセキュリティ企業のZecOpsが発見したもの。メールの内容に細工を加えることでiOSでの処理時に大量のメモリを消費させ、それによって意図しないコード実行を引き起こせるという。実際に大きいサイズのメールを作成する必要はなく、意図的に細工を加えたRTFやマルチパートメッセージなどを含むメールで実現できるそうだ。
iOS 12ではメールをメールアプリで開くことでこの不具合が発生するが、iOS 13ではメールアプリがバックグラウンドでメールを読み込むことで不具合が発生することから、ユーザーが気づかないまま攻撃を受ける可能性もあるという。
Anonymous Coward曰く、
任天堂関連のハードウェアやサービスで使われる「ニンテンドーアカウント」で、不正ログインが多発しているという(ZDNet、IGN Japan、Slashdot)。
不正ログインは3月中旬ごろから発生、4月の第2週の週末にはピークに達したという。これによって、未知のIPアドレスからのアクセスがあったとする警告の出るユーザーが増えているという。実際に不正ログインを受け、連携済みのPayPalアカウントで不正な支払いが行われたとの報告もある。任天堂側も問題を確認しており、状況を調査しているとのこと。
攻撃にどのような手法が使われているかはまだ分かっていないが、いわゆる総当たり攻撃やリスト型攻撃ではない手法が使われている可能性もあるようだ。
米任天堂はこれに対し、対策方法の1つとして2段階認証の利用を推奨している。
Anonymous Coward曰く、
自動運転技術を開発しているスタートアップ企業「Zoox」が、テスラから機密文書を持ち出していたことを認めた。テスラから移籍した新入社員の一部が、内部の手順書などを持ち込んだという。持ち込まれたドキュメントは倉庫管理に関するもので、出荷や受け取りなどの手順が含まれていたとしている。
Zooxはテスラに金銭を払うことで和解したようだ。支払われた金額は非公開となっている。テスラはZooxの従業員がテスラの機密情報を保持していないか確認するための監査を行うとしている。Zoox側は「これらの従業員の行動を後悔している」とし、機密性トレーニングを実施して、すべてのZoox従業員が機密性の義務を認識できるようにするとしている(The Verge、Slashdot)。
Hamo73曰く、
Gitの「credential helper」コンポーネントにおけるURL処理に深刻度の高い不具合が見つかった。このコンポーネントはパスワードなどの認証情報を接続先サーバーに送信するものだが、URLの処理に問題があり、細工されたリポジトリURLなどに対しクローンを実行することで、意図しているものとは異なる任意のサーバーに認証情報を送信してしまうという(公開されている脆弱性情報、Security NEXT)。
この脆弱性を悪用し、エンコードした改行を含む細工したURLを用いることで、任意のサーバーの認証パスワードを取得し、他の任意のサーバーに送信させることができるという。対処済みのバージョンとしてバージョン2.17.4、2.18.3、2.19.4、2.20.3、2.21.2、2.22.3、2.23.2、2.24.2、2.25.3、2.26.1がリリースされている。また、とりあえずの回避策としてはcredential helperの無効化が挙げられている。
Gitではサブモジュールを含むリポジトリをクローンする場合やツール経由でクローンを行う場合など、URLを意識せずにクローン処理が実行されるケースがあり、こうした場合に細工されたURLであるとは認識せずにクローン処理を実行してしまう危険性もあるという。
パナソニックが製造・販売している、専用工具不要で結線できるCAT6/CAT5eケーブル向けモジュラープラグ「ぐっとすプラグ」を利用して、数秒でLANケーブルにパケット盗聴器を接続するという手法があるそうだ(DARK MATTER)。
ぐっとすプラグは、プラグに取り付けられた接点にケーブル芯線をはめ込んでキャップをつけるだけでケーブルへのプラグ接続が完了するというもの。このプラグは構造上芯線を切断せずにプラグを取り付けられるため、盗聴したいケーブルに対し2箇所で被覆を剥いてプラグを接続し、その後接続した2つのプラグ間のケーブルを切断すると共に2つのプラグをリピータハブに接続することで、数秒でケーブルにリピーターハブを取り付けられるという。
実際にこの作業を行なった実験では、この作業によってLANケーブルによって接続されていた機器間のリンクが切断された時間は5秒だったとのこと。
Anonymous Coward曰く、
香川県警で、容疑者1人の名前や逮捕年月日、罪名、事件の被害を受けた法人名などが記載された内部資料を、誤って新聞折込チラシとして配達してしまうというトラブルが発生した(共同通信、朝日新聞、毎日新聞、NHK)。
うっかり募集のチラシと一緒に印刷してしまって配布したのかとも思ったのだが、印刷したチラシの中に2枚だけ内部資料が混入したという話だそうで。
この資料を印刷したプリンタではその前後に別の署員が折込チラシを印刷しており、折込チラシに資料が混ざった状態でそのまま配達所に持ち込まれてしまったと見られている。混入した資料は2枚とされているが、うち1枚を見つけた新聞読者が県警に連絡して発覚した。もう1枚はまだ見つかっていないという。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy