パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

14187000 story
iOS

Zerodium、iOSのエクスプロイトが多すぎて買取を一時停止 74

ストーリー by headless
大杉 部門より
ゼロデイ脆弱性を利用したエクスプロイトを高額で買い取るZerodiumは13日、特定の攻撃ベクターによるiOSのエクスプロイトは今後2~3か月買い取らないと発表した(ZerodiumのツイートThe Registerの記事Mac Rumorsの記事)。

買取停止の対象となる攻撃ベクターはiOSのローカルでの権限昇格(LPE)、Safariのリモートコード実行(RCE)、サンドボックス迂回の3種類。これらの攻撃ベクターに関連するエクスプロイトが多数送られていることが買取停止の理由だという。Safariを使用するものなどユーザーの操作が必要なエクスプロイトで、任意のアプリを永続的にインストールできないものについては、近く買取価格を引き下げる可能性が高いとのこと。

Safari RCEとサンドボックス迂回はiOS限定とは明記されていないが、Zerodium CEOのChaouki Bekrar氏は同日Zerodiumのツイートを引用し、iOSのセキュリティが大幅に低下しているとツイートした。Bekrar氏はポインタ認証コード(PAC)を迂回するエクスプロイトを数多く目にしており、任意アプリの永続的なインストールが可能なゼロデイエクスプロイトも複数存在するそうだ。Bekrar氏はiOS 14での改善を期待しているとも述べている。
14186478 story
暗号

Windows 10 Insider Preview、DNS over HTTPSがテスト可能に 16

ストーリー by headless
暗号 部門より
Microsoftが13日に提供開始したWindows 10 Insider Preview ビルド19628(アクティブな開発ビルド)では、DNS over HTTPS(DoH)の初期的なサポートが追加されている(Microsoft Tech Community - Networking Blogの記事BetaNewsの記事Softpediaの記事The Registerの記事)。

MicrosoftではDNSクエリを暗号化するDoHのサポート計画を昨年11月に発表していた。本ビルドのDoHサポートはデフォルトで無効になっており、テストするにはレジストリの「HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters」にDWORD値「EnableAutoDoh」を作成して値のデータに「2」をセットする必要がある。これでDoHクライアントが有効になり、ネットワーク接続で既知のDoHサーバーをDNSサーバーに指定すればDoHによる通信が行われるようになる。DNS(Client)サービスの再起動が必要になるとの記述もみられるが、手元の環境で試した限りでは上述のレジストリ値を設定/削除するとすぐ有効/無効になった。このレジストリ値はInsiderビルドでのテストを目的としたもので、一般リリースビルドではサポートされなくなるとのこと。
14185553 story
インターネット

ロシア、クリミア紛争で電子・サイバー・火力を組み合わせた作戦を展開 25

ストーリー by hylom
トリプルアタック 部門より

2014年からクリミア半島で発生しているロシアとウクライナの紛争では、サイバー攻撃と電子的攻撃、そして火力兵器による攻撃の3つを組み合わせた作戦が展開されていたという(産経新聞)。

ロシア軍はウクライナ軍に対し、まず電子兵器(電波兵器)などを使って無線通信を行えないようにしたうえで、兵士の携帯電話に対し虚偽の指令を出すメールを送信。それによって誘いだされたウクライナ兵に対して攻撃を行なっていたという。

14185652 story
ソフトウェア

「Huawei kernel self protection」と名付けられたLinuxカーネル向けコードに脆弱性、意図的なものではないかとの疑惑が出る 43

ストーリー by hylom
判断は難しい 部門より

Anonymous Coward曰く、

セキュリティ関連ソフトウェアを開発するOpenwall Project傘下でLinuxカーネル向けのセキュリティ強化機能を開発するKernel-hardening projectに対し、2020年5月、「Huawei kernel self protection」と名付けられたパッチが投稿された(投稿されたメール)。これはLinuxカーネルにいくつかのセキュリティ機能を追加するものだが、Linuxカーネル向けセキュリティ機能「Grsecurity」の開発者などによる精査の結果、このパッチはLinuxカーネルに悪用可能な脆弱性をもたらすことが発見されたという。そのため、HuaweiがLinuxカーネルに脆弱性をこっそり仕込もうとしたのではないかという陰謀論が巻き起こっている(ZDNetSlashdot)。

これに対し、Huaweiは「企業としてHKSPプロジェクトには関与していない」という声明を出した。このプロジェクトは同社に関連するエンジニア個人によって作成されたもので、同社による正式なものではないという。さらにこのコードは、Huaweiの製品で実際に使用されたこともないという。

現在このパッチが公開されているGitHub上のリポジトリでは名称が「aksp」(Another kernel self protection)に変更されており、またHuaweiのプロジェクトではないとの説明も追加されている

14185550 story
情報漏洩

日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 55

ストーリー by hylom
セキュリティソフトの効果とは 部門より

日本経済新聞社に対しサイバー攻撃が行われ、同社やグループ会社の社員の個人情報が流出した(日経新聞の発表プレスリリース)。

同社グループ従業員のPCがメールの添付ファイル経由でウイルスに感染し、そこから流出が発生したという。流出したのは同社のネットワーク端末を利用した同社および関連会社・団体、派遣社員、アルバイト、業務委託先社員など1万2514人分の情報で、氏名や所属、メールアドレスが含まれていた。読者や顧客、取材先に関連する情報の流出はないとのこと。

セキュリティソフトなどは導入しているが、今回のウイルスは検出できていなかったようだ。

14182644 story
お金

廃棄HDDをネットオークションで横流ししていた事件、被告は元勤務先に対し1900万円の賠償を支払っていた 45

ストーリー by hylom
安いのか高いのか 部門より

神奈川県庁が使用するサーバーで使われていたHDDの廃棄を依頼された企業の元社員が、これらを適切に処理せずにネットオークションで転売していたとして窃盗容疑で逮捕されていた事件で、東京地裁は懲役2年の求刑を行なった(テレビ朝日)。

なお、この男性はこの企業に対し被害賠償として約1900万円を支払っていたという。弁護側はこれを理由に執行猶予付き判決を求めたとのこと。

14180801 story
インターネット

「DEF CON中止のお知らせ」が現実に 4

ストーリー by headless
実現 部門より
毎年のように中止のお知らせが出回るDEF CONだが、今年のDEF CON 28は8月にラスベガスで予定されていたイベントが本当に中止となり、Discord上のバーチャルイベント「DEF CON 28 Safe Mode」として開催することが発表された(DEF CONのアナウンスDEF CON 28 Safe Mode FAQMashableの記事The Registerの記事)。

DEF CON中止のお知らせ(DEF CON is cancelled)は長年繰り返されたジョークであり、FAQページにも「Is DEF CON cancelled?」という質問に「No.」と回答する項目が存在した(Internet Archiveのスナップショット)。しかし、今年はCOVID-19の影響によりラスベガスでのイベントは開催不能との判断が示され、回答もそれを反映したものに変更されている。

DEF CON創始者のDark Tangent氏は4月11日の時点で中止を決断していたが、どのように中止するのかを検討するため発表までに時間がかかったとのこと。DEF CON 28 Safe Modeは8月6日のオリエンテーションに続いて7日~9日にリモート開催される。DEF CONのDiscordサーバーは8月6日に一般公開されるとのこと。なお、同時期にラスベガスで開催予定だったBlack Hat USAも中止となり、バーチャルイベントとして実施することが発表されている。
14179692 story
インターネット

三菱電機へのサイバー攻撃とそれによる情報漏洩、発覚したきっかけは不審な「Chrome.exe」 66

ストーリー by hylom
単なるツールの回答としては正しいがコンサルタントとしては…… 部門より

今年1月、三菱電機に対しサイバー攻撃が行われ情報が漏洩する事件が発生した(過去記事)。この事件についてはトレンドマイクロのセキュリティソフトの脆弱性が悪用されていたことも報じられているが、三菱電機のサイバー攻撃対策チームが攻撃を受けた際に見つかった不審なファイルをトレンドマイクロに送付して解析を依頼したところ、「異常なし」という回答を受けていたという話が報じられている(朝日新聞)。三菱電機の対策チームはこの回答を受け、独自に調査を行なった結果サイバー攻撃の痕跡を見つけ、情報漏洩が明らかになったそうだ。

問題の不審なファイルの正体はWindowsのコンポーネントの1つである「powershell.exe」だったとのことで、特に改変などもされていなかったことからトレンドマイクロは「異常なし」と判断したという。ただ、このプログラムはファイル名が「chrome.exe」に書き換えられており、また本来存在しないはずの「C:\ProgramData」ディレクトリ内に隔離されていたという。このファイルは、トレンドマイクロの「ウイルスバスター」は不審なものとして検出したことで存在が発覚したそうだ。

なお、このサイバー攻撃ではPowerShellに対し悪意のある命令を実行させるという手法が使われていたことが先に明らかになっている。

14178502 story
医療

愛知県、新型コロナ感染者495名の個人情報を誤って公開 62

ストーリー by hylom
人力作業の限界 部門より

Anonymous Coward曰く、

愛知県が運営している新型コロナウイルス関連の情報サイトで、感染者の氏名や入院先などを含んだExcel形式ファイルが誤って公開されていたようだ(NHKハフィントンポストJ-CASTニュース)。

本来は個人情報が載ったExcelファイルから個人情報部分を削除して、ダブルチェックの上で公式サイトにアップロードするはずが、連休で担当者が不在のため、一人で作成/承認して修正漏れに気づかずそのままアップロードしてしまったという。対策として、今後はダブルチェックを徹底するとのこと。

14178477 story
ゲーム

Wiiの設計情報やソースコードが流出? 14

ストーリー by hylom
なぜこの時期に 部門より

任天堂のゲーム機、Wiiの設計情報やソースコードなどが流出したという話が海外のゲーム関連情報サイトで報じられている(Nintendo Everythingresetera)。

流出したとされているのはファームウェアやOS、SDKのソースコード、システムコンポーネント図およびデータシート、内部ソフトウェアのAPIや実装に関するドキュメントなど。また、NINTENDO64のデモもいくつか流出しているという。流出元はWiiのハードウェアおよびソフトウェアの開発に関わっていたBroadOnという企業と見られている。

14177450 story
プライバシ

EFF曰く、AppleとGoogleによるSARS-CoV-2感染者との接触検出技術にはプライバシー保護とセキュリティ対策のさらなる強化が必要 23

ストーリー by headless
対策 部門より
AppleとGoogleが協力して開発を進める新型コロナウイルス(SARS-CoV-2)感染者との接触検出技術について、さらなるプライバシー保護およびセキュリティ対策が必要だとEFFが主張している(Deeplinks Blogの記事Computingの記事)。

この接触検出技術を使用するスマートフォンは毎日生成される秘密鍵を用いてRolling Proximity Identifier(RPID)と呼ばれる近接識別子を生成し、少なくとも5分ごとにRPIDを含むPingを送信する。RPIDは10~20分ごとに更新され、端末で生成した秘密鍵と他の端末から受信したRPIDは端末内にのみ2週間保存されるため、プライバシーリスクは最低限となる。

ただし、感染が判明したユーザーが保健当局に情報の共有を許可すると、秘密鍵が「diagnosis key (診断鍵)」として公開されることになる。他のユーザーはこの診断鍵を用いて接触の有無を確認できるのだが、悪意をもった人物が大量にRPIDを収集すれば、顔認識などの技術と組み合わせて感染者データベースを作ったり、感染者の行動範囲を地図上に表示したりといったことが可能になってしまう。そのため、EFFでは緩和策として秘密鍵の更新頻度を高くすることを提案している。

捜査当局が情報を利用してユーザー同士を関連付けることも可能となるが、ユーザーが必要に応じてアプリを無効化したり、特定期間のデータを削除したりできるようにすることで緩和できる。これではアプリの実効性が低下しそうだが、EFFは別の方法として強い暗号とパスワードによる保護も提案している。このほか、RPIDを生成したデバイスから送信されたかどうかを確認する手段がないため、受信したRPIDを再送信して精度を低下させるといった攻撃も考えられるとのこと。

この接触検出技術の第1段階はAPI提供で、AppleとGoogleは保健当局によるアプリ開発を意図したものだと説明している。ただし保健当局の多くは自前でのアプリ開発ができないため、開発を外部に発注することになる。そのため、外部の開発者がアプリを悪用しないように注意を払う必要もある。第2段階ではAppleとGoogleがOSに接触検出技術を組み込むことになるが、ユーザーの明示的な許可を確実に得る仕組みが必要だ。また、両社は感染拡大の危機的状況が終われば接触検出技術を削除すると述べているが、削除計画も明確にする必要があるとのことだ。

なお、AppleGoogleは4日、それぞれサンプルコードを公開した。
14176736 story
英国

英国家サイバーセキュリティセンター、用語「whitelist」「blacklist」を使用中止へ 199

ストーリー by headless
白黒 部門より
英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)は4月30日、サイバーセキュリティ用語としてこれまで使用してきた「whitelist」「blacklist」の使用をやめ、「allow list」「deny list」へ置き換えることをブログで発表した(NCSCのブログ記事The Registerの記事)。

現在、サイバーセキュリティの現場では「許可」「不許可」を示す用語として「whitelisting」「blacklisting」が普通に使われている。しかし、これは「white」を良い、「black」を悪いと結び付けた場合にのみ意味を成す表現であり、「allow list (許可リスト)」「deny list (不許可リスト)」と表現する方が明確だ。用語の置き換えはサイバーセキュリティから人種差別を取り除くのにも役立つという。

このような用語置き換えをする計画はないかと取引先から尋ねられたNCSCのEmma W氏は、なぜもっと前に気付かなかったかと自分の頭を叩き、すぐに変更すると喜んで回答したそうだ。W氏によれば、人種的ステレオタイプに影響を受けない人は幸運であり、悪い影響を受ける人にとっては価値ある変更とのこと。今後、NCSCはWebサイトでの用語置き換えを順次進めていく。ブログ記事が同様の変更を検討している組織を後押しすることにつながることも望んでいるとのことだ。

NCSCテクニカルディレクターのIan Levy氏は「これ(用語の置き換え)が狂ったポリティカルコレクトネスだと意見しようと思っているなら、その必要はない」と(NCSC運営委員会の全会一致による支持を受けたうえで)述べているそうだ。
14174969 story
お金

イオン銀行が指認証サービス終了、現在の認証技術では一部の利用者の認証に時間がかかるため 27

ストーリー by hylom
指先一つで、は難しかったか 部門より

イオン銀行が、指紋と静脈を使った2要素生体認証サービスを7月31日で終了することを発表した

同サービスについては、一部顧客の利用時に認証に時間がかかるという問題があったそうだ。しかし、改良を加えてはいるものの、現在の認証技術ではすべての顧客に「均一なサービスを提供できない」としてサービス中止を発表した。

イオン銀行は2016年に指紋認証のみで銀行取引を行える実証実験を開始しており(流通ニュース)、その後2017年11月より本格導入を初めていた(当時のプレスリリース)。

14173716 story
ニュース

ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性、ただしは多くのソフトで修正済み 22

ストーリー by hylom
特権を持つソフトの脆弱性 部門より

ウイルス対策ソフトがマルウェアなどを削除するタイミングで競合状態を発生させることで、OSに必要なファイルなどを破壊できるという攻撃手法が報告されている(PC Watch)。

ウイルス対策ソフトはマルウェアを含むファイルを検知した場合、そのファイルを削除もしくは隔離するが、そのタイミングで削除・隔離対象のファイルをジャンクションやシンボリックリンクに置き換えることで、そのジャンクションやシンボリックリンクが参照しているファイルやディレクトリを削除できるという。ウイルス対策ソフトは多くの場合特権を持っているため、この手法ではシステムファイルなども削除できてしまうことが問題だとされている。

14173709 story
通信

PCの冷却ファンを制御してPCの筐体を振動させ、その振動を使ってスマートフォンと通信する手法が開発される 9

ストーリー by hylom
新ネタ 部門より

ネットワークに接続されていないコンピュータから情報を盗み出す手法は過去にいくつか紹介されているが、新たな手法として「冷却ファン由来の振動を使ってPCからスマートフォンに情報を送信する」という手法が開発された(GIGAZINE論文)。

こういった手法としては、PCの発する熱を利用するものハードディスクのシーク音を利用するもの冷却ファンのノイズを利用するものなどが過去に提案されていたが、今回提案されているものは冷却ファンの回転数を意図的に操作することでPCの筐体を振動させ、その振動をスマートフォンの加速度センサー経由で取得して解析することで情報をやり取りするというもの。

なお、この手法を利用してデータを盗む場合、対象のPCに対しあらかじめ送信したいデータを冷却ファンの回転数変化パターンにエンコードするマルウェアをインストールしておく必要がある。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...