パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

14290342 story
Chrome

Chrome 85、AndroidでもSecure DNSが順次利用可能に 10

ストーリー by headless
順次 部門より
Googleは2日、Chrome 85でSecure DNSをAndroid版Chromeでも利用可能にする計画を示した(Chromium Blogの記事Ghacksの記事Android Policeの記事)。

Secure DNSはDNS-over-HTTPS(DoH)プロトコルを利用するもので、デスクトップ版ではChrome 83から順次導入されている。Android版でも同様に順次導入されていき、デフォルトでは現在使用しているDNSプロバイダーがDoHをサポートしていれば自動で切り替えられる。自動モードの場合は状況に応じて通常のDNSにフォールバックし、定期的にDoHでの接続を試みるという。フォールバックなしでSecure DNSを使用するには、DNSプロバイダーをマニュアル設定するオプションを選択すればいい。Secure DNS自体をオフにすることも可能だ。
14287087 story
MacOSX

Appleの公証を受けたマルウェアによるアドウェアキャンペーンが発生 16

ストーリー by nagazou
認知 部門より
headless 曰く、

AppleはDeveloper IDで署名されたMac用ソフトウェアに対する「公証」の仕組みを用意しているが、この公証を受けたマルウェアによるアドウェアキャンペーンが確認されたそうだ(Objective See's Blogの記事Malwarebytes Labsの記事WIREDの記事The Vergeの記事)。

公証は審査ではなく、Appleが提出を受けたソフトウェアを自動的にスキャンしてセキュリティチェックを実行するというもので、数分で完了するという。公証済みソフトウェアにはチケットが添付され、Gatekeeperが認識できるようになる。macOS Mojave 10.14以降では公証済みソフトウェアを初めて実行する際にGatekeeperが既知のマルウェアでないことを表示するようになっている。macOS Catalina 10.15以降ではDeveloper IDで署名されたソフトウェアの実行に公証が必須となっており、今年2月には要件が厳格化された。

発見された公証済みマルウェアはFlash Playerアップデートに偽装するアドウェアOSX.Shlayerのバリアント。TwitterユーザーのPeter H. Dantini氏(@PokeCaptain)が発見し、元NSAハッカーでセキュリティ研究者のPatrick Wardle氏が詳細な調査結果を公表した。Wardle氏から報告を受けたAppleは署名に使われた開発者の証明書を8月28日に失効させているが、8月30日には別の公証済みマルウェアによるアドウェアキャンペーンが継続していることが確認されたという。Wardle氏の記事はここで終わっているが、Appleは後者の署名に使われた証明書も失効させたとWIREDに説明しているとのことだ。

14286079 story
日本

IPA、中小事業者向けのネット接続できる製品の開発ガイドラインなどを公開 20

ストーリー by nagazou
作る方も買う方も大変 部門より
あるAnonymous Coward 曰く、

情報処理推進機構(IPA)が8月27日、「脆弱性対処に向けた製品開発者向けガイド」というものを作ったそうだ。同様に一般消費者向けにもネット接続可能な製品を選ぶ上でのガイドや、製品を利用する上注意点をまとめたガイドについても公開している(脆弱性対処に向けた製品開発者向けガイドネット接続製品の安全な選定・利用ガイド -詳細版-)。

脆弱性対処に向けた製品開発者向けガイドでは、ネットに接続する機器の開発で、セキュリティ対策としてやるべき方向性などをチェックリスト化。中小規模の事業者でも脆弱性への対処をしやすくするためのもの。リストでは3段階のレベルが設定されており、レベルを段階的に上げていくことで、製品のセキュリティレベルをアップさせることができるとしている。ちなみに結構ざっくりとした内容だったりする。

例えば製品セキュリティポリシーのチェックリストを抜き出すとこんな感じだ。

製品セキュリティポリシーの策定

  • レベル1 製品セキュリティに関する方針・考え方を、製品セキュリティポリシーとして策定します。
  • レベル2 製品セキュリティに関する方針・考え方を、製品セキュリティポリシーとして策定し、外部に開示します。
  • レベル3 製品セキュリティに関する方針・考え方に加え、実施事項を含めて製品セキュリティポリシーとして策定し、外部に開示します。

同じ日に一般消費者向けのネット対応製品購入時のガイドや、利用上の注意点をまとめたガイドを公開している

製品選びをまとめた「デザインや性能、価格だけで選んでいませんか?」では、概要だけを求めた小冊子(PDF版)詳細版(PDF版)の2種類が用意されている。詳細版ではチェック項目として、アップデート機能があるかどうかやセキュリティ関連の情報がメーカーの公式サイト上にあるかといった注意点などが記載されている。

利用上の注意をまとめた「購入した製品を、そのままの状態で使い続けていませんか?」でも小冊子(PDF版)詳細版(PDF版)の2種類がある。こちらも詳細版によれば、購入時にデフォルトパスワードを変更することやアップデートの適用、サポートの終了時期のチェックなどを行うことを求めている。

14286045 story
暗号

Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 5

ストーリー by nagazou
暫定復活 部門より
headless 曰く、

MicrosoftがMicrosoft Edge 85以降を対象に、限定的ながらSHA-1証明書で保護された接続を許可できるようにするグループポリシーを追加していたようだ(Microsoft Edge - ポリシーMicrosoft Tech Communityの記事The Registerの記事ビジネス向けEdge ダウンロードページ)。

SHA-1証明書で保護された接続が許可される条件となるのは、ローカルにインストールされたルート証明書にチェーンした有効なSHA-1証明書であること。ポリシーは既存のアプリケーションとの互換性を保つためにSHA-1証明書を必要とする企業のために追加されたといい、Active Directoryドメインに参加しているWindowsインスタンスやデバイス管理に登録されているWindows 10 Pro/Enterpriseインスタンス、MDMを使用するmacOSインスタンスのみが利用できる。

Internet Explorer 11とレガシーMicrosoft Edgeでは2017年からSHA-1証明書をブロックしており、新ポリシーは追加時点で非推奨という珍しいことになっている。MicrosoftではSHA-1チェーンが安全ではないことを周知するためにポリシーをセキュリティベースラインに追加しており、一刻も早くSHA-1証明書への依存から脱却するよう呼びかけている。このポリシーは2021年中頃リリースのMicrosoft Edge 92で削除される予定とのことだ。

14285398 story
インターネット

note、Internet Archiveで保存できなくなる、古いドメインはブロック 36

ストーリー by nagazou
魚拓失敗 部門より
Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ(5ちゃんねるの書き込み)。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。

5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。

あるAnonymous Coward 曰く、

またこれで保存できなくなって2020年代のインターネットの歴史に空白が生まれましたとさ

情報元へのリンク

14280673 story
犯罪

米国でテレワーカーをターゲットにした詐欺が横行。偽VPNページにアクセスさせて情報搾取 13

ストーリー by nagazou
手口が巧妙 部門より
あるAnonymous Coward 曰く、

新型コロナウイルスの影響でテレワーカーが増加しているが、米国ではそのテレワーカーを狙ったビッシングキャンペーンと呼ばれる詐欺が7月から増えているそうだ(FBI[PDF]マイナビ)。

この手法では、社内向けのVPNのログインページに似せたフィッシングサイトを作成する。SNS上のプロフィールなどを使って企業のヘルプデスクであるかのように装い、電話を使用してターゲットとなる人物に連絡を取る。ターゲットに対してVPNリンクを送信してログインさせる。このとき偽のVPNサイトにはSSLや二要素認証なども使用することで相手を信用させる工夫がされているとのこと。

FBIは対策として、ハードウェアを使用してVPN接続可能な機器を制限できるようにしたり、VPNへのアクセスを許可された時間以外は制限する、ドメイン監視を行うなどの対策を行うことを推奨している。

14277206 story
暗号

国内企業38社のVPNパスワードがダークウェブ上で出回る 33

ストーリー by nagazou
早急に対策を 部門より
日経新聞の記事によれば、国内の38社が不正アクセスを受け、テレワークで使用されていたVPN接続用のパスワードなど流出した可能性があるそうだ。今回VPNの情報が流出した企業は、米パルスセキュアのVPNサービスを使っていたという(日経新聞)。

内閣サイバーセキュリティセンター(NISC)によると、8月中旬ごろにダークウェブで、900者を超える世界中の企業のVPN情報がやり取りされているのが判明したとしている。NISCがこのデータを調査したところ、日本企業38社が含まれていることが分かった模様。

先の記事によれば販売リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があったとしている。今後、この38社を踏み台にして取引先などへの不正アクセスが行われる可能性があると指摘されている。
14276097 story
オーストラリア

オーストラリア政府、パプアニューギニア設置のデータセンター脆弱性でファーウェイを非難。意図的な不具合か 61

ストーリー by nagazou
ブービートラップ 部門より
大元の記事は8月11日と旧聞に類する話題であるようだが、中国政府の支援でパプアニューギニアに設置されたデータセンターに不具合があったという(piyolog、 読売新聞Capacity大紀元)。

この脆弱性に関しては、オーストラリアのオーストラリア戦略政策研究所(ASPI)の調査で判明したとしている。この設備はパプアニューギニアの政府文書を保管するもので、施設の整備はファーウェイが行っていたという。確認された不具合は「外部からシステムに侵入できる不備」が存在した点。

具体的には、暗号化ソフトウエアがセンターが稼働する2年前の2016年にすでに失効した古いものであったこと、コファイアウォールの設計に問題があり、リモートアクセスを検出する能力がないなどの問題があったという。また資金不足のためこのデータセンターはほとんどメンテナンスされておらず、ソフトウェアのライセンス切れやバッテリーが交換されていないなどの問題が起きているそうだ。

今回のASPIによる調査書は、データセンターにあるパプアニューギニア政府のファイルが盗まれる可能性を示唆しており、これが中国政府のスパイ活動の一端であると指摘している。
14276174 story
通信

Tesla、車内への子供置き去り検出システムなどに使用するため、基準より高出力の短距離ミリ波レーダー使用許可をFCCに申請 29

ストーリー by nagazou
やはり難易度は高そうだ 部門より
headless 曰く、

Teslaが車内への子供置き去り検出システムなどでの使用を目的として、基準より高出力での短距離ミリ波レーダー使用許可を米連邦通信委員会(FCC)に申請している(申請書類: PDFThe Vergeの記事Reutersの記事SlashGearの記事)。

ミリ波レーダーによる幼児置き去り検知機能の開発が進んでいることは以前にも話題となったが、Teslaの開発しているシステムも60GHz帯のミリ波レーダーを用い、モーションセンシング技術によりカメラやシート内センサーよりも正確に乗客を検知できる。しかし、Teslaによると米国で規定されている最大出力では十分な効果が得られないのだという。

FCCではGoogleがPixel 4に搭載したSoliレーダーなど、基準値を上回る近距離ミリ波レーダーについて、法規の適用を免除している。FCCのOffice of Engineering and Technology(OET)は過去に認可したものと同様の免除申請(me too申請)の場合は意見募集などを行わずに認可する権限を持っており、TeslaではOETの権限で迅速に認可するよう求めている。

Teslaが申請しているミリ波レーダーの用途は子供置き去り検出だけでなく、乗客の位置や体形に応じた最適なエアバッグ展開やシートベルトリマインダー、盗難防止システムの強化にも使われる。ミリ波レーダーの出力は車内に向けられるが、車両周辺についても最大2mまでスキャン可能とのことだ。

14276125 story
IBM

多くの金融機関が推奨するセキュリティソフトRapport、Chromium版Edgeの対応は2021年1月-3月を予定 32

ストーリー by nagazou
なくてもネットバンキングはできる 部門より
国内のほとんどの銀行のネットパンキングでは、IBM製のセキュリティソフトである「IBM Security Trusteer Rapport(以下Rapport)」のインストールが推奨されている。PCでネットバンキングを使っている人なら、何度かインストールを求められたことがあるだろう(IBMリリース豊川信用金庫[PDF]多摩信用金庫)。

しかし、このRapportは旧来のMicrosoft Edgeまでしか対応しておらず、現行のChromium版 Microsoft Edgeはサポート対象外。このため各銀行や信用金庫などでは現在、対応しているGoogle ChromeやFirefox、もしくはInternet Explorerの使用を推奨するよう各サイトで通知している。この通知によれば、Chromium版 Microsoft EdgeにRapportが対応するのは、2021年1月〜3月頃になるという。
14275011 story
Windows

Microsoft、Windows Defender ウイルス対策を無効にするレジストリ設定を削除 30

ストーリー by headless
無効 部門より
Windows Defender(Microsoft Defender)マルウェア対策プラットフォームバージョン4.18.2007.8以降では、Windows Defenderウイルス対策を無効にするレジストリ設定が削除されている(Microsoft Docsの記事Ghacksの記事Softpediaの記事On MSFTの記事)。

このレジストリ設定は「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender」のDWORD値「DisableAntiSpyware」で、これまでは値のデータに「1」をセットすることでWindows Defenderウイルス対策を無効化できていた。元々OEMやIT担当者が別のウイルス対策製品を展開する場合に使用するものだったが、現在は別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化されるため、不要な設定になっていたという。レジストリ設定はグループポリシーで「ローカルコンピューターポリシー→コンピューターの構成→管理用テンプレート→Windowsコンポーネント→Windows Defenderウイルス対策」の「Windows Defenderウイルス対策を無効にします」に対応するため、このグループポリシー設定も無視されることになる。
14274694 story
情報漏洩

国際宇宙ステーションで通常よりもわずかに高いレートの空気漏れ、全ハッチを閉じて調査へ 42

ストーリー by headless
圧力 部門より
国際宇宙ステーション(ISS)で通常よりもわずかに高いレートの空気漏れが確認されていることから、今週末に全ハッチを閉じて各モジュールの気圧変化を調べるテストを実施する(NASAのブログ記事)。

ISSはクルーが快適に過ごせるよう与圧されており、常時ごくわずかな空気漏れが発生している。そのため定期的に再与圧が行われているが、昨年9月に標準よりも若干高いレートでの空気漏れが確認されたという。しかし、ISSの運用には船外活動や宇宙船のドッキング・アンドッキングといった作業が伴うため、空気漏れレート増加の判断に十分なデータを収集するための時間がかかったとのこと。

現在ISSに滞在している第63次長期滞在クルー3名(NASAのクリストファー・キャシディ宇宙飛行士、ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士とイヴァン・ヴァグナー宇宙飛行士)は金曜日の夜から月曜日の朝までロシア側の居住棟 ズヴェズダサービスモジュールに滞在する。テスト中は全ハッチが閉じられるがクルーへの危険はなく、小型研究モジュール ポイスクや地球帰還用の有人宇宙船 ソユーズMS-16にはアクセスできる。

ISSでは2018年、ドッキングしていたソユーズMS-09の軌道モジュールに開いた直径2mmほどの穴が原因で空気漏れしている。今回の空気漏れは通常より多いものの基準内に収まっており、直ちにISS滞在クルーへ危険が及ぶことはないそうだ。
14273690 story
Google

SSL/TLS証明書、9月1日以降の発行分は有効期間が実質1年間に。主要ブラウザの仕様変更で 36

ストーリー by nagazou
ゴールド免許廃止みたいな 部門より
あるAnonymous Coward 曰く、

2020年9月1日以降、Chrome、Safari、Firefoxといった主要ブラウザで、SSL/TLS証明書の有効期限が最大13か月間(398日間)に制限される(マイナビ)。変更された経緯は過去記事にもあるように、2020年3月3日にAppleが発表した方針に、GoogleやMozillaも同調、各ブラウザが有効期限を最大398日間にする方針を固めたことにある。

これまでは最大825日間(約27か月間)だったが、2年以上も期間、証明書の所有者の会社名や氏名などの情報が更新されないことになり、セキュリティ上の問題があったとされる。13か月と1年より少し長いのは更新に猶予を持たせるためで、SSL/TLS証明書の有効期間は事実上は1年間という考えであるという。今回、実質的に1年間に制限することにより、SSL/TLS証明書に問題が発見された場合の対応がしやすくなるとしている。

2020年9月1日以降に発行されるSSL/TLS証明書では、398日を超えたものに関しては事実上使い物にならなくなるという。ちなみに9月1日以前に発行されたものに関しては、このポリシーは適用されないそうだ。

14272358 story
アメリカ合衆国

トランプ大統領、エドワード・スノーデン氏の恩赦を検討すると表明 6

ストーリー by nagazou
ホントに? 部門より
あるAnonymous Coward 曰く、

トランプ大統領が元アメリカ国家安全保障局(NSA)職員で、2013年に米国の諜報活動や情報収集などを暴露したエドワード・スノーデン氏の恩赦を検討しているという。現在スノーデン氏はロシアで生活しているが、米国への帰還を望んでいるとされる(AFPGIGAZINE産経新聞)。

トランプ大統領はニュージャージー州ゴルフクラブで行われた記者会見で、「彼が公正に扱われていないと思っている人がたくさんいる」と述べ、恩赦の可能性について「検討してみる」として恩赦の可能性を仄めかせたとしている。

ただトランプ大統領は2016年の米大統領選では、スノーデン氏を反逆者だとしてして否定している。今回の発言は、世論の反応を見るための観測気球の面が強いようだ。

14271017 story
アメリカ合衆国

州から依頼されて侵入テストを行ったセキュリティ調査員が逮捕された問題、長引いた原因は州と地元の対立 28

ストーリー by nagazou
ボタンの掛け違い 部門より
あるAnonymous Coward 曰く、

2019年9月、セキュリティ企業Coalfireのスタッフが米アイオワ州からの依頼を受けて同州ダラス郡内にある裁判所のセキュリティ調査を行なったところ、保安官に逮捕されるというトラブルが発生した(過去記事)。最終的にこの2名のスタッフに対する起訴は取り下げられたのだが(今年2月の続報記事)、起訴が取り下げられるまでに時間がかかったのは州政府とダラス郡政府との対立があったためだという(ASCII.jp)。

ダラス郡政府や裁判官は同郡の施設に対しアイオワ州が勝手にセキュリティ調査や侵入テストを依頼したことに対し憤慨、アイオワ州の責任を追及するために様々な手段を検討したという。最終的に逮捕された2名は契約に従って侵入を行なっただけであり法的には責任がないと判断されたが、郡政府側が激しく反発したことや、調査を依頼した州政府側が曖昧な対応を行なったことから起訴された状態が半年もの間続いたという。

なお、記事によると調査が行われた裁判所では簡単に部外者がサーバールーム内に侵入できたり、ロックされていないノートPCが放置されていたり、最終的に逮捕現場となったダラス郡裁判所ではドアが施錠されていなかったりとセキュリティについて不安な状況だったようだが、この問題を受けてアイオワ州最高裁判所は「業務時間外の侵入テストを一切禁止する」と決めたという。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...