パスワードを忘れた? アカウント作成
14993616 story
Chrome

Google Chrome、Windows 7のサポートを2022年1月まで延長 15

ストーリー by headless
延長 部門より
Googleは21日、Google ChromeのWindows 7サポートを少なくとも2022年1月15日まで延長すると発表した(Google Cloud Blogの記事9to5Googleの記事)。

Googleは今年1月、MicrosoftによるWindows 7の延長サポート終了後少なくとも18か月間、2021年7月15日まではChromeでWindows 7をサポートする計画を示していた。しかし、COVID-19パンデミックによる労働環境の変化のサポートなど、ITリーダーがさまざまな困難に直面する中、Googleは現状の評価とエンタープライズ顧客からのフィードバックを元に6か月のサポート期間延長を決めたそうだ。

Windows 10への移行は多くの組織で今年のロードマップに含まれていたが、優先順位の変更により21%の組織がWindows 10への移行途中であり、1%は近く移行を始める計画だという。サポート期間延長により、エンタープライズ顧客は移行がまだ済んでいないWindows 7で引き続きChromeのセキュリティや生産性に関する利益を享受でき、エンタープライズ向け機能を活用できるとのこと。Googleでは今後も継続してエンタープライズ顧客が直面する状況の評価を行い、さらなる変更があれば発表するとのことだ。

なお、MicrosoftはChromiumベースの新Micosoft EdgeでWindows 7を2021年7月15日までサポートする計画を示している。この件が記載されたMicrosoft Docsの記事は11月16日に更新されているが、Windows 7/Server 2008 R2のサポート終了日については変更されていない。
14991921 story
情報漏洩

カプコン、採用応募者の情報を破棄していなかったことが判明 45

ストーリー by nagazou
めんどくさいから処分してなかったパターンな気も 部門より
あるAnonymous Coward 曰く、

カプコンのランサムウェア被害の絡みで流出した情報に採用応募者情報(氏名、生年月日、住所、電話番号、メールアドレス、顔写真など)が約12万5000件含まれていたが、これについて流出自体とは別に話題になっているそうだ(J-CASTニュース)。

話題になって理由としてカプコンの応募サイトには、「採用選考の結果、採用に至らなかった方、及び、採用を辞退された方の応募書類等は、選考後、当社において責任をもって破棄致します」と書かれていたためで、「(説明に反して)破棄されていなかったのでは?」という指摘が出ているようだ。

カプコン広報IR室によれば、履歴書などの書類は破棄した後も、「再応募いただける方もいらっしゃり、確認をスムーズにするため」電子化して一定期間(期間は非公表)保管しているという。流出の可能性があるのは電子データになる。」とのことだが、タレコミ人としてはそれ(電子データ)で保存していること自体、破棄していない事でしかないと思う。

そもそも、再応募事は再応募時で新しい履歴書来るのだからそれで判断すればいい話で保存する必要はないと思われ、(不採用や辞退後に)保管する必要性は見当たらない。

情報元へのリンク

14991447 story
インターネット

メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 72

ストーリー by nagazou
パスワードZip+別メールは未だに多い 部門より
政府機関や企業などでパスワード付きzipファイル廃止の動きが広がっているようだ。 平井卓也デジタル改革担当相が17日の会見で廃止について触れている(ITmedia)。政府の意見募集サイトである「デジタル改革アイデアボックス」に送られてきたアイデアを採用したものだという。マルウエア「Emotet」がパスワード付きzipファイルを使用して、セキュリティを回避していることなどが一因と思われる。

またクラウド会計ソフトなどのスモールビジネス向けの事業を手がけている「freee」も、メールによるパスワード付きファイルの受信を廃止すると発表している。こちらに関してはEmotet感染の緩和策であると明言している(freee株式会社日経新聞)。

なおプライバシーマーク付与事業を行っているJIPDECは11月18日、こうした発表を受けてメール添付のファイル送信についてという発表を行った。曰く

昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。

プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

としてそもそもパスワード付きのZipファイルなどに意味はないと強調している。

14991521 story
情報漏洩

チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 14

ストーリー by nagazou
関連発表はこれから増えると見られる 部門より
イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16~17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている(PeatixCNET)。

この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県埼玉県栃木県宇都宮市福井県福井市宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている(TechCrunch)。
14991408 story
マイクロソフト

Microsoft、セキュリティプロセッサー「Microsoft Pluton」を発表 41

ストーリー by nagazou
安全第一 部門より
headless 曰く、

Microsoftは17日、セキュリティプロセッサー「Microsoft Pluton」を発表した(Microsoft Securityのブログ記事GeekWireの記事The Vergeの記事The Registerの記事)。

PlutonはMicrosoftがAMD・Intel・Qualcommと共同で開発したもので、セキュリティプロセッサーをCPUと同じチップに組み込むことでCPUとTPMのバスインターフェイスを狙う攻撃を防ぐことができるという。PlutonアーキテクチャーはTPMをエミュレートするため、BitLockerやSystem GuardといったTPMを用いる既存のセキュリティ機能がそのまま利用できる。

暗号鍵は他のシステムと分離したPlutonプロセッサー内に安全に格納され、投機実行などを利用し新しい攻撃手法による鍵へのアクセスを不可能にする。また、Secure Hardware Cryptograpy Key(SHACK)技術により、鍵の外部への露出を確実に防止するとのこと。

このほか、Plutonを使用するWindowsコンピューターではファームウェア更新がWindows Updateのプロセスに統合されて管理が容易になり、Xbox OneやAzure Sphereで導入されたchip-to-cloudセキュリティ技術をWindows PCで利用可能になるという。製品の投入時期については触れられていない。

14988500 story
ゲーム

カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 54

ストーリー by nagazou
これはまずい 部門より
カプコンは16日、同社のサーバーが不正アクセスを受け情報が流出していたことが確認されたと発表した(カプコンPC Watch)。同社は11月4日のリリース段階では不正アクセスがあったことは認めていたものの、情報の流出等には触れていなかった。経緯については過去記事で触れた内容に準じたものであり、ランサムウェアを用いてサーバー暗号化されていたことや「Ragnar Locker」を名乗る集団から身代金要求があったことなどを認めた内容となっている。

リリースによれば、11月16日段階で判明している情報流出は以下の通り。

1. 流出を確認した情報

(1) 個人情報9件

元従業員の個人情報5件
(氏名・サイン2件、氏名・住所1件、パスポート情報2件) 従業員の個人情報4件

(氏名・人事情報3件、氏名・サイン1件)
(2) その他

販売レポート
財務情報
2. 流出の可能性がある情報

(1) 個人情報(お客様・お取引先等)最大約35万件

国内 お客様相談室 家庭用ゲームサポート対応情報(約13万4千件)
氏名、住所、電話番号、メールアドレス
北米 Capcom Store会員情報(約1万4千件)
氏名、生年月日、メールアドレス
北米 eスポーツ運営サイト会員情報(約4千件)
氏名、メールアドレス、性別
株主名簿情報(約4万件)
氏名、住所、株主番号、所有株式数
退職者およびご家族情報(約2万8千件)、採用応募者情報(約12万5千件)
氏名、生年月日、住所、電話番号、メールアドレス、顔写真等
(2) 個人情報(社員およびご関係者)

人事情報(約1万4千人)
(3) 企業情報

売上情報、取引先情報、営業資料、開発資料等

14987659 story
セキュリティ

DNSキャッシュポイズニング攻撃を可能にする、SAD DNSと呼ばれる攻撃手法が公表される 24

ストーリー by nagazou
渡る世間は怖い人ばかり 部門より
あるAnonymous Coward 曰く、

カリフォルニア大学リバーサイド校と清華大学の研究者らがSAD DNSと呼ばれる攻撃手法を公表した。 これは2008年頃に対策が行われたDNSキャッシュポイズニング攻撃を全ての主要なOSで復活させるもので、研究者らの調査によればオープンリゾルバの35%が脆弱な状態であったとのことだ。 DNSキャッシュポイズニング攻撃の関連ストーリー

この攻撃手法では、ICMPパケットの送信制限に関する実装上の仕様を用いてポートのランダム化を無効化することができる。

DNSについて誤った発言をしてしまうと怖い人がやってくるので、攻撃手法の詳細や対処方法については https://www.saddns.net/ を確認して頂きたい。

情報元へのリンク

14987633 story
SNS

小説家になろうで作品を公開していたポンポコ秋氏、知人の悪戯でアカウント削除、作品も閲覧不能に 138

ストーリー by nagazou
つらすぎる 部門より
あるAnonymous Coward 曰く、

小説投稿サイト・小説家になろうで作品を公開していたポンポコ秋氏本人のtweetによると、知人の悪戯でアカウントが勝手に削除され、全ての作品が閲覧できなくなってしまったそうだ。経緯は、
1.飲み屋で知人と話すうち自分の小説の話になった
2.知人が読んでみたいという事になり、端末を渡した
3.知人が悪戯でアカウントを削除した
ということらしい。
胸の悪くなるような話だが、皆さんはこういった事に対して何か対策はとっているだろうか。

情報元へのリンク

14987621 story
情報漏洩

フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 6

ストーリー by nagazou
実際の被害は不明 部門より
CitizenLabによると、フィリピンのCOVID-19の症例データ共有アプリが情報を漏えいしたと報じられている(CitizenLabThreatpost)。

このシステムは「OVID-KAYA」プラットフォームと呼ばれており、フィリピンの最前線の医療従事者がCOVID-19感染者の症例を収集し、フィリピン保健省と共有するために使用するためのもの。ウェブアプリとAndroidアプリの両方に脆弱性が存在しており、許可されていないユーザーが感染者や潜在的な感染者の情報を閲覧できていたという。

ウェブアプリ側では認証ロジックに脆弱性が含まれていた。これにより、ヘルスセンターの名前と場所、およびアプリのサインアップ時に利用される30,000を超えるヘルスケアプロバイダーの名前が公開された可能性があるとされる。Androidアプリでは、医療提供者の名前や機密性の高い患者データにもアクセスできるハードコードされたAPI認証情報が使用されていたとのこと。

CitizenLabは8月18日にDure Technologies、フィリピン保健省、フィリピン世界保健機関(WHO)の関係者などのアプリ開発者にウェブアプリの脆弱性を開示、続いて9月14日にAndroidアプリの脆弱性を公開した。判明した欠陥は10月29日の時点で解消されているそうだ。
14987131 story
政治

米商務省曰く、大統領令に基づくTikTokへの措置は新たな法的判断が出るまで発効しない 28

ストーリー by headless
放置 部門より
米商務省のウィルバー・ロス長官は9日、大統領令に基づいて9月に出したTikTok/ByteDanceに対する措置は新たな法的判断が出ない限り発効しないことを明確にした(商務省の発表: PDFThe Guardianの記事The Vergeの記事)。

措置は8月の大統領令13942に基づくもので、9月20日以降(その後9月27日以降に変更)米国向けアプリストアでのTikTokアプリ提供を禁止、11月12日以降はアプリ機能有効化や最適化を目的とする米国向けホスティングサービスやCDNサービスの提供禁止のほか、米国内でのインターネットトランジット/ピアリングサービスの直接的な契約・手配やアプリを活用するためのソフトウェア・サービスの開発を禁止、といった内容だ。

しかし、9月27日にはコロンビア特別区連邦地裁がTikTokの請求を認めてアプリ提供禁止に事前差止命令を出しており、10月30日にはペンシルベニア東部地区連邦地裁がTikTok利用者の請求を認めてすべての措置に事前差止命令を出している。商務省では前者について大統領令は合法だとしつつ裁判所の判断に従う考えを9月27日に示していたが、後者についてはこれまで公式な見解を示していなかった。
14987123 story
政治

米国土安全保障省の選挙インフラに関する評議会、11月3日には米史上最もセキュアな選挙が行われたと声明 83

ストーリー by headless
投票 部門より
選挙インフラのセキュリティに関する米国土安全保障省(DHS)の政府組織調整評議会(GCC)執行委員会と民間組織調整評議会(SCC)のメンバーが連名で、11月3日に実施された選挙は米国史上最もセキュアな選挙だったとする共同声明を出している(共同声明The Vergeの記事Ars Technicaの記事The Registerの記事)。

声明によれば現在、選挙の最終結果を出すのに先立って全米の選挙当局が選挙全体のプロセスを再調査し、二重の確認を行っているという。得票差が小さい州の多くでは再集計を行うことになるが、2020年大統領選挙に関しては各投票について紙の記録がすべて残されており、必要に応じて各票を確実に数え直すことが可能とのこと。

票の削除・紛失・変更を含め、投票システムが侵害されたという証拠は一切なく、投票機器の事前チェックがさらなる信頼性を与えているとも述べている。両機関では選挙のプロセスに関する根拠のない主張や偽情報がはびこっていることを把握しているが、選挙のセキュリティと整合性に関しては最大限の自信を持っており、米市民も自信を持つべきとのことだ。

ジョー・バイデン前副大統領勝利という開票結果に対し、ルディ・ジュリアーニ氏をはじめとするトランプ陣営では選挙が不正に行われたことを主張するが、DHSのCybersecurity & Infrastructure Security Agency(CISA)はこのような主張を偽情報として否定する特設ページも公開している。そのため、ホワイトハウスがCISAに圧力をかけているとも報じられている。
14986749 story
Windows

Windows 7 拡張セキュリティ更新プログラム1年目、間もなく終了 25

ストーリー by headless
更新 部門より
Windows 7/Server 2008 R2 拡張セキュリティ更新プログラム(ESU)の1年目が終了に近付いたことにともない、Microsoftが2年目の利用に関する注意事項を解説している(Windows IT Pro Blogの記事)。

ESUは延長サポート終了後のWindowsでセキュリティ更新プログラム(緊急・重要のみ)を最大3年間利用可能にする有料オプションで、ボリュームライセンスプログラムを通じて購入できる。Windows 7/Server 2008 R2用のESUは1年ごと(2020年、2021年、2022年)に個別のSKUとして提供されるため、1年目のESUを利用している場合でも、2年目のESUを購入後に新しいライセンスキーでライセンス認証する必要があるという。現在ESUを利用しておらず、2年目から導入する場合は1年目と2年目の両方を購入する必要があり、ライセンス認証には2年目のキーを使用することになる。
14985624 story
Chrome

GoogleがChrome独自のルート証明書プログラムを計画中 40

ストーリー by nagazou
移行 部門より
あるAnonymous Coward 曰く、

Google ChromeはTLSで使用されるルート証明書を伝統的にOSの証明書ストアから参照していたが、近い将来GoogleはiOS版を除いて独自のルート証明書プログラムへの移行を計画しているようだ(公式ページ)。これはFirefoxと類似のモデルである。

初期ルートストアにはLet's EncryptのISRG Root X1が含まれているので、移行が完了すればChromeがサポートするAndroid 5.0以降ではLet's Encryptの証明書の有効期限切れ問題は解消すると思われる。

情報元へのリンク

14985599 story
マイクロソフト

Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 46

ストーリー by nagazou
利便性も損なわない仕組みでお願いします 部門より
headless 曰く、

SMSや音声通話による多要素認証(MFA)はMFAの方式の中で最弱だとして、MicrosoftのAlex Weinert氏が他の方式によるMFAへの移行を推奨している(Azure Active Directory Identity Blogの記事Neowinの記事Softpediaの記事)。

Weinert氏によれば、SMSや音声通話は公衆交換電話網(PSTN)をベースにしたシステムであり、これを使用するMFAメカニズムは他の認証方式が持つすべての脆弱性を備えるうえ、PSTN特有の問題も存在するという。

Weinert氏はPSTNを使用するMFAの問題点として、メッセージの形式や長さに制約があること、通信内容が暗号化されないこと、カスタマーサポート担当者に対するソーシャルエンジニアリングが容易なこと、即時かつ確実に着信するかどうかはモバイルキャリアの信頼性やスパム対策を目的とした法規制の影響を受けることを挙げている。

こういった制約により、SMSや音声通話を使用するMFAで可能なのはワンタイムパスワード(OTP)を知らせる程度にとどまり、技術の進化や脅威の変化などに柔軟な対応ができない。また、ソーシャルエンジニアリングによるSIM乗っ取りなどの可能性もある。

そのため、モバイルデバイスをMFAに使用するなら、アプリベースの認証が適切だという。その中でもMicrosoft的な正解はMicrosoft Authenticatorアプリとのことだ。なお、リンク先ページで携帯電話番号を入力すると、ダウンロードリンクをSMSで受け取ることができる。

14984985 story
インターネット

Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 10

ストーリー by nagazou
和解 部門より
11月9日、連邦取引委員会(FTC)はZoomと和解した。Zoomが不公正で欺瞞的な行為を行ったという申し立てを解決できたためだという(連邦取引委員会JDSupraTechCrunch)。

コロナ渦の影響で利用が急激に増えたZoomだが、利用者やFTCなどからさまざまな問題が指摘されていた。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド(E2E)で暗号化されると明示されていたが、実際にはエンドツーエンドでの暗号化は行われていない(過去記事)、Zoomが一部会議の記録を暗号化をせずに最大60日間サーバー内に保存していたこと、ミーティング参加を高速化するために、ユーザー側のPCに無断でソフトウェアをインストールするなどだ。

今回、Zoomは今後20年間に渡り、FTCの提示した以下の条件を守ることに同意することで和解が設立した。
  • 包括的なセキュリティプログラムを確立して実装すること
  • セキュリティリスクを毎年評価および文書化すること
  • 脆弱性管理プログラムを実装すること
  • ソフトウェアアップデート時にはセキュリティ上の欠陥を確認すること
  • すべての従業員向けの定期的なセキュリティトレーニングを実施
  • サードパーティー製のアプリケーションの利用を妨げないこと
  • プライバシーとセキュリティの慣行について虚偽の表示をしないこと
  • 第三者によりセキュリティプログラムを2年ごとに確認を行う
  • データ侵害が発生した場合、FTCに通知すること

などが定められた。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...