パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

15204034 story
スラッシュバック

Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 54

ストーリー by headless
挑戦 部門より
Bloomberg Businessweekは2018年、Super MicroがAppleやAmazonに納入したサーバー用マザーボードにスパイチップが埋め込まれていたと報じて全方向から否定されているが、この話をBloombergが何か新しい情報でもあるかのように再び報じている(9to5Macの記事[1][2])。

2018年の記事では、スパイチップは削った鉛筆の先よりも小さいマイクロチップで、中国人民解放軍の工作員が多層基板の層間に埋め込んだと主張していた。しかし、スパイチップを発見したとされるAppleとAmazonは記事の内容を否定しており、Super Microや米英の情報機関も否定した。技術上可能であるとしてもより簡単な方法があるのにこの方法を用いる必然性がないことや、調査のために情報を開示していなかったとしてもいったん報じられた後で否定するメリットがないことも指摘された。また、情報提供者の情報はすべて二次情報であり、存在を直接確認した人の証言はなかった。

今回の記事では2018年の記事が否定されたことに言及しつつ、Businessweekの報道は氷山の一角しかとらえられていなかったなどしてスパイチップ埋め込みは事実だと主張する。ただし、新しい情報も二次情報ばかりで、スパイチップ埋め込みとは無関係らしいサイバー攻撃の話題に紙面の4分の3ほどを費やしている。
15194844 story
Android

Google Playにある古参アプリ、マルウェアと誤認される。マルウェア化したアプリと同名 24

ストーリー by nagazou
誤解 部門より
headless 曰く、

Google Playで1千万回以上インストールされているアプリ「Barcode Scanner」が12月4日のアップデートでマルウェア化し、デフォルトブラウザーで広告を表示するようになったとMalwarebyteが報告したところ、同名の古参アプリがマルウェアと誤解されてしまう事態になったようだ( The Vergeの記事The Registerの記事Android Policeの記事)。

マルウェアと誤解された同名アプリはZXing Teamによるもので、Android Market(現Google Play Store)スタート当初から公開されている最古参アプリのひとつだ。インストール件数は1億件を超えており、マルウェア化したアプリとは一桁違う。日本語版では「QRコードスキャナー」という名称になっているが、Google Playを英語表示にするとマルウェア化したアプリと同じ「Barcode Scanner」という名称が表示される。

Malwarebyteは最初の報告時点でマルウェア化した方のアプリは既に削除されていると説明しており、開発者を含め別物のアプリであることはスクリーンショットから確認できる。しかし、Google Playで「Barcode Scanner」を検索すると最初に表示される同名アプリということもあってか、マルウェアだと糾弾する1つ星レビューと間違いを指摘する5つ星レビューが多数投稿されることになる。

ただし、ZXingのアプリをアドウェア/マルウェアとする1つ星レビューが増加し始めたのは12月下旬のことだ。中には「ロゴが変わった(変わっていない)」「最近のアップデートをインストールしたらマルウェア化(最新版は2年近く前に公開された)」など別のアプリと間違えていると思われるレビューもあるが、詳細は不明だ。ZXingの開発者はAndroidのインテントが乗っ取られ、ZXintのアプリがデフォルトブラウザーで広告を表示しているように見えている可能性も否定できないとThe Vergeに語っている。

なお、マルウェア化した方のBarcode Scannerアプリについて、Malwarebyteでは開発者/提供元の変更により悪意あるコードが追加された可能性に言及していないが、Internet ArchiveでGoogle Playのスナップショットを見ると開発者/提供元が最近変更されているようだ。一番古い2017年5月のスナップショットではアプリ名の下に表示される開発者名と追加情報に表示される提供元がともに「Barcode Scanner」だが、2020年11月のスナップショットではGoogle Play Passで利用可能というバナーが追加され、提供元のみ「Google Commerce Ltd」になっている。ここまで開発者の住所や電子メールアドレスは変わっていないが、Malwarebyteの記事に掲載されているスクリーンショットでは開発者・提供元ともに「LAVABIRD LTD」となっており、住所や電子メールアドレスも変更されている。

なお、LAVABIRD LTDは現在4本のアプリをGoogle Playで公開しており、アプリケーションIDからみて他の開発者から買収したアプリのような雰囲気だが、特に問題が発生しているようには見受けられない。

15193237 story
SNS

Snapchat、安全のため不要な友達の整理を推奨する「Friend Check Up」機能を発表 25

ストーリー by headless
整理 部門より
Snapは2月9日のSafer Internet Dayに合わせ、これまでにSnapchatの友達リストへ追加した友達が現在も必要かどうかの見直しを推奨する「Friend Check Up」機能を発表した(Snapのニュース記事The Vergeの記事SlashGearの記事)。

Friend Check Upは、もうSnapchatで連絡することがなくなった友達や、間違ってリストに追加してしまった友達がいないか見直しを推奨するもので、1月28日のGlobal Privacy Day(Data Privacy Day)に開始したオンラインでの安全やプライバシー教育キャンペーンの一環だという。ユーザーはアプリのプロファイル画面に表示されるツールチップをタップすることで、容易に友達リストを整理できる。Friend Check Up機能は今後数週間の間にAndroidデバイスへ、今後数か月の間にiOSデバイスへロールアウト開始予定とのことだ。
15186706 story
情報漏洩

米フロリダ州で浄水システムがハッキング、苛性ソーダ濃度が100倍に設定される 47

ストーリー by nagazou
これは怖すぎ 部門より
米フロリダ州にあるオールズマー市で、水道局の浄水システムがハッキングされ、飲料水の水酸化ナトリウム(苛性ソーダ)が100倍の濃度に設定という事故があったそうだ。職員が異常に気がついたため直接的な被害は発生しなかったという。長時間気がつかなかった場合は、住民に健康被害が出ていた可能性もある(CNNEngadgetReutersTampa Bay Times)。

この浄水システムの従業員用コンピューターには、外部からのメンテナンス用にリモートデスクトップアプリのTeamViewerがインストールされていたという。そのTeamViewerを何者かが遠隔操作で操作し、浄水システムを設定しようとしているのを監視担当の職員が発見した。

職員はTeamViewerが外部からコントロールされるときに表示されるポップアップに気がついた。ただ、上司が定期的にシステムにリモートアクセスしていたため、こうした表示が出るのは日常的な出来事だったそうだ。

しかし、その日は2度アクセスがあり、その2回目の操作では不正侵入者はマウスをドラッグしプログラムを開いてシステムを操作、水酸化ナトリウムの添加量を100ppmから11,100ppmに増やす設定をした。侵入者は3〜5分間ほど作業していたという。職員は侵入者が離脱した後に設定をすぐに元に戻したことでトラブルは防ぐことができたとしている。
15181454 story
バグ

Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2

ストーリー by nagazou
リセット 部門より
headless 曰く、

Slackが念のためパスワードをリセットするよう、一部のAndroid版アプリユーザーに電子メールで通知しているそうだ(Android Policeの記事)。

Android Policeが入手した通知の文面によると、昨年12月21日にAndroidアプリの一部のバージョンでユーザーの認証情報をデバイス内に平文で記録してしまうバグが導入されたのだという。Slackでは問題を1月20日に特定し、翌21日に修正。既に修正版を公開して影響を受けるバージョンはブロックしているが、念のためにパスワードのリセットを必須にしたと説明している。

通知にはパスワードリセット用の大きなリンクが添えられていたといい、Android Policeではフィッシング風と評しているが、フィッシングではなく本物であることをSlackに確認したそうだ。それでも心配ならリンクをクリックせず、自力でSlackのWebサイトに行ってパスワードをリセットすればいい。Slackでは複雑でユニークなパスワード設定を強く推奨するほか、他のサイトで同じパスワードを使用していた場合はSlackアプリのデータ消去を推奨している。

15171687 story
Chrome

Google、マルウェア化したChrome拡張機能をリモートから無効化 27

ストーリー by headless
無効 部門より
人気のChrome拡張機能「The Great Suspender」がマルウェア化し、GoogleはChromeウェブストアから削除するだけでなく、インストール済みの拡張機能をリモートから無効化したそうだ(Android Policeの記事The Vergeの記事Neowinの記事SlashGearの記事)。

The Great Suspenderは使用していないタブをサスペンドしてメモリ使用量を削減するオープンソースの拡張機能で、ソースコードはGitHubで公開されている。しかし、昨年6月に開発者が正体不明な新オーナーへのプロジェクト譲渡を発表し、10月にはGitHubでリリースされていない更新が公開されて怪しい動作をするようになったとの報告が出始める。この頃にはほぼマルウェア化確定との見方が広がっていたが、Googleは調査の結果問題なしとみなしていたようだ。

しかし、Googleは2月4日になって拡張機能の実行をブロックし、Chromeウェブストアからも削除する。これにより、ユーザーはサスペンドしていたタブを復元できなくなるトラブル(サスペンドしたタブのURLには元のURLが含まれるので、手作業で復元することは可能)にも見舞われることになった。

オープンソースのChrome拡張機能では昨年、Nano Defender/Nano Adblockerが新オーナーへ譲渡後にマルウェア化している。このケースも今回のThe Great Suspenderのケースと同様だが、長年プロジェクトを維持していた元の開発者が徐々に時間を取れなくなったことが譲渡の主な理由となっている。このようなケースは今後増えていくのだろうか。なお、昨年11月にMicrosoft Edgeアドオンサイトで人気拡張機能の偽物が複数発見された際、The Great Suspenderも含まれていたが、本件との関係は不明だ。
15171219 story
Chromium

Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性 29

ストーリー by headless
影響 部門より
Googleは4日、エクスプロイトの存在が報告されているChromeの脆弱性(CVE-2021-21148)を修正するChrome 88.0.4324.150をリリースした(Chrome Releasesの記事The Registerの記事)。

この脆弱性はJavaScript/WebAssemblyエンジンV8に存在するヒープバッファーオーバーフローの脆弱性。詳細はまだ公表されていないが、Chromeに限らずChromium系ブラウザー全般に影響するようだ。脆弱性はV8のバージョン8.8.278.15で修正されたとみられ、最新版のBraveやMicrosoft Edge、VivaldiのV8はこのバージョンになっている。Operaはまだ更新されていなかった。
15165498 story
情報漏洩

Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 58

ストーリー by nagazou
仕様です 部門より

Salesforceが提供しているサービスで、設定不備により顧客情報などが流出するトラブルが複数起きているようだ。内閣サイバーセキュリティセンター(NISC)も1月29日に注意喚起を求める文書を公開した(NISC[PDF])。この文章では具体的な設定項目についての詳細は触れられていないが、日経クロステックの記事によれば、

「Salesforceサイトを有効に設定(インターネットに公開している)」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」

としている。同じ日経クロステックの別記事によると、1日までに楽天PayPay、イオン、バンダイとBANDAI SPIRITSや 日本政府観光局(JNTO)[PDF]で、この設定不備の問題により顧客情報の流出が起きたとしている。この中の一番新しい被害と思われるバンダイの29日の発表によれば、氏名、住所、電話番号、メールアドレス、対応記録が第三者からアクセスされた可能性があるという。

なおITmediaの記事によると、NISCの担当者は現在の状況は「明らかになっているのは氷山の一角」と話している模様。Salesforce側は12月25日にこの問題に関する声明を発表しており、それによると、プラットフォームの脆弱性に起因するものではなく、公開サイト機能を利用ユーザーが適切な設定をしていないためことが原因としている(Salesforce)。

15162401 story
医療

ワクチン接種状況管理のための新システムへのデータ移動はUSBメモリ経由? 50

ストーリー by nagazou
たぶんもっと考えられているはず。角度とか 部門より

菅義偉首相は2日夜に記者会見を行い、栃木県を以外の10都府県に関しては緊急事態宣言を3月7日まで延長すると表明した。そんな中、政府はのワクチン接種時の個人情報を一元管理する新システムの導入を進めている。とくに厚労省の承認が12日にも行われる見込みのファイザー製に関しては2回の接種が必要なため、摂取時期などの適切な管理が求められる。

時事ドットコムの記事によれば(その1その2)、

新システムは、国が住民基本台帳を基に構築するデータベースに、市町村が今後郵送する接種券(クーポン券)番号と、全国民に割り当てられているマイナンバーをあらかじめ登録。接種会場では、医療機関がクーポン券に印刷されたQRコードを読み取り、接種の日時や場所、ワクチンの種類などの個人情報をリアルタイムで収集する。

というものだそうだ。テレ朝NEWSによれば、新システムは3月中の運用開始を目指しているとしている。ただ自治体側はすぐに新システムの運用に対応できるかなどの指摘もある。

河野太郎大臣は29日の閣議後に行われた記者会見で、これまで市町村が管理してきた「予防接種台帳」とCOVID-19の情報を把握してきた「ワクチン接種円滑化システム(V-SYS)」、そしてこれに新システムが加わることで、市町村側の運用に問題が出ないかという質問に対し、すでに運用されている予防接種台帳とV-SYSに関しては手をつけないとした上で、予防接種台帳にある名前や接種番号などを新システムに関連付ける場合、データをCSVに落として、新システム側にアップロードしてもらう必要があると話している。

会見を聞く限りは、データの移動にUSBメモリなどを使うことが想定されているようだ。基本的には新システム上ですべてを管理することで業務の効率化を図るという方向の模様。USBメモリを使わず自動的に連動する機能があるのかどうかや、各システム間の差分の処理などがどうなるのか、新システムに入力されたデータを予防接種台帳やV-SYS側に戻すための仕組みがあるかどうかといった点は不明(河野大臣記者会見(令和3年1月29日)[関連質問は10分35秒くらいから])。

15163050 story
情報漏洩

コンピュータソフトウェア協会、GitHub流出の件で利用萎縮にならないよう求める声明を発表 110

ストーリー by nagazou
極端な対応はやめましょう 部門より

GitHubへの社内コード流出の件は、さまざまなところで波紋を呼んでいるようだ。コンピュータソフトウェア協会(CSAJ)は2日、「GitHubに関する対応とお願い」という声明を発表した(一般社団法人コンピュータソフトウェア協会INTERNET Watch)。

簡単に言えば大手の発注元は、下請け企業などに対して、GitHubなどへのアクセスを禁止する方向に動かないでほしいというものとなっている。どうも今回の件で大手企業がGitHubへのアクセスを禁止する方向に動いている気配がある模様。このため、先のGitHubに関する対応とお願いでは、日本の抱える多重下請け構造のことやGitHubはソースコードを共有し合うサービスであり、開発の速度や質の面でも欠かせないサービスであると言うことを説得するような内容となっている。

同様にITmediaに掲載された「GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク」という記事でも、

GitHubなどのエンジニアが利用するサービスを悪者にして一切の接続を禁止するといった“やったつもりのセキュリティ対策”はお薦めしません。

と同し懸念を指摘する一文が含まれている。こちらの記事では教育に力を入れて対処していくすべきだとしている。

15159496 story
暗号

リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 4

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

1月19日にリリースされたオープンソースの暗号ライブラリLibgcrypt 1.9.0で深刻なヒープバッファーオーバーフロー脆弱性(CVE-2021-3345)が見つかり、29日に修正版のバージョン1.9.1がリリースされた(アナウンスProject Zero - Issue 2145The Registerの記事)。

GoogleのProject Zeroが発見した脆弱性は汎用ブロックバッファー抽象化コードに含まれており、ブロックバッファー内で占有されたスペースがアルゴリズムのブロックサイズを超えることがないという誤った前提が原因で、データを復号する際に発生する。オーバーフローするバッファーは直後に呼び出される関数のポインターと隣接しているため、容易に悪用が可能だという。

Project Zeroから1月28日に連絡を受けたGnuPG Projectは翌29日に使用中止の呼び掛けを行い、数時間後にバージョン1.9.1をリリースしている。バージョン1.9.0がリリースされたのは1月19日だが、脆弱性は1.9の開発段階でおよそ2年前に導入されていたそうだ。そのため、1.8 LTSブランチは影響を受けないが、GnuPG Projectでは少なくともバージョン1.8.5以降を使用するよう求めている。

リリース直後ということもあって影響範囲は広くないが、既にバージョン1.9.0を使用していたGentooや、macOS用パッケージマネージャーのHomebrewでは対策が行われている。Fedora 34にもバージョン1.9.0が含まれていたが、正式リリース前だったため影響は小さかったとのこと。ただし、バージョン1.9.1では脆弱性修正と無関係な変更も行われており(リリースノート)、Intel CPUでコンパイルエラーが発生するという問題も確認されているとのことだ。

15159622 story
スラッシュバック

スマート貞操帯がハッキングされ身代金を要求される。支払うも解除されず 32

ストーリー by nagazou
ギャーとしかいいようがない 部門より
nagazou 曰く、

ネット操作できるスマート貞操帯を装着していた人物がハッキング被害に合い、貞操帯の操作権をハッカーに奪われたというトラブルがあったそうだ。このトラブルに巻き込まれたのはサム・サマーズ(男性)さん。ハッカーはサマーズさんに対して、スマート貞操帯を解放してほしければビットコインでおよそ1,000ドルを支払うよう要求してきたという(ViceGIGAZINE)。

サマーズさんは当初、パートナーによるいたずらだと思っていた。しかし、彼女に問い合わせたところ自分ではないと否定されたという。そして本当に貞操帯がハッキングされてしまったことに気がついたようだ。彼の下半身は檻の中に閉じ込められ、逃げる手段を失ってしまったという。サマーズさんは犯人に手持ちのビットコインを支払ったが、犯人たちはさらに高額な身代金を要求してきたという。

サマーズさんは諦め、最終手段としてボルトカッターを購入、出血しつつもスマート貞操帯を破壊したとのこと。なおハッキングされたスマート貞操帯は中国Qiui社製の「Cellmate Chastity Cage」という製品だったそうだ。

15159382 story
情報漏洩

ソースコード流出事件を受けて、GitHubの監視サービスがスタート 39

ストーリー by nagazou
商魂たくましい 部門より
先日のGitHubへの社内コード流出騒ぎを受けて、早速ソースコードがGitHub上に流出していないかをチェックするというサービス「LeakCop(リークコップ)」を始める企業が登場している。ASCIIの記事によれば、このサービスを始めるのはメタエクスという企業で、サービスは3月から開始予定とのこと。利用方法は利用者が監視用のキーワードをサービス上に登録すればよいという(PR TIMESに掲載されたリリースASCII)。

例えば、サービスに自社名などを含むソースコードのコピーライトを登録すれば自動でモニタリングを行うそうだ。流出検知時にはメールまたはSlackで通知するとのこと。現時点では料金体系などの詳細については不明。
15159379 story
Perl

perl.comがドメインを乗っ取られる。ランサムウェア配布の可能性があるためアクセスしないよう警告 49

ストーリー by nagazou
ドメインハイジャック 部門より
プログラミング言語Perlの公式ブログは、公式ドメインである「perl.com」が乗っ取られたと発表した(Perl NOCGIGAZINEINTERNET Watch)。過去にランサムウェアを配布していたサイトと同じIPアドレスにホストされているそうで、運営元では同ドメインにアクセスをしないように呼び掛けている。乗っ取りが判明したのは1月27日だという。復旧の見通しは立っていない。現在は代替サイトとしてhttps://perldotcom.perl.org/が用意されている。
15155505 story
情報漏洩

東京ガス運営の「ふろ恋 私だけの入浴執事」で不正アクセス、約1万人分のメールアドレスが流出 37

ストーリー by nagazou
フロピストってなに? 部門より

東京ガスの運営する恋愛ゲーム「ふろ恋 私だけの入浴執事」で、ウェブ会員1万365件分のメールアドレスとニックネームが流出していたことが判明したという。同社リリースによれば、1月28日にウェブ版アプリ内で海外アダルトサイトに誘導するリンクがあったことが判明。不正アクセスが疑われることから調査をしたところ、29日の夜に不正アクセスが確認されたとしている。対応としてウェブ版アプリの運用を停止したとしている。原因等は調査中だとしている(東京ガス公式Twitter東京新聞)。

なお「ふろ恋 私だけの入浴執事」は

入浴執事「フロピスト」の男性達と交流することで癒やされる、“頑張るあなたへ贈るおかえり入浴アプリ”です。

だそうです(4Gamer)。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...