パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

15212320 story
暗号

Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 25

ストーリー by headless
再会 部門より
あるAnonymous Coward 曰く、

先日、SHA-1署名されたコンテンツのダウンロードセンターからの提供中止に伴い、SHA-1署名されたDirectX SDKとDirectXエンドユーザーランタイムもダウンロードセンターから削除されたが、影響の大きさをかんがみてか、これらのダウンロードはSHA-2で署名され直して提供が再開された模様である。

なおタレコミ時点では、DirectXエンドユーザーランタイムWebインストーラー日本語版のダウンロードページおよびそのページへの短縮リンクは復活していないが、英語版のページからダウンロードできる。以前からどの言語版のページでもダウンロードできるファイルは結局同じだったので、とくに問題はない。

15210506 story
暗号

秘密計算技術の普及を目的とする「秘密計算研究会」 58

ストーリー by nagazou
名前がとても良い 部門より
nagazou 曰く、

NECなどの3社が2月18日「秘密計算研究会」を立ち上げたと発表した。この研究会はデータを暗号化したまま運用する「秘密計算」の普及を目的とした組織であるという。参加企業はNEC、デジタルガレージ、ソフトウェア開発企業のレピダム(秘密計算研究会ITmediaTECH+)。

公式サイトによれば、

秘密計算は、高度な暗号理論を用いて、データを暗号化した状態のままでデータベース処理、統計分析、AIによる分析などができる技術です。データ保護性が非常に高いクラウドサービスや、複数組織のデータを安全に共有・統合して1つのビッグデータとして利活用できるシステムを実現する技術として、期待されています。

とのこと。

秘密計算には「秘密分散」や「準同型暗号」を元に下した異なる方式が複数存在しているが、それぞれ独立して研究されてきたことから、安全性や性能などを一定のの基準で定量的に評価する方法が確立されていなかったという。秘密計算研究会は秘密計算における評価基準を策定し、秘密計算がクラウドなどの社会インフラ上に広く実装されることを目指すとしている。

15209592 story
情報漏洩

Salesforceでの設定不備問題で、両備システムズの自治体向けサービスに不正アクセス 22

ストーリー by nagazou
不正アクセス 部門より
Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した(両備システムズ 2021.02.12両備システムズ 2021.02.15)。

対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという(毎日新聞Security NEXTScanNetSecurityNHK)。

同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている(日経新聞)。
15207469 story
マイクロソフト

Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 31

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

Microsoftが2月の月例更新でMicrosoft Defenderのマルウェア対策エンジン「Microsoft Malware Protection Engine」で発見された脆弱性CVE-2021-24092を修正している(セキュリティ更新プログラムガイドSentinelLabsのブログ記事HackReadの記事)。

Microsoftのセキュリティ更新プログラムガイドでは特権昇格の脆弱性とのみ説明されているが、発見したSentinelLabsによれば権限なしに任意ファイルを上書き可能な脆弱性だという。

Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。

この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。

脆弱性はマルウェア対策エンジンのバージョン1.1.17800.5で修正されている。Windows 10でバージョンを確認するには「Windowsセキュリティ」を開き、「設定」で「バージョン情報」をクリックして「エンジンのバージョン」を確認すればいい。この脆弱性が実際の攻撃で使われている形跡はなく、自動更新が有効になっていれば既に修正済みのはずだが、確認しておくといいだろう。

15206544 story
お金

Mastercardが暗号資産での決済に対応と発表。2021年中には 12

ストーリー by nagazou
またバブってる感 部門より
米Mastercardは2月10日、2021年中に暗号資産(仮想通貨)での決済を行える機能を提供すると発表した。同社は暗号資産をはじめとするデジタル資産が、決済の世界でより重要な役割を果たしているとしており、特にビットコインの価値の急上昇中により、同社のカードを使用して暗号資産を購入する人が増えており、また通常の貨幣に変換することも増えてきたことから無視できないと判断しているようだ(Mastercard NewsroomITmediaImpress Watch)。

なお、どの暗号資産をサポートするかについては明確にはされていない。消費者保護とコンプライアンスなどを考慮した上で決定するとしている。その条件として四つの項目を挙げている。一つはクレジットカードと同等のプライバシーとセキュリティを含む消費者保護。二つ目はKYC(Know Your Customer)を含む厳格なコンプライアンスプロトコルに対応していること。三つ目は使用される地域の地域の法律および規制に準拠していること。最後に支出のための手段としての安定性が提供されることだとしている。
15204034 story
スラッシュバック

Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 54

ストーリー by headless
挑戦 部門より
Bloomberg Businessweekは2018年、Super MicroがAppleやAmazonに納入したサーバー用マザーボードにスパイチップが埋め込まれていたと報じて全方向から否定されているが、この話をBloombergが何か新しい情報でもあるかのように再び報じている(9to5Macの記事[1][2])。

2018年の記事では、スパイチップは削った鉛筆の先よりも小さいマイクロチップで、中国人民解放軍の工作員が多層基板の層間に埋め込んだと主張していた。しかし、スパイチップを発見したとされるAppleとAmazonは記事の内容を否定しており、Super Microや米英の情報機関も否定した。技術上可能であるとしてもより簡単な方法があるのにこの方法を用いる必然性がないことや、調査のために情報を開示していなかったとしてもいったん報じられた後で否定するメリットがないことも指摘された。また、情報提供者の情報はすべて二次情報であり、存在を直接確認した人の証言はなかった。

今回の記事では2018年の記事が否定されたことに言及しつつ、Businessweekの報道は氷山の一角しかとらえられていなかったなどしてスパイチップ埋め込みは事実だと主張する。ただし、新しい情報も二次情報ばかりで、スパイチップ埋め込みとは無関係らしいサイバー攻撃の話題に紙面の4分の3ほどを費やしている。
15194844 story
Android

Google Playにある古参アプリ、マルウェアと誤認される。マルウェア化したアプリと同名 24

ストーリー by nagazou
誤解 部門より
headless 曰く、

Google Playで1千万回以上インストールされているアプリ「Barcode Scanner」が12月4日のアップデートでマルウェア化し、デフォルトブラウザーで広告を表示するようになったとMalwarebyteが報告したところ、同名の古参アプリがマルウェアと誤解されてしまう事態になったようだ( The Vergeの記事The Registerの記事Android Policeの記事)。

マルウェアと誤解された同名アプリはZXing Teamによるもので、Android Market(現Google Play Store)スタート当初から公開されている最古参アプリのひとつだ。インストール件数は1億件を超えており、マルウェア化したアプリとは一桁違う。日本語版では「QRコードスキャナー」という名称になっているが、Google Playを英語表示にするとマルウェア化したアプリと同じ「Barcode Scanner」という名称が表示される。

Malwarebyteは最初の報告時点でマルウェア化した方のアプリは既に削除されていると説明しており、開発者を含め別物のアプリであることはスクリーンショットから確認できる。しかし、Google Playで「Barcode Scanner」を検索すると最初に表示される同名アプリということもあってか、マルウェアだと糾弾する1つ星レビューと間違いを指摘する5つ星レビューが多数投稿されることになる。

ただし、ZXingのアプリをアドウェア/マルウェアとする1つ星レビューが増加し始めたのは12月下旬のことだ。中には「ロゴが変わった(変わっていない)」「最近のアップデートをインストールしたらマルウェア化(最新版は2年近く前に公開された)」など別のアプリと間違えていると思われるレビューもあるが、詳細は不明だ。ZXingの開発者はAndroidのインテントが乗っ取られ、ZXintのアプリがデフォルトブラウザーで広告を表示しているように見えている可能性も否定できないとThe Vergeに語っている。

なお、マルウェア化した方のBarcode Scannerアプリについて、Malwarebyteでは開発者/提供元の変更により悪意あるコードが追加された可能性に言及していないが、Internet ArchiveでGoogle Playのスナップショットを見ると開発者/提供元が最近変更されているようだ。一番古い2017年5月のスナップショットではアプリ名の下に表示される開発者名と追加情報に表示される提供元がともに「Barcode Scanner」だが、2020年11月のスナップショットではGoogle Play Passで利用可能というバナーが追加され、提供元のみ「Google Commerce Ltd」になっている。ここまで開発者の住所や電子メールアドレスは変わっていないが、Malwarebyteの記事に掲載されているスクリーンショットでは開発者・提供元ともに「LAVABIRD LTD」となっており、住所や電子メールアドレスも変更されている。

なお、LAVABIRD LTDは現在4本のアプリをGoogle Playで公開しており、アプリケーションIDからみて他の開発者から買収したアプリのような雰囲気だが、特に問題が発生しているようには見受けられない。

15193237 story
SNS

Snapchat、安全のため不要な友達の整理を推奨する「Friend Check Up」機能を発表 25

ストーリー by headless
整理 部門より
Snapは2月9日のSafer Internet Dayに合わせ、これまでにSnapchatの友達リストへ追加した友達が現在も必要かどうかの見直しを推奨する「Friend Check Up」機能を発表した(Snapのニュース記事The Vergeの記事SlashGearの記事)。

Friend Check Upは、もうSnapchatで連絡することがなくなった友達や、間違ってリストに追加してしまった友達がいないか見直しを推奨するもので、1月28日のGlobal Privacy Day(Data Privacy Day)に開始したオンラインでの安全やプライバシー教育キャンペーンの一環だという。ユーザーはアプリのプロファイル画面に表示されるツールチップをタップすることで、容易に友達リストを整理できる。Friend Check Up機能は今後数週間の間にAndroidデバイスへ、今後数か月の間にiOSデバイスへロールアウト開始予定とのことだ。
15186706 story
情報漏洩

米フロリダ州で浄水システムがハッキング、苛性ソーダ濃度が100倍に設定される 47

ストーリー by nagazou
これは怖すぎ 部門より
米フロリダ州にあるオールズマー市で、水道局の浄水システムがハッキングされ、飲料水の水酸化ナトリウム(苛性ソーダ)が100倍の濃度に設定という事故があったそうだ。職員が異常に気がついたため直接的な被害は発生しなかったという。長時間気がつかなかった場合は、住民に健康被害が出ていた可能性もある(CNNEngadgetReutersTampa Bay Times)。

この浄水システムの従業員用コンピューターには、外部からのメンテナンス用にリモートデスクトップアプリのTeamViewerがインストールされていたという。そのTeamViewerを何者かが遠隔操作で操作し、浄水システムを設定しようとしているのを監視担当の職員が発見した。

職員はTeamViewerが外部からコントロールされるときに表示されるポップアップに気がついた。ただ、上司が定期的にシステムにリモートアクセスしていたため、こうした表示が出るのは日常的な出来事だったそうだ。

しかし、その日は2度アクセスがあり、その2回目の操作では不正侵入者はマウスをドラッグしプログラムを開いてシステムを操作、水酸化ナトリウムの添加量を100ppmから11,100ppmに増やす設定をした。侵入者は3〜5分間ほど作業していたという。職員は侵入者が離脱した後に設定をすぐに元に戻したことでトラブルは防ぐことができたとしている。
15181454 story
バグ

Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2

ストーリー by nagazou
リセット 部門より
headless 曰く、

Slackが念のためパスワードをリセットするよう、一部のAndroid版アプリユーザーに電子メールで通知しているそうだ(Android Policeの記事)。

Android Policeが入手した通知の文面によると、昨年12月21日にAndroidアプリの一部のバージョンでユーザーの認証情報をデバイス内に平文で記録してしまうバグが導入されたのだという。Slackでは問題を1月20日に特定し、翌21日に修正。既に修正版を公開して影響を受けるバージョンはブロックしているが、念のためにパスワードのリセットを必須にしたと説明している。

通知にはパスワードリセット用の大きなリンクが添えられていたといい、Android Policeではフィッシング風と評しているが、フィッシングではなく本物であることをSlackに確認したそうだ。それでも心配ならリンクをクリックせず、自力でSlackのWebサイトに行ってパスワードをリセットすればいい。Slackでは複雑でユニークなパスワード設定を強く推奨するほか、他のサイトで同じパスワードを使用していた場合はSlackアプリのデータ消去を推奨している。

15171687 story
Chrome

Google、マルウェア化したChrome拡張機能をリモートから無効化 27

ストーリー by headless
無効 部門より
人気のChrome拡張機能「The Great Suspender」がマルウェア化し、GoogleはChromeウェブストアから削除するだけでなく、インストール済みの拡張機能をリモートから無効化したそうだ(Android Policeの記事The Vergeの記事Neowinの記事SlashGearの記事)。

The Great Suspenderは使用していないタブをサスペンドしてメモリ使用量を削減するオープンソースの拡張機能で、ソースコードはGitHubで公開されている。しかし、昨年6月に開発者が正体不明な新オーナーへのプロジェクト譲渡を発表し、10月にはGitHubでリリースされていない更新が公開されて怪しい動作をするようになったとの報告が出始める。この頃にはほぼマルウェア化確定との見方が広がっていたが、Googleは調査の結果問題なしとみなしていたようだ。

しかし、Googleは2月4日になって拡張機能の実行をブロックし、Chromeウェブストアからも削除する。これにより、ユーザーはサスペンドしていたタブを復元できなくなるトラブル(サスペンドしたタブのURLには元のURLが含まれるので、手作業で復元することは可能)にも見舞われることになった。

オープンソースのChrome拡張機能では昨年、Nano Defender/Nano Adblockerが新オーナーへ譲渡後にマルウェア化している。このケースも今回のThe Great Suspenderのケースと同様だが、長年プロジェクトを維持していた元の開発者が徐々に時間を取れなくなったことが譲渡の主な理由となっている。このようなケースは今後増えていくのだろうか。なお、昨年11月にMicrosoft Edgeアドオンサイトで人気拡張機能の偽物が複数発見された際、The Great Suspenderも含まれていたが、本件との関係は不明だ。
15171219 story
Chromium

Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性 29

ストーリー by headless
影響 部門より
Googleは4日、エクスプロイトの存在が報告されているChromeの脆弱性(CVE-2021-21148)を修正するChrome 88.0.4324.150をリリースした(Chrome Releasesの記事The Registerの記事)。

この脆弱性はJavaScript/WebAssemblyエンジンV8に存在するヒープバッファーオーバーフローの脆弱性。詳細はまだ公表されていないが、Chromeに限らずChromium系ブラウザー全般に影響するようだ。脆弱性はV8のバージョン8.8.278.15で修正されたとみられ、最新版のBraveやMicrosoft Edge、VivaldiのV8はこのバージョンになっている。Operaはまだ更新されていなかった。
15165498 story
情報漏洩

Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 58

ストーリー by nagazou
仕様です 部門より

Salesforceが提供しているサービスで、設定不備により顧客情報などが流出するトラブルが複数起きているようだ。内閣サイバーセキュリティセンター(NISC)も1月29日に注意喚起を求める文書を公開した(NISC[PDF])。この文章では具体的な設定項目についての詳細は触れられていないが、日経クロステックの記事によれば、

「Salesforceサイトを有効に設定(インターネットに公開している)」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」

としている。同じ日経クロステックの別記事によると、1日までに楽天PayPay、イオン、バンダイとBANDAI SPIRITSや 日本政府観光局(JNTO)[PDF]で、この設定不備の問題により顧客情報の流出が起きたとしている。この中の一番新しい被害と思われるバンダイの29日の発表によれば、氏名、住所、電話番号、メールアドレス、対応記録が第三者からアクセスされた可能性があるという。

なおITmediaの記事によると、NISCの担当者は現在の状況は「明らかになっているのは氷山の一角」と話している模様。Salesforce側は12月25日にこの問題に関する声明を発表しており、それによると、プラットフォームの脆弱性に起因するものではなく、公開サイト機能を利用ユーザーが適切な設定をしていないためことが原因としている(Salesforce)。

15162401 story
医療

ワクチン接種状況管理のための新システムへのデータ移動はUSBメモリ経由? 50

ストーリー by nagazou
たぶんもっと考えられているはず。角度とか 部門より

菅義偉首相は2日夜に記者会見を行い、栃木県を以外の10都府県に関しては緊急事態宣言を3月7日まで延長すると表明した。そんな中、政府はのワクチン接種時の個人情報を一元管理する新システムの導入を進めている。とくに厚労省の承認が12日にも行われる見込みのファイザー製に関しては2回の接種が必要なため、摂取時期などの適切な管理が求められる。

時事ドットコムの記事によれば(その1その2)、

新システムは、国が住民基本台帳を基に構築するデータベースに、市町村が今後郵送する接種券(クーポン券)番号と、全国民に割り当てられているマイナンバーをあらかじめ登録。接種会場では、医療機関がクーポン券に印刷されたQRコードを読み取り、接種の日時や場所、ワクチンの種類などの個人情報をリアルタイムで収集する。

というものだそうだ。テレ朝NEWSによれば、新システムは3月中の運用開始を目指しているとしている。ただ自治体側はすぐに新システムの運用に対応できるかなどの指摘もある。

河野太郎大臣は29日の閣議後に行われた記者会見で、これまで市町村が管理してきた「予防接種台帳」とCOVID-19の情報を把握してきた「ワクチン接種円滑化システム(V-SYS)」、そしてこれに新システムが加わることで、市町村側の運用に問題が出ないかという質問に対し、すでに運用されている予防接種台帳とV-SYSに関しては手をつけないとした上で、予防接種台帳にある名前や接種番号などを新システムに関連付ける場合、データをCSVに落として、新システム側にアップロードしてもらう必要があると話している。

会見を聞く限りは、データの移動にUSBメモリなどを使うことが想定されているようだ。基本的には新システム上ですべてを管理することで業務の効率化を図るという方向の模様。USBメモリを使わず自動的に連動する機能があるのかどうかや、各システム間の差分の処理などがどうなるのか、新システムに入力されたデータを予防接種台帳やV-SYS側に戻すための仕組みがあるかどうかといった点は不明(河野大臣記者会見(令和3年1月29日)[関連質問は10分35秒くらいから])。

15163050 story
情報漏洩

コンピュータソフトウェア協会、GitHub流出の件で利用萎縮にならないよう求める声明を発表 110

ストーリー by nagazou
極端な対応はやめましょう 部門より

GitHubへの社内コード流出の件は、さまざまなところで波紋を呼んでいるようだ。コンピュータソフトウェア協会(CSAJ)は2日、「GitHubに関する対応とお願い」という声明を発表した(一般社団法人コンピュータソフトウェア協会INTERNET Watch)。

簡単に言えば大手の発注元は、下請け企業などに対して、GitHubなどへのアクセスを禁止する方向に動かないでほしいというものとなっている。どうも今回の件で大手企業がGitHubへのアクセスを禁止する方向に動いている気配がある模様。このため、先のGitHubに関する対応とお願いでは、日本の抱える多重下請け構造のことやGitHubはソースコードを共有し合うサービスであり、開発の速度や質の面でも欠かせないサービスであると言うことを説得するような内容となっている。

同様にITmediaに掲載された「GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク」という記事でも、

GitHubなどのエンジニアが利用するサービスを悪者にして一切の接続を禁止するといった“やったつもりのセキュリティ対策”はお薦めしません。

と同し懸念を指摘する一文が含まれている。こちらの記事では教育に力を入れて対処していくすべきだとしている。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...