パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

15314252 story
情報漏洩

Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 35

ストーリー by headless
入口 部門より
先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事HackReadの記事Neowinの記事SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。
15313234 story
Chrome

Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ 42

ストーリー by headless
無意味 部門より
Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393Ghacksの記事Android Policeの記事9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。
15313225 story
セキュリティ

Linuxでプロセスの権限を設定するpolkit、7年以上前から存在した特権昇格の脆弱性が見つかる 38

ストーリー by headless
時間差 部門より
多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事The Registerの記事Computingの記事CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。
15309184 story
アメリカ合衆国

ジョー・バイデン米大統領、WeChatやTikTokなどを国家安全保障上の脅威と位置付ける前政権時代の大統領令3件を取り消し 26

ストーリー by nagazou
取り消し 部門より
headless 曰く、

米国のジョー・バイデン大統領は9日、米国人のセンシティブ情報を外国の敵から保護するための大統領令に署名した(大統領令ファクトシート)。

この大統領令は2019年にドナルド・トランプ大統領(当時)が署名した情報通信技術とサービスのサプライチェーンの安全を保つための大統領令13873を踏襲するもので、米政府や企業の機密情報や米市民のセンシティブ情報を扱うアプリケーションと外国の敵との結び付きをリスクベースで分析するよう監督官庁に命じている。

一方、中国のソフトウェア計10本を国家安全保障上の脅威と位置付けるトランプ大統領時代の大統領令3件は、本大統領令で取り消される。具体的には昨年8月に署名されたTikTokが対象の大統領令13942とWeChatが対象の大統領令13943、トランプ大統領退任直前の今年1月に署名された大統領令13971の3件。大統領令13971で対象となるソフトウェアはAlipayとCamScanner、QQ Wallet、SHAREit、Tencent QQ、VMate、WeChat Pay、WPS Officeの計8本だ。

15308129 story
犯罪

豪連邦警察、FBIが運営する組織犯罪専用暗号化通信アプリで犯罪組織を摘発 39

ストーリー by nagazou
日本でやったら法に引っかかりそう 部門より
headless 曰く、

オーストラリア連邦警察(AFP)は8日、組織犯罪限定で用いられる暗号化通信を読み取る特別作戦「Operation Ironside」により、224人を逮捕したと発表した(メディアリリースThe Registerの記事Neowinの記事BBC Newsの記事)。

Operation Ironsideは米連邦捜査局(FBI)との協力により3年前から行われていたという。AFPとFBIは犯罪組織が用いる暗号化通信プラットフォームを共同で摘発しており、その過程でFBIは「AN0M」と呼ばれる暗号化通信アプリを入手してひそかに運営を始めたそうだ。

AN0Mは機能を制限した携帯電話にインストールして闇市場で取引されており、摘発により競合の暗号化通信プラットフォームが減少する中、犯罪者の間で人気を博していた。しかし、犯罪者はAFPをポケットに入れているのも同然であり、AFPは2018年以降、3.7トンの麻薬や4,493万豪ドルの現金などを押収しているとのことだ。

15307078 story
お金

アップルにiPhoneを修理に出した女性、裸の写真とセックス動画を自分のSNSに投稿される 97

ストーリー by nagazou
とんでもないことが起きてた 部門より
The Telegraphの報道によると、米国オレゴン州に住む当時10代の女子大生が2016年に、Appleに自分のiPhoneの修理を依頼したところ、修理業者の手によって中にあった写真と動画が勝手に取り出され、しかも彼女本人が投稿したかのようにFacebookアカウントに投稿されたという事件が起きていたという(The Telegraphクーリエ・ジャポンАфиша Dailydetikcom)。

その後の経緯はタレコミにあるとおりで、最終的にAppleが数百万ドルの補償金を支払ったとしている。Appleが彼女に最終的に支払った金額自体は不明だが、報道によれば彼女の弁護士は500万米ドルを要求していたとのこと。Appleはこの事件のあと、セキュリティシステムを強化し、同様のリーク事件が再発しないよう対策を取ったとしている。

tamaco 曰く、

2016年アップルにiPhoneの修理に出した女子大学生、アップル公認の修理業者により、彼女のフェイスブックアカウントから、まるで彼女自身がアップしたと思われるような形で勝手に「さまざまな段階の脱衣姿の写真10枚とセックスビデオ」を投稿した。

友人から彼女に連絡が入り、これらの画像はすぐに削除された。
事件をおこした修理業者の技術者2人はすぐに解雇され、より監視体制を厳格にした

この事件による「深刻な精神的苦痛」の慰謝料として、アップルが女子学生に数百万ドルを支払ったと英紙「デイリー・テレグラフ」が報じている。

iPhoneのロックはFBIでも解除困難と聞いていたので、修理に出す前にはロックするようにしている。しかしまさか修理業者が端末のデータに簡単にアクセスできるなんて想定外だし怖い話ではある。

情報元へのリンク

15307095 story
アメリカ合衆国

米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 18

ストーリー by nagazou
沈黙の奪還 部門より
5月にサイバー攻撃を受けて操業停止に追い込まれた米パイプライン最大手コロニアル・パイプライン。ロシアに拠点を置くハッカー集団「Darkside」に身代金を支払っていたことも発表されていたが、その身代金のうち2億5000万円相当をFBIが回収することに成功したそうだ(米司法省AFPBB NewsNHKCNNBBCニューズウィーク日本版)。

米司法省が7日に発表したもので、支払われた75ビットコイン(当時の相場で440万ドル相当)のうち、FBIが63.7ビットコインを押収したとしている。この回収は最近になって新設された「ランサムウェア&デジタル恐喝タスクフォース」によって行われ、暗号通貨ウォレットへの支払いを追跡、回収に成功したとしている。

あるAnonymous Coward 曰く、

金額を見ると半分ぐらいじゃんと思ったら、ビットコインが急落した影響でそう見えるだけで、75ビットコインのうち63.7ビットコインが奪還されたそうだ。

情報元へのリンク

15307115 story
お金

メルぺイが一部加盟店で利用制限へ。フィッシングメール急増のため 11

ストーリー by nagazou
制限 部門より
メルカリは8日、同社の決済サービス「メルペイ」に関して、一部加盟店での利用制限を行うと発表した。リリースによれば、メルカリを装った不審なメール・SMSが急増しており、ユーザーのメルペイアカウントにログインされ、不正利用される事例が発覚したためであるという。現時点で再開時期は未定だとしている。利用制限となる店名や被害の件数については公開されていないとのこと(メルカリITmedia)。
15307005 story
お金

ノートン360にイーサリアムのマイニング機能「Norton Crypto」が追加へ 31

ストーリー by nagazou
追加 部門より
NortonLifeLock(旧:Symantec)は2日、同社のウイルス対策ソフトウェア「ノートン360」に専用の暗号資産マイニング機能「Norton Crypto」を追加したと発表した。このNorton Cryptoでは、暗号資産Ethereum(イーサリアム)を、PCがアイドル状態のときに自動的に採掘する機能が利用できる。新機能は今後数週間のうちにユーザーに提供される予定だという(Business WireTechCrunchZDNet)。

マイニングソフトの中には利用時にウイルス対策ソリューションを無効にすることを求められることがある。しかし無効化した状態でマイニングした場合、精査されていないコードがシステム内に侵入し、せっかく掘り出したコインの窃盗や消失につながる可能性がある。Norton Cryptoでは、ウイルス対策と暗号資産のマイニングを両立させることができる上、クラウドベースのウォレット「Norton Crypto Wallet」に転送する機能も備えているとしている。
15307059 story
情報漏洩

ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 24

ストーリー by nagazou
40万人分の流出を隠し通そうってのは 部門より
自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという(プレスリリース, ITmedia)。

ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。

ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。

あるAnonymous Coward 曰く、

金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

15305185 story
アメリカ合衆国

米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 9

ストーリー by nagazou
ランサムテロ 部門より
headless 曰く、

米国のリサ・モナコ司法副長官がすべての連邦検事に対し、ランサムウェアとデジタル恐喝対策強化のためのガイダンスを3日付で発行している(ガイダンス: PDFReutersの記事The Guardianの記事Ars Technicaの記事)。

ガイダンスの目的は内外を問わず各地で発生しているランサムウェア・デジタル恐喝に対する情報を中央に集約し、捜査の調整を可能にすることだ。ランサムウェアやデジタル恐喝スキームでしばしば使われるカウンターアンチウイルスサービスやオンラインフォーラム・マーケットプレース、暗号通貨取引所、防弾ホスティングサービス、ボットネット、オンライン資金洗浄サービスなども対象としている。

連邦地方検事補など関連事件の捜査に割り当てられた担当者は大きな進展があるたび、司法省のコンピューター犯罪および知的財産セクション(CCIPS)と連邦検事事務局の国家安全保障およびサイバー犯罪コーディネーターへの報告が求められる。CCIPSは個別に捜査されている事件が関連すると判明した場合に各当局間の調整などの役割も担う。

これにより、ランサムウェア・デジタル恐喝対策をテロ対策と同様の優先度で行うようになるとのことだ。

15305385 story
お金

エルサルバドル、世界で初めてビットコインを法定通貨とする法案提出へ 46

ストーリー by nagazou
なんと 部門より
中米にあるエルサルバドル共和国のナジブ・ブケレ(Nayib Bukele)大統領が、米国で開催されていたビットコインカンファレンス「Bitcoin 2021」で、ビットコイン(Bitcoin)を「法定通貨」として採用することを検討しているという(ナジブ・ブケレ大統領ツイート読売新聞COINPOSTコインテレグラフ ジャパン)。

同大統領は来週にも国会に法案を提出する考えだとしている。現時点では議会や金融当局の承認が得られるかについては不明だが、可決・施行されることがあれば世界初の事例となる。同大統領は先月、5人の裁判官と司法長官を解雇するなどの強権的な制限運営をしているものの、国内での支持率は高いとしているので、実現する可能性は十分にある模様。

ブケレ大統領は、この新たな法案は銀行口座を持っていない70%以上のエルサルバドル人にとってて重要なものになると話しているという。
15305187 story
犯罪

USA TODAYの特定記事を読んだ人物の情報提出を要求していたFBI、令状を取り下げ 17

ストーリー by nagazou
アリバイ崩しに必要だったとか? 部門より
headless 曰く、

米連邦捜査局(FBI)がUSA TODAYの特定の記事へ35分の間にアクセスしたIPアドレスなどの情報に関する文書提出令状(PDF)を4月に取得していたのだが、別の方法で目的の人物を特定できたとして令状を取り下げたそうだ(USA TODAYの記事[1][2][3]The Vergeの記事)。

問題の記事は2月2日にフロリダ州で児童ポルノに関連する捜査令状を執行しようとしたFBI捜査員が容疑者と撃ち合いになり、捜査員2名と容疑者が死亡、捜査員3名が負傷したという事件に関するものだ。記事は2月2日9時29分に公開され、同日18時23分に更新されているが、提出が命じられていたのは同日19時3分~19時38分にアクセスした人物に関する情報となっている。

容疑者は記事公開時点で既に死亡しており、FBIがUSA TODAYの記事にアクセスした人物を調べている理由は不明だ。一方、USA TODAYの親会社Gannett Satellite Information Networkは令状が報道の自由を定めた合衆国憲法修正第1条に違反するとして、5月28日に令状無効化の申し立て(PDF)を行っていた。

15305139 story
ゲーム

カプコン、著作物の写真無断使用で提訴へ。昨年の不正アクセス事件により判明 67

ストーリー by nagazou
これは 部門より
米国でカプコンが、デザイナーであるジュディ・A・ユラチェク氏によって写真を無断使用したとして提訴された。昨年起きたカプコンへの不正アクセス事件によるデータ流出により、無断使用が判明したのだという(AUTOMATON インサイド GameSpark)。

訴状によれば、同氏の写真集「Surfaces: Visual Research for Artists, Architects, and Designers」で使われた写真が、『バイオハザード4』など複数の作品に使われていたとしている。この「Surfaces」はさまざまなタイルや木目、レンガなど建築物など1200枚の写真が含まれる写真集で、1996年に出版されたもの。写真がデータ化されているCD-ROMも付属していたという。この写真データを商用利用する場合、著者へ連絡してライセンスを取得する必要があったそうだ。

療養されたものの中には、バイオハザード4の「4」の文字の表面に使われているテクスチャーがあるという。リメイク版の「biohazard」や「バイオハザード アンブレラ・クロニクルズ」、「デビル メイ クライ」などにも使用されていたとしている。ユラチェク氏は最大1200万ドルの損害賠償の支払いを求めているとしている。
15304807 story
暗号

RNP 0.15.1、復号した鍵を保護せずに保存してしまう問題を修正 5

ストーリー by headless
修正 部門より
Thunderbird 78.8.1~78.10.1がインポートしたOpenPGP秘密鍵を暗号化せずに保存する問題でRNPの脆弱性(CVE-2021-33589)が発覚し、修正版のRNP 0.15.1がリリースされている(RNPのアドバイザリーThe Registerの記事)。

RNPの説明によれば、鍵を復号する2つの方法のうち、rnp_key_unlock が鍵の保護設定を上書きせず一時的に復号するのに対し、rnp_key_unprotect は鍵の保護設定を上書きするため、鍵のデータが保護されていない状態で保存される。しかし、RNP 0.15.1よりも前のバージョンでは、rnp_key_unprotect 実行後に rnp_key_protect を実行しても、鍵の保護状態が再設定されないのだという。RNP 0.15.1以降では、 rnp_key_unprotect で保護が解除された鍵を rnp_key_protectが再度保護する機能が実装されたとのこと。なお、ThunderbirdではRNPとは別にThunderbird 78.10.2で修正されているため、最新版にアップデートすればいい。
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...