パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

15542106 story
犯罪

ロシア連邦保安庁、サイバー犯罪組織 REvil を無力化 9

ストーリー by headless
制圧 部門より
ロシア連邦保安庁 (FSB) は 14 日、モスクワやサンクトペテルブルクなどでサイバー犯罪組織 REvil に対する大規模な捜査を内務省と共同で行ったことを発表した (プレスリリースThe Verge の記事Reuters の記事Ars Technica の記事)。

捜査は米当局の要請によるもので、FSB は REvil の全容を把握してメンバー 14 人の住居 25 か所で各国通貨の資金 4 億 2,600 万ルーブル・60 万ドル・50 万ユーロを押収したほか、コンピューターや暗号通貨ワレット、高級車 20 台などを押収したという。逮捕された犯罪組織のメンバーは起訴され、サイバー犯罪に使用するインフラストラクチャーは無力化されたとのことだ。
15541523 story
宇宙

欧州宇宙機関、超小型人工衛星に対するサイバー攻撃のアイディアを募集 6

ストーリー by headless
攻撃 部門より
欧州宇宙機関 (ESA) が超小型人工衛星 OPS-SAT に対するサイバー攻撃のアイディアを募集している (ESA の記事The Register の記事特設サイト)。

OPS-SAT はフライトコンピューターの性能向上によるミッションコントロール機能などの改善をデモするため 2019 年に打ち上げられた 3U の CubeSat で、現行の ESA の他の宇宙機よりも 10 倍以上高性能なフライトコンピューターを搭載している。強固なセキュリティを誇る OPS-SAT は倫理的ハッカーが安全かつ現実的な環境でスキルをデモするのに最適な空飛ぶプラットフォームだという。

ESA が募集しているのはフランス・パリで 4 月に開催される CYSAT で実施するデモのアイディアで、日本を含む全世界から応募可能だ。締め切りは 2 月 18 日。アイディアは攻撃のシナリオが創造的で現実的かどうか、技術的に 2 か月間で実現可能かどうか、宇宙空間におけるサイバーセキュリティの重要性を誰にでも理解できるよう伝える可能性があるかどうかといった点で審査される。

2 月 25 日にはラウンド 1 として 6 つのアイディアが選定され、選定された各チームは ESA がトラブルシュートとテストのためミッションコントロールに保持している OPS-SAT のコピー「flatsat」を用いてデモの開発とテストを行う。3 月 31 日にはラウンド 2 として CYSAT でデモを行う 3 チームが発表される。3 チームにはパリまでの旅費が全額支給され、4 月 6 日 ~ 7 日の CYSAT で各 6 分間のデモを行うことになる。
15541457 story
犯罪

米テキサス州、パーキングメーターに偽の支払用 QR コードを貼り付ける詐欺 25

ストーリー by headless
偽物 部門より
パーキングメーターに偽の支払いサイトへリンクする QR コードを貼り付ける、という詐欺が米テキサス州の複数の市で確認されているそうだ (The Verge の記事Ars Technica の記事KXAN Austin の記事FOX 7 Austin の記事)。

サンアントニオ市警ではパーキングメーターで詐欺的 QR コードステッカーが見つかっていると 12 月に Twitter で注意喚起しており、オースティン市も今年に入ってプレスリリースで注意喚起した。ヒューストン市では詐欺的 QR コードはまだ確認されていないとしつつ、パーキングメーターで QR コードを使用することも、市が QR コードを通じた支払いを受けることもないと注意喚起 (Google キャッシュ) している。オースティン市の担当者はKXANの取材に答え、容易に偽物が作れ、容易に貼り付けられる点を市が QR コードを使用しない理由として挙げている。
15540383 story
インターネット

新経済連盟が「待った」をかけた電気通信事業法改正案、経済界との協議の末まとまる 44

ストーリー by nagazou
まとまる 部門より
2021年3月に発覚したLINE問題(その1その2)をきっかけにして、総務省が「利用者情報」に関する法改正を進めようとしている。産経新聞によれば、規制強化策を基に電気通信事業法改正案がまとまり、17日に召集される通常国会に提出されることになったそうだ。この改正案では、サイト運営者やアプリ提供者などに対して、インターネットの閲覧履歴を第三者に提供する場合、閲覧者の同意を得ることが義務化されるとのこと(産経新聞)。

各紙の報道によれば、この最終方針がまとまる直前、経済団体などから個人情報の保護範囲について異論が出た。そのため内容が軌道修正されたようだ。具体的には楽天の三木谷浩史氏が代表理事を務める「新経済連盟」が強く反対したとされる(電気通信事業法の改正の方向性に対する懸念について)。一方でこの新経済連盟の意見に対して、一般社団法人MyDataJapanが反論するなど議論が噴出した(新経済連盟の「懸念」に対する懸念)。このため総務省は経済界などと調整のうえで改正案の内容を修正。

産経新聞の報道によれば、第三者提供で同意を得ることに関しては全ての企業に対してではなく、スタートアップ企業など小規模な事業者を例外とすることになったという(読売新聞朝日新聞ケータイ Watch)。
15540051 story
ニュース

アマゾンのEchoシリーズ、人の在室を判定して定型アクションを実行する機能を追加 24

ストーリー by nagazou
不在が分かっちゃうのはセキュリティ的に気になる 部門より
Amazonの提供しているEchoシリーズで、人間の在室を検知したり、不在を判定可能な定型アクション機能の利用が可能になったそうだ。この機能では、Echoシリーズのデバイスが人間の在室を検知すると声で話しかけなくても、Alexaが自動的に照明や家電の電源をつけたり、天気やニュースを読み上げといった定型アクションを実行することができるそうだ。逆に人間の不在判定時に、自動的にテレビやエアコンなどの電源を切るといった定型アクションを実行することもできる。なおユーザーはデバイス毎に定型アクションを設定する必要があるとのこと(PR TIMESAlexaの在室感知定型アクションの仕組みASCII.jp)。

Echo Show 10、Echo Show 8(第2世代)、Echo Show 5(第2世代)では搭載カメラが捉えた人の動きやAlexaとの会話、タッチ操作などによる信号などにより人の在室・不在を判定するという。ディスプレイなしのEcho(第4世代)、Echo Dot(第4世代)、Echo Dot with clock(第4世代)では、スピーカーから発せられる超音波の信号で人間を検知しているとのこと。
15539006 story
交通

東京メトロ、1月17日からセキュリティ強化のため全駅で駅構内のゴミ箱を撤去へ 107

ストーリー by nagazou
不便になるね 部門より
caret 曰く、

東京地下鉄(東京メトロ)は同社管理の全駅構内に設置しているゴミ箱を16日をもって撤去する。走行中の鉄道車両内での事件が相次いでおり、「セキュリティ強化の観点から撤去することとなった」という(J-CAST ニュースBuzzFeed, 日テレNEWS24, 日本経済新聞)。

同社では1995年の地下鉄サリン事件の際や、2004年に発生したスペインでの列車爆破事件の後にゴミ箱を撤去。2005年からは不審物対策のため中身が見えるよう前面が透明パネルとなっているゴミ箱を設置していた。
また、国際会議など、要人来日時にもゴミ箱を使用できない状態にしていたが、今回は一概に特定の事件を受けて撤去するということではなく、現時点でゴミ箱を再設置する予定はないとしている。

なお、半蔵門線渋谷駅、東西線中野駅・西船橋駅などの他社管理の共同管理委託駅では引き続きゴミ箱が設置される。

15537994 story
クラウド

東急電鉄ら、乗車客のスマホからBluetooth信号を取得、混雑状況を可視化する実証実験 31

ストーリー by nagazou
空いているところにみんなが行ってしまう気も 部門より
東急電鉄と阪急電鉄、東京工業大学は11日、乗客のスマートフォンのBluetooth信号を取得し、列車内の混雑状況を可視化する実証実験を1月から実施することを発表した。東京工業大学が開発した「列車内の混雑度解析技術」の精度を検証する目的だそうだ。混雑情報を可視化して乗車前の利用客にリアルタイムで提供することで混雑の分散を図る意図があるらしい(プレスリリースTECH+)。

このシステムでは、乗車前の客のスマートフォンが発するBluetooth信号を駅に設置した「混雑解析装置」で取得、合わせて顔を識別できない「高速度カメラ」で撮影した混雑状況などのデータを組み合わせ、これらのデータをクラウド上に置かれたAIが混雑状況を解析するとしている。
15537932 story
スラッシュバック

ICカード式コインロッカーから窃盗相次ぐ。勘違いを起こすUIが原因との指摘から改善案も 106

ストーリー by nagazou
ぶっちゃけアナログ式でいいじゃんって気も 部門より

朝日新聞の記事によると、交通系ICカードをキーとして利用できるタイプのコインロッカーが出回っているが、そこから荷物の盗難が増加しているという。このタイプのロッカーでは、施錠完了の前に「使用可」のランプが消えることから、ロックしたと勘違いして被害に遭う事例があるとされ、同様の被害が増えているそうだ(朝日新聞)。ユーザーインターフェース的に問題があるような気がするとの指摘が出ており、はてなブックマーク上でこの問題に対する改善案の提示が行われている(はてなブックマーク)。改善案込みの人気コメントとしては、

最初にカード認証してから空きロッカーの扉が開く仕組みにしなきゃだめ。旧式のコインロッカーの延長線で開発するから変な手順になってミスが起こる。

施錠完了前にランプを消してしまうのではなく,点滅させるなど作業が完了していないことをわかりやすくするといいと思う。

といったものが出ている。

15537987 story
お金

Avira Free Antivirusでも仮想通貨マイニング機能が勝手にインストール 60

ストーリー by nagazou
一時は良くても製品の価値を下げるだけだと思う 部門より
先日、ノートン 360に仮想通貨のマイニング機能がインストールされる問題が話題となったが、これとは別に無料アンチウイルスソフトの「Avira Free Antivirus」(以下Avira Antivirus)にも同様の仮想通貨のマイニング機能が追加されていたことが判明した。Avira Antivirusには現在5億人のユーザーがいるが、KrebsonSecurityによると同ソフトにも「Avira Crypto」という名称のマイニング機能が追加されていたとのこと(Krebs on SecurityTom's HardwareGIGAZINE)。

Avira Antivirusを開発していたAvira Operations GmbH&Co. KGは、2021年2月にノートン 360を提供しているNortonLifeLock社の傘下に入っていた。同社は「Avira Crypto」と「Norton Crypto」のモジュールで生成されたイーサリアム報酬に対して15%の手数料を設定しているという。
15537133 story
ビジネス

企業格付けにおいて、サイバーセキュリティ対策度を盛り込む動きが広がる 29

ストーリー by nagazou
新商売 部門より
ugoo 曰く、

欧米企業では取引先のサイバーセキュリティ対策度を、外部機関に調査して「格付け」してもらい、対策度によって取引継続を判断する動きが出ている(日経)。

ある日本メーカーでも取引先から、「御社の海外拠点のシステムに重大な脆弱性を発見した。すぐに是正しないと取引は続けられない」などとの通告を受けた事例があるという。格付けに使われているのはセキュリティ・スコアカード社のツールであり、「攻撃者からの狙われやすさ」を数値化し、A~Fで格付けする。

従来の企業格付け大手「ムーディーズ」などは、サイバー格付けを実施する同様の事業者と業務提携を発表した。日本でも東京海上日動が、サイバー保険の保険料算定に使い始めた。

15537111 story
お金

ノートン360で仮想通貨のマイニング機能が勝手についてくるとして話題に 55

ストーリー by nagazou
議論の末に入れたってことだろうか 部門より
実は昨年から搭載が予告されていたことではあるのだが「ノートン 360」で、暗号通貨の採掘機能「Norton Crypto」が強制インストールされるよう仕様変更されたようだ。このNorton CryptoはPCがアイドル状態時にイーサリアムをマイニングする機能を持つものだそう。ネットでは簡単に削除できない、いったん有効化すると簡単にオフにできない部分も問題視されている。ノートン 360を購入したユーザーの多くはマルウェア対策やVPN、保護者機能などのセキュリティ対策目的で導入したと思われることから、このような暗号通貨機能が勝手にインストールされたことに対して批判が強まっている(EngadgetGIGAZINEKrebs on Security)。
15536913 story
通信

スイス軍、公務では国産のインスタントメッセージングアプリのみを使用するよう指示 53

ストーリー by headless
国産 部門より
スイス軍が所属者全員に対し、公務での通信に WhatsApp やSignal、Telegram のような外国製のインスタントメッセージングアプリを使用せず、国産の Threema のみを使用するよう指示したそうだ (AP News の記事The Verge の記事)。

米国ではサーバーが米国外にあってもデータの開示を要求可能な CLOUD Act が 2018 年に成立するなど、法制次第で当局がテクノロジー企業の保持するどのようなデータにでもアクセス可能になることが懸念されており、スイス企業の Threema はその対象にならないことが指示の理由の一つだという。Threema はエンドツーエンドの暗号化に対応し、電話番号や電子メールアドレスを登録することなく完全匿名で利用できる。スイス連邦最高裁は昨年 4 月、インスタントメッセージングサービスは電気通信プロバイダーにあたらないとの Threema の訴えを認めており、スイスの電気通信法が義務付けるデータ保存の対象にもならない。

アプリは有料だが、スイス軍では所属者が無料で利用可能になったことを 12 月に Facebook ページで告知していた。なお、司令官に先月送られた通知では Threema の使用を義務付け、他のアプリの使用は認めないといった表現だったそうだが、軍の報道官は表現を「推奨」に和らげ、個人のデバイスで特定のアプリを使用するよう求めることはできないし、するつもりもないと述べたとのことだ。
15535456 story
Windows

Authenticode 署名検証の古い脆弱性、最近のバンキングマルウェアキャンペーンで使われる 8

ストーリー by headless
影響 部門より
繰り返し発生しているバンキングマルウェア ZLoader による攻撃キャンペーンだが、最近のキャンペーンでは Windows で 2013 年に確認された Authenticode 署名検証の脆弱性が使われているそうだ (Check Point Research の記事HackRead の記事)。

この脆弱性 CVE-2013-3900WinVerifyTrust 関数が Authenticode 署名を検証する際、実行ファイル (PE ファイル) のダイジェストを適切に確認しないことにより引き起こされ、攻撃者は細工した実行ファイルを用いて任意コードの実行が可能になるというもの。Microsoft は署名検証を厳格化する設定のデフォルト有効化計画を示していたが、既存のソフトウェアへの影響が大きいとして見送られた。

この脆弱性の影響を受けるのは Windows XP から Windows 8.1 までのバージョンだが、他 2 件の脆弱性 CVE-2012-0151CVE-2020-1599 にも関連するとされ、後者ではWindows 10も対象になる。キャンペーンのターゲットになっている Windows バージョンは具体的に示されていないが、少なくとも署名検証を厳格化するレジストリ値は Windows 11 でもセットされていない。
15532836 story
アメリカ合衆国

「ウェブページのソース閲覧はハッキング」、情報漏洩を指摘した人物をミズーリ州知事が起訴する意向 76

ストーリー by nagazou
だめだこりゃ 部門より
米国ミズーリ州で昨年秋、州が管理するウェブサイトのソースコード上に学校教師、学校管理者、カウンセラーの社会保障番号の約10万人分の個人情報が平文で記述されている トラブルが起きていたという。この問題を発見して同州に報告し、被害を抑える立役者となったジャーナリストのジョシュ・ルノー氏が、なぜかミズーリ州から起訴されそうになっているらしい(Engadget)。

記事によれば、ミズーリ州のマイク・パーソン知事はルノー氏を「ウェブサイトをハッキングした」として犯罪者扱いしているそう。同州教育委員会のマギー・ヴァンデヴェン氏も、ウェブページにおけるソースコードの暗号化を解除し閲覧した」などと話していたとしているとのこと。ミズーリ州では、ウェブサイトのソースコードを見てしまうとその人は悪意あるハッカーとみなされてしまうのかもしれない。
15528193 story
情報漏洩

中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 114

ストーリー by nagazou
指示 部門より
中国籍の元留学生男性が偽名でウイルス対策ソフト購入しようとしたとして、警視庁が逮捕状を取ったそうだ。警視庁が逮捕状を取ったのは、元留学生の王建彬容疑者。同容疑者は、非実在の日本企業の名前を名乗り、日本製の企業向けセキュリティ対策ソフトを不正に購入しようとした模様。なお同容疑者はすでに中国に帰国済みとのこと(読売新聞産経新聞TBS NEWS)。

読売新聞によると、中国人民解放軍のサイバー攻撃部隊「61419部隊」に所属する妻が「国に貢献しなさい」「国が守ってくれる」などとSNSやメールなどを通じて指示を出していたそうだ。企業向けのセキュリティ対策ソフトを研究し、日本企業のシステムの脆弱性を把握することが目的だとされている。

追記 by headless: 容疑は詐欺未遂とのこと。
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...