パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

15646500 story
Google

AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 62

ストーリー by headless
認証 部門より
Apple と Google、Microsoft は 5 日、FIDO Alliance と W3C が策定したパスワードレスサインイン標準のサポート拡大を共同でアナウンスした (プレスリリースThe Verge の記事Ars Technica の記事VenturBeat の記事)。

パスワードのみを使用する認証はウェブのセキュリティで最大の問題の一つであり、多数のパスワードを管理するのは消費者の負担が大きく、しばしば異なるサービスでのパスワード再利用につながる。標準ベースのパスワードレス認証ではデバイスのアンロック操作と同様に指紋や顔、PIN による簡単な確認処理を用い、レガシーな多要素認証よりも大幅に高いセキュリティを実現するという。3 社のプラットフォームではすでにパスワードレス認証が実装されているが、従来の実装ではデバイスごとにウェブサイトやアプリにそれぞれサインインするまでパスワードレス認証が利用できなかった。

今回のアナウンスでは各プラットフォームの実装を拡張し、よりシームレスでセキュアなパスワードレスサインインを実現する 2 つの新たな機能追加を以下の通り発表している。
  1. 新しいデバイスを含むユーザーが所有する多数のデバイス上で、各アカウントへの再エンロールを必要とすることなく、自分の FIDO サインイン情報 (パスキーとも呼ばれる) への自動的なアクセスを可能にする
  2. ユーザーがモバイルデバイスで FIDO 認証を用い、近くにあるデバイスで OS プラットフォームやブラウザーの種類にかかわらずアプリやウェブサイトにサインインできるようにする

これらの機能は来年 1 年をかけて利用可能になっていくとのこと。

5 月の第 1 木曜日は World Password Day であり、今年は 5 日がそれにあたる。そのため、Google と Microsoft は共同アナウンスと別にパスワードレス化への取り組みを発表している (The Keyword の記事Microsoft Security Blog の記事Azure Active Directory Identity Blog の記事)。

15646053 story
中国

中国政府が政府機関などの使用する PC を国外ブランドから国内ブランドへ置き換えるよう命じたとの報道、ただし…… 91

ストーリー by headless
誰も聞いてない 部門より
中国政府が中央政府機関や国有企業に対し、業務で使用する PC を 2 年以内に国外ブランドから国内ブランドへ置き換えるよう命じたと Bloomberg が報じている (Neowin の記事On MSFT の記事Bloomberg の記事日本語版記事)。

報道によれば、命令は (国外ブランド PC 使用による) 情報セキュリティへの懸念と、国産ハードウェアへの信頼向上を反映したものだという。対象は PC のブランドとソフトウェアのみとなり、マイクロプロセッサーのように代替困難なコンポーネントは除外されるとしている。Windows を置き換える OS は Linux ベースのものが推奨されるとのこと。この報道を受けて Lenovo や Kingsoft の株価は上昇し、HP や Dell の株価は下落したそうだ。

ただし、情報源は匿名の関係者のみで、問い合わせた監督官庁からの回答はなかったという。この件に関する中国国内メディアの報道も「Bloomberg の報道によれば」というものばかりで、Bloomberg は誤報が多いといった指摘や、本件は間違いなく誤報だとの指摘もみられる。実際はどっちだろうか。
15644511 story
情報漏洩

経産省、安全保障に関わる技術流出防止へ 30

ストーリー by nagazou
ちょっとはマシに 部門より
NHKの記事によれば、経済産業省は、日本の安全保障関連の技術流出を防止するための規制強化を1日から開始したそうだ。企業や大学などが対象となる。内容としては、年間所得の25%以上を外国政府などから受け取っている研究者などに重要な技術や情報を提供する場合、事前に国の許可が必要になるという。また日本国内の行動について海外から指示を受けている人なども規制の対象になるとしている(NHK)。
15643557 story
Wikipedia

Wikimedia Foundation、暗号通貨による直接の寄付受付を中止 8

ストーリー by headless
中止 部門より
Wikimedia Foundation は 1 日、暗号通貨による直接的な寄付受付を中止すると発表した (Wikimedia Meta WikiThe Verge の記事Mashable の記事)。

Wikimedia は 2014 年にボランティアと寄付者のコミュニティからの要望を受け、寄付としての直接的な暗号通貨受け取りを開始していた。今回の決定も同じコミュニティからのフィードバックを受けて決定したとのこと。Wikimedia コミュニティでは、寄付受け取りが環境負荷の高い暗号通貨を支持していると受け取られ、Wikimedia ムーブメントに影響する可能性があるなどとして、暗号通貨による寄付受け取りの是非について 1 月から議論が行われていた。

Wikimedia Foundation は暗号通貨を直接的な寄付として受け取るのに必要な Bitpay アカウントを閉じる計画を示す一方、今後もこの問題を見守り、コミュニティのニーズに応えていくとも述べている。
15643499 story
プライバシ

メンタルヘルスアプリのプライバシーやセキュリティ、多くが不十分との調査結果 16

ストーリー by headless
不安 部門より
5 月のメンタルヘルス月間にちなみ、Mozilla がメンタルヘルスアプリやお祈り・瞑想アプリ計 32 本のプライバシーとセキュリティについて調査結果を公表している (Mozilla Foundation のブログ記事The Verge の記事SlashGear の記事Ghacks の記事)。

アプリ 1 本あたり最低 8 時間行ったという調査の結果、ユーザーデータの管理に強い懸念が持たれる「*Privacy Not Included」警告ラベルが付けられたアプリが 32 本中 28 本におよび、Mozilla の最低セキュリティ基準を満たさないアプリも 25 本あったそうだ。評価は Mozilla によるものと、ユーザーの投票によるものとの 2 種類。警告ラベルは Mozilla の評価のみによると思われるが、その評価基準は非常にわかりにくい。

たとえば子供向けアプリ「Breathe, Think, Do with Sesame」は個人情報の必要なアクティビティが少なく、ターゲティング広告にも使用しないと明言しているが、警告ラベルの対象だ。評価の内容をみるとプライバシーポリシーが 2013 年から更新されていないことと、マイクの使用許可が含まれるためアプリの脆弱性により子供のプライバシーが侵害される可能性があることことが懸念点として挙げられている。

具体的にプライバシーポリシーの内容に問題があるわけでも、脆弱性が見つかっているわけではないが、Mozilla の問い合わせに回答がなかった点で警告ラベルの対象になった雰囲気だ。お祈り・瞑想アプリ「Glorify」には当初警告ラベルが付けられていたが、問い合わせへの回答があったので警告ラベルを外したと説明されている。

また、Mozilla の評価アイコンは「👍」「👎」「✋」というもので、👍と👎の意図は明確だが、✋の意図ははっきりしない。✋が付けられているのは瞑想アプリ「Headspace」のみ。このアプリは警告ラベルの対象になっていないものの、Glorify とともに合格点ではないらしい。なお、✋は人差し指から小指までを曲げ、親指で右側を差すハンドジェスチャーの可能性もある。

一方、Mozilla は合格点のアプリとして「PTSD Coach」と「Wysa」を挙げているが、これらのアプリはプライバシー・セキュリティともに問題が見つかっていないため、問い合わせへの回答があったかどうかにも言及がない。
15642812 story
情報漏洩

インド政府、企業や政府機関にサイバーインシデント認識後 6 時間以内の報告義務付けへ 9

ストーリー by headless
義務 部門より
インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した (プレスリリースThe Register の記事指令: PDF)。

報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。
15641482 story
情報漏洩

情報公開請求でコロナ患者管理システムの認証情報が漏洩、大阪市 47

ストーリー by nagazou
やらかし 部門より
大阪市で市民からの情報公開請求が行われた結果、「新型コロナウイルス感染者等情報把握・管理システム(HER-SYS)」の認証情報がそのまま記載されてしまい、ログインに必要なIDやパスワードなどが外部に流出していたことが判明した(Security NEXT産経新聞)。

情報公開請求に応じて交付した資料に本来行うべきマスキングしていなかったことが原因だった。4月20日に請求者に対して資料を送付したところ、問題が指摘されて発覚。遡って調査したところ、3月24日や4月20日に行われた情報公開請求を行った6人に対しても、マスキングなしで情報公開していたことが判明したとしている。同市ではすでにパスワードを変更し、新たなIDを厚生労働省に申請しているとのこと。
15640599 story
ストレージ

Linux、フロッピーディスクコントローラーに低レベルコマンドを送る FDRAWCMD 無効化へ 27

ストーリー by headless
無効 部門より
フロッピーディスクコントローラー (FDC) へ低レベルコマンドを送る ioctl「FDRAWCMD」で脆弱性が確認され、修正ではなくデフォルト無効にする構成オプションが Linux 5.18 のメインラインにマージされた(Phoronix の記事コミットメッセージ)。

FDRAWCMD では use-after-free 脆弱性の存在が数年前から報告されていたが、最近改めて報告されるまで見過ごされてきたようだ。FDC への低レベルコマンド送信は Amiga のフロッピーやコピープロテクトされたフロッピーなど、非標準フォーマットのフロッピーを扱う場合に用いられる。しかし、そのような標準的でない用途が現在はほとんどなく、この機能の有用性を脆弱性の危険性が上回ることからデフォルト無効化が決まった。この機能は非推奨となり、近い将来カーネルから削除される。どうしても必要な場合は有効にできるが、ディストロレベルでは無効にしておくべきとのことだ。
15638471 story
ニュース

サードウェーブに誤情報を提供してライセンス契約を結ばせたとしてマカフィーに損害賠償を命じる地裁判決 13

ストーリー by nagazou
損害賠償 部門より
サードウェーブは25日、同社がセキュリティソフト大手のマカフィーを相手取り賠償を求めていた裁判で、マカフィーに対し約2347万円の損害賠償を命ずる判決を行ったと発表した。判決は東京地方裁判所で22日に行われた(サードウェーブリリースPC Watch)。

この裁判では同社製のPCにマカフィー製のセキュリティソフトを搭載する契約を行った際、マカフィーが事実に反する説明を繰り返したとするもの。ユーザーライセンスの更新率について実態とは異なる他社の実績値が提供されるなどしていたという。これにより、複数年にわたり同社の経営判断に不当な影響を与え損害を受けたとしている。東京地方裁判所は、「原告によるライセンス料の支払は被告の不法行為による損害といえる」と判断、損害賠償を命ずる判決を言い渡したとしている。
15637456 story
Chrome

Chrome ウェブストア、信頼できる拡張機能を見つけやすくする 2 種類のバッジを表示開始 9

ストーリー by nagazou
信頼 部門より
headless 曰く、

Google は 20 日、信頼できる拡張機能を見つけやすくするバッジの表示を Chrome ウェブストアで開始した (The Keyword の記事The Verge の記事Android Police の記事Ghacks の記事)。

バッジは 3 月に発表されていたもので、「おすすめ (Featured)」バッジと「定評のあるパブリッシャー (Established Publisher)」バッジの 2 種類。「おすすめ」バッジは Chrome ウェブストアのベストプラクティスガイドラインを厳守し、ストアの詳細情報ページが明確でユーザーの役に立つことを示す。「定評のあるパブリッシャー」はパブリッシャーが確認済みであること、Google サービスで良好な評価を受け、デベロッパープログラムポリシーを順守していることを示すものだ。

パブリッシャーがバッジを買うことはできないが、「おすすめ」バッジを表示できるよう Chrome ウェブストア サポート センターからリクエストを送ることはできる。なお、リクエストは最初のページで「自分のアイテム」を選び、次のページで「おすすめ」バッジ表示対象に自己推薦するという流れだが、現在のところ日本語表示では自己推薦の項目が表示されない。

15636247 story
セキュリティ

本人よりも詐欺師の方が高い「秘密の質問」の正解率 75

ストーリー by nagazou
経験値 部門より
headless 曰く、

「秘密の質問」のような知識ベースの認証 (KBA) がセキュリティを低下させると言われて久しいが、コールセンター向けの認証技術を提供する Pindrop によれば、本人よりも詐欺師の方がより正確に秘密の質問に答えられるそうだ (2022 Voice Intelligence & Security ReportBetaNews の記事)。

Pindrop が 2021 年に顧客の小規模なサンプル 3 か月分を調べたところ、秘密の質問に正しく回答できた割合は本物の顧客よりも詐欺師の方がわずかに高かったという。さらに、あるコールセンターと Pindrop が実施した 1 か月にわたる比較研究の結果では詐欺師が KBA を通過できた割合が 92 % だったのに対し、本物の顧客が KBA を通過できた割合は 46 % にとどまったとのこと。

そのため、詐欺を防ぎつつ迅速なサービスを可能にする方法として、KBA をパッシブ認証に置き換えることを推奨している。First National Bank of Omaha (FNBO) の導入例では、ワンタイムパスワード (OTP) の使用が 75 % 減り、平均処理時間 (AHT) が 30 秒短くなったほか、アカウント乗っ取り詐欺 (ATO) の検知率が 59 % 向上し、ATO による損失は全体で 16 % 減少、アカウント平均で 47 % 減少したそうだ。

15634319 story
Java

「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」 48

ストーリー by headless
満点 部門より
Oracle が 4 月のアップデートで修正した Java SE と GraalVM Enterprise Edition の脆弱性 (CVE-2022-21449) について、発見した ForgeRock の Neil Madden 氏が英 BBC の SF ドラマ「ドクター・フー」に登場する「サイキックペーパー」にちなんだ「Psychic Signatures」と名付けている (Madden 氏のブログ記事Ars Technica の記事The Register の記事)。

ドクター・フーのサイキックペーパーは白紙のカードだが、相手に見せたい任意の内容を表示できるというもの。一方、Psychic Signatures 脆弱性は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名検証の脆弱性により、攻撃者が「白紙」の署名を使用して容易に認証をバイパスできるというものだ。

具体的には ECDSA 署名を構成する 2 つの値 (r、s) はいずれも 0 であってはならないが、影響を受けるバージョンの Java が実装する署名検証ではこれらの値が 0 でないことを確認しない。そのため、攻撃者は両方の値を 0 にした署名を作ることで、任意のメッセージと任意の公開鍵に対する有効な署名として利用できる。

Oracle では影響を受けるバージョンを Java SE: 17.0.2 / 18、GraalVM Enterprise Edition 21.3.1 / 22.0.0.2 としているが、サポートの終了した Java SE 15 /16 にも脆弱性は存在する。OpenJDK では影響を受けるバージョンを 15 / 17 / 18 としている。なお、この脆弱性の CVSS スコアを Oracle が 7.5 と評価するのに対し、ForgeRock では満点の 10.0 と評価しているとのことだ。
15634162 story
暗号

多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される 15

ストーリー by headless
保存 部門より
ブロックチェーンワレットアプリの MetaMask は 18 日、アプリのデータを iCloud にバックアップした場合の危険性について注意喚起した (HackRead の記事9to5Mac の記事MetaMask のツイート)。

これは Apple を名乗る電話を受けた MetaMask ユーザーが Apple ID パスワードリセットの確認コードを教えてしまい、総額 65 万ドル相当の暗号通貨や NFT を失ったという報告を受けたものだ。

MetaMask によればアプリデータの iCloud バックアップにはパスワードで暗号化された MetaMask 保管庫データが含まれ、パスワードの強度が低い場合はフィッシングで iCloud の認証情報が奪取されると資金を盗まれることになるという。

しかし、ワレットの鍵であり、MetaMask が保存しないと説明しているシードフレーズが実際にはファイルに保存されていたとの指摘もあり、被害にあったユーザーは無断保存を批判している。
15632934 story
情報漏洩

GitHubから非公開リポジトリなどのデータが流出 13

ストーリー by nagazou
流出 部門より

GitHubは15日、OAuthインテグレーターであるHerokuとTravis-CIからに発行されたOAuthユーザートークンが盗まれ、リポジトリのコンテンツを不正にダウンロードされたと発表した。GitHub側は影響を受けたアプリケーションに対し、関連するすべてのOAuthユーザートークンを失効させ、加えてユーザーへ通知する措置を講じたとしている(GitHubブログ窓の杜)。

同社は13日から14日にかけてHerokuとTravis-CIに調査結果を開示した。これらのアプリを使用していた数十の組織が被害に遭った可能性があるという。4月15日段階で影響を受けるOAuthアプリケーションは以下の通りとなっている。

  • Heroku Dashboard(ID: 145909)
  • Heroku Dashboard(ID: 628778)
  • Heroku Dashboard - Preview(ID: 313468)
  • Heroku Dashboard - Classic(ID: 363831)
  • Travis CI(ID: 9216)
15632932 story
ネットワーク

Windows 11 Insider Preview Home、SMB1 がデフォルト無効に 21

ストーリー by nagazou
どれくらい影響が出るかな 部門より
headless 曰く、

Microsoft は 19 日、Windows 11 Insider Preview Home エディションで新規インストール時に SMB1 クライアントがインストールされなくなったと発表した (Storage at Microsoft の記事Neowin の記事The Register の記事On MSFT の記事)。

Microsoft は段階的に SMB1 の廃止計画を進めている。Windows 10 バージョン 1709 (Fall Creators Update) 以降では Home / Pro エディションで SMB1 サーバー、Enterprise / Education /Pro for Workstation では SMB1 サーバー・クライアントの両方がデフォルトでインストールされなくなり、バージョン 1809 (October 2018 Update) 以降では Pro エディションのデフォルトで SMB1 クライアントがインストールされなくなった。Home エディションでは引き続き SMB1 クライアントがデフォルトでインストールされていたが、延べ 15 日以上の稼働期間に一度も SMB1 クライアントが使われない場合は自動でアンインストールされるようになっていた。

今回の変更により、Windows 11 Insider Preview で SMB1 クライアントがデフォルトでインストールされるエディションはなくなった。必要な場合はコントロールパネルの「Windows の機能の有効化または無効化」で SMB1 クライアントを有効化することもできるが、将来のリリースで SMB1 のバイナリを削除する計画も同時に発表された。これに伴って非サポートの SMB1 インストールパッケージを別途提供する計画もあるといい、より詳しい情報は数か月のうちに発表できるとのこと。

Microsoft のNed Pyle 氏によれば、Home エディションのユーザーの中には非常に古い NAS を使い続け、それに新しい Windows 11 PC が接続できない理由を理解するのが難しい人もいるため、SMB1 クライアントを最後まで残しておく必要があったという。そのため、このようなユーザーへの周知に協力を求めている。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...