パスワードを忘れた? アカウント作成
16470254 story
英国

英 Royal Mail、サイバーインシデントで国外あての物品が発送できなくなる 13

ストーリー by headless
印刷 部門より
英国の郵便サービス Royal Mail が輸出業務に問題が生じていることを明らかにし、問題が解決するまで国外あての物品を送らないよう呼びかけている (Royal Mail のツイートThe Telegraph の記事Sky News の記事Cyber Security Hub の記事)。

本件を Royal Mail では「サイバー インシデント」と呼んでいるが、The Telegraph によるとランサムウェアの被害にあったようだ。このランサムウェアは LockBit Black と呼ばれるもので、Royal Mail が国際小包の税関ラベルを印刷するコンピューターに感染したのだという。北アイルランドの Royal Mail ディストリビューションセンターではプリンターがランサムノートを大量に印刷し始めたとも報じられている。The Telegraph が入手したランサムノートには「LockBit Black Ransomware」と記載されている。

Royal Mail ではランサムウェア被害に関する質問への回答を拒否し、顧客には問題解決に取り組む間一時的に輸出品を送らないよう要請していると回答するにとどまったという。国家サイバーセキュリティセンター (NCSC) は本インシデントを認識し、国家犯罪対策庁とともに調査を進めているとのみ説明する声明を出している。

なお、Royal Mail では現在ロックバンド Iron Maiden の記念切手を発売しており、公式サイトはこちらがトップになっている。
16465186 story
ニュース

昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧 15

ストーリー by nagazou
どこまで戻せたんだろう 部門より
昨年10月にサイバー攻撃を受け、電子カルテが閲覧できなくなったことから一時診療を取りやめていた「大阪急性期・総合医療センター」のシステムが復旧したそうだ。同院では外来診療や手術を中止するなどの問題が起きていた。その後、国の支援チームなどが復旧作業に協力。1月4日から全ての診療科の外来で新規患者の受け付けを再開。画像診断や生理検査などに関するシステムも復旧したという。1月11日からは従来どおりの診療体制に戻っているようだ(TBS NEWS DIG)。
16443527 story
お金

税務署が同姓同名の別人にe-Taxの識別番号と暗証番号を教えてしまう事案 35

ストーリー by nagazou
いくらなんでもザルすぎる 部門より
さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている(さわださんのツイートその2その3)。

さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。

nemui4 曰く、

善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい?

16443567 story
Windows

Windows 8.1 サポート終了、Windows 7 ESU 終了 31

ストーリー by nagazou
ラスト 部門より
headless 曰く、

Microsoft は日本時間 11 日、Windows 8.1 最後の更新プログラムとなる KB5022352 (月次ロールアップ) および KB5022346 (セキュリティのみの更新プログラム) を提供開始した。

これをもって Windows 8.1 の延長サポートは終了し、テクニカルアシスタンスとソフトウェア更新プログラムが提供されなくなる。Windows 8.1 では有償の拡張セキュリティ更新プログラム (ESU) が提供されないため、デバイスのセキュリティを維持するにはサービス期間内の新しいバージョンの Windows にアップグレードする必要がある。デバイスが新しいバージョンの Windows でサポートされない場合、Microsoft は Windows 11 マシンへの置き換えを推奨している (Microsoft サポートの記事)。なお、Windows Server 2012 / 2012 R2 の延長サポートは 10 月まで、以降 2026 年 10 月まで ESU が提供される。

一方、Windows 7 (Professional および Enterprise) / Server 2008 R2 では同日提供が始まった KB5022338 (月次ロールアップ) およびKB5022339 (セキュリティのみの更新プログラム)をもって ESU の 3 年目が終了 (製品ライフサイクルに関するFAQ — 拡張セキュリティ更新プログラム)。ESU は最大 3 年間となっているため、Windows 7 / Server 2008 R2 の更新プログラム提供も今回で終了となる。こちらも Windows をサービス期間内のバージョンにアップグレードするか、デバイス自体を置き換える必要がある。

16434048 story
Windows

Windows Server 2012/2012 R2は10月で延長サポート終了 9

ストーリー by nagazou
終了 部門より
headless 曰く、

10 月 10 日の Windows Server 2012 / 2012 R2 延長サポート終了に向け、顧客がとるべき対策をMicrosoftがまとめている (Microsoft Learn の記事Softpedia の記事On MSFT の記事)。

Windows Server 2012 / 2012 R2 では延長サポート終了後、有償で拡張セキュリティ更新プログラム (ESU) が 3 年間提供される。ただし、Azure に移行すれば ESU を無償で受け取ることができる。オンプレミスの場合は ESU を購入するか、Windows Server 2022 にアップグレードするかの選択となる。Azure に移行する場合もオンプレミスのまま利用する場合も ESU の提供は 2026 年 10 月 13 日で終わるため、3 年以内にアップグレードが必要だ。

16427776 story
情報漏洩

Twitter のユーザーデータ 2 億件以上が流出、自分が含まれているかどうか確認した? 41

ストーリー by headless
確認 部門より
Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事The Verge の記事Ghacks の記事Have I Been Pwned の流出サイト情報Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。
16403519 story
プライバシ

スマートフォンのモーションセンサーでイヤースピーカーの音声の振動を読み取る攻撃手法「EarSpy」 5

ストーリー by nagazou
ささやき 部門より
headless 曰く、

複数の米大学のメンバーによる研究グループがスマートフォンのモーションセンサーを用い、通話中のイヤースピーカーの振動から通話相手や内容を読み取る手法「EarSpy」の研究成果を発表している (論文アブストラクトHackRead の記事Android Police の記事)。

モーションセンサーは権限の明示的な許可を得ることなく利用できるため、さまざまなサイドチャネル攻撃手法の研究が行われている。出力の小さいイヤースピーカーの振動をモーションセンサーで読み取ることは難しいと考えられていたが、最近のステレオスピーカー搭載モデルでは イヤースピーカーを 2 つ目のラウドスピーカーと兼用できるようにしているものもある。実際にイヤースピーカーとして使用する時には出力を抑えることになるが、それでもステレオスピーカーを搭載しないモデルと比べて加速度計で読み取れる情報が多くなっているという。

研究グループでは一般公開されている発話データセットを用い、古典的な機械学習アルゴリズム、新たに開発した畳み込みニューラルネットワークに学習させて性別や話者、発話内容の検出を実行している。使用スマートフォンはいずれもステレオスピーカーを搭載する OnePlus 7T と OnePlus 9 の 2 機種だ。その結果、性別は最高 98.66 %、話者は最高 92.6 % の正確さで認識可能であり、発話内容 (0 ~ 9 の数字を英語で発音したもの) も最高 56.42 % の正確さで認識できたそうだ。Android 12 以降ではモーションセンサーのデータのリフレッシュレートがデフォルトで 200 Hz に制限されており、より高いリフレッシュレートでの読み取りには権限の許可を得る必要がある。しかし、制限された状態でも性別の検出は 90.97 % の正確さが得られたとのことだ。

16402971 story
プライバシ

米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効 38

ストーリー by headless
発効 部門より
米ルイジアナ州で 1 日、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効した (HB142Motherboard の記事Ars Techincia の記事The Verge の記事)。

この州法は未成年者に有害なポルノコンテンツが全体の 3 分の 1 以上を占める商用サイトを対象に、公的な身分証明書などを使用した適切な年齢確認プロセスの提供を義務付けるものだ。対象サイトへのアクセスにはユーザーが 18 歳以上であることを証明する必要がある。年齢確認後、対象サイトは個人を特定可能な情報を保持してはならないとの文言も含まれるが、プライバシーやセキュリティの懸念も強い。それでも議会では 3 回の採決で反対票は 1 票のみという、ほぼ全会一致で可決してきた。

年齢確認の実施状況を Motherboard や Ars Technica がルイジアナの VPN サーバーを通じて調べたところ、Pornhub はサードパーティの年齢確認サービス Allpasstrust で認証を開始していることが確認できたという。一方、まだ対応していないポルノサイトもあるようだ。
16402442 story
Chrome

Google、HTTP接続でのダウンロードをブロックするフラグをChromeでテスト 73

ストーリー by headless
安全 部門より
Google が安全でない (HTTP) ダウンロードをすべてブロックするフラグを Chrome でテストしている (9to5Google の記事Issue 1352598Chromium Gerrit 4126539)。

このフラグ「Block insecure downloads」 (chrome://flags/#block-insecure-downloads) は現在のところ Chrome Canary に実装されており、有効にすると HTTP 接続での直接的なダウンロードおよび安全でないリダイレクトを通じたダウンロードを実行すると「<ファイル名> は安全にダウンロードできません」というメッセージが表示されてダウンロードが中断する。ここで「破棄」をクリックすればダウンロードは中止されるが、メニューから「継続」を選択すればダウンロードを完了できる。

Chrome では混合コンテンツブロックの一環として既に HTTPS ページから実行される HTTP でのダウンロードをブロックしているが、今回のフラグは対象を拡大するものとなる。そのため、いずれは HTTPS 優先モード (HFM) に組み入れていく計画とのことだ。
16401881 story
暗号

1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 76

ストーリー by headless
復号 部門より
LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事9to5Mac の記事The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。
  • 少なくとも 12 文字、長ければ長いほどいい
  • 大文字・小文字・数字・記号を使う
  • 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
  • 自分だけのユニークなものにする
  • 個人情報は絶対に使わない
  • 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 272 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。272 という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

16399098 story
情報漏洩

eBay に出品された米軍の生体識別デバイス、2,600 人以上のデータが含まれていた 9

ストーリー by headless
識別 部門より
Chaos Computer Club (CCC) がオンラインオークションに出品された米軍の生体識別デバイス 6 台を入手して調査したところ、その 1 台には 2,632 人分の名前や国籍、写真とともに指紋データや虹彩スキャンデータが保存されていたそうだ (CCC のブログ記事The Verge の記事The New York Times の記事Ars Technica の記事)。

CCC が入手したのは 4 台の SEEK II (Secure Electronic Enrollment Kit) と 2 台の HIIDE 5 (Handheld Interagency Identity Detection Equipment)。これらのデバイスはアフガニスタンとイラクで軍人や協力者、テロリスト、指名手配者などを識別するために用いられていたものだ。CCC ではタリバンが HIIDE を入手したという報道を受けて、調査を開始した。

2,600 人分以上の生体識別データが格納されていたのは 8 月に調査を率いる CCC の Matthias Marx 氏が eBay で入手した SEEK II で、2012 年半ばにカブールとカンダハールの間で用いられたのが最後だという。データは暗号化されておらず、既知の標準パスワードを入力するだけでアクセス可能なだけでなく、データベースは標準的なものであり、データフォーマットにも変わったところはなく、分析は容易だったそうだ。

このようなデータがテロリストの手に渡れば現地の協力者などが危険にさらされる。CCC では問題を SEEK II のメーカーや米国防総省、アフガニスタンでの生体識別情報収集に協力したドイツ連邦軍に報告したが、このような情報漏洩を誰も気にしていないとのこと。報告から 2 か月半経過し、CCC ではまた別の生体識別デバイスをオンラインで注文できたといい、Marx 氏はリスクの高いデータを無責任に取り扱うことを批判している。
16395883 story
プライバシ

TikTok運営会社の従業員、記者らの個人データに不正にアクセス 25

ストーリー by nagazou
締め付けがより厳しくなりそう 部門より
米フォーブス誌によれば、「TikTok」の運営企業である中国のIT大手「バイトダンス」の従業員が、同誌の複数の記者のデータにアクセスしていたと報じている。フォーブスでは、バイトダンス幹部による社内向けメールなどの資料を入手。これを元にTikTokと中国政府とのつながりに関連した報道をおこなっており、この記事の情報がどこから漏れたかを把握するため、記者の位置情報などにアクセスしていたという。同社は内部調査を実施したところ、23日に複数の従業員がメディアへの情報流出源を特定目的で記者の個人情報に不正にアクセスしていたことを認めた。関係者を解雇するなどの処分をしたとしているが、具体的な人数などに関しては公開されていないという(東京新聞朝日新聞AFPBB News)。
16394633 story
犯罪

ニューヨークJFK空港のタクシー配車システムをハックして有料で優先配車を行っていた男2人が逮捕される 39

ストーリー by headless
配車 部門より
米ニューヨーク南部地区連邦検事局は 20 日、ジョン F ケネディ国際空港 (JFK) のタクシー配車システムをハックしていた米国人の男 2 人の逮捕を発表した (プレスリリースThe Verge の記事Ars Techinica の記事)。

JFKではタクシーが公平に客を乗せられるよう配車システムが導入されており、空港で客を乗せたいドライバーは待機場の駐車場で配車を待つ必要がある。しかし、待ち時間は数時間に及ぶこともあり、ドライバーの売り上げへの影響が大きい。

そこで 2 人は配車システムを悪用して料金を支払ったタクシーに優先的な配車を行うビジネスを考案。ロシアのハッカーの力を借りて配車システムのハックに成功し、2019 年 9 月から 2021 年 9 月にかけて料金 10 ドルで優先的な配車を行っていたという。

他のドライバーを勧誘することによる料金免除やグループチャットを利用したドライバーとの連絡などによりビジネス規模を拡大し、多い日は 1,000 回の詐欺的な配車を行ったとされる。2 人はそれぞれコンピューター侵入の共謀罪 2 件に問われており、最大で 10 年の実刑判決を受ける可能性があるとのことだ。
16394018 story
スラッシュバック

LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 56

ストーリー by headless
保管 部門より
LastPass が不正アクセスに関するブログ記事を更新し、11 月に発表した 2 回目の不正アクセスでは攻撃者が顧客のパスワード保管庫のバックアップをコピー可能な状態であったことを明らかにした (LastPass のブログ記事The Verge の記事Ars Technica の記事The Register の記事)。

8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。

これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップをコピー可能だったという。なお、攻撃者が暗号化されていないクレジットカード情報にアクセスした痕跡はないとのこと。

保管庫はプロプライエタリなバイナリ形式でウェブサイトの URL など暗号化しないデータと、ウェブサイトのユーザー名とパスワード、フォーム入力データなどの暗号化されたデータが格納されている。暗号化されたフィールドには 256-bit AES 暗号化が用いられており、顧客だけが知るマスターパスワードでのみ復号できる。

これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。
16392734 story
教育

教育出版大手マグロウヒル、S3 バケットの誤設定で学生 10 万人以上のデータを公開状態にしていた 38

ストーリー by nagazou
やらかし 部門より
headless 曰く、

米教育出版大手マグロウヒルが Amazon S3 バケットの誤設定により、同社のオンライン学習プログラムを利用する学生 10 万人以上のデータを公開状態にしていたそうだ (vpnMentorのブログ記事The Register の記事HackRead の記事)。

発見した vpnMentor は今年 6 月 12 日、マグロウヒルのものとみられる 2 つの S3 バケットが公開状態になっているのを発見。1 つは本番用バケットでデータ量 12 TB 以上、4,700 万個以上のファイルを含む。もう 1 つは開発用バケットでデータ量 10 TB 以上、6,900 万個以上のファイルを含んでおり、合計でデータ量は 22 TB 以上、ファイルは 1 億 1,700 万個以上におよぶ。

vpnMentor では倫理的なルールに従って調査を行い、少数のサンプルのみを確認したため全容は不明だが、推定で学生 10 万人分以上の個人を特定可能な情報 (PII) が含まれていたという。データは 2015 年からアクセス可能な状態にあったが、実際に悪意ある第三者がデータにアクセスしたかどうかは不明だ。マグロウヒルは米三大教育出版社の一つで以前からオンライン学習プログラムを開発していたが、COVID-19パンデミックを受けて事業の拡大が加速したとのこと。

vpnMentor はマグロウヒルへの連絡を 6 月 13 日から 7 月 4 日までに 9 回試みたが返信はなく、US-CERT への連絡も 6 月 27 日から 7 月 4 日までに 4 回試みたが返信はなかったという。そのため、マグロウヒルのウェブサイトでライブチャットを通じてサイバーセキュリティ責任者の連絡先を入手。9 月 8 日・19 日・21 日と電子メールを送り、9 月 21 日にようやく届いた返信で個人情報を 7 月 20 日に削除したと知らされたとのことだ。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...