パスワードを忘れた? アカウント作成
16519538 story
スラッシュバック

LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 14

ストーリー by headless
更新 部門より
昨年 8 月に発生した LastPass の開発環境への不正アクセス11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事Android Police の記事)。

LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。

LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みCVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。
16519322 story
Windows

Windows 11 Insider Preview、VBScriptが削除可能なオプション機能に 54

ストーリー by headless
削除 部門より
Microsoft は 2 日、Windows 11 Insider Preview ビルド 25309 を Dev チャネルでリリースした (Windows Insider Blog の記事Neowin の記事)。

Windows Insider Blog の記事ではアナウンスされていないが、本ビルドでは VBScript がオプション機能としてアンインストール可能になっている。VBScript 機能をアンインストールするには、「設定」の「アプリ>オプション機能」で「VBSCRIPT」を選択して「アンインストール」をクリックすればいい。これにより、VBS ファイルの関連付けは削除され、HTA ファイルの VBScript も機能しなくなる。アンインストール後にオプション機能として再度追加することは可能だ。

VBScript は Internet Explorer (IE) でスクリプティングエンジンの一つとして導入されたが、Microsoft Edge を含めて他のブラウザーではサポートされず2019 年には IE11 でも無効化された。現在もローカルの Windows Scripting Host スクリプトや HTML アプリケーション (HTA) などで実行可能だが、脆弱性を含む可能性があり、Microsoft では代替がない場合を除き使用を推奨していない。

このほか本ビルドでは、ビルド 25281 で発見された新しい音量ミキサーのロールアウトが始まっている。ただし、現在は一部のデバイスで有効にしてフィードバックを受け付けている段階であり、Dev チャネルの全デバイスで利用可能になるまでには少し時間がかかるようだ。
16518969 story
バグ

米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 20

ストーリー by headless
責任 部門より
米バイデン-ハリス政権は 2 日、すべての米国人が安全なデジタルエコシステムのすべての利点を確実に享受できるようにする国家サイバーセキュリティ戦略を発表した (ファクトシートThe Verge の記事Ars Technica の記事戦略全文: PDF)。

現在のサイバーセキュリティ防御では個人や中小企業、地方自治体などの負担が大きい。どのように優れたセキュリティソフトウェアでもすべての脆弱性を防ぐことはできないことを認識したうえで、ソフトウェア開発時に適切な注意を怠った者に責任を負わせる必要があるという。ソフトウェアを開発する企業には革新を行う自由が必要なのと同時に、消費者や企業、重要なインフラ提供者への注意義務を果たせなければその責任を負う必要もある。

その責任はエンドユーザーや、商用製品に組み込まれたオープンソースコンポーネントの開発者ではなく、被害を減らすための対策を実施する能力の最も高い利害関係者に移動する必要があるとのこと。これにより、イノベーションとスタートアップ企業や中小企業が市場のリーダーと競うことのできる能力を維持しつつ、市場がより安全なソフトウェアを作り出すようになるとのことだ。
16517149 story
SNS

スラムダンク映画のLINEスタンプの非公開URLが流出しSNSで拡散 42

ストーリー by nagazou
流出 部門より
漫画スラムダンクの映画「THE FIRST SLAM DUNK」用に用意されていたLINEスタンプが、準備段階で一部の暴露サイトがURLを公開してしまいツイッターなどで拡散された。その結果、準備段階のまま多くの人の目に触れたとして話題となっている。結局、同映画の公式Twitterが流出したLINEスタンプを本物だと追認するコメントを出している。なおスタンプは全8種類で、配布期間は5月23日までとのこと(THE FIRST SLAM DUNK LINEスタンプ公式リンク)。流出の経緯などについてはひさろぐ分館の記事が詳しい(スポニチITmediaひさろぐ分館)。

このLINEスタンプは、通常検索では検索されないよう設定をしていたとされる。そのため公式の発表段階ではLINEスタンプショップの新着には表示されないなどの問題も起きていたようだ。こうした混乱により、リークサイトや拡散したユーザーのせいで公式が予定していた企画が潰れたかもしれないなどと批判する声も出ている模様。
16515993 story
Chrome

Chrome拡張機能のGet cookies.txt、スパイウェアに変貌 24

ストーリー by nagazou
拡張機能トラップ 部門より

「Google Chrome」用の拡張機能「Get cookies.txt」が、スパイウェア化したことが話題になっている(Torishimaさんのツイート窓の杜)。この拡張機能は、ユーザー情報を無断で外部サーバーへ送信していると見られる。このことを報告しているTorishimaさんはTwitterで

今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください!!
ページ遷移すると Cookie からアクセスした URL から何からすべて外部サーバーに送られる凶悪スパイウェアになってます 怖過ぎる…

との警告を出している。Chrome Webストアのレビューによれば、少なくとも1か月以上前からスパイウェアに変わっていた模様。この件に関しては窓の杜編集部でもデバイスの情報やCookieなどがPOST送信されていることを確認したとしている。

16514080 story
マイクロソフト

Microsoft、Exchange サーバー上のウイルス対策ソフトウェアのスキャン除外リストを更新 1

ストーリー by nagazou
更新 部門より
headless 曰く、

Microsoft が Exchange サーバー上で実行するウイルス対策ソフトウェアのスキャン除外リストを更新し、2 つのフォルダーと 2 つのプロセスをリストから削除している (Microsoft Learn の記事Exchange Team Blog の記事Neowin の記事Softpedia の記事)。

スキャン除外リストから削除されたフォルダーは「ASP.NET Files」と「Inetsrv」、プロセスは「PowerShell.exe」と「w3wp.exe」。これらのフォルダーとプロセスはスキャン対象から除外する必要がなくなったそうだ。

Microsoft では最新のアップデートを適用した Exchange Server 2019 と Microsoft Defender の組み合わせでテストを行い、これらのファイルとプロセスをスキャン対象から除外しなくてもパフォーマンスと安定性に影響しないことを確認したという。

Exchange Server 2013 / 2016 でも問題は発生しないと考えられるが、これらのバージョンでは状況を注視し、問題が発生したら除外対象を元に戻して Microsoft に報告してほしいとのこと。なお、Exchange Server 2013 は 4 月にサポートが終了する。

16512761 story
プライバシ

Signal、プライバシーを弱めるぐらいなら英国から撤退 25

ストーリー by headless
撤退 部門より
英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事The Guardian の記事Ars Technica の記事)。

英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。

ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいとのこと。

暗号化が児童虐待者を守るという主張に対しては、ロス・アンダーソン氏の論文(PDF)から「複雑な社会的問題を安価な技術的手段で解決できるという考えはソフトウェアセールスマンが使うセイレーンの誘惑だ」という一節を引用し、虐待の多くが行われる家庭やコミュニティでの抑止に注力すべきだと述べたとのことだ。
16512359 story
アメリカ合衆国

米国のアンチウイルスユーザー、61 % は無料ソフトウェアを使用 102

ストーリー by headless
無料 部門より
Security.org の調べによると、米国のアンチウイルスユーザーの 61.2 % が無料のアンチウイルスソフトウェアを使用しているそうだ (2023 Antivirus Market Annual ReportBetaNews の記事)。

調査は 2022 年、インターネットを利用して米国在住の成人 1,003 人を対象に行われたもので、参加者は米国人のデモグラフィックに一致するよう調整されている。調査時点で 85 % の参加者がアンチウイルスソフトウェアを使用しており、2021 年の 77 % から増加している。アンチウイルス使用率が低いと感じるかもしれないが、対象デバイスは PC だけでなく携帯電話やタブレットも含まれているためとみられる。

米国人の 75 % 近くがコンピューターにはアンチウイルスが必要だと信じており、アンチウイルスユーザーの 32.4 % が有料ソフトウェアを利用しているという。有料・無料の合計が 100 % にならないので、どちらかわからないという回答が 6.4 % あるためだ。推計で 3,300 万世帯が代金を払ってアンチウイルスソフトウェアを使用しているが、有料ソフトウェアはアンチウイルスだけでなく VPN やパスワードマネージャー、セキュアブラウザーといった追加のセキュリティ機能が利用できるものが多い。回答者の 7 % が 6 か月以内にアンチウイルスソフトウェアを購入したいと回答しており、推計で米国人 1,600 万人に相当するとのこと。

無料ソフトウェアのシェアは Microsoft Defender (39 %) が最も高く、Malwarebytes (14 %) とAvast (13 %)、McAfee (10 %) が 10 % 台で続く。有料ソフトウェアは Norton (29 %) と McAfee (24 %) で半数を超え、他のソフトウェアのシェアは 1 桁またはそれ未満となっている。過去 12 か月間でウイルスの影響を受けたという回答者は全体で 8 %。うち Windows が 8 % で、macOS が 5 %、その他が 4 % となる。Windows は Mac よりもウイルスの影響を受けやすいというイメージもあるが、実際には大差ないようだ。また、有料ソフトウェアユーザーでウイルスの影響を受けたのは 10 % だったのに対し、無料ソフトウェアユーザーは 8 % となっている。

スラドの皆さんは有料のアンチウイルスソフトウェアを使用しているだろうか。有料ソフトウェアが良いよねと思った理由は何だろう。
16507915 story
変なモノ

奇想天外なパスワード規則のウェブサイトを掲載する『Dumb Password Rules』 43

ストーリー by nagazou
マイルール 部門より
ウェブサービスで用いられているパスワードの入力規則を集めたウェブサイト「Dumb Password Rules」が話題になっているらしい。このDumb Password Rulesで紹介されている変なパスワード入力規則の例としては、「(パスワードは)7で始まる必要があります」というもの。「大文字2文字以上、小文字2文字以上、数字2文字以上、句読点2文字以上」「aを@、iを!、oを0といったありがちな置換をした単語の使用禁止」といった細かい点にまで指摘したものまで存在するとのこと。いかにとち狂ったパスワードルールが存在しているかが一望できるとのこと。すでにウェブサイトの登録数はすでに300近くに及んでいるそうだ(INTERNET Watch)。
16506945 story
Python

悪意あるPyPIパッケージ発見される、タイポスクワッティング狙いか 3

ストーリー by nagazou
ご注意 部門より
セキュリティ企業のPhylumは、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されているとの報告を行った。それによると、マルウェアをPython開発者のシステムに感染させる450以上の悪意のあるPyPIパッケージが公開されているという。内容は過去に見つかったものや2022年11月に同社が発見したものと同種の攻撃と分析されているが、今回はそのときの約20倍のPyPIパッケージが公開されているという(PhylumTECH+)。

このパッケージ群は、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用する「タイポスクワッティング」を意図したサイバー攻撃とされる。例えばvyperの場合、一文字削除(yper/vper)や一文字重複(vvyper/vyyper)、二文字の転置(yvper/vpyer)など複数パターンで合計13個のPyPIパッケージが登録されていたことが分かっているとのこと。
16506607 story
ビジネス

ビジネスメール詐欺の多言語展開、機械翻訳の精度向上で容易に 25

ストーリー by headless
翻訳 部門より
Abnormal Security の調査によると、機械翻訳の精度が向上した結果、ビジネスメール詐欺 (BEC) が多言語で同時展開するようになっているそうだ (Abnormal Security のブログ記事BetaNews の記事)。

BEC は企業の CEO などになりすまして金銭を詐取することから CEO 詐欺とも呼ばれ、主に決裁権のある重役がターゲットとなる。攻撃者が母国語以外の言語で BEC を実行する場合、これまではプロの翻訳者を雇う必要があったが、機械翻訳が自然な翻訳文を出力できるようになったことで多言語での同時展開が容易になったという。

ブログ記事では少なくとも計13言語でBECキャンペーンを行う 2 つの BEC 犯罪グループ Midnight Hedgehog と Mandarin Capybara を取り上げている。Midnight Hedgehog の BEC は CEO になりすまして緊急の送金を行わせるもので、送金先の大半が英国の銀行口座であることから、本拠地は英国とみられている。

Mandarin Capybara の BEC は給与の振込先変更を要請するもので、変更先の大半は一般的な銀行口座ではなくフィンテック企業の口座が指定されるそうだ。英語圏以外の欧州企業を狙う Midnight Hedgehog とは異なり、Mandarin Capybara では欧州企業に加えて米国とオーストラリア (英語)、カナダ (フランス語) の企業も対象になっているとのこと。

BEC 攻撃で送られる電子メールはマルウェアが添付された電子メールとは異なり、セキュリティシステムでブロックされにくい。Abnormal では従業員のセキュリティトレーニングも必要だが、初めから受信しないのが最も安全だとして機械学習や AI によるふるまい検知システムの導入を推奨している。
16504391 story
交通

起亜やヒョンデの一部車種、「盗難が簡単すぎる問題」で保険加入を拒否される 32

ストーリー by nagazou
追加対策とかしてないの 部門より
一部の韓国車のキーレスエントリーシステムには脆弱性があり、その影響で以前、一部車種の盗難が増加しているという話題が出たことがある。これを悪用し「起亜チャレンジ」としてTikTok上でトレンドになったこともある。こうした影響により、米国では主要な自動車保険会社が、こうした脆弱性を持つ車両に関して、保険の新規申し込みを停止しているらしい。米国テレビ局の2月2日の報道によると、ルイジアナ州の保険代理店では、1月25日から起亜やヒョンデが製造している合計105車種のオーナーと取引しないことにしたという(WWL-TVGIGAZINE)。
16502323 story
情報漏洩

ソースネクストから最大12万人超の個人情報漏洩のおそれ 51

ストーリー by nagazou
大規模 部門より
ソースネクストは14日、同社サイトが第三者による不正アクセスを受け、利用者のクレジットカード情報11万2132件と個人情報12万982件が漏えいした可能性があると発表した。同社が依託した調査機関によると、2022年11月15日~2023年1月17日の期間にクレジットカード情報を登録した顧客のクレジットカード情報および個人情報が漏えい、一部に関してはクレジットカード情報が不正利用された可能性があるとしている(ソースネクストリリースケータイ WatchNHK)。

漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。
16501334 story
セキュリティ

那覇市の図書館のランサムウエア被害、FWとVPN装置のセキュリティ修正プログラム未適用が一因か 30

ストーリー by nagazou
VPNは狙われやすいな 部門より
2022年10月に起きた那覇市立図書館でランサムウエアによる攻撃を受けて、貸し出しや検索ができないなどのシステム障害が発生している。琉球新報による最新の報道によると、この攻撃を受けた原因としてネットワークを保護するためのファイアウォールとVPN装置がランサムウエアの感染経路になった可能性が高いという(琉球新報沖縄タイムス)。

いずれも2019年に運用を開始して以来、アップデートなどがおこなわれておらず、脆弱性が残ったままだったとしている。同館の館長によれば、「セキュリティー機器などの契約に、更新に関する取り決めがなく、リース会社と運用会社、図書館の間で責任が曖昧になっていた」としている。
16500596 story
国際宇宙ステーション

国際宇宙ステーションにドッキング中のロスコスモスの宇宙船、また冷却材漏れが発生 1

ストーリー by nagazou
再発 部門より
headless 曰く、

国際宇宙ステーション (ISS) にドッキングしているロスコスモスの宇宙船でまた冷却材漏れが発生したそうだ (NASA のブログ記事ロスコスモスの Telegram 投稿ロスコスモス報道官の Telegram 投稿Ars Technica の記事)。

ロスコスモスは 11 日に無人のプログレス 83 輸送船 (MS-22) を ISS にドッキング成功したが、その一方で昨年 10 月からドッキングしている無人のプログレス 82 輸送船 (MS-21) で冷却材の圧力低下が記録されていたという。冷却材はすべて漏出しており原因は調査中だが、ISS クルーに危険はなく、今後のフライトスケジュールにも影響はないとのこと。MS-21 は 17 日にゴミを積載して太平洋上で軌道を離脱する予定だ。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...