パスワードを忘れた? アカウント作成
16636226 story
iOS

カスペルスキー、同社従業員のiPhoneで見つかったスパイウェアの最初の分析結果を公表 15

ストーリー by headless
発見 部門より
カスペルスキーは 1 日、管理職など複数の同社従業員が使用する iPhone で見つかったというスパイウェアの最初の分析結果を公表した (Nota Bene の記事Securelist の記事Ars Technica の記事HackRead の記事)。

カスペルスキーが「Triangulation」と名付けたスパイウェアは iMessage 添付ファイルを通じたゼロクリック攻撃によりインストールされるという。iOS の脆弱性を突いた攻撃はユーザーの操作を必要とせず、スパイウェアはひそかに個人情報をリモートサーバーへ送り始める。iOS の特質上、効果的にマルウェアを検出・除去可能なソフトウェアは存在しないが、カスペルスキーは同社製の SIEM ソリューション Kaspersky Unified Monitoring and Analysis Platform (KUMA)で社内の Wi-Fi ネットワークに接続した iPhone による怪しい挙動を検出したとのこと。

iOS の制限などもあって感染には持続性がなく、複数のデバイスのタイムラインは再起動後に感染を繰り返していたことを示しているそうだ。もっとも古い感染の痕跡は 2019 年のものだという。ユージン・カスペルスキー氏はこのスパイウェアに「Triangulation」と名付けた理由として、攻撃するシステムのソフトウェアとハードウェアのスペックを認識するために HTML5 の canvas エレメントによるフィンガープリンティング技術を用い、デバイスのメモリに黄色い三角形を描画するためだと説明している。なお、カスペルスキーでは同社が Triangulation の主要なターゲットではないと確信しているとのことだ。

これとは別にロシア連邦保安庁 (FSB) は同日、Appleのモバイル機器の脆弱性を用いた米情報機関の偵察活動をロシア連邦警護庁 (FSO) とともに確認したと発表した。FSB では米企業である Apple が米国の情報機関、特に米国家安全保障局 (NSA) と緊密に連携していることや、ユーザーの個人情報の機密性を守るという Apple のポリシーが虚偽であることを示すものだなどと主張している (FSB の発表The Register の記事Neowin の記事Reuters の記事)。
16633598 story
Firefox

Firefox、Windows 7~8.1 のサポートを 2024 年 9 月で終了 13

ストーリー by nagazou
終了です 部門より
headless 曰く、

Mozilla は 5 月 30 日、Firefox バージョン 115 が Windows 7 ~ 8.1 をサポートする最後の Firefox バージョンになると発表した (Mozilla Support の記事Neowin の記事Ghacks の記事)。

7 月リリース予定の Firefox 115 では Windows 7~8.1 ユーザーが ESR チャネルに移動し、2024 年 9 月までセキュリティアップデートが提供される。以降はセキュリティアップデートが提供されなくなるため、サポートされるバージョンの Windows への移行が推奨される。

Mozilla は 2019 年から Firefox での Windows 7 サポート終了時期に関する議論を続けてきた。今年 3 月には Firefox 115 ESR リリースより前に Windows 7~8.1 のサポートを終了することなく、少なくとも 2024 年第 3 四半期までサポートを継続すると決定していたが、正式な発表は今回が初めてだ。

16630905 story
Windows

マルウェア QBot、ワードパッドの実行ファイルを悪用したフィッシングキャンペーン 15

ストーリー by nagazou
悪用 部門より
headless 曰く、

マルウェア QBot (QakBot、QuackBot などとも) が Windows 10 の「write.exe」を悪用したフィッシングキャンペーンを実行していたそうだ (BleepingComputer の記事Ghacks の記事)。

write.exe はワードパッドに置き換えられた Microsoft Write との互換性を維持するために用意されている実行ファイルで、実行時に読み込まれる edputil.dll を DLL ハイジャックにより置き換えることが可能だという。ただし、write.exe は Windows ディレクトリおよび System32 ディレクトリに格納されており、edputil.dll は System32 ディレクトリに格納されているため通常は置き換え不可能だ。

そのため、QBot ではダウンロードさせる ZIP ファイルに「document.exe」とリネームした Windows 10 の write.exe と偽の edputil.dll を格納することで、DLL ハイジャックを実現している。document.exe を実行すると偽の DLL が読み込まれ、curl.exe を使用してリモートホストから PNG ファイルをダウンロードする。このファイルは PNG に偽装したDLLであり、rundll32.exe を使用して実行することで QBot が常駐するという仕組みだ。

実際に効果があるかどうかは不明だが、QBot 運用者は write.exe のような信頼された実行ファイルを通じてマルウェアを起動することで、セキュリティソフトウェアに検知されにくくなることを期待しているとみられる。なお、Windows 11 の write.exe でも同様の動作になる可能性はあるが、Windows 11 版の write.exe は Windows 10 上で実行できない。また、curl.exe は Windows 10 以降にしか搭載されていないため、ターゲットは Windows 10 以降となる。

16630876 story
テクノロジー

ゆうちょ銀行ら、AI画像分析によりATM前での特殊詐欺を防ぐ実証実験 27

ストーリー by nagazou
もうちょっとスマートにできそうな気も 部門より
ゆうちょ銀行とSocioFuture、日本ATMビジネスサービスは26日、ATMを使った特殊詐欺への対策として、AI画像分析を活用した特殊詐欺防止のための実証実験を開始したと発表した。特殊詐欺では犯人が被害者をATMに誘導し、携帯電話で指示して送金させる手口がある。今回検証する技術では防犯カメラ等の画像をAIで分析、ATM前での携帯電話の通話動作を高い確率で検知できるようになったという。これを使って利用者に告知をおこなうなどの特殊詐欺の被害防止に向けた実証実験をおこなうとしている(ゆうちょ銀行リリース[PDF])。
16629655 story
セキュリティ

他人のTポイントカードを乗っ取れる脆弱性が放置されている 32

ストーリー by nagazou
脆弱性 部門より
はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている(はてな匿名ダイアリー)。

あるAnonymous Coward 曰く、

- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

16627674 story
Android

Google Playでリリース後、1年近くたってマルウェア化したアプリ 16

ストーリー by headless
変化 部門より
Google Play で無害なアプリとしてリリース後、1 年近くたってマルウェア化したアプリについて、発見した ESET が報告している (WeLiveSecurity の記事Ars Technica の記事The Verge の記事The Register の記事)。

このアプリ「iRecorder - Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。

マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。

アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。以前 Google Play で公開されていたバーコードスキャナーアプリのマルウェア化や Chrome ウェブストアで公開されていた拡張機能のマルウェア化が話題になったが、これらの場合は途中で開発元が変わっている。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。
16614326 story
日本

ランサムウェアの身代金支払いで全データを復旧できたのは、日本でわずか13% 30

ストーリー by nagazou
支払っても意味がない 部門より
Rubrik Japanが22日発表した調査によると、ランサムウェアの身代金支払い後、攻撃者からの復号化ツールで全データを復旧できたのは日本国内ではわずか13%ほどしかなかったという(Rubrik Zero Labs調査結果ITmedia)。

あるAnonymous Coward 曰く、

この調査は10カ国1600人以上のITおよびセキュリティリーダー
(最高情報責任者(CIO)および最高情報セキュリティ責任者(CISO)が約半数、
ITおよびセキュリティ担当副社長やディレクタが約半数)が調査対象となっている。
2023年2月10日~2月21日にかけて日本や米国、英国、フランス、ドイツ、イタリア、オランダ、オーストラリア、シンガポール、インドで実施された。

タレコミ子のポイントだけ引用すると
・悪意のあるアクターのサイバー攻撃に際し、(日本の)組織の9割で、データバックアップに影響する試みが確認されており、50%では、こうした試みに少なくとも一部が成功したと回答。
・(日本の)組織の87%は、ランサムウェアの身代金支払いに応じました。
・(日本の)組織のうち、攻撃者からの復号化ツールによって自社の全データを復旧した割合は、わずか13%でした。

さて、身代金を払っても復旧できないのはなぜか?
a,不特定多数型のフィッシングでハナから復旧方法がないタイプの攻撃だった
b,交渉不成立(支払後追加請求された等)で時間切れ
c,スラド民様お願いします。
枠外,提供された復号化ツールの使い方がわからなかった

16614395 story
人工知能

Cloudflare、生成型AIへの機密情報漏洩を未然に防ぐサービス 2

ストーリー by nagazou
どこまで防げるんだか 部門より
やや旧聞に類する話題だが、AmazonやAppleのような大手IT企業や、国内でも島根県などでChatGPTのようなAIの利用を禁止する動きがある(Forbes JAPAN過去記事過去記事その2Bloomberg)。禁止の背景には、利用者が個人情報などの機密情報を意図せずアップロードしてしまうことで、機密データを外部に流出させる可能性があるためとされている。そんな中、Cloudflareは15日、ChatGPTなど生成型AIへの機密情報漏洩を未然に防ぐ「Cloudflare One for AI」を発表した(CloudflareBRIDGE)。

このツールは、企業が知的財産や顧客データを保護しつつ、最新の生成型AIツールを安全に活用するためのものであるという。Cloudflare One for AIでは、AIツールの使用状況の可視化・計測、データ損失の防止、統合管理といった機能があり、企業に包括的なAIセキュリティを提供するという。加えてCloudflare Gatewayを通じて、組織はAIサービスを試用する従業員の数を把握することが可能としている。
16613238 story
マイクロソフト

Microsoft Edge の組み込み VPN 機能、通信量が 5GB に増量されたとの報告 4

ストーリー by nagazou
増量 部門より
headless 曰く、

Microsoft Edge の組み込み VPN 機能、Microsoft Edge セキュアネットワークはプレビュー版として一部ユーザーに月 1GB の通信量が無料提供されているが、中には 5GB に増量されたユーザーもいるようだ (Neowin の記事5GB 提供対象ユーザーの Reddit 投稿)。

1 年前に発表された Microsoft Edge セキュアネットワークは Cloudflareと の提携による通信の保護機能で、当初は Canary チャネルで提供されていた。現在は Canary チャネルでの提供はなくなり、安定版チャネルなど他のチャネルのインストールへランダムに提供されているという。

利用可能な環境では Microsoft Edge の設定画面で「プライバシー、検索、サービス」に「Microsoft Edge セキュアネットワーク」の項目が表示され、オンにすればオプションを選択できる。実際に利用するには Microsoft アカウントへのログインも必要だ。

オプションは指定サイトのみ適用する「サイトの選択」と、パブリックWi-Fi使用時などにストリーミングコンテンツを除いて自動で適用する「最適化」のほか、全トラフィックに適用する「すべてのサイト」が用意されているが、選択可能なオプションは環境によって異なる。手元の環境では安定版で 3 つとも表示されるのに対し、ベータ版では「すべてのサイト」が表示されない。

16605569 story
テクノロジー

最新車両のヒューマンエラー対策を乗り越えてスマートキーを閉じ込める方法 26

ストーリー by nagazou
缶のようなケースに入れて車内に置くと起きる? 部門より
最近の新しい車両のスマートキーでは、鍵を施錠した車内に閉じ込めたためにドアが開かなくなる「インキー」の状態が起きないような仕組みが用意されている。新型「プリウス」の場合は、スマートキーを車内に置き忘れている場合に警告音が鳴るようになっている。しかしくるまのニュースの記事によると、実際にはスマートキーでもロックがかかってしまうケースも起きるそうだ(安全運転補完計画ユズリアイの該当ツイートくるまのニュース)。

このハックは安全運転の知識などを発信する安全運転補完計画ユズリアイが7日にツイートしたもので、最初のシーンでは、スマートキーが車内に置かれていることを認識し、インキーにならないことを実演。続いてのシーンでは、運転席のワンタッチパワーウィンドウで窓を自動で閉めつつドアを閉め、外からロックをかけてから、スマートキーを窓が締まり切る前に室内に放り投げることでインキー状態が発生する様子が動画で公開されている。

このように現代の車両は、スマートキーの普及によりインキーになりにくくなっているが、JAFの2021年度のロードサービスの主な出動理由TOP10には、未だに「キー閉じ込み」が5位にランクインしているとのこと。原因としては、スマートキーの電池切れや何かしらのトラブルで車内からドアロックがかかってしまうなどの事例が考えられるという。
16599300 story
インターネットエクスプローラ

IE11 無効化計画、再び変更 43

ストーリー by headless
変更 部門より
Microsoft が Windows 10 の Internet Explorer 11(IE11)無効化計画を再び変更している (Windows message centerWindows IT Pro Blog の記事The Register の記事Ghacks の記事)。

2 月の段階ではスタートメニューやタスクバーの IE11 アイコンなど視覚的参照を 6 月の月例更新で削除する計画が示されていたが、更新プログラムによる視覚的参照の削除は取りやめになった。この変更は顧客からのフィードバックを受けたもので、組織は IE 無効化ポリシーを使用して任意のタイミングで視覚的参照を削除できる。また、現在も引き続き IE11 でのアクセスが可能な例外的シナリオの一部について、今後数か月の間に Microsoft Edge へのリダイレクトを開始するとのこと。

IE11 はサポート終了から間もなく 1 年となり、2 月には恒久的な無効化が行われている。今回の変更はよりよいユーザーエクスペリエンスとモダンブラウザーへの円滑な移行を意図したものだといい、詳細は Windows や Microsoft Edge のリリースノートで案内されるとのことだ。
16595680 story
Windows

Windows 11で設定にかかわらずデバイスが脆弱だと表示される問題が復活 23

ストーリー by headless
後退 部門より
Windows 11 の「Windows セキュリティ」でローカルセキュリティ機関の保護機能が設定にかかわらず無効であるかのように表示される問題について、Microsoft はいったん解決済みとマークしていたが、現在は再び未解決となっている (Windows 11 バージョン 22H2、既知の問題と通知: 米国版日本版Neowin の記事)。

この問題は Windows セキュリティで「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」という警告が表示されるものだ。警告はこのオプションがオンになっていても表示され、オンにすると再起動が要求されるが、再起動後も警告と再起動の要求が表示されたままになる。警告は「無視」をクリックすれば非表示化できるが、再起動は要求され続ける。問題が導入されたのは Microsoft Defender ウイルス対策マルウェア対策プラットフォーム バージョン 1.0.2302.21002 で、4 月リリースのバージョン 1.0.2303.27001 で修正された。

しかし、バージョン 1.0.2303.27001 ではインストール後にブルースクリーンエラーの発生や、一部のゲームやアプリの実行時にシステムが再起動するといった問題が確認されたため、提供を取りやめたという。バージョン 1.0.2303.27001 インストール済みの環境で上述の問題が発生した場合、「コア分離」の「Kernel-mode Hardware-enforced Stack Protection (カーネルモードのハードウェア強制スタック保護)」をオフにする必要があるとのことだ。現在のところ、バージョン 1.0.2303.27001の問題は米国版など英語の記事にのみ記載されており、日本版など英語以外の言語の記事にはまだ反映されていない。
16595537 story
セキュリティ

VirusTotalのAIコード分析、AutoHotKeyやPythonのスクリプトにも対応 11

ストーリー by headless
対応 部門より
VirusTotal は AI が PowerShell スクリプトを分析して自然言語で解説する「Code Insight」を 4 月に発表し、先日対応スクリプト形式の追加を発表しているが、それ以外にも対応するスクリプト形式があるようだ (BleepingComputer の記事Ghacks の記事)。

VirusTotal が 12 日に追加を発表した Code Insight の対応スクリプト形式は以下の通り。
  • バッチファイル(.BAT)
  • Windowsコマンドスクリプト(.CMD)
  • シェルスクリプト(.SH)
  • VBScriptスクリプト(.VBS)

BleepingComputer の調べによると、AutoHotKey スクリプト (.AHK) や Python スクリプト (.PY) にも対応していることが判明したとのことだ。

16593117 story
SNS

元従業員、中国政府がTikTok全てのアクセス権を持つと主張。米モンタナ州では全面禁止へ 34

ストーリー by nagazou
至高って 部門より
CNNの報道によると、「TikTok」の親会社であるバイトダンスの元従業員が、中国共産党が保有する全てのデータに対して「至高のアクセス権」を持つとする告発をしているという。この告発は元従業員がバイトダンスの不当解雇の訴訟を起こす中で行われたという。バイトダンス側はこれを否定、争う構えを見せている(CNN)。

この元従業員は、この至高のアクセス権を使えば米国内のサーバーに保管されたデータにもアクセス可能であるという。TikTokに関しては、米モンタナ州でバイトダンスが州内で事業を行うことを全面的に禁止する法律が成立している。同州のジアンフォルテ知事は17日、一定の条件を満たすアプリのダウンロードを提供することなどを禁止する法案に署名した。実質的にTikTokを禁止する法律は全米の州で初めてとなる。これに対してバイトダンス側は強く反発しており法廷闘争に発展する可能性が高いとしている(NHK朝日新聞)。
16593072 story
ニュース

三井住友カード、圧着ハガキの表面にクレカ番号を誤印字し29万件郵送 29

ストーリー by nagazou
フィッシングに悪用されそうな事案 部門より
三井住友カードは16日、同社および提携しているクレジットカードの所有者に郵送したダイレクトメール(DM)に、誤ってクレジットカード番号を印字した状態で送付したと発表した。対象となるのは「AOYAMA VISAカード」「AOYAMA PiTaPaカード」 (VISA)「AOYAMA LiVE MAX VISAカード」「BLUE ROSE CARD」 (VISA)の4券種(三井住友カードリリースITmedia)。

DMはシーラーはがきタイプだったが、その表面宛先部にカード番号を印字してしまっていたそうだ。このDMは4月18日と4月20日に利用代金明細書のサービス内容の変更を告知するために発送されたもので、対象件数は29万771件に及ぶ。有効期限やセキュリティコードなどのカード番号以外の情報は記載していないとしている。
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...