パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2017年1月のセキュリティ人気記事トップ10
13136135 story
Windows

Windows 8.1/10ではサードパーティーのアンチウイルス製品を避けるべき? 112

ストーリー by headless
安全 部門より
Mozillaの元開発者 Robert O'Callahan氏が、Microsoft以外のアンチウイルス製品は使用すべきではないと主張している(Eyes Above The Wavesの記事Ars Technicaの記事The Registerの記事Softpediaの記事)。

これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。

たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。

GoogleのProject Zeroで指摘されるようなアンチウイルス製品のバグは、開発者が一般的なセキュリティープラクティスを守っていないことを示すものだが、(おそらく最近のGoogleを除く)ソフトウェアベンダーは問題解決にアンチウイルスベンダーの協力が必要なため、声を大にして指摘できないとのことだ。

なお、Windows 7やWindows XPの場合はサードパーティーのアンチウイルス製品を使用することで、少しはましになるかもしれないともO'Callahan氏は述べている。つまり、Windows 8.1/10では標準のセキュリティー対策機能のみを使用すべきということだ。スラドの皆さんはどう思われるだろうか。
13125717 story
アップグレード

ドイツのMicrosoft、Windows 7を3年後のサポート終了まで使い続けないことを推奨 120

ストーリー by hylom
ハードと一緒に買い換えかな 部門より
headless曰く、

Windows 7のサポート終了まで残り3年となった13日、早めにWindows 10へ乗り換えようという記事をドイツのMicrosoft Germanyが掲載した。Windows 7の延長サポートは2020年1月14日で終了する(Microsoft Germanyのニュース記事BetaNewsSoftpedia)。

記事によれば、クラウド時代への最初の一歩となったWindows 7だが、現在要求されるセキュリティー要件についていくことができないのだという。Windows 7を使い続ければ維持やサポート、マルウェア攻撃によるダウンタイムなどにより運用コストが上昇するだけでなく、新しいデバイスが使用できないこともある。さらに多くのプログラムはWindows 7よりも新しいバージョンのWindowsを対象に開発されているとのこと。

Windows 7は古いセキュリティーアーキテクチャーをベースにしており、サポート終了まで3年も使い続けることは、3年間危険を放置しておくことと同様だという。Windows 10は多くのセキュリティー機能が統合されているだけでなく、ユーザーはさまざまな新機能による利益を受けられるので、3年後ではなく今が移行に適切な時期とのことだ。StatCounterのデータによると、ドイツでは12月にWindows 10のシェアが3分の1を超え、初めてWindows 7を上回っている

ちなみに米国のMicrosoftでは13日、11月に修正された権限昇格の脆弱性2件、CVE-2016-7255MS16-135)とCVE-2016-7256MS16-132)のエクスプロイトを用い、未パッチのWindows 10 Anniverssary Updateが攻撃を回避できたことを発表している(Microsoft Malware Protection Centerの記事)。

13127502 story
情報漏洩

「最もよく使われているパスワード」、2016年調査でもトップは「123456」 42

ストーリー by hylom
みんな大好き123456 部門より
headless 曰く、

パスワードマネージャー「Keeper」を開発するKeeper Securityの調査によると、2016年も最もよく使われているパスワードは「123456」だったそうだ(Keeper Securityのブログ記事BetaNewsの記事The RegisterSoftpedia)。

今回の調査は、2016年に発生したさまざまな情報流出により公開されたパスワード1,000万件を対象としており、2016年に公表された過去の情報流出は除外されている。また、1件の情報流出でのみ出現するパスワードも対象外にしているという。記事では特に説明されていないが、流出したパスワードはハッシュ化されていることが多いため、クラック済みのパスワードのみが調査対象とみられる。

パスワード「123456」は全体の17%近くを占めるという。上位8件には6桁の「123456」から10桁の「1234567890」まで、キーボード上段の数字を順に並べたものがすべて入っており、逆行パターンや繰り返し、往復を含めると上位19件中9件。「111111」のように同じ数字を6つ並べただけのものも4件あり、数字だけのパスワードは上位20件中13件を占める。

「qwerty」のようにキーボード上の英字を順に並べたものは3件、「1q2w3e4r」のような2列を交互に並べたパターンも4件ある。単語を使用したパスワードは「password」と「google」で、「mynoob」というパスワードはゲーム関連サイトの2件の情報流出でのみみられるパターンだという。

上位25件の中には「18atcskd2w」「3rjs1la7qe」というパスワードも含まれるが、これらはボットがスパムを投稿する目的で作成したアカウントのパスワードとみられるとのこと。

よく使われるパスワード上位25件は以下の通り。

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e
13134306 story
セキュリティ

Gmail、拡張子が「.js」のファイルの添付を禁止へ 87

ストーリー by hylom
危険なJS 部門より
あるAnonymous Coward 曰く、

Gmailが「.js」という拡張子を持つファイルの添付を2月13日より禁止するとのこと。すでにセキュリティ上の理由で「.exe」などの実行ファイルの添付は禁止されており、これに新たに「.js」が加わることになる(ITmedia)。

Windowsでは.jsファイルがダブルクリックで実行でき、これを悪用してマルウェアをダウンロードさせたり、何らかの脆弱性を突いて攻撃するというケースがあるらしい。

13124560 story
変なモノ

「セキュリティフォント」なる仕組みが考案される 57

ストーリー by hylom
えんがちょ 部門より
90曰く、

WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。

13121612 story
スター・ウォーズ

カスペルスキー曰く、デススター崩壊の原因はサイバーセキュリティ対策の不備 71

ストーリー by hylom
サイバー攻撃のない世界 部門より
あるAnonymous Coward 曰く、

ロシアのセキュリティ企業Kasperskyが、映画「スター・ウォーズ」エピソード4のクライマックスである、巨大宇宙要塞「デス・スター」が主人公らの工作によって陥落したエピソードについて、サイバーセキュリティの観点から分析している。これによると、デス・スターが破壊された原因は、「指揮系統の純然たる怠慢とずさんなサイバーセキュリティ対策」が原因の一つだったという(Kasperskyのブログ)。

デス・スターが破壊された直接の原因は反応炉にミサイルを撃ち込まれたことだが、反応炉の脆弱性自体については「あの規模の物体に1つも脆弱性がなかったら、かえっておかしい」とし、それよりも標的型攻撃への対策が行われていなかったことが大きな問題だとしている。具体的に挙げられているのは下記の点だ。

  • データ漏洩に気付かずスルー
  • トロイの木馬の可能性がある不審物を基地内に引き込む
  • システムの認証がほぼなし 手作業での電源停止時にアラートの送信を行っていない
  • 認証無しで操作できるシステムからデータだけでなく多くのシステムが制御可能

これを受けてカスペルスキーでは、帝国は多層的なセキュリティ保護の構築に失敗していたと結論付けられている。

13119966 story
セキュリティ

ピースサインの写真から指紋情報が流出する恐れ? 80

ストーリー by hylom
指紋認証が普及しつつあるので危険も増大 部門より

近年のデジタルカメラの高解像度化により、「ピースサイン」を撮影した写真から指紋情報を採取される可能性があるとの指摘が出ている(産経新聞)。

国立情報学研究所によると、「3メートルの距離で撮影した画像でも読み取れる」という。そのため、「指紋の盗撮」を防ぐ技術も開発されているそうだ。

13135812 story
暗号

FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 23

ストーリー by headless
警告 部門より
今週リリースされたMozilla Firefox 51とGoogle Chrome 56では、パスワード入力フィールドを含むHTTP接続のページを表示すると警告が表示されるようになっている(The Vergeの記事Ars Technicaの記事9to5Googleの記事Softpediaの記事)。

これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される。

Chrome 56の場合、パスワード入力フィールドを含むHTTP接続のページでは、情報アイコンの右側に「保護されていません」と表示される。HTTPS接続のページで「保護された通信」と表示されるのと同様だ。情報アイコンをクリックしたときの表示内容はパスワード入力フィールドの有無にかかわらず、従来のバージョンと違いはないようだ。

今週はArs TechnicaThe Next WebがHTTPSをデフォルトにしたことをアナウンスしている。スラドでもいつの間にかHTTPSがデフォルトになっていたようだ。
13133280 story
テレビ

流出したタクシー車内のドライブレコーダー映像のTV放映は放送倫理違反ではないとの判断 40

ストーリー by hylom
公益性があるのか 部門より

流出したタクシー車内のドライブレコーダー映像を放送した放送局に対し、放送倫理・番組向上機構(BPO)の放送倫理検証委員会はこの問題を同組織での審議対象にはしないことを明らかにした。「報道内容について公益性も否定できない」という理由から、放送倫理違反を問うことは難しいと判断したという(読売新聞朝日新聞)。

問題となったのは、昨年11月末に歌手のASKA氏が覚醒剤使用の疑いで逮捕された事件。容疑者が逮捕直前に乗ったタクシー車内のドライブレコーダー映像が放送局に流出、複数の放送局でこの映像が放映された(過去記事)。

タクシー業者側は不適切な提供と認めていたほか、視聴者からはプライバシー侵害では無いかと行った声が寄せられていたという。

13112231 story
Facebook

Facebookが1年以上前の事件に安否確認機能を有効化し、嘘ニュースを拡散する結果に 39

ストーリー by headless
嘘本 部門より
Facebookが12月27日、1年以上前にバンコクで発生した爆弾テロ事件に対して安否確認機能を有効にし、嘘ニュースを拡散する結果となった(Bangkok Postの記事The Guardianの記事The Vergeの記事BetaNewsの記事)。

Facebookの安否確認機能は昨年11月からコミュニティーベースで有効化されるようになっている。仕組みとしては、Facebookがサードパーティーから事件発生の通知を受けると自動的にニュースアラートとして表示され、対象地域で多くのユーザーからの投稿があった場合に有効化されるとのこと。

情報の発信源はBangkok Informerというニュース記事の無断転載サイトとみられている。問題の記事はBBC NewsのYouTube動画からの転載で、12月27日に掲載されているが、内容は2015年8月に発生したエラワン廟での爆弾テロ事件を報じたものだ。記事についたコメントもYouTubeユーザーのコメントを転載しただけのようで、すべて2015年8月の日付になっている。Bangkok InformerのWebサイトはメンテナンス中となっているが、今回の記事だけでなく、同事件記事異なるソースからたびたび転載していたらしい。

本件について、Facebookは現地の英語メディア4社が報じていることを確認したと述べているという。しかし、報道の内容は土地をめぐるトラブルにあった男性が27日午前、政府により正義が行われることを求め、政府貯蓄銀行の屋上から大きな爆竹を政府の建物に向かって投げたというものだ。その1社であるBangkok Postによれば、この件を「爆発」と報じた記事は4社のうち1件もないとのこと。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...