パスワードを忘れた? アカウント作成
2018年のセキュリティ人気記事トップ10
13495398 story
Intel

本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 258

ストーリー by hylom
なるほど 部門より
あるAnonymous Coward 曰く、

どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ(4chan.orgTechCrunch)。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。

影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社製品についてそのようなバグの影響を受けないと回答している。Linux Kernelにおいてはこの機能を有効にするフラグは X86_BUG_CPU_INSECURE と名付けられ、AMD製ではないすべてのx86プロセッサで有効になるよう設定されている。有効にすることによる性能低下は最大で35%弱となるようだ。

この脆弱性はGoogleのセキュリティチームProject Zeroによって発見されたもので、3日付けで解説記事が公開されている。昨今の多くのCPUに搭載されている投機的実行機能を悪用するもので、2017年6月にIntelおよびAMD、ARMにこの脆弱性を報告していたとのこと。この脆弱性を突く実証コード(PoC)も開発されている。

Project Zeroの発表では、3種類の脆弱性が提示されている。これに対しAMDは声明を発表、AMDのCPUにおいてこれらのうち1つは影響があるもののソフトウェアやOSの修正で対応できるとし、その場合の性能への影響もほとんどないとしている。また、1つは未検証ながらリスクは0に近く、1つは影響しないとしている。

また、ARMもこれについての情報を公開している。これによると、一部のCortexシリーズプロセッサがこの脆弱性の影響を受けるとのことだが、Linuxにおいてはすでに対応パッチが提供されているという。

13561188 story
日本

総務省、「パスワードの定期的な変更は不要」と方針変更 100

ストーリー by hylom
これが周知されるまで何年かかったのか 部門より
NOBAX曰く、

3月1日、総務省の「国民のための情報セキュリティサイト」の内容が変更され、「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。」という内容となりました(日経新聞)。

パスワードの定期的な変更はかえって危険という事はいろいろな方面で言われており、例えば「パスワードは定期的に変更してはいけない」--米政府実は危ない、パスワードの定期変更(日本経済新聞)などといった記事もあります。

Windowsや多くの金融機関のホームページなどでは定期的なパスワードの変更を要求してきますが、今後、どのような対応になるのでしょうか。

13801598 story
情報漏洩

ZIPのパスワードを直後のメールで送る不思議 200

ストーリー by hylom
何週目だろう 部門より
maia曰く、

@ITの連載記事「こうしす!@IT支線」の「21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?」が、今更だが興味深い。

添付ファイルをパスワード付ZIPにして直後のメールでパスワードを別送する手順が、企業や政府等(市区レベルでも)に広くみられるようだ。セキュリティ的には意味がないと思われるが、それとも何か計り知れない事情があるのだろうか。パスワードはまったく別の手段・経路で送る、というのなら分かるが。

13620239 story
セキュリティ

サイトにCoinhiveを設置していたサイト管理者、不正指令電磁的記録取得・保管罪で摘発される 221

ストーリー by hylom
裁判にして司法の場で争うべきでしょうね 部門より

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告しているITmedia)。

この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。

こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

13616130 story
インターネット

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 62

ストーリー by hylom
スラドですらちゃんと買っているのに 部門より

無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweetShigeki Ohtsu氏のTweet)。

SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。

(以下、追記と訂正@6/8 0:55)セキュリティ研究家の高木浩光氏によると、「TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能はTLS(SSL)の機能ではない。)」とのこと(指摘Tweet)。

SSL/TLS証明書にはドメインの認証のみを行うDV証明書と運営者の実在性審査を行うOV証明書、厳格に運営者の審査を行うEV証明書があるが(解説記事)、高木氏によるとOV証明書は無意味とのことで、DV証明書を利用するのであれば無料の証明書でも十分だという。そのため、企業サイトにおけるLet's Encryptの証明書の利用も問題ないようだ。

13774786 story
Windows

Microsoft、新元号に関連するOffice 2010の更新プログラム2本などを提供中止 90

ストーリー by headless
中止 部門より
Microsoftは16日、6日にリリースしたOffice 2010向け更新プログラム2本の提供中止を発表した(KB4461522KB2863821Ars Technicaの記事BetaNewsの記事)。

KB4461522とKB2863821はいずれも日本の新元号に備えるもので、新元号開始時に正しく元号が表示されるようにOffice 2010の和暦カレンダーを修正する。ただし、実際の新元号を表示するには新元号発表後に提供される更新プログラムが必要となるようだ。

しかし、これらの更新プログラムをインストールすると、Accessやその他のアプリケーションがクラッシュする可能性があるという。そのため、提供を中止しただけでなく、更新プログラムのアンインストールが推奨されている。
13608814 story
政府

財務省が公開した「森友学園」交渉記録文書、黒塗りが簡単に外せる状態だった 130

ストーリー by hylom
またこのトラブルか 部門より
あるAnonymous Coward 曰く、

財務省が、「黒塗りに時間がかかる」と発表を遅らせていた学校法人「森友学園」との交渉記録などに関する文書を23日にWebサイトで公開したが、この「黒塗り」が簡単に外せる状態になっていたことが分かった(NHK)。

この文書が黒塗りが外せる状態で公開されていたのは数時間だが、これを入手したメディアやジャーナリストによってすでに検証が行われている(AERAロイター)。黒塗りが外れた状態の書類が出回るのも時間の問題か。

13695785 story
セキュリティ

パスワードで重要なのは記号を含むことよりも長くすること 118

ストーリー by hylom
サービス側も長いパスワードを利用できるようにしましょうね 部門より

JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている

提示されている「安全なパスワードの条件」は次の通り。

  • パスワードの文字列は、長めにする(12文字以上を推奨)
  • インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる
  • 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
  • 他のサービスで使用しているパスワードは使用しない

この理由についても説明されており、結局のところ記号を使って覚えやすさを損なうよりは、単純に文字数を増やした方がパスワード強度が高くなるということだそうだ。

13700803 story
国際宇宙ステーション

国際宇宙ステーションで空気漏れが発生するトラブル、NASAが補修作業をリポート 77

ストーリー by headless
補修 部門より
国際宇宙ステーション(ISS)で東部夏時間8月29日夜(日本時間30日朝)に検出され、翌日補修が行われた空気漏れについて、NASAがリポートしている(NASAのブログ記事)。

ヒューストンとモスクワのフライトコントローラーは東部夏時間29日19時頃、ISSで微量の空気漏れが発生している兆候に気付く。フライトコントローラーはデータを監視した結果、危険はないとして第56次長期滞在クルーを就寝させることを決定。翌朝定時に起床したクルーとともに、ヒューストンとモスクワ郊外のミッションコントロールセンターは空気漏れの発生場所を特定する作業を開始した。

ISSコマンダーのアンドリュー・フューステル宇宙飛行士をはじめとする6人の第56次長期滞在クルーは、ISSのロシア側セクションで広範な調査を実施。ロシア側のラスベットモジュールにドッキングしているソユーズMS-09の軌道モジュール(地球には帰還しない)に開いた直径2mmほどの穴が空気漏れの原因と特定する。カプトンテープによる仮補修により、午前中には空気漏れが減少した。
13794976 story
お金

流出したクレジットカード番号がPayPay経由で使われる懸念 145

ストーリー by hylom
さすがに10回失敗してロック無しはちょっと 部門より

「20%還元キャンペーン」が話題になったキャッシュレス決済サービスPayPayだが、第三者が不正に入手した他人のクレジットカード番号をPayPayに紐付けて不正利用するという被害が出ているという(情報科学屋さんを目指す人のメモITmedia)。

PayPayアプリでのクレジットカードの登録時にはカード番号および有効期限、セキュリティコードの登録が必要となるが、セキュリティコードを間違えてもロックなどの対応が行われないため、総当たり的な攻撃で不正に登録ができてしまう可能性があるとの指摘がある。あるAnonymous Coward曰く、

セキュリティコードを何度間違えてもロックがかからないということは、カード番号も自動生成で総当たりできるということ。例えばvisaならば前6桁は発行元により固定で、生成するカード番号は残り9桁となる(残り1桁はチェックディジット。ロック機構が無ければこれも無意味)。つまり9×60(有効期限5年×12)×999の約53万回、チェックディジットを含めても530万回の試行で他人のカードが登録できてしまう。

PCや今のスマホでも一日あれば突破できてしまうが、これからどうなるのだろうか。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...