パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

2019年のセキュリティ人気記事トップ10
13895862 story
セキュリティ

外務省、公開鍵の情報公開請求を拒否する 365

ストーリー by hylom
公開されているのに公開されない不思議 部門より
あるAnonymous Coward曰く、

マイナンバーカードの読み出しライブラリを開発したことで知られるOSSTechの濱野司氏によると、パスポートの真正確認アプリを開発するため外務省に対しCSCA証明書(公開鍵)の情報公開請求を行ったところ、安全性及び国際慣行上の理由で不開示の決定を下されたとのこと(AAA Blog)。

しかし、公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もないという。最終的にはドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出すことで無事アプリを開発できたとのことだが、日本のPKIはどこへ向かっているのだろうか。

13819473 story
Android

Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる 70

ストーリー by hylom
どっちにしろ信用はできなさそうな 部門より
maia曰く、

ダウンロード件数が数億とも言われるAndroid向け人気ファイルマネージャー「ES File Explorer」が、バックグラウンドでWebサーバーを実行させているとの指摘が出ている。これによって外部から端末内のさまざまなデータにアクセスできるようになっていたという(TechCrunch)。

「ES File Explorer」の噂をチェックしてみると、以前にも「巷で危険なアプリだと騒がれて」いたらしいが、開発会社のES(EStrongs)は2013年1月に百度(Baidu)に買収されており(黒翼猫のコンピュータ日記2nd Edition)、その後BaiduのSDKを使っているようだ。

9to5GoogleAndroid Policeによると、起動時に59777番ポートでの待ち受けを行い、ここにJSON形式で指定した命令をHTTPで送信することで、端末内のファイルを読み取ったり、端末の情報を取得できるようになっていたという。このアプリではファイル共有機能を新機能として実装していたようで、これに関する問題のようだ。開発者はこれに対し、問題を修正したバージョンをリリースするとしているという。

13854498 story
犯罪

延々とメッセージを表示させるWebサイトのURLを貼った中学生ら、補導・逮捕される 192

ストーリー by hylom
ブラクラですらなかった 部門より

無限ループを使ってメッセージを延々と表示させるようなスクリプトが仕込まれたWebページへのリンクをネット掲示板に書き込んだ13歳中学生など3名が補導・家宅捜索された(NHKサンケイスポーツ)。これに対し批判の声が集まっている(ITmediaEngadget日本版)。

問題のページはFC2でホスティングされていたページ(http://n41050z.web.fc2.com/burakura.html)とのことでで、現在は削除されている(piyolog)。Webアーカイブに保存されているアーカイブによると、次のようなスクリプトが含まれていたようだ。

for( ; ; ){
window.alert(" ∧_∧ ババババ\n( ・ω・)=つ≡つ\n(っ ≡つ=つ\n`/  )\n(ノΠU\n何回閉じても無駄ですよ~ww\nm9(^Д^)プギャー!!\n byソル (@0_Infinity_)")
}

海外でもZDNetが問題となったページのWebアーカイブへのURL付きでこの問題を報じるなど注目されている。また、JavaScriptの生みの親であるBrendan Eich氏はこの報道に対し、「Chromeから10年も前に生まれたNetscape 4ですらJavaScriptループをユーザーに止めさせる機能があるのに」とコメントしている。

なおこの件については「ブラウザクラッシャー(ブラクラ)で逮捕・補導」などとも言われているが、問題のWebページはアクセスしてもWebブラウザがクラッシュしたり操作不能になるわけではなく、タブを閉じたりブラウザを終了させるだけで簡単に対処できることから、ブラクラではないとの指摘も出ている

13930081 story
Android

GoogleがAndroidを米国の輸出制限から除外するよう米商務省と交渉しているとの報道 57

ストーリー by headless
交渉 部門より
headless 曰く、

Googleが安全保障上の問題を理由に、Android OSをHuaweiに対する輸出制限から除外するよう米商務省と交渉しているとFinancial Timesが報じている(VentureBeatの記事Ars Technicaの記事The Vergeの記事Bloombergの記事)。

米商務省は5月15日、米国のテクノロジーを販売・移転するのに産業安全保障局(BIS)のライセンスが必要となるエンティティリストにHuaweiを追加したが、5月20日には90日間の一時的な一般ライセンス(TGL)を発行している。これにより、Huaweiは8月18日まで輸出管理規則(EAR)で制限されない米国のテクノロジーを個別のライセンスなしで入手可能となっており、今後商務省ではTGLの期限を延長するかどうかの判断を行なう。

Googleが交渉しているのは、TGLの延長またはライセンスの免除だという。Financial Timesの情報提供者によれば、GoogleがAndroidを輸出制限から除外すべきと主張する根拠は以下のようなものだ。HuaweiがAndroidを入手できなくなればHuaweiはAndroidのオープンソース部分をフォークしたハイブリッド版のAndroidを開発することになる。ハイブリッド版はGoogle版と比べてバグが多くなることが予想され、Huaweiの端末が(特に中国により)ハッキングされる可能性が高まるとのこと。

GoogleはFinancial Timesに対し、商務省の措置を確実に順守するため同省と連携しているとしたうえで、同社が注力しているのは既存のHuawei端末を利用するGoogleユーザーのセキュリティを保護することだと述べたとのことだ。

一方、FacebookがWhatsAppやInstagramを含む同社のアプリについて、Huawei製端末へのプリインストールを停止したとReutersが報じている。ReutersではHuaweiに新たな一撃が加わったと述べているが、Android Policeの記事では最近のHuaweiに関するニュースの中で、ようやくいいニュース(ゴミアプリがプリインストールされなくなる)が出てきたと評している。

14075969 story
変なモノ

パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 146

ストーリー by hylom
This-is-a-passward 部門より

メールでパスワード付きZIPファイルとそれを展開するためのパスワードを別々に送信するというやり方はセキュリティ的にまったく無意味であるが、このやり方は未だによく使われているそうだ。このやり方については、

PasswordつきZIP暗号化ファイルを送ります
Passwordを送ります
Aん号化(暗号化)
Protocol

の略だとして「PPAP方式」などとも揶揄されているという(デジタル・フォレンジック研究会)。

14013357 story
iOS

古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 42

ストーリー by headless
脱獄 部門より
パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイートGitHubリポジトリMac Rumorsの記事Ars Technicaの記事)。

脆弱性はA5~A11チップのBoot ROMに存在し、iPhoneではiPhone 4S~iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。
13816792 story
日本

Coinhive事件、高木浩光氏が証人として裁判に出廷 149

ストーリー by hylom
お疲れさまです 部門より
あるAnonymous Coward曰く、

サイト訪問者のWebブラウザ上で採掘を実行させる「Coinhive」をWebサイト上に設置して仮想通貨のマイニング(採掘)を行わせていたとして複数のサイト管理者が摘発される事件が発生しているが(過去記事その続報)、現在Coinhiveを設置したとして不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性に対する裁判が行われている。この裁判で、この事件について当初から懸念を示していたセキュリティ研究者の高木浩光氏に対し、証人尋問が行われたとのこと(弁護士ドットコムNEWS)。

高木氏は今回の逮捕は構成要件が曖昧であることを説明するとともに、今回のCoinhiveについて「取り返しのつかないほどの挙動はしない」「自動的に実行されるが、サイトを離脱すると停止されるため問題ない」として刑法犯で処罰されるものではないと主張している。

また、証人尋問を傍聴してきた@shonen_mochi氏のTweetによると、検察側は高木氏と全面対決する姿勢を見せていたようだ。

13974873 story
インターネット

「表現の不自由展・その後」に対する脅迫FAXの送信元が特定できないという話が話題に 290

ストーリー by hylom
抗議活動として最低な内容 部門より

愛知県で開始されている芸術祭「あいちトリエンナーレ2019」の企画の1つであり、過去に公共の文化施設での展示が排除された作品などを展示不許可となった理由と共に展示した「表現の不自由展・その後」に対し脅迫などがあり、その結果展示が中止となった。出展された作品についてはWebサイトで公開されているが、天皇や慰安婦を表現した作品などが含まれており、これに対し抗議の声も出ていた(ハフィントンポスト)。

また、中止の理由の1つとして、FAXで「ガソリン携行缶を持っていく」という脅迫があったことが報じられているが、この脅迫文の送信元が特定できないという話も話題になっている

これについては真偽のほどは不明だが、インターネット経由でFAXを送信できるようなサービスを使って匿名の回線を使えば足がつかないのではないか、とも推測されている。

なお、FAXだけでなくメールでもガソリンを撒くという脅迫メールも届いているという(朝日新聞AbemaTIMES)。

13950381 story
お金

7payで不正利用被害報告が相次ぐ 199

ストーリー by hylom
PayPayのセキュリティ問題から学ばなかったのか 部門より

kmc55曰く、

セブン&アイ・ホールディングス傘下のセブン・ペイが7月1日より開始したバーコード決済サービス「7pay」で不正利用報告が相次いでいる(TogetterまとめEngadget日本版)。

報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。

Engadget日本版の続報Yahoo!ニュースなどで問題点が指摘されているが、セブンアプリからアカウントを作った人は生年月日とメールアドレスの2つさえ合っていれば乗っ取りが可能な模様。

また、パスワードを忘れた場合のフォームに「送付先メールアドレス」がID(メアド)と別に設定可能であり、パスワード再設定が行われても気が付かない仕様のようだ。その後送付先メールアドレスの入力欄は削除されたが、CSSで非表示に設定しているだけであり、CSSを操作することで第三者のメールアドレスに送付することができたという(ITmedia)。

セブン&アイ・ホールディングスは7月4日に会見を行い、対応として当面の間7payのすべてのチャージ機能および新規登録を停止する方針を示した。ただし新規登録については「近日中の停止」になるという(Business Insider JAPAN)。また、被害額をセブン&アイ・ホールディングス側が補償することも発表された。

13958937 story
ソフトウェア

10MBのファイルが281TBに膨らむ新型「非再帰的ZIP爆弾」 80

ストーリー by hylom
増えるファイル 部門より

Anonymous Coward曰く、

プログラマー兼エンジニアのDavid Fifield氏が、たった10MBのサイズにも関わらず、展開すると281TBにまで爆発する新しいタイプの「ZIP爆弾」を発表した。

ZIP爆弾は、そのファイル自体は小さいにもかかわらず、展開すると巨大なファイルになるように細工をしたZIPファイルの俗称。小さなファイルを巨大なファイルとして展開させることによりPCのCPU、メモリ、ディスク容量といったリソースを奪うことができる。

通常のZIP爆弾は内側のZIPファイルの中にさらにZIPファイルを作るという再帰的手法で作られているが、それゆえに多くのアンチウイルスソフトで対策されている。Fifield氏が考案した「非再帰的ZIP爆弾」は、再帰のない単一層でより密集したファイルを作成できるのが特徴。

展開後のファイルサイズこそ高効率で作られた再帰的ZIP爆弾にかなわないものの、それでも展開後のサイズを2800万倍に膨らませることができるという。さらに、ZIP64形式を用いることで46MBのファイルを9800万倍の4.5PBにすることも可能だとしている(ViceGIGAZINESlashdot)。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...