パスワードを忘れた? アカウント作成

今週も投票をしましたか?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2019年11月のセキュリティ人気記事トップ10
14056431 story
犯罪

元勤務先への不満からそのシステムの全データを消去した元システム管理者、逮捕される 109

ストーリー by hylom
ありそうでそんなに無かったトラブル 部門より

Anonymous Coward曰く、

元勤務先のデータをすべて消去したとして、東京都の62歳自称会社員が逮捕された。元勤務先の社長や会社の対応に不満があり犯行に至ったという(産経新聞毎日新聞千葉日報)。

伝説には聞くけど、実際に逮捕されて報道されてるのは珍しい?

消去されたのは顧客情報や契約書など業務関連の全データだという。容疑者は同社のシステムを1人ですべて管理していた。1月の依願退社後もシステムにアクセスするためのIDやパスワードは変更されていなかった。

14039551 story
情報漏洩

Trend Microで従業員による顧客情報売却が発覚、詐欺に使われる 65

ストーリー by hylom
またトレンドマイクロか 部門より

Trend Microの従業員が無許可で個人情報を含む顧客情報を持ち出して売却していたことが発覚した(Trend Microの発表piyolog)。

発表によると、売却された個人情報は詐欺組織によってサポート詐欺に使われたという。この組織は同社のカスタマーサポートに成りすまして顧客と積極したようだ。影響を受けた顧客は英語圏の顧客最大12万人で、日本向けの製品を利用している顧客は含まれていないという。これを受けて問題の従業員は解雇されたとのこと。

14056559 story
ニュース

ヘルメットメーカーのオージーケーカブト、品質管理が不適切だったとしてJIS認証取り消し 71

ストーリー by hylom
致命的ではないとはいえ気分的には良くない 部門より

Anonymous Coward曰く、

自転車・バイク用ヘルメットメーカーのオージーケーカブトに対し、乗車用ヘルメットにおけるJIS認証の取り消しが行われた模様(経済産業省の発表)。

一般財団法人日本車両検査協会による検査の結果、長期間にわたり一部工程の管理が適切に行われていないなど、品質管理体制が基準を満たしていなかったことが分かったため。具体的には「長期間にわたり製品の組み立て場所に係る記録が適切に記載されていなかった」点が問題だという。製品の安全性や品質については、JIS規格を満たしており、問題がないとのこと。

今回問題となったのはバイク(原付および自動二輪等)向けのJIS T 8133。JIS認証の取得は任意であるため国内での販売停止などに繋がるわけではなく、また同社のヘルメットが安全ではないというわけでもないものの、取り消しによって同社への信頼性にはケチがついた格好。

ちなみに同社は自転車用ヘルメットでも有名だが、こちらについてはJIS T 8134という別の規格(ただしJIS T 8134ではJIS T 8133を一部引用している)。ただ、今回こちらへの言及はない。

14049068 story
バグ

Officeの更新プログラムを導入するとAccessでクエリエラーが発生するとの報告 44

ストーリー by hylom
どうしてこうなった 部門より

Anonymous Coward曰く、

11月13日にリリースされたMicrosoft Officeのセキュリティ更新プログラムをインストールすると、特定の環境でAccessのクエリでエラーが発生するようになる、との報告が出ている(Togetterまとめ)。

問題の更新プログラムは月例アップデートとしてMicrosoftの他製品のアップデートと同時に配信されたもの(窓の杜)。Microsoftも問題は把握しているらしく、サポート文書が出ている。これによると、単一のテーブルをUPDATEするクエリで、WHERE節があるとエラーが発生する模様。Access O365/2019(Version 1911)については11月24日、ほかについては12月10日に修正予定。また、クエリ文を修正することでも対応できるとされている。

14043139 story
インターネット

HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 92

ストーリー by hylom
何周目の議論だ 部門より

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しておりEV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。

14040335 story
Firefox

Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 25

ストーリー by hylom
妥当といえば妥当 部門より

Mozillaがリモートでコードを実行するようなFirefox拡張機能について、すべて禁止にする方針を示しているという(mozillaZine.jp)。

すでに「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」といった拡張がインストールできない「不正な拡張機能」のブラックリストに追加されているという。

Firefoxの「Add-on Policies」ではリモートコード実行を行ってはいけないと明示されており、このポリシーが厳格に適用されることになるようだ。

14039312 story
ハードウェアハック

レーザーでスマートスピーカーを遠隔操作する攻撃手法 48

ストーリー by hylom
光を当てられないよう遮蔽するしかないのか 部門より

電通大の研究者らが、「レーザーを用いて音声コマンドを挿入する攻撃」について警鐘を鳴らしているITmedia論文)。

この攻撃手法は、スマートスピーカーに対し遠隔からレーザー光を照射することで、あたかも音声でコマンドが入力されたように振る舞わせることができるというもの。スマートスピーカーに内蔵されているマイクがレーザー光にも反応してしまうことを悪用したもので、実験では75m離れた場所からスマートスピーカーに対しドアの開錠や車の操作を行うといったコマンドを実行させることに成功したそうだ。

また、Google HomeやAmazon Echoなどさまざまなデバイスでも検証が行われているが、製品によってはレーザーポインタなどで使われる5mWという弱い出力レーザーでも110m離れた場所から操作できるケースがあったという。さらに、十分強い光であればレーザーでなくても同様の攻撃は実行できるとも記している。

14051215 story
プライバシ

プライベートを月20万で買うことを募集した企業、複数の応募者のメールアドレスをCCに入れて落選連絡メールを送信し漏洩させる 46

ストーリー by hylom
応募した時点で実験が始まっていたとは 部門より

manmos曰く、

先日「自宅にカメラを設置して1ヶ月間私生活を撮影される対価として13万2,930円が支給されるという実験、被験者募集中」という話題があったが、この実験を主催する企業が応募者にメールで連絡を行う際、誤って複数のメールアドレスをCCに入れて送信、受信者が他の応募者のメールアドレスを知ることができる状態になってしまったそうだ(プレスリリース)。

ま、お金出せば納得するでしょうが。むしろ当選した人が、この後、戦々恐々かもしれない。

14053893 story
Windows

Microsoft、WindowsでDNS over HTTPSをサポートする計画 14

ストーリー by hylom
広まるか 部門より

headless曰く、

Microsoftは17日、WindowsでDNS over HTTPS(DoH)をサポートする計画を明らかにした(Microsoft Tech CommunitySoftpediaThe RegistergHacks)。

DNSクエリを暗号化するDoHに対しては、対応DNSサーバーしか使用できないので集中化が進むといった批判もみられる。ただし、この問題はDoHの導入が進めば解消し、現在と同様の分散化が維持できる。そのためにはWindowsのようなクライアントOSによるDoHサポートが重要だという。

具体的なDoH導入時期は示されていないが、第一段階としてはDoHをサポートするDNSサーバーが指定されている場合、WindowsのDNSクライアントが自動でDoHにアップグレードするようになる。将来的にはDoH対応サーバーを明示的に指定できるようなDNS設定画面の追加も計画しているそうだ。

14043889 story
Android

Googleがセキュリティ企業3社と提携し、Google Playストアでのマルウェア公開を防ぐ「App Defense Alliance」を発表 5

ストーリー by hylom
誤診断が心配に 部門より

headless曰く、

Googleは6日、ESET・Lookout・Zimperiumのセキュリティ企業3社と提携し、不正なアプリがユーザーのデバイスに届く前に阻止する「App Defense Alliance」の開始を発表した(Google Security BlogESETのプレスリリースLookout BlogZimperium's Mobile Security Blog)。

GoogleはGoogle Playストアで不正アプリの公開を防ぐためのさまざまな対策を行っているが、それでもマルウェアたびたび発見されている。App Defense Allianceの最大の目的はGoogle Playストアの安全性を確実なものにすることだ。そのため、既存のGoogle Playプロテクトの不正アプリ検知システムに3社のマルウェアスキャンエンジンを統合するという。複数のヒューリスティックエンジンが協力することで有害な可能性のあるアプリの検出効率が向上し、アプリベースのマルウェアによるリスクの低減や新たな脅威の特定が可能になるとのことだ。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...