パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2020年3月のセキュリティ人気記事トップ10
14131793 story
インターネット

「新型コロナは体調管理ができていない証拠」などとうたった求人広告が炎上、企業側は不正アクセスによる改ざんと発表 106

ストーリー by hylom
そんなことを言う役員はいなかったんですね 部門より

採用支援サービス「engage」上で、「執行役員からのメッセージ」として「新型コロナだって体調管理ができてない証拠」「気持ちいれて働いてたらかからない」などと記載していた企業が批判を浴びている。これに対しこの企業側は本人の投稿ではなく、不正アクセスで内容が改ざんされたなどと主張している(キャリコネニュースBuzzap!Togetterまとめ)。

この企業側の説明によると、「執行役人本人が投稿したものではない」「本人になりすました悪質な投稿」であり、社内でサイトの管理に使われていたIDが不正に使われた可能性があるとしている。なお、この企業の求人ページでは「残業代は一切出しません」などと書かれていたことも指摘されている。

14140224 story
Firefox

Mozilla、2021年初めにFirefoxのFTPサポートを削除する計画 104

ストーリー by headless
削除 部門より
Mozillaは6月に安定版をリリース予定のFirefox 77でFTPサポートをデフォルト無効にし、2021年初めには完全に削除することを計画しているそうだ(Ghacksの記事Neowinの記事ZDNetの記事Bug 1574475)。

Firefoxでは2018年のFirefox 60で「高度な設定 (about:config)」に「network.ftp.enabled」が追加されており、これを「false」にすることでFTPを無効にできるが、デフォルトでは有効のままになっている。Firefox 77ではこのプリファレンスを使用した無効化が行われるため、ユーザーが「true」に設定しなおせばFTPは利用できる。また、Firefox ESR 78のデフォルトはFTP有効になるようだ。2021年初めに予定されている変更ではFTP関連のコードがすべて削除されるため、再度有効化することはできなくなる。FTPサポート終了の理由としては、FTPプロトコルがセキュアではないことや、Firefoxで「ftp://」はほとんど使われていないことなどが挙げられている。

Google ChromeでもFTP無効化が進められており、2020年第2四半期リリースのChrome 82でFTP関連コードとリソースを削除する計画が示されている。ただし、現在のところChrome Canary(バージョン83)やChrome Dev(バージョン82)ではフラグ(chrome://flags/#enable-ftp)でFTPの有効・無効がコントロールされる状態のままになっている。
14130108 story
バグ

2019年に報告された脆弱性が最も多い製品はAndroid 93

ストーリー by headless
製品 部門より
VPN比較サイトTheBestVPNの集計によると、2019年に報告された脆弱性が最も多い製品はAndroidだったそうだ(リポート9to5Googleの記事)。

データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。

一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。

なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
14126075 story
アメリカ合衆国

「パスワードは複雑さより長さが大切」 FBIが指南 70

ストーリー by hylom
現実的な答え 部門より

FBIの技術部門が、パスワードやパスフレーズを使ったセキュリティ向上のための手法を解説しているITmedia)。

ここで推奨されているのが、長いパスワードを使うという手法。短く複雑なパスワードは覚えにくいため、それよりも複数の単語から構成される長いパスワードを使う方が良いという。その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。また、複数の関連性のない単語を入れるとより良いそうだ。

なお、ここではNIST(米国立標準技術研究所)による安全なパスワードに関する次のような提案も紹介されている。

  • 15文字以上のパスワードを必須とする。大文字/小文字、特殊文字の混在を必須にする必要はない
  • ネットワークへの不正侵入が発生したという場合を除き、パスワードを強制的に変更させる必要はない
  • 辞書に載っているような単語や「安全でないパスワード」の使用は禁止
  • 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
  • パスワードの「ヒント」は許可しない
14134707 story
インターネット

「新型コロナは体調管理ができていない証拠」との求人広告、IDを知る元従業員が不正アクセスで改ざんしたものとの発表 57

ストーリー by hylom
担当者が変わったらパスワードを変えましょう 部門より

Anonymous Coward曰く、

先日、「新型コロナは体調管理ができていない証拠」などとうたった求人広告が炎上する事案があった。この求人広告を出していた企業は、不正アクセスによる改ざんと発表していたが、その後調査の結果、同社の元従業員が嫌がらせ目的でこれを行なったと同社が発表している(ITmedia)。

求人サイトの管理用IDやパスワードを知る元従業員が、在職当時の12月下旬に嫌がらせ目的で虚偽のメッセージを掲載したという。その後この社員は退職したが、IDやパスワードは変更されていなかったために改ざんが続けられていたという。

なお、この元従業員が働いている企業は対応の完了後に責任を取って辞任するとしている

14141221 story
Windows

Microsoft、Windows 10 バージョン1709 Enterprise/Educationエディションのサポートを6か月間延長 39

ストーリー by headless
延長 部門より
Microsoftは19日、Windows 10 Enterprise/Education/IoT Enterpriseの3エディションについて、バージョン1709(Fall Creators Update)のサポートを10月13日まで延長すると発表した(Windows IT Pro Blogの記事Neowinの記事SlashGearの記事Computerworldの記事)。

Windows 10 バージョン1709ではHome/Pro/Pro Education/Pro for Workstationの4エディションが昨年4月9日にサポートを終了しており、Enterprise/Education/IoT Enterpriseの3エディションは今年4月14日のサポート終了が予定されていた。サポート延長の理由としてMicrosoftでは、現在の公衆衛生に関する状況を評価した結果、ユーザーの直面する多くの問題の一つを緩和するためと説明している。

なお、GoogleはChrome 81の安定版リリース延期を発表しているが、Microsoftもこれに合わせてChromium 81ベースのMicrosoft Edge 81安定版リリースを延期し、当面はEdge 80のセキュリティおよび安定性向上に注力するとのことだ。
14129888 story
暗号

Let's Encrypt、証明書およそ300万件の強制失効処理を取りやめ 39

ストーリー by headless
影響 部門より
Let's Encryptでは標準に準拠せずに発行した可能性のある証明書およそ300万件を3月5日12時までに失効させる計画を示していたが、最終的に取りやめたそうだ(Let's Encrypt Community Supportの記事[1][2]MozillaのBugzillaArs Technicaの記事The Registerの記事)。

この問題はLet's EncryptのCAソフトウェアBoulderがCAAレコードを再チェックするコードのバグが原因で発生した。Let's Encryptではドメイン所有者確認を30日間有効としているが、CAAレコードは証明書発行の8時間以内のチェックが必要だ。そのため、ドメイン所有者確認から8時間以上経過した証明書発行申請に対してはCAAレコードの再チェックが行われることになる。しかし、申請にN個のドメインが含まれていた場合、Boulderは1個のみを選択してN回チェックしていたとのこと。これにより、ドメイン所有者確認後にLet's Encryptによる証明書発行を禁ずるCAAレコードがインストールされたドメインにも証明書を発行していた可能性がある。

Boulder にバグが追加されたのは2019年7月25日で、バグは2月29日に確認された。影響を受ける可能性のある証明書の大半にセキュリティリスクはないとみられるが、標準に準拠せずに発行した証明書は失効させる必要があるという業界の取り決めに従い、Let's Encryptが発行したアクティブな証明書の2.6%に相当する3,048,289件の失効処理を3月5日5時に開始すると発表。CAAレコードでLet's Encryptによる証明書発行が禁じられていた445件の証明書をはじめ、既に置き換えられているものや使われていないもの計1,711,396件はコンプライアンス期限の5日12時までに失効処理を完了した。しかし、残る1,336,893件のうち65%はインターネットスキャンで使用中であることが確認され、あとの35%は状態を確認できなかったとのこと。

そのため、強制的に証明書を失効させない方がインターネット利用者の利益にかなうと判断したそうだ。その後、295,799件の証明書を6日までに失効処理しており、37,499件は失効処理する前に期限切れになったという。Let's Encryptが発行する証明書の有効期限は90日間であり、影響を受ける証明書は今後、毎日数千~数万件が有効期限を迎えることになる。失効処理を行わなくても5月29日にはすべて期限切れとなるが、利用者に影響を与えないと確信し次第、より多くの証明書の失効処理を行う計画とのことだ。
14124955 story
セキュリティ

WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 15

ストーリー by hylom
よく見つけられるなあ 部門より

無線LANチップの脆弱性を悪用して暗号通信を傍受する手法が公開された。この手法は「Kr00K」と呼ばれており、さまざまなデバイスが影響を受けるという(PC WatchESETの発表welivesecurity、、ESETによるホワイトペーパー)。

特定の無線LANチップではセッションの切断(ディスアソシエーション)時に、不具合によってその値がすべて0の暗号鍵でデータが送信されてしまうという。BroadcomおよびCypress製の無線LANチップでこの脆弱性が確認されており、ESETの検証では複数のApple製品やGoogle Nexusシリーズ、Samsung Galaxyシリーズ、Raspberry Pi 3、AmazonのEchoやKindleなどで問題が確認されたとのこと。

すでに主要メーカーはパッチのリリースを行なっているとのことで、メーカーからの告知を確認した上でアップデートやファームウェア更新を行うよう注意喚起が行われている。

14129444 story
インターネット

Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 17

ストーリー by headless
放置 部門より
エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事BetaNewsの記事The Registerの記事)。

サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。

Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。
14131607 story
AMD

セキュリティ研究者ら、AMD CPUの新たな脆弱性を発見したと報告。AMDは否定 25

ストーリー by hylom
結局どっちなんだ 部門より

研究者らが、2011年以降のAMDプロセッサーにおいて2種類の脆弱性を発見したと発表した(Engadget日本版窓の杜ZDNet)。

これらはAMDプロセッサのL1Dキャッシュの挙動に関するもので、これを悪用することでデータ漏洩もしくはデータに関する手がかりを得ることができるという。

なお、AMDはこれら脆弱性は新しいものではなく、すでにリリースされているパッチで緩和できると述べているが、研究者らはこれに対しAMDの反応はミスリーディングを誘うものだと否定している。ただ、以前問題となったMeltdownなどの脆弱性と比較すると影響は小さいとも述べられている。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...