パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2020年7月のセキュリティ人気記事トップ10
14234653 story
アメリカ合衆国

悪玉ハッカーを意味する「ブラックハット」は差別用語か? 米専門家らが議論 130

ストーリー by nagazou
用語もスパゲッティ化 部門より
あるAnonymous Coward 曰く、

セキュリティ業界において「悪玉ハッカー」「善玉ハッカー」を意味する「black hat」「white hat」という用語を置き換える提案に対し、セキュリティ界隈が反発、ちょっとした議論になっている(ZDNet Japan)。

英語圏では現在、黒人暴行死事件を受けて、人種差別に繋がるIT用語を排除する動きが広がっている(関連リンク:英国家サイバーセキュリティセンター、用語「whitelist」「blacklist」を使用中止へGitのデフォルトブランチを「master」から「trunk」に変更する動き)。

Googleのセキュリティ責任者を務めるDavid Kleidermacher氏は米国時間7月3日、世界最大規模のセキュリティカンファレンス「Black Hat USA 2020」での講演を辞退するとともに、「black hat」「white hat」という用語の変更をTwitterで呼び掛けた

しかし、専門家の大多数は同氏の主張に賛同しなかったという。これらの用語は西部劇のお約束(正義の味方役が白い帽子を、悪役が黒い帽子を身に付けること)に由来しており、人種差別や肌の色とは関係がないことが理由として挙げられている。同氏は、由来がどうあれ、こうした用語が「ブラック=悪」「ホワイト=善」という固定観念を生むと反論している。

なお、事件以前から黒人による抗議の声はあるようで、「倫理的/非倫理的なハッカー」を意味する「Ethical / unethical hacker」が価値中立的な用語とされているようだ。

タレこみ子としては和製英語の「ブラックハッカー」「ホワイトハッカー」に違和感を覚えるが、日本にまで飛び火してくることは当分ないだろう。

情報元へのリンク

14245784 story
情報漏洩

保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 51

ストーリー by nagazou
利用者は確認を 部門より
あるAnonymous Coward 曰く、

VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある(Digital Trends)。

各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。

これらのVPNサービスは異なる企業によって提供されていたものの、アプリの配布元はすべて同一の香港の会社だった。また支払いに関してはDreamfii HKという企業だったという共通点があった。さらに各サイトは同じIPアドレスで似たデザインになっていることから、同一提供者によるホワイトラベルだったのではないかとvpnMentorでは予想している。

それぞれのVPNサービスのアプリ名をアプリストアで見てみると、iOS版やGoogle Playでも日本語のレビューが見られることから、日本でも利用者が結構いた可能性があるようだ。利用していた方はパスワード変えるなど対策が必要だろう。

今回データが流出したのは以下のサービス

  • UFO VPN
  • FAST VPN
  • Free VPN
  • Super VPN
  • Flash VPN
  • Secure VPN
  • Rabbit VPN
14251628 story
バグ

セキュリティ対策されていないデータベースを「ニャー」に書き換えるニャー攻撃が相次ぐ 55

ストーリー by nagazou
ぎゃー 部門より
あるAnonymous Coward 曰く、

セキュリティ研究者の報告によれば、ここ2週間ほどの間に、インターネット上に保護されずに公開されている脆弱なデータベースに対して、ほぼ全てのデータが削除された上に「Meow (ニャー)」という猫の鳴き声だけが書き残される「Meow Attack (ニャー攻撃)」が相次いでいるという(GIGAZINESlashdot)。

最初に発見されたのは香港のVPN業者UFO VPNのDBへの犯行で、研究者がDBがインターネット上に公開されている旨を企業とやり取りしていたところ、7月21日にDBのデータが削除され、「meow」の文字が残されているのを発見したという。ニャー攻撃はその後も拡大を続けており、27日現在までに、ElasticsearchやMongoDB、Apache Cassandraも含めて4000件以上が被害を受けたとのこと。

当然ながら、インターネット上に保護なく公開されたDBは以前から攻撃を受けているが、だいたいの場合はランサムウェアで身代金を要求されるか、単純に削除されるかとのことで、わざわざ「ニャー」とメッセージを残していく動機は不明。一方で手段については、スクリプトでProtonVPNを経由して行われているとの分析がされている。発見した研究者は「簡単に攻撃可能なほど無防備なので、面白半分でやっているのでしょう」と語っている。

情報元へのリンク

14250088 story
セキュリティ

Garminの全サービスが停止中、3日経っても復旧せず 40

ストーリー by headless
全滅 部門より
isi 曰く

ウェラブル端末メーカーGarminのサーバーがサイバー攻撃を受けた模様(ZDNetの記事)。

サービスの状況はSystem Statusで確認できるが、現在全サービスがダウンしている。

Garminは23日にコールセンターを含む全サービスの停止を告知したのち3日間沈黙していたが、日本時間26日になってプレスリリースを更新し、FAQページを公開した。FAQページは日本語版も用意されているものの、Garminの日本のWebサイト(https://www.garmin.co.jp/)のトップページにはサービス停止に関する情報自体出ておらず、簡単にはたどりつけない。なお、サービス停止の原因はランサムウェアによるものとの見方が強く出ているが、現在のところGarminではサイバー攻撃を受けたことを認めていない。

14228979 story
バグ

NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 21

ストーリー by nagazou
該当機器の所有者は注意 部門より
80個近いネットギア製のネットワーク製品に脆弱性があること報じられている。脆弱性を悪用された場合、攻撃者に管理者権限で任意のコードを実行される可能性があるとされる(マイナビ)。

あるAnonymous Coward 曰く、

トレンドマイクロが運営するZero Day Initiative (ZDI)は6月15日、NETGEAR製品に幅広く影響する計10件の脆弱性を公開した(JVNの発表)。 この脆弱性はTeam FlashbackのPedro Ribeiro氏とRadek Domanski氏、およびVNPT ISCを通じてd4rkn3ss氏によって報告された。10件中8件はリモートからの任意コード実行が可能となるもので、Web管理画面のCGIプログラムに対するバッファオーバーフロー攻撃などで発生する。JVNによると以下の諸問題のため、影響が深刻化するおそれがあるという。

  1. 当該製品では httpd が root 権限で動作している
  2. Netgear 製品では、バッファオーバーフロー対策に用いられる Stack cookie (カナリア値) が使用されていないものが多い
  3. 本脆弱性の攻撃には認証を必要としない
  4. CSRF 対策のトークンがチェックされる前の段階で本脆弱性の攻撃が可能
  5. 機器の情報が /currentsetting.htm ページを閲覧するだけで取得できるため、攻撃者にとって攻撃対象の選定が容易

すでにZDIによってZDI-20-709の解説と実証コードが公開されているほか、サイバーセキュリティ組織のGRIMMも独自にZDI-20-712に相当する脆弱性を発見・報告しており、その解説実証コードが公開されている。 ZDIでは2019年11月から2020年2月にかけてNETGEARに脆弱性を報告して公表に向けた調整を進めていたが、報告から120日が経過したため、修正プログラムの提供を待たず公表に踏み切ったという。NETGEARは6月18日にセキュリティアドバイザリを公開、一部製品については修正プログラムの提供を開始し、残る製品についてはリモート管理機能をオフにする回避策を推奨している。最大で80種類近くの製品が影響を受ける可能性があり、米CERT/CCが脆弱性の影響を受ける製品一覧とそれらの対応状況をGoogle スプレッドシートで公開している。

情報元へのリンク

14227907 story
Sony

未改造のPlayStation 2で自作プログラムの実行が可能になる新たな脆弱性 15

ストーリー by nagazou
新作ゲーム開発に期待 部門より
headless 曰く、

未改造のPlayStation 2(PS2)で自作プログラム(ホームブルー)を実行可能にする脆弱性が新たに見つかり、これを利用するエクスプロイト「FreeDVDBoot」が公開されている(開発者による解説記事Ars Technicaの記事GitHubリポジトリ)。

利用する脆弱性はPS2のDVDプレイヤーに存在する境界外アクセスの脆弱性だ。細工したIFOファイルを含むDVDメディア(DVD-R推奨)をDVDビデオディスクとして認識させることで、任意の実行ファイル(ELFファイル)を実行可能になる。

GitHubで公開中のエクスプロイトではVTS_02_0.IFOにリネームしたランチャープログラム「uLaunchELF」が起動し、同じディスクに書き込んだELFファイルを選択して起動できるようになっている。uLaunchELFを他のELFファイルと置き換えれば直接起動させることも可能だという。

現在のところ対応するDVDプレイヤーのバージョンは3.10/3.11。すべてのリージョンに対応するが、PS2の言語は英語に設定する必要がある。開発者のCTurt氏は対応言語を増やすことよりも、対応バージョンを増やすことを優先したいと述べている。

PS2のハックは今更という感じでもあるが、コピープロテクトされたゲームのバックアップをプレイすることも可能だという。ネットワークを通じたファームウェアアップデートが一般的になる前のPS2で、このような脆弱性が全盛期に発見されなかったのはソニーにとって幸運だったとArs Technicaは評している。

14243724 story
ワーム

Windows Serverに17年前から存在していたバグが修正される 44

ストーリー by headless
長寿 部門より
Microsoftは7月の月例更新で、Windows Serverに17年前から存在していたワーム可能な脆弱性を修正した(セキュリティ更新プログラムガイド CVE-2020-1350Microsoft Security Response Centerの記事Check Point Blogの記事Check Point Researchのブログ記事Softpediaの記事)。

発見したCheck Point Researchが「SIGRed」と呼ぶこの脆弱性 CVE-2020-1350はWindows Server 2003以降のDNS Serverに存在し、DNSリクエストのSIGレコードを適切に処理しないことでヒープベースのバッファーオーバーフローが発生する。攻撃者は細工したDNSリクエストをサーバーへ送信することで、リモートからSYSTEM権限で任意コードを実行可能になる。

CVSSスコアは10。ユーザーが操作しなくても脆弱性のあるシステム間でワームが拡散する可能性がある。Microsoftではこの脆弱性を悪用した攻撃を確認していないが、悪用される可能性が高いと判断している。この脆弱性の修正を含む更新プログラムはWindows Server 2008 SP2以降、サポートされるすべてのバージョンのWindows Serverに提供されているほか、レジストリでDNSサーバーが受信するTCPパケットサイズを制限する回避策も紹介されている。
14226755 story
医療

製品評価技術基盤機構、新型コロナウイルスに有効な消毒物資の評価結果を公表。次亜塩素酸水は拭き掃除と掛け流しに限定 22

ストーリー by nagazou
一定の条件下で有効 部門より
hylom 曰く、

経済産業省が独立行政法人製品評価技術基盤機構(NITE)に要請して行なっていた、新型コロナウイルスに有効な消毒物資の評価結果をまとめた(経済産業省の発表)。ここでは、以下の界面活性剤と次亜塩素酸水について、新型コロナウイルスに対し有効な消毒効果があると判断されている。

  • 直鎖アルキルベンゼンスルホン酸ナトリウム(0.1%以上)
  • アルキルグリコシド(0.1%以上)
  • アルキルアミンオキシド(0.05%以上)
  • 塩化ベンザルコニウム(0.05%以上)
  • 塩化ベンゼトニウム(0.05%以上)
  • 塩化ジアルキルジメチルアンモニウム(0.01%以上)
  • ポリオキシエチレンアルキルエーテル(0.2%以上)
  • 純石けん分(脂肪酸カリウム(0.24%以上))
  • 純石けん分(脂肪酸ナトリウム(0.22%以上))
  • 次亜塩素酸水(有効塩素濃度35ppm以上)

次亜塩素酸水については、霧状にしての噴霧を行うことで「空間除菌を行う」とうたう製品もあるが、今回有効性が確認されている使い方は「拭き掃除」と「流水で掛け流す」の2通りで、拭き掃除の場合は有効塩素濃度80ppm以上、掛け流しの場合は35ppm以上とされている。いずれも物品の消毒向けとされており

また、いずれも対象物と接触させて消毒する使い方を想定した評価であり、手指等への影響や、空間噴霧の有効性・安全性については評価されていない。

14234034 story
交通

スマホで運転免許証実現ための国際規格案が審議開始。日本から提案 70

ストーリー by nagazou
証明書の機器間移行のことも考えておいてね 部門より
//大本の記事を見るとやや時間が経過しているようですが、直接取り上げられていないこと、先日あったマイナンバーカードに運転免許証の機能を持たせる話とも関係するようなのでので触れておこうと思います。

経済産業省が6月22日に、スマートフォンを身分証明書として利用できる国際規格案が標準化に向けて審議されたと発表した。この規格は日本から提案したもので、複製・偽造・改ざん等を防ぐ国際的な仕組みを整備することを目的としている(経済産業省セキュリティ通信ケータイ Watch)。 日本が提案したものは、今まで国際標準化機構(ISO)・国際電気標準会議(IEC)の合同専門委員会で議論されていたデータ形式や、証明書の発行者や運用者、プロトコルなどの議論に追加するもので、セキュアエリアの信頼度を確認するための仕組みが提示されているという。

この規格が成立し、関連規格が実装された機器が普及すれば、各種免許などを含む身分証明機能を安全に利用できるとしている。経産省のリリースでは2022年に国際標準化を目指すとしている。

先日あったマイナンバーカードと運転免許証を一体化するという報道は、この経産省のリリースの翌日に行われている(時事通信)。この施策についても政府が22年度末に全国民がカードを保有することを想定しているとされており、国際規格案の進展に合わせた内容になっている模様。
14241901 story
バグ

日本ではバッタではなくカメムシが全国に大量発生。今年は果物が高くなるかも 48

ストーリー by nagazou
虫に支配される世界 部門より
あるAnonymous Coward 曰く、

世界ではバッタの大量発生による蝗害が話題になっているが、実は国内でもカメムシ類が大量発生する問題が指摘されている(令和2年度 病害虫発生予報第4号[PDF]読売新聞まいどなニュース)。

農林水産省が発表している「病害虫発生予察情報」でも、6月10日の「病害虫予報第3号」では西日本を中心に14県に注意報が発令、その後の4号となる7月1日版でも6県から注意報が発令、関東や東北などでも発令が確認されている。また14日には群馬県でも発令が確認されている。群馬県での発令は6年ぶりだという。

過去のニュースによれば、昨冬が記録的な暖冬だったことで、冬を越した成虫が大量に発生したのが原因だとしている。カメムシが大量発生するとモモやブドウ、カキ、かんきつ類の果汁を吸い、吸われた果実は商品価値が喪失してしまうとされている。

7月14日時点で病害虫発生予察情報(カメムシ注意報)が発令されている府県は以下の通り
富山、岐阜、愛知、滋賀、兵庫、奈良、岡山、山口、香川、愛媛、福岡、佐賀、長崎、熊本、福島、栃木、長野、石川、京都府、鳥取、広島、群馬

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...