パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2020年8月のセキュリティ人気記事トップ10
14260847 story
Windows

Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 60

ストーリー by nagazou
脅威 部門より
headless 曰く、

hostsファイルでMicrosoft関連ホストを指定すると、Windows Defender Antivirus(Microsoft Defender Antivirus)やMicrosoft Security Essentialsが脅威として検出するようになっている(Bleeping Computerの記事Ghacksの記事BetaNewsの記事)。

Windows Defender Antivirusの場合は変更がリアルタイムで検出されることはなかったが、ファイルを選択してスキャンすると「SettingsModifier:Win32/HostsFileHijack」として検出される。ここで「削除」(デフォルト)または「検疫」を選択して「操作の開始」をクリックするとhostsファイルが再生成されるようで、既定の内容に戻されてしまう。Microsoft Security Essentialsの場合は変更を保存するとすぐに検出され、自動で既定の内容に戻された。

この脅威を解説するMicrosoftの記事は1月に公開されているが、脅威として検出されるエントリの具体的な内容には触れられていない。ただし、6月から更新していなかったWindows Defender Antivirus(Windows 8.1)とMicrosoft Security Essentials(Windows 7)でも検出されたので、最近の変更ではなさそうだ。スラドでは2009年にWindows Defenderがhostsファイルを書き換えるという話題が出ていたが、この時の脅威(SettingsModifier:Win32/PossibleHostsFileHijack)とは別物だ。2012年にはWindows 8のWindows Defenderがhostsファイルの変更をブロックすることも話題になっている。

なお、Bleeping Computerの記事では15件のMicrosoft関連ホストが検出対象として挙げられているが、手元の環境で試した限りでは「www.microsoft.com」「microsoft.com」「us.vortex-win.data.microsoft.com」のいずれかを追加した場合のみ脅威として検出された。また、「www.microsoft.com」と「microsoft.com」に関しては、エントリを追加しても無視されるようだ。

14274694 story
情報漏洩

国際宇宙ステーションで通常よりもわずかに高いレートの空気漏れ、全ハッチを閉じて調査へ 42

ストーリー by headless
圧力 部門より
国際宇宙ステーション(ISS)で通常よりもわずかに高いレートの空気漏れが確認されていることから、今週末に全ハッチを閉じて各モジュールの気圧変化を調べるテストを実施する(NASAのブログ記事)。

ISSはクルーが快適に過ごせるよう与圧されており、常時ごくわずかな空気漏れが発生している。そのため定期的に再与圧が行われているが、昨年9月に標準よりも若干高いレートでの空気漏れが確認されたという。しかし、ISSの運用には船外活動や宇宙船のドッキング・アンドッキングといった作業が伴うため、空気漏れレート増加の判断に十分なデータを収集するための時間がかかったとのこと。

現在ISSに滞在している第63次長期滞在クルー3名(NASAのクリストファー・キャシディ宇宙飛行士、ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士とイヴァン・ヴァグナー宇宙飛行士)は金曜日の夜から月曜日の朝までロシア側の居住棟 ズヴェズダサービスモジュールに滞在する。テスト中は全ハッチが閉じられるがクルーへの危険はなく、小型研究モジュール ポイスクや地球帰還用の有人宇宙船 ソユーズMS-16にはアクセスできる。

ISSでは2018年、ドッキングしていたソユーズMS-09の軌道モジュールに開いた直径2mmほどの穴が原因で空気漏れしている。今回の空気漏れは通常より多いものの基準内に収まっており、直ちにISS滞在クルーへ危険が及ぶことはないそうだ。
14275011 story
Windows

Microsoft、Windows Defender ウイルス対策を無効にするレジストリ設定を削除 30

ストーリー by headless
無効 部門より
Windows Defender(Microsoft Defender)マルウェア対策プラットフォームバージョン4.18.2007.8以降では、Windows Defenderウイルス対策を無効にするレジストリ設定が削除されている(Microsoft Docsの記事Ghacksの記事Softpediaの記事On MSFTの記事)。

このレジストリ設定は「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender」のDWORD値「DisableAntiSpyware」で、これまでは値のデータに「1」をセットすることでWindows Defenderウイルス対策を無効化できていた。元々OEMやIT担当者が別のウイルス対策製品を展開する場合に使用するものだったが、現在は別のウイルス対策製品が検出されるとWindows Defenderウイルス対策が自動で無効化されるため、不要な設定になっていたという。レジストリ設定はグループポリシーで「ローカルコンピューターポリシー→コンピューターの構成→管理用テンプレート→Windowsコンポーネント→Windows Defenderウイルス対策」の「Windows Defenderウイルス対策を無効にします」に対応するため、このグループポリシー設定も無視されることになる。
14258429 story
アメリカ合衆国

米政府、TikTokに9月15日までの米事業売却か廃業の二択を迫る 51

ストーリー by nagazou
翻弄されまくり 部門より
あるAnonymous Coward 曰く、

米国のトランプ大統領は、ユーザーの個人情報を中国に送信しているなどのセキュリティ疑惑からサービス禁止が検討されている動画投稿アプリ「TikTok」について、9月15日までに米事業の売却が成立しなければ、大統領権限により米国事業を禁止することを表明した(ロイターの記事, ブルームバーグの記事, TechCrunchの記事, ITmediaの記事)。

TikTokは中国のByteDance(北京字節跳動科技)社が提供するソフトウェアだが、中国政府による検閲の懸念や、個人情報などが中国政府に送信されるという懸念から、使用禁止を巡る議論となっている。トランプ大統領は元々8月1日にも事業禁止を命令するとしていたが、MicrosoftがTikTok買収の意思を示したことを受けて、今回の話となったようだ。

MicrosoftはTikTokの米国・カナダ・オーストラリア・ニュージーランド事業を買収する方向で交渉を進めているという。一方で、価格などでは合意に至っておらず、またトランプ大統領は「適切な取引でなければならず、米財務省が多額の資金を得るものでなければならない」「30%(米加豪新)と言わず、TikTokのすべてを買収する方が簡単だ」とも語っているため、買収が成立しない可能性もあるなど、TikTokは厳しい決断を強いられそうである。

情報元へのリンク

14277206 story
暗号

国内企業38社のVPNパスワードがダークウェブ上で出回る 33

ストーリー by nagazou
早急に対策を 部門より
日経新聞の記事によれば、国内の38社が不正アクセスを受け、テレワークで使用されていたVPN接続用のパスワードなど流出した可能性があるそうだ。今回VPNの情報が流出した企業は、米パルスセキュアのVPNサービスを使っていたという(日経新聞)。

内閣サイバーセキュリティセンター(NISC)によると、8月中旬ごろにダークウェブで、900者を超える世界中の企業のVPN情報がやり取りされているのが判明したとしている。NISCがこのデータを調査したところ、日本企業38社が含まれていることが分かった模様。

先の記事によれば販売リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があったとしている。今後、この38社を踏み台にして取引先などへの不正アクセスが行われる可能性があると指摘されている。
14255719 story
Windows

Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 42

ストーリー by headless
署名 部門より
Microsoftダウンロードセンターは8月3日から、SHA-1で署名されたWindows向けコンテンツの提供を中止するそうだ(Microsoft Tech Communityの記事Softpediaの記事The Registerの記事)。

SHA-1の危険性は古くから指摘されており、2017年には現実的な時間でSHA-1ハッシュの衝突を生成するShatterd攻撃も発表されている。CA/Browser Forumは2016年からSHA-1のHTTPS証明書の発行を禁じていたが、Internet Explorer 11とMicrosoft Edgeでは2017年5月のアップデートでSHA-1証明書をブロックするようになった。

Windowsの更新プログラムでは昨年、Windows 7/Server 2008/2008 R2およびWSUS向けにSHA-2署名のサポートが導入され、昨年7月以降は更新プログラムのインストールにSHA-2署名のサポートが必須になった。また、それまでデュアル署名(SHA-1/SHA-2)だったWindowsの更新プログラムはSHA-2のみに変更されている(Windows および WSUS の 2019 SHA-2 コード署名サポートの要件)。

なお、Microsoftダウンロードセンターで「人気のあるWindowsダウンロード」をみると、1位の「DirectX エンド ユーザー ランタイム Web インストーラ」はSHA-1のみで署名されており、2位以下はデュアル署名の更新プログラムが多いようだ。
14256250 story
マイクロソフト

Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 34

ストーリー by headless
特定 部門より
Microsoftが7月27日付で公開したドキュメントによれば、Microsoft Defender Antivirus(Windowsセキュリティ)で望ましくない可能性のあるアプリ(PUA)のブロックを有効にすると、CCleanerの特定のバージョンのインストーラーが「PUA:Win32/CCleaner」としてブロックされるそうだ(Microsoft Security Intelligenceの記事Softpediaの記事Ghacksの記事BetaNewsの記事)。

PUAのブロックはWindows 10 May 2020 Update(バージョン2004)で追加された。デフォルトで有効にはなっていないが、「Windowsセキュリティ」の「アプリとブラウザーコントロール→評価ベースの保護設定」で「望ましくない可能性のあるアプリのブロック」をオンにすれば利用可能になる。

問題のインストーラーはCCleanerのフリー版または14日トライアル版で、Google Chrome/Google Toolbar/Avast Free Antivirus/AVG Antivirus Freeといったアプリがバンドルされているものだという。これらのアプリは通常のアプリであり、Microsoft Defender Antivirusが検出することもない。CCleanerのインストーラーではバンドルアプリをオプトアウトするためのオプションも用意されているが、意図せずインストールしてしまう可能性が高いためPUAに区分したとのこと。

ただし、PUAのブロックを有効にした状態でCCleaner最新版のインストーラーをダウンロードしてインストールしてみたが、PUAとしてブロックされることはなかった。インストール時にはAVG Freeのインストールが提案されたのみで、Google ChromeやAvastがインストールされることもない。Google Toolbarのバンドルは2019年6月25日リリースのCCleanerバージョン5.59.7230で削除されている(CCleanerのバージョン履歴)。Microsoftのドキュメントに掲載されているスクリーンショットでは現行版インストーラーに存在しないPiriformのロゴが表示されており、Google Chromeのインストールオプションが表示される画面では「CCleaner v5.59 Setup」となっていることから、古いバージョンのようだ。
14276097 story
オーストラリア

オーストラリア政府、パプアニューギニア設置のデータセンター脆弱性でファーウェイを非難。意図的な不具合か 61

ストーリー by nagazou
ブービートラップ 部門より
大元の記事は8月11日と旧聞に類する話題であるようだが、中国政府の支援でパプアニューギニアに設置されたデータセンターに不具合があったという(piyolog、 読売新聞Capacity大紀元)。

この脆弱性に関しては、オーストラリアのオーストラリア戦略政策研究所(ASPI)の調査で判明したとしている。この設備はパプアニューギニアの政府文書を保管するもので、施設の整備はファーウェイが行っていたという。確認された不具合は「外部からシステムに侵入できる不備」が存在した点。

具体的には、暗号化ソフトウエアがセンターが稼働する2年前の2016年にすでに失効した古いものであったこと、コファイアウォールの設計に問題があり、リモートアクセスを検出する能力がないなどの問題があったという。また資金不足のためこのデータセンターはほとんどメンテナンスされておらず、ソフトウェアのライセンス切れやバッテリーが交換されていないなどの問題が起きているそうだ。

今回のASPIによる調査書は、データセンターにあるパプアニューギニア政府のファイルが盗まれる可能性を示唆しており、これが中国政府のスパイ活動の一端であると指摘している。
14271017 story
アメリカ合衆国

州から依頼されて侵入テストを行ったセキュリティ調査員が逮捕された問題、長引いた原因は州と地元の対立 28

ストーリー by nagazou
ボタンの掛け違い 部門より
あるAnonymous Coward 曰く、

2019年9月、セキュリティ企業Coalfireのスタッフが米アイオワ州からの依頼を受けて同州ダラス郡内にある裁判所のセキュリティ調査を行なったところ、保安官に逮捕されるというトラブルが発生した(過去記事)。最終的にこの2名のスタッフに対する起訴は取り下げられたのだが(今年2月の続報記事)、起訴が取り下げられるまでに時間がかかったのは州政府とダラス郡政府との対立があったためだという(ASCII.jp)。

ダラス郡政府や裁判官は同郡の施設に対しアイオワ州が勝手にセキュリティ調査や侵入テストを依頼したことに対し憤慨、アイオワ州の責任を追及するために様々な手段を検討したという。最終的に逮捕された2名は契約に従って侵入を行なっただけであり法的には責任がないと判断されたが、郡政府側が激しく反発したことや、調査を依頼した州政府側が曖昧な対応を行なったことから起訴された状態が半年もの間続いたという。

なお、記事によると調査が行われた裁判所では簡単に部外者がサーバールーム内に侵入できたり、ロックされていないノートPCが放置されていたり、最終的に逮捕現場となったダラス郡裁判所ではドアが施錠されていなかったりとセキュリティについて不安な状況だったようだが、この問題を受けてアイオワ州最高裁判所は「業務時間外の侵入テストを一切禁止する」と決めたという。

14269537 story
セキュリティ

Snapdragonに400個を超える脆弱性「Achilles」が見つかる。Check Pointが発見 26

ストーリー by nagazou
対処はできそうなのだろうか 部門より
イスラエルのセキュリティー企業であるCheck Pointによると、QualcommのSnapdragonに、400を超える脆弱性が見つかったという。同社はこの脆弱性問題を「Achilles(アキレス)」と名付けている(Check PointPC Watch)。

発見された脆弱性はSnapdragonに含まれているDSPに集中しており、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどを入手可能になるほか、標的型サービス拒否攻撃などにより、保存されているすべての情報にアクセスできなくすることもできるとしている。このほか、マルウェアなどの悪意のあるコードを仕込まれて、削除できなくなる可能性があるとしている。

同社はQualcommにこれらの調査結果を開示、同社はそれを認めたとしている。この件に関連するスマホメーカーなどの各ベンダーに連絡した上で、共通脆弱性識別子(CVE)を割り当てたとしている。具体的には、CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209となっているが、それぞれのベンダーがが対策するまでの期間は、これらの脆弱性に関する技術的詳細を公開しないとしている。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...