パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2021年5月のセキュリティ人気記事トップ10
15281222 story
セキュリティ

Yahoo! JAPAN、ついに「秘密の質問」を廃止へ 79

ストーリー by nagazou
詳細な日程はまだ未定 部門より
あるAnonymous Coward 曰く、

Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。

「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。

情報元へのリンク

15292913 story
情報漏洩

恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 46

ストーリー by nagazou
詐欺に狙われそうではある 部門より
ネットマーケティングは21日、恋活・婚活マッチングアプリ「Omiai」で会員情報171万人1756件が流出したと発表した。外部からの不正アクセスを受けたとしている。情報流出の対象となるのは2018年1月31日から2021年4月20日の期間に同サービスに提出された年齢確認書類の画像データ。リリースによると、提出時に求められているのは、主に運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等であるという。6割が免許証の画像データが占めており、そのうち誤って提出されたマイナンバーカードの裏面画像データが1件含まれているとしている(ネットマーケティングリリースBuzzFeed News)。

あわせてネットマーケティングは23日、お問い合わせフォーム内の個人情報が外部から閲覧できる状態にあったと発表した。不具合が起きたのは「ネットマーケティングHP(コーポレートサイト)」内の問い合わせフォームで、前述のOmiaiの問い合わせフォームとは別のものとなっている。先の「Omiai」への外部からの不正アクセスが原因ではなく、システム不具合によるものだという(ネットマーケティングリリースその2)。

流出した期間は2021年5月19日11時から5月22日15時までの期間で、閲覧可能となっていた情報は会社名、部署名、会社URL、名前、フリガナ、電話番号、メールアドレス、お問合せ内容の一部の計8項目。37名の情報が流出したとしている。

あるAnonymous Coward 曰く、

https://www.net-marketing.co.jp/news/5873/
https://www.buzzfeed.com/jp/yutochiba/omiai

件数自体は昨今では特別多いというわけではないが、年齢確認書類としてアップロードされた運転免許証や健康保険証の画像が大量に流出した可能性があるのは影響が大きそうだ。

情報元へのリンク

15284559 story
地球

Tesla、Bitcoin決済による自動車販売を停止 45

ストーリー by headless
停止 部門より
イーロン・マスク氏は13日、TeslaでBitcoin決済による自動車の販売を停止すると発表した(マスク氏のツイートThe Vergeの記事The Guardianの記事The Registerの記事)。

Teslaは3月から米国でBitcoin決済を選択可能にしたばかりだが、Bitcoinの採掘・決済で化石燃料(特に温室効果ガス排出量の最も多い石炭)の急速な使用量増加を懸念しているという。暗号通貨は素晴らしいアイディアであり、将来性が期待されるが、環境に対する大きなコストは受け入れがたいとしている。

マスク氏はTeslaが保有するBitcoinを売却する計画はなく、持続可能エネルギーによる採掘への転換が進めば決済に使用する計画も示した。また、決済当たりのエネルギー使用量がBitcoinの1%未満となる暗号通貨も探しているとのこと。Dogecoin開発者と決済効率を向上させるべく協力しているともツイートしている。

TeslaのWebサイトではBitcoin決済に関するPDFファイルが残されているものの、サポートページのBitcoin FAQ(Googleキャッシュ)や、注文ページのBitcoin決済ボタンは削除されている。
15277028 story
アップグレード

Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 23

ストーリー by nagazou
対策はお早めに 部門より
headless 曰く、

Dellは4日、ファームウェア(BIOS/Thunderbolt/TPM/ドッキングステーション)更新プログラムに同梱されていたドライバーに不十分なアクセス制御の脆弱性(CVE-2021-21551)が存在することを公表した(DSA-2021-088FAQSentinelLabsの記事)。

問題のドライバー「dbutil_2_3.sys」はファームウェア更新プログラムまたはDellのアップデートツールにより、一時フォルダー(%temp%または%windir%\temp)に展開されるもので、権限を確認せずにIOCTLリクエストを受け付けてしまうという。この脆弱性を悪用することで、ローカルでの権限昇格やサービス拒否、意図しない情報開示が行われる可能性がある。

このドライバーは遅くとも2009年からPCやドッキングステーションのファームウェア更新プログラムで使われており、影響を受けるモデルは現在もサービスが行われている381モデルに加え、既にサービスが終了している195モデルと幅広い。SentinelLabsによれば、影響を受けるPCは数億台に上るという。381モデルの最新ファームウェア更新プログラムでは脆弱性が修正されているが、dbutil_2_3.sys自体は削除されないようだ。なお、ドライバーサービス「DBUtil_2_3」のレジストリ設定は最初のWindows再起動時に削除されるため、実際にどの程度影響があるのかは不明だ。

対処方法としては「Dell Security Advisory Update - DSA-2021-088」を実行または手作業でdbutil_2_3.sysを削除し、現在もサービスが行われているモデルでは再導入を防ぐために最新のファームウェアをインストールする。サービスの終了しているモデルではファームウェア更新プログラムを実行するたびにdbutil_2_3.sysの削除が必要になる。

15273905 story
暗号

Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 58

ストーリー by headless
自動 部門より
MicrosoftはHTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加すべく開発を進めているそうだ(Microsoft 365 ロードマップOn MSFTの記事BleepingComputerの記事)。

詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。

現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。
15280066 story
ビジネス

Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 48

ストーリー by nagazou
丸裸に 部門より
CNETの記事によれば、Amazonの偽の商品レビュー詐欺に関与したと見られる、約20万人以上の個人情報が流出したらしい(CNET)。

流出したデータには、約20万~25万人分のユーザーとAmazonマーケットプレイス出品者のユーザー名、電子メールアドレス、PayPalアドレス、Amazonプロフィールへのリンク、「WhatsApp」と「Telegram」の番号などの記録などがあったという。また偽レビューの投稿を受けた顧客と謝礼を支払う出品者のメッセージなども含まれていたとしている。記事内では、サーバーの所有者は不明だが、流出したメッセージが中国語だったことから、中国を拠点とした組織ではないかと推測されている。
15293009 story
バグ

新型オデッセイの便利機能が洗車時にトラブルを引き起こしやすい 91

ストーリー by nagazou
洗車してるとピッピッピ音も聞こえにくくなるのか 部門より
くるまのニュースの記事によると、新型オデッセイのある機能のせいで洗車中に車内が「水浸し」になる事例が出ているという。今のミニバンではパワースライドドアが一般化している。そのパワースライドドアをスマートキーでコントロールする機能が影響しているのだという。

2020年11月以降のマイナーチェンジ以降のモデルでは、スマートキーを携帯したままスライドドアに接近するとセンサー部分のLEDが点灯、手をかざして左右に動かすことでパワースライドドアの開閉させることができる。しかし、車の洗車時には車体を吹いたりするときにこうした挙動を取ってしまうことが多く、いつのまにかパワースライドドアが開いているといった事例が発生しているようだ。一部のガソリンスタンドでは、洗車前に必ず自動開閉機能をOFFにするよう求める注意書きが掲出されているという。
15287430 story
お金

イーロン・マスクに振り回される暗号資産にウォール街が疑問を持ち始める 79

ストーリー by nagazou
インサイダー取引とか引っかからないのだろうか 部門より
Bloombergの記事によれば、イーロン・マスク氏のツイートが、暗号資産市場に大きな影響を与えすぎていることから、ウォール街では暗号資産そのものに対する警戒感が強まっているらしい。先日、マスク氏がテスラ製自動車のビットコイン決済を中止する方針を示したことや、テスラがビットコイン売却を示唆したとも読めるツイートをしたことで、先週はビットコインからの資金流出額が9800万ドルに達したという。これはこれまでで過去最大の流出額だったそうだ。なおテスラによるビットコイン売却はその後に否定されているBloomberg)。

マスク氏の発言は冗談なのか本気なのか不明瞭であり、簡単に相場が変動してしまうビットコインをインフレの回避策として、金の代替となる投資先として見ていいのか、世界2位の富豪はツイッターで冗談をツイートしているだけではないかなどの疑いを持つ見方が資産運用会社などの間で広がっている模様。
15275919 story
マイクロソフト

Microsoft Edge Canary、自動HTTPSオプションのテストを開始 27

ストーリー by headless
実験 部門より
Microsoft Edge Canaryの最新版で、HTTPでのナビゲーション時に自動でHTTPSへ切り替える「自動HTTPS」オプションが使用できるようになっている(Ghacksの記事)。

このオプションを使用するには、「試験段階の機能 (edge://flags/)」「Automatic HTTPS」を「Enabled」に設定する。Microsoft Edgeを再起動すると設定画面の「プライバシー、検索、サービス」に「自動HTTPSを使用してセキュリティで保護された接続に自動的に切り替える」というオプションが追加され、機能のオン/オフのほか、すべてのWebサイトで常にHTTPからHTTPSに切り替えるか、HTTPSをサポートしている可能性が高いWebサイトでのみ切り替える(デフォルト)かを選択可能になる。

なお、動作を確認するにはHTTPSをサポートし、かつHTTPアクセス時にHTTPSへリダイレクトしないWebサイトを使用する必要がある。たとえばInternet Archive首相官邸総務省統計局のWebサイトが該当するが、これらのサイトはHTTPSをサポートしている可能性が高いとは判定されなかった。常にHTTPSへ切り替えるオプションを選択すれば問題なく切り替えが行われるが、この設定ではHTTPSをサポートしないサイト(例: Vine Linux ML)にアクセスするとエラー画面が表示される。HTTPSをサポートしている可能性が高いと判定されるWebサイトを発見したらお教え頂きたい。
15272881 story
インターネット

鹿島建設、サイバー攻撃を受けてデータ流出か。犯行グループは身代金要求 21

ストーリー by nagazou
流出 部門より

各メディアの報道によると、大手ゼネコンの鹿島建設の海外子会社がサイバー攻撃を受けて、取引先の情報といった機密情報が流出した可能性があるという。鹿島建設本体は28日にメディア向けにコメントを出しているようだが、今のところリリースは出していない(NHK読売新聞日経新聞)。

メディアの報道によれば、REvil(レビル)と呼ばれる犯罪グループにより、ダークウェブ上に取引先の収支計画書などが公開されているという。NHKによれば、大手テーマパークの運営会社との秘密保持契約書のほか、労働契約書、それにメールや取引先のリストなどが含まれているとしている。

このREvilは鹿島建設の情報を130万件盗んだと書き込んでおり、5月1日までに身代金を支払わないと売却するとの内容の犯行声明を出している模様。鹿島建設側は情報などの詳細を「当局の捜査に協力中」として明らかにしていないとのこと。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...