パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2021年7月のセキュリティ人気記事トップ10
15341119 story
インターネット

エレコム、2013年と2017年発売のルーターに脆弱性。対応予定はなく使用中止を求める 87

ストーリー by nagazou
要確認 部門より

エレコムは6日、2013年6月~17年12月に発売された無線LANルーターなどの14製品に脆弱性があった判明したと発表した(エレコムPC Watch毎日新聞)。同社は該当製品はサポートが終了していることからアップデートなどの対策予定はないとしている。

リリース文では以下の通りとなっている

対象製品のアップデートサービスは終了しております。お客様が気づかない状態でも悪用される場合がありますのでセキュリティ保護のため対象製品のご利用を中止いただき、現行製品への切り替えをご検討いただけますようお願い申し上げます。

対象となったのは2017年に発売された「WRC-1167FS-W」「WRC-1167FS-B」「WRC-1167FSA」の3機種と2014年発売の製品では「WRC-300FEBK」「WRC-F300NF」「WRC-733FEBK」の3機種。加えて2013年発売の「WRH-300RD」「WRH-300BK」「WRH-300SV」「WRH-300WH」「WRH-300BK-S」「WRH-300WH-S」「WRH-H300WH」「WRH-H300BK」の8機種となっている。

15342292 story
政府

霞が関のFAX利用廃止、反対意見多数で実質断念 110

ストーリー by nagazou
壁は厚い 部門より
河野太郎行政改革担当大臣は先月、全省庁に対して6月末でFAX利用の原則廃止を要請していた(内閣府毎日新聞)。しかし、多数の反対意見が出たことから全廃に関しては断念することになったそうだ(北海道新聞)。

北海道新聞によるとFAX廃止に対して、各省庁から400件程度の反論が届いたという。曰く、民事裁判手続きや警察などの機密性の高い分野でFAXが使われているため、セキュリティーを確保する新システムが必要となるといった指摘があったとのこと。また通信環境が十分ではないことや危機管理に対応するため、複数の回線確保が必要などの声も出ており結局、電子メールに移行すると問題のある部署ではFAXの利用を認める方針に転換することになった模様。
15352979 story
Chrome

Google、Chrome 94 以降で HTTPS 優先モードを導入する計画 54

ストーリー by headless
優先 部門より
Google は14日、Chrome 94 以降で HTTPS 優先モード(HTTPS-First Mode)を利用可能にする計画を発表した(Chromium Blog の記事The Verge の記事SlashGear の記事)。

Chrome では現在、Omnibox にプロトコルを省略した URL を入力した場合に HTTPS 接続を優先して接続するようになっているが、HTTP プロトコルを指定した場合にはサイト側でリダイレクトされない限り HTTP 接続となる。HTTPS 優先モードは HTTP プロトコルを指定した場合でもまず HTTPS で接続し、対応していない場合は HTTP でページを表示する前に全画面で警告を表示するという。

同様のオプションは既にFirefox が搭載しており、Microsoft Edge もプレビュー版(Beta/Dev/Canary)でedge:flagsのAutomatic HTTPS (edge://flags/#edge-automatic-https")を Enabled にすることでオプションが利用可能になる。Google では Chrome 94 以降でテストを行い、デフォルトで有効にするかどうかを決めるとのこと。

また、Chrome 93 では HTTPS 接続時の南京錠のアイコン表示をやめ、ドロップダウンボタンのようなニュートラルな表示に置き換える実験をするそうだ。これは南京錠のアイコンが通信の暗号化を示すだけなのにもかかわらず、サイトが信頼可能であるような印象を与えてしまいことを避けるためだという。その一方で、HTTP 接続時の「保護されていない通信」という表示は維持していくとのことだ。
15363657 story
犯罪

取引先会社のサーバーに公開鍵を勝手に設定、不正アクセスし13時間サイトを閲覧不能に 108

ストーリー by nagazou
全国初 部門より
取引先企業のウェブサイトを閲覧不能にした疑いで男が逮捕された。容疑者は2020年3月8日、運営用サーバーに不正アクセスを行い、13時間にわたって閲覧不能にしたと報じられている。このとき男は端末側に秘密鍵、サーバー側に公開鍵を勝手に設定、外部から不正アクセスを行い閲覧不能にしたとしている。公開鍵認証の不正利用による逮捕者は全国初とされる。男と被害に遭った企業の間では、業務内容をめぐってトラブルがあった模様。なお本人は容疑に対して「思い出せません」と否認しているとのこと(毎日新聞FNNプライムオンライン)。

この件に関しては別の視点の報道も行われている。読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。なお、この男は6と7月にも同社のサーバーに不正アクセスしたとして逮捕されていたしている(読売新聞)。
15346377 story
バグ

カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 94

ストーリー by nagazou
要更新と再生成 部門より
カスペルスキー製パスワードマネージャー「Kaspersky Password Manager(KPM)」に脆弱性が見つかり、新たにCVE-ID(CVE-2020-27020)が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている(KasperskyDonjonThe Register窓の杜 )。

発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。
15346543 story
医療

新潟県のモデルナ製ワクチン約1000回破棄、原因は清掃業者のモップか 112

ストーリー by nagazou
ベタすぎる 部門より
新潟県の立加茂病院で5日、COVID-19ワクチン保管用の冷凍庫の内部温度が約22℃になっていることが見つかり、モデルナ製ワクチン約1000回分が使用不能となったことが報じられている。原因は電源のつなぎ部分が緩んでいたためと報じられていたが、朝日新聞が報じたところによれば、緩んだ原因として清掃業者が「モップが冷凍庫のACアダプターに当たった」と話していることが分かったそうだ。病院の聞き取りでは、清掃業者が3日午後1時30分ごろに清掃に入り、その後の午後1時36分から冷凍庫の温度が上がり始めていたことが分かったとしている(朝日新聞)。
15359270 story
ゲーム

War Thunderのゲーム中の描写は間違っている、とファンが機密文書を公式掲示板に投稿して騒ぎに 65

ストーリー by nagazou
ゲーム熱中症 部門より
多数の戦車・航空機・艦艇などが登場するMMO対戦ゲーム「War Thunder」で、熱心なファンがモデリングのミスを指摘するため、軍の機密文書を公開してしまうというやらかしをしてしまったようだ。報道によると問題となったのは、英国製の主力戦車「チャレンジャー2」。モデルのミスを指摘するため、英国陸軍に所属していた経歴を持つユーザーが、チャレンジャー2のマニュアルの写真を投稿してしまったのだという(War Thunderのチャレンジャー2スレッドUK Defence JournalGIGAZINEGameSparkDNA)。

チャレンジャー2は現役であったことから、デベロッパーのGaijin Entertainmentが英国国防省に確認をとったところ、現在も機密扱いの情報であったことが判明し、削除などの対策を取ったとのこと。ちなみに主砲を支える構造が正確ではないとの主張だったそうだ。同社によると機密扱いではない資料が出てこない限り、指摘されたチャレンジャー2のミスの修正は行わないとしている。
15347365 story
情報漏洩

Amazon Echoは工場出荷状態にリセットしても個人情報が残る 52

ストーリー by nagazou
捨てるときは壊すのが最善 部門より
Amazon Echo等のIoTデバイスも普及して製品も世代を重ねていることから、中古が市場に流れることが多くなった。しかし、ノースイースタン大学の研究者の研究によると中古で流れているAmazon Echo Dotは出荷時状態にリセットされていることは少ないそうだ。このため、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどにアクセスできる事例も多かったそう。また出荷時状態にリセットされていた製品であっても、専門的な知識があれば個人情報を復元することはできたそうだ(ノースイースタン大学研究論文[PDF]PC WatchGIZMODO)。
15363539 story
インターネット

LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 34

ストーリー by nagazou
握手会の動画流出させられた人は悶絶してそう 部門より
LINE関係のトラブルが2件報じられている。台湾で政府要人が利用しているLINEのアカウント約100名分がハッキング攻撃に遭い、個人情報が流出していることが判明した。台湾の内務省刑事局は28日が発表した。ハッキングされたのは台湾の当局者や軍の高官などのアカウントで、暗号化機能が無効化され、個人情報が流出していたとされる。攻撃にはイスラエル「NSO Group」のスパイウェア「Pegasus」が使用されていた可能性があるようだ(中央通訊社NHK日経新聞)。

こちらは日本の話題で、LINEは昨年10月、同社のチケット制ライブサービス「LINE Face2Face」において、外部から特定の方法を使うことで動画がダウンロードできる状態となっていたと発表した。同サービスはコロナ禍でやりにくいトークイベントや握手会の代替イベント向けサービスとして提供されていたもので、アイドルや俳優などと1対1で会話ができた(LINESecurity NEXTケータイ Watch)。

動画には配信者と参加者が見える状態で音声に関してもそのままだったようだ。オンライン握手会の参加者などが写った動画132件が中国の「bilibili」にアップロードされていたことが判明していたという。見つかった動画に関してはすべて削除されたとしている。なお公表まで9カ月かかった理由に関しては、問題発覚時の確認や社内の議論が不十分だったためだとしている。
15339946 story
お金

特殊詐欺の電話にだまされたふりをして犯人の検挙につながれば1万円の報奨金、愛知県 55

ストーリー by nagazou
おとり捜査感あるけど大丈夫なの 部門より
愛知県では1日から詐欺と想定されるような不審電話にだまされたふりをし、警察の捜査に協力した人などに報奨金を支払うという制度が開始されたそうだ。愛知県内のコンビニや金融機関で構成される「愛知県特殊詐欺撲滅プロジェクトチーム」が主導しているもので、先の「だまされたふり作戦」や犯行グループの拠点情報を提供して犯人の検挙につながった場合、報奨金1万円を支払うとしている(NHK東京新聞)。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...