パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

2022年のセキュリティ人気記事トップ10
15583365 story
ネットワーク

個人向けの自宅ルーターはいつまで使える? ルーターのサポート期限問題 133

ストーリー by nagazou
扇風機みたいに本体にサポート期限シール貼るとか 部門より
あるAnonymous Coward 曰く、

自宅から固定回線でインターネットに繋ぐ場合はゲートウェイルーターはほぼ必須ではあるが、そのセキュリティは果たして大丈夫なのかという問題がNHKのトピックとなった(NHK)。国内にあるおよそ19万の機器がインターネットを通じて外部からアクセスできる状態になっていて、このうち14万台近くがすでにサポートが終了していたり最新のソフトウエアに更新されていないとのこと。横浜国立大学の吉岡克成准教授の実験でルーターの情報を書き換えることが実証され、悪用されると不正なサイトに誘導されるおそれがある。

吉岡教授いわく家庭用ルーターを安全に使うための対策として
(1) 初期設定の単純なIDやパスワードは変更する
(2) ソフトウエアを常に最新の状態に保つ
(3) サポートが終了している機器は買い替えを検討する

とのことだが、問題は(3)のサポートが終了しているかの判断が不明瞭なことだとタレコミACは懸念している。コレガのサポート期間短縮やNECの完売から7年後までが守られていないとスラドでは話題になったのを諸氏は覚えているように、現にメーカー任せとなっていて一般人でも判断ができないという問題がある。コンシューマ向けルーターはWifi6やIPoE対応で買い替えの機運があるが、それが必要と思っていない家庭は買い替えまで進まない。そんな家庭にどう言えばいいのかお聞かせ願いたい。

15592308 story
Google

IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 70

ストーリー by nagazou
終了 部門より
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。

なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類を使用する新しいログイン操作しか受け付けなくなるとしている。
15754712 story
SNS

一部韓国車にUSBケーブルだけで始動できる問題が発覚。米国で盗難が多発 66

ストーリー by nagazou
遊び半分でやってしまっているそうです 部門より

米国で韓国車の盗難が大幅に増加しているそうだ。原因はTikTok上でトレンドとなった「起亜チャレンジ」で、韓国の起亜自動車と現代自動車の一部車種の盗難が増加しているという(NextSharkNews4JAXの動画かいこれ!)。

両社の自動車にUSBケーブルまたは電話充電器を使用することで簡単に車を始動することができるバグがあることが発覚、この手法がSNSで拡散したことにより、韓国車の盗難件数が全米で急上昇したようだ。米国のルイビルメトロ警察署の発表によれば、7月1日から7月25日までの間に52台の車両が盗難されたという。この52台は起亜と現代製のものが半々であるとのこと。

15554043 story
バグ

Polkit に 12 年前の最初のバージョンから存在した脆弱性「Pwnkit」 35

ストーリー by headless
境界 部門より
主な Linux ディストリビューションに標準でインストールされるツールキット Polkit (旧名: PolicyKit) の最初のバージョン (12 年前) から存在したメモリ破損の脆弱性 (CVE-2021-4034) について、発見した Qualys が解説している (Qualys Security Blog の記事Red Hat のアドバイザリーNeowin の記事Ars Technica の記事)。

Qualys が Pwnkit と名付けた脆弱性は非特権ユーザーがrootの権限でコマンドを実行できるようにする Polkit の コマンドラインツール pkexec に存在する。pkexec の main() 関数ではコマンドライン引数の数 (argc) を適切に処理せず、常に 1 以上として扱うため、引数リスト (argv) が空の状態でも境界外のメモリを引数 (argv[1]) として読み書きしてしまう。

境界外の直近にあるのは 1 つ目の環境変数 (envp[0]) であり、pkexec は読み取った値を実行ファイルの名前として PATH 環境変数で指定されたディレクトリを探し、一致する実行ファイルが見つかったらパスを付加して envp[0] を上書きする。これにより、通常は main() 関数実行前に除去される「安全でない」変数を pkexec の環境に再導入することが可能であり、悪用することでローカルでの権限昇格が可能になる。

Polkit では argc が 1 未満の場合に処理を終了する修正を行っており、修正済みの Polkit パッケージが入手可能になり次第更新することが推奨される。
15588093 story
セキュリティ

NVIDIAのプロプライエタリ情報を盗み出したハッキンググループ、ドライバーのオープンソース化を要求 36

ストーリー by headless
要求 部門より
2 月に NVIDIA のネットワークに侵入してプロプライエタリ情報を盗み出したハッキンググループ Lapsus$ が同社に対し、現行および将来の GPU ドライバー (Windows / macOS / Linux) をオープンソース化し、FOSS ライセンスで公開するよう要求している (Ars Technica の記事Mashable の記事Android Police の記事Computing の記事)。

同グループは先に NVIDIA のドライバーから暗号通貨採掘のハッシュレート制限機能 LHR を削除するよう要求していたが、それに加えてドライバーのオープンソース化を要求することにしたという。期限は金曜日 (4 日。日本時間で 5 日) までとなっており、オープンソース化の要求に応じなければ企業秘密を含む GPU 等のファイルを公開すると脅している。

NVIDIA は 1 日に公開したサポート記事で攻撃を受けたことを認めており、攻撃者が従業員のパスワードを使ってプロプライエタリ情報を盗み出したことを明らかにしているが、ランサムウェア被害にあったことは否定している。同社の対応としてはセキュリティ強化や従業員全員に対するパスワード変更要求、当局への通報といったもので、業務やサービスには影響しないとのことだ。
15710090 story
プライバシ

尼崎全市民の個人情報USBメモリが流出。設定されたパスワードの桁数を会見で公表→発見される 180

ストーリー by nagazou
やらかし 部門より

6月23日、兵庫県尼崎市は全市民の住民基本台帳などのデータが入ったUSBメモリを紛失したと発表した。USBメモリの中には住民基本台帳に記載されてる情報のほか、生活保護や児童手当を受けている世帯の口座情報なども保存されていたとされる。発表ではUSBのファイルはパスワードをかけて暗号化処理されていたことから、23日11時時点では漏えいは確認されていないとされている(神戸新聞NEXTNHK日経新聞TBS NEWS DIG)。

ところが尼崎市による記者会見の際、USBメモリに設定されたパスワードの桁数に関して職員がバラしてしまうという大失敗を犯している。ネット上ではその公開された桁数を元に、地名や日付を組み合わせてパスワードを推測する行為などもおこなわれていたようだ(ITmedia)。

この騒動に合わせて、「尼崎のUSB」なるものがメルカリに出品されていたことも報じられている。おそらくイタズラだと思われるが商品の説明では、

先日から尼崎で使用しているUSBメモリです。パスワードを書けたまま忘れてしまい、中を開くことができないのでお譲りします。諸事情により、中のデータはそのままで出品いたしますので、新しく使用したい場合は、お手数ですがそちらで初期化の手順を踏んでください。

といった内容が書かれていた。価格は尼崎市の人口に合わせて45万2600円に設定されていた。なおこの出品は現在削除されているとのこと(FNNプライムオンライン[動画])。この出品物に関しては、尼崎側が偽物であると判定したとのこと。なお紛失した従業員は当日、居酒屋で酒を飲み泥酔、午後10時半に店を出ると、午前3時ごろまで路上に寝ていたことが新たに報じられている(FNNプライムオンライン)。

追記:尼崎市は24日、紛失したとされていた市はUSBメモリーが発見されたと発表した。市は委託業者から電話連絡があり、鞄とともに発見されたとしている。発見された経緯などについては不明(読売テレビニュースYahoo!ニュース)。

15544396 story
テクノロジー

AMDのCPUには一度書き込んだら消去不能なOTPメモリが搭載されている 108

ストーリー by nagazou
正常な仕様なんだけどね 部門より
AMDが提供している「Platform Secure Boot(PSB)」は、同社製CPUの一部を他のシステムで使用できないようにするセキュリティ機能。このPSBがLenovo製PCの一部でデフォルトで有効化されているという。具体的にはLenovoの一般ユーザー向け製品とAMD Ryzen Proの組み合わせで有効化されているそうだ。問題はこのPSBが一度でも設定されてしまうと、そのCPUは設定されたメーカー以外のPCでは動作しなくなる点。このため特定メーカーでしか動作しないベンダーロックされたCPUが中古市場に出回るようになってしまったらしい。ロックさせた製品は外観では見分けが付かないことも問題になっている模様(Serve The HomeCloudflareredditGIGAZINE)。

あるAnonymous Coward 曰く、

組込屋的にオオッと思ったニュースを一つ
AMDのCPUにはセキュリティ関係の目的で一度書き込んだら消去不能なOTPメモリが搭載されているそうです
自分が明確に意図したつもりは無いのに、勝手にデバイスに消去不能なID設定みたいなことがされるとはちょっと薄気味悪い気もします

FPGAなどのデバイスにはかなり前から同様にセキュリティ用途の再書き込み・消去不能・ユーザー回路/アプリケーションからは読み出し不可能なメモリ/ヒューズが搭載されているのですが、PC用プロセッサでは初耳でした(IntelのCPUはどうなんでしょ?)
通常この種のメモリには普通のCMOSプロセスで製造可能で、書き換え可能とした場合の読み書き保証回数は1000回程度のものが使われています

15537932 story
スラッシュバック

ICカード式コインロッカーから窃盗相次ぐ。勘違いを起こすUIが原因との指摘から改善案も 113

ストーリー by nagazou
ぶっちゃけアナログ式でいいじゃんって気も 部門より

朝日新聞の記事によると、交通系ICカードをキーとして利用できるタイプのコインロッカーが出回っているが、そこから荷物の盗難が増加しているという。このタイプのロッカーでは、施錠完了の前に「使用可」のランプが消えることから、ロックしたと勘違いして被害に遭う事例があるとされ、同様の被害が増えているそうだ(朝日新聞)。ユーザーインターフェース的に問題があるような気がするとの指摘が出ており、はてなブックマーク上でこの問題に対する改善案の提示が行われている(はてなブックマーク)。改善案込みの人気コメントとしては、

最初にカード認証してから空きロッカーの扉が開く仕組みにしなきゃだめ。旧式のコインロッカーの延長線で開発するから変な手順になってミスが起こる。

施錠完了前にランプを消してしまうのではなく,点滅させるなど作業が完了していないことをわかりやすくするといいと思う。

といったものが出ている。

15610130 story
SNS

揚陸艦入港を報道で自慢したロシア軍。ウクライナに揚陸艦を撃沈される 107

ストーリー by nagazou
Twitterでアップした写真で自宅バレみたいな 部門より
ウクライナ海軍が24日、南部ベルジャンスク港で、停泊中だったロシア軍の大型揚陸艦を破壊したと発表した。同港には複数隻の揚陸艦がいたが、破壊した艦船は「サラトフ」だったとしている。なお同じく揚陸艦の「ツェーザリ・クニコフ」と「ノボチェルカスク」にも損傷を与えたとしている(CNNニューズウィーク日本版AFPBB Newsnews.com.au[動画]Radio Free Europe/Radio Liberty[動画])。

同港での車両陸揚げの様子は、ロシア国営メディアの「ロシア・トゥデー(RT)」で報道されていた。この報道の様子からウクライナ軍によってターゲットとなり、攻撃されたものとみられている。ウクライナ側は攻撃方法を発表していないが、弾道ミサイルを使用したとも言われている。ベルジャンスク港はロシア軍に占領された施設で、港のインフラを無傷のまま入手していたことから、ロシア軍の南部側の物資輸送の拠点の一つであるとして宣伝していた模様。
15545325 story
ニュース

施錠された郵便受けを勝手に開けて入らない定形外郵便を配達して問題に。埼玉 119

ストーリー by nagazou
個人宅の郵便ポストって小さいからねえ 部門より
昨年12月に埼玉県内の郵便局で、配達員が施錠された郵便受けを勝手に開け、定形外郵便を入れていたというトラブルが起きていたという。NHKの情報提供窓口「ニュースポスト」に投稿されたもので、投稿主の女性は3回同じことが続いたとしている。この郵便受けはダイヤルを回し、数字を合わせることで開閉するタイプだったそうだ(NHK)。

NHKがこの件に関して日本郵便に問い合わせたところ、該当地域を担当する配達員が、荷物が郵便受けに入らない大きさだったことから、施錠されていた郵便受けを勝手に開けて入れていたと話しているという。日本郵便は不適切な行為であると認め、各郵便局に対して再発防止を求めたとしている。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...