パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2022年7月のセキュリティ人気記事トップ10
15736729 story
ストレージ

SATA ケーブルをアンテナとして電波を送り、エアギャップ環境からデータを盗み出す「SATAn」 51

ストーリー by nagazou
電波 部門より
headless 曰く、

SATA ケーブルをアンテナとして用い、エアギャップ環境からデータを盗み出す手法「SATAn」をイスラエル・ベングリオン大学の Mordechai Guri 氏が発表した (論文アブストラクト論文: PDFNeowin の記事)。

インターネットから隔離されたエアギャップ環境でもマルウェアの攻撃に対して無敵ではなく、2010 年の Stuxnet をはじめとして被害が繰り返し報じられている。ただし、エアギャップ環境ではマルウェアの侵入に成功してもデータを外部に送信できない。Guri 氏はこのような環境でデータを外部に送信するさまざまな手法開発しており、SATA ケーブルはその最新の手法となる。今回の実験で使われたのは SATA 3.0 インターフェイスとケーブルの組み合わせだ。

SATA 3.0 ケーブルからは 1 GHz ~ 6 GHz のさまざまな周波数帯域の電磁波が発せられるが、データ転送との強い相関関係がみられたのは 5.9995 GHz ~ 5.9996 GHz の範囲だったという。そのため、マルウェアがファイルシステムアクセスを継続的に実行するシェルコードを用いて発生させた電波に変調・符号化したデータを乗せて送信し、ソフトウェア無線 (SDR) 受信機を搭載したノート PC などで 5.9 GHz ~ 6 GHz の周波数帯域を受信して復調すればデータが得られる。

SATA インターフェイスは多くの PC が搭載しており、データ送信に特別な権限を必要としない。仮想マシン上で実行することも可能だ。このような攻撃を防ぐためには、多層のセキュリティにより最初の侵入を防ぐこと、エアギャップ環境の近くで無線受信機の使用を禁ずることが挙げられている。あまり現実的ではないが、電波の検出やジャミングといった手法も挙げられている。

15721252 story
携帯電話

夏季にモバイルバッテリーを車内に放置するのは危険 70

ストーリー by nagazou
とくに屋根無し駐車場は危険 部門より
Twitter上で30分間モバイルバッテリーを車内に放置したところ火災が発生し、その後の状況写真が共有されている。写真はライター・フォトグラファーのあずささんがアップしたモノで、公開された写真は車のシートが真っ黒に焼け焦げている様子が映し出されている。ツイートによると、昨年の夏に起こした事故だとのことで、車は全損となり廃車にしたとのこと。同氏は車の中にバッテリーを内蔵したカメラなどの機器を放置しないよう注意喚起をおこなっている(あずさ📷ライター・フォトグラファーさんのツイートTogetter)。

あるAnonymous Coward 曰く、

言われればあたりまえだし、モバイルバッテリーに限らずバッテリーを持つ機器は置いちゃダメなのだけど。

15722352 story
spam

従業員がだまされやすいフィッシングメールの件名 50

ストーリー by nagazou
罠 部門より
headless 曰く、

Kaspersky の法人向けセキュリティ啓発プラットフォーム「Kaspersky Security Awaness Platform」のフィッシングシミュレーターが収集したデータによると、荷物が届けられなかったことを通知するフィッシングメールのクリック率が最も高かったそうだ (プレスリリースGhacks の記事)。

フィッシングシミュレーションキャンペーンは 2021 年 1 月~ 2022 年 5 月に実施されたもので、企業の管理者がフィッシングのシナリオを選択し、事前の予告なく従業員に送信・結果を追跡する。収集されたデータは 100 か国の従業員 29,597 人分のものだという。

最もクリック率が高かった荷物の配達に関するフィッシングメールは 18.5 % がクリックしており、Google から電子メールが配信できなかったと知らせるフィッシングメールと、人事部からのアンケート調査を装ったフィッシングメールがそれぞれ 18 % で続く。このほか、会社からの新しい服装規定の通知 (17.5%) や避難訓練の通知 (16%)、予約確認や注文確認 (各11%) 、IKEA のコンテストのお知らせ (10%) のクリック率が高かったとのこと。

逆に受信者に対する脅迫や利益供与といったタイトルではクリック率が低い。たとえば、「あなたのコンピューターをハックして検索履歴を知っている」は 2 %、無料の Netflix や 1,000 ドルを提供するといったものは 1 % にとどまったとのことだ。

15720143 story
セキュリティ

名取市、尼崎USB紛失事件を受け、「個人情報データ持ち出しケース」を導入へ 89

ストーリー by nagazou
これで安心安全 部門より
あるAnonymous Coward 曰く、

宮城県名取市は29日、兵庫県尼崎市のUSBメモリ紛失問題を受け、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表したダイヤルキー付きで移動中の開封を制限するほか、GPSにより位置情報を追跡できるそうだ。ケースは3個導入(1個約1万円)され、担当者が個人情報データを暗号化したDVDなどを持ち運び、受け渡し先に到着したら、ダイヤルキーの番号を市役所から電話で伝えられ開封するという運用法とのこと(河北新報オンラインニュース)。

なんというか「違う、そうじゃない」と言いたくなるようなセキュリティ対策だがスラドの皆様はいかがお感じだろうか?

15740706 story
お金

「Minecraft」がNFT禁止を明言。理念に反する 69

ストーリー by nagazou
禁止 部門より
マインクラフトの開発元であるMojangは20日、「マインクラフトとNFTの統合を認めない」とする内容の声明を発表した。Mojangはマインクラフト上のコンテンツは、コミュニティの誰でもアクセスできる必要があるとし、NFTに紐付くことで限られた人しかアクセスできない仕組みはマインクラフトの精神に反するとしている(MINECRAFT公式による声明GIGAZINEAUTOMATONCNET)。

AUTOMATONの記事によれば、年初にマインクラフトの非公式NFTプロジェクト「Blockverse」が多額詐欺の疑いをかけられた騒動があったことも今回の禁止の決定に影響しているのではないかとしている。
15727054 story
スラッシュバック

Microsoft Office、インターネットから取得したマクロのデフォルトブロックを取りやめ 34

ストーリー by headless
延期 部門より
Microsoft は主要な 5 つの Office アプリケーションでインターネットから取得した VBA マクロの実行をデフォルトでブロックする計画を 2 月に発表しているが、計画は取りやめとなり、静かにロールバックを開始したようだ (BleepingComputer の記事The Verge の記事Neowin の記事On MSFT の記事)。

計画中止は当初、Microsoft 365 のメッセージセンターで管理者向けに通知されるのみだったが、2 月に計画を発表したブログ記事では質問に答える形で変更が明らかにされ、記事本文にもその後追記された。Microsoft Docs の記事にも追記されている。内容としてはフィードバックを受けて変更を取り消し、再度提供すべく準備を進めているといったものだ。計画中止に至った具体的なフィードバックの内容には触れられておらず、Microsoft の広報担当者は追加で発表できるような情報はないと BleepingComputer に回答したという。

ただし、デフォルトブロックのロールアウト以降、Office アプリ内で直接マクロを有効化できなくなったため、混乱したユーザーが多かったようだ。VBA マクロは幅広い攻撃に使われており、デフォルトでのブロックはセキュリティ向上につながると評価される一方、コミュニケーション不足も指摘されていた。
15721222 story
情報漏洩

大規模なクレカ情報流出事故を起こしたメタップスペイメント、行政指導処分に 26

ストーリー by nagazou
処分 部門より
あるAnonymous Coward 曰く、

不正アクセスでカード情報46万人の流出が発生したメタップスペイメントが6月30日、経済産業省より行政処分(改善命令)を受けた。PCIDSSで求められているサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し「High」レベルの脆弱性が複数検出されていたにもかかわらず脆弱性なしと改竄して報告し、適切な対応しなかった結果不正アクセスの影響で流出に至ったとのこと(経済産業省ITmedia)。

また、「会費ペイ」に係るシステムについては令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについてはPCIDSSに準拠していないとのこと。
クレジットカードに関わった者としては身につまされる思いではあるが、あまりにも杜撰すぎて呆れて物も言えない。

この業界に今現在関わっているスラド諸氏も気をつけていただきたい。

行政指導ではクレジットカードのデータセキュリティに関する国際的な基準「PCIDSS」を適切に維持・継続的に運用することを求めたほか、第三者機関の検証を踏まえた再発防止策の策定や実施を求めている。これを受けてメタップスペイメントは7月1日、公式Webサイトで謝罪文を公表した。「行政処分を真摯かつ厳粛に受け止め、改善命令に係る改善措置を速やかに講じて参る所存です」とするコメントを出している(メタップスペイメントITmedia)。

15731729 story
交通

ホンダ車のリモートキーレスエントリーシステムに脆弱性が発見される 26

ストーリー by nagazou
3月のとは別のヤツだそうです 部門より

Security Affairsによると、ホンダの車両に採用されているリモートキーレスエントリー(RKE: Remote Keyless Entry)システムに、Rolling-PWNと呼ばれる脆弱性(CVE-2021-46145)があることが発見されたそうだ。悪用された場合、勝手に車両のロックが解除されたり、車両が始動されたりする危険性がある模様Rolling PWN実演動画GIGAZINETECH+Bleeping Computer)。

最近の自動車のキーレスエントリーシステムは、キーフォブのボタンを押すたびに乱数で一意のローリングコードが生成される。車両側には生成されたコードの時系列をチェックするカウンターがあり、新しいコードを受信するとカウントが増加する仕組み。ただし、誤ってキーフォブを押してしまった場合や、車両が圏外にある場合などのために時系列でないコードも受け付けるようになっているという。

研究者のKevin2600とWesley Li氏は、ホンダ車に使用されているカウンターには、ロックとアンロックコマンドを連続して受けると、カウンターを再同期させる仕組みがあることを見つけ出した。これを悪用すれば無効化したはずの以前のセッションからのコードを受け入れてしまうのだとしている。現在、この問題が確認されているのは以下の車種となっている。

  • Civic 2012年型
  • X-RV 2018年型
  • C-RV 2020年型
  • Accord 2020年型
  • Odyssey 2020年型
  • Inspire 2021年型
  • Fit 2022年型
  • Civic 2022年型
  • VE-1 2022年型
  • Breeze 2022年型
15726393 story
情報漏洩

読売新聞オンラインへの不正アクセス、流出した可能性の高い個人情報は 2,070 件 25

ストーリー by headless
流出 部門より
読売新聞社は 8 日、読売新聞オンラインの会員情報を管理するシステムへの不正アクセスによる個人情報流出を報告し、謝罪した (不正アクセスによる個人情報流出に関するおわびとご報告)。

不正アクセスは当初 7 月 2 日 ~ 4 日に確認され、4 日には一部会員のパスワード無効化5 日には特定した発信元の遮断といった対策を発表していた。しかし、その後の調査で 6 月 25 日 ~ 27 日にも行われていたことが判明したという。

この期間内にログインして個人情報 (登録情報) を閲覧する操作が行われた読売 ID は 7,441 件。このうち不正なログインが強く疑われるものが 2,070 件だったとのこと。個人情報には氏名・住所・電話番号・生年月日・性別・メールアドレスが含まれ、クレジットカード情報は含まれない。該当する会員には個別にメールで連絡を始めているほか、情報流出の可能性がある 7,441 件に含まれるかどうかについては特設ページで確認できる。情報流出の可能性があると判定された場合、電話での問い合わせが必要だ。

今回の不正アクセスでは攻撃者が何らかの方法で入手した ID とパスワードを用いてログインしているといい、会員が外部サイトと共通で使用していた ID・パスワードの組み合わせが外部サイトから流出したとみられる。同社は既に個人情報保護委員会に報告し、警視庁にも被害を申告しており、より一層のセキュリティ強化に努めていくとのことだ。
15734909 story
Google

Google Play、データセーフティ表示義務付けを前にアプリの権限表示を削除 17

ストーリー by nagazou
削除 部門より
headless 曰く、

Google Play でアプリのデータセーフティ表示が義務付けられるのを前に、アプリの権限セクションが削除された (9to5Google の記事Ars Technica の記事Blue Space のブログ記事)。

データセーフティ表示は Apple が 2020 年末に導入した App Store のプライバシー方針情報表示と同様のもので、開発者の自己申告によりアプリが収集または共有するユーザーデータやプライバシー・セキュリティの方針を表示するものだ。Google Play では 4 月から表示が始まっており、7 月 20 日以降は新規アプリと更新アプリで申告が義務付けられる。

アプリの権限セクションは Android の「Play ストア」 アプリおよびウェブ版の Google Play (play.google.com) の両方で削除されている。データセーフティセクションで置き換えるつもりかもしれないが、具体的な権限を確認することはできず、その正確さは App Store と同様に開発者次第となる。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...