パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2023年3月のセキュリティ人気記事トップ10
16536547 story
スラッシュバック

「w6!j38?pa7J」と「CanYouCelebrate?」ではどっちが強力なパスワードか? 152

ストーリー by nagazou
回答の解説が悪いのでは 部門より

しんやさんのツイートによると、とあるセキュリティ研修で

問:下記のどちらが強力なパスワードですか? という問題が出たようだ(しんやさんツイートTogetter)。

1.「w6!j38?pa7J」
2.「CanYouCelebrate?」

この問題の正解は「2」。説明によると、

1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。

とのことだったようだ。このセキュリティ研修の問題はあちこちの企業で使われているらしく、Twitter上では「全く同じ問題出てみんな間違えてた」とする声が相次いでいた模様。

一方で2で正解なのが当然だとする指摘も出ている。その理由としてエクスリさんは

2は字数長い、全角半角記号まで使っている、生体情報的な単語がない、辞書攻撃リストにはあまりない文と固さの条件整っている上で忘れにくいわかりやすさだからなぁ

と解説している。また1のような複雑過ぎるパスワードは、メモされて画面やキーボードの裏とかに貼られたりする傾向があり、ソーシャルハックに弱いとする指摘もあった。

16519322 story
Windows

Windows 11 Insider Preview、VBScriptが削除可能なオプション機能に 54

ストーリー by headless
削除 部門より
Microsoft は 2 日、Windows 11 Insider Preview ビルド 25309 を Dev チャネルでリリースした (Windows Insider Blog の記事Neowin の記事)。

Windows Insider Blog の記事ではアナウンスされていないが、本ビルドでは VBScript がオプション機能としてアンインストール可能になっている。VBScript 機能をアンインストールするには、「設定」の「アプリ>オプション機能」で「VBSCRIPT」を選択して「アンインストール」をクリックすればいい。これにより、VBS ファイルの関連付けは削除され、HTA ファイルの VBScript も機能しなくなる。アンインストール後にオプション機能として再度追加することは可能だ。

VBScript は Internet Explorer (IE) でスクリプティングエンジンの一つとして導入されたが、Microsoft Edge を含めて他のブラウザーではサポートされず2019 年には IE11 でも無効化された。現在もローカルの Windows Scripting Host スクリプトや HTML アプリケーション (HTA) などで実行可能だが、脆弱性を含む可能性があり、Microsoft では代替がない場合を除き使用を推奨していない。

このほか本ビルドでは、ビルド 25281 で発見された新しい音量ミキサーのロールアウトが始まっている。ただし、現在は一部のデバイスで有効にしてフィードバックを受け付けている段階であり、Dev チャネルの全デバイスで利用可能になるまでには少し時間がかかるようだ。
16542445 story
Windows

Windows 11、設定にかかわらずデバイスが脆弱だと警告され続ける問題 39

ストーリー by headless
警告 部門より
Windows 11の「Windowsセキュリティ」でローカルセキュリティ機関 (LSA) 保護機能のオン・オフにかかわらず、オフなのでデバイスが脆弱だと警告され続ける問題が発生している (Microsoft Learn の記事The Register の記事Ghacks の記事BetaNews の記事)。

この問題は Windows 11 バージョン 22H2 で「Update for Microsoft Defender ウイルス対策マルウェア対策プラットフォーム — KB5007651 (バージョン 1.0.2302.21002)」のインストール後に発生するという。

バージョン 1.0.2302.21002 をインストールすると、Windows セキュリティの「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」と警告が表示される。このオプションをオンにすると「この変更を適用するにはデバイスを再起動してください。」と表示されるのだが、再起動後にも警告は消えず、再起動の要求も表示されたままになる。通知も表示されるような説明になっているが、手元の環境では確認できなかった。なお、警告には「無視」というリンクがあり、クリックすることで警告表示を消すこともできるが、再起動要求が消えることはない。

Microsoft によれば再起動後は警告を無視できるとのことだが、実際に保護が有効であるかどうかはイベント ビューアーの「Windows ログ」でイベントID 12 のイベントを確認する必要がある。イベントID 12で「LSASS.exe がレベル 4 で保護されたプロセスとして起動されました。」というイベントが記録されていれば LSA 保護は有効だ。Microsoft は問題の解決に取り組んでいるといい、更新プログラムがリリースされるまではこの状態が続くことになる。
16519538 story
スラッシュバック

LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 14

ストーリー by headless
更新 部門より
昨年 8 月に発生した LastPass の開発環境への不正アクセス11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事Android Police の記事)。

LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。

LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みCVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。
16543536 story
インターネット

QRコードにレーザーを照射し、任意の時間帯だけ別URLへ誘導するハック 36

ストーリー by nagazou
遠距離だとスナイパー並みの腕が必要な気が 部門より
東海大学の研究チームは、遠隔からレーザー光をQRコードに当て一時的にだけ偽装QRコードに変える攻撃をすることで、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する手法を考案したという。QRコードの誤り訂正機能を悪用、レーザー光を照射したときにだけ高確率に悪性サイトへ誘導するように設計されている。この方法を用いればQRコードを撮影しているときに遠くからレーザー光で照射。別の悪意あるサイトへ誘導することが可能になるとしている(ITmedia)。

以前から正規QRコードを外部から書き換える方法に関してはいくつか提案されてきたそうだ。正規QRコード上に偽装QRコードのステッカーを張り付ける方法や、QRコードの特定部位をマジックなどで塗りつぶす方法などが提示されてきた。しかし、こうした方法は継続して偽装QRコードに書き換わってしまうことから、偽装QRコードだと発見されやすい欠点があった。今回の方法は一時的に正規のQRコードを書き換えるため、一部のユーザーにしか悪性サイトに誘導されない。このことから、偽装QRコードだと見抜かれにくい特徴を持つとしている。
16522628 story
プライバシ

中国国内で販売されているAndroidスマホ、常時データ収集を確認したとの研究 38

ストーリー by nagazou
仕様 部門より
中国は現在、Android OSのスマートフォンユーザー数が最も多い国となっている。複数の大学のコンピューター科学者が、静的および動的なコード解析技術を組み合わせて実施したプリインストールされたシステムアプリによって送信されたデータを調査したところ、XiaomiやOnePlus、Oppo Realmeなど中国で人気の高いスマホのメーカーすべてで、ユーザーデータが大量に収集されていることが判明したという(Android OS Privacy Under the LoupeGIZMODO)。

これらのパッケージが多くが、ユーザーのデバイス (永続的な識別子)、位置情報 (GPS座標、ネットワーク関連の識別子)、ユーザープロファイル (電話番号、アプリの使用状況)、および通話履歴などのプライバシーに関わる情報を、同意や通知なしに多数の第三者ドメインに送信していたとされる。
16517149 story
SNS

スラムダンク映画のLINEスタンプの非公開URLが流出しSNSで拡散 42

ストーリー by nagazou
流出 部門より
漫画スラムダンクの映画「THE FIRST SLAM DUNK」用に用意されていたLINEスタンプが、準備段階で一部の暴露サイトがURLを公開してしまいツイッターなどで拡散された。その結果、準備段階のまま多くの人の目に触れたとして話題となっている。結局、同映画の公式Twitterが流出したLINEスタンプを本物だと追認するコメントを出している。なおスタンプは全8種類で、配布期間は5月23日までとのこと(THE FIRST SLAM DUNK LINEスタンプ公式リンク)。流出の経緯などについてはひさろぐ分館の記事が詳しい(スポニチITmediaひさろぐ分館)。

このLINEスタンプは、通常検索では検索されないよう設定をしていたとされる。そのため公式の発表段階ではLINEスタンプショップの新着には表示されないなどの問題も起きていたようだ。こうした混乱により、リークサイトや拡散したユーザーのせいで公式が予定していた企画が潰れたかもしれないなどと批判する声も出ている模様。
16518969 story
バグ

米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 20

ストーリー by headless
責任 部門より
米バイデン-ハリス政権は 2 日、すべての米国人が安全なデジタルエコシステムのすべての利点を確実に享受できるようにする国家サイバーセキュリティ戦略を発表した (ファクトシートThe Verge の記事Ars Technica の記事戦略全文: PDF)。

現在のサイバーセキュリティ防御では個人や中小企業、地方自治体などの負担が大きい。どのように優れたセキュリティソフトウェアでもすべての脆弱性を防ぐことはできないことを認識したうえで、ソフトウェア開発時に適切な注意を怠った者に責任を負わせる必要があるという。ソフトウェアを開発する企業には革新を行う自由が必要なのと同時に、消費者や企業、重要なインフラ提供者への注意義務を果たせなければその責任を負う必要もある。

その責任はエンドユーザーや、商用製品に組み込まれたオープンソースコンポーネントの開発者ではなく、被害を減らすための対策を実施する能力の最も高い利害関係者に移動する必要があるとのこと。これにより、イノベーションとスタートアップ企業や中小企業が市場のリーダーと競うことのできる能力を維持しつつ、市場がより安全なソフトウェアを作り出すようになるとのことだ。
16522658 story
インターネット

企業のWebブラウザの半数以上は設定ミス状態。LayerXレポート 37

ストーリー by nagazou
IE使っているのも設定ミスカウントかな 部門より
セキュリティベンダーであるLayerXが公開した2023年のWebブラウザに関するセキュリティレポートによると、企業のWebブラウザの半数以上は設定ミスをしているという。レポートではプロファイルの不適切な使用やパッチ適用ルーチンの不備などが主な設定ミスとして挙げられており、設定を誤ったWebブラウザからデータが盗まれる可能性があるとしている(2023 Browser Security Annual ReportTECH+)。

またサードパーティ製のSaaSアプリの利用やそのアプリでのIDの利用はデータ損失の第一の原因になると警告している。このほか、従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析。結果として、脆弱なパスワード、設定ミス、SaaSの脆弱性によってデジタルIDの盗難リスクが高まっており、Webブラウザのリスクのほとんどが、企業のアキレス腱となっているとしている。
16537697 story
犯罪

FBI、ハッカーフォーラム運営者「ポムポムプリン」を逮捕 16

ストーリー by headless
逮捕 部門より
サンリオのキャラクター「ポムポムプリン」をユーザー名やアイコンに使用して活動していたハッカーフォーラムのオーナーが米ニューヨーク州ピークスキルの自宅で逮捕されたそうだ (HackRead の記事news12 Westchester の記事Bloomberg の記事The Register の記事裁判所文書: PDF)。

このハッカーフォーラム「BreachForums」は閉鎖された Raidforums の代替として開設されたもので、企業やウェブサイトから盗まれたデータベース 1,000 件近くをホストする現在最も活発なハッカーフォーラムだという。昨年中国で流出した 10 億人規模の個人情報や、1 月に米航空会社から流出した米国の飛行禁止リストも同フォーラムで公開されている。pompomprin は 2021 年に fbi.gov ドメインで偽メールが大量送信された事件の実行者としても知られる人物だ。BreachForums では pompomprin の逮捕を受け、他のシステム管理者が新オーナーとして運営を続けていくと発表している。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...