パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

15762680 story
情報漏洩

Twilioのフィッシング攻撃者、Signal ユーザー 1,900 人分の電話番号を取得した可能性 2

ストーリー by nagazou
フィッシング 部門より
headless 曰く、

先日発生したフィッシング攻撃による Twilio の情報流出で、攻撃者がメッセージングアプリ Signal のユーザーおよそ 1,900 人分の携帯電話番号や SMS 認証コードを取得した可能性があるそうだ (Signal Support の記事The Verge の記事Ars Technica の記事The Register の記事)。

Signal は Twilio の電話番号認証サービスを利用しており、攻撃者は Twilio がアクセスをブロックするまでの間、取得した電話番号と SMS 認証コードを用いて別のデバイスへの登録を試みた可能性がある。攻撃者は明示的に 3 ユーザーの電話番号を検索しており、そのうちの一人からアカウントの再登録が行われたとの報告を受けているとのこと。

これを受けて Signal では影響を受けた可能性のあるおよそ 1,900 人分のデバイスを登録解除し、引き続き使用するデバイスでの再登録を求めたほか、SMS での通知も行ったという。再登録の要請は 8 月 15 日に行い、16 日には完了したそうだ。メッセージ履歴や連絡先、ユーザープロファイルなどの情報は読み取られていないが、攻撃者がアカウントの再登録に成功していた場合はそのアカウントからメッセージの送受信が行われた可能性がある。

Signal では Twilio やその他のプロバイダーとセキュリティプラクティスの改善を進めているが、ユーザーが自ら防御する方法として登録ロックの使用を推奨している。

15761672 story
インターネット

嫌いな相手に匿名で糞尿を送れるサービスから顧客情報が流出 32

ストーリー by nagazou
利用者数約2万9000件は多いのか少ないのか 部門より
気に入らない相手に動物の糞尿にメッセージを添えて送り付けられるサービス「ShitExpress」が、脆弱性を突かれてデータベースをダウンロードされてしまい、ハッキングフォーラムに一部が公開されてしまったらしい。公開された内容には個人情報のほか「俺の○○の味はどうだった?お前は俺が俺の乱交写真を送る前に俺をブロックしたが……」などのメッセージも含まれていた模様(BleepingComputerTechnoEdgeGIGAZINE)。

このサービスは日本も利用可能な地域に含まれていたそうだ。犯行は投資アプリであるRobinhoodから700万人分の顧客データを盗んだこともあるハッカーのpompompurinで、ハッキングに至るまではいろいろな経緯があった模様。pompompurinはShitExpressの所有者にハッキングについて連絡したとのこと。なおShitExpressは何事もなかったかのように運営を続けているという。

あるAnonymous Coward 曰く、

匿名だからって変なことはしないよう注意しましょう。

15761688 story
インターネットエクスプローラ

Microsoft、IEとEdgeHTMLのTLS 1.0/1.1デフォルト無効化をついに実施へ 26

ストーリー by nagazou
実施 部門より
headless 曰く、

Microsoft が延期していた Internet Explorer (IE) と EdgeHTML のTLS 1.0 / 1.1 デフォルト無効化をついに実施するそうだ (Microsoft Edge Blog の記事Neowin の記事Softpedia の記事)。

メジャーブラウザーは 2018 年 10 月、TLS 1.0 / 1.1 を 2020 年前半にデフォルト無効化する計画を一斉に発表したが、COVID-19 パンデミックの影響で各社それぞれ実施スケジュールを変更している。

Microsoft が再設定したスケジュールでは 2020 年 7 月に Microsoft Edge 84 (Chromiumベース) でデフォルト無効化し、2020 年 9 月に IE とレガシー Edge (EdgeHTML ベース) でデフォルト無効化する計画だった。しかし、予定通り無効化されたのは Chromium Edge のみで、IE とレガシー Edge での無効化はさらに延期された。

今回の計画では 9 月 13 日以降、IE と EdgeHTML で TLS 1.0 / 1.1 をデフォルト無効にする。レガシー Edge は既にサポートが終了しているため無効化計画から除外されたが、EdgeHTML は WebView のレンダリングエンジンとして使われているため対象となっている。

なお、Microsoft では TLS 1.0 / 1.1 をデフォルト無効にするだけで、サポートは終了しない。そのため、必要な場合はグループポリシーやインターネットオプションを使用して再度有効化できる。ただし、Chromium Edge ではバージョン 91 でレガシープロトコルバージョンの有効化を許可するポリシー「SSLVersionMin」が削除されているとのことだ。

15760676 story
AMD

AMDのZen世代全CPUに脆弱性 35

ストーリー by nagazou
脆弱性 部門より
AMDのZen 1、Zen 2、またはZen 3コアを使用するCPUで、サイドチャネル攻撃に対する脆弱性が報告されている。CVE IDはCVE-2021-46778で深刻度は中程度(SQUIP: Exploiting the Scheduler Queue Contention Side Channel[PDF]AMDリリースWCCF TECHTom's HardwarePC Watch)。

ジョージア工科大学やグラーツ工科大学などの研究者らによって発見されたもので、この脆弱性には「SQUIP(Scheduler Queue Usage via Interference Probing)」という名称が付けられている。この脆弱性は同時マルチスレッディング(SMT)が有効な場合に機能するという。攻撃者がスケジューラキューの競合レベルを測定するサイドチャネル攻撃がおこなった場合、機密情報が漏洩する可能性があるとしている。AMDによれば、この潜在的な脆弱性を緩和するためには、ソフトウェアがシークレットに依存する制御フローを回避する、一定時間のアルゴリズムなどを使うことで軽減できるとしており、関連する案内を開発者向けにおこなっているという。
15758709 story
Google

Blogger、19年前の記事のリンク先がマルウェアサイトになったとして非公開化措置 20

ストーリー by nagazou
難しい問題 部門より
Googleのレンタルブログサービス「Blogger」で、19年前のブログ記事のリンク先がマルウェアサイトになっているとして記事が非公開化されてしまうという事例があったそうだ。報告をおこなっているのはdiamond geezer氏で、2003年5月に投稿した記事が非公開にされたとのメールが運営から送られてきたという。非公開になった理由として、該当記事がマルウェアやウイルスに関するポリシーに違反したためだとしている(diamond geezer)。

削除された記事は人気テレビ番組に関する話題を集めたいわゆるリンク集だったようだ。同氏はマルウェアやウイルスにリンクした覚えはなく、同氏はかつてリンクしたサイトが消滅し、ドメインの所有者が悪意のあるユーザーに変わってしまったのではないかと推測したようだ。

そこで問題の記事中のリンクをチェックしたところ、31あったリンクのうち12が完全に消失、9サイトは存在しているものの記事自体はなくなっていた。The Guardianからリンクした4サイトは無事だった。しかし6つのサイトがまったく別のWebページに置き換えられていたという。問題が指摘されたのはこのうちの一つだったとしている。同様の問題はほかのBloggerの投稿者も抱えていると思われる。

あるAnonymous Coward 曰く、

「Bloggerが危険コンテンツへの問題を処理しているのは素晴らしいが、多数の記事が将来公開されなくなるリスクがある」

15757807 story
バグ

Slack、招待リンクを作成・破棄したユーザーのパスワードハッシュを他のメンバーに送信していた 3

ストーリー by headless
招待 部門より
Slack は 4 日、およそ 0.5 % のユーザーにパスワードをリセットしたと通知したそうだ (Slack のブログ記事The Register の記事)。

この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。

このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ~ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。
15756653 story
SNS

Snapchat、保護者が子供の行動を把握できるようにする「ファミリーセンター」機能を発表 4

ストーリー by nagazou
把握 部門より
headless 曰く、

Snap は 9 日、Snapchat のアプリ内に追加する新ツール「ファミリーセンター」を発表した (Snap のブログ記事The Verge の記事Neowin の記事機能紹介動画)。

ファミリーセンターは保護者が子供の行動を把握して子供の安全を保つためのツールだ。オフラインで子供が遊んでいる友達を保護者が知るのと同様に、子供と友達の会話の内容を見ることなく相手を確認できるほか、懸念されるアカウントの報告も可能になるという。

ファミリーセンターを使用するには、保護者が自分のスマートフォンにインストールしたSnapchatアプリで子供を招待すればいい。子供が招待に応じれば、保護者が友達や会話の相手を確認できるようになる。保護者以外でも信頼される25歳以上の家族であれば子供を招待できるという。

ファミリーセンターは今後数週間のうちに利用可能となり、今秋にはコンテンツコントロールなどの機能を追加する予定とのことだ。

15756613 story
プライバシ

Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 34

ストーリー by nagazou
流出 部門より
headless 曰く、

Twitter は 5 日、システムの脆弱性が悪用され、電話番号や電子メールアドレスに関連付けられた Twitter アカウントが悪意ある人物に知られた可能性があると発表した (Twitter のブログ記事The Verge の記事BetaNews の記事HackRead の記事)。

この脆弱性はログインのフローで電話番号や電子メールアドレスを入力すると、既存の Twitter アカウントに関連付けられている場合はそのアカウントが表示されるというものだ。2021 年 6 月の更新で導入されており、2022 年 1 月に脆弱性報告報奨金プログラムを通じて報告を受けてすぐに修正したという。しかし、7 月になってこの脆弱性を悪用して収集したとみられる 540 万人分のデータが 3 万ドルで販売されていると BleepingComputer に報じられ、データのサンプルを調べたところ悪用が確認されたとのこと。

Twitter は影響が確認されたアカウントの所有者に直接通知しているが、影響を受けたすべてのアカウントを確認することはできないことや、特に仮名を使用している人が国家などの監視対象になっている可能性にも配慮してブログで発表することにしたそうだ。既に仮名のアカウントが知られてしまった場合は新たにアカウントを作成するしかないと思われるが、仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう Twitter は推奨している。

15756411 story
プライバシ

Twilio、フィッシングで奪われた従業員の認証情報による不正アクセスで顧客の情報が漏洩 5

ストーリー by headless
認証 部門より
Twilio は 7 日、フィッシングで奪われた従業員の認証情報による不正アクセスで少数の顧客に関連する情報が漏洩したことを発表した (Twilio のブログ記事The Verge の記事HackRead の記事The Register の記事)。

フィッシングは SMS でログインの期限切れやスケジュールの変更などを知らせ、偽サイトの偽サインインページに誘導して認証情報を入力させるというもの。偽サイトは「Twilio」「Okta」「SSO」といった単語を組み合わせたドメイン名だったという。このようなフィッシング SMS は従業員や元従業員から報告されており、幅広く送信されていたようだ。発信元は米国の携帯電話キャリアを使用しており、電話番号を含むデータを従業員の名前と一致させる技術も持っているとみられる。

Twilio では同様のフィッシング攻撃を受けた他社とも協力して携帯電話キャリアに送信を止めるよう働きかけたほか、レジストラントやホスティングプロバイダーに偽サイトを停止するよう働きかけたが、攻撃はキャリアやホスティングプロバイダーなどを切り替えて続けられた。そのため、攻撃者は組織化されて高度な技術を持っていると考えられるとのこと。

Twilio が不正アクセスに気付いたのは 8 月 4 日。セキュリティチームが問題確認後に侵害された従業員のアカウントからのアクセスを無効化し、フォレンジック企業にも調査への協力を依頼したという。データにアクセスされた顧客には個別に連絡しており、Twilio から連絡がない限りは影響なしと考えていいようだ。日本では KDDI ウェブコミュニケーションズが Twilio の代理店となっているが、8 月 9 日 10 時 30 分時点の調査の結果では同社を通じて契約したアカウントに影響を受けたものはないそうだ。

なお、Cloudflareも同様の攻撃を受けて従業員がフィッシングに引っかかったが、同社は全従業員に物理的なセキュリティキーを発行しており、アプリケーションへのアクセス時に必須としていたことで難を逃れたとのことだ (The Cloudflare Blog の記事)。
15756320 story
インターネット

Microsoft Edge、「強化されたセキュリティ」の既定でアクセス数の少ないサイトを防御対象に 16

ストーリー by headless
強化 部門より
Microsoft は 5 日、Microsoft Edge バージョン 104.0.1293.47 を Stable チャネルでリリースした (リリースノートMicrosoft Edge でより安全に閲覧するThe Register の記事Windows Central の記事)。

本バージョンでは「強化されたセキュリティ」モードの既定のオプションとして「基本」が追加されており、JavaScript の JIT コンパイル無効化といった追加の防御機能がアクセスの少ないサイトにのみ適用される。従来の規定のオプションであった「バランス」とは異なり、ユーザーのアクセス頻度は考慮されない。これにより、一般に人気の高いサイトが影響を受けることはなく利用できるとのこと。

なお、強化されたセキュリティモード自体は既定でオフになっている。使用するには Edge の設定画面で「プライバシー、検索、サービス」にある「Web 上のセキュリティを強化する」をオンにすればいい。

このほか、本バージョンでは最初の実行エクスペリエンスで Chrome を使用せず、Google アカウントにログインして Chrome のデータをインポートできるようになっているとのことだ。
15754730 story
日本

自衛隊の兵器開発もアジャイル化 58

ストーリー by nagazou
高度の柔軟性を維持しつつ臨機応変に 部門より
政府は長射程ミサイルとして開発中の地対艦ミサイルに関して、開発完了前でも一定の性能を獲得できた段階で導入する「アジャイル開発」を用いて、配備の時期を前倒しする方針を固めたそうだ。12式地対艦誘導弾の改良型がそれにあたり、計画では12式の約200キロを大きく上回る900~1500キロの射程延長を目標としている。政府は従来は26年度以降の量産・配備開始を目指していたが、23年度以降に前倒しすることを目指すとしている(毎日新聞Yahoo!ニュース)。

あるAnonymous Coward 曰く、

開発完了を待たず100%の性能が得られなくても実戦配備をおこなってアジャイル化・スパイラル開発をおこなうそうです

#射程1500kmの対艦ミサイルを対地攻撃に転用すれば日本列島からソウル、ピョンヤン、台北、北京、南京、ウラジオストックに届く

15754712 story
SNS

一部韓国車にUSBケーブルだけで始動できる問題が発覚。米国で盗難が多発 66

ストーリー by nagazou
遊び半分でやってしまっているそうです 部門より

米国で韓国車の盗難が大幅に増加しているそうだ。原因はTikTok上でトレンドとなった「起亜チャレンジ」で、韓国の起亜自動車と現代自動車の一部車種の盗難が増加しているという(NextSharkNews4JAXの動画かいこれ!)。

両社の自動車にUSBケーブルまたは電話充電器を使用することで簡単に車を始動することができるバグがあることが発覚、この手法がSNSで拡散したことにより、韓国車の盗難件数が全米で急上昇したようだ。米国のルイビルメトロ警察署の発表によれば、7月1日から7月25日までの間に52台の車両が盗難されたという。この52台は起亜と現代製のものが半々であるとのこと。

15754677 story
セキュリティ

アイコンの似たマルウェアが多い正規アプリはSkypeとAcrobat、VLCという調査結果 26

ストーリー by nagazou
色の割合が似てると押し間違いやすい 部門より
headless 曰く、

VirusTotal の報告書「Deception at scale: How malware abuses trust」によれば、似せたアイコンを使用するマルウェアが多い正規アプリトップ 3 は Skype と Adobe Acrobat、VLC だったそうだ (VirusTotal Blog の記事HackRead の記事)。

調査はダウンロード回数の多い正規の Windows アプリケーション 25 本に似せたアイコンを使用するサンプルが対象だ。マルウェアとして判定されたサンプルに占める割合でみると、Skype (28.0 %)・Adobe Acrobat (18.2 %)・VLC (17.6 %) の 3 本で 63.8 % を占め、7zip (11.5 %)・Team Viewer (7.5 %)・CCleaner (5.6 %) を含めると 88.4 % にのぼる。

一方、正規アプリと似たアイコンのサンプルに占めるマルウェアの割合が高いのは Adobe Acrobat・Skype・7zip の 3 本で、いずれも 75 % 以上がマルウェアだったという。具体的な数字は記載されていないが、Adobe Acrobat と似たアイコンのサンプルでは 90 % 以上がマルウェアだったようだ。

15754683 story
日本

店舗の無線LANに侵入、わいせつ画像などを印刷した疑いで書類送検 53

ストーリー by nagazou
エロ画像テロ 部門より
福岡県太宰府市で外部から店舗の無線LANに侵入し、プリンターでエロ画像など約100枚を印刷されたという事件が発生したそうだ。この事件で福岡県大野城市在住の45歳の男が業務を妨害した疑いで書類送検されたという。容疑者は動機に関して「数年前から勉強したネットの知識を試すため、いたずら目的でやった」などと述べているという。男は2020年12月以降、脆弱な他人のネットワークを探して100回以上にわたり侵入を試みていたとされる(読売新聞テレビ西日本)。
15754723 story
Windows

Windows 11、最新プロセッサーでデータ破損しやすい問題 49

ストーリー by nagazou
データ破損はまずい 部門より
headless 曰く、

Microsoft が 7 月の月例更新に合わせて公開したサポートドキュメント (KB5017259) が今になって注目されている (Neowin の記事Softpedia の記事The Register の記事)。

KB5017259 は Windows 11 / Server 2022 でサポートされる最新の CPU を搭載したデバイスでデータ破損が発生しやすいというものだ。具体的には最新の VAES インストラクションセット (AES-XTS または AES-GCM) をサポートするデバイスが対象となる。Neowin によれば、Intel では第 10 世代の Ice Lake 以降、AMD では ZEN 3 アーキテクチャーの Ryzen 5000 シリーズ以降が影響を受けるとのこと。

問題は 5 月 24 日リリースの累積更新プログラムのプレビュー (リリース C) および 6 月の月例更新で修正されているが、AES ベースの操作に 2 倍の時間がかかるようになり、BitLocker や TLS、ディスクのスループットでパフォーマンス低下が発生する可能性があるという。

パフォーマンス低下の問題は 6 月 23 日リリースの累積更新プログラムのプレビューおよび 7 月の月例更新で修正されているとのことで、最新の累積更新プログラム適用が推奨される。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...