[ アカウントをゲット! ]
アレゲなニュースと雑談サイト
前のストーリー
セキュリティ関連日記 最新30件
- [Sukoya] 企業のソフトと個人のソフトと
- [elderwand] Proxy ?
- [maia] iTunesストアのアカウントがハックされて不正請求
- [Livingdead] 秘匿すべきアプリケーションの設定情報をどこに保存するか
- [WindVoice] オレだよオレ
- [bewon] 続:gumblarのIPを調べてみた
- [iida] OpenSSL 1.0.0β5、0.9.8mβ1リリース
- [wai2pulser] イナフ
- [LARTH] ウイルスバスターが勝手にSkypeへ投稿するって話
- [wuzhi] ESET NOD32アンチウイルスの更新
- [hix] 怪しい誰のせい?を大いに語る
- [yousee] 初パンク
- [hig] 感染!
- [aka_nobita] 最近の夢
- [NoGood] 床上浸水
- [masakun] UltraDNS suffers attack, Amazon affected
- [doda] sshのCamellia対応
- [M-FalconSky] GPGで鍵
- [cyber205] TinyP2PってのがPythonで出てるようだ
- [Ab.] Hyper-V manager を使うには
- [s2u] クリエイティブ「Sound Blaster X-Fi Go!」の一部にウイルス混入
- [signed-coward] 邪悪メイド攻撃再び
- [KAMUI] 却下ネタ:Flash Player 10.0.42.34リリース。
- [eukare] セキュリティが甘い
- [bugbird] IT 技術者なら、セキュリティに造詣があって当たり前
- [kineko] avast誤検出
- [TarZ] IPA、各種ソフトウェアが最新かチェックできるMyJVNバージョンチェッカ公開
- [witch] (URLメモ) Security Wars: エピソード 1 -ハッカーと暗黒面-
- [C0FFEE] オンラインの無線LANセキュリティ指南が古い問題
- [SS1] まだまだ双換掌
- エフセキュア、Linuxプラットフォーム向けゲートウェイ型ウイルス対策製品新版
- Python 2.5系のセキュリティ修正版「Python 2.5.5」リリース
- 暗号化通信により安全にファイルを転送できるFTPS/SFTP/FTPクライアント「FileZilla」
- IPA、「安全なウェブサイトの作り方 改訂第4版」を公開
- Rubyの添付ライブラリに脆弱性、公式サイトが修正版をリリース
- JPCERT/CC、Webサイト改ざんとGumblarウイルスの感染で注意喚起
- シックス・アパート、脆弱性修正版のMovable Typeを公開
- IPA、ITセキュリティ評価基準「CC/CEM」新版日本語版を公開
- IPA、Windows PCのセキュリティ設定チェックソフトを無償公開
- Rubyにヒープオーバーフローの脆弱性、修正版をリリース
クイックリンク
まず、ユーザ登録を。いくつかの便利な機能が利用できるようになります。次にタレコミを。あなたのタレコミとコメントが/.Jを支えます。
hylomによる
2010年02月05日 19時32分の掲載
チェック&アップデートを、部門より。
チェック&アップデートを、部門より。
Elbereth 曰く、
JVNのJVNVU#188937 GNU gzip における複数の脆弱性経由で知ったが、GNU ProjectのGNU gzip — News: gzip-1.4 released (stable/security)によると、GNU gzip 1.3.14 ~1.3.3 のバージョンに複数の脆弱性があり、修正がされた1.4がリリースされたとのこと。
この記事によると、脆弱性のあるバージョンでは、細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性がある。また、脆弱性の一つは、64-bitシステム上でのみ影響を受ける模様。
gzip 1.3.3のリリースは2002年3月8日で、1.3.14は2009年10月30日のリリースなので、かなり長期間のものが対象になる。
なお、2月5日の3時現在でCODEZINEの記事では「2009年10月に公開されたバージョン1.3.3以来の安定版」と書かれていますが、これは1.3.14のことと思われる。
hylomによる
2010年02月05日 16時43分の掲載
※Verisignが悪いわけではない部門より。
※Verisignが悪いわけではない部門より。
TechCrunchで、「とてもいやらしくて厄介なセキュリティの欠陥がiPhoneに見つかった」という記事が公開されている。元ネタはブログ「Cryptopath」の記事。
iPhoneには、各種設定が記述された「プロファイル」というファイルをメールやWebブラウザ経由で読み込む機能が備えられている。これは、ネットワーク設定などを多数のユーザーに対して簡単に配布・適用するための機能だ。通常プロファイルには発行元や認証情報などが含まれており、これにより出元がうさん臭かったり、署名情報がないプロファイルを検証できるのだが、今回発見された脆弱性を利用することで、発行元を偽装したり、実際には認証されていないにも関わらず「認証済み」との旨の表示をさせることができてしまうという。
詳しい手法はCryptopathの記事にて説明されているが、適当なメールアドレスを用いて「Apple Computer」という名称でVerisignから6日間有効のデモ用認証ファイルを取得し、それを使ってプロファイルを作成したところ、「Apple Computer」名義で認証されたプロファイルを作成でき、また有効なものとして利用できてしまったとのこと。
これを悪用することで、ユーザーを騙してiPhoneにプロファイルをダウンロード/適用させる、といったことが行われる可能性がある。iPhoneユーザーは注意してほしい。
hylomによる
2010年02月04日 20時15分の掲載
濃度を間違えると催涙ガスになりそうな、部門より。
濃度を間違えると催涙ガスになりそうな、部門より。
あるAnonymous Coward 曰く、
Telegraphの記事によると、耳が不自由な人に向け、「わさびのにおい」で火災を知らせる火災報知器があるそうだ。滋賀大学で実証試験が行われ、効果があることが実証されたそうだ。
滋賀医科大学のニュースによると、「枕元に臭気が到達してからおよそ10秒から2分後にすべての被験者が目を覚まして室内のブザーを押す」とのことで、かなりの効果がある模様。
ちなみにググってみたところ、火災報知器と臭気発生装置をセットにした製品を発見。今年になってテレビでも紹介されている。また、「わさび臭火災警報器」に関する悪質商法にご注意ください。 という話もあるようだ。
hylomによる
2010年02月03日 13時47分の掲載
色々とヤバげな話が、部門より。
色々とヤバげな話が、部門より。
やや旧聞になるが、iTunes Storeのアカウントがハックされ、不正請求を食らう事例が発生しているようだ(朝日新聞の記事)。記事には「複数のクレジット会社によると、昨年秋以降、iTSの不正利用に関する相談が、多い社で数十件」とある。
検索してみると、日記やまとめサイトで状況が見えてきた。2009年10月から11月頃に被害が発覚したようで、被害者は対策に追われている。消極的だが、対策はクレジットカードの利用明細に目を光らせる(これは基本)、利用限度額を低く設定しておく(他の利用に影響するけど)、iTSアカウントのクレジットカード情報を削除してプリペイドカード(iTunesカード)の利用に限定する、といったところだろうか。
一応問題があった場合の問い合わせ先を示しておくと、ここ>iTunes Store カスタマーサービス
1月29日の朝日新聞の記事では、IDとパスワードの管理方法に問題があったのではないか、と思われる事例が紹介されている。また、実際に被害に遭われたisiの日記も参考にどうぞ。
hylomによる
2010年02月01日 11時28分の掲載
パスワードは保存せず、できればSFTP/FTPSを利用しよう部門より。
パスワードは保存せず、できればSFTP/FTPSを利用しよう部門より。
あるAnonymous Coward 曰く、
フリーソフトウェアの人気FTPクライアント「FFFTP」で保存したアカウント情報を盗み取るマルウェアが話題になっている。FFFTPの作者はこれを受けてWebページに「お知らせ」を掲載、(サーバー側がSSLに対応している場合は)SSL対応FTPソフトへの切り替えやパスワードを保存させない、などの対策を行うよう伝えている。
なお、対策として別のFTPクライアントへの乗り換えをすすめる意見もあるが、ほかのFTPクライアントについても同様にアカウント情報を盗まれる可能性があるため、FTPクライアントを変更するだけでは抜本的な解決にはならない。また、FTP通信が盗聴されてログイン情報が盗まれるケースもあるようだ。FTPは平文で認証情報を送信するため、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用し、またクライアント側にはパスワードを保存させない、もし保存させていたらそれをクリアしておく、といった対処が必要だろう。
hylomによる
2010年01月27日 21時09分の掲載
セキュリティホール公開部門より。
セキュリティホール公開部門より。
いささか旧聞だが、本家記事Mobile: Second 3G GSM Cipher Crackedによると、3G GSMにおいてトラフィックの安全性を保つ「Kasumi」暗号が新しく開発された解読法によって破られたそうだ。「related-key attack」というこの方法では、完全な復号鍵が得られるという。ただし、Kasumiが即時に危険な暗号となるようなことはないという。
「Misty」と呼ばれる暗号の改良版であるKasumi暗号は「A5/3」とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文では
この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ、2^32の時間で128bitの完全なKASUMI復号鍵を発見できる。複雑さは非常に小さく、攻撃のシミュレーションは一台のPCを用いて2時間以内に完了し、実験的にその正しさと複雑性を確認した
と述べられており、この手法は一般のPC上でも容易に実装できるとしている。
- 続きの962文字を読む...
- 9 / 19 コメント
hylomによる
2010年01月26日 20時28分の掲載
サイトによって傾向の違いとかもあるのかな、部門より。
サイトによって傾向の違いとかもあるのかな、部門より。
あるAnonymous Coward 曰く、
米セキュリティ企業Impervaは3200万アカウントのパスワードを分析し、報告書(PDF)を発表した(本家記事)。
昨年12月、ソーシャルガジェット大手サイトRockyou.comがハッカーによって侵入され、3200万のアカウント情報が漏えいしたという事件があったそうだが、Impervaはこの件で漏えいしたパスワードを分析対象としたとのこと。報告書によると、約半数のパスワードは名前やスラング、単語、連番の数字やキーボード上の隣接する文字を使ったもので、「!@#$%^&*,;"」など特殊文字を使用したパスワードは4%にも満たなかったという。また、最も使われていたパスワードトップ10は以下の通りだそうだ。
- 123456
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
Impervaによると、これ程大規模な実際データが分析されたのは恐らく今回が初めてとのことだ。
hylomによる
2010年01月21日 13時02分の掲載
17年の重み部門より。
17年の重み部門より。
Ledの日記より。
本家/.org記事より。garg0yle 曰く、
ある研究者が、Windowsにユーザーの権限昇格を許してしまうバグを見つけたそうだ。これだけじゃ新しい話じゃないね。ところが、今回のバグは仮想DOSマシン(VDM)に影響を及ぼすもので、しかも全ての32ビット版Windows、つまりNT以降全てのバージョンに影響がある。17年もWindowsを続けてきた甲斐があったもんだ。
(元記事より)「このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。(中略)この脆弱性は1993年以降にリリースされた全ての32ビット版のマイクロソフト製OSに存在していて、実証コードはXP、Server 2003、Vista、Server 2008、7で動作する。」
hylomによる
2010年01月21日 12時31分の掲載
プライベートとパブリックの区別を付けましょう部門より。
プライベートとパブリックの区別を付けましょう部門より。
あるAnonymous Coward 曰く、
Twitter上で「空港を爆破する」と冗談でつぶやいた男性が英国で逮捕されたそうだ(本家記事より)。
大雪のためフライトが運休し、スケジュールの変更を余儀なくされたことに苛立ったPaul Chambers氏は友人らに向け、冗談で「空港を爆破してやる」とつぶやいたという。この1週間後、Chambers氏は反テロリズム法に則り逮捕されてしまったそうだ。7時間に及ぶ尋問の末保釈されたが仕事は停職になり、爆破すると「予告」した英ドンキャスター空港には生涯出入り禁止となってしまったとのことだ。
hylomによる
2010年01月21日 11時31分の掲載
紆余曲折部門より。
紆余曲折部門より。
あるAnonymous Coward 曰く、
昨年、還付金に目が眩んで e-Tax に登録してしまったのだが、つい先程のこと e-Tax を名乗るメールが届き申告のお知らせがあるので http://www.e-tax.nta.go.jp/ へ行ってメッセージボックス一覧表示を確認するようにと案内があった。
そこで早速、e-Tax のページへ飛び、指示のあったメッセージボックス表示 とやらを確認に行ったのだが、なんと SSL 証明書が sec_error_untrusted_issuer と警告されてしまい面食らっているところである。
よりにもよって国税庁のe-Tax関連サイトで独自書名というのは有り得ないにも程がある上、ガンブラーの亜種が猛威をふるっていると伝え聞く現状では、遂に国税庁までもが陥落してしまったのか?と疑いたくなってしまう。
まさか、本当に陥落してしまった訳ではないとは思うのだが、国税庁の一体何を考えているのか頭を抱えるばかりである。
コメントでも指摘されているが、政府や地方自治体が使用しているGPKIやのルート証明書がFirefoxにはプリインストールされていないのが問題となっているようだ。
reoによる
2010年01月21日 10時30分の掲載
ネズミをとるのが良い猫だ部門より。
ネズミをとるのが良い猫だ部門より。
ある Anonymous Coward 曰く、
中国の Google へのサイバー攻撃に、Google 内部の者が関与していなかったか、現在調査が行われているそうだ (本家 /. 記事、CNET Japan の記事より) 。
ロイター通信の報道によると、Google の中国オフィスでは従業員が休暇を取らされたり移籍されたりしているとのこと。これらの話は地元メディアや情報筋から挙がっているそうだ。Google では従業員をネットワークから遮断し、現在ネットワークセキュリティの確認が行われているという。
攻撃に使われたマルウェアは Hydraq というトロイの木馬を改変したものだったとのことで、攻撃対象であるユーザを識別しているという点で高度な攻撃だったという。この件に関し、Google の広報担当者は「現在進行中の調査についての詳細はコメントできず、また噂や推測についてコメントすることはない」と発言しているとのことだ。
hylomによる
2010年01月20日 13時35分の掲載
適切な対処をお願いします部門より。
適切な対処をお願いします部門より。
マイクロソフトが1月15日、IE 6/7/8に新たな脆弱性が見つかったと発表した(マイクロソフトのセキュリティアドバイザリ:Internet Explorer の脆弱性により、リモートでコードが実行される)。すでにこの脆弱性を悪用するIE6向け攻撃コードも出回っているとのこと。
これを受け、ドイツ政府やフランス政府はIE利用者に対し注意を呼びかけるとともに、パッチがリリースされるまでIEの利用を中止するよう警告を出したそうだ(ITproの記事)。
なお、So-net セキュリティ通信によると、この脆弱性はJavaScriptを用いるものとのことで、JavaScriptを無効にすることで攻撃を防げるとのこと。また、DEP(データ実行防止機能)を有効にすることでも防げるそうだ。
|
|
