security

エストニア、ROCA脆弱性により76万枚のIDカードを更新

https://arstechnica.com/information-technology/2017/11/flaw-crippling-millions-of-crypto-keys-is-worse-than-first-disclosed/ 「エストニア、76万の電子IDカードを、暗号のバグにより破棄」 www.bleepingcomputer.com 次の件の続きです。 mokake.hate…

Windows証明書、予想以上に偽造されていたと発覚

「Stuxnet的なコード署名、予想外の拡散」 arstechnica.com イラン核開発に遅れをもたらしたStuxnetは、感染をスムーズに進めるため、正規のWindowsのコード署名がなされていました(コード署名されていないプログラムやドライバはインストールがしづらくな…

Mozilla、オランダ政府のCAを登録から外すことを検討

「Mozilla、オランダのHTTPSプロバイダについて、現地のディストピアな法律を考慮して登録解除を検討」 www.bleepingcomputer.com Mozillaは、Firefoxで管理するCA一覧から、オランダ政府直轄のCAを外すことを検討しています。これは同国で可決され、2018年…

メッセンジャーアプリSignal、デスクトップ版を公開

Signalのデスクトップ版が出ました。Mac, Windows, Linux(aptパッケージ)に対応しています。なおWindows版は64bitのみなので注意が必要です。 https://signal.org/download/ mokake.hatenablog.com 以前はデスクトップOSで使うには、Chromeアプリしかなか…

googleのバグ・トラッカーでも脆弱性が見つかる

「Google Buganizerシステムをいじって15600ドルのバグ報奨金」 medium.freecodecamp.org 「Googleのバグトラッカーに脆弱性データベースの内容が漏洩する不具合」 www.bleepingcomputer.com 先日、Microsoftがバグ管理データベースに侵入されていたことが判…

WindowsのDDE、マルウェアも活用中

先日、WindowsのDDE(Dynamic Data Exchange)機能を用いてマルウェアを実行させるテクニックが公表されていました。 「MS-Wordでマクロを使わずコード実行」 sensepost.com DDEは古くからWindowsに存在する仕組みですが、そこから各種実行ファイルを起動でき…

モノを使った2要素認証の研究結果が発表される

「2要素認証コード、モノで置き換え可能との研究」 www.theverge.com 「研究者、普通のモノの写真を使った2要素認証を考案」 www.bleepingcomputer.com 2要素認証(2FA)はかなり広まってきましたが、パスコードをSMSで受信する処理はやや遅く、しかもSMSが…

Kaspersky、NSA機密情報の件の第1次調査結果を公開

「米国メディアが言い立てる件に関する内部調査の第1次報告」 www.kaspersky.com カスペルスキーがNSA機密情報を盗み取った、とする米国での報道への反論です。以下は報告の内容であり、私の意見ではありません。これをどう見るかは各人の判断に任されます(…

一部の乱数実装の脆弱性「DUHK」

KRACK(WPA2のプロトコル脆弱性)やROCA(RSA暗号実装の脆弱性)に続いて、またも暗号関連の脆弱性が出てきました。 「暗号鍵を復元できるDUHK暗号攻撃、VPN接続などに脅威か」 www.bleepingcomputer.com 今回の脆弱性はANSI X9.31乱数生成器の実装に関する…

FBI長官、暗号化処理バックドアを求めるべきと発言

「FBI長官いわく:突破不可能な暗号化は『巨大な、巨大な問題』」 arstechnica.com 「トランプ政権の司法省、暗号化の弱体化を『責任ある暗号化』と呼ぶイメージ作戦を展開」 arstechnica.com FBI長官(最初の記事)と司法省ナンバー2(2つ目の記事)で、そ…

RSA暗号実装の脆弱性、IDPrime.NETにも存在か

「暗号の脆弱性により数百万のスマートカードがクローンされうる可能性」 arstechnica.com 下記の件の続きです。 mokake.hatenablog.com ROCAについて、当初脆弱性が指摘されたInfineonの製品に加えて、蘭GemaltoのIDPrime.NETも脆弱な可能性が高いことが判…

正体不明の新興ボットネット「IoT_reaper」

「巨大IoTボットネット、9月に影の中で成長」 www.bleepingcomputer.com Miraiをベースにしたボットネット「IoT_reaper」が、ネットワーク接続可能なビデオレコーダー類(テレビや監視カメラなどの録画装置)を中心に広がっているという調査結果が発表されま…

Microsoft、秘匿データベースに侵入されていたことが発覚

「独占報道:マイクロソフト、2013年に秘密のデータベースがハックされていたことを検知するも秘密裏に対応」 www.reuters.com 「マイクロソフト、2013年に秘密の脆弱性データベースがハックされたことを決して公開せず」 arstechnica.com マイクロソフト社…

InfineonのRSAライブラリに脆弱性、スマートカードやGitHubにも影響

「数百万の高セキュリティ暗号鍵、新しく見つかった不具合により弱体化」 arstechnica.com ・JVNの情報 http://jvn.jp/vu/JVNVU95530052/jvn.jp ・発見者による記述 https://crocs.fi.muni.cz/public/papers/rsa_ccs17crocs.fi.muni.cz KRACKの話題でもちき…

豪州でF-35を含んだ軍事情報が盗まれた件について

「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」 arstechnica.com 「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」 www.zdnet.com オースト…

オランダデータ保護機関、Windows10を違反認定

世の中的にはKRACKが大騒ぎですが、その分、日本語でも情報が比較的あるので、こちらでは割愛します(公式サイトは読みましたが)。 さて、今回の本題。 「オランダデータ保護機関:マイクロソフトはWindows 10においてデータ保護法に違反」←公式(英語) ht…

米EquifaxとライバルTransUnion、訪問者を偽Flashに導く

「EquifaxのWebサイト、再びやられる。今回は偽Flash更新ページへリダイレクト」 arstechnica.com 「EquifaxのライバルTransUnionも、サイト訪問者を悪質なページへ転送」 arstechnica.com 1.5億人分のSSN(社会保障番号、米国のマイナンバー)等を流出させ…

スバル車のキーレスエントリーに脆弱性

「スバル車、未パッチの脆弱性利用でキーレスエントリーの複製が可能に」 www.bleepingcomputer.com タイトルの通りなのですが、スバル車の一部のキーレスエントリーは、1回正規リモコン(fob)の電波を受信できれば、複製が可能ということが発覚しました。…

カスペルスキーの件の続報と国家の監視

「いかにしてイスラエルはロシアのハッカー達が全世界から米国の機密情報を漁っていたことを知ったのか」←今回の元記事 www.nytimes.com 「イスラエル、カスペルスキーをハックし、NSAにツールの流出を伝える」 www.washingtonpost.com 「カスペルスキーのア…

スキミング詐欺を検出する?アプリが登場

「ガソリンスタンドでのクレジットカードスキミング詐欺を検出できるAndroidアプリ」 www.bleepingcomputer.com 電子工作では有名なSparkFunのCEOであるNate Seidle氏が、「Skimmer Scanner」というAndroidアプリを公開しました。 こちらはSparkFun公式の記…

ネットストーカー容疑者、VPNログが決定打となり逮捕

「ネットストーカー容疑者、VPN業者からFBIへのログ供与の後に逮捕される」 www.bleepingcomputer.com ルームシェア先の人々(など)にネット上での膨大なハラスメントを行った容疑で、24歳の男性が逮捕されました(詳細の記述もありますが、身元を偽って犯…

WSJ、NSA情報窃取をカスペルスキーに関連付ける報道

「ロシアがNSAの秘密情報をカスペルスキーの協力のもと窃取したと報道、現在わかっていることは何か」 arstechnica.com WSJ(ウォールストリートジャーナル)において、NSAの秘密情報をロシアが窃取したとの報道がありました(元記事(有料))。 冒頭のリン…

クラックされた米SEC、セキュリティ予算不足の訴えがあったことも判明

「SECハッキング、セキュリティチームの予算懇願の中で発生していたことが判明」 arstechnica.com 先月(2017年9月)に米SEC(証券取引委員会)にクラッキングがあり、EDGARシステムを通じて、(株式のインサイダー的取引につながりうる)企業の重要情報に非…

2つの国でISPが政府のスパイウェア配布に関与か

「FinFisherスパイウェアの配布について、ISP関与の疑い」 www.bleepingcomputer.com 少なくとも2つの国で、プロバイダ(ISP)が、FinFisher(FinSpy)と呼ばれるスパイウェアの配布に関与していた可能性がある、という指摘が、ESETにより行われました。 FinFish…

CCleanerマルウェア混入事件、詳細が予備サーバから判明

少し前の話ですが。 「Avast、CCleaner事件の第2段階マルウェアの影響を受けた企業の完全リストを公開」 www.bleepingcomputer.com 有名ユーティリティCCleanerにマルウェアが仕込まれた(しかもセキュリティソフトAvastの傘下になっていた)件で大いに騒が…

Macを遠隔ロックし身代金を要求する事件が発生中?

「ハッカー、iCloudの"Find My iPhone"機能を悪用し遠隔でMacをロック、身代金を要求する」 www.macrumors.com タイトルでだいたい分かる感じですが、iCloudのアカウント名とパスワードが知られた場合(所定の機能が有効であれば)、そこからログインしてMac…

iOSでわずかな権限から大量の情報を取得する方法

「iOSアプリの権限に抜け道が発覚、詳細な位置情報を画像のメタデータから取得可能」 www.bleepingcomputer.com Google傘下のFastlane Tools創設者Felix Krause氏によれば、iOSの権限の抜け道を使うことで、位置情報を含む様々な利用者情報を抜き出すことが…

Android向け「GO Keyboard」、利用者データを無断で大量に送信

「人気のAndroid用キーボードアプリ、利用者データを収集し外部コードを実行していることが判明」 www.bleepingcomputer.com AdGuardの技術者の調査によれば、GO Keyboardという入力アプリがインストール直後に大量のデータを送信しているとのこと。送信デー…

Equifaxの大規模漏洩・その後

米国の消費者信用情報企業ビッグ3の1つ(英語版Wikipediaで見る限り、売り上げはExperianより下の2位のようです)であるEquifax社の大規模漏洩は、つい先日CEO辞任となりましたが、件数(1億4000万件以上)だけでなく、色々と他でも注意すべき問題が出ていた…

カスペルスキー、米政府組織での利用が禁止に

「米国、政府組織のシステムでのカスペルスキー製品の利用を公式に禁止」 www.bleepingcomputer.com 国内でも出てますが、一応。何回も出てくるので、Kasperskyタグも作りました。 mokake.hatenablog.com 米国の国土安全保障省から、政府内でのカスペルスキ…