security

クラックされたアカウントの情報を販売するleakbase、サイトを閉鎖

「クラックされたパスワードを提供するLeakbase.pw、閉鎖」 www.bleepingcomputer.com クラックされたアカウント名とパスワードの情報を販売するサービスLeakbase.pwが閉鎖されました。現在はHave i pwned?にリダイレクトされます(記事作成時点に改めて確認…

米でKaspersky製品を禁じる法案が成立、Kaspersky側はDHSを提訴

「カスペルスキー 対 米国」の件も扱い続けていたので、こちらも。こちらは割と新しいニュースです(古いニュースって語義矛盾ですけど……)。 「トランプ、Kaspersky製品の連邦政府内での使用を禁じる法案に署名」 www.bleepingcomputer.com これまでのもの…

Mirai派生が出る一方、オリジナルの作者が有罪を認める

Miraiボットネットは、昨秋のソース公開の結果、様々な派生版が出ており、過去にも扱いましたが、まだ派生は続いているようです。 今回の話はいずれも国内で既に報じられていますが、一応Miraiネタは扱っておこうということで。なので、今回は日本語ソースを…

シリアル/LAN変換コネクタの一部、パスワード漏洩を指摘される

「数千のシリアル/Ethernet変換デバイス、Telnetパスワードを漏洩」 www.bleepingcomputer.com RS-232Cなどのシリアル接続とEthernet(有線LAN)の変換を行う、POSなどのシステムに接続するアダプタ(ネットワーク経由でシリアル接続デバイスにアクセスでき…

米国土安全保障省(DHS)、DJIのドローンはスパイの可能性ありと警告

「ドローンメーカーが中国の対米スパイ行為に加担した可能性が高いと警告、米国土安全保障省(DHS)」 www.bleepingcomputer.com 中国DJIのドローンが、中国からの対米スパイ行為を行っていた可能性が高いという警告を、DHSが法執行機関(警察など)や一部企…

ドイツ、バックドアを要求する法案を検討中

「ドイツ、あらゆるモダンデバイスへにバックドアを要求する法律を準備中」 www.bleepingcomputer.com ドイツでは、PCやスマートフォン、車、IoTデバイスなどあらゆるモダン・デバイス(おそらくコンピューターを内蔵する装置)に政府向けのバックドアを要求…

OnePlusのスマートフォンに危険なツールが見つかる

色々と非常に忙しく、本ブログの更新が途絶えていましたが、そろそろ復帰できそうです。当面はやや古い話を取り上げていきます。 「OnePlus、秘密裏かつ不適切な水準でデータを収集。停止させる手順はこちら」 thehackernews.com 「OnePlus、ブートローダー…

Firefox、データ流出があったサイトを明示へ?

「Firefox、データ流出のあったサイトへのアクセス時に警告を行う方向」 www.bleepingcomputer.com Mozilla Firefoxブラウザが、「Have I been Pwned?」のデータを使って、データ流出があったサイトを示す方向にある、という記事。ちなみにこの機能、現在は…

領収書等のスキャンサービスを行うExpensify、実は人に読ませていたことが発覚

「Expensify、個人情報つきの画像をメカニカル・タークに送信していたことが判明。同社はこれを「仕様」と述べる」 arstechnica.com 領収書などを「機械学習」でスキャン、認識して管理する、と喧伝しているExpensifyは、450万以上の利用者がいるサービスで…

性暴力問題、セキュリティ業界でも

「ITセキュリティのスター、性暴力で告発を受け、専門領域の各種提携を破棄される」 arstechnica.com 海外では性暴力などを告発する #MeToo の嵐が吹き荒れてますが、ITセキュリティ業界も例外ではないようで、ニュージーランド出身の有名なセキュリティ研究…

エストニア、ROCA脆弱性により76万枚のIDカードを更新

https://arstechnica.com/information-technology/2017/11/flaw-crippling-millions-of-crypto-keys-is-worse-than-first-disclosed/ 「エストニア、76万の電子IDカードを、暗号のバグにより破棄」 www.bleepingcomputer.com 次の件の続きです。 mokake.hate…

Windows証明書、予想以上に偽造されていたと発覚

「Stuxnet的なコード署名、予想外の拡散」 arstechnica.com イラン核開発に遅れをもたらしたStuxnetは、感染をスムーズに進めるため、正規のWindowsのコード署名がなされていました(コード署名されていないプログラムやドライバはインストールがしづらくな…

Mozilla、オランダ政府のCAを登録から外すことを検討

「Mozilla、オランダのHTTPSプロバイダについて、現地のディストピアな法律を考慮して登録解除を検討」 www.bleepingcomputer.com Mozillaは、Firefoxで管理するCA一覧から、オランダ政府直轄のCAを外すことを検討しています。これは同国で可決され、2018年…

メッセンジャーアプリSignal、デスクトップ版を公開

Signalのデスクトップ版が出ました。Mac, Windows, Linux(aptパッケージ)に対応しています。なおWindows版は64bitのみなので注意が必要です。 https://signal.org/download/ mokake.hatenablog.com 以前はデスクトップOSで使うには、Chromeアプリしかなか…

googleのバグ・トラッカーでも脆弱性が見つかる

「Google Buganizerシステムをいじって15600ドルのバグ報奨金」 medium.freecodecamp.org 「Googleのバグトラッカーに脆弱性データベースの内容が漏洩する不具合」 www.bleepingcomputer.com 先日、Microsoftがバグ管理データベースに侵入されていたことが判…

WindowsのDDE、マルウェアも活用中

先日、WindowsのDDE(Dynamic Data Exchange)機能を用いてマルウェアを実行させるテクニックが公表されていました。 「MS-Wordでマクロを使わずコード実行」 sensepost.com DDEは古くからWindowsに存在する仕組みですが、そこから各種実行ファイルを起動でき…

モノを使った2要素認証の研究結果が発表される

「2要素認証コード、モノで置き換え可能との研究」 www.theverge.com 「研究者、普通のモノの写真を使った2要素認証を考案」 www.bleepingcomputer.com 2要素認証(2FA)はかなり広まってきましたが、パスコードをSMSで受信する処理はやや遅く、しかもSMSが…

Kaspersky、NSA機密情報の件の第1次調査結果を公開

「米国メディアが言い立てる件に関する内部調査の第1次報告」 www.kaspersky.com カスペルスキーがNSA機密情報を盗み取った、とする米国での報道への反論です。以下は報告の内容であり、私の意見ではありません。これをどう見るかは各人の判断に任されます(…

一部の乱数実装の脆弱性「DUHK」

KRACK(WPA2のプロトコル脆弱性)やROCA(RSA暗号実装の脆弱性)に続いて、またも暗号関連の脆弱性が出てきました。 「暗号鍵を復元できるDUHK暗号攻撃、VPN接続などに脅威か」 www.bleepingcomputer.com 今回の脆弱性はANSI X9.31乱数生成器の実装に関する…

FBI長官、暗号化処理バックドアを求めるべきと発言

「FBI長官いわく:突破不可能な暗号化は『巨大な、巨大な問題』」 arstechnica.com 「トランプ政権の司法省、暗号化の弱体化を『責任ある暗号化』と呼ぶイメージ作戦を展開」 arstechnica.com FBI長官(最初の記事)と司法省ナンバー2(2つ目の記事)で、そ…

RSA暗号実装の脆弱性、IDPrime.NETにも存在か

「暗号の脆弱性により数百万のスマートカードがクローンされうる可能性」 arstechnica.com 下記の件の続きです。 mokake.hatenablog.com ROCAについて、当初脆弱性が指摘されたInfineonの製品に加えて、蘭GemaltoのIDPrime.NETも脆弱な可能性が高いことが判…

正体不明の新興ボットネット「IoT_reaper」

「巨大IoTボットネット、9月に影の中で成長」 www.bleepingcomputer.com Miraiをベースにしたボットネット「IoT_reaper」が、ネットワーク接続可能なビデオレコーダー類(テレビや監視カメラなどの録画装置)を中心に広がっているという調査結果が発表されま…

Microsoft、秘匿データベースに侵入されていたことが発覚

「独占報道:マイクロソフト、2013年に秘密のデータベースがハックされていたことを検知するも秘密裏に対応」 www.reuters.com 「マイクロソフト、2013年に秘密の脆弱性データベースがハックされたことを決して公開せず」 arstechnica.com マイクロソフト社…

InfineonのRSAライブラリに脆弱性、スマートカードやGitHubにも影響

「数百万の高セキュリティ暗号鍵、新しく見つかった不具合により弱体化」 arstechnica.com ・JVNの情報 http://jvn.jp/vu/JVNVU95530052/jvn.jp ・発見者による記述 https://crocs.fi.muni.cz/public/papers/rsa_ccs17crocs.fi.muni.cz KRACKの話題でもちき…

豪州でF-35を含んだ軍事情報が盗まれた件について

「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」 arstechnica.com 「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」 www.zdnet.com オースト…

オランダデータ保護機関、Windows10を違反認定

世の中的にはKRACKが大騒ぎですが、その分、日本語でも情報が比較的あるので、こちらでは割愛します(公式サイトは読みましたが)。 さて、今回の本題。 「オランダデータ保護機関:マイクロソフトはWindows 10においてデータ保護法に違反」←公式(英語) ht…

米EquifaxとライバルTransUnion、訪問者を偽Flashに導く

「EquifaxのWebサイト、再びやられる。今回は偽Flash更新ページへリダイレクト」 arstechnica.com 「EquifaxのライバルTransUnionも、サイト訪問者を悪質なページへ転送」 arstechnica.com 1.5億人分のSSN(社会保障番号、米国のマイナンバー)等を流出させ…

スバル車のキーレスエントリーに脆弱性

「スバル車、未パッチの脆弱性利用でキーレスエントリーの複製が可能に」 www.bleepingcomputer.com タイトルの通りなのですが、スバル車の一部のキーレスエントリーは、1回正規リモコン(fob)の電波を受信できれば、複製が可能ということが発覚しました。…

カスペルスキーの件の続報と国家の監視

「いかにしてイスラエルはロシアのハッカー達が全世界から米国の機密情報を漁っていたことを知ったのか」←今回の元記事 www.nytimes.com 「イスラエル、カスペルスキーをハックし、NSAにツールの流出を伝える」 www.washingtonpost.com 「カスペルスキーのア…

スキミング詐欺を検出する?アプリが登場

「ガソリンスタンドでのクレジットカードスキミング詐欺を検出できるAndroidアプリ」 www.bleepingcomputer.com 電子工作では有名なSparkFunのCEOであるNate Seidle氏が、「Skimmer Scanner」というAndroidアプリを公開しました。 こちらはSparkFun公式の記…