「入力アプリ、3100万人の利用者の個人情報を漏洩させる」 thehackernews.com イスラエルの入力アプリAI.typeが、（例によって）MongoDBをネット上に野ざらしで配置し、3100万人の利用者の577GiBのデータを漏洩していることが判明しました。 単純に割り算す…

「クラックされたパスワードを提供するLeakbase.pw、閉鎖」 www.bleepingcomputer.com クラックされたアカウント名とパスワードの情報を販売するサービスLeakbase.pwが閉鎖されました。現在はHave i pwned?にリダイレクトされます（記事作成時点に改めて確認…

「カスペルスキー 対 米国」の件も扱い続けていたので、こちらも。こちらは割と新しいニュースです（古いニュースって語義矛盾ですけど……）。 「トランプ、Kaspersky製品の連邦政府内での使用を禁じる法案に署名」 www.bleepingcomputer.com これまでのもの…

Miraiボットネットは、昨秋のソース公開の結果、様々な派生版が出ており、過去にも扱いましたが、まだ派生は続いているようです。 今回の話はいずれも国内で既に報じられていますが、一応Miraiネタは扱っておこうということで。なので、今回は日本語ソースを…

「数千のシリアル／Ethernet変換デバイス、Telnetパスワードを漏洩」 www.bleepingcomputer.com RS-232Cなどのシリアル接続とEthernet（有線LAN）の変換を行う、POSなどのシステムに接続するアダプタ（ネットワーク経由でシリアル接続デバイスにアクセスでき…

「ドローンメーカーが中国の対米スパイ行為に加担した可能性が高いと警告、米国土安全保障省（DHS）」 www.bleepingcomputer.com 中国DJIのドローンが、中国からの対米スパイ行為を行っていた可能性が高いという警告を、DHSが法執行機関（警察など）や一部企…

「ドイツ、あらゆるモダンデバイスへにバックドアを要求する法律を準備中」 www.bleepingcomputer.com ドイツでは、PCやスマートフォン、車、IoTデバイスなどあらゆるモダン・デバイス（おそらくコンピューターを内蔵する装置）に政府向けのバックドアを要求…

色々と非常に忙しく、本ブログの更新が途絶えていましたが、そろそろ復帰できそうです。当面はやや古い話を取り上げていきます。 「OnePlus、秘密裏かつ不適切な水準でデータを収集。停止させる手順はこちら」 thehackernews.com 「OnePlus、ブートローダー…

「Firefox、データ流出のあったサイトへのアクセス時に警告を行う方向」 www.bleepingcomputer.com Mozilla Firefoxブラウザが、「Have I been Pwned?」のデータを使って、データ流出があったサイトを示す方向にある、という記事。ちなみにこの機能、現在は…

「Expensify、個人情報つきの画像をメカニカル・タークに送信していたことが判明。同社はこれを「仕様」と述べる」 arstechnica.com 領収書などを「機械学習」でスキャン、認識して管理する、と喧伝しているExpensifyは、450万以上の利用者がいるサービスで…

「ITセキュリティのスター、性暴力で告発を受け、専門領域の各種提携を破棄される」 arstechnica.com 海外では性暴力などを告発する #MeToo の嵐が吹き荒れてますが、ITセキュリティ業界も例外ではないようで、ニュージーランド出身の有名なセキュリティ研究…

https://arstechnica.com/information-technology/2017/11/flaw-crippling-millions-of-crypto-keys-is-worse-than-first-disclosed/ 「エストニア、76万の電子IDカードを、暗号のバグにより破棄」 www.bleepingcomputer.com 次の件の続きです。 mokake.hate…

「Stuxnet的なコード署名、予想外の拡散」 arstechnica.com イラン核開発に遅れをもたらしたStuxnetは、感染をスムーズに進めるため、正規のWindowsのコード署名がなされていました（コード署名されていないプログラムやドライバはインストールがしづらくな…

「Mozilla、オランダのHTTPSプロバイダについて、現地のディストピアな法律を考慮して登録解除を検討」 www.bleepingcomputer.com Mozillaは、Firefoxで管理するCA一覧から、オランダ政府直轄のCAを外すことを検討しています。これは同国で可決され、2018年…

Signalのデスクトップ版が出ました。Mac, Windows, Linux（aptパッケージ）に対応しています。なおWindows版は64bitのみなので注意が必要です。 https://signal.org/download/ mokake.hatenablog.com 以前はデスクトップOSで使うには、Chromeアプリしかなか…

「Google Buganizerシステムをいじって15600ドルのバグ報奨金」 medium.freecodecamp.org 「Googleのバグトラッカーに脆弱性データベースの内容が漏洩する不具合」 www.bleepingcomputer.com 先日、Microsoftがバグ管理データベースに侵入されていたことが判…

先日、WindowsのDDE(Dynamic Data Exchange)機能を用いてマルウェアを実行させるテクニックが公表されていました。 「MS-Wordでマクロを使わずコード実行」 sensepost.com DDEは古くからWindowsに存在する仕組みですが、そこから各種実行ファイルを起動でき…

「2要素認証コード、モノで置き換え可能との研究」 www.theverge.com 「研究者、普通のモノの写真を使った2要素認証を考案」 www.bleepingcomputer.com 2要素認証（2FA）はかなり広まってきましたが、パスコードをSMSで受信する処理はやや遅く、しかもSMSが…

「米国メディアが言い立てる件に関する内部調査の第1次報告」 www.kaspersky.com カスペルスキーがNSA機密情報を盗み取った、とする米国での報道への反論です。以下は報告の内容であり、私の意見ではありません。これをどう見るかは各人の判断に任されます（…

KRACK（WPA2のプロトコル脆弱性）やROCA（RSA暗号実装の脆弱性）に続いて、またも暗号関連の脆弱性が出てきました。 「暗号鍵を復元できるDUHK暗号攻撃、VPN接続などに脅威か」 www.bleepingcomputer.com 今回の脆弱性はANSI X9.31乱数生成器の実装に関する…

「FBI長官いわく：突破不可能な暗号化は『巨大な、巨大な問題』」 arstechnica.com 「トランプ政権の司法省、暗号化の弱体化を『責任ある暗号化』と呼ぶイメージ作戦を展開」 arstechnica.com FBI長官（最初の記事）と司法省ナンバー2（2つ目の記事）で、そ…

「暗号の脆弱性により数百万のスマートカードがクローンされうる可能性」 arstechnica.com 下記の件の続きです。 mokake.hatenablog.com ROCAについて、当初脆弱性が指摘されたInfineonの製品に加えて、蘭GemaltoのIDPrime.NETも脆弱な可能性が高いことが判…

「巨大IoTボットネット、9月に影の中で成長」 www.bleepingcomputer.com Miraiをベースにしたボットネット「IoT_reaper」が、ネットワーク接続可能なビデオレコーダー類（テレビや監視カメラなどの録画装置）を中心に広がっているという調査結果が発表されま…

「独占報道：マイクロソフト、2013年に秘密のデータベースがハックされていたことを検知するも秘密裏に対応」 www.reuters.com 「マイクロソフト、2013年に秘密の脆弱性データベースがハックされたことを決して公開せず」 arstechnica.com マイクロソフト社…

「数百万の高セキュリティ暗号鍵、新しく見つかった不具合により弱体化」 arstechnica.com ・JVNの情報 http://jvn.jp/vu/JVNVU95530052/jvn.jp ・発見者による記述 https://crocs.fi.muni.cz/public/papers/rsa_ccs17crocs.fi.muni.cz KRACKの話題でもちき…

「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」 arstechnica.com 「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」 www.zdnet.com オースト…

世の中的にはKRACKが大騒ぎですが、その分、日本語でも情報が比較的あるので、こちらでは割愛します（公式サイトは読みましたが）。 さて、今回の本題。 「オランダデータ保護機関：マイクロソフトはWindows 10においてデータ保護法に違反」←公式（英語） ht…

「EquifaxのWebサイト、再びやられる。今回は偽Flash更新ページへリダイレクト」 arstechnica.com 「EquifaxのライバルTransUnionも、サイト訪問者を悪質なページへ転送」 arstechnica.com 1.5億人分のSSN（社会保障番号、米国のマイナンバー）等を流出させ…

「スバル車、未パッチの脆弱性利用でキーレスエントリーの複製が可能に」 www.bleepingcomputer.com タイトルの通りなのですが、スバル車の一部のキーレスエントリーは、１回正規リモコン（fob）の電波を受信できれば、複製が可能ということが発覚しました。…

「いかにしてイスラエルはロシアのハッカー達が全世界から米国の機密情報を漁っていたことを知ったのか」←今回の元記事 www.nytimes.com 「イスラエル、カスペルスキーをハックし、NSAにツールの流出を伝える」 www.washingtonpost.com 「カスペルスキーのア…