security
「ガソリンスタンドでのクレジットカードスキミング詐欺を検出できるAndroidアプリ」 www.bleepingcomputer.com 電子工作では有名なSparkFunのCEOであるNate Seidle氏が、「Skimmer Scanner」というAndroidアプリを公開しました。 こちらはSparkFun公式の記…
「ネットストーカー容疑者、VPN業者からFBIへのログ供与の後に逮捕される」 www.bleepingcomputer.com ルームシェア先の人々(など)にネット上での膨大なハラスメントを行った容疑で、24歳の男性が逮捕されました(詳細の記述もありますが、身元を偽って犯…
「ロシアがNSAの秘密情報をカスペルスキーの協力のもと窃取したと報道、現在わかっていることは何か」 arstechnica.com WSJ(ウォールストリートジャーナル)において、NSAの秘密情報をロシアが窃取したとの報道がありました(元記事(有料))。 冒頭のリン…
「SECハッキング、セキュリティチームの予算懇願の中で発生していたことが判明」 arstechnica.com 先月(2017年9月)に米SEC(証券取引委員会)にクラッキングがあり、EDGARシステムを通じて、(株式のインサイダー的取引につながりうる)企業の重要情報に非…
「FinFisherスパイウェアの配布について、ISP関与の疑い」 www.bleepingcomputer.com 少なくとも2つの国で、プロバイダ(ISP)が、FinFisher(FinSpy)と呼ばれるスパイウェアの配布に関与していた可能性がある、という指摘が、ESETにより行われました。 FinFish…
少し前の話ですが。 「Avast、CCleaner事件の第2段階マルウェアの影響を受けた企業の完全リストを公開」 www.bleepingcomputer.com 有名ユーティリティCCleanerにマルウェアが仕込まれた(しかもセキュリティソフトAvastの傘下になっていた)件で大いに騒が…
「ハッカー、iCloudの"Find My iPhone"機能を悪用し遠隔でMacをロック、身代金を要求する」 www.macrumors.com タイトルでだいたい分かる感じですが、iCloudのアカウント名とパスワードが知られた場合(所定の機能が有効であれば)、そこからログインしてMac…
「iOSアプリの権限に抜け道が発覚、詳細な位置情報を画像のメタデータから取得可能」 www.bleepingcomputer.com Google傘下のFastlane Tools創設者Felix Krause氏によれば、iOSの権限の抜け道を使うことで、位置情報を含む様々な利用者情報を抜き出すことが…
「人気のAndroid用キーボードアプリ、利用者データを収集し外部コードを実行していることが判明」 www.bleepingcomputer.com AdGuardの技術者の調査によれば、GO Keyboardという入力アプリがインストール直後に大量のデータを送信しているとのこと。送信デー…
米国の消費者信用情報企業ビッグ3の1つ(英語版Wikipediaで見る限り、売り上げはExperianより下の2位のようです)であるEquifax社の大規模漏洩は、つい先日CEO辞任となりましたが、件数(1億4000万件以上)だけでなく、色々と他でも注意すべき問題が出ていた…
「米国、政府組織のシステムでのカスペルスキー製品の利用を公式に禁止」 www.bleepingcomputer.com 国内でも出てますが、一応。何回も出てくるので、Kasperskyタグも作りました。 mokake.hatenablog.com 米国の国土安全保障省から、政府内でのカスペルスキ…
「アンダーグラウンドのハッキングフォーラム管理者達、ランサムウェア販売について再検討」 www.bleepingcomputer.com サイバー攻撃の調査を行うAnomaliやFlashpointによれば、2016年のはじめごろから、アングラ掲示板において、ランサムウェアの販売を今後…
「脆弱性攻略コード仲介業者Zerodium、Tor Browserゼロデイに100万ドルの賞金を設定」 www.bleepingcomputer.com 先日の件の、言ってみれば続きです。 mokake.hatenablog.com ゼロデイ脆弱性の攻撃コードを買い上げるZerodiumは、Tor Browserに対する期間限…
「中国のモバイル・アンチウイルスアプリ、利用者データの吸い出しが発覚」 www.bleepingcomputer.com 百度(Baidu)の一員とされるDU GroupによるAndroid向けアプリ「DU Antivirus Security」が、利用者データ(連絡先や通話ログ、位置情報など)を吸い出し…
「Shodanっぽいダークウェブ検索エンジン、Ichidan」 www.bleepingcomputer.com IoT機器検索サイトとして有名なShodanと似た感じの、Torネットワーク内(.onion領域)の検索サイト「Ichidan」ができました。 ドメインに対して空きポートやサービスを調べるこ…
「数十億のデバイス、クリック不要のBluetooth攻撃の危機に晒される」 arstechnica.com https://www.jpcert.or.jp/at/2017/at170037.htmlwww.jpcert.or.jp Bluetoothの実装面の脆弱性をつく攻撃「BlueBorne」の情報が公開されました。 攻撃可能な条件は脆弱…
「欧州連合、侵襲的なアップロード・フィルタを『リンク税』の代替として検討」 www.bleepingcomputer.com EUでは、エストニアが中心となって、アップロードファイルに対する著作権検査フィルタの義務付けが検討されています。 EUでは、大手メディア企業の要…
「Best Buy、ロシア企業製のセキュリティソフトの販売を停止」 http://www.startribune.com/best-buy-is-pulling-security-software-from-russian-firm-from-shelves/443274603/www.startribune.com 「カスペルスキーのアンチウイルス製品、スパイ行為への懸…
少し古い話ですが。 「AI学習アルゴリズムにバックドアや処理改変をしかけられる可能性が指摘される」 www.bleepingcomputer.com ニューヨーク大学の研究者達が、ディープラーニングにバックドア等をしかける研究について発表しました。 論文は次のURLからダ…
「次世代セキュリティシステムのトップメーカー、テラバイト級の顧客データを漏洩していると批判を受ける」 www.bleepingcomputer.com Carbon Black EDR (Endpoint Detection and Response)というセキュリティ製品は、ホワイトリストをもっており、それに該…
「家庭用ロボットは簡単にハックされ持ち主を監視、あるいは攻撃できる―研究者が指摘」 www.theverge.com もう半月ほど前の記事ですが。 IOActiveの研究者達がペッパーや中国UBTechのAlpha 2などのロボットをクラックするデモを発表しました。クラックに成功…
(たぶん、英語圏の)女優さんたちの裸の写真をリークする「Fappening」、今年も開催されているようです。私は出てくる名前のほとんどが分からないので、名前はリンク先をご覧ください。 「Fappening 2017:今週のヌード写真リークリスト」 news.softpedia.c…
「電話機への実攻撃可能なコード求む。最高額を用意して待つ」 arstechnica.com 未公開(「ゼロデイ」)の脆弱性を買い上げるZerodiumが、買い上げ価格を改定しました。従来よりもスマートフォン関連の価格が上がっています。 zerodium.com 買い上げ最高金額…
「Apple、イランで人気のアプリを、米国の制裁に基づき削除」 www.theverge.com Appleは、ストアからイランで人気のアプリを削除しました。ライド・シェアリングのSnappや、食事配達のDelionFoodsなどが含まれます。これは米国の現政権によるイランに対する…
「最もよく知られたAndroid DDoSマルウェアの1つ、100カ国以上で感染」 arstechnica.com 「WireX」というマルウェアは、Google Play上の300以上のアプリに含まれたこともあり、DDoS攻撃をかけることが可能です。調査によれば、このWireXは最大で12万以上のIP…
「企業がキーロガーで従業員を監視するのは違法、独法廷が判決」 www.bleepingcomputer.com ドイツの労働裁判所は、従業員の行動を監視するためにキーロガーを使うのはプライバシーに抵触するという判決を出しました。 この件は、とあるWeb開発者が解雇され…
「米陸軍、打鍵追跡に基づくバイオメトリクス認証システムを採用する可能性」 www.bleepingcomputer.com 米陸軍のネットワーク管理などを行う組織であるNETCOM(ネットワーク事業技術司令部)が、DIU-X(実験的先進技術ユニット)に続き、米軍で2つ目の「打…
「太陽電池発電システムへのサイバー攻撃、ドミノ効果でパワーグリッド全体を落とす可能性も」 www.bleepingcomputer.com 少し古いネタですが、オランダのセキュリティ技術者が太陽電池発電システムの多数(21件)の脆弱性を発表しました。 発見者は今年(20…
「Plex、プライバシーポリシーを改訂し、データ収集オプトアウト不可に」 https://www.bleepingcomputer.com/news/software/plex-updates-privacy-policy-so-users-cant-opt-out-of-data-collection/www.bleepingcomputer.com 自分がもっている動画などを、…
「Salesforce、Defconで発表したレッド・チームの人員を解雇」 www.zdnet.com 「Salesforceの『レッド・チーム』メンバ、Defconでツールについて発表し、解雇される」 arstechnica.com Salesforceのレッド・チーム(組織内で意図的に設定される敵役チーム)…