Google の修理拠点に送った Pixel スマートフォンが不正にアクセスされたという 2 件の報告

8 hours 35 minutes ago
headless 曰く、返品交換保証 (RMA) を受けるために Google のテキサスの修理拠点へ送った Pixel スマートフォンが不正にアクセスされ、Google アカウントやその他のアカウントが侵害されたとの報告が 2 件出ている (Android Police の記事、 The Verge の記事、 9to5Google の記事、 SlashGear の記事)。 1 件は Reddit で報告されたもので投稿は既に削除されているが、投稿者の妻が故障した Pixel を Google へ送ってから 1 か月ほどして妻のソーシャルメディアアカウントに妻のヌード写真が投稿され、妻の PayPal アカウントで誰かに 5 ドルが送金されたという。Facebook と Instagram のデータはテキサスからのログインを示しており、古い端末の位置情報は投稿日にも送付先の建物を示していたとのこと。 もう 1 件はゲームデザイナーのジェーン・マゴニガル氏が Twitter で報告したものだ。マゴニガル氏は Google に返送した Pixel 5a が届かなかったとして代金を課金された上、1 か月以上経っても新しい端末は送られてこないと報告していたが、その後 Googleアカウントなどに誰かがログインし、下着姿などを含む多数のセルフィーが閲覧されていたという。なお、こちらもアカウント侵害関連の投稿は削除済みとなっている。 Google は修理・交換のため端末を送る前にはバックアップを取ってから初期化するよう推奨しているが、いずれの端末も故障のために操作不可能だった点が共通している。前者は新しい端末を受け取ったようだが、修理拠点で何者かが古い端末を修理してアカウントにアクセスしたとみられる。後者に関して Google は The Verge に調査中だと回答しているが、端末が現在どこにあるのかも把握できていないようだ。 Apple の正規サービスプロバイダーでも 2016 年に同様の問題が発生しており、Appleが被害者に数百万ドルを支払ったと今年6月に報じられた。

すべて読む | ITセクション | Google | セキュリティ | Android |

関連ストーリー:
Apple、個人に修理部品を提供する「Self Service Repair」プログラムを日本などを除く多くの国や地域で発表 2021年11月20日
Apple、非認定修理業者がディスプレイを交換した iPhone 13 でも Face ID をブロックしない計画 2021年11月14日
Apple に iPhone 12 の修理を拒否されたうえに破壊された米男性、iPhone の代金分の少額訴訟を提起 2021年10月29日
Apple、AirPods Pro の音の問題に関する修理サービスプログラムを静かに延長 2021年10月17日
Logicool製品の保証期間が勝手に短縮される問題が解決へ 2021年09月27日
ドイツ政府がスマートフォンメーカーに 7 年間のサポートを義務付ける計画との報道 2021年09月08日
アップルにiPhoneを修理に出した女性、裸の写真とセックス動画を自分のSNSに投稿される 2021年06月09日

nagazou

第12世代CoreでLinuxのSpectre・Meltdown対策パッチを無効化する意味はない

23 hours 33 minutes ago
LinuxではSpectreやMeltdown問題の対策として脆弱性対策を無効化するオプションパラメーターが存在している。2018年以前のインテル製CPUでは、SpectreやMeltdown対策は行われていないが、一部のLinuxユーザーはこの「mitigations=off」オプションをつけて起動することで、パフォーマンスを向上させていたという。この行為はセキュリティ上のリスクを伴うものだが、前世代のIntel CPUであれば測定可能な明確な性能差が出ることも分かっていたという(Phoronix)。 しかし、11月に発売された第12世代Core プロセッサ(Alder Lake-S)でもこのオプションを利用する意味があるのだろうか。Phoronixに掲載された記事では、その疑問に答えるためにオプションの有効・無効化によるパフォーマンスの差を調査している。Intel Core i9 12900K(Alder Lake-S)を搭載したシステムにUbuntu 21.10(Linuxカーネル5.15)をインストールした環境でテストが行われている。 それぞれのテスト内容やテスト項目に関しては元記事を見ていただきたいが、結論としてはIntel Core i9 12900K環境では「mitigations = off」の有無による差は、全体的にごくわずかなものだった。記事ではAlder Lake環境であれば、「mitigations = off」オプションを変更する価値はないと結論づけている。

すべて読む | Linuxセクション | Linux | セキュリティ | OS | Intel | スラッシュバック |

関連ストーリー:
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから? 2021年07月08日
Firefoxのテスト版にサイト分離機能を導入。MeltdownとSpectre問題に根本的な対策 2021年05月25日
一般PCユーザーに対してBIOS更新を勧める記事に不安の声が上がる 2020年07月07日
Intel、古い製品向けのドライバーやBIOSアップデートなどのダウンロード提供終了を進める 2019年11月22日
InteのIvy Bridge以降のCPUに新たな脆弱性が見つかる 2019年08月13日
Windows月例更新でVIAプロセッサ向けSpectre/Meltdown対策が盛り込まれる 2019年04月19日
CPUのSMT機能に関連した脆弱性が見つかる、SSL秘密鍵を盗む実証コードも公開 2018年11月07日
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 2018年01月04日

nagazou

Firefox 95 リリース、新しいサンドボックス技術 RLBox が全プラットフォームで有効に

1 day ago
headless 曰く、Mozilla は 7 日、Firefox 95.0 をリリースした (リリースノート、 Mozilla Hacks の記事、 The Verge の記事、 Phoronix の記事)。 本バージョンでは「RLBox」と呼ばれる新しいサンドボックス技術が全プラットフォームで有効化されている。すべてのメジャーブラウザーは Web コンテンツをサンドボックス内で実行し、ブラウザーに脆弱性があってもコンピューターには影響を与えないようにしている。しかし、サンドボックス内のプロセスに影響を与える脆弱性とサンドボックスを迂回可能な脆弱性を組み合わせた攻撃もしばしば発生しており、さらなる保護の仕組みが必要となる。 次のステップとしては機能の境界でプロセスを分離することだが、パフォーマンスへの影響が大きい。そのため、RLBox ではコードを個別のプロセスに分離するのではなく、まず WebAssembly にコンパイルし、そこからさらにネイティブコードにコンパイルする。これにより、対象のコードはプログラムの予期しない部分へジャンプすることや、指定された領域外のメモリーにアクセスすることができなくなる。その結果、信頼されるコードと信頼されないコードの間で安全にアドレス空間を共有可能になるとのこと。 RLBox のプロトタイプは既に Firefox 74 で Linux ユーザーに、Firefox 75 で Mac ユーザーに提供されていた。Firefox 95 ではデスクトップおよびモバイルのサポートされるすべてのプラットフォームで有効化され、Graphite / Hunspell / Ogg の3つのモジュールを分離するとのことだ。

すべて読む | ITセクション | セキュリティ | Firefox | デベロッパー |

関連ストーリー:
Firefox ユーザーが誤って GitHub にアップロードしたとみられる cookie データベース数千件が見つかる 2021年11月22日
Mozilla Firefox、Windows 10 / 11 の Microsoft Store で入手可能に 2021年11月11日
Firefox 94、ウィンドウを閉じて複数のタブが閉じられる際の確認ダイアログがデフォルト非表示に 2021年10月30日
Mozilla Firefox、Microsoft Store に登場 2021年10月23日
Firefox 93のFirefox Suggestは実質広告ではないかとする指摘 2021年10月14日
令和3年分確定申告、医療費通知情報の自動取得などオンライン利用がより便利に 2021年10月12日
Mozilla、一部のFirefoxユーザーを対象に既定の検索エンジンを Bing に変更する実験 2021年09月20日

nagazou

文部科学省の脱PPAP、NECの「MCメールフィルター」と「Box」の組み合わせへ

1 day 10 hours ago
文部科学省は1日、パスワード付きZIPファイルの添付、いわゆる「PPAP」対策の一環として、メールの添付ファイルをクラウドストレージサービスに一度移動させ、受信者がファイルをクラウドストレージからダウンロードする仕組みを導入すると発表した(文部科学省リリース、日経クロステック、ScanNetSecurity)。 来年1月4日以降のすべてのメール送受信が対象となる。移動するクラウドストレージは米Boxの「Box」を採用。日経クロステックの記事によると、NECのMCメールフィルターのBox連携機能と組み合わせ、添付ファイルをBoxへ自動で移動させるという。同省とメール送受信をする関係者は事前にBoxへ接続が可能かどうか確認するよう求めている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 |

関連ストーリー:
IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信 2021年11月19日
日立グループ、2021年12月13日以降すべての送受信メールでPPAP利用廃止 2021年10月18日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 2021年06月24日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日

nagazou

LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード

2 days ago
LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報(キャンペーンコード等)となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている(LINE Payのプレスリリース)。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー:
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
中国電信が米国で免許取り消しへ。安全保障の観点から 2021年11月01日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日

nagazou

練馬区の中学校で生徒からSNSパスワードを収集し問題に。区教委が作成したリーフレットが発端

2 days 4 hours ago
東京都練馬区の中学校で、生徒に対してSNSのパスワードを書かせた書類を提出させようとしていたことが分かった。こうなった原因は複数あるが、最大の理由は東京都練馬区教委会が配布したSNS利用の啓発用のリーフレットに、SNSのパスワードを記入する欄があったこと。もともと区教委はパスワードを収集する意図があったが、パンフレットの内容がTwitterで出回り、人権侵害であるなどの指摘がでて炎上。その結果、区教委はパンフレットはそのままで提出時にパスワードを記載しない状態で提出してもらうと通知していたようだ(練馬区リリース[PDF]、弁護士ドットコム、毎日新聞)。 しかし練馬区内の中学校1校がこの通知を生徒や各家庭に伝達し忘れた。それによりパスワードが記載されたリーフレットが家庭に届き、学校側が生徒のパスワードを知り得る状態になってしまったという。練馬区のリリースによれば12月2日時点で276名からリーフレットの提出を受けていたとしている。このため区では3日、各家庭にあてて謝罪文を送付したとしている。

すべて読む | セキュリティセクション | セキュリティ | 教育 | 情報漏洩 |

関連ストーリー:
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 2021年11月30日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
学習向けタブレット等を使用してのいじめ、全国の小中学校で増加 2021年11月11日
イスラエル・テルアビブ、家庭や小規模オフィスの Wi-Fi は 70 % が容易にクラックできるとの調査結果 2021年11月02日
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 2021年10月12日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日

nagazou

Amazon謹製MMORPG、ローカルサイドでアイテムのトレードなど様々な処理をしていた

3 days 1 hour ago
Amazon.comが9月から提供しているMMORPG「New World」。リリース直後は最大同時接続90万人を記録したほどの大規模なゲームとなっている。一般的なMMORPGでは、チート行為を防ぐため、アイテムやユーザーデータなどの管理はゲームサーバー上に保管され、サーバー側と通信をしないとアイテムの取引などはできないような仕組みになっている。ところが、A-Liaison BLOGの記事によれば、このゲームではちょっとした手続きをすることで、サーバーを介さずにユーザー間でアイテムのやりとりができてしまうという。具体的な問題に関しては元記事を見ていただきたいが、この影響により様々なアイテムの増殖技などが出回っており、ある種の無法地帯のような状態になってしまっているようだ(A-Liaison BLOG)。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | インターネット | ゲーム |

関連ストーリー:
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
他作品の「なろう系」作品主人公を悪役にした漫画、連載1回で掲載中止に 2021年07月01日
PUBGのチートツールを販売していたグループが摘発される、51億円の資産を押収 2021年04月02日
最近のチートツールはUEFI上で動作する 2021年04月01日
ネット界隈でスパイウェア疑惑が取り沙汰されていたPC版「原神」のmiHoYo、スパイウェア疑惑について正式に否定 2020年09月30日
チート対策のためオンラインゲームでもSMS認証が広がる? 2020年05月20日

nagazou

EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性

1 week ago
グラウンドワークスは11月30日、同社が運営する「EVANGELION STORE」で、第三者による不正アクセスにより、利用者のクレジットカード情報1万7828件が流出した可能性があると発表した。同サイトはアニメ作品「エヴァンゲリオン」シリーズのグッズなどを扱う公式ストアとなっている(弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ、ITmedia)。流出は7月12日に一部のクレジットカード会社からの連絡で発覚、同日カード決済を停止した。第三者調査機関による調査が行われ、9月29日に一部のお客様のクレジットカード情報が不正利用された可能性があることが確認できたとしている。漏洩した可能性のある情報は以下の通りとなっている。 カード名義人名クレジットカード番号有効期限セキュリティコードログオンID(EVANGELION STORE(オンライン)会員用メールアドレス)パスワード(EVANGELION STORE(オンライン)会員用)

すべて読む | セキュリティセクション | ニュース | アニメ・マンガ | 情報漏洩 |

関連ストーリー:
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
Firefox Nightlyにクライアントサイドの機械翻訳機能が実装される 2021年05月31日
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
練馬区の中学校で生徒からSNSパスワードを収集し問題に。区教委が作成したリーフレットが発端 2021年12月07日

nagazou

スマートロックサービス「Qrio」でネットワーク障害。発生から4日が経過

1 week 1 day ago
ソニー子会社の「Qrio」が提供するスマートロックサービスで11月27日から障害が発生しているそうだ。このシステムはドアに設置し、モーターでカギを物理的に回して解施錠を行う「Qrio Lock」を用いたサービス。Qrio Lockは登録したスマートフォンを持って近づくと自動的に解錠し、ドアが閉まればオートロックをおこなうスマートロックシステム(Qrioリリース、ITmedia、Qrio Lockの公式動画、Qrio Lockのハンズフリー解錠って実際どういう仕組みで動いてるの?)。 同社ではQrio Lockをインターネット経由やスマートスピーカー経由で遠隔操作するためのユニット「Qrio Hub」をオプションとして提供していている。今回のシステム障害はこの「Qrio Hub」側で起きているという。リリースによればQrio Hubとサーバー間の通信エラーが発生し、Qrio Hubに対してネットからのリモート操作による解施錠とQrio Hubによる解施錠履歴更新ができない状態であるとしている。Qrio Lock単体で使える解施錠機能は従来通り利用できる。同社では調査及び復旧に向けた対応を行なっていくとしている(参考:「Qrio Smart Lock」は「Qrio Hub」を以て完成する!)。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | クラウド | ニュース |

関連ストーリー:
アプリで開閉するレンタカーから山奥で締め出し、再検証でも原因は不明 2021年08月13日
玄関ドアのスマートロックにまつわるトラブル。インターホン経由で屋外から解錠へ 2021年08月05日
Googleオフィスで導入されていたIoT錠、従業員によってハックされる 2018年09月06日
スマホで開錠できるスマートロック、配信されたアップデートに不具合があり開錠不能に 2017年08月18日
ソニー新会社Qrioが世界最小のスマートロックシステムを開発 2014年12月17日

nagazou

2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」

1 week 2 days ago
headless 曰く、crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。 CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。 タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。 CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。 crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー:
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
Chromiumのソースツリーにテスト用マルウェア混入、ユーザーには影響なし 2021年11月23日
終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 2021年11月23日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
UAParser.jsにマルウェアが混入 2021年10月29日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日

nagazou

リクルートIDがinfo@など特定のユーザ名に制限。利用者には変更を要請

1 week 2 days ago
リクルートの提供しているサービス向けID「リクルートID」で、特定のユーザ名を含んだメールアドレスへのメール配信を制限しているそうだ。制限されるユーザ名はサイトに一覧として掲載されているが、「info@」「www@」「admin@」「group@」といったものが制限の対象となっている(リクルートID登録しようとすると「このメールアドレスではリクルートIDからのメールを受信できません」とエラー表示される)。 この件に関する説明記事によれば、プロバイダなどでは不適切なメールを検知してブロックする場合があることから、こうしたアドレスにメール配信をし続けるとドメイン単位でブロックされてしまい、ほかのユーザーへのメール送信に遅延や停止等の支障がでてしまうためだとしている。同社では該当するメールアドレスを利用している場合、メールアドレスの変更を行うように求めている。 あるAnonymous Coward 曰く、独自ドメインを利用している人は、該当する場合が結構あるのではないでしょうか。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT |

関連ストーリー:
WSATools が Microsoft Store から一時削除された理由、その一つは名称だった 2021年11月27日
TikTok のディズニーキャラクター TTS ボイス、「gay」「lesbian」などの読み上げを拒否して注目される 2021年11月18日
Qiitaで3桁数字のユーザー名を登録するとバグが起きるかもしれない 2021年11月17日

nagazou

英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入

1 week 2 days ago
イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ(英国政府リリース、Engadget、GIGAZINE、iPhone Mania)。 この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド(約15億2610万円)あるいは世界市場での売上げの4%が罰金として科せられるとしている。

すべて読む | セキュリティセクション | テクノロジー | 英国 | セキュリティ | ニュース | インターネット |

関連ストーリー:
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 2020年08月08日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
医療システムで多数のパスワード入力が必要な英国、シングルサインオンへの移行でログインにかかる時間を105秒から10秒に短縮できると期待 2020年01月10日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
英国会議員の不正アクセス行為が謝罪だけで許されそうになっていることをLulzSec元メンバーが批判 2018年04月14日
練馬区の中学校で生徒からSNSパスワードを収集し問題に。区教委が作成したリーフレットが発端 2021年12月07日

nagazou

Microsoft、Windows 10 Update Assistant の脆弱性 2 件を修正

1 week 2 days ago
headless 曰く、Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。 2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。 脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。 一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。 CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。 先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows |

関連ストーリー:
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
米国土安全保障省、実際に攻撃が行われている脆弱性 300 件近くへのパッチ適用を政府機関に義務付ける指令を発出 2021年11月06日
Apple、iTunes for Windows 12.12 を再リリース 2021年09月28日
Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 2021年07月22日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日

nagazou

Collins Dictionary が選ぶ 2021 年を代表する言葉は「NFT」

1 week 3 days ago
Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事、 Neowin の記事、 Mashable の記事、 Ars Technica の記事)。 NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。 新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。 double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知 climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態 neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811~1820) の上流階級の衣服をイメージした服装 cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの

すべて読む | セキュリティセクション | テレビ | ニュース | サイエンス | 医療 | 暗号 | お金 |

関連ストーリー:
J.R.R. トールキン作品をテーマに使った暗号通貨 JRR Token、滅びの裂け目に投げ込まれていた 2021年11月26日
NFTブームの欺瞞がアーティスト側から批判される 2021年11月05日
ウォズ曰く、名前を変える会社は信頼できないかもしれない 2021年11月03日
NFTアートは投機?詐欺?イラスト界隈で議論に 2021年10月27日
TwitterCEOの初ツイートを約2億1800万円で落札した人物、逮捕された可能性 2021年05月25日
Twitterの最初のツイートが約2億1800万円で落札 2021年03月24日
データ分析プラットフォーム Splunk、偏見のないドキュメントを書くためのスタイルガイドを公開 2021年03月06日
NFTS形式のファイルシステムインデックスを破壊できるコマンド 2021年01月18日
Oxford University Press、2020年を代表する言葉は多すぎて1つに絞れないとして報告書にまとめる 2020年11月27日
Collins Dictionaryが選ぶ2020年を代表する言葉は「lockdown」 2020年11月13日
Merriam-Webster、2019年を代表する言葉に「they」を選ぶ 2019年12月12日
Collins Dictionaryが選ぶ2019年を代表する言葉は「climate strike」 2019年11月10日
Merriam-Webster、三人称単数代名詞「they」の新定義など533の新語句や新定義を追加 2019年09月20日
Collins Dictionary、2018年を代表する単語に「Single-use」を選定 2018年11月10日

headless

乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる

1 week 3 days ago
Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1、 Neowin の記事、 The Guardian の記事)。 Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。

すべて読む | ITセクション | Google | セキュリティ | クラウド | 暗号 | お金 |

関連ストーリー:
偽の暗号通貨採掘アプリ、Google Playに多数存在か 2021年08月23日
PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる 2021年06月26日
ノートン360にイーサリアムのマイニング機能「Norton Crypto」が追加へ 2021年06月09日
英警察が大麻栽培工場と疑って捜査した施設、盗電による暗号通貨採掘場だった 2021年05月31日
イラン、電力需要増加に対応するため暗号通貨採掘を夏の終わりまで禁止 2021年05月29日
WebAssembly使用サイトの半分は悪意のある目的に利用しているとの調査結果 2020年01月10日
フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除 2019年09月02日
2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」 2021年11月30日

headless

Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開

1 week 4 days ago
Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1]、 [2]、 Cisco Talos Intelligence Group の記事、 Neowin の記事)。 Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379 もその一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。 Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。 PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。 脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。 Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows |

関連ストーリー:
Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 2021年07月22日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 2020年03月07日
Microsoft、2月の月例更新でInternet Explorerのゼロデイ脆弱性を修正 2020年02月14日
Microsoft、Internet Explorerのゼロデイ脆弱性を公表 2020年01月19日
Microsoft、Windows 10 Update Assistant の脆弱性 2 件を修正 2021年11月30日
2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」 2021年11月30日

headless

Apple、イスラエルのNSO Groupを提訴。スパイウェア「Pegasus」開発

1 week 5 days ago
Appleが23日、イスラエルのNSO Groupに対し、Appleユーザーを監視・標的にした責任を問う訴訟を起こした。この件に関しては過去記事でも何度か取り上げられているが、同グループは個人データ、写真、メッセージ、正確な位置情報などを把握できるスパイウェア「Pegasus」を開発し、人権抑圧国家に売却していた(関連その1、その2)。ジャーナリスト、活動家、反体制派、学者、政府関係者といった反体制派の言論抑制などに用いられたとされる(Appleリリース、Reuters、TechCrunch、Engadget、日経新聞、GIGAZINE、ITmedia)。 今回の訴訟でAppleはユーザーへのさらなる悪用と被害を防止するため、同グループがAppleのソフトウェアやサービス、デバイスの使用を禁止する恒久的な差止命令や賠償金支払い命令を求めている。訴状では、NSO Groupが被害者の機器にスパイウェア「Pegasus」を感染させる方法に関する情報なども記載されているという。Appleはリリースの中で、NSO Groupのような国家に支援されている組織が、説明責任を果たさず高度な監視技術に何百万ドルも費やしているとし、この状況を変える必要があるとしている。

すべて読む | アップルセクション | セキュリティ | クラウド | 携帯電話 | インターネット | アップル | 政府 | 携帯通信 |

関連ストーリー:
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
NSO Group のスパイウェアがジャーナリスト監視に使われていた問題で、iOS のセキュリティがイメージほど高くないことにも注目が集まる 2021年07月23日
各国政府機関が愛用するスマートフォン用スパイウェア、クラウドのデータも取得可能に 2019年07月21日
Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 2016年08月28日
英 MI6 長官曰く、ボンド映画の Q のように部内ですべてのテクノロジーを開発するのは非現実的 2021年12月03日

nagazou

J.R.R. トールキン作品をテーマに使った暗号通貨 JRR Token、滅びの裂け目に投げ込まれていた

1 week 5 days ago
headless 曰く、世界知的所有権機関 (WIPO) が 9 月、ドメイン名「jrrtoken.com」が商標「J R R TOLKIEN」を侵害しているとして、商標を保有する J.R.R. トールキンの遺産管理団体への移転を命じていたようだ (WIPO の裁定、 The Verge の記事、 Ars Technica の記事)。 このドメイン名を使用していた暗号通貨「JRR Token」は「すべてを支配する一つのトークン (The One Token That Rules Them All)」をキャッチフレーズとし、トールキン作品のさまざまな要素をテーマに用いていた。そのため、トークンの提供が開始された直後の 8 月 7 日、トールキンの遺産管理団体が WIPO の調停仲裁センターに申立てを行っていたという。このドメインはセンターが裁定を行った時点で「thetokenofpower.com」にリダイレクトされており、トールキン作品「ホビット」に登場するガンダルフに似た人物を含む複数の魔法使いの画像や、トールキン作品に関連するそのほかの画像が使われていたそうだ。 訴えられたドメイン保有者 (被告) は「jrrtoken.com」が商標の「L」と「I」を含まず、混乱するほど似ていないと主張したほか、トールキン作品のイメージを使用したのはパロディであり、不誠実さをもって使用したのではないなどと主張した。しかし、被告は著名な商標の 1 ~ 2 文字を置き換えたドメイン名が必ずしも商標を侵害しないという WIPO の過去の裁定を依拠としていたが、現在は当時と異なる認知可能性テストにより判定が行われるようになっている。そのため、審査委員は現在の基準で混乱するほど似ていると判断した。また、被告がパロディだと主張した点も商標の想起を認識していたことを裏付けるものとされた。 このほか、ドメイン名に対する正当な権利が被告にないこと、ドメイン名が不誠実に登録・使用されたことも認定され、ドメイン名移転の申立要件がすべて満たされたとのことだ。

すべて読む | idleセクション | 書籍 | パテント | インターネット | idle | 暗号 | お金 |

関連ストーリー:
J・R・R・トールキンの未発表作品が刊行される 2017年06月04日
Google翻訳、「ロシア連邦」を「モルドール」と訳してしまうトラブル 2016年01月09日
「指輪物語」の著者がノーベル文学賞を逃した理由は「文章が低品質」 2012年01月10日
「ギークをピクっとさせる 10 の発言」、日本なら何 ? 2009年06月18日
トールキン財団、ニューラインシネマを提訴 2008年02月13日
トールキンの未完作品、息子が完成させ来春刊行 2006年09月20日
Collins Dictionary が選ぶ 2021 年を代表する言葉は「NFT」 2021年11月28日

nagazou

LiDARで隠しカメラを発見する技術

2 weeks ago
taka2 曰く、シンガポール国立大学と韓国の延世大学の研究チームは、スマホの深度センサーを用いて隠しカメラを発見する「Laser Assisted Photography Detection (LAPD) 」という技術を、ACM SenSys 2021で発表した(論文、Forbes JAPAN、INTERNET Watch)。LiDARの出すレーザーがカメラレンズに反射したときのパターンを機械学習することで、隠しカメラ検出を実現している。実験では、肉眼では46%しか見つけられなかった隠しカメラを、スマホカメラを用いたLAPDで88.9%検出できている。サンダーバード一号の自動カメラ探知機が現実のものになるとは…

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | プライバシ |

関連ストーリー:
GIGAスクール構想で配付された端末、各地で様々な機能制限が報告される 2020年11月21日
JOC、女子選手の画像ネット拡散の対策へ。法務省では盗撮罪も検討対象に 2020年11月06日
兵庫県西宮市、職員のPC起動時に「公務員の自覚」を呼びかける表示を行う 2019年11月08日
スカート内を盗撮する行為を犯罪とする法律制定の動き、欧州で広がる 2019年08月11日

taka2 (posted by nagazou)

Chromiumのソースツリーにテスト用マルウェア混入、ユーザーには影響なし

2 weeks 1 day ago
Chromium のソースツリーに 9 月 9 日から 11 月 18 日まで、マルウェアを含むテスト用の Office ドキュメントが誤ってコミットされていたそうだ(Google グループでのアナウンス、 9to5Google の記事)。 このマルウェアが Chrome のリリースに含まれることはなく、Google Chrome や派生版ブラウザーのユーザーが影響を受けることはないという。また、マルウェアサンプルは 5 年前の古いものであり、Windows 上で Chromium のソースコードから Microsoft Office を使用して開かかなければ実行されることはないが、Chromium 開発者にはリベースの実行が推奨されている。

すべて読む | ITセクション | Chrome | セキュリティ | Chromium | Windows | デベロッパー |

関連ストーリー:
UAParser.jsにマルウェアが混入 2021年10月29日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
「CCleaner」に混入されたマルウェアは特定企業を狙った標的型攻撃だった 2017年09月26日
開発に使われたPCがウイルスに感染していたためにウイルスが混入したと見られるAndroidアプリ、多数見つかる 2017年03月08日
2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」 2021年11月30日

headless
Checked
2 hours 12 minutes ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed