約29万人のPayPayカードの信用情報を誤登録、他社の審査に影響を与えた可能性

9 hours 17 minutes ago
PayPayカードは16日、ユーザーの信用情報を信用情報機関のシステムに誤って登録したと発表した。この影響により誤登録されたユーザーのクレジットカードの契約などに影響した可能性がある(PayPayカードリリース、日経クロステック、[ITmedia、ケータイ Watch)。 同社は、ユーザーの契約情報を指定信用情報機関のシー・アイ・シー(CIC)に月次で提供しているそうだ。4月17日から5月2日の期間、登録設定の誤りにより一部ユーザーの債務残高や支払い情報が間違ってCICに登録されてしまったという。日経クロステックの記事によれば「2022年4月分のデータを作成している際にシステム不具合が生じ、そのリカバリー手順を誤った」とのこと。これにより最大で28万9873人の与信判断に影響が生じた可能性があるとしている。同社は判明後に速やかに修正を行い、現在は正しい内容が登録されているとしている。

すべて読む | セキュリティセクション | ニュース | IT | お金 | データベース | 情報漏洩 |

関連ストーリー:
貸出金利を無料にする代わりに信用情報で儲けるビジネスモデルのアプリ 2022年04月04日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
過去最大の上場が一時停止。アリペイのアントグループ、上海・香港への上場を直前で停止発表 2020年11月04日
中国の江蘇省蘇州市で導入された文明コードアプリ、3日で運用停止へ 2020年09月09日
Airbnb、宿泊客の信頼性をAIで事前評価する特許を申請 2020年01月09日

nagazou

北朝鮮IT技術者、日本の地図アプリや通販サイトの業務を請け負い。知人らを書類送検

15 hours 12 minutes ago
中国に住む北朝鮮のIT技術者が、日本人の知人の名義を使用し、日本でスマートフォンアプリの開発業務を請け負った疑いが出ている。神奈川県警は18日、国外に不正送金したとして、知人の韓国籍の57歳の男性とIT技術者の親族に当たる75歳の女性を銀行法違反などの容疑で書類送検した。2人は容疑を認めているとのこと(時事ドットコム、NHK、毎日新聞、読売新聞)。 読売新聞の記事によれば、この北朝鮮のIT技術者は、先の韓国籍男性の名義を使って技術者らをマッチングする日本のサービスに登録。2019年以降、地図アプリの更新や大手通販サイトの出品者サポートシステムの保守管理など7件の業務を請け負っていたとされる。この少し前に当たる16日、米国政府は北朝鮮出身のIT技術者が身元を隠し、リモートワークの仕事を得ようとしているとして警戒を呼びかけていた(BBC)。また22日から米バイデン大統領が来日を予定しており、これに合わせて北朝鮮がICBMの発射に踏み切る可能性があるとの報道も出ていることから北朝鮮関係の警戒態勢が取られていたのかもしれない(NHK、時事ドットコム)。

すべて読む | セキュリティセクション | セキュリティ | ニュース | IT |

関連ストーリー:
北朝鮮がCOVID-19流行を認める 2022年05月16日
2月16日以降、サイバー攻撃が最大25倍増との調査結果 2022年03月09日
防衛省が「情報戦」の体制整備へ、日本を対象とした攻撃に備え 2022年02月17日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
かつてコンピュータ囲碁最強は北朝鮮だった 2017年11月23日
北朝鮮企業が「iPad」を開発 2017年06月02日

nagazou

NVIDIA製GPUディスプレイドライバーに複数の脆弱性

17 hours 13 minutes ago
NVIDIAは16日、同社のGPUドライバに複数の脆弱性があると発表した。すでに対策を施した最新版のドライバーがリリースされている。発表された脆弱性が対策済みとなるのはバージョンが「512.77」以降。R470ブランチ版でも同様の脆弱性を修正したv473.47が提供されているとのこと。窓の杜の記事によると、脆弱性はCVE番号ベースで10件が存在するとしている。これらの脆弱性により、任意コードの実行や情報の漏洩、データの改ざんなどにつながる恐れがあることから早めのアップデートをおこなうよう求めている(NVIDIA、窓の杜)。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | ソフトウェア |

関連ストーリー:
NVIDIA、ついにlinux kernel moduleをオープンソース化 2022年05月13日
Linuxをプリインストールした世界で最もパワフルなML開発者向けノートPC「TensorBook」 2022年04月15日
NVIDIA、AIを活用し超高速で写真を3D動画に変換するInstant NeRFを発表 2022年03月29日
Arm、NVIDIAへの売却断念で1000人近くの人員削減か 2022年03月17日
NVIDIAのプロプライエタリ情報を盗み出したハッキンググループ、ドライバーのオープンソース化を要求 2022年03月05日

nagazou

電源を切った iPhone でマルウェアを実行する手法

1 day 5 hours ago
headless 曰く、電源を切った iPhone でマルウェアを実行する手法について、ドイツ・ダルムシュタット工科大学の研究グループが研究成果を発表している (論文アブストラクト、 HackRead の記事、 ACM WiSec 2022 でのプレゼンテーション動画)。 iOS 15 以降では電源をオフにしてから 24 時間後まで「探す」ネットワークが利用でき、iOS 15.2 以降ではバッテリー残量がなくなって電源が切れた状態の省電力モードでも 5 時間後まで「探す」ネットワークが利用できる。また、iOS 14 以降ではウォレットアプリに入れたカードやパス、キーが省電力モードで利用できる。つまり、電源が切れた (ように見える) iPhoneでも、予備電力が消耗しない限り一部の機能は稼働し続けていることになる。 研究グループが調査したところ、稼働し続けるモジュールはBluetoothとNFC、超広帯域 の 3 つであることが判明する。NFC と超広帯域のファームウェアは署名されているが、Bluetooth のファームウェアは署名されておらず、CRC をチェックするのみだという。iPhone が採用する Broadcom の Bluetooth チップにはファームウェアに RAM 上でパッチを適用する Patchram という機能があり、電源が切れた iPhone で Bluetooth チップへ容易にマルウェアを読み込ませ、実行させることが可能とのこと。 なお、研究グループが分析に使用したツール InternalBlue は脱獄した iOS を必要とするが、Bluetooth ファームウェアのパッチに iOS の脱獄が必要かどうかは明記されていない。ただし、脱獄ユーザーが少ないにもかかわらず、研究グループはハードウェアベースでバッテリーを切断できるスイッチの必要性を訴えており、非脱獄 iPhone を攻撃することも可能とみられる。

すべて読む | アップルセクション | セキュリティ | iPhone |

関連ストーリー:
アプリのサイドローディングに対する Apple の主張、iOS と Mac で矛盾しているとの指摘 2021年11月07日
Apple、Unreal Engineの開発者アカウント停止を再主張。Epicが別の「トロイの木馬」を仕込む可能性があるとして 2020年09月23日
Macを狙うマルウェア、2016年に前年比で744%も増加 2017年04月11日
iPhoneで突然パスワードの変更を求められる現象、Appleも原因を把握していない? 2016年05月10日
脱獄済みiOS端末20万台以上がマルウェアに感染。アカウント情報が流出 2015年09月03日

nagazou

サーバ証明書の発行を検知、初期状態のWordPressに侵入する手口が横行

1 day 9 hours ago
サーバ証明書の発行を悪用し、WordPressで作られたサイトをターゲットにする攻撃が指摘されている(The Daily Swig、matsuu序二段さんのツイート)。 The Daily Swig の記事によれば、この攻撃はCertificate Transparency(CT)システムを悪用したもの。CTでは不正な証明書を迅速に発見するため、証明書を直ちに公開ログに記録することが義務づけられている。今回指摘されている攻撃では、悪意のあるハッカーが先の公開ログを監視し、WordPressの新規ドメインを検出すると即座にアクセス、初期インストール状態のWordPressにバックドアを仕掛けるという手法であるようだ。 この攻撃により、TLS証明書が要求されてから数秒から数分のうちにサイトがハッキングされたという証言も複数出てきているとのこと。証明書認証局のLet's EncryptのJosh Aas氏は「もし攻撃者がCT公開ログを直接監視しているのであれば、新しい証明書エントリをいち早く確認可能であり、攻撃を成功させるための時間的余裕を与えてしまうことになる。(中略)安全が確保されるまではWordPressによる新規サイト公開は避けるべきだろう」と述べている。

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー:
人気オープンソースプロジェクトの脆弱性、1年で倍増 2020年06月11日
Office 365のセキュリティ機能、組織に送られたスパムメールの25%を見逃す 2019年04月17日
大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる 2019年01月30日
60万サイトで使われるWordpress多言語プラグインWPML、サイトがハッキングされ情報流出 2019年01月28日
突然現れた「日本ワードプレス協会」とこの協会によるWordPressの認定資格が話題に 2018年07月03日
WordPress 4.7.0および4.7.1 に認証なしでコンテンツをアップロードできる深刻な脆弱性 2017年02月07日

nagazou

国内でVLC media playerの脆弱性を利用したサイバー攻撃。PC Matic発表

2 days 9 hours ago
オープンソースのメディアプレイヤーであるVLC media player(以下VLC)を利用したサイバー攻撃が発生したという。セキュリティソフトのPC Maticの報告によれば、同社製のアプリであるPC Matic個人版を利用しており、同ソフトと他社セキュリティソフトを併用している日本のユーザーでVLCの深刻な脆弱性を悪用され、リモートソフトであるVNCがインストールされ、端末が遠隔操作されるという事案が9日に発生したとのこと。この事案では、ユーザーが画面上で遠隔操作されていることに気がついたとしている。PC Maticは本アプリの利用時、SuperShield 保護モードから切り換えないよう求めている(PC Matic:VLC media playerを利用したサイバー攻撃確認のご報告)。

すべて読む | セキュリティセクション | セキュリティ | アナウンス |

関連ストーリー:
1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 2019年07月26日
メディアプレイヤーを狙った字幕ファイルを使用した攻撃の可能性が指摘される 2017年05月26日
MOAB総括 — Mac OS X非依存編 2007年02月13日

nagazou

巧妙なバックドア「Saitama」が発見される。ヨルダン政府組織をターゲット

3 days 7 hours ago
TECH+の記事によれば、セキュリティサービスのMalwarebytesが、ヨルダンの外務省の政府関係者を標的としたサイバー攻撃を発見したという。このサイバー攻撃は「Saitama」と呼ばれる新しいバックドアを利用している。電子メールに悪意のあるアクティビティを実行するマクロ月のExcelファイルを添付。ドキュメントには、被害者にマクロを有効にするように求める内容の画像が含まれているという。Malwarebytesは今回の攻撃はイランに所属するとみられる「APT34」グループによるものだと分析している(Malwarebytes、TECH+)。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
NSA曰く、新しい暗号規格にバックドアはない 2022年05月15日
メタップスペイメントの不正アクセスでクレカ情報46万件が流出。AKB48関連や日本赤十字社などが影響 2022年03月02日
米連邦政府のネットワークにバックドア見つかる 2021年12月27日
中国進出した企業に義務化されている税務ソフトにスパイウェア。ドイツとの関係も悪化 2020年12月11日
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日

nagazou

韓国発4兆円規模の暗号通貨ルナ関連、一夜にして価値ゼロに

4 days 5 hours ago
韓国のTerraform Labsによる暗号通貨「Terra(LUNA)」が一夜にして資産価値がゼロになるという事態が起きたそうだ。LUNAは米ドルなどの価格にペッグしたステーブルコインを発行するプロジェクトとのことで、4月には時価総額が5兆円を超え、仮想通貨全体のランキングでも10位に入っていたこともあった。しかし、5月13日朝時点でLUNAの価格は2円にまで下落、5日前の1万円以上価値があったものが99%以上下落したとしている(ITmedia、GIGAZINE、あたらしい経済)。 発行しているTerraform Labsは13日の1時過ぎ、価格暴落を防ぐためにブロックチェーンの稼働を一時停止したという。しかし、世界最大の暗号資産取引所バイナンスでは、ユーザー保護の観点から、LUNAとUSTの取引停止するという状況に陥った(COINPOS、中央日報)。現在は一部取引を再開しているそうだが、バイナンスのChangpeng Zhao(CZ)CEOは14日、「バイナンスは常に中立的であろうと務めているが、同チームの対応を、非常に残念に思っている」としてTerraform Labsに対して異例の苦言を呈したとしている。 原因に関してはいろいろな話があるようだが、バイナンスによれば、テラプロトコルの設計に問題があり、膨大な量の新しいLUNAトークンが鋳造されたことが一因だとされている(BAINANCEリリース、COINPOST)。

すべて読む | セキュリティセクション | idle | 暗号 | お金 |

関連ストーリー:
Wikimedia Foundation、暗号通貨による直接の寄付受付を中止 2022年05月04日
多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される 2022年04月23日
米国の倫理的ハッカー、高齢者から暗号通貨を盗んだ容疑で逮捕される 2022年04月20日
米財務省、ロシアのダークダークウェブ「Hydra Market」に制裁。ドイツがビットコイン押収 2022年04月08日
ロシア国債、米財務省の新たな利払い規制によりデフォルトか 2022年04月06日
バイデン大統領、暗号通貨等の調査を指示する大統領令に署名。デジタルドル実現に一歩 2022年03月11日

nagazou

Microsoft Edge Canary、VPNによるセキュリティ機能のテストを少数ユーザーで開始

4 days 7 hours ago
headless 曰く、Microsoftは 12 日、Canary チャネルの Microsoft Edge で少数のユーザーを対象とする Microsoft Edge セキュアネットワークのプレビュー版提供開始を発表した (Microsoft Edge Insider の記事、 Neowin の記事、 Windows Central の記事、 Ghacks の記事)。 セキュアネットワーク は Cloudflare との提携により毎月 1 GB まで無償提供される VPN サービスで、接続の暗号化と追跡の防止、位置情報 (IP アドレス) の隠ぺいを行い、ユーザーのセキュリティとプライバシーを保護する。VPN のサーバーはユーザーと同じ地域に位置するものが選ばれ、実際の IP アドレスをウェブサイトに知られることなく、地域限定のサービスを利用できる。なお、セキュアネットワークは Microsoft Edge を閉じるとオフになるため、起動するたびにオンにする必要がある。 利用には Microsoft アカウントでのサインインが必要となるが、利用データ容量を制限するためだけのもので、サーバーに送られる診断データも 25 時間以内に削除されるとのこと。このサービスは 4 月末にサポートドキュメントが見つかり、話題になっていた。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | 暗号 | プライバシ |

関連ストーリー:
米中央情報局、Tor 経由でロシアからの情報提供を求める 2022年05月10日
中国で『パリピ孔明』を見るためには計略が必要です (VPN とか) 2022年04月24日
PornHubがロシアからの接続をブロックしているとするフェイクニュース出回る 2022年03月03日
商用 VPN プロバイダ NordVPN の親会社が同業の Surfshark との合併を発表 2022年02月04日
ノートン360で仮想通貨のマイニング機能が勝手についてくるとして話題に 2022年01月11日
DuckDuckGo、Android アプリのユーザートラッキングをブロックする機能を発表 2021年11月21日
Mozilla VPNサービスを6カ国で正式提供開始。Windows 10とAndroidに対応 2020年07月21日
MozillaがFirefox Test Pilotを再開、第一弾はFirefox Private Networkを米国限定でテスト 2019年09月14日
Mozilla、Firefoxでサブスクリプション型プレミアムサービスを導入する計画 2019年06月12日

nagazou

ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答

5 days 6 hours ago
Kaspersky Lab の調べによると、ランサムウェア攻撃の被害を受けたことがある企業の重役の 88 % は再び攻撃を受けたら身代金を支払うと回答したそうだ (Kaspersky official blogの記事、 The Register の記事)。 調査は北米・南米・アフリカ・ロシア・欧州・アジア太平洋地域の従業員 50 ~ 1,000 人の企業のIT管理者でない重役および経営者・共同経営者 900 人が対象で、4 月に実施されたものだ。 回答者の 60 % はランサムウェアの脅威をメディアが実際よりも大きく見せていると考えているが、64 % の組織が既にランサムウェア被害にあっており、うち 79 % が身代金を支払っているという。再び被害にあった場合に身代金を支払うとの回答は 88 % だが、過去の被害で身代金を払ったことのある組織では 97 % が再び支払うと回答したとのこと。一方、データが復旧できなくても身代金を支払わないとの回答は、被害にあったことのない組織で 28 %、過去の被害で身代金を支払わなかった組織では 44 % にのぼる。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | 暗号 | お金 |

関連ストーリー:
パッチを当てずにランサムウェア被害にあった英法律事務所、情報保護当局から罰金を命じられる 2022年03月18日
ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立 2022年02月11日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
ランサムウェア被害に遭った米企業、復旧に失敗し従業員300人を一時解雇 2020年01月07日
ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう 2019年09月01日
ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス 2018年12月08日
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日

headless

NSA曰く、新しい暗号規格にバックドアはない

5 days 10 hours ago
米国立標準技術研究所 (NIST) による新しい暗号規格にバックドアはないと、米国家安全保障局 (NSA) サイバーセキュリティ責任者のロブ・ジョイス氏が保証している (Bloomberg の記事)。 NSA が開発した暗号アルゴリズムはバックドアの懸念から 2014 年に連邦規格から除外された。一方、NIST はポスト量子を見据えた新しい暗号規格のコンテストを 2016 年から実施していた。NSA も機密扱いの量子耐性暗号アルゴリズムを既に開発しているものの、NIST のコンテストには応募していないという。コンテストでは暗号アルゴリズムのテストに NSA の数学者も協力しており、ジョイス氏はすべての候補が量子耐性の要件を満たしていたと述べているが、規格の策定自体には関与していないとのこと。米政府は 4 日、既存の公開鍵暗号を用いるすべてのデジタルシステムについて、量子耐性暗号へ移行する方針を示している。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | アメリカ合衆国 | 政府 |

関連ストーリー:
米国家安全保障局、リバースエンジニアリングツール「Ghidra」を予告通り公開 2019年03月10日
米国家安全保障局、WikiLeaksが存在を明らかにしたリバースエンジニアリングツールを公開へ 2019年01月13日
数学者は全市民を監視する諜報機関と距離を置くべきか 2014年04月29日
NSAとRSAへの抗議のためセキュリティ専門家8名がセキュリティ会議への参加を拒否 2014年01月15日
RSA、乱数生成アルゴリズム採用とNSAとの関係を否定 2013年12月25日
バックドアのある乱数生成アルゴリズムの採用に対し、RSAがNSAから1千万ドルを受け取っていたとReutersが報じる 2013年12月22日
SF作家チャールズ・ストロス氏、作品のアイディアをNSAが先に実行してしまったために執筆を断念 2013年12月15日
乱数生成アルゴリズム「Dual_EC_DRBG」にバックドアの恐れがあるとして注意を呼びかけ 2013年09月25日
EFFのジョン·ギルモア氏、IPSEC規格にNSAが関与していたと示唆 2013年09月12日
Google、NSA関連事件によりデータ暗号化計画を前倒しへ 2013年09月12日
Linuxに対し米当局がバックドアを仕掛けたとされるIvyBridgeの乱数生成命令を使うなという要望、Linusキレる 2013年09月11日
巧妙なバックドア「Saitama」が発見される。ヨルダン政府組織をターゲット 2022年05月17日

headless

Windows 10 バージョン 20H2、Home / Pro エディションがサービス終了

1 week ago
headless 曰く、Windows 10 バージョン 20H2 Home / Pro (Pro Education / Pro for Workstations を含む) エディションが 5 月10日でサービス終了した。また、Windows 10 バージョン 1909 は既に Home / Pro エディションでサービス終了していたが、10 日には全エディションでサービス終了となった (Windows message center、 Windows 10 Home / Pro のライフサイクル、 Windows 10 Enterprise / Education のライフサイクル)。 これらのバージョン・エディションは 5 月 10 日の月例更新を最後に月例のセキュリティ・品質更新プログラムが提供されなくなるため、引き続き更新プログラムを受け取るにはサービス期間内のバージョンへアップデートする必要がある。 コンシューマーデバイスと非マネージド環境のビジネスデバイスではサービス終了数か月前から自動更新で機能更新プログラムがインストールされることになっているが、今までバージョン 20H2 で頑張ってきた人もいるのだろうか。スラドの皆さんはいかがだろう。

すべて読む | ITセクション | アップグレード | セキュリティ | Windows | IT |

関連ストーリー:
Windows 10 バージョン 21H2、幅広い展開の準備が整う 2022年04月20日
Windows で PC を初期状態に戻す機能、すべて削除するオプションを選択しても OneDrive で同期したファイルが削除されない問題 2022年02月27日
Microsoft、機械学習トレーニングのための Windows 10 21H2 ロールアウト開始 2022年01月27日
Microsoft、Windows 10 バージョン1803 Enterprise/Education/Enterprise IoTのサービス期間を6か月延長 2020年08月29日
Windows 10 バージョン2004、更新プログラムのインストールを延期するオプションの削除が話題に 2020年06月30日

nagazou

米中央情報局、Tor 経由でロシアからの情報提供を求める

1 week 3 days ago
headless 曰く、米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿、 HackRead の記事)。 まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。 CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。 情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
IIJmio、「危険 SMS 拒否設定」機能を 3 月中旬から提供予定 2022年02月20日
政府、消費者契約法改正でサブスク解約方法を明示へ 2022年01月31日
米 MVNO Mint Mobile、全国広告審議会の勧告に従って「Unlimited」表記をやめる 2021年12月25日
新幹線の車掌、乗務中にスマホで位置情報ゲーム。 10年間ほどプレイとも 2021年11月18日
中国で暗号資産が全面禁止に。マイニングも決済も相場情報提供も全てNG 2021年09月27日
総務省、スマホ契約時の「オプション契約強要」などの不適切行為向け通報フォームを開設 2021年09月17日
Microsoft Edge Canary、VPNによるセキュリティ機能のテストを少数ユーザーで開始 2022年05月16日
Google Play、ロシアで購入済み有料アプリのダウンロードやアップデートをブロック 2022年05月12日

nagazou

Android 13、サイドローディングアプリの Accessibility API 使用を制限

1 week 4 days ago
headless 曰く、Android 13 ではサイドローディングしたアプリの Accessibility API 使用が制限されるそうだ (Esper Blog の記事、 Neowin の記事、 9to5Google の記事)。 Accessibility API を使用するユーザー補助サービスは別のアプリ上のテキストを読み取るなど強力な権限を持ち、アプリの機能を大幅に拡張できるが、悪用された場合のリスクも大きい。Google は 2017 年にユーザー補助目的以外での使用を禁止する方針を示したが、強い反発を受けて一律禁止には至らなかった。現在は API ドキュメントでユーザー補助目的でのみ使用するよう解説する一方、デベロッパープログラムポリシーでは悪用を禁止するにとどまる。最近のポリシー改定では音声通話録音目的での使用禁止が追加された。 Android 12 ではユーザー補助サービスの権限を要求する非ユーザー補助アプリについて、信頼できるソースからインストールされていない場合は権限をユーザーが許可してから 24 時間後に通知する機能が追加されている。しかし、悪意あるアプリへの対策としては 24 時間後に通知してもあまり意味がなさそうだ。 Android 13 ではこれをさらに進め、サイドローディングされた非ユーザー補助アプリはユーザー補助サービスを有効にできなくなる。インストール時にセッションベースの PackageInstaller.Session API を使用しなかったアプリがサイドローディングと判定されるため、Google Play 以外でもこの API を使用するアプリストアからインストールしたアプリであればユーザー補助サービスを利用できる。 また、「Files by Google」のようなアプリではローカルの APK をインストールするのにセッションベースの API を使用するが、新しい setPackageSource() API を使用してサイドローディングアプリ扱いにする。この方法でインストールされたアプリの場合、後で「設定」から制限を解除できるとのこと。こういった動作の変更点については、11・12 日にオンライン開催の Google I/O で紹介されるとみられる。

すべて読む | セキュリティセクション | セキュリティ | Android | プライバシ |

関連ストーリー:
Google Play の Amazon アプリ、電子書籍購入ができなくなる 2022年05月08日
Android 13 Beta 1、提供開始 2022年04月29日
Android 14、コードネームは「Upside Down Cake」 2022年04月24日
Google Play、サードパーティー製の音声通話録音アプリを 5 月 11 日以降禁止 2022年04月23日
Google、iOS アプリ「Android に移行」を提供開始 2022年04月18日
Google、長期間更新されていないアプリにアクセスしにくくするGoogle Playポリシー改訂 2022年04月09日
Google、一般ユーザー向けAndroidアプリでユーザー補助サービスの使用を禁止する方針か 2017年11月17日
Android 13 Beta 2 リリース 2022年05月14日

nagazou

AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表

1 week 5 days ago
Apple と Google、Microsoft は 5 日、FIDO Alliance と W3C が策定したパスワードレスサインイン標準のサポート拡大を共同でアナウンスした (プレスリリース、 The Verge の記事、 Ars Technica の記事、 VenturBeat の記事)。 パスワードのみを使用する認証はウェブのセキュリティで最大の問題の一つであり、多数のパスワードを管理するのは消費者の負担が大きく、しばしば異なるサービスでのパスワード再利用につながる。標準ベースのパスワードレス認証ではデバイスのアンロック操作と同様に指紋や顔、PIN による簡単な確認処理を用い、レガシーな多要素認証よりも大幅に高いセキュリティを実現するという。3 社のプラットフォームではすでにパスワードレス認証が実装されているが、従来の実装ではデバイスごとにウェブサイトやアプリにそれぞれサインインするまでパスワードレス認証が利用できなかった。 今回のアナウンスでは各プラットフォームの実装を拡張し、よりシームレスでセキュアなパスワードレスサインインを実現する 2 つの新たな機能追加を以下の通り発表している。 新しいデバイスを含むユーザーが所有する多数のデバイス上で、各アカウントへの再エンロールを必要とすることなく、自分の FIDO サインイン情報 (パスキーとも呼ばれる) への自動的なアクセスを可能にする ユーザーがモバイルデバイスで FIDO 認証を用い、近くにあるデバイスで OS プラットフォームやブラウザーの種類にかかわらずアプリやウェブサイトにサインインできるようにする これらの機能は来年 1 年をかけて利用可能になっていくとのこと。 5 月の第 1 木曜日は World Password Day であり、今年は 5 日がそれにあたる。そのため、Google と Microsoft は共同アナウンスと別にパスワードレス化への取り組みを発表している (The Keyword の記事、 Microsoft Security Blog の記事、 Azure Active Directory Identity Blog の記事)。

すべて読む | ITセクション | Google | セキュリティ | マイクロソフト | アップル |

関連ストーリー:
本人よりも詐欺師の方が高い「秘密の質問」の正解率 2022年04月26日
Microsoft アカウント、パスワードレスアカウントとして設定可能に 2021年09月18日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
米国とカナダでの調査、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が78% 2019年12月19日
Microsoft、過去に流出したパスワードを使用するMicrosoftアカウントを多数発見 2019年12月08日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる 2019年08月30日
Googleの一部サービスでAndroid端末の生体認証機能によるログインが可能に。現時点ではPixel端末のみサポート 2019年08月14日
普及が進むパスワードなし生体認証規格「FIDO」 2018年12月14日

headless

中国政府が政府機関などの使用する PC を国外ブランドから国内ブランドへ置き換えるよう命じたとの報道、ただし……

1 week 6 days ago
中国政府が中央政府機関や国有企業に対し、業務で使用する PC を 2 年以内に国外ブランドから国内ブランドへ置き換えるよう命じたと Bloomberg が報じている (Neowin の記事、 On MSFT の記事、 Bloomberg の記事、 日本語版記事)。 報道によれば、命令は (国外ブランド PC 使用による) 情報セキュリティへの懸念と、国産ハードウェアへの信頼向上を反映したものだという。対象は PC のブランドとソフトウェアのみとなり、マイクロプロセッサーのように代替困難なコンポーネントは除外されるとしている。Windows を置き換える OS は Linux ベースのものが推奨されるとのこと。この報道を受けて Lenovo や Kingsoft の株価は上昇し、HP や Dell の株価は下落したそうだ。 ただし、情報源は匿名の関係者のみで、問い合わせた監督官庁からの回答はなかったという。この件に関する中国国内メディアの報道も「Bloomberg の報道によれば」というものばかりで、Bloomberg は誤報が多いといった指摘や、本件は間違いなく誤報だとの指摘もみられる。実際はどっちだろうか。

すべて読む | Linuxセクション | Linux | セキュリティ | ノートPC | 中国 | ハードウェア | ソフトウェア | 政治 | Windows |

関連ストーリー:
日本政府、セキュリティの観点から中国製ドローンを排除へ。既存品も1~2年で入れ替え 2020年09月30日
Huawei、独自OS「HarmonyOS」をオープンソース化してスマートフォンにも投入する計画 2020年09月11日
中国で「Kylin OS」などを開発していた2社、新OSの開発計画を発表 2019年12月17日
トランプ米大統領、米企業がHuaweiとの取引を継続可能にする考えを示す 2019年06月30日
孫正義曰く、ArmはHuaweiとの関係継続を望んでいる 2019年06月23日
中国のソフトウェア開発者、米中貿易戦争の影響でGitHubが利用できなくなる可能性を懸念 2019年05月30日
米政府、HUAWEIを輸出規制リストに追加。米製部品の調達が不可能に 2019年05月17日
上海兆芯集成電路、「第7世代Core i5並みの性能」というx86互換CPUを開発 2018年09月25日
中国企業が独自に開発したと主張するWebブラウザ、Chromeのエンジンを使用していたことが発覚 2018年08月20日
Huawei、最悪の事態に備えて独自OSを開発していた 2018年04月30日
Windows 7風のUIを持つLinux OS「中標麒麟V7.0」リリース、中国製CPU「龍芯3号」で動作 2017年03月29日
「中国政府専用Windows 10」、市場投入への準備が整う 2017年03月24日

headless

経産省、安全保障に関わる技術流出防止へ

2 weeks ago
NHKの記事によれば、経済産業省は、日本の安全保障関連の技術流出を防止するための規制強化を1日から開始したそうだ。企業や大学などが対象となる。内容としては、年間所得の25%以上を外国政府などから受け取っている研究者などに重要な技術や情報を提供する場合、事前に国の許可が必要になるという。また日本国内の行動について海外から指示を受けている人なども規制の対象になるとしている(NHK)。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー:
政府、外交・防衛など国家機密の管理は国産プライベートクラウドを使用する方針へ 2022年02月10日
中国新興半導体企業、TSMCから100人以上の人材を引き抜きか 2020年08月18日
米軍技術向けに内輪運用されていた「秘密特許」を正式導入のため法改正へ 中国への対応が念頭に 2020年08月17日
政府が大学の技術流出防止へ。政府が支援する研究では資金提供元の開示を義務化 2020年06月27日
日本政府、技術流出防止へ外資規制強化へ 2019年09月19日

nagazou

Wikimedia Foundation、暗号通貨による直接の寄付受付を中止

2 weeks 2 days ago
Wikimedia Foundation は 1 日、暗号通貨による直接的な寄付受付を中止すると発表した (Wikimedia Meta Wiki、 The Verge の記事、 Mashable の記事)。 Wikimedia は 2014 年にボランティアと寄付者のコミュニティからの要望を受け、寄付としての直接的な暗号通貨受け取りを開始していた。今回の決定も同じコミュニティからのフィードバックを受けて決定したとのこと。Wikimedia コミュニティでは、寄付受け取りが環境負荷の高い暗号通貨を支持していると受け取られ、Wikimedia ムーブメントに影響する可能性があるなどとして、暗号通貨による寄付受け取りの是非について 1 月から議論が行われていた。 Wikimedia Foundation は暗号通貨を直接的な寄付として受け取るのに必要な Bitpay アカウントを閉じる計画を示す一方、今後もこの問題を見守り、コミュニティのニーズに応えていくとも述べている。

すべて読む | ITセクション | スラッシュバック | Wikipedia | 暗号 | IT | お金 |

関連ストーリー:
ウィキメディア財団に対し暗号通貨による寄付の受け入れ停止を求める声が上がる 2022年01月19日
Wikipediaテーマのストリートウェア、着たい? 2018年08月19日
ウィキメディア財団、退職するマネージャーに約50万ドルの退職金を支払っていた 2017年06月10日
Wikipediaの寄付募集とWikimediaの保有現金はミスマッチ? 2014年12月06日
Wikimedia財団、Bitcoinでの寄付受け付けを開始 2014年08月01日
Wikipediaの「寄付のお願い」メッセージ、フィンランドでは違法? 2014年02月09日
Wikipediaまたしても資金難、そろそろ広告導入するべき? 2010年12月18日
ウィキぺディアへの寄付、600万ドルの目標達成 2009年01月05日
Wikipedia、イラストの貢献者に金銭で謝礼開始 2007年12月04日
ウィキメディア財団、寄付募集目標150万ドルまで あと半分 2006年12月30日
Wikimediaがあなたの援助を必要としています 2005年12月16日
Wikimediaが寄付金募集中 2005年08月29日
Wikipedia創始者Jimmy Wales@本家 2004年08月30日
Wikipediaがサーバ増強に寄付を募集中 2003年12月29日
韓国発4兆円規模の暗号通貨ルナ関連、一夜にして価値ゼロに 2022年05月16日

headless

メンタルヘルスアプリのプライバシーやセキュリティ、多くが不十分との調査結果

2 weeks 2 days ago
5 月のメンタルヘルス月間にちなみ、Mozilla がメンタルヘルスアプリやお祈り・瞑想アプリ計 32 本のプライバシーとセキュリティについて調査結果を公表している (Mozilla Foundation のブログ記事、 The Verge の記事、 SlashGear の記事、 Ghacks の記事)。 アプリ 1 本あたり最低 8 時間行ったという調査の結果、ユーザーデータの管理に強い懸念が持たれる「*Privacy Not Included」警告ラベルが付けられたアプリが 32 本中 28 本におよび、Mozilla の最低セキュリティ基準を満たさないアプリも 25 本あったそうだ。評価は Mozilla によるものと、ユーザーの投票によるものとの 2 種類。警告ラベルは Mozilla の評価のみによると思われるが、その評価基準は非常にわかりにくい。 たとえば子供向けアプリ「Breathe, Think, Do with Sesame」は個人情報の必要なアクティビティが少なく、ターゲティング広告にも使用しないと明言しているが、警告ラベルの対象だ。評価の内容をみるとプライバシーポリシーが 2013 年から更新されていないことと、マイクの使用許可が含まれるためアプリの脆弱性により子供のプライバシーが侵害される可能性があることことが懸念点として挙げられている。 具体的にプライバシーポリシーの内容に問題があるわけでも、脆弱性が見つかっているわけではないが、Mozilla の問い合わせに回答がなかった点で警告ラベルの対象になった雰囲気だ。お祈り・瞑想アプリ「Glorify」には当初警告ラベルが付けられていたが、問い合わせへの回答があったので警告ラベルを外したと説明されている。 また、Mozilla の評価アイコンは「👍」「👎」「✋」というもので、👍と👎の意図は明確だが、✋の意図ははっきりしない。✋が付けられているのは瞑想アプリ「Headspace」のみ。このアプリは警告ラベルの対象になっていないものの、Glorify とともに合格点ではないらしい。なお、✋は人差し指から小指までを曲げ、親指で右側を差すハンドジェスチャーの可能性もある。 一方、Mozilla は合格点のアプリとして「PTSD Coach」と「Wysa」を挙げているが、これらのアプリはプライバシー・セキュリティともに問題が見つかっていないため、問い合わせへの回答があったかどうかにも言及がない。

すべて読む | セキュリティセクション | セキュリティ | YRO | プライバシ |

関連ストーリー:
Firefox 93のFirefox Suggestは実質広告ではないかとする指摘 2021年10月14日
YouTubeのおすすめ動画、視聴したあとに後悔する人が多いらしい 2021年07月12日
Windows版Firefox 75、タスクスケジューラにテレメトリーデータ送信タスクを追加 2020年04月11日
Mozilla、広告非表示化サービスを提供する「Scroll」と提携 2020年03月28日
Firefox 72、収集したテレメトリーデータを削除するオプション追加へ 2020年01月05日
Mozilla、AvastやAVGの提供するFirefox拡張機能がユーザー情報を収集・送信しているとしてアドオンサイトから削除 2019年12月05日
Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 2019年11月08日
MozillaがFirefox Test Pilotを再開、第一弾はFirefox Private Networkを米国限定でテスト 2019年09月14日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
米バーガーキング、メンタルヘルス月間に合わせて「Real Meals」キャンペーンを開始 2019年05月06日
Mozilla、AppleにiOSデバイスの広告IDを月1回変更するよう求める 2019年04月20日
Mozilla、ブログで推奨したプライバシー拡張機能でプライバシー問題が指摘され、説明なく記述を削除 2018年08月18日

headless

インド政府、企業や政府機関にサイバーインシデント認識後 6 時間以内の報告義務付けへ

2 weeks 3 days ago
インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した (プレスリリース、 The Register の記事、 指令: PDF)。 報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。

すべて読む | セキュリティセクション | セキュリティ | バグ | 政府 | 情報漏洩 | ワーム |

関連ストーリー:
インド政府、国産モバイル OS 開発を模索 2022年01月30日
ハバナ症候群、インドでも発生か 2021年09月25日
インド政府、「インドの変異株」に言及するコンテンツを削除するよう、ソーシャルメディアプラットフォームに要請 2021年05月25日
インド最高裁、中央銀行による暗号通貨取引禁止命令を覆す 2020年03月10日
北朝鮮に所属するハッカーグループ、インドのATMをターゲットにしたマルウェア開発 2019年09月27日
インド政府、米国との貿易戦争による規制に対処できるよう独自の公務員向けメッセージングアプリの導入を検討中 2019年07月02日
インド政府、政府機関に対し暗号化通信などの傍受を認める 2018年12月28日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
インド準備銀行、来年6月までに全ATMのOSをサポートが継続されているバージョンにアップグレードするよう勧告 2018年06月28日
インド政府、Windows 10へのアップグレードを格安で提供するようMicrosoftに要請 2017年07月01日

headless
Checked
1 hour ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed