セキュリティ

RARで圧縮ファイルと解凍しようとすると任意のコードが実行されてしまう脆弱性が見つかりました。現在では修正版が配布されています。最新バージョンは6.23です。

ツイッターのアカウントが凍結され、8ヶ月後に復活した人の証言がバズってました。真実だとすると、ツイッターが(社員が)闇ビジネスをやってることになります。

米テキサス大学サンアントニオ校と米コロラド大学コロラドスプリングス校の研究チームが超音波でスマホやスマート家電を動す攻撃手法を発見しました。

WiFiルーターを外部から設定を変えて乗っ取る方法で悪用されていると、日本の警視庁が警告を出しています。

アメリカのスタンフォード大学とUCLA(カリフォルニア大学ロサンゼルス校)、カナダのウォータールー大学の共同研究で、WiFi機器の充電池を遠隔で消耗させる攻撃が可能だとわかったそうです。その手法は2つあります。

Twitterがハッキングを受けて、登録メールアドレスが流出したそうです。流出件数はなんと2億件。

ログインウィンドウがポップアップする方式でログイン情報を盗む詐欺方法が見つかったそうです。グーグルやFacebookなど外部アカウントを使ってログインするウェブサービスはたくさんあります。その時、

えきねっとのフィッシングメールが届きました。送り主はえきねっとを装っていますが、eki-net.jpというアドレスで、中国のドメインなので明らかにフェイクです。

いまアメリカではランサムウェイ入りUSBメモリを送りつける事件が続発しているとFBIが警告を出しました。日本厚生省を装って新型コロナの情報が入ってると偽装したり、Amazonギフト券が貰えると偽装しているそうです。

Facebookはリンクをクリックする瞬間に上書きして、違うURLにすり替えているのを告発する動画がバズっていました。右クリックでコピーなどメニューを出すのも同様に上書きされます。

イギリスのノースイースタン大学の研究で、AmazonEchoは初期化してから売らないと記録されている情報から個人情報を追跡できると判明。

著名なアンチウイルスの1つKasperskyのKasperskyPasswordManagerはパスワードを自動生成するプログラムですが、パスワード生成アルゴリズムが元にするSeed値が

ツイッターが投げ銭機能「TipJar」が公開され、順次適用されているそうです。私はまだですが。投げ銭にPaypalを使う場合、送金側の住所氏名など個人情報が相手に筒抜けとなります。これは

LINEが利用規約に個人情報を韓国とベトナムの従業員が見ることがあると明記しました。今まで裏でずっと見てたのだろうけど、これで利用者は自分の情報を見ても良いと承認して使っていることになります。

エムアイカードのログイン情報を盗もうとする詐欺メールが出回っています。私にも届きました。「カードの利用を一部制限した」とURLを開かせて、

ドコモ口座に対応している銀行で、不正引き出しが相次いでいるそうです。対応銀行は新規登録を停止しました。不正引き出しに遭った銀行は

ファーウェイが自社機器を使って、世界中で諜報活動をしていたと米政府高官が語っているそうです。米独だってスイスの企業のふりをして諜報してたので、ファーウェイもやってるでしょうねえ。

米独政府が協力して諜報企業をスイスに作り、スパイ活動していた事が判明。諜報の結果は両国で山分けしたんだそうです。そのスイス企業とは

オランダのあるユーザーが、シャオミ製ホームセキュリティカメラ「MiHomeSecurityCameraBasic1080p」にグーグル・ネスト・ハブというスマートディスプレイで接続して自宅映像を見ようとすると、

ツイッターでは今「ONLYFORYOU」というメッセージが流行っているそうです。このメッセージを開くと、ツイッターアカウントが乗っ取られるとのこと。正確には、メッセージに載ってる

セブンイレブンのスマホ決済アプリ「7Pay」で30万円不正決済されたツイートがバズってました。原因は、総当たりでパスワードを取得できるシステム。具体的には

ドイツ連邦政府の連邦電子情報保安局(BSI)が、VLCにPC乗っ取りの脆弱性を発見したようです。アメリカの国立標準技術研究所(NIST)の脆弱性スコアは、10ランク中9.8という高度に脅威と分類しています。今回見つかったVLCの脆弱性とは、

クロネコヤマトのメンバーサイトのログイン不正ログインが発覚。7月23日に気付いて、不正ログイン分はアクセス停止にしたとのこと。ただし、クロネコから流出したのではなく

宅配業者からの宅配通知や不在通知を装ってSMSを送信し、スマホの情報を盗む詐欺が増えているそうです。SMS詐欺の手口は、

いまAmazonのパスワード入力ミスを通知する詐欺メールが流行っているようです。そのメールでは、

InternetExplolerにゼロデイ脆弱性が発覚。ゼロデイ脆弱性とは、修正プログラム配布前に攻撃される脆弱性のこと。今回見付かった脆弱性とは、

ASUSLiveUpdateとはASUS製品のドライバやアプリケーション更新用のプログラムですが、バックドアが存在していた為にマルウェアが大規模に配布されたそうです。

WinRARに悪意あるプログラムを勝手に保存する脆弱性が見付かったらしいんですが、その脆弱性は何と19年前から存在していたとのこと。この脆弱性が発生するのは

クラウドでファイルを保存できるサービスの「宅ファイル便」で、個人情報を約480万件流出。「宅ふぁいる便」不正アクセス、「郵便番号」も漏えい運営元のオージス総研はメールアドレスとパスワード、生年月日、性別、郵便番号や県名、氏名、職業、配偶者や...

イランのハッカー集団「Charmingkitten」が2段階認証を突破できるフィッシングを既に実行しているそうです。その手法は、

リファラースパムっぽいドメインのメモ。.htaccessでアクセス不可にした方がいいでしょうね。

ニューヨーク大学とミシガン州立大学の研究グループが指紋認証を突破できる「マスター指紋」を開発。この指紋はマスターキーのように1つの指紋で色んな指紋認証を突破できるそうです。Fakefingerprintscanimitaterealones...

Supermicroというマザーボード供給会社が、米国企業約30社の電子機器に小型のスパイウェアを実装していたそうです。Supermicroは中国で製品を作っていて、中国の人民解放軍関係者がスパイウェアを仕込むように指示していたようです。

中国政府はハッカーを大規模に雇用し、ハッキングを仕掛けている疑いがあるようです。標的は主に日本と米国と欧州。

LenovoのCTO「PeterHortensius」がバックドアの質問に答えたところ、バックドアの存在を匂わせる返答をしたそうです。

というリファラーがアクセス解析に残ってた。

FAXにはITU-Tが定めたFAX通信規格「T.30」が使われています。この通信規格に脆弱性があり、電話番号を知ってるだけでそのFAXを乗っ取り可能とのこと。もしもFAXと他のデジタル機器が繋がっているなら、その機器も乗っ取り可能らしいです...

ドコモオンラインショップで不正アクセスによるiPhoneの購入が多発しているそうです。不正購入が発生し始めたのは8月に入ってからとのこと。

Cryptojackingとは、仮想通貨のマインニングの為にウェブサイトにプログラムを設置する事。

redditの従業員のアカウントが乗っ取られたらしいです。

偽の佐川急便の不在通知ショートメールで個人情報を抜き出す詐欺が流行しているそうです。その発信源は中国とのこと。

安全なパスワードを作るには、とにかく長いものにすること。パスワードルールは誤りだった英単語を適当に選んで64字以上にすると破られにくいらしいけど、私の場合は以下の方法でパスワードを作って、ウェブサイト側の流出を除いて破られた経験はありません...

WebApplicationFirewall(WAF)とは、サーバーサイドでウェブサイトを守るFirewallの事。通常のFirewallはポートスキャンを防ぐだけ。WAFはアプリケーションの脆弱性を利用した攻撃も防げます。「SQLインジェ...

ダークパターンとはウェブサイトでユーザーが退会しにくいよう手続きを複雑化したりアカウント削除フォームをわかりづらい場所に設置するパターンの事。WHATAREDARKPATTERNS?例えばXboxLiveでは入会はウェブで簡単に手続きできる...

ブルーノートとは振動を利用してHDDを破壊する攻撃の事。パソコンに内蔵のスピーカーから出た超音波や可聴域の音が、HDDの読み取りヘッドを振動させる事で、HDDを物理的に破壊可能らしいです。2016年にルーマニアの銀行でシステムが10時間シャ...

00000JAPAN(ファイブゼロジャパン)は災害時統一SSIDと呼ばれる公衆無線LAN。災害時に各通信会社が開放する無料WiFiですがパスワードがなく、誰でもアクセス可能。普通の公衆無線LANと同じで、当然セキュリティはザル。誰でも同じS...