カテゴリー: セキュリティ

RARで圧縮ファイルと解凍しようとすると
任意のコードが実行されてしまう脆弱性が見つかりました。
現在では修正版が配布されています。
最新バージョンは6.23です。 (さらに…)

ツイッターのアカウントが凍結され、
8ヶ月後に復活した人の証言がバズってました。
真実だとすると、ツイッターが(社員が)闇ビジネスをやってることになります。 (さらに…)

米テキサス大学サンアントニオ校と米コロラド大学コロラドスプリングス校の研究チームが
超音波でスマホやスマート家電を動す攻撃手法を発見しました。 (さらに…)

WiFiルーターを外部から設定を変えて乗っ取る方法で悪用されていると、日本の警視庁が警告を出しています。 (さらに…)

アメリカのスタンフォード大学とUCLA(カリフォルニア大学ロサンゼルス校)、カナダのウォータールー大学の共同研究で、
WiFi機器の充電池を遠隔で消耗させる攻撃が可能だとわかったそうです。
その手法は2つあります。 (さらに…)

Twitterがハッキングを受けて、登録メールアドレスが流出したそうです。
流出件数はなんと2億件。 (さらに…)

ログインウィンドウがポップアップする方式でログイン情報を盗む詐欺方法が見つかったそうです。
グーグルやFacebookなど外部アカウントを使ってログインするウェブサービスはたくさんあります。
その時、 (さらに…)

えきねっとのフィッシングメールが届きました。
送り主はえきねっとを装っていますが、
eki-net.jp というアドレスで、
中国のドメインなので明らかにフェイクです。 (さらに…)

いまアメリカではランサムウェイ入りUSBメモリを送りつける事件が続発しているとFBIが警告を出しました。
日本厚生省を装って新型コロナの情報が入ってると偽装したり、
Amazonギフト券が貰えると偽装しているそうです。 (さらに…)

Facebookはリンクをクリックする瞬間に上書きして、
違うURLにすり替えているのを告発する動画がバズっていました。
右クリックでコピーなどメニューを出すのも同様に上書きされます。 (さらに…)

イギリスのノースイースタン大学の研究で、
AmazonEchoは初期化してから売らないと
記録されている情報から個人情報を追跡できると判明。 (さらに…)

著名なアンチウイルスの1つKasperskyのKaspersky Password Managerはパスワードを自動生成するプログラムですが、
パスワード生成アルゴリズムが元にするSeed値が (さらに…)

ツイッターが投げ銭機能「Tip Jar」が公開され、順次適用されているそうです。
私はまだですが。
投げ銭にPaypalを使う場合、送金側の住所氏名など個人情報が相手に筒抜けとなります。
これは (さらに…)

LINEが利用規約に個人情報を韓国とベトナムの従業員が見ることがあると明記しました。
今まで裏でずっと見てたのだろうけど、これで利用者は自分の情報を見ても良いと承認して使っていることになります。 (さらに…)

エムアイカードのログイン情報を盗もうとする詐欺メールが出回っています。
私にも届きました。

「カードの利用を一部制限した」とURLを開かせて、 (さらに…)

ドコモ口座に対応している銀行で、不正引き出しが相次いでいるそうです。
対応銀行は新規登録を停止しました。
不正引き出しに遭った銀行は (さらに…)

ファーウェイが自社機器を使って、世界中で諜報活動をしていたと米政府高官が語っているそうです。
米独だってスイスの企業のふりをして諜報してたので、ファーウェイもやってるでしょうねえ。 (さらに…)

米独政府が協力して諜報企業をスイスに作り、スパイ活動していた事が判明。
諜報の結果は両国で山分けしたんだそうです。
そのスイス企業とは (さらに…)

オランダのあるユーザーが、シャオミ製ホームセキュリティカメラ「Mi Home Security Camera Basic 1080p」に
グーグル・ネスト・ハブというスマートディスプレイで接続して自宅映像を見ようとすると、 (さらに…)

ツイッターでは今「ONLY FOR YOU」というメッセージが流行っているそうです。

このメッセージを開くと、ツイッターアカウントが乗っ取られるとのこと。
正確には、メッセージに載ってる (さらに…)

セブンイレブンのスマホ決済アプリ「7Pay」で30万円不正決済されたツイートがバズってました。
原因は、総当たりでパスワードを取得できるシステム。
具体的には (さらに…)

ドイツ連邦政府の連邦電子情報保安局(BSI)が、VLCにPC乗っ取りの脆弱性を発見したようです。
アメリカの国立標準技術研究所(NIST)の脆弱性スコアは、10ランク中9.8という高度に脅威と分類しています。
今回見つかったVLCの脆弱性とは、 (さらに…)

クロネコヤマトのメンバーサイトのログイン不正ログインが発覚。
7月23日に気付いて、不正ログイン分はアクセス停止にしたとのこと。
ただし、クロネコから流出したのではなく (さらに…)

宅配業者からの宅配通知や不在通知を装ってSMSを送信し、スマホの情報を盗む詐欺が増えているそうです。
SMS詐欺の手口は、 (さらに…)

いまAmazonのパスワード入力ミスを通知する詐欺メールが流行っているようです。
そのメールでは、 (さらに…)

Internet Explolerにゼロデイ脆弱性が発覚。
ゼロデイ脆弱性とは、修正プログラム配布前に攻撃される脆弱性のこと。

今回見付かった脆弱性とは、 (さらに…)

ASUS Live UpdateとはASUS製品のドライバやアプリケーション更新用のプログラムですが、
バックドアが存在していた為にマルウェアが大規模に配布されたそうです。 (さらに…)

WinRARに悪意あるプログラムを勝手に保存する脆弱性が見付かったらしいんですが、
その脆弱性は何と19年前から存在していたとのこと。

この脆弱性が発生するのは (さらに…)

クラウドでファイルを保存できるサービスの「宅ファイル便」で、個人情報を約480万件流出。
「宅ふぁいる便」不正アクセス、「郵便番号」も漏えい
運営元のオージス総研はメールアドレスとパスワード、生年月日、性別、郵便番号や県名、氏名、職業、配偶者や子どもの有無などを流出したと認めてます。

https://www.ogis-ri.co.jp/news/1268715_6734.html

酷いのはログインパスワードが暗号化されてなかったこと。

https://www.filesend.to/faq.html
オージス総研はセキュリティ対策を謳っている企業なのに、お膝元のサービスでは杜撰な管理をしてた訳です。

私も宅ファイル便を使ってたのですが、いま宅ファイル便は使えない状態になってます。
アクセスしてもお知らせが表示されるだけ。

イランのハッカー集団「Charming kitten」が2段階認証を突破できるフィッシングを既に実行しているそうです。
その手法は、 (さらに…)

リファラースパムっぽいドメインのメモ。
.htaccessでアクセス不可にした方がいいでしょうね。
(さらに…)

ニューヨーク大学とミシガン州立大学の研究グループが指紋認証を突破できる「マスター指紋」を開発。
この指紋はマスターキーのように1つの指紋で色んな指紋認証を突破できるそうです。
Fake fingerprints can imitate real ones in biometric systems – research
仕組みは、スマホで使われている指紋認証は指紋の一部しか判定してない事を利用し
様々な指紋を合成し、様々な指紋認証を突破できるようになったとのこと。

本来の誤検出率が1％の指紋認証だと、77％の確率で突破できるそうです。
誤検出率が0.1％でも22％は突破できるとのこと。
誤検出率が0.01％だと1.11％。それでも100倍。

特に5指の指紋を登録させる場合は、突破率が上がるそうです。
その理由は、5指の内どれかが一致すれば突破できるので、一部しか認証しないと誤認率が高くなるから。

Supermicroというマザーボード供給会社が、米国企業約30社の電子機器に小型のスパイウェアを実装していたそうです。
Supermicroは中国で製品を作っていて、中国の人民解放軍関係者がスパイウェアを仕込むように指示していたようです。
(さらに…)

中国政府はハッカーを大規模に雇用し、ハッキングを仕掛けている疑いがあるようです。
標的は主に日本と米国と欧州。
(さらに…)

LenovoのCTO「Peter Hortensius」がバックドアの質問に答えたところ、
バックドアの存在を匂わせる返答をしたそうです。
(さらに…)

http://10.160.84.231:15871/cgi-bin/blockOptions.cgi?ws-session=959472983
というリファラーがアクセス解析に残ってた。
(さらに…)

FAXにはITU-Tが定めたFAX通信規格「T.30」が使われています。
この通信規格に脆弱性があり、電話番号を知ってるだけでそのFAXを乗っ取り可能とのこと。
もしもFAXと他のデジタル機器が繋がっているなら、その機器も乗っ取り可能らしいです。
(さらに…)

ドコモオンラインショップで不正アクセスによるiPhoneの購入が多発しているそうです。
不正購入が発生し始めたのは8月に入ってからとのこと。
(さらに…)

Cryptojackingとは、仮想通貨のマインニングの為にウェブサイトにプログラムを設置する事。
(さらに…)

redditの従業員のアカウントが乗っ取られたらしいです。
(さらに…)

偽の佐川急便の不在通知ショートメールで個人情報を抜き出す詐欺が流行しているそうです。
その発信源は中国とのこと。
(さらに…)

安全なパスワードを作るには、とにかく長いものにすること。
パスワードルールは誤りだった

英単語を適当に選んで64字以上にすると破られにくいらしいけど、
私の場合は以下の方法でパスワードを作って、
ウェブサイト側の流出を除いて破られた経験はありません。
(さらに…)

Web Application Firewall(WAF)とは、サーバーサイドでウェブサイトを守るFirewallの事。

通常のFirewallはポートスキャンを防ぐだけ。
WAFはアプリケーションの脆弱性を利用した攻撃も防げます。
「SQLインジェクション」「クロスサイトスクリプティング」「パラメータ改ざん」を防ぐとのこと。
例えばWordpressの脆弱性を利用した攻撃を防ぐのに使われているようです。

WAFは通信内容を傍受して攻撃に該当するパターンを検出すると不正アクセスと判断して、そのアクセスを遮断。
ウィルス検査と似たような仕組みですね。

ダークパターンとはウェブサイトでユーザーが退会しにくいよう手続きを複雑化したり
アカウント削除フォームをわかりづらい場所に設置するパターンの事。

WHAT ARE DARK PATTERNS?

• 例えばXboxLiveでは入会はウェブで簡単に手続きできるのに、退会はわざわざマイクロソフトに電話しないといけないのです。
• SNSなどで、個人情報収集に同意させるボタンの配色でユーザーを錯覚させるのもダークパターン。

  例えば、個人情報の設定を「始めるボタン」は青いボタンにして、
  具体的な項目について「同意するボタン」も同じ青いボタンにすると、
  ユーザーは思わず青いボタンをクリックしてしまいます。

  アカウント作成時の個人情報の設定を省略してマイページに進むボタンを青いボタンにするのもダークパターン。
  設定の初期値は「同意する」になってるので、設定を面倒だと思う人は次へ進んでしまいます。

• 個人情報収集の利点のみを説明し、リスクは説明しないのもダークパターン。
• 動画の再生ボタンを偽装して「いいね」を押させたり、アフィリエイトリンクをクリックさせるのもダークパターン。
• サイト内に記事が開くリンクと広告が開くリンクを区別できないようなデザインにするのもダークパターン。
• 無料でサービスを提供する代わりに個人情報を入力させるのもダークパターン。
  スマホの無料アプリで電話帳データを送信させるのも同じ。
• 格安商品の支払いの確定時に高額な手数料を提示するのもダークパターン。
  またユーザーがショッピングカートに商品を入れると、自動的にオプションサービスもカートに入ってしまうのもダークパターンです。
• 無料期間が終了すると自動的に継続課金となるのもダークパターン。

これらのダークパターンはユーロでは2014年に禁止されています。
Some Dark Patterns now illegal in UK – interview with Heather Burns
日本では未だに野放しのままです。

ブルーノートとは振動を利用してHDDを破壊する攻撃の事。
パソコンに内蔵のスピーカーから出た超音波や可聴域の音が、
HDDの読み取りヘッドを振動させる事で、HDDを物理的に破壊可能らしいです。

2016年にルーマニアの銀行でシステムが10時間シャットダウンした事件があったそうです。
A Loud Sound Just Shut Down a Bank’s Data Center for 10 Hours
シャットダウンの原因はHDDがぶっ壊れた事。
事件の日、銀行では消火システムの検証を行っていたようです。
消火は不活性ガスを使う物で、電子機器には反応しないはずでした。
ガスが一斉に放出されると、そのノズルから大きな振動が発生したそうです。
振動はHDDに伝わり、HDDの読み取りヘッドが外れてしまったとのこと。

SSDだと可動部分が無いのでブルーノート攻撃は問題ないようです。

サーバーの前で大声を出すだけでも処理の遅延が発生するとの解説動画も。
2008年の動画なので10年前から振動の問題は知られてたんですね。
実験者が大声を出した時に遅延が発生していることがグラフでわかります。

Shouting in the Datacenter

ほんの数秒叫ぶだけで遅延が起きる程なので
振動が数十秒続くだけでどうなるかは想像つきますね。