雑学まとめブログ

カテゴリー: セキュリティ

  • ユーザーを騙すダークパターンとは何か

    ダークパターンとはウェブサイトでユーザーが退会しにくいよう手続きを複雑化したり
    アカウント削除フォームをわかりづらい場所に設置するパターンの事。

    WHAT ARE DARK PATTERNS?

    • 例えばXboxLiveでは入会はウェブで簡単に手続きできるのに、退会はわざわざマイクロソフトに電話しないといけないのです。
    • SNSなどで、個人情報収集に同意させるボタンの配色でユーザーを錯覚させるのもダークパターン。

      例えば、個人情報の設定を「始めるボタン」は青いボタンにして、
      具体的な項目について「同意するボタン」も同じ青いボタンにすると、
      ユーザーは思わず青いボタンをクリックしてしまいます。

      アカウント作成時の個人情報の設定を省略してマイページに進むボタンを青いボタンにするのもダークパターン。
      設定の初期値は「同意する」になってるので、設定を面倒だと思う人は次へ進んでしまいます。

    • 個人情報収集の利点のみを説明し、リスクは説明しないのもダークパターン。
    • 動画の再生ボタンを偽装して「いいね」を押させたり、アフィリエイトリンクをクリックさせるのもダークパターン。
    • サイト内に記事が開くリンクと広告が開くリンクを区別できないようなデザインにするのもダークパターン。
    • 無料でサービスを提供する代わりに個人情報を入力させるのもダークパターン。
      スマホの無料アプリで電話帳データを送信させるのも同じ。
    • 格安商品の支払いの確定時に高額な手数料を提示するのもダークパターン。
      またユーザーがショッピングカートに商品を入れると、自動的にオプションサービスもカートに入ってしまうのもダークパターンです。
    • 無料期間が終了すると自動的に継続課金となるのもダークパターン。

    これらのダークパターンはユーロでは2014年に禁止されています。
    Some Dark Patterns now illegal in UK – interview with Heather Burns
    日本では未だに野放しのままです。

  • ブルーノート攻撃とは何か

    ブルーノートとは振動を利用してHDDを破壊する攻撃の事。
    パソコンに内蔵のスピーカーから出た超音波や可聴域の音が、
    HDDの読み取りヘッドを振動させる事で、HDDを物理的に破壊可能らしいです。

    2016年にルーマニアの銀行でシステムが10時間シャットダウンした事件があったそうです。
    A Loud Sound Just Shut Down a Bank’s Data Center for 10 Hours
    シャットダウンの原因はHDDがぶっ壊れた事。
    事件の日、銀行では消火システムの検証を行っていたようです。
    消火は不活性ガスを使う物で、電子機器には反応しないはずでした。
    ガスが一斉に放出されると、そのノズルから大きな振動が発生したそうです。
    振動はHDDに伝わり、HDDの読み取りヘッドが外れてしまったとのこと。

    SSDだと可動部分が無いのでブルーノート攻撃は問題ないようです。

    サーバーの前で大声を出すだけでも処理の遅延が発生するとの解説動画も。
    2008年の動画なので10年前から振動の問題は知られてたんですね。
    実験者が大声を出した時に遅延が発生していることがグラフでわかります。
    ブルーノート攻撃
    Shouting in the Datacenter

    ほんの数秒叫ぶだけで遅延が起きる程なので
    振動が数十秒続くだけでどうなるかは想像つきますね。

  • 00000JAPANは使わない方が良い

    00000JAPAN(ファイブゼロジャパン)は災害時統一SSIDと呼ばれる公衆無線LAN。
    災害時に各通信会社が開放する無料WiFiですがパスワードがなく、誰でもアクセス可能。普通の公衆無線LANと同じで、当然セキュリティはザル。
    誰でも同じSSIDでアクセスポイントを立てられます。
    緊急時に他の連絡手段がないなら仕方ないのですが
    一度使って用が済んだら00000JAPANは削除しましょう
    ほっとくと自分の端末が不正アクセスの踏み台になりかねません。

  • 無料のUSBデバイスは使わない方が賢明

    米朝会議の場で無料のUSB扇風機が記者達に配られたそうです。
    その扇風機は恐らくスパイウェアが仕掛けられているだろうとの事。

    『無料のUSB扇風機を貰っても絶対に自分のPCに刺しこまないで』セキュリティに関するお話に「スパイ映画みたい」の声も

    米朝会議の場で配られた無料USB扇風機

    USBデバイス内部にWiFiチップが入っていて、遠隔操作されるリスクもあるらしいです。

  • 将来的に航空機がハッキングされる時代が来る

    米政府が航空機がハッキングでハイジャックされる時代が来ると警告。
    (さらに…)

  • ZIPに任意コード実行の脆弱性があった

    解凍圧縮の著名な規格であるZIPに任意コードが実行される脆弱性があったそうです。
    発覚は今年の4月で非公開でHP、Amazon、Apache、Pivotalなど対策が実施済みとのこと。
    と言うことはサーバーサイドの脆弱性なんですかね。
    素人側が注意すべき点は特になさそう。

    広く採用されている書庫展開処理に任意コード実行を許す脆弱性 ~数千のプロジェクトに影響

    Zip Slip Vulnerability

    Zip Slip

    書庫内部のファイルパスを連結する処理で検証が行われず
    任意のコードが実行可能になっていたようです。

    実はZIPのみではなくTAR、JAR、WAR、CPIO、APK、RARと7Zなども同様だったとのこと。

    影響を受けるのはJavascript、.NET、Ruby、Javaなど。

  • Windows defenderのウイルス発見率はどの程度か

    マイクロソフトのWindows defenderのウイルス(脅威)発見率は、95.5~98.8%らしいです。
    これは2017年2月~6月、7月~11月までの期間に実際に発見されたウイルスが対象。

    AV-comparativeというサイトではアンチウイルスの比較情報を公開しています。
    そこでReal-world Protection Testというカテゴリで、原資料が読めます。

    2017年2月~6月に発見されたウイルス1955個中、1932個をWindows defenderはブロックしてます。
    検査をすり抜けたウイルスは23個。
    ちなみに同時期にTrendMicroのアンチウイルスは100%の発見率。
    アンチウイルスの比較情報2017年2月~6月

    2017年7月~11月に発見されたウイルス1769個中、1754個をWindows defenderはブロックしてます。
    検査をすり抜けたウイルスは1個。
    同時期にPandaというアンチウイルスは100%の発見率。
    TrendMicroも99.9%という高発見率。
    アンチウイルスの比較情報2017年7月~11月

    ただし、検証した時点でウイルス定義データが古いバージョンとなってた可能性もあります。

  • 中国製ネットワークカメラは簡単に中国人に乗っ取られる

    以下の中国製のネットワークカメラの機種(恵安のVSTARCAM C7823WIP)は、
    中国人に勝手に乗っ取られるようです。

    【KEIAN/恵安】 VSTARCAM Mini WIFI IP Camera 技術基準適合認定済み有線/無線LAN対応ネットワークカメラ C7823WIP

    Amazonのレビューにそのような報告が多数あります。

    抜粋すると、

    ・日頃から深夜に音がしたり暗視機能がオンになったりしていた。
    ・ある日、中国人に話しかけられた。
    ・視野中心点が勝手にズレていた。
    ・外部と膨大な通信をしている。
    ・インターネット接続を切ると誤作動が起きなくなった。
    ・カメラが勝手に着替えをしている場所に向きを変えていた。
    ・暗証番号を変えてもカメラ位置が変わる。
    ・インターネット接続を切るとパスワードの変更ができない。

    同種の報告をしているブログもあります。

    中国製ネットワークカメラが勝手に動き出して中国語が聞こえてきた怖い話(動画あり)

    リンク先の動画にはデバイスから中国語らしき会話が聞こえてます。

    恐らくパスワードを外部に送信してますね。
    そのパスワードがどこかの中国系サイトにログとして残り、
    愉快犯がそのパスワードで侵入してるんでしょう。

    昔から中国製デバイスにはバックドアが仕掛けられていると聞きますし、
    安かろう悪かろうと思って、中国製には関わらないのが無難です。

    追記ですが、件の機種は恵安製ではなかったそうです。

    【お詫び】中国製ネットワークカメラの記事に大きな誤りがあった話

    恵安の機種は売れ筋であり、パクり商品がとても多いようです。
    ブログ主が購入したのも、よく似たパクり機種で恵安製ではなかったとのこと。
    パクり機種は恵安製と型番を同じにしていた狡猾なもので、騙されてしまったようです。
    私も気付きませんでした。

    訂正記事に気付くのが遅れ、3ヶ月程経ってからの追記で申し訳ありません。

  • WPA2に仕様レベルの脆弱性

    WiFiで使われているWPA2という暗号規格に
    仕様レベルでの脆弱性があったと判明。

    Wi-Fiを暗号化するWPA2に脆弱性発見

    暗号化キーの再インストールを利用して端末を乗っ取れるようです。

    ただしベンダーがパッチを当てる事でセキュリティホールを塞ぐ事は可能とのこと。

    現状ではそのようなパッチを配布しているメーカーは見当たらないので、
    パッチが告知されるまでは無線LANやらスマホやノートPC、ゲーム機などのWiFi機能は全て停止した方が無難でしょう。

  • 最近ブラウザが重いのはCoinhiveのせいかもしれません

    最近ブラウザが重いのはCoinhiveのせいかも。

    話題の「Coinhive」とは? 仮想通貨の新たな可能性か、迷惑なマルウェアか

    Coinhiveとはブラウザでサイトにアクセスすると自動でJavascriptを読込み、
    そのPCのマシンパワーを使って仮想通貨のマインニングを行うプログラムのこと。
    マインニングとは仮想通貨の新しいコインを自分の物にする仕組みで、
    膨大な量の演算の果てにやっとコインを入手できるそうです。

    従来なら広告を表示していた代わりにCoinhiveを仕込んでいるようです。
    Coinhiveでは発掘した仮想通貨の30%をCoinhiveの作者が受け取り、
    残り70%が設置したサイトの取り分となるルールらしい。

    昔の白血病プロジェクトのようにPCのマシンパワーを少しずつ利用するのかなと思ったら、
    CoinhiveはとてもPCのマシンパワーを消耗するようで、
    リンク先の記者が自分のブログに設置して自分でアクセスしてみると
    あっという間にPCのCPUの稼働率が100%になり
    PCのファンが急にフル稼働してしまったとのこと。

    確かに海外の色んなサイトを見てると、なぜか急にCPU稼働率が急上昇する事が起きるようになってるんですよね。
    例えば無料のブラウザゲームや、グロやアダルトなどを見せているサイトです。
    上記記事を読むに、その理由はCoinhiveの可能性が高そうだなと。
    そんな時はブラウザを閉じて再起動すると元に戻ります。
    なので原因はブラウザのはずだとは思ってました。

    さすがに国内の大手サイトはCoinhiveなんか仕込んでないでしょう。
    発覚したら大騒ぎになるはずなので。