ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ（TechCrunch）。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ（Togetter）。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
PayPayとKyash、LINE Payでもゆうちょ銀行からの不正預金引き出しが発生。Kyashはイオン銀行からも 2020年09月16日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日
日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 2020年09月15日
ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 2020年09月10日
七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ 2020年09月08日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

イスラエルのセキュリティー企業であるCheck Pointによると、QualcommのSnapdragonに、400を超える脆弱性が見つかったという。同社はこの脆弱性問題を「Achilles（アキレス）」と名付けている（Check Point、PC Watch）。

発見された脆弱性はSnapdragonに含まれているDSPに集中しており、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどを入手可能になるほか、標的型サービス拒否攻撃などにより、保存されているすべての情報にアクセスできなくすることもできるとしている。このほか、マルウェアなどの悪意のあるコードを仕込まれて、削除できなくなる可能性があるとしている。

同社はQualcommにこれらの調査結果を開示、同社はそれを認めたとしている。この件に関連するスマホメーカーなどの各ベンダーに連絡した上で、共通脆弱性識別子(CVE)を割り当てたとしている。具体的には、CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209となっているが、それぞれのベンダーがが対策するまでの期間は、これらの脆弱性に関する技術的詳細を公開しないとしている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 2020年08月12日
Intelから大量の機密データが流出。Kabylake関連のサンプルコードなども含まれる 2020年08月12日
米国土安全保障省、Windows DNS Serverの深刻な脆弱性問題を受けて緊急指令を発表 2020年07月22日
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日

情報処理推進機構（IPA）が、7月7日に「TLS暗号設定ガイドライン第3.0版」を発表した。2018年5月の第2.0版から約2年ぶりの改訂となる。第2.0版移行のタイミングで設定されたSSL/TLS通信の規格化や、技術環境の変化を反映した内容になっている。

このほかSSL3.0を利用禁止としたほか、TLSバージョン1.0および1.1（TLS 1.0/1.1）の無効化を推奨しているとのこと（TLS暗号設定ガイドライン~安全なウェブサイトのために（暗号設定対策編）~、日経、過去記事）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Microsoft、TLS 1.0/1.1のデフォルト無効化を延期 2020年04月04日
Mozilla FirefoxがTLS 1.0/1.1の有効化を検討、新型コロナウイルスの影響で 2020年03月23日
Google、ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表 2019年10月05日

あるAnonymous Coward 曰く、

最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。

この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft、TechNetギャラリーを6月に廃止 2020年03月19日
Bing検索結果にGoogle Chromeの偽広告が出現 2018年11月01日
スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中 2018年06月29日
Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 2018年02月12日
Microsoft、エラーを誇張して有料版購入を強要するアプリを「望まれないソフトウェア」として削除へ 2018年02月03日
Google Playに偽WhatsAppが複数出現 2017年11月05日
Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 2016年12月16日
Microsoftの「Security Essentials」を装うマルウェア「Hicurdismos」が確認される 2016年10月28日
「端末が攻撃されている」という偽の表示を出してインストールを促すセキュリティアプリ、レビュー欄では大好評 2016年07月04日
マイナンバー関連のWeb検索結果に表示される無関係なサイトや広告にご注意を 2015年12月02日
偽のセキュリティソフト販売被害額、総額1億円ドル以上 2014年11月26日
検索すると危ないサッカー選手ランキング、McAfeeが発表 2014年06月15日
「MAC Defender」の被害報告、増大中 2011年05月20日
偽の駐車違反警告でマルウェアを広める新手法 2009年02月06日
偽Flash Playerをインストールさせる「flash-player-10.com」にご注意を 2008年10月23日
Google、検索結果がイマイチな場合は正直に表示する機能を米国でロールアウト 2020年04月26日