あるAnonymous Coward 曰く、

エン・ジャパン社が運営する求人サービス「engage」は4月5日、外部からの不正アクセスにより画像・動画が全て消失する事態が発生したと発表した（プレスリリース, ITmediaの記事）。

詳細は不明だが、サーバー内の画像及び動画データを格納するフォルダが全て消失しているという。削除されたデータの復旧を試みたものの、完全に復旧することも不可能な状態だという。個人情報を管理しているサーバーへのアクセスは無く、個人情報の流出は確認されていないとしている。

再発防止策に「セキュリティ強化の実施」「全ての情報を定期的に保管」とあるので、画像や動画はバックアップを取っていなかった系だろうか？スラド諸氏もご注意されたし。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
ブラウザゲーム「チビファンタジー」、データ消失で13年分ロールバックへ 2021年01月05日
まるごとデータを消失した「ふくいナビ」、旧サーバにバックアップが発見される 2020年11月21日
NECの契約更新ミスでふくいナビの全データが消失。復旧も不能に 2020年11月09日
iOS版Adobe Lightroom、アップデートで写真やプリセットが消失するトラブル 2020年08月22日
キヤノンの写真クラウド「image.canon」、保存データの一部が消失 2020年08月07日
ケニア、新型コロナ対応として今年の授業分を消失させると発表。2020年度分の学歴はなかったことに 2020年07月10日
全身麻酔で意識が失くなる理由がついに解明される 2020年06月09日

あるAnonymous Coward 曰く、

中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している（360 Netlab Blog）。

同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。

この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。

対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。

情報元へのリンク

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 2020年05月19日
外観からは識別できないSMR採用のHDDが増えている？ 2020年04月22日
ランサムウェア被害者が攻撃者のデータベースをハックして約3千人分の復号化キーを公開 2019年10月10日
nasne、「近日出荷完了予定」に 2019年06月26日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
NASのHDDでオーディオの音質が変わるのか検証するイベント、6日に開催 2015年06月05日

あるAnonymous Coward 曰く、

職場でEndpointセキュリティ製品として「Symantec Endpoint Protection」を使用している。2021年度の予算検討で販売代理店からSymantec Endpoint Protectionの見積もりをとろうとしたところ、販売代理店を通じ、2019年8月にSymantec社を買収したBroadcom(以降、ブロードコム)社から以下のような通知があった（Microsoft）。

「製品販売の制度ならびに提供価格の変更」(抜粋)
1.価格表やルールの刷新
2.追加契約や更新契約の廃止。全て新規買い直しへ変更
3.これまでの継続的な特別価格提供の廃止
※上記の変更に伴い、ブロードコム社による個別の販売店さまおよびお客さまとの交渉の実施、ならびに特別価格での提供などは今後行われません。また、上記変更に関しては例外措置も一切ございません。
以上

そして、販売代理店から「Symantec Endpoint Protection」の見積をとったら2020年度に対し2021年度は3倍程度の値上げとなっていた。また、2022年度以降も約10%程度の値上りが見込まれていると言う。
価格を出すとユーザーが特定されるので詳細情報は出せないが、数千ライセンスの購入で1ライセンスあたり2020年度が約500円だったのに対し、2021年度は約1500円になっている。

Symantecのサイバーセキュリティ事業が2019年8月にブロードコムに買収され、2020年1月には、その中のサービス事業のみがAccentureに買収された(2020年3月に買収完了)。法人向けセキュリティ製品はAccentureの買収対象外となっている。ブロードコム社はどのようなビジネスを想定しているのだろうか？これではエンタープライズ向け製品においてSymantecは大幅にシェアが低下するであろう。

Microsoftの「Symantec 製品ご利用中のお客様に捧げる Microsoft セキュリティへの移行のススメ」というプレゼンにもあるように、次回のライセンス更新時は3倍の値上げになるといったタレコミにあったような告知事例が多く発生しているようだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Accenture、Symantecのサイバーセキュリティ事業の一部を買収 2020年01月09日
Broadcom、Symantecのエンタープライズセキュリティ事業を107億ドルで買収へ 2019年08月11日
自己防御機能の強いセキュリティソフトは？ 2017年05月07日
Symantec Endpoint Protectionに権限昇格や任意コード実行などが可能となる複数の脆弱性 2016年03月21日
スモール・ビジネス向け中央管理型アンチウィルスソリューションは？ 2009年06月21日

ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ（TechCrunch）。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ（Togetter）。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
PayPayとKyash、LINE Payでもゆうちょ銀行からの不正預金引き出しが発生。Kyashはイオン銀行からも 2020年09月16日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日
日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 2020年09月15日
ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 2020年09月10日
七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ 2020年09月08日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

イスラエルのセキュリティー企業であるCheck Pointによると、QualcommのSnapdragonに、400を超える脆弱性が見つかったという。同社はこの脆弱性問題を「Achilles（アキレス）」と名付けている（Check Point、PC Watch）。

発見された脆弱性はSnapdragonに含まれているDSPに集中しており、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどを入手可能になるほか、標的型サービス拒否攻撃などにより、保存されているすべての情報にアクセスできなくすることもできるとしている。このほか、マルウェアなどの悪意のあるコードを仕込まれて、削除できなくなる可能性があるとしている。

同社はQualcommにこれらの調査結果を開示、同社はそれを認めたとしている。この件に関連するスマホメーカーなどの各ベンダーに連絡した上で、共通脆弱性識別子(CVE)を割り当てたとしている。具体的には、CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209となっているが、それぞれのベンダーがが対策するまでの期間は、これらの脆弱性に関する技術的詳細を公開しないとしている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 2020年08月12日
Intelから大量の機密データが流出。Kabylake関連のサンプルコードなども含まれる 2020年08月12日
米国土安全保障省、Windows DNS Serverの深刻な脆弱性問題を受けて緊急指令を発表 2020年07月22日
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日

情報処理推進機構（IPA）が、7月7日に「TLS暗号設定ガイドライン第3.0版」を発表した。2018年5月の第2.0版から約2年ぶりの改訂となる。第2.0版移行のタイミングで設定されたSSL/TLS通信の規格化や、技術環境の変化を反映した内容になっている。

このほかSSL3.0を利用禁止としたほか、TLSバージョン1.0および1.1（TLS 1.0/1.1）の無効化を推奨しているとのこと（TLS暗号設定ガイドライン~安全なウェブサイトのために（暗号設定対策編）~、日経、過去記事）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Microsoft、TLS 1.0/1.1のデフォルト無効化を延期 2020年04月04日
Mozilla FirefoxがTLS 1.0/1.1の有効化を検討、新型コロナウイルスの影響で 2020年03月23日
Google、ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表 2019年10月05日

あるAnonymous Coward 曰く、

最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。

この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft、TechNetギャラリーを6月に廃止 2020年03月19日
Bing検索結果にGoogle Chromeの偽広告が出現 2018年11月01日
スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中 2018年06月29日
Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 2018年02月12日
Microsoft、エラーを誇張して有料版購入を強要するアプリを「望まれないソフトウェア」として削除へ 2018年02月03日
Google Playに偽WhatsAppが複数出現 2017年11月05日
Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 2016年12月16日
Microsoftの「Security Essentials」を装うマルウェア「Hicurdismos」が確認される 2016年10月28日
「端末が攻撃されている」という偽の表示を出してインストールを促すセキュリティアプリ、レビュー欄では大好評 2016年07月04日
マイナンバー関連のWeb検索結果に表示される無関係なサイトや広告にご注意を 2015年12月02日
偽のセキュリティソフト販売被害額、総額1億円ドル以上 2014年11月26日
検索すると危ないサッカー選手ランキング、McAfeeが発表 2014年06月15日
「MAC Defender」の被害報告、増大中 2011年05月20日
偽の駐車違反警告でマルウェアを広める新手法 2009年02月06日
偽Flash Playerをインストールさせる「flash-player-10.com」にご注意を 2008年10月23日
Google、検索結果がイマイチな場合は正直に表示する機能を米国でロールアウト 2020年04月26日