headless 曰く、

ギャレットのゲート型金属探知機で見つかった 9 件の脆弱性を発見者の Cisco Talos が解説している(Cisco Talos のブログ記事、 HackRead の記事)。

脆弱性が見つかったのは金属探知機本体ではなく、オプションの遠隔監視用 iC モジュールだ。もちろん金属探知機が脆弱性を発見したわけではない。このiCモジュールはゲート型金属探知機 PD6500i および Multi Zone (旧 MZ6100) に対応し、施設内のネットワーク環境に組み込むことで遠隔での設定や検知結果などの確認が可能になる。

脆弱性のうち 4 件 (CVE-2021-21901、 CVE-2021-21903、 CVE-2021-21905、 CVE-2021-21906) はバッファーオーバーフローの脆弱性で、リモートからコードを実行できる可能性がある。CVE-2021-21901 と CVE-2021-21902 は認証の前に発生するという。また、別の 4 件 (CVE-2021-21904、 CVE-2021-21907、 CVE-2021-21908、 CVE-2021-21909) はディレクトリトラバーサルの脆弱性で、認証済みの攻撃者が特定の条件でデバイス上のファイルを読み取り・書き込み・削除できる。最後の 1 件(CVE-2021-21902)は認証バイパスの脆弱性で、競合状態により認証済みユーザーのセッションを攻撃者が乗っ取ることが可能とのこと。

攻撃者はこれらの脆弱性を悪用することで、遠隔から金属探知機の動作状況を監視できるほか、金属探知機の感度を変更するなど、セキュリティを低下させる操作を実行することが可能となる。既に修正版のファームウェアが提供されており、ユーザーにはできるだけ早く更新することが推奨されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 2021年12月24日
4 件の脆弱性を修正した X.Org Server 21.1.2、ディスプレイの物理 DPI を報告する機能が廃止に 2021年12月19日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる 2021年12月11日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
Firefox 95 リリース、新しいサンドボックス技術 RLBox が全プラットフォームで有効に 2021年12月08日
第12世代CoreでLinuxのSpectre・Meltdown対策パッチを無効化する意味はない 2021年12月08日

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
Chromiumのソースツリーにテスト用マルウェア混入、ユーザーには影響なし 2021年11月23日
終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 2021年11月23日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
UAParser.jsにマルウェアが混入 2021年10月29日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日

日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル（いわゆるPPAP）の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている（日立リリース）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 2021年06月24日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日

headless 曰く、

Wi-Fi ホットスポットや Web サーバー、ペイロード実行機能などを実現するチップを組み込んだ USB ケーブル「O.MG Cable」に USB Type-C 版が登場した (Motherboard の記事、 Mac Rumors の記事)。

このケーブルは USB Type-C コネクターのシェル内にチップが組み込まれているが大きさは通常のケーブルと変わらず、通常のケーブルとしても動作する。USB Type-C - Type-C 版 (C-to-C) と USB Type-C - Lightning 版の 2 種類があり、C-to-C では 一方のコネクター (シェルに USB ロゴ入り) にのみチップが組み込まれている。チップの組み込まれた側をホストに接続すると稼働を開始し、Ducky Script によるキーストローク送信などを実行できる。

内蔵機能の動作は Wi-Fi 接続によりリモートからコントロールできるほか、ジオフェンシングにより特定の場所以外で動作を停止させることも可能だ。また、ケーブル外付けタイプのキーボードとホストの接続に使用することで最大 65 万キーストロークを記録可能なキーロガーエディションも用意されている。価格は通常版が 139.99 ドル、キーロガーエディションが 179.99 ドル、USB Type-A / Type-C に対応するプログラマーが 24.99 ドルとなっている。

USB Type-A 版は既に発売されていたが、USB Type-C コネクターはチップを組み込むのに十分なスペースがないから安全だと考える人もいた。開発者のセキュリティリサーチャー MG 氏はそれが間違いであることを証明するために USB Type-C 版を開発したという。USB Type-C 版は Wi-Fi 機能が強化されており、2 km 以上離れた場所からペイロードのトリガーが可能とのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
高価だがUSB Type-Cケーブルの混沌を解決するThunderbolt 4ケーブルという選択肢 2021年08月06日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
USB Type-C規格が更新。USB PDに48V・5Aで240W流せるEPRモード追加へ 2021年05月28日
新型iMac同梱の編組ナイロンUSB-C to Lightningケーブル、耐久性は向上するか 2021年05月02日
iPhoneの同梱品、次になくなるのは？ 2020年12月12日
Raspberry Pi、キーボード一体型PCを発表 2020年11月03日

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

1. サポートされないソフトウェアの使用
2. 既知/固定/デフォルトパスワードの使用
3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 2021年06月13日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米国土安全保障省の選挙インフラに関する評議会、11月3日には米史上最もセキュアな選挙が行われたと声明 2020年11月15日
中国政府関与のハッカー集団が2要素認証を突破してVPNアカウントを奪取していたとの報告 2019年12月26日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日

iida 曰く、

X.509 証明書の識別名の OU 属性 (organizationalUnitName: OID 2.5.4.11) の使用停止が CA/Browser Forum で決議された (Ballot SC47v2: Sunset subject:organizationalUnitName、 Baseline Requirement 1.7.9版: PDF、 EV SSL 1.7.7版: PDF)。

2022-09-01 以降に OU 属性のある識別名の証明書を発行してしまうと、証明機関が BR や EV に不適合になってしまい、対応するルート認証局がブラウザや OS などから信頼されなくなる危険性が高まる。ルート証明機関は下位の証明機関に BR や EV へ準拠するようはたらきかけるだろうから、現在 OU の有無や値を使って鍵や証明書を管理している TLS サーバー側の管理者や、それらで認証認可している (たいていは TLS クライアント側の) システムは、対応を迫られることになろう。

またもし 1 年モノの証明書を新規に発行してもらうばあいは、最初から OU なしで発行してもらうほうが更新が楽になろうから、ご検討いただきたい。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 2019年11月11日
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 2019年08月13日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 2018年06月07日
EV証明書を使用して既知の企業になりすませる可能性が指摘される 2017年12月16日
Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 2017年05月05日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日

Check Point Software Technologiesは8月6日、Amazon Kindleに脆弱性が存在すると発表した。この脆弱性を悪用するとKindleの制御権は完全に乗っ取られるほか、Amazonアカウントなども盗まれる可能性があるとしている。発表によると一冊の電子書籍をインストールするだけで実行可能だそう。話題になりそうな電子書籍を無料で出版するだけで実行できるとしている。同社は問題をすでにAmazon側に報告しており、Amazon側も問題を修正したファームウェア5.13.5を配信済みだとしている（Check Point、TECH+）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Chaos Computer Club、独キリスト教民主同盟には2度と脆弱性を知らせない 2021年08月09日
プレビュー版 Microsoft Edge のセキュリティ強化モード「Super Duper Secure Mode」 2021年08月08日
漫画家の佐藤秀峰氏がAmazonを訴えていた裁判、東京地裁が棄却 2020年03月31日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
Amazon、「Kindleインディーズマンガ」サービスを開始 2018年07月11日
Amazon.co.jpで漫画村ロゴ入りの電子書籍が販売される 2018年04月25日

多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
Debian Project、次期リリース「Bullseye」で使用するアートワークの人気調査を実施 2020年10月29日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

アカウント情報流出を確認できるWebサイト「Have I been pwned?」(HIBP)を運営するトロイ・ハント氏は4月27日、マルウェアEmotetにより盗み出された400万件以上の認証情報がHIBPで確認できるようになったと発表した(ハント氏のブログ記事、 HIBP - Emotet、 BetaNewsの記事)。

欧州刑事警察機構(Europol)に最も危険なマルウェアと呼ばれたEmotetだが、1月に各国の捜査機関が合同でサーバー差し押さえなどの作戦を実行し、4月25日には自己削除プログラムが起動して終息した。サーバー差し押さえの実行後、米連邦捜査局(FBI)がHIBPに連絡し、影響を受けた個人や企業に警告できないか相談したのだという。

これにより、Emotetのサーバーから押収した4,324,770件の電子メールアドレスとパスワードがHIBPで検索可能になった。これらの認証情報はEmotetが被害者のアカウントを通じてスパム送信に使用していた電子メールアカウントの認証情報と、Webブラウザーから収集したWebサイトの認証情報の2種類に分けられるとのこと。

HIBPが捜査機関からデータ提供を受けるのは今回が初めてではなく、2018年にはエストニア中央警察がデータを提供している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
最恐のウイルスと呼ばれた「Emotet」終息の日を迎える 2021年04月27日
警察庁などISPを通じてEmotet感染端末ユーザーへの警告を行うと発表。2月下旬から 2021年02月26日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
マルウェア「Emotet」に無線LANネットワーク経由で拡散するタイプが発見される 2020年02月18日
トロイ・ハント氏、自身が運営する「Have I been pwned?」の買収先を探す 2019年06月14日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日

あるAnonymous Coward 曰く、

バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。

JPCERTによると
CVE-2021-3511：第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512：第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716：第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。

基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。

JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Ciscoのルーターで多数の脆弱性が見つかる 2019年05月17日
家庭で使われている無線LANルータの83％に脆弱性、米NPO調査 2018年10月10日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日

あるAnonymous Coward 曰く、

エン・ジャパン社が運営する求人サービス「engage」は4月5日、外部からの不正アクセスにより画像・動画が全て消失する事態が発生したと発表した（プレスリリース, ITmediaの記事）。

詳細は不明だが、サーバー内の画像及び動画データを格納するフォルダが全て消失しているという。削除されたデータの復旧を試みたものの、完全に復旧することも不可能な状態だという。個人情報を管理しているサーバーへのアクセスは無く、個人情報の流出は確認されていないとしている。

再発防止策に「セキュリティ強化の実施」「全ての情報を定期的に保管」とあるので、画像や動画はバックアップを取っていなかった系だろうか？スラド諸氏もご注意されたし。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
ブラウザゲーム「チビファンタジー」、データ消失で13年分ロールバックへ 2021年01月05日
まるごとデータを消失した「ふくいナビ」、旧サーバにバックアップが発見される 2020年11月21日
NECの契約更新ミスでふくいナビの全データが消失。復旧も不能に 2020年11月09日
iOS版Adobe Lightroom、アップデートで写真やプリセットが消失するトラブル 2020年08月22日
キヤノンの写真クラウド「image.canon」、保存データの一部が消失 2020年08月07日
ケニア、新型コロナ対応として今年の授業分を消失させると発表。2020年度分の学歴はなかったことに 2020年07月10日
全身麻酔で意識が失くなる理由がついに解明される 2020年06月09日

あるAnonymous Coward 曰く、

中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している（360 Netlab Blog）。

同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。

この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。

対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。

情報元へのリンク

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 2020年05月19日
外観からは識別できないSMR採用のHDDが増えている？ 2020年04月22日
ランサムウェア被害者が攻撃者のデータベースをハックして約3千人分の復号化キーを公開 2019年10月10日
nasne、「近日出荷完了予定」に 2019年06月26日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
NASのHDDでオーディオの音質が変わるのか検証するイベント、6日に開催 2015年06月05日

あるAnonymous Coward 曰く、

職場でEndpointセキュリティ製品として「Symantec Endpoint Protection」を使用している。2021年度の予算検討で販売代理店からSymantec Endpoint Protectionの見積もりをとろうとしたところ、販売代理店を通じ、2019年8月にSymantec社を買収したBroadcom(以降、ブロードコム)社から以下のような通知があった（Microsoft）。

「製品販売の制度ならびに提供価格の変更」(抜粋)
1.価格表やルールの刷新
2.追加契約や更新契約の廃止。全て新規買い直しへ変更
3.これまでの継続的な特別価格提供の廃止
※上記の変更に伴い、ブロードコム社による個別の販売店さまおよびお客さまとの交渉の実施、ならびに特別価格での提供などは今後行われません。また、上記変更に関しては例外措置も一切ございません。
以上

そして、販売代理店から「Symantec Endpoint Protection」の見積をとったら2020年度に対し2021年度は3倍程度の値上げとなっていた。また、2022年度以降も約10%程度の値上りが見込まれていると言う。
価格を出すとユーザーが特定されるので詳細情報は出せないが、数千ライセンスの購入で1ライセンスあたり2020年度が約500円だったのに対し、2021年度は約1500円になっている。

Symantecのサイバーセキュリティ事業が2019年8月にブロードコムに買収され、2020年1月には、その中のサービス事業のみがAccentureに買収された(2020年3月に買収完了)。法人向けセキュリティ製品はAccentureの買収対象外となっている。ブロードコム社はどのようなビジネスを想定しているのだろうか？これではエンタープライズ向け製品においてSymantecは大幅にシェアが低下するであろう。

Microsoftの「Symantec 製品ご利用中のお客様に捧げる Microsoft セキュリティへの移行のススメ」というプレゼンにもあるように、次回のライセンス更新時は3倍の値上げになるといったタレコミにあったような告知事例が多く発生しているようだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Accenture、Symantecのサイバーセキュリティ事業の一部を買収 2020年01月09日
Broadcom、Symantecのエンタープライズセキュリティ事業を107億ドルで買収へ 2019年08月11日
自己防御機能の強いセキュリティソフトは？ 2017年05月07日
Symantec Endpoint Protectionに権限昇格や任意コード実行などが可能となる複数の脆弱性 2016年03月21日
スモール・ビジネス向け中央管理型アンチウィルスソリューションは？ 2009年06月21日

ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ（TechCrunch）。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ（Togetter）。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
PayPayとKyash、LINE Payでもゆうちょ銀行からの不正預金引き出しが発生。Kyashはイオン銀行からも 2020年09月16日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日
日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 2020年09月15日
ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 2020年09月10日
七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ 2020年09月08日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

イスラエルのセキュリティー企業であるCheck Pointによると、QualcommのSnapdragonに、400を超える脆弱性が見つかったという。同社はこの脆弱性問題を「Achilles（アキレス）」と名付けている（Check Point、PC Watch）。

発見された脆弱性はSnapdragonに含まれているDSPに集中しており、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどを入手可能になるほか、標的型サービス拒否攻撃などにより、保存されているすべての情報にアクセスできなくすることもできるとしている。このほか、マルウェアなどの悪意のあるコードを仕込まれて、削除できなくなる可能性があるとしている。

同社はQualcommにこれらの調査結果を開示、同社はそれを認めたとしている。この件に関連するスマホメーカーなどの各ベンダーに連絡した上で、共通脆弱性識別子(CVE)を割り当てたとしている。具体的には、CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209となっているが、それぞれのベンダーがが対策するまでの期間は、これらの脆弱性に関する技術的詳細を公開しないとしている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 2020年08月12日
Intelから大量の機密データが流出。Kabylake関連のサンプルコードなども含まれる 2020年08月12日
米国土安全保障省、Windows DNS Serverの深刻な脆弱性問題を受けて緊急指令を発表 2020年07月22日
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日

情報処理推進機構（IPA）が、7月7日に「TLS暗号設定ガイドライン第3.0版」を発表した。2018年5月の第2.0版から約2年ぶりの改訂となる。第2.0版移行のタイミングで設定されたSSL/TLS通信の規格化や、技術環境の変化を反映した内容になっている。

このほかSSL3.0を利用禁止としたほか、TLSバージョン1.0および1.1（TLS 1.0/1.1）の無効化を推奨しているとのこと（TLS暗号設定ガイドライン~安全なウェブサイトのために（暗号設定対策編）~、日経、過去記事）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Microsoft、TLS 1.0/1.1のデフォルト無効化を延期 2020年04月04日
Mozilla FirefoxがTLS 1.0/1.1の有効化を検討、新型コロナウイルスの影響で 2020年03月23日
Google、ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表 2019年10月05日

あるAnonymous Coward 曰く、

最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。

この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft、TechNetギャラリーを6月に廃止 2020年03月19日
Bing検索結果にGoogle Chromeの偽広告が出現 2018年11月01日
スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中 2018年06月29日
Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 2018年02月12日
Microsoft、エラーを誇張して有料版購入を強要するアプリを「望まれないソフトウェア」として削除へ 2018年02月03日
Google Playに偽WhatsAppが複数出現 2017年11月05日
Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 2016年12月16日
Microsoftの「Security Essentials」を装うマルウェア「Hicurdismos」が確認される 2016年10月28日
「端末が攻撃されている」という偽の表示を出してインストールを促すセキュリティアプリ、レビュー欄では大好評 2016年07月04日
マイナンバー関連のWeb検索結果に表示される無関係なサイトや広告にご注意を 2015年12月02日
偽のセキュリティソフト販売被害額、総額1億円ドル以上 2014年11月26日
検索すると危ないサッカー選手ランキング、McAfeeが発表 2014年06月15日
「MAC Defender」の被害報告、増大中 2011年05月20日
偽の駐車違反警告でマルウェアを広める新手法 2009年02月06日
偽Flash Playerをインストールさせる「flash-player-10.com」にご注意を 2008年10月23日
Google、検索結果がイマイチな場合は正直に表示する機能を米国でロールアウト 2020年04月26日