セキュリティ

 

  • MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

    MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

    今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。 そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡(さかのぼ)り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。 続きを読む

  • メジャーなブラウザーが全員同時にTLS旧版(1.0, 1.1)のサポートを停止する

    メジャーなブラウザーが全員同時にTLS旧版(1.0, 1.1)のサポートを停止する

    Firefox, Chrome, Edge, Internet Explorer, そしてSafariなどのWebブラウザーがすべて、オンラインのセキュリティプロトコルTLSの古いバージョンのサポートを停止する。 TLSは、インターネット上の暗号化された情報交換のほとんどすべてで使われており、長く使われているあまり安全でないTLS 1.0と1.1も、今だに多くの接続で許容されている。しかしそれも、もう終わりだ。 続きを読む

  • Facebookの3000万ユーザーの個人情報が漏洩、Facebookならこれぐらいは‘軽微’!?

    Facebookの3000万ユーザーの個人情報が漏洩、Facebookならこれぐらいは‘軽微’!?

    Facebookが、2週間前に公表したデータ漏洩事件の詳細を発表した。最初に推計された5000万ではなく3000万のユーザーが、アクセス情報をハーカーに盗まれた。ご自分について確認したい方は、Facebook’s Help Centerへ行くとよろしい。被害を受けたユーザーにはFacebookが盗まれた情報の詳細を告知し、復旧方法を教える。アクセスはされたけれど、彼らにコピー〜ダウンロードされなかった情報もあると思われるが、その詳細は開示されていない。 続きを読む

  • 長いパスワードはパスワードの悪用や同一パスワードの再利用を大幅に減らす

    長いパスワードはパスワードの悪用や同一パスワードの再利用を大幅に減らす

    インディアナ大学の研究者たちが、パスワードに関する厳しい規則は…相当面倒なものを除いては…実際に効果があることを実証した。その研究を行った院生のJacob Abbott, 同大のCIO Daniel Calarco, そしてL. Jean Camp教授らは、彼らの研究成果を“Factors Influencing Password Reuse: A Case Study.”(パスワード再利用の影響要素に関する事例研究)と題するペーパーで発表した。 続きを読む

  • Facebookアカウントがハックされたかチェック――被害にあっていたらこうしておこう

    Facebookアカウントがハックされたかチェック――被害にあっていたらこうしておこう

    Facebookでは2週間前のハッキングにより3000万人のアクセストークンがリークしたことを発表している。まず読者のアカウントが被害にあっているかどうか確かめ、被害にあっていたら対策しておこう。次のリンクからFacebookのヘルプセンターを訪問する(ログイン状態であることが必要)  続きを読む

  • ユーザーのコンピューターに暗号通貨の採掘マルウェアを植え付ける偽のFlashインストーラーが急増

    ユーザーのコンピューターに暗号通貨の採掘マルウェアを植え付ける偽のFlashインストーラーが急増

    かつて人気者だったWebのプラグインFlashが、まだなかなか死なないとお嘆きのあなた、実はそれは、あちこちに出没するFlashのインストーラーに寄生しているマルウェアも、すぐには死なないことを意味しているのだ。というよりむしろ、彼らの手口はますます陰険になっている。 続きを読む

  • Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる

    Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる

    Google Chromeの次のバージョン(v70)では、多くの安全なサイトがエラーメッセージを表示して停止する。それはこのブラウザーが、一連のセキュリティ事故のあと、メジャーなHTTPS証明プロバイダー一社の、信用を外したからだ。 Chrome 70は10月16日にリリースの予定だが、2016年6月よりも前に発行された、古いSymantecの証明を使ってるサイトはブロックされるようになる。それらは、Thawte, VeriSign, Equifax, GeoTrust, RapidSSLといったレガシーなブランドの証明だ。 続きを読む

  • Google、Gmail関連とAndroidアプリの審査を抜本的に変更――Project StrobeはGoogle+の閉鎖も発表

    Google、Gmail関連とAndroidアプリの審査を抜本的に変更――Project StrobeはGoogle+の閉鎖も発表

    輝かしい未来を約束していたにもかかわらずユーザー・データの漏洩が長年続いていたことが明らかになって、Google+は企業向けに再編される運びとなった。一連の不祥事からサービスを救い出すべく、GoogleはAndroidアプリの審査プロセスも大きく変えることを決めた。新しい承認プロセスは従来より時間がかかり、詳しいものになる。Googleはこれによってセキュリティーが向上すると期待している。こうした決定はGogleのProject Strobeの一環だ。 続きを読む

  • カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

    カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

    California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。 続きを読む

  • Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る

    Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る

    昨日(米国時間10/4)、Bloombergが報じたスクープはインターネットに鋭い亀裂をもたらした。一方の陣営はこの記事は正確であり、Bloombergの記者はかつてない規模の外国のハイテク・スパイがアメリカのハイテク産業に浸透し、途方もない損害をもたらしていることを暴露したというものだ。他の陣営は、そうではない、多くの人々がデタラメの騙されているのだという。中国のスパイがアメリカのデータセンターで用いられているサプライチェーンに浸透し、Supermicroのマザーボードに鉛筆の芯の先端ほどの微小なチップを仕込んで情報を盗み出している… 続きを読む

  • Amazonが中国のサーバー事業を処分したのはそれらが侵犯されたかららしい

    Amazonが中国のサーバー事業を処分したのはそれらが侵犯されたかららしい

    昨年Amazonが中国の物理的サーバー事業を売り払ったのは、その事業部門が中国政府によるスパイ活動の被害を受けたかららしい。〔関連記事。〕 それは、今日(米国時間10/4)のBloombergの記事からの推測だ。その記事によると、中国政府がSupermicro製のマザーボードに小さなチップを忍ばせて、複数のアメリカ企業に侵入した。それらのマザボードは、被害企業のサーバーに搭載され、リモートのスパイたちにデータへのアクセスを与えていた。 続きを読む

  • 中国がサーバーのマザーボードにスパイチップを載せてAppleなどアメリカ企業に侵入か

    中国がサーバーのマザーボードにスパイチップを載せてAppleなどアメリカ企業に侵入か

    これは、これまでで最大の、国民国家による企業スパイ事件ではないだろうか。Bloombergの今日(米国時間10/4)のびっくり仰天記事によると、中国政府が、Appleを含む30以上のアメリカ企業のサーバーへのアクセスを取得した。 続きを読む

  • Googleの新アプリ、Jigsaw IntraはDNS攻撃を防止する――検閲排除にも効果的

    Googleの新アプリ、Jigsaw IntraはDNS攻撃を防止する――検閲排除にも効果的

    Googleの親会社Alphabetの事業部、Jigsawから新しいセキュリティー・アプリが発表された。IntraはDNS攻撃を防ぐことを目的としており、国家による検閲からユーザーを守るにも効果的だ。Intraが監視するのはDNS操作による攻撃だ。インターネット利用者がウェブサイトを訪問するとき、ドメイン・サーバーにリクエストを送り、人間が覚えやすいURL文字列をIPアドレスをに変換する必要がある。 続きを読む

  • GoogleがChromeのエクステンションを安全にするために来年から制限を厳しくする

    GoogleがChromeのエクステンションを安全にするために来年から制限を厳しくする

    Googleが今日(米国時間10/1)、Chrome側からのエクステンションの扱い方がいくつか変わったことを発表した。中でもとくに、多くのパーミッションを要求するエクステンションへの対応が変わり、さらに、デベロッパーがChrome Web Storeで公開するエクステンションには、新たな要求が加わった。 今や公然の事実として、どんなブラウザーでも、ユーザーデータにアクセスするための仕掛けを悪者のデベロッパーが仕込むのは、エクステンションの上であることが多い。 続きを読む

  • Facebookがセキュリティ侵犯に関する有力紙の記事のFacebook上での共有を拒否

    Facebookがセキュリティ侵犯に関する有力紙の記事のFacebook上での共有を拒否

    一部のユーザーからの報告によると、5000万のFacebookユーザーが被害者になった今日(米国時間9/28)のセキュリティ侵犯事件に関する記事(のリンク)を、投稿できなくなっている。それは、特定のソースの特定の記事だけのようで、The Guardianのある記事と、Associated Press(AP通信)のある記事、どちらも一流のニュースメディアだ。 続きを読む

  • サイバーセキュリティのNozomi Networksが3000万ドル調達

    サイバーセキュリティのNozomi Networksが3000万ドル調達

    Nozomi NetworksがシリーズCラウンドで3000万ドルを調達した。カリフォルニア州サンフランシスコ拠点のこの会社は、自らを産業セキュリティ大手と呼び、製造業、エネルギー、鉱業、そして水力発電やガス配給の設備などさまざまな業界の工業用デバイス30万台以上にセキュリティソリューションを提供している。 続きを読む

  • Cloudflareが低価格のドメイン登録サービスをローンチ、セキュリティ機能満載で

    Cloudflareが低価格のドメイン登録サービスをローンチ、セキュリティ機能満載で

    Cloudflareにとっては、多忙な週だった。同社は誕生日の週にさまざまなニュースを約束し、そしてそのニュースを配達した。昨日(米国時間9/26)はBandwidth Allianceを発表し、今日(米国時間9/27)はCloudflare Registrarを発表した。この新しいドメイン登録サービスは、トップレベルのドメイン登録所(Verisignなど)が課金するホールセール料金しか課金しない、と約束している。ふつう、登録サービスはその上に独自の料金を課金し、ホスティングのプランやそのほかの不必要なサービスを抱き合わせで売ろうとする。… 続きを読む

  • Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ

    Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ

    Googleの持株会社Alphabet傘下のセキュリティ企業Chronicleの、ウィルスやマルウェアをスキャンするサービスVirusTotalが今日(米国時間9/27)、エンタープライズ向けのバージョンを立ち上げた。 VirusTotal Enterpriseと名付けられたその新サービスは、より高速でよりカスタマイズ性に富むマルウェア検索と、Private Graphと呼ばれる新しい機能を提供する。 続きを読む

  • MozillaのFirefox Monitorが今後のアカウントハックのアラートサービスを開始

    MozillaのFirefox Monitorが今後のアカウントハックのアラートサービスを開始

    今年の早い時期にMozillaは、ユーザーのオンラインアカウントが最近のデータ漏洩事件でハックされたことを検出するサービスFirefox Monitorを発表した。それは、ユーザーのメールアドレスを入力するとHave I Been Pwnedのデータベースを調べて、どのサイトでいつ、何が漏洩したか〔例: パスワード〕を教えてくれる。そして今日(米国時間9/25)Mozillaはさらに一歩進んで、ユーザーがMonitorの登録ユーザーになっておくと将来の漏洩をアラートしてくれることになった。 続きを読む

  • トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

    トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

    今週出たトランプ政権の新しいサイバー戦略は、これまで検討されていた方針の寄せ集めにすぎない。 その40ページの文書で政府は、サイバーセキュリティーの向上、変化の促進、そしてコンピューターのハッキングに関する法改正の計画を述べている。選挙のセキュリティについては、ほぼ1/4ページで、“宇宙のサイバーセキュリティー”の次に短い。 続きを読む