computer security

  • MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

    MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

    今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。 そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡(さかのぼ)り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。 続きを読む

  • カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

    カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

    California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。 続きを読む

  • トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

    トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

    今週出たトランプ政権の新しいサイバー戦略は、これまで検討されていた方針の寄せ集めにすぎない。 その40ページの文書で政府は、サイバーセキュリティーの向上、変化の促進、そしてコンピューターのハッキングに関する法改正の計画を述べている。選挙のセキュリティについては、ほぼ1/4ページで、“宇宙のサイバーセキュリティー”の次に短い。 続きを読む

  • Western Digitalのパーソナルクラウドにパスワード回避の欠陥

    Western Digitalのパーソナルクラウドにパスワード回避の欠陥

    人気のクラウドストレージドライブに脆弱性が見つかったことをセキュリティー研究者が公表した。メーカーは一年以上セキュリティーパッチを発行していない。 Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカーはドライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。 この欠陥は、ドライブのウェブベースのダッシュボードがユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスをアタッカーに与えるために発生する。 バグは「容易に」… 続きを読む

  • 米国2020年国勢調査システムは、セキュリティー問題が山積み

    米国2020年国勢調査システムは、セキュリティー問題が山積み

    国勢調査まで2年を切った今、国勢調査局はサイバーセキュリティー問題を抱えている。 これは、議会の番犬とも言われ、政府の歳出を監視する政府説明責任局が木曜日(米国時間8/30)に発行した最新レポートの中で最大の注目事項だ。超党派からなる同局によると、国民を危険に陥れる数千ものセキュリティー脆弱性を、政府の国勢調査局が修復するための時間は数ヶ月しか残っていないと言った。 続きを読む

  • エンタープライズG Suiteのアドミンのセキュリティ能力を高度化するツールをGoogleが提供

    エンタープライズG Suiteのアドミンのセキュリティ能力を高度化するツールをGoogleが提供

    今日(米国時間7/24)行われたGoogleのCloud Nextカンファレンスでは、G Suiteのアップデートが数多く発表され、その多くはユーザー体験にフォーカスしていたが、それに加えて、アドミンのための新しいセキュリティ調査ツールも紹介された。それはセキュリティの問題を防止ないし検出するための既存のツールを補うもので、G Suiteセキュリティセンターを一層強化することがねらいだ。 続きを読む

  • ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

    ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

    二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。 KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。 続きを読む

  • ハードウェアの設計にセキュリティの欠陥を見つけるTortuga Logicが$2Mを調達

    ハードウェアの設計にセキュリティの欠陥を見つけるTortuga Logicが$2Mを調達

    システムのセキュリティをチップのレベルで担保することを目指すTortuga Logicが、Eclipse Venturesから200万ドルのシード資金を獲得した。パロアルトに本社を置く同社は、その資金で、コンピューターのハードウェアに人知れず潜む脆弱性を見つける製品を作りたい、と志向している。 続きを読む

  • 新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

    新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

    セキュリティ企業のArmisが8つのエクスプロイトを見つけ、まとめてBlueBorneと名付けた。それらを利用すると、スマートフォンの本体に触ることなくアクセスして攻撃できる。スマートフォンだけでなく、Bluetoothを使っているコンピューターやIoTなどにも、同じ弱点がある。 続きを読む

  • Apple曰く今度のデベロッパーサービスの事件はバグのせい、セキュリティ侵犯ではない

    Apple曰く今度のデベロッパーサービスの事件はバグのせい、セキュリティ侵犯ではない

    Appleの説明によると、デベロッパーのアカウントに短時間影響を与えた問題はバグが原因で、一部の説のようなセキュリティの侵犯ではない。 続きを読む

  • 上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

    上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

    ジョージア工科大学の研究者たちが、私たちにとって非常に重要なものを攻撃するランサムウェアを作った。その重要なものとは、上水道施設だ。彼らのプログラムは、彼らがモデルとして作った上水道プラントに自分で自分をインストールし、‘犯人’である研究者たちは、塩素の量を変える、水の弁を閉じる、モニタリングシステムに嘘の値を送る、などのことができた。 博士課程の学生でこの研究の共同主導者であるDavid Formbyは語る: “データに危害を加えるだけでなく、制御システムも狂わすような、“高度な”… 続きを読む

  • Yelp、懸賞金付きバグ探しを人材発掘にも活用

    Yelp、懸賞金付きバグ探しを人材発掘にも活用

    Yelpは6ヵ月前に懸賞金付きバグ探しを開始して以来、システムの脆弱性を発見したハッカーに1万7000ドル以上の賞金を支払った。しかし、バグ探し懸賞の効果はセキュリティーの改善だけではない。Yelpの幹部によると、プログラムは優れたセキュリティー技術者を呼び、Yelpの正社員になったケースもある。 続きを読む

  • Facebook、セキュリティーキーを使う安全なログイン手順を提供

    Facebook、セキュリティーキーを使う安全なログイン手順を提供

    自分のアカウントをハッカーの手に渡したい人などいない。今日(米国時間1/26)Facebookは、アカウントへの侵入を未然に防ぐための新機能を追加した。 続きを読む

  • 中国の新サイバーセキュリティー法は企業にとって悪いしらせ

    中国の新サイバーセキュリティー法は企業にとって悪いしらせ

    11月7日中国政府は新しいサイバーセキュリティー法を通過させた。これによって同国内で運用するIT企業に対して新たに厳しい要求が課される。新サイバーセキュリティー法には、データの局所化、監視、実名登録の必須化等が盛り込まれている。 続きを読む

  • 強力なDDos攻撃アプリケーションMiraiがGitHub上でオープンソース化、逮捕回避のための煙幕か

    強力なDDos攻撃アプリケーションMiraiがGitHub上でオープンソース化、逮捕回避のための煙幕か

    KrebsOnSecurityやそのほかのWebサーバーに大きなダメージを与えたボットネットのMiraiは、セキュリティの脆弱なIoTデバイスを利用して、大規模なDoS攻撃を仕掛ける。しかしその作者はこのほど、それのソースコードをGithub上に公開したらしい。 続きを読む

  • 5年後になくなっているもの5つ

    5年後になくなっているもの5つ

    わずか5年前、世界はまったく違う場所だった。2010年、iPadはデビューしたばかり、Kickstarterは資金調達の様相を変えることになる新しい形のベンチャーキャピタリズムを生み出し、Squareはどんな規模の売り手でもモバイル端末にカードを通すだけで支払いを受け取れるようにした。後戻りはしていない。 続きを読む

  • スマートフォンの暗号化に関する法執行機関へのバックドア提供義務などをホワイトハウスが却下

    スマートフォンの暗号化に関する法執行機関へのバックドア提供義務などをホワイトハウスが却下

    Obama政権は、テクノロジ企業が情報を法執行機関に提供するためにプロダクトのセキュリティを破らなくてもよい、と決定した。テクノロジ業界にとっては、ひとつの勝利だ。 iPhoneと一部のAndroidフォーンに暗号化が導入されたため、電話データへのアクセスをめぐって法執行機関とテク企業とのあいだに議論が起こり、その一年後に今回の決定が出た恰好だ。iOS 8では、電話機に保存されるデータと、iMessageなどのコミュニケーションのほとんどが、ユーザしかアクセスできない方式で暗号化されている。Appleですら、アクセスできない。 続きを読む

  • サイバーセキュリティー対策、鍵は女性にあり

    サイバーセキュリティー対策、鍵は女性にあり

    サイバーセキュリティー専門家の需要がかつてなく高い中、最新レポートによるとこの分野で働く女性の数は伸びていない。 女性は、サイバーセキュリティー従事者のわずか10%しかいないことが、今日発表されたレポートで伝えられた。情報技術に特化した非営利団体(ISC)²およびBooz Allen Hamiltonによる。この数字は2年間変わっていない。 続きを読む