computer security

  • GitHubのリポジトリー上に機密情報や脆弱性を見つけるGitGuardianにDocker創業者らが投資

    GitHubのリポジトリー上に機密情報や脆弱性を見つけるGitGuardianにDocker創業者らが投資

    データ侵犯は、被害額が大きければ多くの企業の命取りになる。対策は、大量のリアルタイムモニタリングだ。しかし監視する要素が多いとそれは非常に複雑な仕事になる。SANS Instituteの調査では、企業のデータ侵犯の約半数は、アカウントや認証情報のハッキングだった。 続きを読む

  • オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

    オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

    英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。 続きを読む

  • Amazonのドアベル「Ring」にWi-Fiのパスワードが盗まれる脆弱性が見つかる

    Amazonのドアベル「Ring」にWi-Fiのパスワードが盗まれる脆弱性が見つかる

    セキュリティの研究者たちが、接続されているWi-Fiネットワークのパスワードを露呈するAmazonのドアベル「Ring」の脆弱性を発見した。 続きを読む

  • マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

    マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

    Microsoft(マイクロソフト)によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。 続きを読む

  • アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキー

    アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキー

    発表から2か月近くも経った米国時間8月20日、YubicoがYubiKey 5Ciを発売した。これは、iPhoneやMacと、そのほかのUSB-C対応デバイスの両方をサポートするセキュリティキーだ。 続きを読む

  • Googleの調査データが2段階認証の対ハッカー防御効果を実証

    Googleの調査データが2段階認証の対ハッカー防御効果を実証

    2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。 続きを読む

  • データを暗号化するフラッシュドライブeyeDiskは簡単にハックできた

    データを暗号化するフラッシュドライブeyeDiskは簡単にハックできた

    “ハックできない”と主張されるものはすべて研究者たちにとって、じゃあハックしてやろう、というチャレンジだ。 続きを読む

  • 英国はファーウェイを5Gサプライヤーにすることに難色

    英国はファーウェイを5Gサプライヤーにすることに難色

    重要なネットワークへのファーウェイの関与が国のセキュリティにもたらすすべてのリスクは、長期的には十分に軽減できる。 続きを読む

  • 米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

    米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

    Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。 続きを読む

  • MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

    MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

    今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。 そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡(さかのぼ)り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。 続きを読む

  • カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

    カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

    California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。 続きを読む

  • トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

    トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

    今週出たトランプ政権の新しいサイバー戦略は、これまで検討されていた方針の寄せ集めにすぎない。 その40ページの文書で政府は、サイバーセキュリティーの向上、変化の促進、そしてコンピューターのハッキングに関する法改正の計画を述べている。選挙のセキュリティについては、ほぼ1/4ページで、“宇宙のサイバーセキュリティー”の次に短い。 続きを読む

  • Western Digitalのパーソナルクラウドにパスワード回避の欠陥

    Western Digitalのパーソナルクラウドにパスワード回避の欠陥

    人気のクラウドストレージドライブに脆弱性が見つかったことをセキュリティー研究者が公表した。メーカーは一年以上セキュリティーパッチを発行していない。 Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカーはドライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。 この欠陥は、ドライブのウェブベースのダッシュボードがユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスをアタッカーに与えるために発生する。 バグは「容易に」… 続きを読む

  • 米国2020年国勢調査システムは、セキュリティー問題が山積み

    米国2020年国勢調査システムは、セキュリティー問題が山積み

    国勢調査まで2年を切った今、国勢調査局はサイバーセキュリティー問題を抱えている。 これは、議会の番犬とも言われ、政府の歳出を監視する政府説明責任局が木曜日(米国時間8/30)に発行した最新レポートの中で最大の注目事項だ。超党派からなる同局によると、国民を危険に陥れる数千ものセキュリティー脆弱性を、政府の国勢調査局が修復するための時間は数ヶ月しか残っていないと言った。 続きを読む

  • エンタープライズG Suiteのアドミンのセキュリティ能力を高度化するツールをGoogleが提供

    エンタープライズG Suiteのアドミンのセキュリティ能力を高度化するツールをGoogleが提供

    今日(米国時間7/24)行われたGoogleのCloud Nextカンファレンスでは、G Suiteのアップデートが数多く発表され、その多くはユーザー体験にフォーカスしていたが、それに加えて、アドミンのための新しいセキュリティ調査ツールも紹介された。それはセキュリティの問題を防止ないし検出するための既存のツールを補うもので、G Suiteセキュリティセンターを一層強化することがねらいだ。 続きを読む

  • ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

    ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

    二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。 KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。 続きを読む

  • ハードウェアの設計にセキュリティの欠陥を見つけるTortuga Logicが$2Mを調達

    ハードウェアの設計にセキュリティの欠陥を見つけるTortuga Logicが$2Mを調達

    システムのセキュリティをチップのレベルで担保することを目指すTortuga Logicが、Eclipse Venturesから200万ドルのシード資金を獲得した。パロアルトに本社を置く同社は、その資金で、コンピューターのハードウェアに人知れず潜む脆弱性を見つける製品を作りたい、と志向している。 続きを読む

  • 新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

    新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

    セキュリティ企業のArmisが8つのエクスプロイトを見つけ、まとめてBlueBorneと名付けた。それらを利用すると、スマートフォンの本体に触ることなくアクセスして攻撃できる。スマートフォンだけでなく、Bluetoothを使っているコンピューターやIoTなどにも、同じ弱点がある。 続きを読む

  • Apple曰く今度のデベロッパーサービスの事件はバグのせい、セキュリティ侵犯ではない

    Apple曰く今度のデベロッパーサービスの事件はバグのせい、セキュリティ侵犯ではない

    Appleの説明によると、デベロッパーのアカウントに短時間影響を与えた問題はバグが原因で、一部の説のようなセキュリティの侵犯ではない。 続きを読む

  • 上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

    上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

    ジョージア工科大学の研究者たちが、私たちにとって非常に重要なものを攻撃するランサムウェアを作った。その重要なものとは、上水道施設だ。彼らのプログラムは、彼らがモデルとして作った上水道プラントに自分で自分をインストールし、‘犯人’である研究者たちは、塩素の量を変える、水の弁を閉じる、モニタリングシステムに嘘の値を送る、などのことができた。 博士課程の学生でこの研究の共同主導者であるDavid Formbyは語る: “データに危害を加えるだけでなく、制御システムも狂わすような、“高度な”… 続きを読む