Security

  • Western Digitalのパーソナルクラウドにパスワード回避の欠陥

    Western Digitalのパーソナルクラウドにパスワード回避の欠陥

    人気のクラウドストレージドライブに脆弱性が見つかったことをセキュリティー研究者が公表した。メーカーは一年以上セキュリティーパッチを発行していない。 Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカーはドライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。 この欠陥は、ドライブのウェブベースのダッシュボードがユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスをアタッカーに与えるために発生する。 バグは「容易に」… 続きを読む

  • このCSSベースのWeb攻撃は、iPhoneをクラッシュ&リスタートさせる

    このCSSベースのWeb攻撃は、iPhoneをクラッシュ&リスタートさせる

    一人のセキュリティー研究者が、あらゆるiPhoneをクラッシュしてリスタートさせる方法を発見した——必要なのはわずかなコードだけだ。 続きを読む

  • HTTPSの証明書を無料で発行するLet’s Encryptが三歳の誕生日、これまで380Mの証明書を発行

    HTTPSの証明書を無料で発行するLet’s Encryptが三歳の誕生日、これまで380Mの証明書を発行

    この無料で利用できる非営利団体は2014年に、Electronic Frontier Foundation(EFF)の主唱で創設され、Akamai, Google, Facebook, Mozillaなどの大手テクノロジー企業/団体が支援してきた。3年前の9月14日に、同団体は最初の証明書を発行した。 続きを読む

  • 「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある

    「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある

    現代のコンピューターの殆どが、たとえディスクが暗号化されていても、数分のうちに機密データを盗む新たな攻撃に対する脆弱性があることが、最新の研究によって明らかになった。 続きを読む

  • Tor Projectが匿名ブラウザーTorのAndroidバージョンをリリース

    Tor Projectが匿名ブラウザーTorのAndroidバージョンをリリース

    匿名ブラウザーTorを作っているTor Projectが、その匿名ブラウザーのAndroidバージョンをリリースした。 このリリースにより、Tor Projectが長年承認していたAndroid用のブラウザーアプリOrfoxは、2019年に閉鎖する、と言っている。両方のアプリを使うためには、Tor ProjectのプロキシアプリOrbotをダウンロードする必要がある。 続きを読む

  • 米司法省:ソーシャルメディアは言論の自由を「意図的に抑圧」している

    米司法省:ソーシャルメディアは言論の自由を「意図的に抑圧」している

    米司法省は、大手ソーシャルメディア各社が「競争を阻害」し言論と表現の自由を「意図的に抑圧している」ことについて、ジェフ・セッションズ司法長官が「深刻な懸念」を抱いていることを公式に伝えた。 続きを読む

  • FacebookとTwitter:米国情報機関はもっと選挙妨害対策の力になれたはずだ

    FacebookとTwitter:米国情報機関はもっと選挙妨害対策の力になれたはずだ

    Facebook COO、Sheryl Sandbergは、プラットフォームとして海外からの選挙妨害防止に努力すべき点があったことを認めたが、政府も情報提供の強化に努めるべきだと語った。 続きを読む

  • 米国2020年国勢調査システムは、セキュリティー問題が山積み

    米国2020年国勢調査システムは、セキュリティー問題が山積み

    国勢調査まで2年を切った今、国勢調査局はサイバーセキュリティー問題を抱えている。 これは、議会の番犬とも言われ、政府の歳出を監視する政府説明責任局が木曜日(米国時間8/30)に発行した最新レポートの中で最大の注目事項だ。超党派からなる同局によると、国民を危険に陥れる数千ものセキュリティー脆弱性を、政府の国勢調査局が修復するための時間は数ヶ月しか残っていないと言った。 続きを読む

  • 暗号化コラボアプリのWickrがPsiphonとパートナーして通信の確実到達を確保

    暗号化コラボアプリのWickrがPsiphonとパートナーして通信の確実到達を確保

    あらゆるメッセージが暗号化されるコラボレーションアプリWickr(製品説明)が、スマートVPNツールのPsiphonとパートナーを結んだ。WickrはPsiphonの技術を利用して、どこから送られる通信パケットでも確実に目的地に届くようにする。自宅からでも、粗悪なWi-Fiのカフェでも、あるいは中国の粗悪なWi-Fiのカフェからでも。 続きを読む

  • クラウドネィティブ環境のためのセキュリティベンダーTwistlockがシリーズCで$33Mを調達

    クラウドネィティブ環境のためのセキュリティベンダーTwistlockがシリーズCで$33Mを調達

    世界がクラウドネイティブなアプローチへ移行していくに伴い、アプリケーションとそのデプロイのセキュリティを確保する方法も変わりつつある。クラウドネイティブ環境のセキュリティを提供するTwistlockが今日、Iconiq CapitalがリードするシリーズCのラウンドで3300万ドルを調達したことを発表した。 これまでの投資家YL Ventures, TenEleven, Rally Ventures, Polaris Partners, およびDell Technologies Capitalも、このラウンドに参加した。これで同社の資金調達総額は6300万… 続きを読む

  • Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

    Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

    DefConでハッカーたちが、スマートスピーカーの新たなセキュリティ問題を公表した。このセキュリティカンファレンスでスピーチしたTencentのWu HuiYuとQian WenxiangはBreaking Smart Speakers: We are Listening to You(スマートスピーカーを破る: あなたを盗聴できる)と題するプレゼンを行い、彼らがAmazonのEchoスピーカーをハックして、それにスパイ役をやらせた方法を説明した。 続きを読む

  • FirefoxやFacebookなどがインターネットの新しいセキュリティプロトコルTLS 1.3をすでにサポート

    FirefoxやFacebookなどがインターネットの新しいセキュリティプロトコルTLS 1.3をすでにサポート

    先週の金曜日(米国時間8/10)に、Internet Engineering Task Force(IETF)はTLS 1.3をリリースした。これはWebのセキュリティプロトコルTLS 1.2のメジャーアップデートで、HTTPS接続による暗号化を扱うレイヤなど多くのセキュリティ機能がこのプロトコルで定義されている。 続きを読む

  • Facebook、米国フォロワーの多いページのセキュリティーを強化

    Facebook、米国フォロワーの多いページのセキュリティーを強化

    本日(米国時間8/12)Facebookは、多数の米国人フォロワーをもつFacebookページの安全を強化し,偽アカウントや乗っ取ったアカウントを使ってページを運営することを困難にする新しい規制を実施する。米国に多くのフォロワーをもつ人々を皮切りに、一部のFacebookページではPage Publising Authorization(ページ発行承認)プロセスの通過が必要になっている。Page管理者は自分のアカウントのセキュリティーを確保し、位置情報の検証も行わなければならない。 続きを読む

  • GoogleがAndroidのグラフィクスドライバーをテストするGraphicsFuzzを買収

    GoogleがAndroidのグラフィクスドライバーをテストするGraphicsFuzzを買収

    Googleが、Androidのグラフィクスドライバーのセキュリティと信頼性をテストするフレームワークを作っているGraphicsFuzzを買収した。この、XDA Developersが最初に気づいたニュースは、GoogleがAndroid 9 Pieのリリースを発表した、その同じ日にやってきた。 続きを読む

  • アイダホ州の囚人たちが刑務所支給のタブレットで20万ドルあまりのクレジットを偽造

    アイダホ州の囚人たちが刑務所支給のタブレットで20万ドルあまりのクレジットを偽造

    アイダホ州の囚人たちが、刑務所が支給したタブレットのソフトウェアを使い、外界との唯一のつながりである同機の上で25万ドル近いクレジットを偽造した。そのタブレットは刑務所向けに各種サービスや物品を提供している大手事業者JPayが作ったもので、囚人たちはそれを使って、メール、音楽を聴く、送金するなどのタスクができる。一部のサービスは、有料だ。 続きを読む

  • エンタープライズG Suiteのアドミンのセキュリティ能力を高度化するツールをGoogleが提供

    エンタープライズG Suiteのアドミンのセキュリティ能力を高度化するツールをGoogleが提供

    今日(米国時間7/24)行われたGoogleのCloud Nextカンファレンスでは、G Suiteのアップデートが数多く発表され、その多くはユーザー体験にフォーカスしていたが、それに加えて、アドミンのための新しいセキュリティ調査ツールも紹介された。それはセキュリティの問題を防止ないし検出するための既存のツールを補うもので、G Suiteセキュリティセンターを一層強化することがねらいだ。 続きを読む

  • Chromeの最新バージョンは、非暗号化ページに”not secure”マーカーをつける

    Chromeの最新バージョンは、非暗号化ページに”not secure”マーカーをつける

    本日(米国時間7/24)Googleは、Chromeブラウザーのversion 68を正式発表し、暗号化されていない(非HTTPS)ページに “not secure”[安全ではない]マークを付けるという以前からの約束を正式にした。Chromeが、ブラウザー全体で安全な(HTTPS)ページの利用を促進するという時間のかかる計画を発表してから、ここまでに2年近くかかっている。 続きを読む

  • びっくり! 有名サイトは未だにこんなひどいパスワードを許している

    びっくり! 有名サイトは未だにこんなひどいパスワードを許している

    Amazon、Reddit、Wikipediaをはじめとする超人気サイトなら、”password1″や”hunter2″がひどいパスワードであることをユーザーに教えていると思うかもしれない。しかし、そうではない。有力サイトのパスワード傾向を過去11年間追跡したある調査プロジェクトによると、ほとんどのサイトがパスワードにおおまかな制約しか課しておらずほとんどユーザーの役に立っていない。 続きを読む

  • InstagramがSMSを使わない二要素認証を導入、SIMを悪用するハッカーを撃退

    InstagramがSMSを使わない二要素認証を導入、SIMを悪用するハッカーを撃退

    ハッカーは被害者の電話番号を別のSIMカードに割り当て、それを使ってパスワードを変え、Instagramなどのアカウント情報を盗み、それらをBitcoinで売る。今日(米国時間7/17)のMotherboard誌のおそろしい記事によると、とくにInstagramのアカウントには、SMSを使う二要素認証しかなく、しかもユーザーはテキストメッセージでパスワードやログインコードを変えたりするので、きわめて危険である。 続きを読む

  • Valimailを使うとハッカーがメールであなたのボスになりすますことがなくなる

    Valimailを使うとハッカーがメールであなたのボスになりすますことがなくなる

    詐欺的な偽メールの到来を防ぐValimailが今日(米国時間7/11)、そのなりすまし撃退サービスに新しい機能を加えた。これで、悪質なハッカーたちがメールで自己を詐称することが、一層難しくなるだろう。 Valimailは最初、ユーザーの発信メールの信頼度を高める方向にフォーカスしていたが、Valimail Defendと呼ばれる新たなソリューションでは、偽の着信メールを利用する二つのタイプの攻撃に焦点を当てている。 続きを読む