Security

  • Appleが透明性レポートに政府からのApp Storeアプリ取り下げ要求を含める

    Appleが透明性レポートに政府からのApp Storeアプリ取り下げ要求を含める

    Appleが、同社の透明性レポートの改良を目指している。その年に二度出るドキュメントの最新バージョンを発表した同じ日に同社は、今後のアップデートではApp Storeに対する政府の取り下げ要求を含める、と言明した。その最初のレポートは7月1日から12月31日までのもので、2019年にリリースされる。 続きを読む

  • FBI、暗号化でアクセス不能な端末数を水増し報告

    FBI、暗号化でアクセス不能な端末数を水増し報告

    暗号化された携帯電話に関するFBIの嘘がまた発覚した。昨年12月、FBIのChristopher Wray長官は、アクセス不能の携帯電話が2017年だけでほぼ7800台あったと推定した。実際の数字はその1/4以下だった可能性が高いことをThe Washington Postが伝えた。 続きを読む

  • OktaのPassProtectはあなたのパスワードがどこにもリークしてないか調べてくれる

    OktaのPassProtectはあなたのパスワードがどこにもリークしてないか調べてくれる

    セキュリティ企業のOktaが今日、Chromeブラウザー用の無料のエクステンションをローンチした。そのエクステンションPassProtectをインストールすると、ユーザーがタイプするパスワードを、被害に遭ったパスワードのデータベース、Troy HuntのHave I Been Pwnedで調べる。 続きを読む

  • Facebookの二要素認証がユーザーの電話番号(SMS)を使わないようにできる

    Facebookの二要素認証がユーザーの電話番号(SMS)を使わないようにできる

    Facebookの二要素認証をより安全にするためのオプションが、もうすぐさらに増える。 すなわちFacebookは確認プロセスを単純化して、電話番号の入力を不要にする。同社は今日(米国時間5/24)、Duo SecurityやGoogle Authenticatorのようなサードパーティの認証アプリケーションのサポートを発表し、同時にそのセットアップ過程を簡素化して、それらを容易に使い始められるようにした。 続きを読む

  • ティーン監視アプリのTeenSafe、パスワード1万人分が漏洩

    ティーン監視アプリのTeenSafe、パスワード1万人分が漏洩

    英国の研究者、Robert Wigginsが発見したところによると、TeenSafeのサーバー2台が侵入され、同社の監視サービスを利用している一部ユーザーのパスワードと個人情報が漏洩した。 続きを読む

  • Amazon傘下のRing、ドアホンのパスワード変更後もビデオがアクセス可能だった

    Amazon傘下のRing、ドアホンのパスワード変更後もビデオがアクセス可能だった

    ホームセキュリティー分野での存在感を高めようとしているAmazonにとって、ちょっとした汚点になりそうな案件だ。The Informationによると、Ringのカメラ付ドアホンに、今年1月までパスワードを変更したあともビデオをアクセスされる抜け道があったことがわかった。 続きを読む

  • ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

    ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

    二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。 KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。 続きを読む

  • MacでSignalを使っているユーザーは通知を無効にしてメッセージのセキュリティの確保を

    MacでSignalを使っているユーザーは通知を無効にしてメッセージのセキュリティの確保を

    安全なメッセージングのためにSignalを使っている方は、ご用心を。このアプリケーションは最良の暗号化メッセージングツールと見なされているが、しかしSignalを使っているMacのユーザーは、そのプライバシーが知らない間に危険にさらされるかもしれない。 続きを読む

  • Twitterに暗号化DM機能が隠されていた

    Twitterに暗号化DM機能が隠されていた

    TwitterのAndroidアプリの奥深くに、ユーザー同士で暗号化されたダイレクトメッセージをやりとりできる “Secret conversation” というオプションが見つかった。この機能があれば、Signal、Telegram、WhatsAppなどの暗号化メッセージアプリに頼ることの多かった機密性の高い会話をTwitterで行える。 続きを読む

  • テネシー州の郡選挙サイト、DDos攻撃で投票日にダウン

    テネシー州の郡選挙サイト、DDos攻撃で投票日にダウン

    先週、地方選挙の最中にDDoS(分散型サービス妨害)攻撃を受けてサーバーがダウンしたことを受け、テネシー州ノックス郡は外部セキュリティー調査会社と協力して原因を調査している。攻撃の結果郡長予備選挙結果を表示するノックス郡選挙委員会のウェブサイトは投票日の最中に停止した。郡はダウン中印刷された投票結果を配布した。 続きを読む

  • GoogleのAdvanced Protection ProgramでAppleのiOSアプリが利用可能に

    GoogleのAdvanced Protection ProgramでAppleのiOSアプリが利用可能に

    昨年10月、Googleは高度なセキュリティー保護サービス、Advanced Protection Programを提供開始した。Gmail、Google Calendar、Google Drive等のサービスに保存したデータを最高水準で保護することを保証するしくみだ。このプログラムを利用するユーザーは、2段階認証のためにセキュリティーキーを利用しなければならないことに加え、Googleデータをアクセスするためには、Google自身のウェブまたはモバイルアプリを使う必要があった。 続きを読む

  • 今すぐTwitterのパスワードを変えよう

    今すぐTwitterのパスワードを変えよう

    またその時がやってきたーーパスワード変更の時だ。木曜日(米国時間5/3)Twitterは、バグのためにユーザーパスワードが隠蔽されていない形式で保存されていたことを公表した。通常、パスワードのような機密データは様々な文字と数字を使ったハッシュ形式で保存され、パスワード文字列そのものは保護されている。今回Twitterは、内部ログにパスワードをハッシュなしの平文形式で保存していたものと思われる。 続きを読む

  • 中国政府、WeChatの削除済みメッセージを収集していることを認める

    中国政府、WeChatの削除済みメッセージを収集していることを認める

    中国政府当局は先週末、ほぼ全国的に使用されているチャットアプリのWeChat の削除済みメッセージを取得するしくみを持っていることを明らかにした。多くの人にとって驚きではなかったが、このような議論を呼ぶデータ収集手法を公式に認めることはかなり珍しい。 続きを読む

  • サイトに潜むトラッカーが、「Facebookでログイン」のデータを狙っている

    サイトに潜むトラッカーが、「Facebookでログイン」のデータを狙っている

    Facebook がTechCrunchに伝えたところによると、現在同社は、「Facebookでログイン」機能を利用しているウェブサイトに埋め込まれたサードパーティー製Javascriptトラッカーが、Facebookのユーザーデータを取得できることを示すセキュリティー調査報告書を調べている。このバグを悪用すると、ユーザーが登録していれば、名前、メールアドレス、年齢層、性別、地域、プロフィール写真などを収集できてしまう。トラッカーがこのデータを何に使っているのかは不明だが、こうしたトラッカーを売っているTealium、AudienceS… 続きを読む

  • フランス政府のすべての省庁がTelegramやWhatsAppなどの利用を禁じられ国営メッセージングアプリの使用を義務付け

    フランス政府のすべての省庁がTelegramやWhatsAppなどの利用を禁じられ国営メッセージングアプリの使用を義務付け

    フランス政府によると、一般的に人気のある暗号化メッセージングアプリTelegramやWhatsAppなどが政府職員間でも使われているが、それらには外国からの盗聴等のリスクがありうるため、今年の夏以降、フランス政府が独自に開発した暗号化メッセージングサービスに全員が移行する。 続きを読む

  • Windows 10がYubicoのSecurity Keyでパスワード不要のログインをサポート

    Windows 10がYubicoのSecurity Keyでパスワード不要のログインをサポート

    先週、パソコンなどのUSBポートに接続する人気の高い認証用ドングルYubiKeyを作っているYubicoが、同社の20ドルのSecurity Keyが、認証技術の新しいスタンダードFIDO2/WebAuthnをサポートする、と発表した。発表の中で同社は、FIDO2はパスワードの終焉の先駆けになるかもしれないと述べ、さらに、MicrosoftもWindows 10とAzure Active DirectoryのユーザーにYubico Security Keyをサポートすることによって、このスタンダードを強く推していく、とも述べた。 続きを読む

  • Microsoftが新しいIoTサービスのために独自のLinuxカーネルを作った

    Microsoftが新しいIoTサービスのために独自のLinuxカーネルを作った

    今日(米国時間4/16)サンフランシスコで行われた小規模なプレスイベントでMicrosoft は、マイコンを使用するデバイスを対象とする、安全なエンドツーエンドIoTプロダクトのローンチを発表した。それらは、小型で消費電力の少ないマイコン(micro control unit, MCU)を使って最小限のコントロールやネットへの接続を行うデバイスだ。そのようなデバイスは、玩具や家庭用品、産業向けアプリケーションなど、さまざまなところで使われているが、頻繁なアップデートは行われず、セキュリティに不安のあるものが多い。 続きを読む

  • Cloudflareが新しいサービスSpectrumでWeb以外のインターネットトラフィックも保護

    Cloudflareが新しいサービスSpectrumでWeb以外のインターネットトラフィックも保護

    2010年にローンチしたときのCloudflareは、Webサイトのスピードアップとハッカーからの保護がその仕事のすべてだった。そして今日(米国時間4/12)は、Spectrumと名付けたサービスのローンチにより、インターネットのWeb以外の部分も保護し、場合によってはスピードアップもできることになった。 続きを読む

  • SRLが多くのAndroid機のセキュリティパッチの怠慢を暴露、Googleはこれに反論

    SRLが多くのAndroid機のセキュリティパッチの怠慢を暴露、Googleはこれに反論

    Androidがオープンソースであることに良い点はたくさんあっても、ソフトウェアのアップデートをハードウェアのメーカーがやらなければならないことは、明らかにその慢性的な欠陥だ。それは機能の最新アップデートを期待するユーザーにとってはフラストレーションになりうるし、重要なセキュリティアップデートが為されないと危険を招くこともある。 ドイツのセキュリティ企業Security Research Labs(SRL)の二人の研究者が最近Wired誌で共有した研究によると、すべての大手メーカーのAndroidハンドセット1200台について2年間、セキュ… 続きを読む

  • ドローン撃退銃DroneShieldがピョンチャンに次ぎ全米ストックカーレースNASCARで採用

    ドローン撃退銃DroneShieldがピョンチャンに次ぎ全米ストックカーレースNASCARで採用

    NASCARレースの実況で、ドローンから撮ったすてきな画面を見たくても、そのクァッドコプターは不思議な力によって地上に釘付けになっているだろう。DroneShieldのそのドローン退治技術は、Texas Motor Speedwayで行われるNASCARのイベントで起用される。 同社が作っている数種類の製品はどれも、飛ぶべきではないところを飛んでいるドローンを見つけて安全に停止させる。 続きを読む