スラッシュドット・ジャパン

ある Anonymous Coward 及び LARTH 曰く、

Google Buzz の記事につけられたコメントでも言及されていたが、Google のプロフィールページで「検索して見つけてもらえるようにフルネームを表示する」という項目が勝手にチェックされている。また iPhone から Google Buzz を利用した場合、Google Buzz の起動時に位置情報の利用するかどうか尋ねられ、許可した場合はすべての Buzz (つぶやき) に位置情報が付与される (ITmedia News の記事より)。

この件が各所で話題となったためか、Google Japan は Blog 記事にてフルネームを公開しない方法および iPhone で位置情報を添付しない方法について説明している。

Elbereth 曰く、

JVNのJVNVU#188937 GNU gzip における複数の脆弱性経由で知ったが、GNU ProjectのGNU gzip — News: gzip-1.4 released (stable/security)によると、GNU gzip 1.3.14 ～1.3.3 のバージョンに複数の脆弱性があり、修正がされた1.4がリリースされたとのこと。

この記事によると、脆弱性のあるバージョンでは、細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性がある。また、脆弱性の一つは、64-bitシステム上でのみ影響を受ける模様。

gzip 1.3.3のリリースは2002年3月8日で、1.3.14は2009年10月30日のリリースなので、かなり長期間のものが対象になる。

なお、2月5日の3時現在でCODEZINEの記事では「2009年10月に公開されたバージョン1.3.3以来の安定版」と書かれていますが、これは1.3.14のことと思われる。

あるAnonymous Coward 曰く、

Telegraphの記事によると、耳が不自由な人に向け、「わさびのにおい」で火災を知らせる火災報知器があるそうだ。滋賀大学で実証試験が行われ、効果があることが実証されたそうだ。

滋賀医科大学のニュースによると、「枕元に臭気が到達してからおよそ10秒から2分後にすべての被験者が目を覚まして室内のブザーを押す」とのことで、かなりの効果がある模様。

ちなみにググってみたところ、火災報知器と臭気発生装置をセットにした製品を発見。今年になってテレビでも紹介されている。また、「わさび臭火災警報器」に関する悪質商法にご注意ください。 という話もあるようだ。

maia 曰く、

やや旧聞になるが、iTunes Storeのアカウントがハックされ、不正請求を食らう事例が発生しているようだ（朝日新聞の記事）。記事には「複数のクレジット会社によると、昨年秋以降、ｉＴＳの不正利用に関する相談が、多い社で数十件」とある。

検索してみると、日記やまとめサイトで状況が見えてきた。2009年10月から11月頃に被害が発覚したようで、被害者は対策に追われている。消極的だが、対策はクレジットカードの利用明細に目を光らせる（これは基本）、利用限度額を低く設定しておく（他の利用に影響するけど）、iTSアカウントのクレジットカード情報を削除してプリペイドカード（iTunesカード）の利用に限定する、といったところだろうか。

一応問題があった場合の問い合わせ先を示しておくと、ここ＞iTunes Store カスタマーサービス

1月29日の朝日新聞の記事では、IDとパスワードの管理方法に問題があったのではないか、と思われる事例が紹介されている。また、実際に被害に遭われたisiの日記も参考にどうぞ。

あるAnonymous Coward 曰く、

フリーソフトウェアの人気FTPクライアント「FFFTP」で保存したアカウント情報を盗み取るマルウェアが話題になっている。FFFTPの作者はこれを受けてWebページに「お知らせ」を掲載、（サーバー側がSSLに対応している場合は）SSL対応FTPソフトへの切り替えやパスワードを保存させない、などの対策を行うよう伝えている。

なお、対策として別のFTPクライアントへの乗り換えをすすめる意見もあるが、ほかのFTPクライアントについても同様にアカウント情報を盗まれる可能性があるため、FTPクライアントを変更するだけでは抜本的な解決にはならない。また、FTP通信が盗聴されてログイン情報が盗まれるケースもあるようだ。FTPは平文で認証情報を送信するため、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用し、またクライアント側にはパスワードを保存させない、もし保存させていたらそれをクリアしておく、といった対処が必要だろう。

90 曰く、

いささか旧聞だが、本家記事Mobile: Second 3G GSM Cipher Crackedによると、3G GSMにおいてトラフィックの安全性を保つ「Kasumi」暗号が新しく開発された解読法によって破られたそうだ。「related-key attack」というこの方法では、完全な復号鍵が得られるという。ただし、Kasumiが即時に危険な暗号となるようなことはないという。

「Misty」と呼ばれる暗号の改良版であるKasumi暗号は「A5/3」とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文では

この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ、2^32の時間で128bitの完全なKASUMI復号鍵を発見できる。複雑さは非常に小さく、攻撃のシミュレーションは一台のPCを用いて2時間以内に完了し、実験的にその正しさと複雑性を確認した

と述べられており、この手法は一般のPC上でも容易に実装できるとしている。

つづく...

あるAnonymous Coward 曰く、

米セキュリティ企業Impervaは3200万アカウントのパスワードを分析し、報告書（PDF）を発表した（本家記事）。

昨年12月、ソーシャルガジェット大手サイトRockyou.comがハッカーによって侵入され、3200万のアカウント情報が漏えいしたという事件があったそうだが、Impervaはこの件で漏えいしたパスワードを分析対象としたとのこと。報告書によると、約半数のパスワードは名前やスラング、単語、連番の数字やキーボード上の隣接する文字を使ったもので、「!@#$%^&*,;"」など特殊文字を使用したパスワードは4%にも満たなかったという。また、最も使われていたパスワードトップ10は以下の通りだそうだ。

1. 123456
2. 12345
3. 123456789
4. Password
5. iloveyou
6. princess
7. rockyou
8. 1234567
9. 12345678
10. abc123

Impervaによると、これ程大規模な実際データが分析されたのは恐らく今回が初めてとのことだ。

本家/.org記事より。garg0yle 曰く、

ある研究者が、Windowsにユーザーの権限昇格を許してしまうバグを見つけたそうだ。これだけじゃ新しい話じゃないね。ところが、今回のバグは仮想DOSマシン（VDM）に影響を及ぼすもので、しかも全ての32ビット版Windows、つまりNT以降全てのバージョンに影響がある。17年もWindowsを続けてきた甲斐があったもんだ。

（元記事より）「このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。（中略）この脆弱性は1993年以降にリリースされた全ての32ビット版のマイクロソフト製OSに存在していて、実証コードはXP、Server 2003、Vista、Server 2008、7で動作する。」

あるAnonymous Coward 曰く、

Twitter上で「空港を爆破する」と冗談でつぶやいた男性が英国で逮捕されたそうだ（本家記事より）。

大雪のためフライトが運休し、スケジュールの変更を余儀なくされたことに苛立ったPaul Chambers氏は友人らに向け、冗談で「空港を爆破してやる」とつぶやいたという。この1週間後、Chambers氏は反テロリズム法に則り逮捕されてしまったそうだ。7時間に及ぶ尋問の末保釈されたが仕事は停職になり、爆破すると「予告」した英ドンキャスター空港には生涯出入り禁止となってしまったとのことだ。

あるAnonymous Coward 曰く、

昨年、還付金に目が眩んで e-Tax に登録してしまったのだが、つい先程のこと e-Tax を名乗るメールが届き申告のお知らせがあるので https://www.e-tax.nta.go.jp/ へ行ってメッセージボックス一覧表示を確認するようにと案内があった。

そこで早速、e-Tax のページへ飛び、指示のあったメッセージボックス表示 とやらを確認に行ったのだが、なんと SSL 証明書が sec_error_untrusted_issuer と警告されてしまい面食らっているところである。

よりにもよって国税庁のe-Tax関連サイトで独自書名というのは有り得ないにも程がある上、ガンブラーの亜種が猛威をふるっていると伝え聞く現状では、遂に国税庁までもが陥落してしまったのか？と疑いたくなってしまう。

まさか、本当に陥落してしまった訳ではないとは思うのだが、国税庁の一体何を考えているのか頭を抱えるばかりである。

コメントでも指摘されているが、政府や地方自治体が使用しているGPKIやのルート証明書がFirefoxにはプリインストールされていないのが問題となっているようだ。

ある Anonymous Coward 曰く、

中国の Google へのサイバー攻撃に、Google 内部の者が関与していなかったか、現在調査が行われているそうだ (本家 /. 記事、CNET Japan の記事より) 。

ロイター通信の報道によると、Google の中国オフィスでは従業員が休暇を取らされたり移籍されたりしているとのこと。これらの話は地元メディアや情報筋から挙がっているそうだ。Google では従業員をネットワークから遮断し、現在ネットワークセキュリティの確認が行われているという。

攻撃に使われたマルウェアは Hydraq というトロイの木馬を改変したものだったとのことで、攻撃対象であるユーザを識別しているという点で高度な攻撃だったという。この件に関し、Google の広報担当者は「現在進行中の調査についての詳細はコメントできず、また噂や推測についてコメントすることはない」と発言しているとのことだ。