JR東日本の会員向けサービス「My JR-EAST」で3月31日に不正ログインが発生していたそうだ(JR東日本 — My JR-EASTでの不正ログイン発生とご利用のパスワード変更のお願い: PDF、 YOMIURI ONLINEの記事、 INTERNET Watchの記事、 朝日新聞デジタルの記事)。

大手Webサイトで不正アクセスが相次いでいることからJR東日本が調査したところ、3月31日12:26～13:52の間に国内の特定IPアドレスから約26,000件のアクセスがあり、97名のアカウントに対して不正ログインが行われていたことが4月16日に確認されたという。このうち5アカウントについてはユーザーの個人情報が閲覧された可能性があるそうだ。ただし、乗車券などが購入された形跡はないという。JR東日本では、該当する97アカウントについてはログイン停止の措置をとって会員に連絡しており、ほかのサービスについても調査を進めているとのことだ。

eggy 曰く、

セキュリティーベンダーMalwarebytesが15日に公開したウイルス定義ファイルにより、正規のWindowsシステムファイルがマルウェアと誤認されて数千台のコンピューターが動作しなくなってしまったそうだ(Malwarebytesのブログ記事、 V3.co.ukの記事、 The Inquirerの記事、 本家/.)。

ウイルス定義ファイルが公開されたのは太平洋標準時15日午後3時ごろ。8分後に削除されたが、同社のヘルプデスクやフォーラムに問い合わせが殺到したという。Malwarebytesは数時間後に修復ツールと修復手順を同社フォーラムで公開している。トラブルが発生した原因は、ウイルス定義ファイルを圧縮および暗号化するツールに問題があり、ファイルが破損したことを検出できなかったためだという。Malwarebytesではツールを修正したほか、テスト用サーバーの構築や、サポートチームの増強などの対策をしたとのことだ(Malwarebytesのブログ記事2)。

Androidスマートフォンの多くでセキュリティーアップデートが提供されず、脆弱性が放置されているとして、アメリカ人権自由協会(ACLU)が米連邦取引委員会(FTC)に調査と救済措置を求める訴状を提出したそうだ(ACLUのブログ記事、 訴状: PDF、 The Security Ledgerの記事、 本家/.)。

Android OSはGoogleによってセキュリティー修正が行われているが、多くのデバイスは携帯キャリアやハードウェアメーカーによりカスタマイズされたOSが搭載されているため、Google提供のセキュリティーアップデートをそのまま適用することができない。Androidデバイスはスマートフォン市場の75%を占めるが、既知の脆弱性が確認されているバージョンが多数を占めるという。Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったものであるのにも関わらず、キャリアやハードウェアメーカーによるセキュリティーアップデートの提供頻度は低い。しかし、多くのユーザーは2年契約で端末を購入しており、脆弱性のあるソフトウェアを使い続けることになる。ACLUでは、キャリアが重要なセキュリティーアップデートを提供しないのであれば、デバイスに対する返金や違約金を払うことなく解約できるようにすることをキャリアに強制するようFTCに求めている。

ある Anonymous Coward 曰く、

最近テレビで放映されているコーヒー飲料の CMが (悪い意味で) 話題になっている。「IC カードで認証されるタイプのセキュリティゲートを通れない女性が、男性社員に差し出された IC カードを使ってゲートを通過する」というものなのだが、これは多くの場合セキュリティ的に NG だ (ねとらぼの記事より) 。

CM には小さく「CM 上の演出です」と書かれているのもツッコミどころである。炎上商法ではないのかという話も出ているようだが…… (日刊サイゾーの記事) 。

ある Anonymous Coward 曰く、

カリフォルニア大学バークレー校の研究チームは、数字や文字のパスワードの代わりに脳波を利用してパスワードの代わりをするという、脳波認証システム「passthoughts」を開発した (Dark Reading の記事、本家 /. 記事より) 。

使用した機材は、脳波で動くネコミミを開発したことで有名な NeuroSky 社の脳波をチェックできる安価な Bluetooth ヘッドセット「MindSet」。15 人の大学生を対象に実験を行ったところ、10 秒間ほど集中して息を吸う吐く、指を上下に動かすイメージをする、システムが鳴らす音を聞くなどのイメージをすることにより、99 % の精度で脳波信号をマッチングさせることに成功したという。

ある Anonymous Coward 曰く、

電話のボタン一つで飛行機をハックしハイジャック、という映画などで見かけるシーンが現実に一歩近づいたようだ (Help Net Security の記事、本家 /. 記事より) 。

アムステルダムで行われたハッキングカンファレンス Hack in the Box にて、セキュリティ専門家であり商用航空機パイロットでもある Hugo Teso 氏が Android 端末を利用した攻撃を発表した。Teso 氏は航空通信システムの脆弱性を攻撃するフレームワーク SIMON を構築、さらに航空機のフライトマネジメントシステムに攻撃メッセージを送信する PlaneSploit という Android アプリケーションを開発したとのこと。

この攻撃は ADS-B (Automatic Dependent Surveillance-Broadcast）と ACARS (Aircraft Communications Addressing and Reporting System) の二つのシステムをターゲットとしている。ADS-B は航空機が自身の識別情報や現在位置や高度などを航空管制に伝え、また天候や他航空機の情報などの情報を得る通信システムであり、ACARS は航空機と地上局との間で航空機情報を無線通信または衛星通信を介して自動提供するシステムである。ACARS の情報には便名などの運行情報に加え、搭載燃料や故障情報などのデータも送ることが可能とのこと。

Teso 氏の攻撃モデルでは ADS-B を利用してターゲットを選定し、ACARS を利用して搭載コンピュータの情報を入手しさらにこのシステムの脆弱性を利用して航空機の運行に影響を及ぼすなりすましメッセージを送信することが可能であり、デモでは航空機の飛行ルートを変更するような機能が紹介されたとのこと。この脆弱性の詳細は明らかにされなかったが、最新システムの場合はファームウエアやソフトウエアを修正すれば修復できるとのこと。70 年代のような古いシステムの場合は修復するのが難しいが、どちらにせよ攻撃は自動操縦時のみ可能であり航空機をマニュアル制御に変更すれば解除されるとのことだ。

あるAnonymous Coward 曰く、

昨年発生したPCの遠隔操作事件を追っていた共同通信記者が、真犯人を名乗る人物が利用していたメールサーバーに不正アクセスを行っていたことが明らかになった（産経新聞、読売新聞、NHK）。同社は「厳密に言えば法に抵触するが、今のところ記者の処分は考えていない」として記者を擁護している。

ログインに使用したパスワードは犯行声明文から推測して発見したようですが、どう言い訳しても不正アクセス禁止法に抵触する案件だと思われます……。

不正アクセスのターゲットとなったのは、真犯人を名乗る人物が犯行予告などの送信に利用した無料メールサービス。共同通信記者は昨年10～11月ごろに「パスワードを推測し、何度か試しに打ち込む」攻撃を実行してアカウントを不正に奪取した疑いがもたれている。

ある Anonymous Coward 曰く、

北朝鮮がミサイルを出し入れしていることが世界的な話題になっているが、北朝鮮に近い日本は他人事とは言えない。万が一日本に核ミサイルが飛んでくる可能性もないとは言えない。そんななか、「もし本当に核ミサイルが飛んできたらどうすればいいのかまとめ 26個」という記事が話題になっている (はてなブックマークの記事より) 。

外にいる場合は地下に逃げる、伏せる、放射性物質からの影響を最小に抑えるように逃げるなど、それなりに正しそうな対処が述べられているが、どうなのだろうか。/.J 読者の皆様が持つ、被爆の際の対処ノウハウを教えて欲しい。

danceman 曰く、

ロシア人クラッカーたちが Ubisoft のオンラインサービス uPlay の脆弱性を突き、ほぼ全てのゲームへの自由なアクセス権を得ていたとのこと。その中にはまだリリース前の「Far Cry 3: Blood Dragon」も含まれていたという (EuroGamer.net の記事、本家 /. 記事より) 。

Far Cry 3: Blood Dragon はまだリリースされていないものの、Ubisoft のサーバ上に置かれていたのだそうだ。ロシア人クラッカーはシステムに侵入した証しとして、およそ 30 分にも及ぶ同ゲームのプレイ動画を YouTube にアップしていたようだ (Eurogamer.net の記事)。現在、同動画は Ubisoft の削除申請で閲覧不可となっている。

Ubisoft によれば、個人情報の漏洩はないとのこと。

あるAnonymous Coward 曰く、

連邦捜査官が容疑者を追跡するために使用しているとされるスマートフォン監視ツール。このツールがどのように機能しているかは論争の的になっていた。WIREDの記事によると、400万ドルの税金詐欺の法廷論争でベライゾン・ワイヤレスが提供した情報などからそのツールの内容が分かってきたという（WIRED、本家/.）。

それによると、2008年7月、ベライゾン・ワイヤレスは、AirCard（USBやカード型のモデム）のプログラムを改編し、FBIの「Stingray」と呼ばれる基地局を模倣するシステムに接続するようにしたという。Stingrayは所有者をコールしていない場合でも、バックグラウンドで携帯電話にpingを実行できる。また、この携帯電話に着信したとき、ベライゾン・ワイヤレスは通常の基地局から携帯電話を切り離し、FBIの偽基地局に再接続、位置データをFBIにリアルタイム送信する仕組みになっていたとしている。

eggy 曰く、

先月20日に韓国で起きた大規模サイバー攻撃事件は、北朝鮮軍の諜報機関が関与していたようだ。韓国インターネット振興院（KISA）が伝えるところによれば、アクセス履歴及び悪意のある攻撃コードを調べたところ、北朝鮮軍の偵察総局が出所であることが分かったのだそうだ（本家/.、Security Week記事、朝日新聞）。

KISAの広報は、北朝鮮軍の偵察総局が指揮した同サイバー攻撃は計画的であったとし、少なくとも8か月まえから準備を行っていたようだと話している。マルウェアを拡散するのに、韓国を含む10カ国の49箇所を経由していたことが分かっており、攻撃に使われたマルウェアはコンピュータのハードディスク上からコンテンツを完全消去するもので、PCやATM、サーバなど48,700台が被害を受けたとのこと。

先日、横浜市総務局危機管理室のツイッターアカウント @yokohama_saigai が AM 11:20 頃に誤って「北朝鮮からミサイルが発射されたとの情報がありました」とツイートし、約 20 分後にツイートを削除、訂正とお詫びを報じた (毎日 jp の記事、CNET News の記事) ……というニュースが本家 /. 記事で取り上げられていた。

本家 /. 記事掲載 3 分後に 1st post をし (Score:5, Funny) を獲得した netwarerip (2221204) 氏のコメントによると「危機管理室のスタッフはそのニュースを最初に投稿したかったんだろうね。スラド民に違いない」とのこと。多分ドヤ顔で投稿したに違いない。

taraiok 曰く、

Veracode 社は、ソフトウェア脆弱性傾向の研究などを含む Software Security Report を公開した。それによると今後お手軽なクラッカー、スクリプトキディが増えるだろうと指摘している (Help Net Security の記事、本家 /. 記事)。

こうしたクラッカーの増殖には Google 検索の影響があるという。たとえば「SQL injection hack」という単純な単語で検索すると 300 万もの結果を導き出す。この中には SQL インジェクションの発生方法を説明した動画なども含まれている。こうした情報の入手性の高さは、技術的に熟練していないクラッカー達が増えやすい要因となっているという。

また同レポートによると Web アプリケーションの 32 % が問題点の修正を行わないまま運用されていることが分かった。このため、2013 年に起きる問題の約 30 % は SQL インジェクションによる攻撃となる可能性があるとしている。そして、組織のセキュリティ侵害やデータ損失の主要原因は、安全でないソフトウェアであると結論づけている。

eggy 曰く、

CNNが、「Shodan」という検索エンジンを取り上げている。ShodanはGoogleのようにWebサイトを検索するものではなく、サーバやウェブカメラ、プリンタ、ルータなどインターネットに接続されている機器を検索できる検索エンジン。しかし、こうした情報が悪意ある人の手に渡ると深刻な被害を受ける可能性があるとしている（本家/.、CNN記事）。

Shodanで検索できるデバイスとして、公園やガソリンスタンド、ホテルのワインクーラー、火葬場のコントロールシステムなどが挙げられている。さらにサイバーセキュリティー専門家がShodanを使ったところ、原子力発電所の管理システムや粒子加速器サイクロトロンも見つけることができたのだそうだ。

さらに恐ろしいこととして、Shodanで検索できるデバイスのうちセキュリティ対策がされていないものが少なくないということも指摘されている。

ある Anonymous Coward 曰く、

空港では危険物などが持ち込まれないよう、入港時に金属探知や X 線検査など慎重な保安検査が行われる。しかし、アムステルダムで開催されたセキュリティカンファレンス「HACK IN THE BOX」でセキュリティ専門家 Evan Booth が発表した研究成果によると、こうした保安検査は無駄なものだった可能性があるという (CarolinaCon 2013 での発表動画、本家 /. 記事より) 。

同チームの 2 年間の研究成果によれば、税関を通った後にある空港内の店舗で販売されている材料だけで火災などの発生に必要な着火機構を作り上げることができるとした。必要な材料は、ZIPPO ライター、使い捨てライター、テープ、デンタルフロス、携帯電話など。これらを組み合わせれば、ワイヤレスネットワークを介して遠隔操作も可能となるという。

また、さらに販売されている材料だけで爆発物やクロスボウなども作り上げることができるとしている。