「encryption」カテゴリーアーカイブ

VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」?

Anonymous Coward曰く、

4月にスタートした、株式会社ZIGが運営するVTuberファンコミュニティサイト「MeChu」で利用者のユーザー名およびメールアドレス、パスワードが漏洩する事件が発生した(ニュースリリースTwitterでの告知ZIPによる「お詫びとご報告」1「お詫びとご報告」2)。

管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもので、パスワードはエンコードされていたものの容易に復号できたという。記事内で使用しているツールから、Base64でエンコードされていただけのものと見られている。

すべて読む | セキュリティセクション | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
メアド・パスワードの流出を警告する「Firefox Monitor」がバージョンアップ 2019年06月07日
ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 2019年05月31日
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
メアド・パスワードの流出を警告する「Firefox Monitor」がバージョンアップ 2019年06月07日
ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 2019年05月31日
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日

英諜報機関、暗号機「エニグマ」などのシミュレータを公開

英国の諜報機関・GCHQが、過去にドイツや英国などで使われた暗号装置「Enigma」「Typex」「Bombe」による暗号化および復号を簡単に試せるシミュレータを公開した(CNET Japan)。

これにより、GCHQがオープンソース(Apache License 2.0)で公開している「CyberChef」というデータ処理ツールで「Enigma」「Typex」「Bombe」による暗号化および復号が可能になる。GitHub上でデモが公開されているが、「Encryption / Encoding」の選択肢に「Enigma」や「Bombe」「Multiple Bombe」「Typex」が用意されており、これらをダブルクリックで選択し、「Input」に暗号化したい文字列を入れると「Output」に暗号化された結果が出力される。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
第二次世界大戦中に使われたドイツ軍暗号機「エニグマ」完動品、オークションにかけられる 2015年07月15日
本物の「エニグマ」がオークションに 2007年07月20日
エニグマ暗号の解読機、複製版が公開 2006年09月12日
エニグマ暗号文、64年ぶりに解読 2006年03月03日

人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果

ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクトThe Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 通信 | ソフトウェア | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
多くのIoT機器はセキュリティ対策が不十分 2019年02月07日
IPA、「情報セキュリティ10大脅威 2019」を発表 2019年02月01日
米カリフォルニア州、ネット接続機器の「デフォルトパスワード」を規制する法律 2018年09月26日
単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き 2018年01月23日
総務省、ネット上のIoT機器全調査を行うと発表 2017年09月11日
IoTが引き起こす問題は誰が責任を負うべきか 2017年09月01日
米上院でIoTデバイスのセキュリティ対策を求める法案が提出される 2017年08月10日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日
IoTマルウェア「Mirai」やその亜種による攻撃が増加中 2017年01月26日
IoTアダルトグッズのセキュリティ問題が指摘される、遠隔から第三者がバイブレーターを操作できる可能性 2016年12月22日
中国メーカー、大規模DDoS攻撃の原因機器となっているWebカメラを米国でリコールへ 2016年10月26日
IoTデバイスを乗っ取ってDDoS攻撃を行うマルウェアのソースコードが公開される 2016年10月07日
再び話題になるIoT検索サイト「Shodan」 2016年01月28日
IoTバービー人形でさまざまなセキュリティ上の問題が見つかる 2015年12月06日
サムスンのスマート冷蔵庫に脆弱性、Googleサービスへのログイン情報が盗まれる恐れ 2015年08月27日
Microsoftなどの企業団体、IoTにおける個人情報保護ガイドラインを提示 2015年08月17日
IoTはパスワードを不要にする、かもしれない 2015年06月24日

ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス

独自の技術でランサムウェアにより暗号化されたファイルの復号ができると称し、実際にはランサムウェア作者から購入した復号鍵にマージンを乗せて被害者に売るサービスの存在をCheck Pointの研究者が発見したそうだ(BetaNewsの記事The Registerの記事TechRadarの記事SC Media UKの記事)。

研究者はランサムウェアDharmaについて調査中、ロシアでランサムウェア感染マシンの復旧サービスを提供するDr. ShifroのWebサイトを発見する。しかし、まだ復号鍵の公開されていないDharmaのバリアントにも対応することを謳うなど、怪しい点がみられたという。

そこで研究者はDharmaのアルゴリズムを使用した偽の感染ファイルと偽のランサムウェア作者の電子メールアドレスを用意し、被害者を装ってDr. Shifroに連絡。2日ほどのち、偽ランサムウェア作者に仲介人を名乗るメールが届いたそうだ。送信者は2015年からクライアントに代わって復号鍵を取得していると述べ、身代金を偽ランサムウェアが要求する0.2 BTCから0.15 BTCへ値引くよう交渉してきたという。その後、被害者としてDr. Shifroに再び連絡すると、値引き前の身代金に1,000ドルほど上乗せした金額を提示されたとのこと。

研究者はこのようなサービスの提供が非倫理的なだけではなくランサムウェア被害者の支払額を増大させ、サイバー犯罪者の資金源としてランサムウェアの利用を勧める結果になると批判しているとのことだ。

すべて読む | セキュリティセクション | ビジネス | 犯罪 | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日
ランサムウェアの身代金を横取りするTorプロキシサイト 2018年02月04日
「偽ランサムウェア」による攻撃が増加 2017年02月06日
身代金ではなくセキュリティ記事を読むように要求するランサムウェア「Koolova」 2017年01月09日
他のユーザーを感染させることで無料暗号化解除を提供するランサムウェアが登場 2016年12月15日
データを復元できないのに身代金を要求する新種のランサムウェア 2016年07月16日
ランサムウェア「TeslaCrypt」開発者、復号用のマスターキーを公開 2016年05月24日
トレンドマイクロが「ランサムウェア無料ご相談窓口」を開設、非ユーザーも無料相談可能 2016年05月11日

OpenSSL 1.1.1 リリース

iida 曰く、

OpenSSL 1.1.1が11日、正式にリリースされた(OpenSSL Blogの記事)。

新しい特長は第一に、先月発行されたTLS 1.3 (RFC 8446) のサポートだ。また、乱数生成子は全面的に書き直されているほか、SHA-3やEdDSA (TLS1.3でも使われる) など新しいアルゴリズムのサポートも追加されている。ブログ記事によると、1.1.0からの差分で200人を超える貢献者が5,000回近くコミットしたとのこと。

なにはともあれ関係各位の努力とご苦労に敬意を表したい。

OpenSSL 1.1.1は新たな長期サポート(LTS)版となり、少なくとも5年間のサポートが提供される、

すべて読む | オープンソースセクション | オープンソース | セキュリティ | 通信 | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
OpenSSL、ライセンス変更に向けて貢献者の合意を求める 2017年03月26日
十分な額の資金があれば、すべてのバグは深刻ではない? 2015年02月22日
OpenSSL、計8件の脆弱性を修正 2015年01月11日
GoogleがOpenSSLをフォークした「BoringSSL」を公開 2014年06月22日
OpenBSDがOpenSSLをフォーク、新プロジェクトは「LibreSSL」 2014年04月25日
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる 2014年04月17日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日

T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に

headless曰く、

T-Mobile Austria(オーストリア)の公式Twitterアカウント(@tmobileat)がユーザーパスワードを平文で保存しているとツイートしたことで、各国の系列会社が次々に「うちは違う」との返信を投稿する事態となった(Neowin)。

発端となったのはDeutsche Telekom(ドイツ)のユーザーパスワードに関する制約を問題視するツイートに対し、T-Mobile Austriaでは従業員がパスワードを確認できることから平文で保存しているらしいとの返信が寄せられたことだ。

この返信を引用する形でツイート主が事実関係をT-Mobile Austriaに確認すると、サービスチームの一人 (Kathe)が「カスタマーサービス担当者はパスワードの最初の4文字を見る(ことができる)。ログインに必要なのでパスワード全体を保存している」といった趣旨の回答をする。さらに、ツイート主や他のユーザーからパスワードの平文保存を問題視する返信に対し、Katheは「何が問題なのか理解できない」「パスワードは安全に保存されているので心配ない」「(同社の)従業員からの警告なのか?」などと返信している。

Katheからの返信はこれで終わっているが、T-Mobile US(米国、@TMobileHelp/@TMobile)やT-Mobile Nederland(オランダ、@tmobile_webcare)、Deutsche Telekom(@Telekom_hilft)の公式アカウントがこの問題を懸念する各国のユーザーに対し、「パスワードは暗号化して(ハッシュ化して)保存しており、従業員が平文のパスワードにアクセスすることはできない」といった内容の返信を繰り返し投稿。@TMobileでは「T-Mobile USはT-Mobile Austriaとは独立して運営されている」とまで投稿している。

T-Mobile Austriaではこの件について、「データベースは暗号化して安全に保存されており、データ侵害はない」とサービスチームの別のメンバー (Helmut)が別途ツイートしている。また、セキュリティ基準について真剣に議論し、必要があればさらに保護を強めていくとも述べている。

すべて読む | セキュリティセクション | モバイル | idle | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
macOS High Sierraで外部APFS暗号化ボリュームのパスワードが平文でログに記録される問題 2018年03月31日
パスワード変更不可な米長距離バス会社のWebサービス 2017年05月07日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日
OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に? 2014年12月10日
@PAGESで平文のパスワードを含む全ユーザーの管理情報が流出 2013年08月31日
Google、Chromeでパスワードを平文で確認できることに対し「アカウントにアクセスされた時点で負け」と主張 2013年08月09日

Let’s Encrypt、ワイルドカード証明書の発行を開始

Printable is bad.曰く、

無料でSSL/TLS証明書を発行している認証局のLet's Encryptが、ワイルドカード証明書の発行を開始した(公式発表和訳OSDN Magazine)。

従来は証明書にすべてのサブドメインを登録する必要があったが、ワイルドカード証明書では1つのドメイン名に属するすべてのサブドメインを1枚の証明書で保護することができるため、大規模なシステムにおいて証明書の管理が容易になる。

ワイルドカード証明書の取得には、ACMEv2互換クライアントをインストールして、DNSのTXTレコードを使用した認証を行う必要がある。導入方法などについてはACME v2とワイルドカード証明書の技術情報が参考になる。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Let's Encrypt、2018年1月よりワイルドカード証明書にも対応へ 2017年07月13日
Let’s Encryptのアクティブな証明書が2000万を超える 2017年01月12日
Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信 2016年06月17日
無料でSSL/TLS証明書を発行するLet's Encryptが正式サービスを開始 2016年04月18日
無料でSSL証明書を取得できるサービス、来年夏登場予定 2014年11月20日

米税関・国境取締局はIC旅券に格納されたデータが正規のものかどうかを検証できない

米税関・国境取締局(CBP)では、IC旅券(e-パスポート)に搭載されている偽造・改変防止機能を活用できない状況が長年にわたり続いているそうだ(The Registerの記事Ars Technicaの記事Ron Wyden上院議員のプレスリリース)。

米国務省は2005年からIC旅券の発行を開始。ビザ免除プログラムを利用して入国する渡航者にもIC旅券の所持を義務付けており、日本では2006年からIC旅券を発行している。IC旅券のRFIDチップには旅券のデータページに印刷されたものと同じデータが格納され(米国のIC旅券では生体認証情報も含む)、偽造・改変防止用のデジタル署名が入れられている。ただし、国境の係官が使用するRFIDリーダーにはデジタル署名の検証機能が備わっていない。そのため、写真を貼り替えるといったデータページの改変をチップ内のデータと照合して見破ることはできても、チップ内のデータ自体が偽造・改変されているかどうかは確認できないのだという。

この問題は2010年の時点で米会計検査院(GAO)が指摘して改善を求めていたが、現在に至るまで放置されていたようだ。これについてRon Wyden上院議員とClaire McCaskill上院議員が22日、CBPに対して対策を求める書状を送っている。要求内容としてはIC旅券のデジタル署名検証に必要な技術の開発または導入に必要なコストを算出し、2019年1月1日までに実施することとなっている。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | アメリカ合衆国 | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
希望する社員にRFIDチップを埋め込む米企業 2017年08月04日
空港における日本人の出入国審査、原則として顔認証システムを使用する方針に 2017年07月03日
米政府、「危険と思われる渡航者」のビザ審査時にSNSのハンドル名要求を開始 2017年06月15日
デルタ航空、顔認識技術で本人確認を行うセルフサービスの手荷物預入機を今夏テスト 2017年05月20日
米上院職員のIDカードにはICチップの写真が印刷されている 2017年04月29日
米国入国者はSNSアカウントだけでなくパスワードの提示も求められる可能性 2017年02月14日
米国のパスポートやビザの申請写真、11月から眼鏡の着用を禁止 2016年10月16日
非接触ICカードを非接触で「毎秒15枚」コピーできるというデバイス 2016年06月18日
成田空港と羽田空港で「顔認証」ゲートの実証実験開始 2012年08月08日
米国入国時の生体データ採取、「ほぼ全ての外国人」に対象を広げる 2008年12月27日
米国のICパスポートは暗号化なしの無線読取り 2005年03月07日

NICT、格子理論に基づく耐量子計算機暗号「LOTUS」を発表

情報通信研究機構(NICT)が、「量子コンピュータ時代に向けた新暗号技術を開発」なる発表を行っている(PC Watch)。

開発された暗号方式は「LOTUS」と名付けられている。この方式で暗号化された情報は量子コンピュータでも解読が難しく、また汎用性が高く専門家でなくても安全に利用できるという。

LOTUSでは「格子暗合」と呼ばれる技術を使っており、暗号化したいデータをベクトル化した後、公開鍵とノイズベクトルを使って暗号化するという仕組み。また、暗号文の破損をチェックするデータも組み合わせることで、復号前にその暗号化データが適切なものかどうかをチェックする機構も備えるという。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国が解読不可能な暗号通信の実現へ向けた量子科学実験衛星を打ち上げ 2016年08月18日
Google、Chrome Canaryでポスト量子暗号を実験 2016年07月16日
東大の研究者らが新たな量子暗号方式を開発 2014年05月26日
NISTがDESの放棄を提唱 2004年07月30日
米政府がAESを正式承認 2001年12月06日

Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開

AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイートArs Technicaの記事The Registerの記事)。

PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。

なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開鍵のみが掲載されている。

すべて読む | セキュリティセクション | セキュリティ | 変なモノ | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 2017年02月26日
PGPは有害無益? 2016年12月21日
PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される 2016年08月23日
オランダ警察、「PGP Blackberry」で使われているPGP暗号化されたメールを解読していた 2016年01月19日
Adobe Reader及びAcrobatの脆弱性、修正アップデートは11日に公開 2009年03月07日