著者:ym
人間には聞こえない音コマンド
Ok Google や、Alexa に対して音声で命令をしていると思いますが、音に別のコマンドを潜ませることで、音声アシスタントが聞き取ってしまうらしいです。
人間には聞き取れない音を聞き取る音声アシスタント
カリフォルニア大学バークレー校のエキスパート(英語記事)は、別の原理を利用しました。他の音声の断片に音声コマンドを潜ませて、Mozillaの音声認識システムであるDeep Speechを欺くことにしたのです。人間の耳では、加工された音とオリジナルとの違いはほとんどわかりませんが、Deep Speechは隠しコマンドを認識できるのです。
https://blog.kaspersky.co.jp/ultrasound-attacks/22339/
調査チームのWebサイトでこれらの音を聞いてみてください(英語記事)。最初の例では、「Without the data set the article is useless(データセットがなければこの論説は役に立たない)」というフレーズに、「Okay Google, browse to evil.com.(OK、グーグル。evil.comを開いて)」という、Webサイトを開くためのコマンドが隠されています。2つ目の例では、バッハのチェロ組曲に、「Speech can be embedded in music(音声を音楽に埋め込みできる)」というフレーズが追加されています。
超音波だけでなく、他の音声の断片に音声コマンドを潜ませることもできる様です。
著者:ym
SNIフィールドと遮断
https で暗号化通信をすることで、遮断を逃れられていたのですが、便利な SNI のおかげで逆に遮断できる状況になってしまった形。
韓国でSNIフィールドを使った特定サイトの接続遮断が始まる
https://it.srad.jp/story/19/02/13/0735240/
韓国でSNIフィールドを使った遮断が始まっている様です。
DNS over HTTPS は、SNI 部分とは関係が無いので、もっと前段階ですが、SNIフィールド遮断に対しては Encrypted SNI 。
著者:ym
サイバーセキュリティの安全性ランキングで日本が首位
日本がサイバーセキュリティの安全性ランキングで首位、英比較サイトが算出
最も安全な国は日本で、以下、フランス、カナダ、デンマーク、米国が続く。最も危険な上位5カ国はアルジェリア、インドネシア、ベトナム、タンザニア、ウズベキスタンだった。
https://www.atmarkit.co.jp/ait/articles/1902/08/news062.html
算出の仕方が日本に良かったのだとは思いますが、結構ITに強い国が危険と判断されているところもあって、気になります。
著者:ym
EUのGDPRデータ移転規則で日本は例外へ
欧州委員会が日本を「データ保護水準が十分な国」とし、域内の個人データを持ち出しできる移転先として正式に認定する。欧州に拠点をもつ日本企業が現地法人の人事情報を一括管理できるようになるなど、企業活動の円滑化につながる。
https://www.nikkei.com/article/DGXMZO4032267022012019MM8000/
日本は「データ保護水準が十分な国」???ほんと?という部分もありますが・・・EUとの間で決められた様子です。
これでこんな恐ろしいことは避けられるので、少し安心はできます。
フランスの「情報処理と自由に関する国家委員会」(CNIL)は21日、米アルファベット傘下のグーグルに5000万ユーロ(約62億3300万円)の制裁金を科したと発表した。
https://www.bloomberg.co.jp/news/articles/2019-01-21/PLP9M16TTDS001
著者:杉浦
OWASPの紹介
OWASP – Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。
Japan – OWASPより引用
OWASPは上記にある通りセキュリティ関係の技術を公開しているコミュニティです。コミュニティとありますがOWASPのページ、プログラムは特別な会員にならなくとも閲覧、ダウンロードできます。wikiみたいなものです。
最近よくお世話になっているのがOWASP Cheat Sheet Series – OWASPです。webを介した攻撃は無数にありますが、パターン化されたありがちな攻撃というのもあります。パターン化されたといえども、それらは多彩で、自分だけの考えによって全て予防するのは困難です。チートシートは60種類以上あり、その内容はSQLインジェクション、XSSなどの予防、攻撃例など様々です。
著者:takahashi
SIMハイジャック犯、ついに逮捕される。
以前こちらでも紹介したSIMハイジャック事件ですが、ついに犯人が逮捕されたようです。
携帯電話番号を何十件も乗っ取って総額5億円以上を盗んだ疑いで大学生ハッカーが逮捕される – Gigazine
気になるのはどうやって犯人を特定したか、というところですが、Gigazineによると乗っ取られたSIMカードを使っていた端末から、持ち主が所持していない不審な端末を割り出し、さらにその不審な端末のIMEI(端末の個体識別のようなもの)と紐づいているアカウントをGoogleに照会したことで、そのアカウントの持ち主=犯人 の特定ができたようです。
カリフォルニア州警察、なかなかやります。
そして、今回少し驚いたことは、Googleなどの企業がちゃんとIMEIをアカウントとセットで管理していたという点。
被害者にとってみれば、とても貴重で強力な情報となります。今後何らかの事件で調査が必要になった際も助けになるかもしれませんね。
著者:takahashi
恐ろしすぎる”SIMハイジャック”の恐怖
ネットニュースの記事で、こんなニュースが流れてきました。
電話番号が奪われてしまうSIMハイジャックの脅威とは? – Gigazine
によると、アメリカではある日突然、SIMカードが”乗っ取られて”しまう”SIMハイジャック”なるサイバー攻撃が増加しているようです。
上記の記事によると、アメリカのMNOであるT-Mobile社を利用するユーザーの端末のもとに、ある日突然SIMカードが更新されたというメッセージが届き、それ以降その端末がモバイルネットワークへ接続不可能となってしまったとのこと。
ユーザーの家族がユーザーの番号へ電話をかけたところ、全く知らない人物が電話に出て、SIMをハイジャックしたことを暴露した…という流れ。
被害にあったユーザーは電話番号で認証情報を連携していたSNSや各Webサービスのアカウントをごっそり乗っ取られてしまったそうです。
そしてこの原因が驚くことにキャリアの本人確認不足。
その気になればだれでも手に入ってしまう情報のみで本人を断定し、まったくの第三者に対して、SIMを再発行して渡してしまったようです。
こちらの記事も、同様の被害にあい、仮想通貨を奪われてしまったユーザーのケースです。
ハッキングで仮想通貨を盗まれた海外の投資家がTモバイルを告訴!なぜ仮想通貨取引所ではなく携帯電話会社を訴えたのか、詳細まとめ! – やさしいビットコイン入門講座
こちらの記事では何故か訴訟した側を叩くような流れになっていますが、本人確認を怠った時点で明らかにT-Mobile側の落ち度であり、多数の被害者がいるにも関わらず今のところ対策が注意喚起のみという、通信事業者としてあり得ない事態となっています。
最近のサイバー攻撃は、システムからそれを管理する”人”を対象としたものにシフトしています。システムの技術的な”あら”を探すより、それを管理する管理者を騙した方がはるかに簡単だからです。
管理者が”クラッキング”されている現状が続く以上、どんなに堅牢なシステムを築いたところで全くの無意味となってしまうでしょう。
ちなみに、日本国内では法律で厳密な本人確認が義務付けられており、手続きを行う際は必ず身分証の原本が求められるようになっているなど、しっかりとした個人認証が行われています。
失敗を犯した存在に後ろ指を指すのは簡単です。
モバイルネットワーク事業者に限らず、何らかのサービスを提供している立場に自分自身がいる場合は、本人確認は厳密に行うように心がけていきたいですね。
著者:takahashi
クラックされてしまったWPA2の改良版、WPA3策定が完了
Wi-Fiは物理的な接続である有線LANと違い、電波が届く範囲内であればどこにいても接続が可能です。
そのため、物理的なケーブルであれば、不正につないでいる人を見つけることは大抵は難しいことではありませんが、無線であるWi-Fiの場合は電波が届けば接続出来てしまうので、誰かが不正に接続していても気づかないことがあります。
そういった場合を防ぐために、Wi-Fiには”パスワードがわかる人しか繋げられない”ようにする機能があります。
この機能、つまりWi-Fiの認証と暗号化の機能はいくつか規格があるのですが、いままで破られにくいとされていた”WPA2″が主流として使われていました。
ところがこのWPA2の認証を突破できてしまう”KRACKs”という攻撃方法が発見され、その堅牢性は崩れることになりました。
WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解 – ITMedia
WPA2は業界共通の”標準規格”のため、簡単にアップデートすることは難しく、当面はパッチで対応する形でしのいていました。
そして今回、WPA2のアップデート版であるWPA3がついに策定されました。
新しいWi-Fiセキュリティ規格「WPA3」登場 – ITMedia
WPA3は、WPA2との互換性を維持しつつもKRACKsなどへの対策もされているとのこと。
WPA3では、WPA2デバイスとの相互運用性を維持しながらPMF(Protected Management Frames:管理フレーム保護)を必須とした。また鍵確立手法を従来のPSK(Pre-Shared Key:事前共有鍵)から新しいSAE(Simultaneous Authentication of Equals:同等性同時認証)に変更。ハンドシェイクの手順や認証の再試行回数を変更して各種攻撃への耐性を上げた。
今後発売される機器にはWPA3が搭載されることになりそうです。
また、ファームウェアアップデートが可能な機種でも、もしかすると利用可能になるかもしれません。
今後の動きに注目していきたいですね。
著者:ym
Twitter Yubikey security
Twitter がログイン時の認証として、物理的な USB キーの認証に対応をしたようです。
Starting today, you can use a security key for login verification when you sign in to https://t.co/I6k1ntZlAv.https://t.co/Cu3PUyBsxz
— Twitter Safety (@TwitterSafety) 2018年6月26日
Twitter Safety(@TwitterSafety)さん – Twitter
Google 認証アプリはやめて、最近は IIJ ワンタイム生成アプリを使うようにしているので、機種変更したときでも以外とスムーズに移行はできているけど、そろそろ、指なUSBキー、YubiKeyも使い始めようかな。
USBだけじゃなくてNFC 対応品が良いとか考えると、結構高いんですよね。
著者:ym
ITセキュリティと犯罪
42歳の男にさされてITセミナー講師が死亡したという衝撃的なニュース。
- 41歳男性刺され死亡、刃物持ち出頭の男逮捕へ – 社会 – 読売新聞(YOMIURI ONLINE)
- 殺人:「闇ウェブ」専門家刺され死亡 福岡繁華街、男出頭 – 毎日新聞
- ブロガー“Hagex”さんイベント後に刺殺か 「信じられない」「日本のネット史に残る事件」とネットに衝撃 – ねとらぼ
- Hagexさん刺殺、犯行声明か 「低能先生と呼ばれ」:朝日新聞デジタル
- 【福岡ブロガー刺殺事件】Hagex氏を殺害した低能先生の顔写真が報じられる – ネット荒らし松本英光容疑者(42歳 – 無職) | バズプラスニュース Buzz+
インターネットセキュリティ会社の社員だったようですが、以下のホームページを見ると、インターネットセキュリティについての著書もあったりサイバー犯罪の調査を手がけている方のようです。
これは衝撃的なニュースで驚きました。