2024.05.08(水)
- 注目検索ワード
![[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (1) 目的と歴史 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/11452.jpg)
DEF CON の CTF(Capture The Flag)は知っていても、今年で 5 回目の開催となった SECTF (ソーシャルエンジニアリング CTF)は、日本人に馴染みが薄いだろう。SECTF とは、その名のとおりソーシャルエンジニアリングのスキルを争う競技だ。
米商務省のシステム取得およびITセキュリティ担当の商務次官Allen Crawleyは、NASAとNOAA(National Oceanic and Atmospheric Administration、アメリカ海洋大気庁)の地上管制施設に衝撃的な欠陥があることを発見した。
![[DEF CON22 レポート] 軍用猫と DoS犬~あなたのペットを兵器に 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/11149.jpg)
まず「飼い猫の現在地を知らせる GPS チップ付きの首輪」からヒントを得た Gene は、そこに Wi-Fi スニファの機能を追加し、タイムスタンプと連動したデータを記録することで、ごく普通の平和的な猫を軍用猫に作り替える計画を立てた。
今回の更新は、LastPassや1Passwordが占めているオンラインパスワード管理の分野へのGoogleの最新の侵略である。Googleが一旦はサードパーティによる付加価値サービスとして提示していた機能をChromeが組み込んだので、LastPassや1Passwordはかなり脅威に感じるだろう。
Mozillaの動きは、NIST(National Strategy for Trusted Identities in Cyberspace)の科学者によるベストプラクティスの提言に沿ったものだ。NISTは組織に対し2048ビットのキーに移行して、これのみを受け付けるように警告を行っていた。
それは「公式の Comcast ホットスポットを利用している」ということを顧客に知らせて、安心させるものだと話している――とはいえ、顧客にダウンロード可能なアプリを薦めることもできるのだが。
セキュリティー研究者のMichael Jordan氏が、Canonのワイヤレスプリンターをハックして初代『Doom』の起動に成功させたとBBCが報じています。
「Enigmail は、BCCの受信者を非表示としたうえで、誰が送信をしたのかを明かさぬまま、受信者の全員に対して暗号化されたメールを送信するかどうかを尋ねる。しかしBCCの受信者のみに送られるメールは、平文のまま送信される。
「Apple が消費者の行動を変化させるほどの影響力を持っていることに疑いの余地はない。しかし、『モバイル決済を受け付けていない小売業者が売り上げを失う』というステージには、まだ到達していない」
そして彼らは、たとえば暗号化やハッシュ化などのセキュリティのメカニズムが存在しないとき、またはそれらの実装法が悪いときに強いパスワードを要求するのは、時間の無駄であることを見出した。
Archibald は付け加えた:「サイバー犯罪者とサイバー攻撃に関して、法執行機関は多くの困難に直面している。だからこそ、それらの問題に取り組むとき、真に包括的で共同的なアプローチの存在が必要とされている」
もしも『国の攻撃』があったなら、その後から文脈が広げられるだろう。この発表は主に、『場合によっては抑止効果を有する』ということに焦点を定めた、修辞的な性質のものである」
![[DEF CON22 レポート] 中国の五つ星ホテルが「暇つぶしハッキング」の犠牲に 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/11160.jpg)
IP アドレスの末尾を変更するだけで、別の客室の制御を乗っ取ることができると気づいた Molina は、そのプロトコルのリバースエンジニアリングを行い、他室のテレビの電源を入れるなどのハッキングに成功した。
今回は iCloud が悪評を買っているが、これらの画像のソースは、iCloud だけではなさそうだ。Apple は、このセレブリティ画像のプライバシー騒動で批難される対象として、不当に矛先を向けられたように見える、と Conway は主張している。
![[Black Hat USA 2014 レポート] Alice in Hackerland 第2回「Black Hat USA 2014 ~ 何かを変えて来年またここに戻ってこい」 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/11305.jpg)
この世界最高峰と呼ばれている Black Hat USA に参加してるセキュリティ担当者の多くも、日本のセキュリティ担当者と同じように、経営陣に対し、情報セキュリティの必要性を説くのに一苦労しているというのです。
Apple 特有の欠点は、コンピュータフォレンジックのフィールドでは、しばらく前から非常に良く知られていた。ElcomSoft のセキュリティ研究者は昨年、クラウドに保管されているドキュメント」を Apple の 2 要素認証が保護しないということを説明している。
![[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(1)デロイト アルゼンチンチームの新人育成と海外展開 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/11319.jpg)
「カナダ、オーストラリア、US、ルクセンブルク、デンマーク、ブラジル。世界のあらゆる国のデロイトのサイバーセキュリティチームと協同して仕事をしている。」
「ウイルス作者たちは、マルウェアを犠牲者の元へ送りこむ前に、VirusTotal やそれに類似したテストサービスを利用して、マルウェアの効果をテストしている」ということは、セキュリティサークルでは以前から知られていたことだ。
北朝鮮のハッカーは米国の防衛ネットワークへの侵入を成功裏に果たしている。資源の老朽化や不足は、サイバー戦争を行う上での技術的な能力を損ねるものではない。とりわけ、その政府が他国の機関と資源を利用できる場合は。
こうしたハッキングの事件は、「重要なパスワードを複数のウェブサイトやサービスで使い回さないこと」「それらが単純な1単語や、ありがちなフレーズで構成されていないこと」を(我々に)適切な頻度で確認させるリマインダーとなっている。
「通話チャンネルは、詐欺や不法行為から個人や企業を保護するうえで、最も弱いリンクとなってきた。DEF CON に FTC が現れたことは非常に高い評価を受けている」
