![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
沈みゆく船から撤退せよ、史上初SHA-1ハッシュ衝突の成功と今後の排除の流れ(The Register)
国際 TheRegister
このことは「SHA-1がぜい弱で信頼できない」という長年の懸念を証明している。このニュースの何が問題かといえば、SHA-1ハッシュアルゴリズムが、Gitの重複排除システムを保管するリポジトリから、銀行その他のWebサイト保護に利用されているHTTPS証明書にいたるまで、インターネット上で広く利用されている点だ。SHA-1署名はデータのかたまり (たとえばソフトウェアコード、Eメール、PDF、Webサイト認証など) が悪意をもった何者かによって改ざんされたり、その他の方法で変更されたりしていないことを証明するのに使われている。
そして今、アムステルダムの情報工学・数学研究所 (CWI) の研究者とGoogle社の人員らは、SHA-1のハッシュ値を保ったままでのPDFファイルの変更を成し遂げてしまった。それによって、干渉を受けたバージョンを本物のコピーに見せかけることがはるかに容易となる。ドキュメントの内容、たとえば契約書の内容を変更して、そのハッシュをオリジナルのファイルのものと一致させることもできるかもしれない。今後、誰かをだまして改ざんされたコピーをオリジナルだと思い込ませることができてしまうのだ。それらのハッシュは完全に一致する。
関連記事
![[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/21969.jpg)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンス総務省の「自治体情報システム強靱性向上」、その成果と新たな課題
9月28日、Security Week Tokyo 2017で「情報セキュリティ強靭化で自治体のメール対策はどう変わったか」というセッションが開催された。この施策により自治体ネットワークやマイナンバーシステムのセグメント分離などが行われたが、メール対策でいくつかの課題も指摘された。
-
WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)
このセキュリティ・ホールは、ソフトウェアの開発時の手違いと言うよりはむしろ、最新世代の無線通信ネットワークで使われている暗号化技術の持つ根本的な脆弱性に由来するものだ、と語った。
-
SMSによる二要素認証が招くSOS(The Register)
許可を得たうえで通信会社のSS7プラットフォームへのアクセス権を手に入れ、被害者のビットコインウォレットを悪用する方法を示して見せた。
-
Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)
Apache Tomcat に、ファイル制限を回避して JSP ファイルがアップロード可能となる脆弱性が報告されています。
Scan BASIC 会員限定記事
もっと見る-
特集工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」
売上のごまかしは長期間にわたっているようだから、隠した売上は億を超えるだろう。それがどこにあるのかは気になる。
-
ラグビー山田選手がJSOCの一日センター長に、情報モラルの親子勉強会も(ラック)
ラックは、「ラグビー日本代表 山田章仁選手 セキュリティ監視センター 一日センター長就任~親子で学ぶ情報モラル~」と題するイベントを開催した。
-
IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)
インヴァランスは、IoTに対応したAI搭載マンションの記者向け内覧会を開催した。
-
工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」
オレと目を合わせず、落ち着きなく周囲を見回し、貧乏揺すりを始める。絵に描いたような不審者って感じだ。
[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)
もっと見る-
特集工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」
ランサムウェアと呼ばれるマルウェアを使ったサイバー犯罪。オレは何度も扱ったことがある。
-
一田 和樹 作 「さよならアカウント」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
末期の重病を苦に自殺した少女のTwitterアカウントが死後復活した。フォロアーもフォローも1名だけのアカウントのツイート数は毎日増え続ける・・・
-
工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」
それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。
-
工藤伸治のセキュリティ事件簿 シーズン5 「ワンタイムアタッカー」 第1回「プロローグ:創業社長」
社長は財務とグルになって、秘密の口座に金をため込んでいる。たまたまそのことを知ったオレは、盗めるんじゃないかと思うようになった。もちろん犯罪だ。しかし、盗んでも社長は表沙汰にできない。なにしろ、隠し口座なんだから。
-
工藤伸治のセキュリティ事件簿 シーズン4 「超可能犯罪」 第1回「プロローグ:混沌の海のファネル」
インターネットは巨大な昏い海だ。悪意も善意もまとまりのなく漂っている。だが、混沌の中にひとたびファネル(漏斗)が生まれれば、そこに悪意が集積され濃縮され、そして思いもよらない形でリアルを浸食しはじめる。
-
工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」
そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。私は、日本最初のハクティビストだ。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)
「Oracle Java SE」に複数の脆弱性、悪用されるとリモートコード実行も (JPCERT/CC)
「Adobe Flash Player」に脆弱性、海外では標的型攻撃への悪用も確認(JPCERT/CC)
インシデント・事故 記事一覧へ
「スピードラーニング」のデータをオークション目的でアップロードし逮捕(ACCS)
脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX)
スーパーフードの通販サイトでカード情報が流出、サイトは停止せず対策(フルッタフルッタ)
国際 カテゴリの人気記事 MONTHLY ランキング
-
搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)
-
セキュリティ人材の慢性不足、海外の取り組みは(The Register)
-
WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)
-
SMSによる二要素認証が招くSOS(The Register)
-
フィッシング詐欺支援サービスの価格表(The Register)
-
「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)
-
iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める
-
Mac OS X のシングルユーザモードの root アクセス(2)
-
AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)
-
Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)
