Security

中国の浙江大学、香港中文大学、米シカゴ大学による研究チームは、自動運転車に搭載されるカメラをレーザー光で攻撃し、信号機の認識を錯覚させる方法を実証し、脆弱性を指摘した論文を発表した。

英オックスフォード大学の研究チームは、電波を使い、画像認識システムをだまして存在しないものを見せる手法を提案した研究報告を発表した。例えば真っ黒であるカメラフレームに文字を浮かび上がらせることなどができる。

イスラエルにあるBen-Gurion University of the Negevの研究者は、インターネットに接続されていない「エアギャップ・ネットワーク」内のコンピュータから機密データを盗む攻撃を説明した研究報告を発表した。

東海大学に所属する研究者らは、QRコードへのレーザー照射により、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する方法を提案した研究報告を発表した。

スマートフォンに内蔵されたマイクで録音したMacBook Proのキーボードの音から、95％もの精度で入力内容を盗み出すことができたと、イギリスの研究チームが発表しました。ビデオ会議を録音した内容からでも93％の割合でデータを再現できたことから、機械学習の進歩により音を使ってパスワードや重要なデータを盗む技術「音響サイドチャネル攻撃(Acoustic Side Channel Attack)」が、従来より格段に危険性を増していることが指摘されています。

イスラエルのネゲヴ・ベン・グリオン大学に所属する研究者らは、スマートフォンと接続する周辺機器などの電源LED（電源ランプ）をカメラで撮影し、その映像を解析することでその機器から暗号化キーを盗む攻撃を提案した研究報告を発表した。

香港大学や清華大学に所属する研究者らは、ミリ波（mmWave）信号から音声を認識するストリーミング自動音声認識（ASR）システムを提案した研究報告を発表した。

中国の湖南大学、シンガポールの南洋理工大学などに所属する研究者らは、Wi-Fiハードウェアをハッキングすることなく、Wi-Fi経由でスマートフォンのキーストロークからパスワードを特定する攻撃を提案した研究報告を発表した。

　カリフォルニア大学サンタバーバラ校(UC Santa Barbara)の研究チームは11日(米国時間)、Wi-Fiの信号を使って物体の形を推測する技術を考案した。壁越しでの読み取りも可能だという。

SlashNextはこのほど、生成AIがサイバー攻撃者によって、高度で真偽判断の難しい詐欺に悪用されている実態を報告した。攻撃者は「WormGPT」というChatGPTに似たシステムのセーフティ機能を回避して犯罪に悪用しているという。

米カリフォルニア大学サンタバーバラ校に所属する研究者らは、Wi-Fi信号のみを使用して壁越しの静止物体の高品質なイメージングを可能にするシステムを提案する研究報告を発表した。

アメリカのガソリンスタンドではワイヤレスで給油操作を行っていますが、そこに目を付けた悪知恵の働く誰かさんが、Bluetoothで無線をハッキングする手法を編み出してしまいました。

米ワシントン大学と米Microsoftに所属する研究者らは、部屋内で話す人々の位置を特定し、その音声を分離するための小型の移動式音響ロボット群を提案した研究報告を発表した。

強力な「Dropbox詐欺」が現れた。これまでのビジネスメール詐欺と比べると検出が難しく、よりだまされやすくなっている。どのように対応すればよいのだろうか。

SNSのプロフィール欄などにメールアドレスをそのまま載せると、スクレイピングにより収集されて迷惑メールを送られるなどの被害に遭ってしまうため、「abc123☆mail.com(☆をアットマークに置き換えてください)」というような難読化がよく使われています。しかし、このテクニックはChatGPTで簡単に回避できてしまうと、AIツールの開発者が指摘しました。

　東京大学大学院 情報理科工学系研究科の坂田康亮特任研究員と高木剛教授は、量子コンピュータも解読できないほどのポスト量子暗号において、暗号解読のためのアルゴリズムを考案し、次世代暗号解読コンテストである「MQチャレンジ」において「これまでに解かれたことがない次元の暗号解読」の世界記録を達成したという。

　米連邦捜査局（FBI）のインターネット犯罪苦情センター（IC3）は9月29日、「ファントムハッカー詐欺」について注意喚起を行いました。手口としてはサポート詐欺を進化させたもので、存在しないハッカーをでっち上げて詐欺を仕掛けることから、ファントム（幻の）ハッカー詐欺と呼ばれています。

東海大学に所属する研究者らは、最大100m離れた場所からQRコードに不可視光レーザーを照射し、偽装QRコードに変更する手法を提案する研究報告を発表した。ユーザーが攻撃中のQRコードをスキャンすると、悪性サイトへ誘導されるリスクがある。

Apple、Intel、AMD、NVIDIA、Qualcomm、Armといった主要なサプライヤー6社のGPUを対象とした攻撃「GPU.zip」を発見したと、テキサス大学オースティン校の研究者らが発表しました。この攻撃によって、他のウェブサイトで表示されるユーザー名やパスワードなど個人情報のビジュアルデータを悪意のあるウェブサイトが読み取れるようになるとのことです。

<small>2022年10月6日の記事を編集して再掲載しています。</small> 待って! その画像には脅威が潜んでいるかも。ウイルス、フィッシング詐欺、安全でないWi-fiの利用、怪しいUSBメモリなど、デバイスとデータの安全を脅かす危険はたくさんあります。今回は、あまり知られていない脅威の1つ、マルウェア埋め込み画像についてご紹介します。一見、何の変哲もないデジタル写真にもマルウェア

SSHは暗号や認証技術を利用して安全にリモートコンピュータと通信するためのプロトコルですが、その通信の開始時に行うRSA署名の際に計算エラーが発生するとSSH秘密鍵が解析されてしまうことが実証されました。

　シンガポールのセキュリティー企業は2024年2月中旬、ユーザーの「顔情報」を盗むモバイルマルウエアを報告した。盗んだ顔情報を使ったディープフェイクで、他人の銀行口座から金銭を盗むという。どんなマルウエアなのだろうか。

開発者がアプリを実験的にリリースするための仕組み「TestFlight」等を悪用して端末に侵入する史上初のiOS版トロイの木馬が発見されました。報告によると、「GoldPickaxe」と名付けられた当該マルウェアは、被害者の銀行口座から資金を引き出すために利用されるそうです。

ウェブサイトにログインしたり問い合わせフォームを送信したりすると、「私はロボットではありません」といった文言のボット排除システム「CAPTCHA」に遭遇しがちです。CAPTCHAでは「バスを含む画像をクリック」などの問題が出題されますが、「バスの画像を正しく選択しているはずなのに人間と認めてもらえない！」という事態が頻繁に発生します。無料のブラウザ拡張機能「Buster」を使えば、ワンクリックでCAPTCHAを突破できるとのことなので、実際に使ってみました。

最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。手短にX(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示される…

いなげややオートバックスセブンの2次元バーコード読み取りで発生した事件には、実は根深い問題が隠れていると筆者は考えます。企業はこれにどう対処すればいいのでしょうか。

<small>2023年1月17日の記事を編集して再掲載しています。</small> FBIは、頑なにその方法について口を割らないんです。｢Tor｣は｢The Onion Router｣の略で、匿名化されたブラウザのこと。これを使うと、通信経路を匿名化してIPアドレス（ネット上の自分の住所のようなもの）を知られることなくサイトの閲覧ができます。闇サイトの閲覧などに使われることがあります。そんな

カードキーシステムに存在する脆弱(ぜいじゃく)性を悪用してロックを解除する攻撃手法「Unsaflok」が発表されました。Unsaflokの攻撃対象となるカードキーシステムは日本を含む世界中のホテルで使われており、300万枚以上のドアが攻撃の影響を受けるとされています。

この記事の概要ユーザーから嫌われている広告の1つに「スワイプ広告」というものがある。誤タップをしやすいことが理由だが、あまりにもこの広告だけ誤タップするため調べたところ実は誤タップしたように見…

いわゆる振り込め詐欺の手口は、いつの時代にも手を替え品を替え新しい手法が開発され続けてきているが、今年3月にはこれまで聞いたことがない手口の詐欺事件が発覚した。女性のマイナンバーカードの情報を元にネットバンキング口座を無断で作り、そこに本人に現金1400万円を振り込ませたという。

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるl…

2023年7月にTwitterがXに改名してからも「twitter.com」というURLがそのまま使われてきましたが、iOS版アプリにおいて、投稿内にある「twitter.com」が「x.com」に自動的に置き換えられる施策が始まりました。しかし、自動的に変換しているだけなので、この変換機能を悪用したフィッシングの試行があり、機能はわずか2日ほどで停止となっています。

歯ブラシの中にはBluetoothや無線LANでネットワークに接続して「歯をどれだけ磨けたのか」といった情報を記録するものがあります。こうしたスマート歯ブラシに悪意のある人物がマルウェアを仕込む可能性があるとして、セキュリティ企業Fortinetのステファン・ズーガー氏が警告しました。

中国の華中科技大学などに所属する研究者らは、スマートフォンによる指紋認証時の摩擦音を録音し解析することで、その指紋を復元する自動指紋識別システム（AFIS）へのサイドチャネル攻撃を提案した研究報告を発表した。

航空自衛隊の内部関係者がチャットアプリ「Discord」にミサイルの未公開情報を流出させた疑いが浮上した。Discordへの漏洩（ろうえい）は2023年、米軍で明らかとなり、20代の兵士が逮捕された。

LINEは日本を中心に使われているメッセージングアプリであり、運営企業のLINEヤフーの親会社であるAホールディングスは、日本のソフトバンクと韓国のNAVERが半分ずつ株式を保有しています。歴史的経緯から外交的緊張が走りやすい日韓関係において、LINEを取り巻く状況は日韓の協力体制の象徴的意味合いを持っていますが、近年は再びLINEの所有権を巡る緊張が走っているとアメリカの日刊紙であるニューヨーク・タイムズが報じました。

AmazonのクラウドサービスであるAmazon Web Services(AWS)とオーストラリア政府が2024年7月4日に、20億オーストラリアドル(約2170億円)の契約を締結し、国家安全保障および防衛向けの「最高機密(TS)クラウド」を構築する計画を明らかにしました。