IT ニュース&コラム 2019/10/ 7 通巻798号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ 暗号化PDFを開こうとパスワードを入力すると流出する脆弱性 ■■ 2019年 9月30日、ルール大学とヴェストファーレン・ヴィルヘルム大学の研究者らが、 暗号化されたPDFを開こうとパスワードを入力すると復号化されたPDFが外部へ流出 するようにPDFファイルを改ざんできるという脆弱性「PDFex」を発見したと発表した。 PDFファイルを改ざんしなければこの脆弱性は発生しないが、もし、暗号化されたPDF が格納されているサーバーに侵入できた場合、そのPDFの一部を改ざんしたファイルに 置き換えておくことで準備が完了する。 その後、ユーザーが暗号化されたPDFファイル を開こうとパスワードを入力すると、ユーザーがPDFの内容を見ることができるように なると同時に、外部に同じ内容が漏えいしてしまうという仕組みだ。 手口は、暗号化されていない部分を改ざんする「Direct Exfiltration」という手口と、 CBCで暗号化された場合にその部分を改ざんする「CBC Gadgets」という手口に 分類されている。 Direct Exfiltration は、暗号化されたPDFであっても暗号化されていない部分に 置かれている「PDFフォーム」「ハイパーリンク」「JavaScript」に、外部に 漏えいさせるコードを埋め込む手口だ。 CBC Gadgets は、CBCで暗号化されている部分に、外部に漏えいさせるコードを 埋め込む手口だ。 1. 改ざんされたファイルに対して 2. パスワードを入力するという2つの条件を 満たさなければならないので、そもそも外部からファイルにアクセスできないことと、 デジタル証明書などを利用して通信経路に中間者攻撃されないことであれば、 これまで通り安心してパスワードを入力できる。 それに、パスワードが漏れるわけではないので、被害は限定的だろう。 PDFファイルを開くだけで問題が発生するというセンセーショナルな記事の書かれ方を されているが、PDFのファイルを開くだけというよりかは、パスワードを入力すれば というのが正しいニュアンスだろう。 ソース https://gigazine.net/news/20191002-pdf-password-hacking-pdfex/ ■■ 注目ニュース 一覧 ■■ ◇ 仕事中に作業が中断されることは時にポジティブな感情をもたらすと判明。 https://gigazine.net/news/20191004-work-interrupted-feeling/ … 集中力が切れるころを狙って、話かけるのがいいらしい。 ◇ AIによるセールストークは人間の4倍も高い売上をみせたという調査結果。 https://gigazine.net/news/20191004-ai-improve-sales/ … 被験者はボットであると認識すると効果がなくなる。人間はレッテルで判断している。 ◇ SNSを一度ハッキングされたら、パスワード変更だけで対処を終えてはいけない。 https://www.itmedia.co.jp/enterprise/articles/1909/10/news040.html … ハッキングの原因がアカウントの乗っ取りではなく、使っている怪しい連携アプリの可能性。 ◇ グーグルの新たなインターネット暗号化プロトコルに独禁法違反の懸念、米議会が質問書簡。 https://japan.cnet.com/article/35143320/ … おそらくDNS閲覧データを暗号化することで匿名ユーザーIDをグーグルだけ見られるようになる。 ◇ 著名なフリーソフト活動家が一通のメールで役職辞任に追い込まれたことに危険な動きだと批判が寄せられる。 https://gigazine.net/news/20191001-richard-stallman-forced-resign-risk/ … 不適切だがこれで辞任されるのは政治家的な役割をになっていたからか。 ◇ 性的画像目的でYahooのエンジニアが約6000人のアカウントに侵入していたことが判明。 https://gigazine.net/news/20191002-ex-yahoo-engineer-hacking-account/ … 内部告発を公開するシステムを公開する必要。 ◇ 警察による車のナンバープレートデータベースがついに第三者機関にアクセス権を与える。 https://gigazine.net/news/20191004-eff-win-access-alpr-data/ … アクセス権を与えるのは、警察が不正をしていないかチェックする機関のみ。 ◇ Facebookによる暗号化計画に司法長官がバックドアが必要と中止要請。 https://gigazine.net/news/20191004-facebook-end-to-end-encryption/ … 暗号化するデータとしないデータの境界をどこにすべきか。 ◇ Googleが自然言語処理の弱点、言い換えを克服するデータセットを公開。 https://gigazine.net/news/20191004-paws-x-dataset-google/ … より良い教材(機械学習に入力するデータセット、コーパス)を公開。 ◇ Apple Watch Series 5発表!ねんがんの常時ONディスプレイに! https://www.gizmodo.jp/2019/09/apple-watch-series-5.html … 常時ONなら置時計にも使えそう。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm