人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

時代遅れのKerberos脆弱性:Microsoft Active Directoryの重大な欠陥

2025-09-10
時代遅れのKerberos脆弱性:Microsoft Active Directoryの重大な欠陥

この記事では、Microsoft Active Directoryにおける長年存在する、低技術で高インパクトなKerberosの脆弱性であるKerberoastingを明らかにしています。この脆弱性は、Active Directoryにおける時代遅れのRC4暗号化と弱いパスワードメカニズムを利用し、攻撃者が辞書攻撃によってサービスアカウントのパスワードを迅速に解読し、企業ネットワークへのアクセス権を取得することを可能にします。Microsoftは軽減策を公開していますが、古い設定のアップグレードを強制するなど、積極的な対策が不足しているため、この脆弱性は依然として悪用されています。2024年5月のAscension Healthへのランサムウェア攻撃はその一例です。これは、Microsoftのセキュリティアップデートにおける欠陥と、企業管理者のセキュリティ対策の怠慢を浮き彫りにしています。

続きを読む
(blog.cryptographyengineering.com)
テクノロジー

XChatのエンドツーエンド暗号化:Juiceboxのセキュリティホール

2025-06-09
XChatのエンドツーエンド暗号化:Juiceboxのセキュリティホール

マシュー・ギャレットは、X(旧Twitter)の新しいエンドツーエンド暗号化メッセージングプロトコルであるXChatのセキュリティホールを明らかにしました。XChatは、ユーザーの秘密鍵を3つのサーバーに分散して保存するためにJuiceboxプロトコルを使用しています。しかし、これらのサーバーはすべてXによって制御されているため、Xはすべてのユーザーの鍵にアクセスでき、エンドツーエンド暗号化が損なわれます。この記事では、Juiceboxの仕組みと潜在的なリスクを深く掘り下げ、XChatの実装における重大な欠陥を強調しています。ユーザーの秘密鍵はXによる任意のアクセスに対して脆弱であり、XChatの使用を避けるべきだと結論付けています。

続きを読む
(blog.cryptographyengineering.com)
テクノロジー

Apple iMessage:暗号化だけでは不十分

2025-03-06
Apple iMessage:暗号化だけでは不十分

Apple iMessageは2011年以来、エンドツーエンドの暗号化を謳っていますが、メッセージはデバイスに永久に保存され、デフォルトでiCloudにバックアップされるため、プライバシーの脆弱性が生まれています。ポスト量子セキュリティを含む強力な暗号化にもかかわらず、消えるメッセージなどの機能がないため、ユーザーのプライバシー保護において、他のメッセンジャーに遅れを取っています。この記事は、Appleに改善を求め、ユーザーデータの保護を強化するために、消えるメッセージ機能を追加するよう促しています。

続きを読む
(blog.cryptographyengineering.com)
テクノロジー

英国、AppleにiCloudの暗号化を弱体化させるよう密かに要求:プライバシーの悪夢

2025-02-12
英国、AppleにiCloudの暗号化を弱体化させるよう密かに要求:プライバシーの悪夢

英国政府は、Appleに対し、iCloudの高度データ保護(ADP)システムにおけるエンドツーエンド暗号化を弱体化させるよう密かに要求し、大きなプライバシー懸念を引き起こしています。このシステムは、不正アクセスからユーザーデータを保護するために設計されていますが、英国の要求により、ユーザーデータへの秘密裏のアクセスが可能になります。これは、英国のユーザーのプライバシーを脅かすだけでなく、他の国々にも危険な先例を設け、世界的なデータセキュリティを危険にさらす可能性があります。著者は、Appleに対しエンドツーエンド暗号化の展開を加速させるよう促し、米国政府に対し、外国政府の要請により米国企業が暗号化バックドアをインストールすることを禁じる法律を制定することを提案しています。

続きを読む
(blog.cryptographyengineering.com)
テクノロジー iCloud暗号化 政府規制

ランダムオラクルモデルのアキレス腱:ブロックチェーンセキュリティへの新たな挑戦

2025-02-06
ランダムオラクルモデルのアキレス腱:ブロックチェーンセキュリティへの新たな挑戦

この記事では、暗号において長年問題となっているランダムオラクルモデル(ROM)について掘り下げています。ROMは暗号スキームの安全性を証明するために広く使用されていますが、その仮定は現実世界では実現不可能です。著者は、Khovratovich、Rothblum、Soukhanovによる論文を分析し、Fiat-Shamirに基づくゼロ知識証明システムに対する潜在的な現実的な攻撃を明らかにしています。これらの攻撃は、ROMを現実世界のハッシュ関数に置き換える際に発生する可能性のある脆弱性を悪用します。ゼロ知識証明とそのブロックチェーンにおける再帰的なアプリケーションが普及するにつれて、著者は、システム全体の障害につながる可能性のある重大なセキュリティリスクを強調しています。この記事では、証明システムで使用されるプログラムの厳格なセキュリティ監査の必要性を強調し、比較的軽微なものから壊滅的なものまで、さまざまな攻撃シナリオを探求することで、ブロックチェーンセキュリティのより深い考察へと導きます。

続きを読む
(blog.cryptographyengineering.com)
テクノロジー ランダムオラクルモデル ブロックチェーンセキュリティ

AI対エンドツーエンド暗号化:プライバシーの攻防

2025-01-17
AI対エンドツーエンド暗号化:プライバシーの攻防

この記事では、AIとエンドツーエンド暗号化の衝突について考察しています。AIアシスタントの普及により、ますます多くの個人データがクラウドで処理されるようになり、エンドツーエンド暗号化によるプライバシー保護が脅かされています。Appleなどの企業は、「プライベートクラウドコンピューティング」と信頼できるハードウェアによってこれを軽減しようと試みていますが、このアプローチは複雑なソフトウェアとハードウェアのセキュリティに依存しており、完璧な解決策とは言えません。さらに大きな懸念事項は、強力なAIエージェントの制御です。一度展開されると、アクセスが最も重要な問題となり、政府や企業によるアクセスが個人プライバシーを侵害する可能性があります。

続きを読む
(blog.cryptographyengineering.com)
テクノロジー AIプライバシー エンドツーエンド暗号化