iOSのバージョン、iPadOS（16.3）、macOS（Ventura 13.2）では、CVE-2023-23530およびCVE-2023-23531の脆弱性が修正されました。これらのバグの性質と危険な理由、またPegasusスパイウェアとの関連性、iOS、iPad、およびmacOSのこれらのアップデートおよび今後のセキュリティアップデートを見逃してはならない理由について説明します。 NSPredicate、ForcedEntry、Pegasusなど 常に更新されるアップデートの重要性を理解するには、まずは背景を知る必要があります。Appleのオペレーティングシステム用アプリのソフトウェア基盤は、Foundationフレームワークと呼ばれ、Appleによる説明は次の通りです。 「Foundationフレームワークは、データストレージや永続性、テキスト処理、日付と時刻の計算、ソートとフィル

一日中家の中をさまようロボット掃除機に自宅の中を監視されていたら…　個人のプライバシーを守るためにできることをお伝えします。 最近、床の位置から盗撮されたような写真が数枚、ネット上に拡散されました。そのうちの一つは、ラベンダー色のTシャツを着た女性がズボンを下げてトイレに座っています。これらは、ロボット掃除機に搭載されているカメラによって撮影された画像です。ロボット掃除機は　障害物を避けながら自走して床を掃除してくれる非常に便利な家電製品で、最近では使う人も増えてきました。しかし、このようなスマート家電製品が使用中のトイレの中を撮影できると知ったらどう感じますか？今回は、画像流出の原因と被害に遭わないための対策について解説します。 掃除機にカメラがついている理由 すべてのロボット掃除機にカメラが搭載されているわけではありません。通常、取扱説明書には、すべてのセンサーとその位置が示されていま

企業のIT依存度が高まると同時に、使用するテクノロジーに対する信用性も重要視（英語のページ）されています。ITに関する意思決定者の70%以上が、「使用しているITソリューションが、既知の信頼できる状態で運用されていることに常に確信を持てることが非常に重要」と回答しています。そういった意見をもとに、Kasperskyは、パートナーとお客様との信頼関係を築くために、新しくイタリアとオランダの２か所にトランスペアレンシーセンターを開設しました。これらのセンターでは、エンジニアリングとデータ処理方法について理解を深めることができます。 新しいセンターは、当社の Global Transparency Initiative （GTI、透明性への取り組み）の一環で、技術の「ブラックボックス」をオープンにし、ソリューションに対する顧客の信頼を高めることを目的としています。この取り組みによって、より多くの

プロセッサに存在するハードウェア脆弱性「Spectre」および「Meltdown」に関する調査が初めて公になってから、4年が経過しました。調査チームはその後、機密情報を漏洩させる可能性のある類似の不具合を複数発見しています。これら脆弱性を使用した攻撃の例も提示されましたが、そのほとんどは実環境で使用される可能性が低いと見られます。この記事では、これらのハードウェアの問題が現在どのような状況にあるのか、これらが企業への攻撃に使用される可能性があるのかを探ります。 Spectreのバリエーション 2018年8月にあった最初の発表では、3つの脆弱性（Spectre v1、Spectre v2, Meltdown）が公開されました。この3つには、複数の共通点があります。 これら脆弱性の悪用は、（低い権限を使ってではあるが）脆弱なシステム上での悪意あるコードの実行と関わっている。最も危険なオプション

iOSのバージョンが新しくなるたびに、ユーザーデータの保護を強化しようという開発者の努力が見えます。しかし、プライバシーの基本原則は変わりません。どの情報をどのアプリと共有するかを決めるのは、iPhoneを使うあなた自身なのです。この記事では、iOS 15でのアプリの権限をまとめました。アプリが要求するどの権限を許可し、どれを拒否するか、決めるときの参考にどうぞ。 iOS 15のアプリの権限はどこで設定するのか iOS 15には、権限を管理する方法が複数あります。それぞれ見ていきましょう。 アプリの初回起動時に権限を設定する どのアプリも、初めて立ち上げたときに、特定の情報へのアクセス権を要求してきます。アプリと共有するデータを一番選択しやすいのが、このタイミングです。誤って ［いいえ］ではなく［はい］を押してしまっても、後で変更できます。 特定のアプリの権限をまとめて設定する 特定のアプ

ジェームズ・ボンド、そしてSISの同僚たちは、サイバーセキュリティに関してどれほど知っていたのでしょう？ 最近公開された『007／ノー・タイム・トゥ・ダイ』は、ダニエル・クレイグ時代の最後の作品となります。そこで今回は、ダニエル・クレイグが主演した5つのジェームズ・ボンド作品を、サイバーセキュリティの観点から見ていくことにしましょう。この5作品に共通しているのは、クレイグが演じていることを除くと、劇中に登場するMI6職員たちがサイバーセキュリティの基本をまったく理解していないことです。 これが意図的（ボンドや00セクションのコンセプト全体の時代遅れぶりを強調するため）なものなのか、脚本家に知識がなくてサイバーコンサルタントもいないせいなのか、定かではありません。理由が何であれ、映画の中に見られる不合理のいくつかを、登場順に見ていきましょう。 ※この先はネタバレを含みます カジノ・ロワイヤル

iOS、iPadOS、tvOS のバージョン14.5では、アプリによるトラッキングの要求が表示されるようになりました。要求の通知が表示された場合の対応、トラッキングを完全にオフにする方法を説明します。 新しくアプリをiPhone（またはiPad）にダウンロードしたら「○○が他社のAppやWebサイトを横断してあなたのアクティビティの追跡することを許可しますか？」という通知が表示された—これはどういう意味なのでしょう？何か危険があるのだろうか？逆に、どういう利点が？友だちはこの通知が表示されないらしいけれど、どうして？…一つ一つ、見ていくことにしましょう。 「アプリのトラッキングの透明性」とは？ 利用者のプライバシーとデータの機密性をどれほど重要視しているか、Appleは折りに触れて主張しています（英語記事）。2021年1月には、バージョン14.5以降のiOS、iPadOS、tvOSでは「A

年末年始には家族揃って映画を楽しむことにしている、そんなご家庭は多いのではないでしょうか。クリスマスがらみのコメディ映画を必ず見るとか、超大作をじっくり鑑賞するとか、お決まりの何かがあるかもしれませんね。私の場合、クリスマス映画と言えば『ダイ・ハード』です。ジョン・マクレーンがテロリストに遭遇するのは60%くらいの確率でクリスマスイブですし、このアクション映画とクリスマスを結び付けて考えるのは私だけではないはずです。 『ダイ・ハード4.0』では、重要インフラのサイバーセキュリティに焦点が当たっていましたが（これについてはまたいつか）、第1作も、よく見るとサイバーセキュリティの好例・悪例がたくさんちりばめられているのが分かります。 何と言っても、事件の舞台となるナカトミ商事は、当時最新鋭のテクノロジーを使用していました。東京に置かれた複数サーバーと同期するメインフレーム、金庫を施錠する電子錠

『ハーメルンの笛吹き男』は、実際にあった悲劇的な事件を表した話だと言われています。私たちの目から見ると、あの事件に重なります…。 一般的な見解とは違うかもしれませんが、おとぎ話や昔話は娯楽として考え出されたのではなく、重要な教訓を、理解しやすい形で子どもたち（と大人）に教えるために作られたものです。はるか昔から、語り部たちはインターネット（その登場を予知していたのです）を安全な場所にしたいと願い、物語の中にサイバーセキュリティのヒントを織り込んできました。たとえば、『赤ずきん』は中間者攻撃について警告していますし、『白雪姫』は国家支援型のAPT活動を予見していました。このほかにもいろいろあります。 不幸なことに、人類はおとぎ話の明白な教訓を無視し、尋常ではない執拗さで同じ過ちを繰り返してきました。『ハーメルンの笛吹き男』も、そうした例の一つです。 古い伝承にはよくあるように、この物語もいく

「昔々、あるところに…」。今日まで語り継がれている民話のほとんどは、子どもたちにサイバー脅威にあふれる世界への備えをさせるために生み出されたものである—私はそう考えています。たとえば、イギリスの有名な民話である『3匹の子豚』。一見すると単純な筋書きですが、この中では総当たり攻撃の背景にある考え方だけでなく、ハニーポットや暗号化コンテナのような複雑な概念も説明されています。 『3匹の子豚』にはさまざまなバージョンがあって、言語によっても多少異なりますが、ここでは19世紀に英国のジェームズ・ハリウェル＝フィリップス（James Halliwell-Phillipps）によって書かれたテキストを基にしています。もちろん、物語の舞台はそれよりもっともっと昔です。 力ずくで総当たり 物語は、3匹の子豚がサイバー脅威から身を守るためのハードウェアを選ぶシーンから始まります。どうやら、ある種のインターネ

新型コロナウイルスの話題に乗じて、マルウェアを拡散する動きや、高機能マスクを宣伝する怪しいスパムメール、公的機関から届いたように見せかけたフィッシングメールが見られています。 新型コロナウイルスのニュースがインターネットを流れる中、この話題に乗じて利益を得ようとするサイバー犯罪が現れています。Kasperskyでは先週、新型コロナウイルス関連情報を装う悪意あるファイルを複数検知しました。このほか、感染予防に効果があるとうたってマスクを宣伝するスパムメールや、米国疾病管理予防センターをかたるフィッシングメールを観測しています。 ※2020年1月31日に公開した記事に情報を追加してお届けします 2020年2月5日更新：高機能マスク関連スパムメールの情報を追加 2020年2月11日更新：米国疾病管理予防センター関連フィッシングの情報を追加 高機能マスクを宣伝するスパムメール 現在出回っているスパ

子どもは、さらりと気まずい質問をするものです。サンタクロースって本当にいるの？歯の妖精は集めた歯をどこに持って行くの？やろうと思えば誰かのことを偵察できるの？標的型攻撃の黒幕がどこかの政府だっていうのは本当？ ありがたいことに、最後の2つの質問については『白雪姫と7人のこびと』の中に答えがあります。物語の中ではさまざまな興味深いテクノロジーが描写されていて、着目すべき箇所さえ分かれば、すべてのつじつまが合います。それでは、白雪姫の物語に隠されたものを読み解いていくことにしましょう。 鏡よ、鏡 この物語は、ある王様が娘の誕生と共に妻を亡くしたところから始まります。ほどなくして、王様は新しいお妃様を迎えます。お妃様は、自分の質問に何でも答えてくれる魔法の鏡を持っていました。お妃様は、壁に掛かった鏡に向かって尋ねます。 鏡よ、鏡、 この世で一番美しいのは誰？ 鏡に話しかけるこのくだりは、昔の人に

『ターミネーター：ニューフェイト』に先立つ『ターミネーター』『ターミネーター2』の世界では、サイバーセキュリティの状況はどうだったのでしょうか。 映画『ターミネーター』の新作が公開中です。製作者によると、今回の作品はシリーズの中でも重要な『ターミネーター2』の正統な続編とのことです。一般的に見て、AIの反乱は明らかに情報セキュリティの問題です。そこで、私たちは本作のサイバー的状況を詳しく調べることにしました。ここで取り上げるのは、シリーズの最初の2作品です。 ※以下、ネタバレを含みます ターミネーターそのものに対しては、特に言いたいことはありません。このアンドロイドは、プログラムされたことに厳密に従い、サラ・コナーの追跡に優れた判断力と感覚を発揮します。思い出してほしいのですが、第1作の公開は1984年でした。当時、コンピューターは今ほど普及していませんでした。そこで、私たちの観点から見て

Kasperskyでは企業の意思決定者約5,000人を調査し、サイバーセキュリティに対する考えと、サイバーの脅威に対する企業としての姿勢について尋ねました。 企業が情報セキュリティの予算を計上する場合、潜在的損失額の平均値（できればインシデントの種類別に）をはじめ、セキュリティに関連する事業上の平均支出額といった要素を考慮する必要がありますが、このような問題に関する正確なデータは公開されません。さまざまな企業の情報セキュリティに関する意思決定者を対象にKasperskyが毎年調査を実施しているのには、こうした背景があります。このたびは、2019年の調査結果をお知らせします。 財務上の影響 昨年の調査結果と比べ、企業の事業損失は増加しています。昨年、インシデントによる平均損失額は123万ドルでしたが、今年は141万ドルに達しました。その原因の一部は、企業が自社イメージに対する打撃の緩和を狙っ

スマートフォンの充電が今にも切れそう。そんなとき、公共のUSB充電ポートはありがたい存在です。でも、何も考えずに繋いでしまうと、思わぬ危険を呼び込むことになるかもしれません。 今まさに大事な電話またはメールを待っている。なのに、スマートフォンの電池が切れかけていて、しかも充電器が手元にない。誰でもそんな経験があると思います。 そんなとき、とにかく手近なUSBポートを探し回るものです。ごく自然な行動ですが、それは安全なことなのでしょうか。いいえ。実のところ、危険が潜んでいます。USB経由でデータを盗んだり、スマートフォンをマルウェアに感染させたり、ときには使いものにならなくすることも可能なのです。 雷に打たれて まず、電源はスマートフォンにとって、必ずしも良いものとは限りません。大切なスマートフォンをアフターマーケットの充電器（または非正規品）に接続したら問題が発生した、という苦情はネット上

最近世界的に注目されるようになったドローンですが、イスラエルでは1960年代から防衛に使用されています。イスラエルのドローンの歴史を紹介しましょう。 イスラエルにとって、情報セキュリティは国家の根幹に関わる最重要分野です。同国では、情報セキュリティという言葉が21世紀に従来の意味で登場する遥か前から、この分野が重視されてきました。イスラエルは南北に470㎞、東西に（最長で）135㎞の国土を持ち、近隣諸国と対立関係にあることから、建国以来、領域周辺100㎞圏内で何が起きているか把握することが国家安全保障の点で大変重要でした。 これまで私は、イスラエルの情報セキュリティに対する取り組みについて、デジタル技術分野に焦点をあてて数多くの記事を書いてきましたが、今回は別の視点から見ていきたいと思います。 ドローンがメディアで取り上げられるようになったのは、ここ10年のことですが、軍隊ではそれよりもか

米国会計検査院の報告書を、メディアが「最新型の航空機は機内Wi-Fiを経由したハッキングや乗っ取りが可能である」と解釈しています。しかし、本当にそこまで深刻な問題なのでしょうか？ 米国会計検査院は先ごろ発表した報告書の中で、航空業界は「少なくとも3つの分野」（航空機の操縦や誘導に使用される航空電子機器の保護など）でサイバーセキュリティの課題に直面しているとし、米連邦航空局に警告を発しました。メディアはこの警告を「最新型の航空機は機内Wi-Fi経由でハッキングや乗っ取りが可能」と解釈しています。しかし、果たして問題は本当にそこまで深刻なのでしょうか？ Kaspersky Labで次世代技術プロジェクトのリーダーを務めるアンドレイ・ニキーシン（Andrey Nikishin）に詳しく解説してもらいました。 「航空機を頻繁に利用している者として、最新型の飛行機はハッキング可能というニュースを見て

「タダより高いものはない」といいますが、「無料」Wi-Fiにも本当は対価が必要なのかもしれません。ロシアのサービスプロバイダーの例を紹介します。 英語に「タダ飯なんてものはない（there’s no such thing as a free lunch）」ということわざがあります。日本のことわざで言えば「タダより高いものはない」。そんなことは頭ではわかっているのですが、「タダ飯」ならぬ「タダ乗り」となると、ほいほいとつられてしまう人がいます。今回は無料Wi-Fiについてお話しします。「タダ乗り」できるWi-Fiを探していると、かなりの確率で個人情報（SNSの認証情報など）が意図せず第三者に渡ってしまうことでしょう。 「タダ飯」の誘惑に負けてはいけないことを示す実例は、山のようにあります。最新の例を1つ挙げてみましょう。サンクトペテルブルクに本拠を置くロシア企業Smart WiFiが、カフェ

77万台のPCで構成される巨大ボットネットSimdaが、インターポールやMicrosoft、Kaspersky Labなどの共同作戦によって閉鎖されました。皆さんのPCも感染していないかチェックしましょう。 マルウェアとはPCの通常の機能を完全に停止させるソフトウェアのこと。今も多くの人がそう考えています。コンピューターが問題なく動いているなら、感染していないということでしょうか？それは違います。最近のマルウェア作成者は、サイバー空間で暇を持て余している悪人ではありません。サイバー犯罪者の主な目的は、サイバー攻撃をしかけてスリルを味わうことではなく、お金を稼ぐことです。この目的のために、マルウェアのふるまいが正反対になることが往々にしてあります。つまり、優れたマルウェアほどユーザーの目に触れないのです。 たとえば、このような「こっそりとした」ふるまいは、ボットネットによく見られます。通常は

自動車保険会社Progressiveが開発したドライバー追跡デバイスSnapshotから、車をハッキング可能という調査が発表されました。このデバイスには認証やトラフィック暗号化の機能がないとされています。 先ごろあるリサーチャーがProgressiveのドライバー追跡ツールSnapshotをエクスプロイトし、特定の自動車の車載ネットワークをハッキングできることを発見しました。SnapshotはOBDIIポートに取り付けて使うツールで、自動車保険会社のProgressiveが開発したものです。安全運転のドライバーに安価な保険料を提案できるように、運転時の行動をモニタリングするのがSnapshotの役目です。 よくご存じない方のために説明すると、OBDIIは運転席の下側にある入力ポートで、たいていはハンドルのやや左側にあります。大気汚染ガスを出さないように車載コンピューターシステムのコードをチ