PowerPointファイルにも危険が潜む、開くだけでウイルス感染の恐れ
米トレンドマイクロは2012年6月3日、悪質なPowerPointファイルを確認したとして注意を呼びかけた。脆弱性を突くFlashファイルが埋め込まれているため、PowerPointのファイルを開くだけで、パソコンを乗っ取られる恐れがあるという。 今回同社が警告したPowerPointファイルは、メールに添付されて送られてくるという。ファイルの拡張子はppt。このPowerPointファイルには、Flash Playerの脆弱性を悪用するFlashファイルが埋め込まれている(図)。 このため、脆弱性のあるFlash Playerをインストールしているパソコンでは、このPowerPointファイルを開くだけで被害に遭う。具体的には、Flashファイル中のプログラムが動き出してウイルス(マルウエア)を生成。ウイルスはそのパソコンを乗っ取り、攻撃者の命令に従って動作する。 同時に、ウイルスは無害
間違い1「利用者視点しかない」
「セキュリティ対策は大事だ」。そう分かっていても、どこかで「メインはシステム本体の開発、セキュリティは二の次」「セキュリティ対策は後から考えればよい」といった意識を持っていないだろうか。そんな意識が、セキュリティ設計に思わぬ間違いを生み、システムの脆弱性を作り込む。 悪人になって攻撃 一つ目の間違いは、システムの機能を利用者視点でしか考えないというものだ。要件定義において、利用者に提供する機能はきちんと洗い出したとしても、その機能が悪用されたらどうなるかを逐一チェックしているだろうか。セキュリティ設計は本来、悪意を持った者がシステムを利用しようとするのを防ぐ対策を考えること。業務要件をまとめるための正規利用者の視点でシステムを見ている限り、起こり得るリスクは洗い出しきれない。 正規利用者に提供する機能を洗い出すには「ユースケース図」がよく用いられる。ユーザーや外部システムを表す「アクター」
SEO対策を逆手に,ボットがターゲットを自動検出
Web 2.0という言葉とともに一層注目度が高まったWebアプリケーションへの攻撃。実は,これらの攻撃のかなりの部分がボットによることが,最近分かってきた。 先日,筆者はあるボットを確認した。このボットの動きを数日間観察してみたところ,ボットはインターネットの複数の検索サイトを使って,ぜい弱性があると考えられるサーバーを検出し,自動的に攻撃を仕掛けていた。検索サイトを偵察ツールとして使っているのである(表1)。近年多くの企業が取り組むようになった検索エンジン最適化(SEO)によるマーケティング手法を逆手にとった攻撃の手口と言える。 米フォーティファイ・ソフトウエアの報告書によると,Webアプリケーションへの攻撃のうち,ボットによるものが50%,Googleハッキングが20%を占める。Googleハッキングとは,本来公開されるべきでない機密情報や社内システムのさまざまな情報を,検索サービスを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
