携帯端末のセキュリティに不安増大――McAfee報告書
米McAfeeは携帯端末メーカーを対象としたセキュリティ問題に関する調査を実施し、Mobile World Congressで2009年版の報告書を発表した。 調査は世界各国のモバイル端末メーカー30社以上を対象に実施した。このうち、約半数が携帯端末のセキュリティ問題として、マルウェア感染、音声またはテキストを使ったスパム、サードパーティーアプリケーションの問題、ネットワーク容量に影響する問題があったと報告。これらの問題の件数は前年から2倍以上に増えた。 携帯端末の各種機能に関するセキュリティ上の不安も多く、「モバイル決済に対する不安」(81%)、「アプリケーションのインストールにかんする不安」(69%)、「無線LAN/Bluetooth接続にかんする不安」(66%)などが挙がっている。 セキュリティ問題がメーカーの業績や評判に及ぼす影響としては、「端末のパッチや修正のコストがかさむ」(4
どう対策すべき? “モバイル”のセキュリティ - @IT
宮田 健 @IT編集部 2009/2/18 モバイルデバイスのような「小さなデジタルガジェットが大好き」というエンジニアも多いだろう。しかしそれらをビジネスの場で活用するには、モバイルデバイス特有のセキュリティ対策が必須である。今回、「モバイルのセキュリティ対策で必要なこと」という少々漠然としたものを、カスペルスキーラブスジャパン、シマンテック、トレンドマイクロ、マカフィー(順不同)などのセキュリティベンダに対し問い掛け、彼らがどのようなソリューションを持っているのか、またモバイルセキュリティでエンジニア、経営者が考えるべきポイントを聞いてみた。 ケータイをモバイル:携帯電話に入ったウイルス対策ソフト 「実はドコモのFOMAには、マカフィーのウイルススキャンソフトが入っています」と語るのは、マカフィーコンシューマ事業本部長の大岩憲三氏だ。 そういって大岩氏は携帯電話を操作すると、確かにマカ
正規アプリになった携帯ウイルス出現
モバイルマルウェアの「Sexy View」は、Symbianの署名が入った証明書を使い、正規のアプリケーションとしてインストールされてしまう。 携帯電話のショートメッセージサービス(SMS)とインターネット接続機能を使って増殖する新手のマルウェア「Yxes.A!」(別名Sexy View)が出回っていると、セキュリティ企業のF-SecureとFortinetが伝えた。 Yxes.A!は、SymbianOS S60 3rd Edition搭載の携帯電話に感染する。特徴的なのは、Symbianの署名が入った証明書を使っている点だ。これによって正規のアプリケーションとしてインストールされ、アクセス権限を取得する。 端末に感染するとファイルシステムから電話番号を収集し、その番号にあててSMSを送ろうとする。受信した相手がSMSに記載されたURLをクリックすると、悪質なサーバからマルウェアがダウンロ
Androidのメディアライブラリに脆弱性--付属ブラウザの利用に注意
「Android」モバイルプラットフォームでまた1つ脆弱性が発見された。同モバイルプラットフォームは2008年10月にも脆弱性が発見されていた。この度の脆弱性は、前回と同じ研究者によって発見された。この研究者は、パッチがインストールされるまでAndroidブラウザの使用を控えるよう勧めている。 コンサルタント会社Independent Security Evaluatorsで主席アナリストを務めるCharlie Miller氏は米国時間2月12日、この脆弱性を修正するパッチは、Googleのソースコードリポジトリにはあるが、T-Mobileサービス経由でAndroid搭載携帯電話にダウンロードできる状態にはなっていないと述べた。 この新たな脆弱性は前回のものと同様、Androidで悪意あるウェブページを開くと、攻撃者によって遠隔地からブラウザをコントロールされたり、機密情報にアクセスされて
Expired
Expired:掲載期限切れです この記事は,ロイター・ジャパンとの契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
あなたの携帯端末にも忍び寄るセキュリティの脅威(TechTarget) - Yahoo!ニュース
ユーザーは長い間、自分の携帯端末はトロイの木馬やボットネットのような脅威とは無縁だと信じてきたが、ジョージア工科大学の最近の調査報告書は、こういった状況がもうすぐ変わる可能性があると警告している。それどころか、モバイルセキュリティ脅威の“第一波”は既に到来しているのだ。 「Emerging Cyber Threats Report for 2009」(2009年の新たなサイバー脅威:PDF文書)と題された報告書の作成に携わったジョージア工科大学コンピュータサイエンス学部のパトリック・トレイナー助教授は「この報告書では将来の脅威に目を向けた」と述べている。トレイナー氏によると、目の前に脅威が差し迫っているわけではないが、将来の危険を軽減するためには、業界と政府が事前予防的な方針で臨む必要があるという。 既に最新の2つのモバイルプラットフォーム(AppleのiPhoneとGoogleのAn
「暗号の2010年問題」は、日本の携帯電話に大きな影響?
インターネットでは、例えば個人情報を入力したり買い物をするとき、また有料サービスを利用するときなどに通信を暗号化することが常識となっている。もちろんそれは盗聴や不正ログイン、データの改ざんや偽造といったことを防ぐためだが、それを実現する暗号アルゴリズムにはさまざまなものが存在し、それぞれに特徴があることは意外と知られていない。 最近ではコンピュータの処理能力の大幅な向上などにより“暗号が破られる”ことも珍しくなくなったが、暗号の現状はどうなっているのだろうか? 「Internet Week 2008」で27日に行われたセッション「次世代暗号アルゴリズムへの移行~暗号の2010年問題にどう対応すべきか~」からは、驚くべき実態も見えてきた。 セッションは、セコムIS研究所の松本泰氏が司会を務め、「全体説明」から始まった。まずは、暗号の専門家でない参加者のために「暗号とは何か」という基本の話から
iPhone 2.0にブラックリストダウンロード機能を発見--非公認アプリ対策とのうわさも:モバイルチャンネル - CNET Japan
Appleが、iPhoneで動作する「キルスイッチ」を開発しているとのうわさは、まだだれもその実態を正確に把握していないにもかかわらず、多大の悲観的な反響を呼んでいる。 iPhone AtlasでBen Wilsonが記しているように、iPhone向けアプリケーションなどを独自に開発するソフトウェアエンジニアのJonathan Zdziarski氏は、「iPhone 2.0」ソフトウェアの内部を精査しながら、毎回「悪意のある」アプリケーションのリストをダウンロードさせるURLの存在を、このほど突き止めた。この詳細を深刻に受け止め、Appleがリモートで、気に入らないiPhone向けアプリケーションを使用不能にする用意を整えていることの証拠であるとの情報も、いち早く出回っている。 このブラックリストをAppleが使う可能性のある、さまざまな分野について考える前に、そもそもわれわれは、これが実
『iPhone』に隠しURL:「Apple社はリモートで搭載アプリを削除可能」 | WIRED VISION
『iPhone』に隠しURL:「Apple社はリモートで搭載アプリを削除可能」 2008年8月 8日 IT コメント: トラックバック (1) Brian X. Chen Photo: Fr3d.org/Flickr 『iPhone』のキャッチフレーズは、「Your life in your pocket」(あなたの生活をポケットの中に)だった。ポケットに入るのは「あなたの」生活であって、Apple社がそこに絡んでくるという話ではなかったはずだ。だが今回、ユーザーをApple社の管理下に置きかねないコードが、iPhoneのオペレーティング システム内に新たに発見された。 『iPhone Open Application Development』の著者であるJonathan Zdrianski氏は、iPhoneのCoreLocationに隠しURLが埋め込まれているのを発見したと述べている。
高木浩光@自宅の日記 - 続・出鱈目なURLで運営されているケータイWebの実態
■ 続・出鱈目なURLで運営されているケータイWebの実態 2日の日記「 出鱈目なURLで運営されているケータイWebの実態 」では、「dwango.jp」のサイトが「b.nu」というドメイン上にあることを示したが、他にも、以下のようなケースもあった。 Yahoo!ケータイのトップ画面から、検索機能で「日本航空」を検索し、トップに出てきた「日本航空」のサイトを訪れて、URLを確認してみたところ、図1のとおり、数値形式のIPアドレスが現れた。 これはひどい。 「172.22.101.1」とプライベートアドレスが使用されているので、セキュリティ上の目的もあってか、おそらくソフトバンクモバイルのセンター内か、VPNで接続されたどこかにサーバが設置されているのであろう。 しかし、こんな形式では、ユーザに本物サイトであることの説明がつかないし、SSLサーバ証明書の取得とかもできないんではないだろうか
高木浩光@自宅の日記 - ケータイWebはどうなるべきか
■ ケータイWebはどうなるべきか (未完成、あとで書く。) 技術的なセキュリティの話 先月27日の日記では、契約者固有IDによる「簡単ログイン」の危うさについて書いた。このログイン認証の実装方式は、携帯電話キャリアの「IPアドレス帯域」情報に基づいて、キャリアのゲートウェイからのアクセスのみ許すことによって、成り立ち得るものと考えられている(ケータイWeb開発者らには)ようだが、そもそも、その「IPアドレス帯域」なるものの安全な配布方式が用意されておらず、ケータイWeb運営者に対するDNSポイゾニング攻撃等によって、当該サイトに致命的な成り済まし被害が出かねない危険を孕んだものであることを書いた。 仮に、「IPアドレス帯域」の配布が安全に行われるようになったとしても、他にもリスクがある。通信路上に能動的盗聴者が現れたときに、致命的な成り済まし被害が出る。たとえば、6月3日の日記「通信路上
高木浩光@自宅の日記 - Yahoo!ケータイ初回利用時のユーザID通知に関する告知
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。 現在の情報: 未登録 ユーザIDの通知とは? (必ずお読みください) 通知する 通知しない ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
高木浩光@自宅の日記 - 「日本のインターネットが終了する日」あとがき
■ 「日本のインターネットが終了する日」あとがき 10日の日記「日本のインターネットが終了する日」には、書ききれなかったことがある。また、頂いた反応を踏まえて追記しておきたいこともある。 青少年は結局どうすればいいのか はてなブックマークのコメントに、「本当に知らなければいけない人には理解されないかと思うとね・・・哀しくなってくる」という声があった。リンク元のどこだったかには、「肝心の子供たちにはどう説明したらいいんだ」というような声もあったと思う。 契約者固有IDの送信を止める設定をしてしまえば、モバゲータウンや魔法のiらんどなどが使えなくなってしまう。設定をアクセス先毎に変更しながら使うという方法もあり得るが、子供たちにそれをさせるのは無理な話だろう。保護者としては、確実に安全に使える設定を施した上で電話を子供に渡したいはずだ。「住所氏名は入れちゃ駄目」というのは、これまでも子供たちに
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
iPhone 3G、初期出荷状態はロックガード導入か--ハッキング対策で
Appleが、新たな「iPhone 3G」のリリースにより、iPhoneのハッキングに新対策を講じようとしていることが、より明白になってきたようだ。 AppleInsiderは、先週中に全従業員のコンピュータに導入されたと思われる、「ロックを解除するための」特別なiTunesユーティリティの使用に関する警告を記した、AT&T販売店の従業員に対して送付されたメモを入手した。そのメモには「このアイコンは、アクティベーションプロセス中に、iPhone 3Gのロックを解除するための、iTunesのユーティリティである。(中略)これはフルバージョンのiTunesとは異なり、アクティベーションのためだけに使用される点に留意してほしい。従業員は、このソフトウェアを(iPhone 3Gの)発売日まで使用してはならない」と記されていたようだ。 iphoneincanada.caのフォーラムへの投稿では、同じ
高木浩光@自宅の日記 - 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か
自己署名の証明書になっていた。 これは明らかにセキュリティ脆弱性だ。この種類の脆弱性(ブラウザが証明書を検証しない)は、伏せておくよりも早く事実を公表して利用者に注意を促した方がよいという考え方もあり、すぐに日記に書こうかとも考えたが、このケースではIPA、JPCERT/CCを通した方が修正が早く行われるのではないかと考え、IPAの脆弱性届出窓口に通報した。 この届け出は3月27日に受理された。そして本日、JVNで公表となった。修正版が提供されているので、利用者はアップデートで対応できる。 JVN#76788395 ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性, JVN, 2008年4月23日 パーソナルコミュニケーター "mylo" COM-2 セキュリティ脆弱性対策プログラムご提供のお知らせ, ソニー株式会社, ソニーマーケティング株式会社, 2008年4月2
盗聴さえもできる,これが世界の携帯セキュリティ最前線だ
フィンランド エフ・セキュアのパトリック・ルノー クアラルンプール研究所長は,セキュリティレスポンスマネージャーで同社のウイルス研究における重要人物だ(同研究所はアジア太平洋地域を担当)。来日した同所長に,携帯電話を狙うマルウエア(悪質なプログラム)の現状と,今後の携帯セキュリティに対する予測を聞いた。 我々の分析では401個。そのうち390個は英シンビアンの「S60」を標的にしている。ほかはWindows Mobileを狙ったものが6つ,Palmが3つ,J2ME(Javaプラットフォーム)が2つという内訳になっている。 種類別に見ると大半はトロイの木馬だ。携帯電話のカメラやメールなどのアプリケーションを破壊したり,ストレージ上のコンテンツにアクセスできないようにするためメモリー・カードにパスワードを設定したりする。そして,ユーザーが感染したことがはっきり分かるという共通点がある。 マルウ
iモードが契約者IDを非公式サイトに対してもデフォルトで自動送信へ | スラド モバイル
2月28日に発表されたNTTドコモの「重要なお知らせ」によると、3月31日から、新たに「iモードID」なる契約者固有IDの通知機能が提供開始されるという。iモードではこれまでに、公式サイトにだけ自動送信するユーザID「UID」と、ユーザの同意確認を毎回必要とする端末ID(携帯電話製造番号又はFOMAカード製造番号)の送信機能を提供してきたが、さらに別のIDが提供されることになる。このIDは、「UID」とは異なりドコモの課金代行の利用には使えないが、用途としては、非公式サイトにおいて以前に訪れたユーザを同定することでログインを自動化することなどが想定されているようだ。 携帯電話の契約者固有IDをめぐっては、2005年4月のストーリ「 EZwebのサブスクライバIDが4/14から非通知設定可能に」にあったように、プライバシー上の問題が認識されている。auのEZwebでは、「サブスクライバーID
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
行動ターゲティング広告はどこまで許されるのか?インターネット-最新ニュース:IT-PLUS
