はてなブックマーク

SophosLabs – WannaCry Aftershock 1 WannaCry Aftershock On May 12th , 2017, organizations across the world were attacked by a new, fast-spreading piece of malware we now know as WannaCry. It is now considered one of the most widespread, and notoriously destructive malware attacks in history, halted only by a researcher getting a lucky break, registering a domain name embedded in the malware that un

～サポート、集中管理機能なしの「Sophos Anti-Virus for Linux(Free Edition)」～ 法人向けセキュリティソリューションを提供するソフォス株式会社 (本社：東京都港区、代表取締役社長：纐纈昌嗣 以下ソフォス) は、現在法人向けに販売しているLinux向けアンチウイルスソフトウェアを無料で個人向けに提供することを発表いたします。製品名称は「Sophos Anti-Virus for Linux(Free Edition)」です。従来の有料製品は継続して提供され、無料版にはサポートや集中管理機能は付帯しません。以下のWebサイトからダウンロード可能です。 https://www.sophos.com/ja-jp/products/free-tools/sophos-antivirus-for-linux.aspx 日々高度化・複雑化を続けるセキュリティ脅威に対

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on September 1, 2014 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 ～深刻なプライバシー侵害が発生する恐れあり、対策方法～ 独立系セキュリティ研究者の Rafay Baloch 氏が Android のブラウザアプリに存在するセキュリティバグについての報告しました。このバグによって、他の Web サイトのデータを盗み出すことが可能になります。 同氏は、Metasploit でこのバグを「深刻なプライバシー侵害を引き起こすもの」と評しており、極めてショッキングなバグであることを説明するためのビデオを今後作成することになっています。 では、一体どのようなバグであり、私たちはどのように問題を回避すればよいのでしょ

～今後、あらゆる USB デバイスが信頼できないもになる可能性も～ ※この記事は本社サイト 「Naked Security」掲載の記事を意訳したものです※ by Paul Ducklin on August 2, 2014 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 他人が使用した USB デバイスは、自分の PC では使わずに破棄しなければならないという規則ができたらどうしますか？ また、プレゼンする時プロジェクタに USB を差した場合、その USB は破棄しなければならないとしたらどうでしょうか？ 写真をとったカメラを PC に USB 接続するなど、USB デバイスの利用は危険である可能性があるとしたらどうでしょうか？ まもなく開催される BlackHat 2014 カンファレンスで発表されるレポートで、USB デバイスの危険性につい

ランサムウェアの危険が迫る ここ数年でランサムウェアが大きな問題になってきました。 Reveton のようなランサムウェアのタイプは、コンピュータ内のデータを暗号化しませんが、ユーザーがコンピュータを利用できないようにして、再度利用できるようにするための費用を要求してきます。 CryptoLocker のようなその他のランサムウェアは、コンピュータはそのまま使用できますが、いくつかのデータを暗号化します。そして、データを復号化して利用できるようにするための費用を要求してきます。 請求される費用は、300 ドル程度です。これは 偽のサポート対応の詐欺 で請求される金額と同じです。300 ドルという金額はそれほど大きな金額ではく、ファイルを復元してできる限り通常の業務に戻りたいと考えるユーザーは簡単に支払ってしまう金額のようです。 この数週間では、金銭を支払うとロックを解除するランサムウェア

※ 人口が 30 万以下の国は対象から除外しています。 各国の横に記載した数値は、米国を基準（値 1.00）として比較したときの、1人あたりの平均スパム配信数を示しています。つまり、各国のスパム配信の合計を人口で割算し、米国のデータを基準として国別の 1人当たりの配信数を比較しています。 人口比率別にみると、ワースト 1位はベラルーシです。ベラルーシは、人口比率別のスパム配信で、4 期連続でワースト 1 位になっていますが、前回よりも、比率は低下しており、2 位との差は縮まっています。(ベラルーシは、1年前は 27倍でしたが、今回は 4.5倍までに低下しました。) この傾向が続くと、ベラルーシがワースト 1位の汚名を返上できる日が来るかもしれません。 また、新たにブルガリア、スペイン、マカオ、ルーマニア、アルゼンチンがランクインしました。なお、マカオとルーマニアがランクインしたのは今回が初

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on April 10, 2014 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 OpenSSL の「heartbleed」のバグが大きな問題になっています。 このバグの詳細について、今回は割愛しますが (詳細な解説は こちら をご覧ください)、一般的な流れとしては次のような処理が行われます。 悪意ある人物からサーバーに対して暗号化通信 (TLS) が行われます。 悪意ある人物は、実際のデータの代わりに ハートビート リクエスト を送って、サーバーが接続を維持するように指示します。 悪意ある人物は、送信されるリクエストに数バイトしか含めませんが、65535 バイトを送信したと主張します。 ハートビートは、受信するリクエストデー

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Chester Wisniewski on January 31, 2014 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 本記事では、二要素認証とは何か、どのように機能し、どのような場面で使用するのかなど、二要素認証の重要な点を説明します。 パスワードのデータベースへの侵入、フィッシング攻撃、すべてのキーストロークを記録するマルウェア、近所の ATM や行きつけの店舗に取り付けられたクレジットカードスキミング機器などの事件は繰り返し発生しています。 かつては 8 文字のパスワードでも十分でしたが、今ではより堅牢で信頼性の高い認証方法が必要となっています。 二要素認証の概要 マルチファクタ認証 / 二段階認証とも呼ばれることのある二要素認証 (2FA)

～高度化とステルス化が進むサイバー犯罪によって、 劇的に変化する 2014年のセキュリティ動向を予測～ 法人向けセキュリティ・アンド・データプロテクション大手のソフォス（本社：英国アビンドン、日本法人：東京都港区・代表取締役：堀　昭一）は、最新の「セキュリティ脅威レポート 2014 ～高度化とステルス化が進むマルウェア～」（日本語版）を公開しました。本レポートでは、昨年発生したサイバー犯罪の手法の変化について解説し、2014年に悪用される恐れがある攻撃手法について予測しています。今年、サイバー犯罪者は、一層専門的かつ巧妙化し、かつてなかったほど大規模なサイバー犯罪が発生する恐れがあります。 最新版のレポートは、ソフォスの Web サイト から無償でダウンロードできます。 本レポートでは、カモフラージュ機能によってユーザーのデータに長期間アクセスできるようにするステルス性の高いマルウェアの出

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on November 20, 2013 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 読者の方は、Adobe 社で 2013 年 10 月に発生したデータ侵害のインシデントについてはご存じでしょう。 これは、1 億 5 千万件のレコードが漏えいした史上最大級のユーザー情報データベースに関するインシデントであるだけではありません。今回のインシデントから別の問題も見えてきました。 漏えいしたデータから、Adobe 社がユーザーのパスワードを不適切な方法で保管していたことが明らかになりました。同社の利用した方法よりも格段に安全でパスワードを保管する方法はあります。またそれが、決して難しくないことを考えると、セキュリティの観点からす

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on October 30, 2013 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 Facebook で、プロフィール画像をキリンに変更してはならないという奇妙な警告が広まっています。 私は、最初にこれを聞いたとき、「自分のプロフィール画像として何でも選択できるというのに、突然キリンにしようなどと考えるわけはないだろう」と思いました。 続いて、「仮に、威厳のある動物だからとキリンの画像を選んだとして、それがなぜ問題になるのだろうか」という疑問を持ちました。 言うまでもなく、この警告は完全な偽りであり、インターネット上で広がる新たな作り話に過ぎません。 作り話の内容 この作り話における偽の論理は、大体次のようなものです。 Fa

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Lee Munson on August 22, 2013 以下の 5 つのアドバイスに従って、あなたの Facebook プロフィールを保護してください。 1. 友達だけがプロフィールを閲覧できるようにする 見知らぬ人に、突然自分の自己紹介をする人などいないように、赤の他人に Facebook のプロフィールを見せるべきではありません。 画面右上にある歯車のアイコンをクリックして、「プライバシー設定」をクリックします。 「共有設定」(左側のペインの上から 3 つめ) をクリックします。 Facebook の 「プライバシー設定とツール」が表示されます。ここで、自分のコンテンツを見ることができるユーザーを管理します。 「今後の投稿の共有範囲」を編集すると、今後の投稿を見ることができるユーザーを具体

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Lisa Vaas on August 3, 2013 先週の水曜日に行われた Black Hat でのデモンストレーションで、研究者らがプログラミングされた悪意のある充電器に iPhone を接続して iOS デバイスへの攻撃を成功させたことを受け、Apple 社の報道担当者は ロイター社に 次回のソフトウェアアップデートでこのハッキングを可能にしているバグを修正すると伝えています。 Apple 社の iPhone と iPad は、今年の後半にリリースが予定されている iOS 7 のアップデートを適用するまで、この種の攻撃には脆弱なままになります。 報道担当者は、ロイター社に、この問題は iOS 7 の最新のベータ版にすでに修正されていると述べています。このベータ版は、ソフトウェア開発者向けに

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Chester Wisniewski on April 16, 2013 まず、Facebook Home はこれまで噂されていた Facebook 社が発売するスマートフォンではありません。 Facebook スマートフォンが発売されるという説と、OS X にはアンチウイルスが不要だという説には似ている部分があります。それは、どちらも事実ではないということです。 Facebook 社は、独自のハードウェアを設計および製造する手間は避け、ユーザーエクスペリエンスの向上には多くの労力を費やしています。 Facebook Home のコンセプトはシンプルです。人気の高い Android デバイスのロック画面とアプリケーションランチャーを、Facebook アプリを中心とした操作に置き換えるというもので

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Graham Cluley on January 17, 2013 Twitter の認証済みアカウントによって、有名人の本当のアカウントと、詐欺師や熱狂的なファンによる本人以外の (なりすまし) アカウントとを区別できます。 この方法で、ブリトニー・スピアーズの本当のアカウント @britneyspears と @britney_spears や @britneyspear などのブリトニー・スピアーズ本人ではないアカウントを区別できます。 Naked Security の読者の方が今朝、私たちに、映画で登場する架空の人物 (パーシー・ジャクソン) がどのように自分の Twitter アカウントを認証できたのか尋ねてきました。 "How is an RP account verified by

ソフォス、2012年の脅威傾向と今後の動向を予測する「ソフォスセキュリティ脅威レポート2013」 を公開 法人向けセキュリティ・アンド・データプロテクション大手のソフォス（本社：英国アビンドン、日本法人：神奈川県横浜市・代表取締役：堀　昭一）は、「セキュリティ脅威レポート2013」を公開しました。このレポートでは、2012年の IT セキュリティの脅威を詳細に分析し、2013年の動向についても予測しています。また、BYOD（私物デバイスのオフィスへの持ち込み）やクラウド利用の急速な普及がもたらす問題など、あらゆる規模の企業が直面しているセキュリティの課題について説明しています。 2012年の脅威傾向 2012年は、プラットフォームが多様化し、マルウェアがさらに高度化した1年となりました。今まで Windows によるプラットフォームがほとんどでしたが、現在では多様なプラットフォームがオフィ

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Chester Wisniewski on October 29, 2012 先週金曜日にリリースされた Windows 8 については、多くの人が「アップグレードすべきか、今までと何が違うのか」と考えています。 今回の Windows での主たる変化は刷新されたユーザーインターフェースですが、Naked Security ではセキュリティについて検討したいと思います。 セキュリティに関して Windows 8 での変更を詳細に分析するには、ソフォスの新しい技術文書『Windows 8: Redmond's Safest Operating System Ever?』 (翻訳予定) をダウンロードしてください。 Windows 8 のセキュリティで最も目立つ変更は、新しいセキュアブートシステムです

※この記事は本社サイト「Naked Security」掲載の記事を翻訳したものです※ by Graham Cluley on October 10, 2012 Facebook は、ユーザーが考えるほどプライベートな個人情報として電話番号を慎重に扱っていないかもしれません。 Facebook におけるプライバシー情報の扱いが明らかになりましたが、多くのユーザーにとって驚くべき内容である一方で、Facebook ではこれを意図的な機能ととらえているようです。 Facebook の検索ボックスに電話番号を入力すると、逆引きにより電話番号の所有者が分かります。 スクリーンショットに示すとおり、Facebook の友人でないユーザーの携帯電話番号を入力すると、所有者の名前、写真、プロフィールへのリンクが表示されました。 この Facebook ユーザーと話したところ、彼女は私が携帯電話番号を入力し

※この記事は本社サイト「Naked Security」掲載の記事を翻訳したものです※ by Lisa Vaas on September 26, 2012 Facebook は、サイト内で別名を使う友人を報告するようにユーザーに求める調査を打ち切りました。 実名のプライバシーをめぐる騒動は、あるユーザーが Facebook によるこの調査のスクリーンショットをツイートしたことをきっかけに始まりました。Facebook はユーザーに対して友人のアカウント名、プロファイルの写真、および地域を提示し、その友人のユーザー名が実名であるかどうかを質問していました。 Facebook に友人が実名を使っているかどうかを聞かれたら、あなたならどう答えますか？ Facebook が TPM に認めたのは、数か月間にわたって友人のユーザー名に関する調査の実験を行っていたという内容でした。しかし調査の規模、期

※この記事は本社サイト「Naked Security」掲載の記事を翻訳したものです※ by Lisa Vaas on September 24, 2012 | 先週木曜日にアムステルダムで開催されていた EUSecWest セキュリティカンファレンスで、ニュージャージー州とサンフランシスコ市の地下鉄が無賃乗車できることが実証されました。 セキュリティ研究者によると、近距離無線通信 (NFC) 対応の Android スマートフォンを使用することによって磁気カードを無料で何度でもチャージできるとのことです。 Intrepidus Group の Corey Benninger 氏と Max Sobell 氏が開発した「UltraReset」というアプリケーションでカードの残額を読み取り、保存しておいたデータをカードに書き込んで、残額をリセットし無料で乗車できるようになります。 次のVimeo