これまでの連載では「OAuth」と「OpenID Connect」について紹介してきましたが、今回は少し趣向を変えて、UDIDについてお話しします。 これまでの連載では、「OAuth」と「OpenID Connect」について紹介してきました。今回は少し趣向を変えて、UDIDについてお話ししようと思います。 UDID(Unique Device Identifier)とは、その名の通りデバイスに固有に割り振られた識別子のことで、具体的にはiPhone/iPadのデバイス識別子のことを指します。このUDIDは本来、米アップルが出荷したデバイスを識別するために割り振ったものです。 しかし、ガラケー時代に広まった、契約者固有番号や端末識別子を用いて認証する「かんたんログイン」方式を、UDIDを用いてそのままiOSアプリにも適用する事業者が増え、多くの問題を発生させてきました。今回は、こうしたUD
これらの偽ツールは(機能的には)ほとんど進化は無いようですが、侵入方法は短期間で大きく進化しています。ウイルス対策ソフトの更新が追い付かず、感染してしまう可能性があります。 しかし、感染した場合でも(感染後のパターンがある程度同じなので)今の所はコツが解れば何とか手動で駆除できる感じです。 偽セキュリティーソフトのデータベースサイト ・S!Ri.URZ (英語サイト) 2006年~現在までの、偽セキュリティーソフト・HDD修復ソフトの一覧を掲載しているサイト。既知となったツールは、赤字で解除コードが記載されています。(解除コードの入力方法はツールによって異なる。ヘルプ欄のregisterまたはメールアドレス欄に入力するものが多い ) コメント欄:風見鶏さんの情報を元に、上記サイト発見しました。ありがとう。 サイト内関連ページ メインPCがウイルスに感染 1・・・こんな風になりました 2・・
SMSの脆弱性がさらされたアップル、ユーザーに注意喚起 SMSは成熟した技術だが、近年は攻撃対象となるケースが増えていると研究者ら 米国Appleが「SMS(ショートメッセージサービス)を信用するな」とテキスト・メッセージングの利用者にメッセージを発した。 消費者家電大手のAppleは、メッセージング機能の安全性を心配する「iPhone」ユーザーに対して、キャリアのSMSネットワークではなく同社の「iMessage」サービスを利用するようアドバイスしている。 よく知られたiPhoneジェイルブレイク(脱獄、iPhoneの制限を外し非正規アプリの利用などを可能とすること)の“達人”が、Appleのモバイル・オペレーティング・システムiOSに実装されたSMSの「脆弱性」を利用し、SMSメッセージを妨害する方法をネットに暴露したのを受け、Appleは8月18日に声明を出して前述の助言を行った。
JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同で運営するJVN(Japan Vulnerability Notes)は2012年8月17日、SNSサービスのミクシィ(mixi)のAndroidアプリケーションにセキュリティ上の脆弱性が存在するとして、警戒と対策を呼びかける文書(脆弱性関連情報)を出した。 脆弱性が存在するのは、mixiバージョン4.3.0より前のバージョン。対策方法として、最新版へのアップデートを呼びかけている。 当該バージョンのmixiアプリでは「友人の発言」をSDカードに保存するため、不正な他のAndroidアプリを使用した場合、インターネット経由で第三者に「友人の発言」の内容を取得される恐れがある。 JVNは8月16日にも、グリーのAndroidアプリに関する脆弱性を指摘している(関連記事)。 [JVNの発表資料]
7月29日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。 BIND 9.6-ESV-R7-P2、9.7.6-P2、9.8.3-P2、9.9.1-P2リリース(2012/07/24) BIND 9.6-ESV-R7-P2、9.7.6-P2、9.8.3-P2、9.9.1-P2では、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-3868、CVE-2012-3817)を解決しています。CVE-2012-3868は、大量の要求を受信した際にメモリーリークが発生する問題です。BIND 9.9.0~9.9.1-P1が稼働するコンテンツサーバー(権威DNSサーバー)ならびにキャッシュDNSサーバーに影響があります。CVE-2012-3817は、DNSSEC検証機能が有効で、大量のDNSSEC検証要求を受信した際に異常
Webサービスの多くでは、ユーザーの本人確認にパスワードを採用している。そのパスワードを破られて、Webサービスを悪用されるケースが急増している。 2007年以降、Webサービスを悪用して検挙された件数は、年間で1000件を超えている(図1)。内訳は、他人のユーザーIDとパスワードを使って不正にアクセスする「識別符号窃用型」がほとんど。一方、Webサービスを提供するWebサイトの脆弱性(セキュリティ上の欠陥)を悪用する「セキュリティホール攻撃型」はわずかだ。 不正アクセス禁止法違反による検挙件数の推移。警察庁の発表資料から作成した。検挙件数のほとんどは、パスワードを推測あるいは盗用して本人になりすます「識別符号窃用型」。Webサイトの脆弱性(セキュリティ上の欠陥)などを悪用して侵入する「セキュリティホール攻撃型」は少ない。
写真●Yahoo!ツールバー(Google Chrome版) 写真は脆弱性対策済みの最新バージョン(1.0.0.9)のもの 情報処理推進機構のセキュリティセンター(IPA/ISEC)は2012年7月30日、ヤフーが提供しているWebブラウザー用プラグインソフト「Yahoo!ツールバー」(写真)の一部プラットフォーム向け特定バージョンに、細工されたページにアクセスするとツールバーが勝手に書き換えられる危険を持つ脆弱性が存在することを公表した。 脆弱性を持つのは、「Google Chrome版」および「Safari版」のYahoo!ツールバーで、バージョン1.0.0.5およびそれ以前のバージョンが対象となる。同脆弱性を悪用されると、悪意を持つ第三者によって遠隔からツールバーが書き換えられ、ユーザーがツールバーに入力した検索キーワードが第三者に漏えいしてしまう危険があるという。ツールバー上のメニ
マカフィーは2日、エネルギー業界のセキュリティの現状に対する業界リーダーの考えをまとめた、「スマートグリッド(次世代送電網)のために、よりスマートな防御を(Smarter Protection for the Smart Grid)」と題した報告書を発表した。同報告書で、旧来の電力網のサイバー攻撃に対する脆弱性と、これらの基幹システムに対するセキュリティ対策の必要性が明らかになった。 古いシステム 既存の電力網の約70%が、30年以上前に作られたものだ。それら旧システム全てをより新しいシステムへ統合していく取り組みの中で、暗号化対策をせずにインターネットに接続しており、セキュリティ問題は後回しになっていた。 自動化 手動プロセスからインターネットに接続された自動プロセスにシステムを移植することで、電力会社はリアルタイムに情報の取得、変更をできるようになった。しかしその一方、自動化によりすべ
G Data Software株式会社(代表取締役社長:Jag 山本、本社:東京都千代田区)は、Windowsの新たな脆弱性である、ショートカットファイルのアイコン表示によるウイルス感染を防ぐための緊急プログラムを、無料ダウンロードできるようにしました。どうぞご利用ください。 2010年7月17日に、マイクロソフト社はウィンドウズ製品のショートカットファイル(.lnk)に関して、重大なセキュリティホールがあると公表しました。既報の通り、この脆弱性を狙った最初の攻撃は、幸い不成功に終わりました。しかし、このマルウェアによる攻撃はその後も継続して行われており、しかも今後は数多くの亜種の出現も予測されます。G Dataのラボでは、この問題への回避策として、修正モジュール「G Data LNK Checker」を開発しました。これにより、正常なアイコンはそのまま表示させ、ウイルスと連携する悪意のあ
マカフィーは6月18日、特定の企業や組織を狙うサイバー攻撃(標的型攻撃)に関する分析レポートを公開した。2009年末から今年初めにかけて米Googleなどが狙われた攻撃を例に、手口と対策を解説している。 この攻撃は米国の大手IT企業数十社が標的になり、ソースコードなど知的財産に関する機密情報が第三者に侵害されたもの。セキュリティ業界では通称「Operation Aurora(オーロラ作戦)」として知られており、同社は攻撃の発生直後から捜査当局に協力している。 同社によると、攻撃は以下のプロセスで仕掛けられたという。 標的となったユーザーに「信頼できる」ソースからメールまたはインスタントメッセージでリンクが届く ユーザーがリンクをクリックし、悪意のあるJavaScriptペイロードが含まれたWebサイトにアクセスする ユーザーのWebブラウザ上で脆弱性を悪用するコードが実行される。悪意のある
カスペルスキーは6月4日、5月の「マルウェアマンスリーレポート」を発表した。ユーザーのPC上で検知されたマルウェアと、ネット上でのマルウェアの2種類のランキングを公開している。 ユーザーのPC上で検知されたマルウェアのランキングでは、新たなマルウェアが5種類、20位以内にランクインした。これらはすべてInternet Explorerの解放済みメモリを使用する脆弱性に関連するものとなっている。また、オンラインゲームにアカウントを持つユーザーの個人情報を盗むことを目的とした「Trojan-GameThief.Win32.Magania.dbtv」が16位にランクインした。「CABALONLINE」「Metin2」「Mu Online」、Nexonのゲームユーザーが、これによる被害に遭っているという。 ネット上でのマルウェアのランキングでは、4月から順位が大きく変わっている。1位の「Troja
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く