福岡銀行がワンタイムパスワードを導入、ハードトークンは地銀初
福岡銀行は2007年6月28日、同行が提供するインターネットバンクサービス「ふくぎんインターネットバンキング」に、ハードウエアトークンを使ったワンタイムパスワード認証を導入することを発表した。地方銀行では初めて。2007年9月から提供する予定。 ワンタイムパスワード認証とは、毎回異なるパスワード(ワンタイムパスワード)を使うユーザー認証方式のこと。ワンタイムパスワードの生成には、トークンと呼ばれるハードウエアあるいはソフトウエアを利用する。 福岡銀行が導入するのはハードウエアトークンを使ったワンタイムパスワード認証。トークンには、RSAセキュリティの「RSA SecurID」を利用する(図)。トークンは希望者に無料で配布する。ワンタイムパスワード認証を利用するための手数料なども不要。 ハードウエアトークンを使うワンタイムパスワード認証を導入するのは、地方銀行では福岡銀行が初めて。ただし、ソ
「iPhone」当選をかたるフィッシング詐欺
米Secure Computingは米国時間7月1日,米Appleが発売したばかりの携帯電話「iPhone」に便乗したフィッシング詐欺について警告した。「iPhoneが当たりました」という内容のメールを送りつけ,マルウエアに感染させる悪質なWebサイトに誘導するという。 悪質サイトにアクセスすると,MSODataSourceControlなど,Active Xが持つ10件以上の脆弱性を悪用して,悪意のあるマルウエアをインストールしようとする。ユーザーが読み込むHTMLコードに,スパム送信の踏み台に使うボットやrootkitをインストールするスクリプトが埋め込んである。rootkitベースのため,ハッカーは後日キーロガーなどを仕込んで,パソコンから個人情報を盗むこともできる。 また,同サイトは訪問者を記録し,何度も訪れる可能性があるセキュリティ研究者は,セキュリティ上の問題がない別のページに
MSパッチ装いマルウェアサイトに誘導する偽メール、ターゲット型手法も活用
Microsoftからのお知らせを装った偽メールは、受信者のフルネームや会社名を記載して信用させ、悪質サイトに誘導しようとする。 ユーザーをだまして偽のMicrosoftパッチサイトを閲覧させようとするスパムメールが出回っている。メール本文には受信者のフルネームが記され、勤務先の会社名が入ったものもあるという。SANS Internet Storm Centerが6月26日、サイトで伝えた。 SANSにはこのスパムについて複数の読者から報告が寄せられ、マルウェアをホスティングしているURLをこれまでに4件確認した。マルウェアは主要ウイルス対策(AV)ベンダーにも提出済みで、間もなく対処される見込みだが、今のところAVソフトでは検出できないという。 SANSがサイトに掲載した偽メールのサンプルは、Microsoftから配信されたように見せ掛けてあり、件名は「Microsoft Securit
またもMySpaceプロフィール悪用、閲覧しただけでボット感染
SANSによると、MySpaceで多数のプロフィールに悪質コードが仕掛けられ、「FluxBot」というボット感染サイトにユーザーを誘導してしまう。 米MySpaceで多数のプロフィールに悪質コードが仕掛けられているのが見つかった。ユーザーが閲覧しただけで「FluxBot」というボットに感染させてしまうという。 SANS Internet Storm Centerが6月26日に伝えたところによると、「FluxBot」(別名Fast-Flux)はプロキシサーバを使ってフィッシングサイトやマルウェア配信サイトを隠す用途で広く用いられているボット。 問題のMySpaceプロフィールには見えにくい形で攻撃コードが埋め込んであり、一見無害に見える。しかしこのページを閲覧すると、ユーザーはマルウェアをホスティングしているページにリダイレクトされてしまう。 ここからInternet Explorer(IE
「ゼロデイの水曜日」説の信憑性は? McAfeeが検証
Microsoftの月例パッチ公開にタイミングを合わせ、攻撃者がゼロデイの脆弱性情報を公開しているという説について、McAfeeが検証結果を公表した。 Microsoftが月例セキュリティアップデートを公開する「パッチ・チューズデイ」(パッチの火曜日)にタイミングを合わせ、攻撃者がゼロデイの脆弱性を公開しているのではないかとする「ゼロデイ・ウェンズデイ」(ゼロデイの水曜日)説は本当なのか――。米McAfeeは6月26日、この問題についての検証結果をブログで公開した。 「ゼロデイ・ウェンズデイ」説は、攻撃者が未パッチの脆弱性をできるだけ長期間悪用するため、意図的にMicrosoftの月例パッチ公開と前後してゼロデイの脆弱性情報を公開しているのではないかとするもの。 McAfeeではこの説を検証するため、「脆弱性情報の公開と同じ日に、悪用情報が公開」されたケースをゼロデイの脆弱性と定義。200
YouTubeでゲームを宣伝、実はマルウェア
「YouTubeにゲームのデモビデオを載せました」――宣伝に釣られてゲームをダウンロードすると、マルウェアに感染してしまう。 YouTubeを利用して、ユーザーを不正なソフトに感染させようとするスパムメッセージがブログやチャットルームに多数書き込まれていると、米FaceTime Communicationsのセキュリティ研究者が報告している。 このスパムメッセージは、YouTubeに改造版GTA(Grand Theft Auto)のデモビデオを投稿したと宣伝している。デモビデオ自体は視聴しても危険ではないが、ビデオクリップに添えられた説明書きにゲームへのリンクが含まれている。リンク先のファイルを実行すると、正規のインストーラーのように見えるものが起動するが、実際はユーザーのマシンにマルウェアがインストールされる。
「無料iPhone」で釣るおとり販売サイトに注意
iPhoneがただでもらえるという宣伝文句に釣られてメールアドレスを登録すると、何百通ものスパムメールが送られてくる。 「無料iPhone」をエサにしてユーザーのメールアドレスを登録させ、大量のスパムを送りつける詐欺サイトが横行しているという。セキュリティ企業のMcAfeeがブログで注意を促した。 例えばGoogleで「iphone」を検索すると、iPhoneが無料でもらえるなどとうたった広告がスポンサーリンクとして表示される。しかしこうしたサイトにメールアドレスを登録すると、大量のスパムメールが届くようになるという。 McAfeeでは、広告リンクに表示されたサイトのうち、「easyfreecellphones.com」にアドレスを登録したところ週に平均66通ものメールが届き、「giveawaycafe.com」に登録すると511通ものメールが送られてきたと報告。「apple iphone
Apache HTTP Serverに2件の脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Apache HTTP Serverに、2件の脆弱性が発見された。 JVN iPedia - 脆弱性対策情報データベースで、mod_statusモジュールにおけるクロスサイトスクリプティングの脆弱性および、Prefork MPM モジュールにおけるサービス運用妨害(DoS)の2件の脆弱性が公開されている。 1件目のmod_statusモジュールにおいては、ブラウザーの文字コード処理に不備が存在する。影響を受けるシステムとバージョンはApache HTTP Server 2.2.0と2.2.3、2.2.4。 mod_statusモジュールは、デフォルト設定では無効となっている。このため回避策は、mod_statusモジュールを無効のまま運
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
