ITセキュリティの基本はやはり脆弱性対策――HP担当者
米HPが2011年のセキュリティリスク報告書を発表した。「脆弱性対策が肝心」と話す同社のセキュリティ製品担当者にセキュリティの動向や対策ポイントを聞く。 米Hewlett-Packard(HP)は、このほど2011年のITセキュリティ動向を分析した報告書「2011 Cyber Security Risks Report」を発刊した。報告書から読み取れるセキュリティの動向や対策ポイントについてセキュリティ製品を担当するディレクターのナラヤン・マカラム氏、シニアプロダクトラインマネジャー、オリオン・スイダム氏に聞いた。 まず全体傾向についてスイダム氏は、「新たな脆弱性の発見は2006年以降減少傾向にあるが、脅威が減っているわけではない。一方でWebアプリケーションの脆弱性や攻撃が増えている」と説明する。 報告書から同氏は以下の点を特徴として挙げる。 新に発見された脆弱性は2010年より20%減
NASAサイトに対する攻撃から得るべき教訓とは?
米航空宇宙局(NASA)のWebサイトに中間者攻撃が仕掛けられる事件が発生。米セキュリティ機関は、「適切なSSL証明書の使用に関する教訓とすべきだ」と解説する。 イランのハッカーを名乗る集団が、米航空宇宙局(NASA)のWebサイトに中間者攻撃を仕掛けて侵入することに成功したと公言しているという。米セキュリティ機関のSANS Internet Storm Centerが5月31日のブログで伝えた。 SANSによると、この集団はスキャンツールを使ってNASA傘下のWebサイトでSSLの設定ミスを探し、無効な証明書が使われているWebサイトを発見。同サイトを通じて中間者攻撃を仕掛け、ユーザーネームとパスワードを入手したという。 今回の事件から内部の目立たないWebサイトであっても、「自己署名証明書や期限切れの証明書を使うべきではない。これを教訓にすべきだ」とSANSは指摘。重要性の低いWewb
Stuxnet級の高度なマルウェア出現、サイバー兵器に使用か
国家の施設を標的とする極めて高度なマルウェア「Flame」が見つかった。Kaspersky Labでは、DuquやStuxnetと同じ「スーパーサイバー兵器」の部類に属すると分析している。 ロシアのセキュリティ企業Kaspersky Labは5月28日、StuxnetやDuquと同じ部類に属する極めて高度なマルウェアが、国家の施設を攻撃するためのサイバー兵器として出回っているのを見つけたと発表した。イランのセキュリティ対策機関も同日、ほぼ同じ内容の発表を行っている。 このマルウェアは「Flame」と呼ばれ、国際電気通信連合(ITU)とKasperskyが別の破壊的なマルウェアを調べている過程で見つかったという。主にサイバースパイの機能を持ち、コンピュータ画面のスクリーンショット、標的とするシステムについての情報、保存されたファイル、連絡先情報、音声録音記録などの情報を盗み出してマルウェア制
個人情報を収集する不審なAndroidアプリ、今度は外部サイトで出現
情報処理推進機構(IPA)は5月23日、携帯端末に保存されている個人情報などを外部に送信する不審なAndroidアプリが新たに見つかったとして注意を呼び掛けた。Googleの公式ストア以外の場所で配布されていたという。 IPAによると、このアプリは「占いアプリオーラの湖」という名称で、アプリ紹介サイトやブログなどで広く紹介されていた。インストールして起動すると、端末の情報やアドレス帳のデータを読み取り、ランダムに抽出・表示して、その日に連絡しあう人を推奨する。だがバックグラウンドでこれらの情報のログファイルが作成され、事前に設定された外部サイトにそのデータを送信するという。 4月にも同様の特徴を持ったAndroidアプリが公式ストアで大量に見つかり、現時点で警察が捜査を進める事態に発展している。IPAには5月中旬ごろから今回見つかったアプリに関する被害相談が寄せられたという。 今回見つかっ
NortonなのにAOLを表示、ユーザーを狙う同時多発詐欺か?
セキュリティソフトの認証画面と称するリンクをクリックしたら、なぜかAOLの認証画面が表示されたという。 Symantecのセキュリティソフト「Norton」をかたるメールのリンクをクリックしたら、なぜかAOLのログイン画面が表示――英セキュリティ企業Sophosの研究者が、そんな一風変わったフィッシング詐欺の手口を5月22日のブログで報告した。 それによると、差出人がNorton/Symantecというメールが研究者に送信され、本文には「最新版のセキュリティソフトを利用するためにメールアドレスを入力してほしい」と書かれていたという。だがメールのリンクをクリックしてみると、NortonのWebサイトではAOLのログイン画面が表示されたという。 不審に思った研究者が調べたところ、このWebサイトではHTTPSの暗号化通信が行われておらず、ディレクトリの別のフォルダにNorton/Symante
Twitter、主要ブラウザでの「Do Not Track」サポートを発表
米Twitterは5月17日(現地時間)、「Do Not Track(DNT)」機能をサポートすることを公式Twitterで発表した。同社のヘルプページには、MozillaのFirefox 5、米MicrosoftのInternet Explorer(IE)9、米AppleのSafari 5.1、米GoogleのGoogle Chrome 17でDNT機能を有効にする方法が紹介されている。 DNTは、米連邦取引委員会(FTC)が2010年に提案したプライバシー保護の取り組みで、広告サイトなどがユーザーに最適化した広告を表示するためにユーザーの情報をトラッキングすることを拒否できるようにするというものだ。Web履歴を追跡する企業が自社のドメイン名やサーバをDNTのリストに登録し、ユーザーはWebブラウザの設定でWeb履歴の追跡をブロックできる。 Google、Yahoo!、Microsoft
Adobe、Photoshopなど3製品の脆弱性対応めぐって方針転換――アップデートを公開へ
Illustrator、Photoshop、Flash Professionalの3製品の脆弱性は当初、有料のアップグレードのみが唯一の解決策とされ、ユーザーやセキュリティ関係者などから批判が続出していた。 米Adobe SystemsはIllustrator、Photoshop、Flash Professionalの3製品の脆弱性について告知したセキュリティ情報を5月11日付けで改訂した。当初は有料のアップグレードのみが唯一の解決策とされていたが、この方針を転換し、現行バージョン向けのパッチ公開による対処を表明している。 脆弱性はWindowsとMac版のIllustrator CS5.5、Photoshop CS5、Flash Professional CS5.5.1(11.5.1.349)までのバージョンにそれぞれ存在する。悪用された場合、システムを制御される恐れがあり、危険度は最も
“特効薬”なき標的型攻撃に立ち向かう、進化したセキュリティ技術が多数登場
“特効薬”なき標的型攻撃に立ち向かう、進化したセキュリティ技術が多数登場:情報セキュリティEXPOレポート(1/2 ページ) 東京ビッグサイトで開催中の「情報セキュリティEXPO」。2011年に企業や組織を狙うサイバー攻撃事件が多発したことから、今回は出展各社が“進化”を図った最新の対策技術を披露する。ユニークな新製品も交えてレポートする。 IT展示会「2012 Japan IT Week 春」が5月9日、東京ビッグサイトを会場に開幕し、11日まで行われる。同イベントの1つとなる「情報セキュリティEXPO」では2011年に多発した国内の企業や組織を狙う「標的型攻撃」事件を背景に、出展各社が最新の対策技術を披露している。 標的型攻撃への対策は、“特効薬”がないといわれる。攻撃者は狙いを定めた情報などを持つ組織にだましのテクニックや、未知・既知の脆弱性を悪用する幾多の不正プログラムを使った組織
OSSのバージョンアップ情報を無償提供――野村総研
野村総合研究所は5月9日、約50種類のオープンソースソフトウェア(OSS)のバージョンアップ情報を配信するサービスを始めた。脆弱性対策や新機能導入などの情報をITエンジニアに提供する。 提供対象となるのは、LinuxやFreeBSD、MySQL、PostgreSQL、Apache、RubyなどOS、アプリケーション、データベース、ミドルウェア、ネットワーク関連のOSS。近年は企業でのOSS活用が進むが、OSSはバージョンアップなどが頻繁に行われることから、情報収集などの手間があった。 野村総研はOSSの更新情報をWebサイト(http://openstandia.jp/oss_info/)、RSS(http://openstandia.jp/oss_info/atom.xml)、Facebookページ(http://www.facebook.com/ossinfo)Twitter(http
AppleがOS Xのセキュリティアップデートを公開、平文保存問題に対処
「OS X Lion v10.7.4」と、Mac OS X 10.6.8向けの「セキュリティアップデート2012-002」では、計26項目の脆弱性に対処した。 米Appleは5月9日、OS X LionとMac OS X v10.6.8向けのセキュリティアップデートを公開した。FileVaultを使用している場合に一部のユーザー情報が暗号化されない状態で保存されてしまう問題を修正したほか、QuickTimeなどに存在する多数の脆弱性に対処している。 同社のセキュリティ情報によると、「OS X Lion v10.7.4」と、Mac OS X 10.6.8向けの「セキュリティアップデート2012-002」では、計26項目の脆弱性に対処した。 このうちOS X Lion 10.7.3までのバージョンに存在するFileVaultの問題は、カーネルの修正で対処している。この問題では外部の研究者が、2
Microsoftがセキュリティ情報を公開、マルウェア「Duqu」関連の脆弱性にも対処
7件のセキュリティ情報のうち「緊急」レベルは3件、「重要」レベルは4件。中でも2件についてMicrosoftは最優先で適用を勧告している。 米Microsoftは5月8日、予告通りに7件のセキュリティ情報を公開し、WindowsやOfficeなどに存在する計23件の脆弱性に対処した。このうち深刻度が4段階で最も高い「緊急」レベルは3件を占め、残る4件は上から2番目に高い「重要」レベルとなる。 緊急レベルの3件のうち、Microsoftが最優先で適用を勧告しているのは、Office、Windows、.NET Framework、Silverlightという幅広い製品をカバーするセキュリティ更新プログラムの「MS12-034」と、Wordの脆弱性に対処した「MS12-029」の2件。 「MS12-034」の更新プログラムは、過去に悪名高いマルウェア「Duqu」に悪用されたWindowsカーネル
NEC、AWS対応のWAFとクラスタリングのソフトをリリース
「InfoCage SiteShell」と「CLUSTERPRO」をアマゾン ウェブ サービスで利用できるようにした。 NECは5月8日、Webアプリケーションファイアウォール(WAF)ソフトウェア「InfoCage SiteShell」と、クラスタリングソフトウェア「CLUSTERPRO」のアマゾン ウェブ サービス(AWS)対応版の提供を開始した。 両製品はAWSのクラウド環境で使用するためのもの。InfoCage SiteShellではAWS上に構築したWebサーバなどに対する外部からのサイバー攻撃を遮断する。サーバの稼働状況に応じて台数や能力を増強するスケールアウトに対応し、ライセンスは使用分だけを購入する形となる。攻撃を検知するための情報はNECから随時提供される。 CLUSTERPROではAWS上にある仮想サーバなどのシステムの安定稼働を支援する。AWSのリージョン(データセン
Google、Chromeの脆弱性テストシステム「ClusterFuzz」を紹介
米Googleは4月26日(現地時間)、Google Chromeのセキュリティ強化を目的とする脆弱性テストシステム「ClusterFuzz」について説明した。 ソフトウェア開発では一般に、バグや脆弱性を検証するために不良データ(fuzz)を入力して問題発生を調査するテスト手法をファジングと呼ぶ。Chromeのチームは、Chromeのファジング用にClusterFuzzと名付けたインフラを使っているという。 ClusterFuzzは、同時に約6000のChromeインスタンスを稼働させる数百の仮想マシンで成り立っており、1日当たり5000万件程度のテストケースを実施している。 Googleは昨年末にClusterFuzzを完全に導入し、累計95の脆弱性を検出した。そのうち44の脆弱性については安定版リリース前にフィックスしたとしている。 GoogleはClusterFuzzの規模を、向こう
Microsoft、7件の月例セキュリティ情報公開を予告
米Microsoftは5月の月例セキュリティ情報7件を5月8日(日本時間9日)に公開し、WindowsやOfficeなどに存在する計23件の脆弱性に対処する。4日の事前通知で明らかにした。 7件のセキュリティ情報のうち、Microsoftの4段階評価で深刻度が最も高い「緊急」レベルは3件となる。Office、Windows、.NET Framework、Silverlightの各ソフトウェアに存在する深刻な脆弱性に対処する予定。いずれも悪用された場合、リモートでコードを実行される恐れがある。Windowsの脆弱性はサポート対象の全バージョンが深刻な影響を受ける。 残る4件の深刻度は上から2番目に高い「重要」レベル。OfficeおよびWindowsに存在するリモートコード実行や特権昇格の脆弱性に対処を予定している。
Oracle DBに未解決の脆弱性、研究者が手違いで詳細情報を公開
米Oracleが4月17日に公開した定例クリティカルパッチアップデート(CPU)をめぐり、データベースの脆弱性情報を提供した研究者とOracleとの間で情報の行き違いが発生、実際には脆弱性が修正されていないにもかかわらず、修正されたと思い込んだ研究者が詳しい情報や攻撃方法などを公開してしまう事態が起きた。 米セキュリティ機関のSANS Internet Storm Centerなどによると、問題の脆弱性はOracle Database Serverの「TNS Listener」というコンポーネントに存在するもので、この研究者が2008年にOracleに報告していた。 研究者は、Oracleが17日に公開したCPUの中に情報提供者として自分の名があったことなどから、この脆弱性が解決されたと考え、翌18日にセキュリティメーリングリストのFull Disclosureに寄せた投稿で詳しい情報を公
WindowsとMacを見分けるマルウェア攻撃が発生
OSの違いを識別してそれぞれのOSに合わせたマルウェアを呼び込み、コンピュータの情報を外部サーバに送信するという。 シマンテックは4月24日、マルウェアを使ってWindowsとMacを同時に狙うことができるサイバー攻撃が発生していると伝えた。OSの違いを識別してそれぞれのOSに合わせたマルウェアを送り込み、コンピュータの情報を盗み出すという。 同社によると、今回の攻撃ではまずJavaアプレットの脆弱性を悪用するマルウェアが送り込まれる。このマルウェアは感染先のコンピュータのOSがWindowsかどうかを確認し、Windowsの場合はWindows標準の実行可能形式のダウンローダーを、Windowsではない場合はPythonで記述されたダウンローダーを呼び込むという。Pythonが実行可能な場合はMacと認識しているもようで、Linuxなどその他のOSでは影響を受けないとしている。ダウンロー
政府になりすますサイバー攻撃対策でNISCとAdobeが連携
日本政府発行の電子証明書をAdobe Reader/Acrobatで自動的に確認できる機能を提供する。 内閣官房情報セキュリティセンター(NISC)とアドビシステムズは4月25日、サイバー攻撃への対策で連携すると発表した。政府になりすましたPDFを悪用してマルウェア感染などを狙う攻撃に対処する。 連携の一環として、アドビは日本政府の認証基盤(GPKI)を使って発行された電子証明書を、Adobe Reader/Acrobatで自動的に確認する機能を提供。この機能は4月21日から提供され、適用済みのユーザーは既に利用可能となっている。Reader/Acrobatが、政府機関が提携する機能と連携するは世界初という。 NISCではGPKIによる電子証明書を使って政府発行のPDF文書が正しいものであることを証明する取り組みを進めており、既に1月19日からWebサイトに掲載するPDFファイルの一部に電
Google、脆弱性情報に支払う賞金を大幅アップ 攻撃側に対抗か
コード実行を許す恐れのある脆弱性情報の提供者に払う賞金は2万ドルとなり、これまでの3133ドルから大幅にアップした。 米Googleは4月23日、賞金付きで脆弱性情報を募る制度の規定を改訂し、賞金の額を大幅に引き上げたと発表した。 同制度は、Googleのサービスや傘下の製品に関する脆弱性情報の提供を募り、深刻度に応じて賞金を贈呈するもの。これまでに780件を超す脆弱性情報が寄せられ、約200人に総額約46万ドルの賞金を贈呈したという。 Googleはこれについて「セキュリティ研究者とのコラボレーションは期待した以上の成果が上がった」と評価し、これを記念して賞金を大幅に引き上げると発表。コード実行を許す恐れのある脆弱性情報の提供者に払う賞金は2万ドルとなり、これまでの3133ドルから大幅にアップした。 また、SQLインジェクション攻撃や情報流出などを誘発し得る深刻な脆弱性情報に払う賞金は1
「go.jp」の送信ドメイン認証導入率は97%に、なりすましメール攻撃に対処
政府機関になりすました不正メールによる攻撃への対策として、政府は受信者が送信元を確認できる送信ドメイン認証の導入を推進している。 内閣官房情報セキュリティセンター(NISC)は4月19日、政府機関が使用するドメイン「go.jp」で送信ドメイン認証技術「Sender Policy Framework(SPF)」の導入率が約97%に達したと発表した。受信側のメールサーバでSPFを確認することにより、政府機関からの送信メールが正規のものであるかを確認できる。 政府機関におけるSPFの導入は、政府機関を詐称してマルウェアなどを添付した不正なメールを企業や行政機関などに送りつけるサイバー攻撃に対処するための施策。昨年3月の東日本大震災や東京電力福島第一原子力発電所の事故に便乗し、政府関係者になりすました不審なメールが出回り、事態も起きている。受信者は送信元が政府関係者と信頼して不審なメールを開封して
ホテルのPOS端末から宿泊客情報を盗むツールが登場、特定業界を攻撃か?
アンダーグラウンドで販売されている攻撃ツールでは、トロイの木馬に加えて、ホテルのフロントデスクを電話でだます手口まで指南しているという。 ホテルのPOS端末に不正アクセスして宿泊客のクレジットカード情報を盗み出せるとうたった攻撃ツールがアンダーグラウンドのフォーラムでセット販売されているという。セキュリティ企業のTrusteerが4月18日のブログで伝えた。 同社によると、このツールではホテルのフロントデスクのコンピュータにトロイの木馬を仕込んでリモートからのアクセスを確立。POSアプリケーションのスクリーンショットを取る方法で宿泊客のクレジットカードなどの情報を盗み出すという。 販売価格は280ドルで、ウイルス対策ソフトには検出されないという保証付き。トロイの木馬の設定方法をイラストで解説した説明書が付いているほか、VoIPソフト経由で電話をかけてフロントデスクの担当者をだまし、トロイの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
