情報流出の筆頭原因は「安易なパスワード」――Verizonが報告
米Verizonがまとめた情報侵害事件に関する報告書によれば、安易なパスワードの利用が情報流出を引き起こす筆頭の原因となり、多くの組織では情報が流出したことに気付くまでに数カ月から数年かかっていた。 米Verizonは、情報流出に関する調査結果についてまとめた年次報告書の概略版を発表した。安易なパスワードの利用が情報流出を引き起こす筆頭の原因となり、多くの組織では情報が流出したことに気付くまでに数カ月から数年かかっていることも分かった。 概略版では2011年に発覚した情報流出事件のうち、Verizonが調査に携わった90件について分析している。それによると、情報流出の原因は外部からの攻撃によるものが大半を占め、2004~2007年の統計では80%前後、2011年は92%に増加した。 この理由について報告書では、サイバー攻撃が自動化される傾向が強まり、スケールメリット追求のため多数の企業がま
Secunia、脆弱性検出ツールにパッチの自動適用機能を搭載へ
サードパーティー製品の脆弱性が急増しているにもかかわらず、パッチ適用が難しいため脆弱性が放置されている現状に対応した。 デンマークのセキュリティ企業Secuniaは2月27日、主要ソフトウェアのパッチを自動的に適用できる脆弱性検出ツール「PSI(Personal Software Inspector)3.0」のβ版をリリースした。 同社によると、Microsoft以外のサードパーティー製品の脆弱性の件数は過去数年で急増し、全体の78%を占めるようになっている。それにもかかわらず、更新の仕組みがそれぞれ異なるため、パッチ適用は難しいのが現状。その結果、脆弱性が修正されないまま放置され、攻撃の格好の標的となっているという。 PSI 3.0ではこの問題に対応するため、主要ソフトウェアにパッチを当てる作業を自動化し、ユーザーが個々のプログラムを手動で更新しなくても済むようにした。一般ユーザーにも使
Mac狙いのマルウェア「Flashback」に亜種出現、さらに巧妙な手口で感染広げる
Flashbackの新たな亜種は、Javaの脆弱性悪用とソーシャルエンジニアリングというステップで感染を試みる。 Macに感染するマルウェア「Flashback」の新たな亜種が出現し、多数のユーザーが感染している形跡があるとして、Mac専門のウイルス対策ソフトメーカーIntegoが2月23日のブログで注意を呼び掛けている。 Flashbackは2011年9月に発見された後、高度な機能を付け加えた亜種が次々に出現している。Integoによれば、最新版の「Flashback.G」はさらに手口が巧妙になり、3段階の手段を使って感染を試みるという。 同マルウェアは、まず2種類のJavaの脆弱性の悪用をはかり、この脆弱性が解決されていなければユーザーが何も操作しなくても感染してしまう。一方、これら脆弱性が解決されたJavaの最新版がインストールされている場合は、ソーシャルエンジニアリングの手口を利用
企業へのウイルス侵入経路はUSBメモリなどが最多――IPA報告書
情報処理推進機構による企業のセキュリティ被害調査から、外部記録媒体を通じたウイルスの侵入が多いことや、セキュリティパッチの適用が難しいといった問題が浮き彫りになった。 情報処理推進機構(IPA)は2月24日、2010年度の企業でのセキュリティ関連被害の実態や対策状況を調べた報告書を公表した。全国1万2000社を対象にアンケートを依頼し、回答のあった1642件の動向を取りまとめたもので、今年で22回目となる 報告書によると、コンピュータウイルスに遭遇したとの回答は49.1%を占め、過去最多の2002年から30ポイント近く減少した。発見率は33.7%、感染率は13.5%だった。 ウイルスの感染経路は、従業員数300人以上の企業(480社)の場合で、USBメモリなどの外部記録媒体が63.8%と最も多く、インターネット接続(49.4%)や電子メール(42.9%)も多い結果となった。300人以下の企
米空軍、「iPad 2」の大量購入を中止 理由はロシア製アプリ?
iPad 2を電子運航マニュアル用に購入しようとしていた米空軍が、購入の検討を中止した。調達要件に含めていたアプリ「GoodReader」がロシア製であることが理由のようだ。 米空軍が、検討していた米Appleの「iPad 2」の大量購入を中止した。米連邦政府関連ニュースを提供するメディアNextgovの報道で明らかになった。 米空軍特殊作戦軍団(AFSOC)のiPad 2購入検討については、政府の調達関連情報公開サイト、FedBizOppsの関連ページで明らかになっていたが、この計画は2月16日付で「CANCELED」となっている。理由は明記されていない。 Nextgovは計画がキャンセルされる2日前、AFSOCに対し、調達文書に要件として挙げられているiPadアプリ「GoodReader」がロシア製であることについて質問したという。GoodReaderは、日本でも人気のiOS向け文書リ
モバイルアプリの安全性評価技術、Trend Microが開発
モバイルアプリの安全性や端末に与える影響などを評価できるという。不正アプリの氾濫を抑止する効果などが期待される。 トレンドマイクロは2月23日、同社の米国法人がモバイルアプリケーションの評価技術「Trend Micro Mobile App Reputation」を開発したと発表した。アプリストア事業者などが同技術を利用することで、安全なモバイルアプリをユーザーに提供できることが期待される。 Trend Micro Mobile App Reputationは、AndroidおよびSymbian向けモバイルアプリの挙動を静的・動的に解析。対象アプリが外部サーバへ不正に情報を送信したり、ユーザーに要求している以上の行為(機密情報へのアクセスなど)をしたりするかどうかなどを詳細に評価する。またバッテリやメモリ、CPUなどのシステムリソースの消費状況なども評価できるという。 同社ではアプリストア
セキュリティ研究者、動画を使った「NuCaptcha」破りに成功
米スタンフォード大学の研究者が、動画を使ったスパム防止技術「NuCaptcha」を90%の確率で破れる攻撃方法を確立したと発表。 米スタンフォード大学のセキュリティ研究者が、動画を使ったスパム防止技術「NuCaptcha」を破ることに成功したと発表した。 NuCaptchaは、ゆがんだ文字や数字をアニメーションで表示してコンピュータによる判読を難しくする技術。Webフォームの入力時などに相手が人間かコンピュータかを判別する目的で広く採用されている。 この技術のセキュリティについて検証していたスタンフォード大学のイリー・バースタイン氏は、90%の確率で現行バージョンのNuCaptchaを破ることに成功したとして、自身のブログで概略を公表した。併せて解決方法も提示している。 同ブログによると、NuCaptcha破りは5段階の攻撃アルゴリズムを利用する。まず背景を取り除いてCaptchaを白黒化
ハッカー集団のAnonymous、「インターネットをダウンさせる」と予告
Anonymousは3月31日に「グローバルブラックアウト作戦」を実行すると予告。これに対してセキュリティ企業は、「インターネットのルートDNSサーバに対するDDoS攻撃は不可能」と予想している。 ハッカー集団Anonymousの名で、「3月31日にインターネットをダウンさせる」と予告する声明がインターネットに掲載された。これに対してセキュリティ企業では、攻撃は事実上不可能だと予想している。 Anonymousを名乗る声明では、この攻撃を「グローバルブラックアウト作戦」と命名。「SOPA(米国議会で審議されている海賊行為防止法案)、ウォール街、無責任な指導者そして銀行家に抗議するため」と称し、13あるインターネットのルートDNSサーバを3月31日にダウンさせると宣言した。 これによって「誰もドメイン名の参照ができなくなる。例えば“http://www.google.com”と入力しても、エ
スマートフォンやタブレット端末に潜む脆弱性、危険性と対策は?
急速に普及が進むスマートフォンやタブレット端末には、PCと同様に脆弱性が存在し、ユーザーがセキュリティリスクに晒される危険がある。脆弱性やその悪用にはどのような傾向があり、ユーザーが取り得る対策は何か、専門家に聞く。 ここ数年、スマートフォンやタブレット端末の普及が急速に進み、年間の出荷台数がPCを超えたともいわれる。こうした機器のソフトウェアにはPCと同じようにさまざまな脆弱性が存在し、ユーザーがセキュリティリスクに晒される危険がある。現状ではどのような危険性が存在するのか。脆弱性研究を手掛けるフォティーンフォティ技術研究所 新技術開発室 室長の村上純一氏と、リサーチ・エンジニアの大居司氏に、iOSとAndroid、Windows Phoneを搭載する機器での傾向や対策を尋ねた。 OS別の危険性 iOSを搭載するiPhoneとiPadは、ユーザーに販売される時点で基本的にAppleによる
Googleの賞金付き脆弱性報告制度は「大成功」、Chromium OSにも対象拡大
「賞金制度によって脆弱性研究への参加が広がり、それだけ多くの脆弱性が修正されてユーザーにとっての安全性が高まった」とGoogle。 米Googleは、Webブラウザ「Chrome」などの脆弱性情報に賞金を支払う制度について、導入から2年を経て「あらゆる点で大きな成功を収めた」と振り返るとともに、今後はChromium OSも同制度の対象にすると発表した。 Googleは2010年1月からChromeの脆弱性を発見・報告した研究者などに賞金を進呈する制度を開始し、これまでに支払った賞金の総額は30万ドルを超えた。 同年11月には「google.com」や「youtube.com」などのWebアプリケーションに対象を拡大し、これまでに200人以上が1100件を超す問題を報告。うち730件について総額41万ドル以上の賞金を進呈し、報告者の厚意によって1万9000ドルは慈善事業に寄付したという。
サンドボックス化されたFlash Playerのβ版、Firefox向けに提供開始
セキュリティ対策技術のサンドボックスを実装したFirefox向けプラグイン「Flash Player Protected Mode」のβ版が公開された。 米Adobe Systemsは2月6日、不正なプログラムの動作を防ぐセキュリティ対策技術「サンドボックス」を実装したFlash Playerプラグインのパブリックβを、MozillaのWebブラウザ「Firefox」向けにリリースしたと発表した。 サンドボックスは、プログラムを保護された領域内に隔離して動作を封じ込め、システムが不正に操作されるのを防ぐ技術。Flash Playerのサンドボックス化はGoogleのWebブラウザ「Chrome」で既に実現しており、Adobeでは他社ブラウザにも対応させると表明していた。 サンドボックス化されたプラグインは「Flash Player Protected Mode」の名称でFirefox 4.
ソーシャルサービスPathがユーザーに無断で連絡先データを収集
クローズドなソーシャルサービスとして米国で人気のPathが、iPhone内の連絡先データをユーザーに無断で自社のサーバにアップロードしている――。シンガポール在住のiOS開発者、アルン・サンピー氏が2月8日(現地時間)、自身のブログで独自の調査結果を発表し、Pathもそれを認めた。 Pathは2010年、米Facebook出身のデイブ・モリン氏と米Napsterの共同創業者、ショーン・ファニング氏が立ち上げたソーシャルサービス。上限150人のクローズドなネットワーク内で写真や動画を共有するというもので、iPhoneとAndroidのアプリが公開されている。 サンピー氏がツールを使ってPathのAPIを調べたところ、自分のアドレスブックに登録してある連絡先の氏名、メールアドレス、電話番号などを含むすべてのデータがPathのサーバに送信されていることが分かったという。 Pathのデイブ・モリン
ハッカー集団AnonymousがSymantecを脅迫――ソースコード公開めぐり
Symantecによると、流出した同社製品のソースコード公開を見送る条件として、Anonymousから金銭を要求されたという。 ハッカー集団Anonymousが米Symantecのセキュリティ製品のソースコードを流出させたとされる問題で、Symantecは2月7日、Anonymousから脅しを受け、金銭を要求されていたことを明らかにした。 これに先立ちAnonymousは、Symantecのリモートアクセス管理製品「pcAnywhere」のソースコードをBitTorrentサイトのPirate Bayで公開したと公言。さらに、金銭の要求をめぐってSymantecの担当者とみられる人物とやり取りした内容をネットで暴露している。 Symantecによると、Anonymousのメンバーを名乗る人物から1月に接触があり、流出した同社製品のソースコード公開を見送る条件として、金銭を要求されたという。
制御システムのセキュリティは“10年遅れ” 急がれる対策の今
原子力施設の制御システムの不正操作を狙ったとされる「Stuxnet攻撃」を契機に、社会インフラを支える制御システムのセキュリティ問題が注目されつつある。国内外の現状とはいかに――。 2010年夏、コンピュータウイルスによってイランの原子力施設の乗っ取りを企てたとされる「Stuxnet攻撃」が発生した。この事件は、それまで安全だと考えられてきたエネルギー関連施設やプラント施設の制御システムを脅かす初の本格的な脅威として、世界のコンピュータセキュリティ業界を震撼させる出来事となった。 この制御システムのセキュリティをテーマにしたJPCERT コーディネーションセンター主催の「制御システムカンファレンス 2012」が2月3日、都内で開催された。制御システムを取り巻くセキュリティの問題や対策への取り組みなどの現状について興味深い報告が行われた。 制御システム安全神話の実態 施設内部のネットワークで
IIJ、DDoS攻撃を防御するサービスを刷新――より大規模な攻撃に対応
インターネットイニシアティブ(IIJ)は2月1日、企業のネットワークサービスを妨害する大規模攻撃(DDoS)の対策を行う「IIJ DDoSプロテクションサービス」を3月から提供すると発表した。従来の「IIJ DDoS対策サービス」を刷新し、対応能力の増強などを図った。 サービスは、顧客のネットワークに対する攻撃の検知および防御をIIJが行う。IIJのバックボーン側に設置した防御装置でネットワークを常時監視し、事前に定義されたDDoS攻撃の特性を持つ通信や、平常時の通信状況を逸脱した異常な通信を検知した場合に、アクセス制御や帯域制御を実施。バックボーン側で攻撃を未然に防ぐことで、ユーザーのインターネット回線やネットワーク機器、サーバ機器などに負荷がかかることを防止する。 新サービスは、従来に比べて大規模な攻撃に耐え得る拡張性の高い防御装置に刷新。標準で3Gbpsまでの攻撃に対応できるほか、想
Google、Facebook、Microsoftらがフィッシング対策で協力 DMARC.orgを立ち上げ
Google、Facebook、Microsoftらがフィッシング対策で協力 DMARC.orgを立ち上げ Google、Facebook、Microsoftほか15社が、スパムやフィッシングの脅威撲滅を目的としたワーキンググループ「DMARC.org」を発表した。 Google、Facebok、Microsoftをはじめとする15社の米国企業は1月30日(現地時間)、スパムやフィッシングの脅威撲滅を目的としたワーキンググループ「DMARC.org」を発表した。DMARCはDomain-based Message Authentication, Reporting and Conformance(ドメインベースの認証・レポーティング・適合)の略だ。 DMARC.orgは過去18カ月間、悪質なメールの脅威に対処するための標準開発に従事してきたという。同グループが目指すのは、メールの送受信を安
Windows Mediaの脆弱性を突くマルウェアが出現
Microsoftが1月にリリースしたWindows Mediaの更新プログラムをまだ適用していないユーザーは、適用を急ぐようセキュリティ企業が呼び掛けている。 Windows Mediaの既知の脆弱性を突いたマルウェアが出現したとして、セキュリティ企業各社が注意を促している。 Trend Microの1月26日のブログによると、悪用されているのは米Microsoftが1月の月例セキュリティアップデート「MS12-004」で対処したWindows Mediaの脆弱性。細工を施したMIDIファイルを使って悪用された場合、リモートで任意のコードを実行される恐れがあるとされていた。 Trend Microは、あるWebサイトでホスティングされていた悪質なHTMLに、この脆弱性を突いたMIDIファイルとJavaScriptが仕込まれているのを見つけたと伝えている。悪質なコードが実行されている間はメ
ビデオ会議システムのセキュリティ問題に研究者が警鐘――産業スパイに利用される恐れも
侵入者が外部からビデオ会議システムのカメラを操作して、パスワードを盗み見したり、社内の会話を傍受できたりする恐れがあるという。 企業などが導入しているビデオ会議システムの多くはセキュリティ対策に不備があり、設定の甘さを突かれれば、外部から不正アクセスされて重要情報が流出する恐れもあるという。セキュリティ研究者がブログで調査結果を紹介し、対策を促した。 この問題は、脆弱性検証ツール「Metasploit」の創設者であるHD・ムーア氏がセキュリティ企業Rapid7のブログで指摘した。ビデオ会議システムの多くがファイアウォールを経由せずにインターネットに接続され、外からかかってきたビデオ電話に自動的に応答する設定になっていることが分かったとしている。 ムーア氏の調査では、ビデオ会議システムで一般的なH.323プロトコルを利用しているシステム25万台について調べた。その結果、約5000台が外から入
電話番号がWebサイトに筒抜け――英O2が問題修正
英O2の携帯電話やスマートフォンでWebサイトを閲覧したユーザーの電話番号が、訪問先のサイトに開示されていたことが分かった。 英携帯電話会社のO2は、同社の携帯電話やスマートフォンでWebサイトを閲覧したユーザーの電話番号が訪問先サイトに開示されていたことが分かったとして、その経緯を明らかにした。問題は1月25日に修正したとしている。 O2の携帯電話ではもともと、特定のWebサイトを閲覧すると、ユーザーの電話番号がそのWeb サイトに開示される仕組みになっていた。この相手は「特定の信頼できるパートナーのみ」だと同社は説明している。 ところが1月10日~25日にかけて、信頼できるパートナー以外のWebサイトにも、携帯電話番号が通知されていたことが判明した。定期的なメンテナンスの一環として技術的な変更を行った結果、手違いによりWebサイトに電話番号が通知されるようになってしまったという。これは
アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕
不正な動作をするプログラムを作成して知人を陥れようとしたとして、大阪府警は1月26日、不正指令電磁的記録作成(ウイルス作成)容疑で、同府松原市内の無職の男(28)を大阪地検に送検した。昨年7月の改正刑法の施行以来、ウイルス作成罪の適用は全国初という。 発表によると、男は昨年9月、男が運営しているWebサイトに自動的に書き込みをするように偽装する不正プログラムを作成した疑いがもたれている。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
