[PR] 「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果…… - ITmedia Mobile
―― 今回のプログラムでは、「スマホの乗っ取りが可能かどうか」「パーミッション(許可)を取得しているもの以外の情報取得が可能か」「『Moplus SDK』が使用されているか」という3つの項目をチェックしています。これがSimejiに対して持たれている懸念なのでしょうか。 高橋氏 SNSなどに投稿されている代表的な懸念や不安に向き合いたいと思いました。「乗っ取られる」という表現は技術的な概念として正確性を欠いていますが、ユーザーの漠然とした不安を解消できなければ意味がありませんので、あえてそのままの日常的な言葉で依頼をしました。 小西氏 「Simejiが悪さをするのではないか?」という懸念をなくしたい、という思いが強く出ていると感じました。そういえば先日もネット上で話題になっていましたが……。 ―― Baidu IMEとSimejiに関する「はてな」のブログ記事を削除するよう申立てた件ですね
![[PR] 「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果…… - ITmedia Mobile](https://cdn-ak-scissors.b.st-hatena.com/image/square/a8a642d5bc1b4900b1d36862f30c80bc1ba1d7d3/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fmobile%2Farticles%2F1606%2F30%2Fl_sm_01.jpg)
国勢調査の“偽サイト”作った意図は? 総務省から削除依頼……「騒ぎになり深く反省」と制作者
そこで、ITが苦手な友人に、フィッシング詐欺への注意を喚起しようと考え、9月14日未明、国勢調査の公式サイトに似せた偽サイトを作成・公開した。URLはTwitterなどで拡散されて瞬く間に話題となり、国政調査を担当する総務省から削除依頼を受ける事態に発展。想定外の反響を受け三宅さんは、即日、サイトを削除した。「大きな騒ぎとなってしまい、深く反省しております」と、三宅さんは話している。 2時間で制作 「フィッシングサイトは簡単に作れる」と証明しようと 三宅さんが偽サイト作成を思いついたのは、国勢調査のネット回答用パスワードを記載した紙が、第三者が簡単に盗み取れそうな形で、封もされずに無防備にポスティングされているケースがあると、Twitterを通じて知ったことがきっかけ。「国勢調査のネット回答にもずさんな点があるのでは」と疑問に思ったという。
Microsoft、IE 11の脆弱性情報に総額2万8000ドルの賞金贈呈
米Microsoftは「Internet Explorer(IE) 11」の脆弱性に賞金をかけてセキュリティ研究者などから情報提供を募った結果、深刻な脆弱性情報が複数寄せられ、これまでに総額2万8000ドルを超す賞金を支払ったと発表した。 同社はIE 11のプレビュー版などを対象に、脆弱性や新手の攻撃方法を発見した研究者に最大で10万ドルの報奨金を支払う制度を2013年6月からスタート。今回、この制度を通じて情報を寄せた研究者6人の氏名を公表した。 最も多額の賞金を獲得したのは英情報セキュリティ企業Context Securityの研究者で、IE 11プレビュー版の脆弱性情報4件と、IEの設計上の脆弱性1件を報告して計9400ドルを受け取った。 また、日本人と思われる「キヌガワ・マサト」氏は2件の脆弱性を報告して2200ドルを進呈されている。 Googleのセキュリティ研究者2人は500~
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
paperboy&co.のレンタルサーバサービス「ロリポップ!レンタルサーバー」への攻撃でWordPressを利用している一部ユーザーのサイトが改ざんされた問題で、同社は8月30日、原因について同社によるパーミッションの設定に不備があったことを明らかにした。被害を受けたユーザー数は当初の4802件から8428件に修正している。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。同社は「被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます」と謝罪している。 攻撃者は
Google研究者がWindowsの脆弱性情報を公開 Microsoftの対応に不満か
情報を公開したGoogleの研究者は、「Microsoftは脆弱性研究者を非常に敵対的に扱う」と不満を漏らしている 米Googleの研究者がMicrosoftのWindowsに存在する未解決の脆弱性を発見したとして、セキュリティセキュリティメーリングリスト「Full Disclosure」に情報を投稿した。脆弱性研究を専門とするセキュリティ企業のSecuniaもこの脆弱性の存在を確認し、5月21日付でアドバイザリーを公開している。 脆弱性情報は、Googleの研究者、テイビス・オーマンディ氏が5月17日付でFull Disclosureに投稿した。この中で同氏は、「Win32k.sys」に発見したという脆弱性について解説。3月にも同じ情報を公開したが、「自分にはくだらないMicrosoftコードに費やすような自由時間はあまりないので、悪用のための最後の障壁を取り除くためのアイデアを募る」と
2012年下半期は標的型メール攻撃が2.5倍増に――IBM報告書
IBMの報告書によれば、JREの脆弱性を悪用した「ドライブ・バイ・ダウンロード攻撃」の成功率は50%に達するという。 日本IBMは2月12日、「2012年下半期Tokyo SOC情報分析レポート」を発表した。情報の窃取や情報システムの破壊を狙う攻撃には、多層的な対策とログの集積・解析による「セキュリティー・ビッグデータ」の活用が重要と指摘している。 報告書によると、標的型メール攻撃は前年度比で約2.5倍に、2012年上半期比で約1.4倍に増加した。従来のAdobe ReaderやMicrosoft Officeの脆弱性を悪用するものに加え、Adobe Flash Playerの脆弱性を悪用するといった新たな手法を取り入れる傾向がみられるという。また、個人へ同時に複数の攻撃を行うことで、攻撃の成功率を高める狙いがあると考えられる傾向もみられた。 Webサイトを閲覧したユーザーにマルウェアを感
FreeBSDで不正侵入、サードパーティーパッケージに影響も
2012年9月19日から11月11日の間にインストールされたサードパーティーパッケージについては完全性を保証できないとして、インストールをやり直すことを推奨している。 FreeBSDプロジェクトは11月17日、FreeBSD.orgのクラスタを構成するマシンのうち2台が不正侵入を受けていたことが分かったと発表した。 FreeBSDのWebサイトに掲載されたセキュリティ情報によると、レガシーサードパーティーパッケージ開発インフラに使われていた2台のマシンで、11月11日に不正侵入が発覚した。発生は9月19日以降だったとみられる。この2台は直ちにダウンさせ、念のためにほかのインフラマシンも大部分をダウンさせる措置を取ったという。 原因は、問題のマシンに正規のアクセス権を持っていた開発者からSSH鍵が流出したことにあると思われ、FreeBSD内の脆弱性やコードの悪用に起因するものではないとしてい
Adobe Reader Xに未解決の脆弱性、サンドボックスを破られる恐れ
ロシアのセキュリティ企業によれば、Reader Xの未解決の脆弱性情報が高値で裏取引され、悪名高い脆弱性悪用ツールキット「Blackhole」に組み込まれているという。 米Adobe SystemsのAdobe Reader Xに未解決の脆弱性が発見され、悪名高い脆弱性悪用ツールキット「Blackhole」にこの脆弱性を悪用する機能が組み込まれているという。ロシアのセキュリティ企業Group-IBが11月7日に伝えた。 Group-IBによれば、この脆弱性は細工を施したPDFを使って悪用される恐れがあり、Adobe Reader Xから実装されたセキュリティ機能のサンドボックスが迂回され、シェルコードが実行されてしまう可能性もあるという。 この脆弱性に関する情報は、ブラックマーケットで3万~5万ドルという値段で取引されているといい、「現時点では少数の間で出回っているにすぎないが、いずれ悪用
「情報を第三者に利用させることができる」? DeNA、新アプリ「comm」規約について釈明
会員登録時に確認できる利用規約には、「当社は、すべてのcomm会員記述情報を無償で複製その他あらゆる方法により利用し、また、第三者に利用させることができるものとします」と書かれている(第6条3項)。ここでいう「comm会員記述情報」とは「当社の運営するサイト内にcomm会員が記述したすべての情報及びcomm会員間でメール・チャット等によりやりとりされるすべての情報」(第6条)とあり、同社がユーザー間のメールやチャットを何らかの形で利用したり、第三者に利用させるようにも読める。 同社広報部は「規約にそういった意図はない。ユーザー間のメッセージデータをサーバに複製する際など、サービス提供に必要な範囲でのみ、ユーザーが記述したデータを利用する」と釈明。サービスのお知らせ欄にも同日夕、「ユーザー同士のやりとりの内容は暗号化しており、運営者、第三者とも閲覧することはない」「テキスト・画像データの送信
Kasperskyが独自OSを開発へ、産業制御システム用に
Kaspersky Labが独自OSの開発を進めていることを確認し、「Kaspersky Labが世界を救う」と宣言した。 ロシアのKaspersky Labが、原子力発電所や交通網といった基幹インフラの運用を担う独自OSの開発を進めていることが明らかになった。最高経営責任者(CEO)のユージン・カスペルスキー氏が自身のブログで10月16日に発表した。 カスペルスキー氏はブログの中で、原発やエネルギー供給、公共交通機関の制御、金融や通信システムといった基幹インフラに使われている産業制御システム(ICS)が、いかに無防備な現状にあるかを説いている。 さらに、各国でこうしたシステムが実際に攻撃された事例を挙げ、国家が関与したとされる「Stuxnet」「Flame」などのサイバー兵器的マルウェアも出現していると指摘。既存のインフラに組み込んでICSを健全な状態で運用できるセキュアなOSが必要だと
アップデートから取り残されたMacの行く末、Appleの責任を問う声も
Mountain Lionの登場に伴い、「次のSnow Leopardの修正パッチは存在しないと思った方がいい」とIntego。つまり、大量の脆弱性が放置されたままになる恐れがある。 米Appleの最新OS「OS X 10.8 Mountain Lion」が注目を浴びる陰で、Mountain Lionにアップグレードできず、脆弱性が放置されたままになるMacの存在にセキュリティ企業がスポットを当てている。AppleのWebブラウザ「Safari」にも同じ問題が指摘されている。 8月1日のブログでこの問題を指摘したIntegoは、OS Xの脆弱性を修正するAppleのパッチは、現行バージョンと1つ前のバージョン向けにしかリリースされないのがこれまでの恒例だと指摘する。「次にMountain LionとLionの脆弱修正パッチがリリースされる際には、Snow Leopardの修正パッチは存在し
情報窃盗を狙うSQLインジェクション攻撃が急増――クラウド事業者が報告
クラウドホスティングサービス事業者のFireHostによると、2012年4~6月期はSQLインジェクション攻撃が前期比で69%の急増を記録したという。 企業のデータベースなどから情報を盗み出そうとするSQLインジェクション攻撃が急増しているという。クラウドホスティングを手掛けるFireHostがまとめた2012年4~6月期のサイバー攻撃動向報告書で明らかにした。 報告書では、FireHostのホスティングサービスを利用している顧客のWebアプリケーションとデータベースに対する攻撃を食い止めた事例について、攻撃の手口などを分析した。 それによると、4~6月期に発生した攻撃の手口として最も多かったのはディレクトリトラバーサルで、全体の43%を占めた。次いでクロスサイトスクリプティング(XSS)が27%、SQLインジェクションが21%、クロスサイトリクエストフォージェリ(CSRF)が9%の順だっ
Apple、「Safari 6」をリリース 多数の深刻な脆弱性を修正
Safari 6はOS X Mountain LionとOS X Lionのみに対応。脆弱性を悪用された場合、クロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、任意のコードを実行されたりする恐れがある。 米Appleは7月25日、「OS X Mountain Lion」(バージョン10.8)のリリースに合わせてWebブラウザの更新版となる「Safari 6」をOS X向けに公開し、多数の深刻な脆弱性を修正した。 Appleのセキュリティ情報によると、Safari 6では計17項目の脆弱性に対処した。中でもWebKitには相当数のメモリ破損問題が存在する。これら脆弱性を悪用された場合、細工を施したWebサイトを使ってクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、任意のコードを実行されたりする恐れがあるなど、深刻な脆弱性が大部分を占める。 Safari 6はOS X M
OpJapan(オペレーションジャパン)から学ぶサイバー攻撃への備え
(このコンテンツはマカフィー「McAfee Blog」からの転載です。一部を変更しています。) 1.日本が標的に? 突然宣告された攻撃予告 先週6月26日、日本の官公庁関連の一部Webサイトが書き換えられたり、複数のWebサイトが一時閲覧しづらい状態に陥ったりするなどの被害が発生し、日本のメディアでも「Anonymous(アノニマス)が日本にサイバー攻撃か?」と大きく取り上げられました。 これら一連の被害は、Anonymousと呼ばれる集団によって宣言された「#OpJapan(オペレーションジャパン)」と呼ばれる攻撃作戦に端を発したサイバー攻撃によるものです。 Anonymousは6月25日、インターネットを通じて声明文を出しており、その中で日本政府や日本レコード協会への攻撃予告を行っていました。 日本のメディアでは、「国際的ハッカーグループ」といった呼び方で取り上げられているAnonym
Oracle、データベースなどの定例アップデートを予告
Oracleの定例クリティカルパッチアップデート(CPU)は米国時間の7月17日に公開予定。JRockitの極めて深刻な脆弱性にも対処する。 米Oracleはデータベースなどの製品を対象とする定例セキュリティアップデートを米国時間の7月17日に公開すると予告した。 Oracleによると、今回クリティカルパッチアップデート(CPU)では、各種製品に存在する計88件の脆弱性に対処する。製品別の内訳は、Database Serverに関連するものが4件、Fusion Middlewareが22件、PeopleSoft製品が9件、Siebel CRMが7件、Sun Products Suiteが25件、MySQL Serveが6件などとなっている。 中でもFusion MiddlewareのJRockitには、危険度が共通指標のCVSS 2.0ベーススコアで最大値の10.0と、極めて深刻な脆弱性が
Anonymousが日本政府とレコード協会に“宣戦布告” 違法ダウンロード刑事罰化に抗議
米国サイト「4chan」に掲載されていた、書き換えたサイトのスクリーンショットらしき画像。日本政府に対し大規模な攻撃を行うと予告している。なぜか上部には先日問題になったコラ画像(実はスペインのデモ風景)が使われている ハッカー集団「Anonymous」が6月25日、日本政府と日本レコード協会に対し“宣戦布告”ともとれる宣言をサイト上に公開した。違法ダウンロードに対し刑事罰を盛り込む改正著作権法の成立に抗議する内容で、“公式”Twitterアカウントが「始まりだ」とツイートした財務省管轄サイトは現在、ダウンしてアクセスできない。 Anonymousの宣言「#opJapan - Expect US」では、「コンテンツ産業や政治家、政府が海賊版や著作権侵害と戦うために厳格な法律を導入するという誤ったアプローチを導入しており、基本的人権の侵害やイノベーションの阻害につながっている」と主張。「歴史的
連絡不能開発者、公表してもコンタクトが難しい状況に
IPAとJPCERT/CCは脆弱性対応などで連絡がつかない開発者情報を公開。前四半期に公開した8件について、進展がないことから追加情報を公開した。 情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)は6月22日、2012年第2四半期の「連絡不能開発者一覧」を公開した。 連絡不能開発者とは、IPAやJPCERT/CCが脆弱性情報などの届け出を受け付けたソフトウェア製品について、一定期間にわたり連絡を試みても連絡が取れないでいる製品開発者のこと。IPAやJPCERT/CCは2011年9月から四半期ごとに公表しており、公表から約3カ月が経ってもコンタクトできない場合は、製品名やバージョンなどの製品情報を追加公開して、関係者からの連絡を募っている。 2012年第2四半期は、連絡不能開発者が2件増の計111件、製品情報を含んだ連絡不能開発者は8件増の96件にな
違法ダウンロード刑事罰化・著作権法改正案が可決・成立 10月1日施行へ
違法ダウンロードへの刑事罰導入やDVDリッピングを違法とする著作権法改正案が参議院本会議で可決、成立した。 違法ダウンロードに刑事罰を導入する著作権法改正案が6月20日午後、参議院本会議で賛成多数で可決、成立した。ダウンロード刑事罰化などは10月1日に施行される。 改正法では、違法アップロードされたものを違法と知りながらダウンロードする行為に対し、懲役2年以下または200万円以下の罰金が科される。権利者の告訴がないと罪に問えない親告罪とした。 また暗号によるアクセスコントロール技術が施された市販DVDやゲームソフトを、PCのリッピングソフトやマジコンを使って吸い出す行為が私的複製の範囲外として違法行為になった。罰則はない。 写真に絵など著作物が写り込んだ場合に著作権侵害を問われないとするほか、国立国会図書館が絶版資料などを各地の図書館などに公開できるようにする内容も盛り込まれた。 当初、政
Apple、iOS 5のセキュリティ機能解説書を公開
米Appleは、iPhoneやiPadなどの携帯端末に搭載されている「iOS 5」のセキュリティ機能について詳しく解説した説明書を公開した。iOSに組み込まれたセキュリティ機能について企業などに理解を深めてもらい、セキュアなモバイルコンピューティングプラットフォームの構築に役立ててもらうのが狙い。 説明書はシステムアーキテクチャ、暗号化/データ保護、ネットワークセキュリティ、デバイスアクセスの各章で構成され、ユーザー情報を保護するための仕組みや、サンドボックスなどのセキュリティ機能について解説している。 米セキュリティ機関のSANS Internet Storm Centerはこの解説書について、iOSおよびiOSのさまざまな設定に関するリスクについて理解し、どのセキュリティ機能を適用すべきかの判断材料とするために、iOSのセキュリティに携わる担当者にはぜひ一読を勧めるとしている。 これと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Androidマルウェア上位5種の特徴
