パスワードの“使いまわし”は危険,一度漏れると被害が拡大
英Sophosは現地時間9月11日,複数のWebサイト(サービス)に同じログイン・パスワードを設定しないよう注意を呼びかけた。どこか1カ所からパスワードが漏れると,ほかのWebサイトにも不正にアクセスされる恐れがあるためだ。 同社では,米Linden Labが運営するオンライン・ゲーム「Second Life」で発生した不正アクセスを例に説明する。Linden Labは現地時間9月8日,Second Lifeのデータベースが不正アクセスされたことを公表した。このデータベースには,ゲーム会員65万人の住所および氏名,暗号化されたパスワードおよび支払い情報(クレジットカード番号など)が収められていたという。 詳細は明らかにされていないものの,不正アクセスは,いわゆる“ゼロデイ攻撃(未知のセキュリティ・ホールを悪用する攻撃)”だったという。不正アクセスによってどの程度のユーザー情報が漏れたのかは
「Winnyには“中毒性”がある。使用を前提にした対策提案こそ必要」と、ネットエージェント社長:ITpro
官公庁や大手企業の間で、ファイル共有ソフト「Winny(ウィニー)」を狙ったウイルスによる情報漏洩が後を絶たない。最近になって、Winny対策ソリューションがセキュリティ各社から相次いで発売されているが、ネットエージェント(東京都墨田区、杉浦隆幸社長)は既に2004年2月からWinnyの暗号を解読してWinny通信を検知・遮断する機能を搭載した「One Point Wall」を販売。昨年12月からは、Winnyのネットワーク上に流出した情報を調査するサービスも提供している。Winny対策ソリューションなどについて、ネットエージェントの杉浦社長(写真)に話を聞いた。 ■Winnyによる情報漏洩がここまで社会問題化した原因として、3つ挙げられる。1つ目はWinnyを使う情報共有の基盤が存在すること、2つ目はウイルス対策ベンダーの対応前に新種ウイルスが発生して感染者数が増加していること、3つ目は
【CRYPTO-GRAM日本語版】解読されたSHA-1:ITpro
SHA-1が解読されてしまった。ラウンド数を減らしたバージョンやアルゴリズムを単純化させた簡易バージョンではない。“本物”のSHA-1が解読されたのだ。 大きな話題にはなっていないものの,Xiaoyun Wang氏,Yiqun Lisa Yin氏,Hongbo Yu氏による(中国の山東大学出身者が中心の)研究チームが,同チームの成果を記した論文を配布している。その内容は以下の通り。 ・完全版のSHA-1において,2の69乗回の演算で衝突を発生させる手法が明らかとなった。これは,ブルート・フォース攻撃(総当たり攻撃)で必要な2の80乗回の演算と比較すると,相当少ない ・(同チームの手法を使えば)SHA-0では,2の39乗回の演算で衝突が発生する ・(同チームの手法を使えば)ラウンド数58回のSHA-1では,2の33乗回の演算で衝突が発生する 今回発表された攻撃方法は,以前発表されたSHA-0
Mac OS開発者に聞くアップルのセキュリティ問題 - CNET Japan
Apple Computerはセキュリティに関する口の堅さでは定評がある。しかし最近では、同社の伝統である沈黙が破られるつつある。 Apple(本社:カリフォルニア州クパチーノ)は米国時間3月13日、過去2週間で2度目となるMac OS Xのセキュリティアップデートをリリースした。Appleは通常、同社のウェブサイトに簡潔なセキュリティ勧告を掲載するだけで、ユーザは使用しているコンピュータがアップデートをチェックした時点でその存在を知ることになる。なお、コンピュータによるアップデートのチェックは、Mac OS Xのデフォルトインストールでは毎週自動的に行われるようになっている。 しかし今回はMac OSの主要アーキテクトの1人であるBud Tribble氏がCNET News.comのインタビューに応じ、Mac OSのセキュリティと同社のセキュリティアップデートに関するプロセスについて語っ
「UTM」を知る――なぜ統合セキュリティ対策が必須なのか
このように、さまざまな脅威に対抗するために、ファイアウォールに加え、不正侵入検知/防御(IDS/IPS)、アンチウイルス、アンチスパム、Webコンテンツ(URL)フィルタリングといった各セキュリティ機能に特化したアプライアンス製品が数年前から登場している。 さまざまな脅威にさらされる企業ネットを守るために これまでは、企業がこうした各セキュリティ機能に特化したアプライアンスを個別に組み合わせて導入するケースが大半だった。しかし、専用アプライアンスを導入すると、セキュリティ対策に掛かるトータルコストが増えてしまう。同時に、導入時の設定や導入後の運用・管理も複雑になるという問題があった。 とりわけ、専任のセキュリティ担当者を社内に置けない中堅・中小企業にとって、管理面での負担の増大は深刻だ。もちろん大企業においても、分散する拠点やオフィスのセキュリティ強化のため、従来のようにセキュリティアプラ
RSAセキュリティ、詐欺犯が欲しがる情報を与えてフィッシングを防止へ
RSA SecurityのCyota部門は、オンライン詐欺犯たちが欲しがる情報(多数のユーザ名、パスワード、オンラインバンキングの資格情報、クレジットカード番号など)を与えることでフィッシング詐欺攻撃を防ごうとしている。 フィッシング詐欺の仕組みは、サイバー犯罪者が本物ウェブサイト(通常は金融機関のサイト)に見せかけた偽のサイトを設定し、その企業や団体の顧客をだまして偽サイトに誘導し、顧客のログイン情報や他の個人情報を入力させるのである。 RSAのコンシューマーソリューション担当シニアバイスプレジデント兼Cyotaの共同設立者であるNaftali Bennett氏によると、Cyotaが銀行の顧客を守るために使用する技術の1つはフィッシング詐欺犯らにとって都合の悪いもので、詐欺目的のウェブサイトに多数の偽情報を供給し、本物の情報の特定を困難にするというものだ。Cyoteは、2005年RSAに
BizMarketing Winny等利用者の3割が“Winny等を利用するPCで仕事も”、急がれる情報漏洩リスクへの喚起
This domain may be for sale!
ハッカーと理解を深め合うマイクロソフトの思惑
ワシントン州レッドモンド発--先ごろ、シアトル郊外にあるMicrosoft本社のExecutive Briefing Centerは、数百人のMicrosoftエンジニアが交わす雑談でざわめいていた。 だが、会議が始まってまもなく、会場は静まり返ってしまった。ハッカーが1台のWindowsラップトップを悪質な無線ネットワークにおびき寄せることに成功したのだ。 「みんな唖然として、声も出なかった」と、Microsofotのセキュリティ部門でプログラムマネージャを務めるStephn Toulouseは言う。「みんなの息の音さえ聞こえなかった」(Toulouse) このデモンストレーションは、2日間にわたって開催された異例のイベントの一部として行われたものだが、Windows帝国の心臓部に招き入れられた部外者には、Microsoftのシステムの弱点を攻撃するという差し迫った目的があった。Micr
「Winny商法」にご用心
筆者のもとには毎日,電子メールで数十通のプレスリリースが送られてくる。その中で最近よく目にするのが,「Winnyの起動を禁止するツール」や「USBストレージへのデータの書き込みを制限するツール」のリリースである。こういったツールの登場を見るたびに,筆者は複雑な気持ちになってしまう。 筆者は,こういったツールが「実際には機能しない」とか「役に立たない」というつもりはない。試してはいないが,これらはきっと確実に動作するだろう。では,なぜ筆者が複雑な気持ちになってしまうのかというと,そもそも「特定のアプリケーションの実行禁止」や「USBストレージへの書き込み禁止」は,Windowsが標準で備えている機能だからである。 例えば,Windows XP Professionalで特定のアプリケーションの実行を禁止したいのであれば,以下のような手順を実行すればよい。[コントロールパネル]の[管理ツール]
WindowsとLinuxを標的にする概念実証コードが出現
WindowsマシンとLinuxマシンの両方を標的とする悪意のあるソフトが新たに出現した。 ロシアのウイルス対策企業Kaspersky LabにWindowsとLinuxの両OSに影響を与える概念実証コードが寄せられ、同社はこれを「Bi.a」と命名した。Kasperskyのブログにある4月7日付けの投稿によると、Bi.aは「アセンブラ」と呼ばれる低水準言語で書かれたウイルスで、カレントディレクトリ内のファイルのみに感染するという。一方で、同ウイルスは、LinuxのELFフォーマットとWindowsのPEフォーマットの両ファイルへの感染力を持つと、同社は言う。 Kasperskyによると、同ウイルスは、複数のプラットフォームに感染するウイルスの開発が可能であることを示すために書かれた典型的な概念実証コードだという。「とはいえ、概念実証コードが一度公開されるとすぐに、ウイルス開発者がそのコード
うっかりだまされてしまう8つの質問
ソーシャルエンジニアリングが使われた事例を分析すると、幾つかのパターンが存在していることが分かる。プロの詐欺師は、状況に応じて複数のパターンを組み合わせている。情報を盗まれないためには、個別の攻撃パターンを理解することが役に立つ。 これは、フィッシング詐欺で使われる最も簡単なメールの一文だ。この文を読んで「こんな言葉にだまされない」と思ったのではないだろうか。だが、この一文にはソーシャルエンジニアリングで使われるパターンを見つけることができる。ここには、金融機関からの電子メールを思わせる「ネームドロップ」、期間を限定する「ハリーアップ」といった手法が使われている。プロの詐欺師はこのようなパターンを複数組み合わることで、相手の信頼を獲得し、必要な情報を引き出すのである。 それではソーシャルエンジニアリングで用いられる攻撃パターンを分類し、特徴を説明しよう。 きっかけを探し出す「トラッシング(
進化するrootkit、「オープンソース環境」を整えるハッカー--マカフィー調べ - CNET Japan
セキュリティベンダーMcAfeeが、ハッカーが悪質なソフトウェアを隠すために利用するrootkitが増加し、ますます複雑化していると指摘している。 第1四半期にMcAfeeのAvert Labsが確認したところ、rootkitの数は前年同期比700%増だったと、同社は米国時間4月17日に語っている。同社の「ステルステクニック」調査は、ソニーBMGの著作権侵害対策ツールのような商用プログラムや、不要なアドウェアにバンドルされた偽装技術にも言及している。 McAfeeが17日にリリースしたレポート(PDFファイル)によると、このようなテクニックを使ってコンピュータ上での活動を隠す方法は1986年ごろから存在していたが、その数が急増し、一気に複雑化してきたのはここ3年のことだという。Avert Labsでは、第1四半期だけで827種類以上のステルステクニックを発見している。これに対し、2005年
「Winnyのセキュリティ・ホールは危険」,発見者が警告
米eEye Digital Security(以下,eEye)は現地時間4月21日,ファイル共有ソフト「Winny(ウィニー)」に見つかったセキュリティ・ホールの概要を公表した。同社によると,細工が施されたデータを送信されるだけで悪質なプログラム(ウイルスやボットなど)を実行される恐れがある,危険なセキュリティ・ホールであるという。 Winnyにバッファ・オーバーフローのセキュリティ・ホールが見つかったことは,JVN(Japan Vendor Status Notes)や情報処理推進機構(IPA)から4月21日に発表されている(関連記事)。だたしJVNの情報では,「Winnyが異常終了する可能性がある」としているものの,任意のプログラムが実行される危険性については明記していない(4月22日8時現在)。IPAでも「一般的に,バッファ・オーバーフローの脆弱性は,任意の命令を実行される可能性があ
「InfoCard」で挽回なるか--マイクロソフトのID管理戦略
Microsoftが間違ったID管理の方法について学びたいというのであれば、自らの過去を振り返るだけでいい。 「Passportは、企業と顧客の間にMicrosoftが不要に介在するという、まさに間違ったアプローチだった」とKim Cameron氏は言う。ID管理技術の専門家である同氏は、Microsoftの新しいID管理メカニズムである「InfoCard」の開発責任者を務めている。 Bill Gatesは、インターネット上での認証に、ユーザ名とパスワードを使う時代に終止符を打つ技術の1つとして、InfoCardを売り込んでいる。 しかし、InfoCardが既存のID管理方式に取って代わるには、InfoCardを採用するウェブサイトを増やし、銀行やクレジットカード会社から支持をとりつけ、そして何よりユーザに受けれてもらう必要がある。KimはCNET News.comのインタビューに応じ、I
「情報は漏れるもの」,ベンチャー企業が“新発想”のシステムを発売:ITpro
「i-DSS」の画面例 選択した部分以外はすべて文字化けしている。これにより,スクリーン・ショットや盗撮による情報漏えいを防げる。 ベンチャー企業のアイ・ダム・ネットワークが,「情報は漏れるもの」という前提に立った新発想の情報漏えいシステムを開発したことが明らかになった。システムの名は「i-Dam Secure System」(i-DSS)。2006年4月ころからイーディコントライブが販売を始める。価格は個別見積もり。 i-DSSは,データベースの不正アクセスやファイルの持ち出し,スクリーン・ショットの流出,ディジタル・カメラによる画面の盗撮などさまざまなレベルの情報漏えいに対処するシステム。1文字ごとにデータ暗号化を施すとともに,選択部分以外は復号しないことで,これらの問題に対処する。 i-DSSのシステムは,データを暗号化したまま格納したデータベースと「Internet Explore
児童小銃 .456 - 『ネットランナー』にはまちちゃんインタビュー
4月号 p164 に「こっそりやってもつまんない!「はまちや」氏はセキュリティ専門家 2.0?」と題して*1はまちちゃん(id:Hamachiya2)へのインタビューが載っています。 脆弱性を攻撃する動機は啓蒙活動というわけではなく「ただ面白いからやっているだけ」とする一方、こんなことも。 それにもし啓蒙活動だとしても、システム管理者にこっそり連絡して、こっそり直してもらうのは、あまり意味がないと思うんですよ。それって初心者ユーザーには肝腎の所は隠しておくってことだから。どうして隠す意味があるのか、よく分からないな。だって隠したままじゃ、初心者は何も知らないままで問題のあるソフトやサービスを使い続けることになるわけじゃない。あとになってからアナウンスするなんて、すべてを「対岸の火事」にしたがってるみたい。 とはいえ、手加減はしてるんだとも。 あ、これがもし「他人の銀行口座にこっそり侵入して
KDDI研、携帯向け高速暗号アルゴリズム「K2」を共同開発
KDDI研究所と九州大学大学院システム情報科学研究院は3月14日、携帯電話上で安定動作する高速暗号アルゴリズム「K2」(ケーツー)を共同開発したと発表した。50Mbpsを超える暗号化/複合化の処理が可能で、100Kバイトの画像70枚を約1秒で復号できる。「AESと比較しても、7~10倍の速さを実現したのが特徴。安全性も、第3者の専門機関に評価してもらった結果AESと同レベルだった」(KDDI研究所) 携帯電話がオープンプラットフォーム化したほか、携帯データがPCプラットフォームでも扱われるようになっており、コンテンツ保護の仕組みが重要と判断した。「携帯コンテンツの“露出度”は高まっている。携帯なら(コンテンツを配信しても)安全……という時代は過ぎ去った」(KDDI研究所) K2は、ソフトウェアのみで比較的安価に実装が可能。このためさまざまなBREWアプリに適用できる。ワンセグのようなマルチ
高木浩光@自宅の日記 - 「不正指令電磁的記録に関する罪」に「作成罪」はいらないのではないか
■ 「不正指令電磁的記録に関する罪」に「作成罪」はいらないのではないか 先週勤務先で日経新聞のインタビューを受けたものが、昨日掲載されていた。 【インタビュー】法制的な対応も必要――産総研の高木浩光主任研究員, NIKKEI NET IT+PLUS, 2006年3月13日 最後の部分で、刑法改正案の「不正指令電磁的記録等作成等の罪」について触れているが、プログラムの作成という行為自体を罪とすることに、ソフトウェア技術者として、どうしても違和感を覚える。これについては一昨年にも書いた。 サイバー犯罪条約関連刑事法改正のセミナーに行ってきた, 2004年5月15日の日記 今読み直してみると、ほとんどの論点は一昨年の時点で既に書いていた。しかし最近では、別のいくつかの論拠から、作成罪は不必要であり、削除したほうがよいと思うようになった。(「人の電子計算機における実行の用に供する行為」(供用罪)だ
Winnyウイルス対策サイトを設置、Telecom-ISACとISPが連携して対処
Telecom-ISAC Japanは3月15日、複数のISPの協力を得て、P2P型ファイル共有ソフト「Winny」経由で感染するウイルスへの対策を促すWebサイトを公開した。 Telecom-ISAC Japanは3月15日、複数のISPの協力を得て、P2P型ファイル共有ソフト「Winny」経由で感染するウイルスへの対策を促すWebサイトを公開した。 感染するとWinnyネットワーク上に情報を流出させるほか、コンピュータソフトウェア著作権協会(ACCS)のWebサイトに攻撃を仕掛けるウイルス「Antinny」の被害が頻繁に報じられている。Telecom-ISAC Japanが設けた対策サイトは、このAntinnyの挙動や特徴について説明するとともに、駆除手順、再感染防止策などを解説するものだ。 Telecom-ISAC Japanでは2月より、ニフティやインターネットイニシアティブ(II
ぜい弱性情報の売買が増加--シマンテックの脅威レポート
シマンテックは3月15日、2005年7月1日から12月31日までのインターネット上における脅威データの動向をまとめた「インターネットセキュリティ脅威レポート Vol.9」に関する説明会を開催した。その中で、同社コンサルティングサービス部 ディレクターの山内正氏は、「2002年ごろから、ぜい弱性情報を売買するブラックマーケットが形成されつつある」と述べた。 ぜい弱性情報の売買とは、ぜい弱性を見つけた者が、情報をすぐにオープンにせず、第三者やベンダーなどに売るといった行為だ。どのような方法で取り引きが行われているのか詳細はわからないとしながらも、「このような売買が確実に増えている」と山内氏は言う。 同社の調査によると、今回の調査期間中に売買されたぜい弱性情報は54種で、前回の調査時の68種より減少したものの、「取引金額などの市場規模は確実に大きくなっている」としている。 こうした市場取引が行わ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
