「Winnyのセキュリティ・ホールは危険」,発見者が警告
米eEye Digital Security(以下,eEye)は現地時間4月21日,ファイル共有ソフト「Winny(ウィニー)」に見つかったセキュリティ・ホールの概要を公表した。同社によると,細工が施されたデータを送信されるだけで悪質なプログラム(ウイルスやボットなど)を実行される恐れがある,危険なセキュリティ・ホールであるという。 Winnyにバッファ・オーバーフローのセキュリティ・ホールが見つかったことは,JVN(Japan Vendor Status Notes)や情報処理推進機構(IPA)から4月21日に発表されている(関連記事)。だたしJVNの情報では,「Winnyが異常終了する可能性がある」としているものの,任意のプログラムが実行される危険性については明記していない(4月22日8時現在)。IPAでも「一般的に,バッファ・オーバーフローの脆弱性は,任意の命令を実行される可能性があ
ぜい弱性情報の売買が増加--シマンテックの脅威レポート
シマンテックは3月15日、2005年7月1日から12月31日までのインターネット上における脅威データの動向をまとめた「インターネットセキュリティ脅威レポート Vol.9」に関する説明会を開催した。その中で、同社コンサルティングサービス部 ディレクターの山内正氏は、「2002年ごろから、ぜい弱性情報を売買するブラックマーケットが形成されつつある」と述べた。 ぜい弱性情報の売買とは、ぜい弱性を見つけた者が、情報をすぐにオープンにせず、第三者やベンダーなどに売るといった行為だ。どのような方法で取り引きが行われているのか詳細はわからないとしながらも、「このような売買が確実に増えている」と山内氏は言う。 同社の調査によると、今回の調査期間中に売買されたぜい弱性情報は54種で、前回の調査時の68種より減少したものの、「取引金額などの市場規模は確実に大きくなっている」としている。 こうした市場取引が行わ
iPodで情報漏洩--「ポッドスラーピング」の脅威に警鐘
米国のあるセキュリティ専門家が、業務上非常に重要なデータを数分でiPodに格納できるアプリケーションを考案したが、この人物が企業各社に対して、データ盗難の脅威に対策を講じるよう呼びかけている。 セキュリティ業界で10年のキャリアを持つAbe Usherがつくり出したこのアプリケーションは、iPodの上で動作し、企業ネットワークを検索して非常に重要なデータが含まれる可能性の高いファイルを探し出せるという。このアプリケーションを使えば、2分間に約100Mバイトというスピードで、ファイルをスキャンし、それをiPodにダウンロードすることが可能だ。 この「ポッドスラーピング("pod slurping")」という手口で、だれかがデータを盗んでいても、一見したところでは自分の席に座ってiPodで音楽を聴いているようにしか見えない。キーボードを使う必要もなく、動作中のマシンのUSBポートに接続するだけ
Javaのセキュリティ・ホールを突くWebサイトが出現,悪質なプログラムを実行される
米US-CERTは現地時間1月12日,米Sun MicrosystemsのJava実行環境「Java Runtime Environment(JRE)」のセキュリティ・ホールを悪用するWebサイトが確認されたとして注意を呼びかけた。それらのサイトへアクセスすると,悪質なプログラムを勝手に実行される恐れがある。US-CERTでは,「セキュリティ・ホールを修正したバージョンにアップグレードする」「ブラウザのJava機能を無効にする」といった対策を施すよう強く勧めている。 今回悪用されているセキュリティ・ホールは,11月末に明らかにされたもの(関連記事)。JREの「Reflection API」に関するセキュリティ・ホールである。悪用されると,Javaのセキュリティ機構(サンドボックス)を回避される。具体的には,細工を施したWebサイトにアクセスするだけで,パソコン中のファイルを読み書きされたり
WindowsでWi-Fi接続関連の脆弱性が発覚
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ハッカーがWi-Fi接続を自動的に検索するWindowsの機能を悪用するおそれがあると、セキュリティ研究者が警告した。 同機能は、Windows XP/2000に搭載されている。米国時間14日に開催されたハッカーやセキュリティ関係者のカンファレンス「ShmooCon 2006」において、脆弱性研究者Mark Lovelessが同機能の脆弱性を明らかにした。 Lovelessによれば、ハッカーは、同機能を利用してユーザーPCをPtoPネットワークに組み入れ、ハードディスク上の情報にアクセスできるようになるという。 Windows XP/2000が稼働するPCは、起動後自動的に無線ネットワークへの接続を試みる。無線接続を確立できない場合は、
Ajaxに潜むセキュリティとパフォーマンスリスク
Webを動的でリッチなものへと変化させるAjax。その魅力の裏に実は、セキュリティ問題が潜んでいるという。その指摘とは? Webサービスとサービス指向アーキテクチャを対象としたセキュリティソフトウェアのプロバイダーであるForum Systemsは1月30日、Ajaxに関連したセキュリティ上の脅威とパフォーマンス問題について警告を発した。 Ajax(Asynchronous JavaScript and XML)は、応答性に優れたインタラクティブなWebサービスを可能にする。しかしForumによると、リクエストとレスポンスのペイロードのコンテンツタイプとしてXMLを使用しているため、アプリケーションがWebサービスの脆弱性に影響される恐れがあるという。 ユタ州サンディに本社を置くForum Systemsによると、Ajaxはネットワーク上で送信されるXMLトラフィック量を飛躍的に増加させ、
スラッシュドット ジャパン | ブラウザの危険日
shesee曰く、"暗号技術の専門家であり、多くの暗号に関する著書もあるブルース・シュナイアーが2006年1月15日付けのCrypto-Gram News letter(日本語訳)で言及したところによれば、ベルギーのセキュリティー関係の企業scanitが2005年8月に発表したbrowser security testのレポートにおいて、2004年の一年間、Microsoft社のInternet Explorerが、既知のセキュリティー上の欠陥を持たなかった期間(すなわちパッチをすべて当てた状態において、なおかつ未修正の既知の欠陥を持たなかった期間)はわずか2%であり、98%の期間は攻撃される可能性があった。(付け加えれば、54%の期間は、実際に攻撃可能なコードが存在した)対してMozillaは同様の期間が15%、Operaが17%に限られたことが報告されている。 これは、scanitが提
IE 7ベータ版に多数のバグ--ユーザーからの報告続出
Internet Explorer 7(IE 7)の最新プレビュー版が公開された直後から、同ブラウザのバグを見つけたという報告が相次いでいる。 MicrosoftがIE 7のテスト版バージョンを公開してからわずか1日しか経過していないが、インターネットのニュースグループやブログには、同ブラウザのバグに関する報告が続々と出始めている。また、あるセキュリティ研究者は、同ブラウザにセキュリティの脆弱性が見つかったと主張している。 複数の報告があるのは、McAfee製セキュリティソフトウェアとの互換性の問題や、不特定のスパイウェア/ウイルス対策ツールに起因する同ブラウザのインストール問題など。また、特定の機能を利用したり、特定のウェブサイトをブラウズしたところ、IE 7がハングもしくはクラッシュしたとの報告もある。 Microsoftは米国時間1月31日に、IE 7ベータ2のプレビューバージョンを
教訓はなぜ生かされなかったのか:ITpro
ワコールは2月8日から,約3カ月にわたって閉鎖していたECサイトを再開する。ワコールオンラインショップで不正アクセスによる個人情報漏えい事件が発生したのは2005年11月。5124件の情報の中にはクレジットカード番号が含まれた情報もあり,カード番号を不正使用された顧客の問い合わせにより発覚した。 不正アクセスに使用されたのは,SQL文を外部から送り込む「SQLインジェクション」と呼ばれる手口だ。このSQLインジェクションは,2005年5月に発生したカカクコムやOZmallなどへの不正アクセス事件でも利用されたとされる。 特にカカクコムの事件は全国紙でも報道されるなど,大きな話題になった。にもかかわらず,ワコールの事件は発生した。教訓は生かされなかったのだろうか。 実はワコールの担当者は,システムを開発したNECネクサソリューションズに対し,2005年7月末に問い合わせを行っていたという。「
「Windows Meta File」に脆弱性--画像表示で攻撃を受ける可能性
セキュリティ専門家らは米国時間3日、Microsoftの「Windows Meta File(WMF)」で先週発見された脆弱性が、すでに多数の攻撃を引き起こしていると警告した。 専門家によると、攻撃の形態は多岐にわたっており、「MSN Messenger」ワームや、悪質なウェブサイトへユーザーを誘導しようとするスパムなどがあるという。 この脆弱性は、SP(Service Pack)1および2を適用した「Windows XP」や「Windows Server 2003」で悪用が容易になっていると、専門家は述べている。F-Secureの最高研究責任者(CRO)Mikko Hypponenによると、「Windows 2000」や「Windows ME」などの古いバージョンのオペレーティングシステム(OS)では、影響が及ぶおそれがあるものの、脆弱性の悪用は比較的難しいという。 「状況は現在でもよく
Windowsの脆弱性をめぐって異例の事態に--専門家が非公式パッチを推奨
セキュリティ専門家らが企業に対し、WindowsのMeta File(WMF)に存在する脆弱性対策として、非公式のパッチを利用するように呼びかけている。 Microsoftからはこの問題を修正する正式なパッチがまだ出ていないことから、ウイルス対策ベンダーのF-Secureと、セキュリティ関連のボランティア組織であるInternet Storm Centerはそれぞれ、企業に対して非公式なパッチを利用するように米国時間3日に促した。 WMFの欠陥が悪用されると、悪質なスパムやMSN Messengerを通じて感染するワームなど、さまざまな攻撃を受けることになる。だが、Microsoftは自前のパッチを10日まで出す予定がないにもかかわらず、サードパーティー製のパッチは使用しないようにとしている。 セキュリティ専門家の話では、WMFの脆弱性は、Windows XP Service Pack 1
MS、月例パッチでWMF脆弱性に対応へ--専門家は進展の遅さに懸念を表明
Windowsの深刻な脆弱性を悪用した攻撃が増加している。しかし、Microsoftは、来週まで修正パッチをリリースする計画はないと述べている。 セキュリティ専門家らは、これに対し、来週のパッチリリースでは遅いと述べている。問題の脆弱性は、同社製オペレーティングシステムにおけるWindows Meta File(WMF)イメージのレンダリング処理に存在するもので、これが悪用されると、ユーザーPCは悪質な画像を含んだウェブページを開いただけでマルウェアに感染してしまう。個人や企業のユーザーは同脆弱性が修正されるまで、深刻なリスクに直面することになると、専門家らは述べる。 セキュリティベンダーComputer Associates Internationalでバイスプレジデントを務めるSam Curryは「ハッカーの間で、この脆弱性は広く知られるようになってきている。また、この脆弱性は簡単に悪
セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは
複数のウイルススキャンソフトウェアに存在する脆弱性が悪用されると、悪質なファイルがソフトウェアの侵入検知機能をすり抜けてしまう恐れがあると、セキュリティ専門家が警告を発した。だが、セキュリティ対策ソフトウェア業界の一部は、これは脆弱性ではないと反論している。 セキュリティ研究家のAndrey Bayoraが公開した勧告によると、特定のデータが追加されたファイルは、悪質な実行ファイルであっても、ウイルススキャンソフトウェアのチェックをすり抜けることができるという。問題の原因は、スキャンソフトウェアのエンジンが、余分なデータを含むファイルを脅威として検出できないことにある。Bayoraは、この余分なデータを「マジックバイト(Magic Byte)」と呼んでいる。 イスラエルでセキュリティコンサルタントとして活動するBayoraによれば、Trend Micro、McAfee、Computer A
【レポート】オープンソースウェイ2005 - 政府・自治体が行う脆弱性告知の問題点とは (1) ライセンス情報の正確な提示を求める - 産業技術総合研究所 高木氏 (MYCOM PC WEB)
オープンソースソフトウェアの社会的な存在意義や今後のあるべき姿、開発者に求められるものなどについて講演やパネルディスカッションなどを行うイベントとしてOSDN(Open Source Development Network)が毎年開催している「オープンソースウェイ」が、今年も開催された。従来は年末に開催されるInternetweekの1イベントとして開催されてきたが、今回から単独イベントとして独立し規模も拡大しての開催となった。 その中から本稿では初日に行われた産業技術総合研究所の高木浩光氏の講演、2日目に行われたマイクロソフトの楠正憲氏の講演の模様を取り上げる。 政府・自治体が配布するソフトウェアのライセンス表示に不適切なものが…… 初日の午後に登場した高木氏は、いわゆる電子政府実現の中でも重要な役割を持つ電子申請システムを取り上げ、その中で必要となるソフトウェアの提供について政府や自
【レポート】Black Hat Japan 2005 - Unicode制御文字によるDirectory Traversal攻撃 (1) 文字コードでフォレンジックに関係しそうな領域はそれほど広くないはずだが…… - 伊原氏 (MYCOM PC WEB)
BlackHat Japan Briefings(以下BlackHat)では、セキュリティ関連の様々な話題に関するセッションが開かれたが、中には「よくもまあこんな方法を考えた」というようなものも数多い。本稿ではそんなセッションの中からいくつかをピックアップしてご紹介する。 見えない文字の混入によるフォレンジック回避策 最初にご紹介するのは、ネットエージェントの伊原秀明氏による「国内のフォレンジック」。一般に英語圏では文字コードというとほとんどASCIIコードのみを意識していればいいのに対し、日本語ではJIS(ISO-2022-JP)やEUC-JP、シフトJISなど多様な文字コードを意識しなければならない上、最近ではUnicodeに対応したソフトもかなり増えてきており、それを利用してフォレンジックを回避するような方法も開発されてきているという。そこで伊原氏はそれらのフォレンジック回避手法と、
「Windowsドライバの脆弱性を突く攻撃に注意せよ」、米ISSの専門家が警告
「Windowsのセキュリティで今後警戒すべきなのは、ドライバの脆弱性をついた攻撃だ」。米インターネット・セキュリティ・システムズ(ISS)のインターネット上の脆弱性研究機関「X-ForceR」のエンジニアであるデビッド・メイナー氏(写真)はこのように話す。 メイナー氏は、疑似アタックなどで脆弱性をあらかじめ発見することで、セキュリティ技術の進歩に貢献している「ホワイトハッカー」の一人。10月に米マイクロソフトが社内向けに行ったセキュリティに関するミーティング「ブルーハット」にも参加し、今後のWindowsに対する攻撃について講演した。 同氏は、「これから警戒すべきWindowsに対する攻撃方法は主に三つある」と話す。(1)Windowsのデバイス・ドライバの脆弱性を突く、(2)スマートフォンやPDAなどのモバイル端末を攻撃する、(3)USBキーを使い、直接メモリーに展開されたデータを盗む
セキュリティの大御所が集まり、代替暗号法を話し合う - SourceForge.JP Magazine
今週、ワシントンDCで開かれた暗号ハッシュワークショップでは、暗号分野の巨人たちが一堂に会し、崩壊寸前のハッシュアルゴリズムをどうすべきか話し合った。オンラインバンキングとデジタル署名システムを保護するアルゴリズムの安全性がいまや崩壊しつつある。なのに、この問題にどう対処したらよいか、いまだ誰も明快な答えを打ち出せずにいる。 ワークショップは、中国山東大学の王小云(Wang Xiaoyun)博士の発表から始まった。王博士の研究チームがMD5ハッシュアルゴリズムにコリジョンを発見し、それをきっかけとしてさまざまなクラッキング法が続々と登場してきたのは周知のことである。ハッシュアルゴリズムの本格的セキュリティ実装など、いまやお笑い種になったと言ってよい。今年前半、王チームがSHA1の弱点を発見し、それによって保護レベルが2^80から2^63に低下したと発表したとき、暗号界は上を下への大騒動にな
ソニーBMG、「rootkit」CDのリコール発表--別のセキュリティ問題も発覚 - CNET Japan
ソニーBMG(以下、ソニー)は米国時間15日、数百万枚のCDをリコールすることを明らかにした。これらのCDをPCで再生すると、そのコンピュータに深刻なセキュリティリスクが生じる可能性がある。 ソニーによると、Van ZantやNeil Diamondの最新アルバムをはじめとする18以上のタイトルについて、同社は販売済みCDの交換に応じるという。同社はまた、CD交換プログラムの詳細を「まもなく」公表することも明らかにした。 ソニーが明らかにしたところによると、同社は「XCP」と呼ばれるコピー防止技術を組み込んだCDを過去8カ月間に470万枚以上出荷しており、そのうちの210万枚以上が販売済みだという。 同社は「XCPコンテンツ保護ソフトウェアが組み込まれたCDに対する消費者のみなさまのご心配は十分理解しています。消費者のみなさまには、対策として交換プログラムをご用意し、同ソフトウェアが組み込
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.keiyu.com/toku/ddns.htm
スラッシュドット ジャパン | PHP4.4.0以前と5.0.5以前に重大なセキュリティホール