“他人の携帯を無断で見たことがある”男性は2割、女性は3割──MMD研究所調べ
MMD研究所は5月31日、「携帯セキュリティに関する実態調査」の結果を発表した。調査は5月18日から21日まで、stratationが運営する無料ホームページ作成サービス「00HPメイカー」、アクアカンパニーが運営する「幻創文庫」など計11社、モバイル11サイトなどの協力を受けて実施した。有効回答数は4072人。 同調査によれば、全体の約6割が暗証番号を購入時の状態から変更していることが分かった。セキュリティ機能を利用している回答者の方が、暗証番号の変更する割合が高い傾向にあるほか、40代以上では暗証番号を変更している割合が少なかった。 セキュリティ機能については、女性より男性の方が利用する割合が高く、年代別では10代が61.8%で最も多かった。以下、30代前半が52.0%、30代後半が50.7%と続いている。セキュリティ機能を利用している回答者が保護する情報は、「メール受信内容」が46.
ITmedia Biz.ID:3分LifeHacking:バッグのショルダーベルトで盗難を防止する
以前、携帯して持ち運びができる盗難防止用のワイヤーを紹介した(3月26日の記事参照)。巻き取り式で手のひらサイズとどんな製品にも利用のできる汎用性の高い製品ではあったが、わざわざワイヤーを持ち運ぶのは大げさに感じる人もいるはずだ。 そうした方におすすめの製品が、サンワサプライから発売されているセキュリティショルダーベルト「SL-47BAG」だ。この製品は、両端のベルトの取付部がそれぞれダイヤル錠になっているセキュリティ対応のショルダーベルトだ。バッグから取り外すには3ケタの暗証番号を合わせる必要がある。 バッグを置いてしばらく離れる場合、いったんこのショルダーベルトの一端をバッグから外し、机の支柱やドアノブなど、固定できる場所に通して再度ロックする。誰かがバッグを持ち逃げしようとしても、ショルダーベルトを外せない限り、盗難は不可能――というわけだ。車にバッグを置いて離れる場合も、ショルダー
iPhoneは格好の攻撃ターゲットに?
間もなく米国で発売されるAppleのiPhoneは、攻撃者にとって格好のターゲットになるかもしれないと、Symantecが6月25日、ブログで指摘した。 Symantecによると、AppleのOSやマシンはWindowsに比べてシェアが少ないため、これまでほとんど攻撃の対象にはならなかった(関連記事)。攻撃側にとっては10%のコンピュータでしか実行できないトロイの木馬を作成するよりも、90%で実行できるものを作成した方が実入りがいいため、この傾向はつじつまが合う。 一方、携帯端末に対する攻撃も、SymbianやWindows Mobileを標的としたコンセプト実証型のトロイの木馬、ワーム、ウイルスなどはいくつか出現しているものの、やはりユーザーベースが少ないことからそれほど頻発はしていない。 しかし、この2つのプラットフォームを統合したiPhoneは、マルウェア作者にとって格好のターゲット
スマートフォン導入で生じる新たなセキュリティ問題
「Gartner Wireless and Mobile Summit 2007」に参加したアナリストたちは、モバイル・ワイヤレスセキュリティに取り組んでいる企業にとって恐ろしい予測を明らかにした。Gartnerのアナリスト、ジョン・ジラード氏によると、3分の2以上の企業が、モバイルユーザーが非セキュアなサービスに不適切に接続したり、悪質なアプリケーションをダウンロードしたりすることが原因でセキュリティ問題を経験する見込みだという。一方、同じくGartnerのアナリストであるジョン・ペスカトール氏は、2007年にはモバイルマルウェアが一般化し、2009年の前半までには、こういったマルウェアにより実際の業務に支障を来すようになると予測する。だが幸いなことに、これらの攻撃が利用すると思われる脆弱性の多くは特定・対処が可能だ。 身近なモバイルデバイスがターゲットに モバイルデバイス(スマートフォ
持ち出しPCのセキュリティはSaaSにおまかせ
サイバネットシステムは米FiberlinkのモバイルPC向け検疫サービスを開始した。月額900円で利用できる。 サイバネットシステムはこのほど、米Fiberlink Communicationsが提供するエンドポイントセキュリティサービス「Fiberlink」を開始した。持ち出しPCなどでの社外アクセスを安全に行うためのセキュリティをSaaSで提供する。 Fiberklinkは、米Goldman Sachs Capital PartnersやGE Capitalなどが出資し、国際ローミングサービスやセキュリティサービスを提供する。モバイルPCなど社外でも利用されるクライアント向けのエンドポイントセキュリティサービスは2004年から開始され、現在ではトヨタやGE、Vodafone、Bloombergなど世界で約800社、120万ユーザーが利用しているという。 このサービスは、「Extend
「ハリー・ポッター」ネタバレ問題、攻撃者が語る流出の手口
「ハリー・ポッター」完結編を盗んだと称する人物は、出版社から本の内容を盗み出したと主張、その手口を公開している。 7月に発売予定の「ハリー・ポッター」完結編の結末と称する内容がWebに書き込まれた問題で、これを投稿した人物は、出版社から本の内容を盗み出したと主張、その手口を公開している。 ネタバレ投稿は、「Gabriel」と名乗る人物がFull Disclosureのメーリングリストに書き込んだ。ファンの最大の関心事である「登場人物の誰がどうやって死ぬのか」を暴露し、「この入手データのおかげで、近々発売される最新刊は読んでも無駄だし、さぞや退屈なものとなるだろう」とコメントしている。 Gabrielは、この情報をハリー・ポッターシリーズの出版社であるBloomsbury Publishingから盗んだと称している。利用したのは、「milw0rm」にあったエクスプロイトコードをダウンロードさ
DoS、盗聴、スパムにボット……PCと変わらぬVoIPの脅威
DoS、盗聴、スパムにボット……PCと変わらぬVoIPの脅威:Interop Tokyo 2007 6月14日に行われたInterop Tokyo 2007のカンファレンス「VoIPセキュリティ」では、IP電話を取り巻くさまざまな脅威とそれらに対する対策が紹介された。 「VoIPはまだ成長途中の技術。100%完璧な対策はないけれど、対策できない問題もない」――6月14日に行われたInterop Tokyo 2007のカンファレンス「VoIPセキュリティ」の中で、NTT情報流通プラットフォーム研究所のエリック・Y・チェン氏はこのように述べた。 エリック氏はカンファレンスの中で、VoIP/IP電話を取り巻くさまざまな脅威と対策について解説した。IPという技術をベースにしている以上、VoIPにもPCをはじめとするほかのIP端末と同種の脅威が存在する。さらにSIP特有の問題もいくつか指摘されており
Googleはマルウェアが分かっていない
最近、Webベースのマルウェアに関するGoogleの研究論文を読んで胸が高鳴った。この論文を見ると、Googleがこの問題に関して興味深いスタンスを取っていることが分かる。だがわたしには、同社の研究がそれほど役に立つ情報を付加しているようには見えない。 もちろん、同社は好むと好まざるとにかかわらず、この問題に巻き込まれる可能性が高いため、対応を急ぐ必要がある。最近ある研究者が実証したように、Google Adwordsを悪用してマルウェアを広めるのは簡単だ。専門的な手法ではない。最近の別のAdwordsを悪用した攻撃は、米商事改善協会(BBB)の名声を利用しようとした。この攻撃のデモビデオはここで公開されている。 Googleは既にインターネット上のあらゆるものをスキャンしている。マルウェアを探さない理由はない。マルウェア対策コミュニティーでは以前から、マルウェアの直接配信がSMTPストリ
当たり前になりつつある「IP電話」をさらにセキュアに、さらに便利に
当たり前になりつつある「IP電話」をさらにセキュアに、さらに便利に:Interop Tokyo 2007 IP電話という言葉には、もはや目新しさが感じられなくなった。ぎゃうくに言えばそれだけ、当たり前の選択肢として普及してきたということだろう。Interop Tokyo 2007の展示会場で関連技術を拾ってみた。 古くなったPBXの入れ替えやネットワークインフラの更新を機に、国内の企業でもVoIPの導入が進みつつある。コストメリットやアプリケーションとの連携といったメリットが評価される一方で、信頼性・安定性やセキュリティなど、懸念材料も多い。 NECはInterop Tokyo 2007の展示会場で、VoIPの世界におけるスパム「SPIT(SPAM over IP Telephony)」を検出し、ユーザー保護とサービスの継続を支援する「VoIP SEAL」を紹介した。 スパムメールが不要な
YouTubeビデオかと思ったら……正体は新手のマルウェア
YouTubeの動画であるかのように見せかけてユーザーをだまし、マルウェアをダウンロードさせる新手の手口が見つかったとして、セキュリティ企業のWebsenseがアラートを公開した。 Websenseによると、このファイルは、ダウンロードすると動画形式のアイコンを表示する。ユーザーをだまして実行させるためだ。ファイル名は「YouTube04567.exe」となっており、旧ソビエト連邦のドメインである「.su」のサーバでホスティングされている。 ファイルを開くとデフォルトのブラウザが開かれ、「After World Episode 6」というYouTube上の動画に接続される。だが、これは見た目だけ。バックグラウンドでは米国でホスティングされている別のサーバに接続し、さらに2つの悪質ファイルをダウンロードする。これらの悪質ファイルは、ユーザーの銀行口座情報やログオン情報などを盗むトロイの木馬で
多発するVoIP攻撃――VoIP導入には慎重な検討が必要
多くの企業ではVoIPシステムの導入を急いでおり、これによって従来型の電話サービスを置き換えようとしている。2~3年間にわたる慎重な検討を経て完成度の高いVoIPシステムを配備した企業もあるが、多くの企業はVoIPのセキュリティ問題を注意深く検討することなく、VoIPの導入を進めている。 VoIPの導入が急速に進んでいるのには十分な理由がある。VoIPはコスト削減につながり、従来のインフラよりも柔軟なシステム構築が可能であるからだ。金銭的なことで言えば、VoIPプロジェクトのROI(投資利益率)は非常に高いという調査結果もある。これは、ほとんどの企業でVoIPを既に配備済みであるか、早急にVoIPを配備する可能性があることを意味する。このため、情報セキュリティ担当者は、VoIPがセキュアな形で配備されるよう注意する必要がある。 VoIP攻撃の手法は幾つか存在する。中でも特に懸念すべきなのが
ワンタイムパスワードを生成する電子ペーパーカードを公開、トッパンフォームズ
トッパン・フォームズは4月25日、東京都内で開催中のRSA Conference Japn 2007で電子ペーパー技術を活用したワンタイムパスワード生成カードを公開した。携帯性や経済性に優れた認証システムを実現できるという。 公開されたワンタイムパスワード・カードは、クレジットカードサイズのコンパクトな大きさ。本体前面のボタンを押すと、認証操作で一時的に使用するワンタイムパスワードが生成され、6桁のワンタイムパスワードがディスプレイに表示される。このディスプレイには、低消費電力で長時間表示ができる電子ペーパーが採用されている。 通常使用するパスワードとワンタイムパスワードを組み合わせることで、安全に認証操作を行うことができる。ワンタイムパスワードは1回限りの使用で、他人が使用済みのパスワードを入手して、本人になりすましての不正利用を防ぐことができる。 従来、ワンタイムパスワードを利用できる
Wiiのネット機能悪用の動き、Opera旧版の脆弱性に起因
McAfeeによると、Wiiショッピングチャンネルで当初提供されていたインターネットチャンネルには、脆弱性のあるOperaが使われていた。 任天堂のゲーム機「Wii」に脆弱性のあるブラウザが使われ、問題を悪用しようとする動きがあったとセキュリティ企業のMcAfeeが伝えた。ただし悪質コードの実行など深刻な事態には至らず、重大な危険があるわけではないという。 この問題は、数カ月前に発見されたOperaブラウザの脆弱性に起因する。Wiiは「インターネットチャンネル」で、Operaブラウザを使ってネット接続機能を提供。Operaは脆弱性の発覚後、すぐにパッチをリリースしたが、Wiiショッピングチャンネルで当初提供していたインターネットチャンネル試験版のOperaは、未パッチのままだった。 このため、当初のインターネットチャンネルをダウンロードしたユーザーは、脆弱性の影響を受けるという。この問題で
人気SNS「Facebook」はフィッシング詐欺の格好の標的?
Symantecによると、Facebookでは簡単に詐欺メールや詐欺サイトを作成してユーザーの個人情報を入手できてしまう状況にあるという。 20代に人気のソーシャルネットワーキングサイト(SNS)、Facebookはフィッシング詐欺の格好の標的になる可能性があると、Symantecが警鐘を鳴らしている。 Facebookではユーザーが学校や職場ごとの「ネットワーク」に所属し、プライバシー設定をカスタマイズできるといった形でプライバシーに配慮。ユーザーはほかのサイトに比べて詳しい個人情報をネットワーク内で公開する傾向があり、フルネームや住所、電話番号などが記載されているという。 しかしSymantecによると、これはフィッシング詐欺にとって格好の標的でもあり、こうしたアカウントにいったんアクセスされれば、同じネットワーク内のアカウントもコントロールされてしまう恐れがある。 従来からフィッシン
進化するボットネット、P2Pも活用
P2P技術を取り入れた弾力性のあるボットネット、潜入してきたセキュリティ研究者を暗号化で排除しようとするボットネット――ボットネットは技術的な飛躍を遂げている。 ボットネットは今、悪質になっている。それが見えてきた。 およそ40人のセキュリティ研究者が4月10日に、Usenix主催の初のボットネット専門のイベントに集まった。招待制のこのHotBotsイベントは米マサチューセッツ州ケンブリッジで開かれた。 研究者らはこのイベントで、ボットネット――スパム送信や金融・個人データの窃盗に利用するために何者かが乗っ取った数万、数十万のゾンビPCで構成される――は技術的な飛躍を遂げ、もっと弾力性のあるアーキテクチャと、追跡や監視、無効化を困難にするさらに高度な暗号化を手に入れつつあると警告した。 具体的に言うと、セキュリティ研究者はP2Pアーキテクチャを取り入れた弾力性のあるボットネットという初期の
Skypeの新たなワームにご注意
セキュリティ企業のF-Secureは4月16日、Skypeを通じて「IM-Worm:W32/Pykse.A」ワームに感染したファイルへのリンクが送られるケースが続出していると報告した。感染すると、Skypeのコンタクトリストに掲載したユーザー全員に、ワームへのリンクを含んだメッセージが送信されてしまう。 また感染すると、そのSkypeユーザーのログイン状態が勝手に「取り込み中」に設定され、警告メッセージも表示されない。取り込み中に設定した後で、メッセージが送信されるという。 リンクをクリックすると、自動的にワームに感染したファイルがダウンロードされる。ダウンロードしたファイルをリンクから実行すると、女性の写真が表示される。 F-Secureによれば、このワームの狙いはサイトの宣伝にあるようだ。明確な目的は不明だが、近年ワームは金銭的な狙いのものが増えており、ワームの広がり度合いを調べ、今後
「日本が狙われた」、一太郎狙うウイルスを受けてジャストシステムがパッチ公開
ジャストシステムは4月10日、6日に明らかになった「一太郎」の脆弱性を修正するアップデートモジュールを公開した。 ジャストシステムは4月10日、6日に明らかになった「一太郎」の脆弱性を修正するアップデートモジュールを公開した。既にこの脆弱性を悪用するウイルスが発見されていることから、早急な適用が望ましい。 この脆弱性は、同社のワープロソフト「一太郎 2005/2006/2007」のほか、「一太郎ガバメント2006/2007」「一太郎2007体験版」「一太郎 文藝」「一太郎ビューア」に存在する。悪用されれば任意のコード実行につながる可能性があり、事実、この脆弱性を悪用してPCに感染するウイルスが報告された。 10日に公開されたアップデートモジュールを適用すると、細工の施されたウイルスファイルを一太郎で開いても、読み込めないファイルとして扱われるため、不正な動作は発生しなくなるという。ジャスト
Skypeを狙ったウイルスにも強いOfficede for Skypeが登場、ゼッタテクノロジー
ゼッタテクノロジーはSkypeを利用する企業向け管理ソフトの最新版をリリースする。Skypeを狙うウイルスへの防御が強化された。 ゼッタテクノロジーは、企業向けSkype運用管理ソフトの最新版「Officede for Skype Ver.2」を4月16日に発売する。企業からの関心が強いセキュリティ機能が大幅に向上した。 Officede for Skypeは、Skypeの複数アカウント管理やポリシー適用、ログ管理が行える企業向けの管理用ソフト。Skype関連製品で企業ユースに対応できる管理ソフトとして、沖縄県北谷町を例に多くの企業や自治体などで採用されているという。 最新版では、Skypeに接続できるデバイスやソフトウェアを限定できるようになり、Skypeを狙ったウイルスやスパイウェアの活動を防止することができる。また、Skypeのスーパーノード化の禁止や外線接続機能「SkypeIn/S
暗号化技術WEP、今度こそ最期を迎えるか
WEP(Wired Equivalent Privacy)を攻撃する新手法を研究者が発見した。これまで知られていた最強のキー再生攻撃に比べ、必要とするデータの量は「けた違い」に少なくて済むという。その結果、「Breaking 104 bit WEP in less than 60 seconds」(104ビットWEPを60秒以内に破る)という論文のタイトルが示す通り、1分足らずでクラッキングが可能になる。 具体的には、50%の確率で成功させるために必要なデータパケットはたった4万。8万5000パケットなら95%の確率で成功すると、論文では述べている。執筆者のエリック・テウス、ラルフ-フィリップ・ワインマン、アンドレイ・フィスキンの3氏はいずれも独ダルムシュタット工科大学コンピュータサイエンス学部の研究者。 WEPが簡単にクラッキングできるというのは周知の事実だ。簡単に入手できるソフトを使っ
Skypeは世界トップレベルの安全性だ――最高セキュリティ責任者が発言
Skypeの最高セキュリティ責任者がSkypeの企業導入で気になるセキュリティについて紹介した。IT管理者向けのセキュリティガイドも公開されている。 フュージョン・コミュニケーションが主催する「Skypeビジネスセミナー」が4月6日、東京都内で行われ、Skypeに関心を持つ企業向けに最新の対応状況が説明された。最高セキュリティ責任者(CSO)のカート・サウアー氏も来日し、Skypeの安全性について紹介を行った。 Skypeは、通信コスト削減や利便性の高いコミュニケーションツールとして評価されているものの、企業レベルの管理性やセキュリティが弱点だとして、導入を様子見る企業は多い。同社ではそのような企業に対し、2006年からビジネスユーザー向けの情報をWebで提供してきた(関連記事参照)。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
