man in the middle攻撃(中間者攻撃)
図 man in the middle攻撃では通信を中継する形で勝手に割り込むことでメッセージの改ざんなどの被害を受ける(イラスト:なかがわ みさこ) man in the middle攻撃(attack)とは,“通信者同士の間に第三者が勝手に割り込むタイプの攻撃”を意味するセキュリティ用語である。英語では「MITM attack」と略すのが一般的で,日本語では直訳して「中間者攻撃」と表記するケースが多い。 中間者攻撃では,通信の途中に割り込んで,中身を盗み見たあとに,改めて正しい通信相手に転送する。イメージをつかむために,例えばお茶の間でケーキを食べているお姉さんが,台所にいるお母さんにコーヒーをお願いしているシーンで説明する(図)。このとき,お姉さんが注文する声が台所にいるお母さんには直接に届かないとすると,間に立っている弟が途中で中継して,その内容をお母さんに伝えてることになる。この
「ユーザーはより安全性の高いパスワードを使用し始めている」--米調査
セキュリティの専門家がMySpace.comのログイン用パスワード3万4000個をサンプルとして調査したところ,インターネットのユーザーはより安全性の高いパスワードを使用し始めている傾向が見られたという。 Counterpane Internet Securityの最高技術責任者(CTO)であるBruce Schneier氏は米国時間12月14日に掲載されたWired Newsの記事の中で,平均的なパスワードの長さは8字で,サンプルの81%は文字と数字の両方が含まれていたと述べている。中には「1ancheste23nite41ancheste23nite4」という32字のパスワードまであった。 しかしながら問題なのは,Schneier氏が調査したサンプルはすべて,フィッシング詐欺サイトが入手していたものだという点だ。攻撃者は偽のMySpace.comのログインページを作ってユーザーを欺き,
Skypeで感染を広げる「Skypeワーム」が出現か,詳細は解析中
米Websenseは12月18日,無償のIP電話ソフト「Skype」を使って感染を広げるワーム(ウイルス)が報告されたことを明らかにした。詳細については現在解析中であるという。 現時点でWebsenseが明らかにしている同ワームの特徴は以下のとおり。 Skypeのチャット機能を使って,あるファイルをダウンロードおよび実行するよう促すメッセージが送られてくるそのファイルの名称は「sp.exe」(これが,ワームの実体だと考えられる)ユーザーがそのファイルをダウンロードおよび実行すると,パスワードを盗むトロイの木馬(悪質なプログラム)が生成され実行される同時に,Skypeを使ってワームの感染を広げる(チャット機能を使って,ワームをダウンロードするよう促すメッセージを送信すると考えられる)ファイル(ワーム)は暗号化されていて,アンチ・デバッグ機能(デバックされないようにする機能)を備えるインターネ
誰が攻撃しているか突き止めたい:ITpro
ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために
インターネットは罠だらけ
インターネットには悪質なWebサイトが多数存在する。個人情報を盗もうとするフィッシング詐欺サイトや,架空の料金を請求するワンクリック詐欺サイト,OSやアプリケーションのセキュリティ・ホールを突いてスパイウエアなどをインストールさせる攻撃サイト――などなど,枚挙にいとまがない。 ただ,いくら“罠”を仕掛けても,待っているだけではユーザーにアクセスしてもらえる可能性は低い。そこで,「魅惑的な動画がタダで見られます」「懸賞に当選しました」「アクセスしないとアカウントが無効になります」――といった誘い文句や脅し文句を並べたメールを不特定多数に送信して,悪質サイトへ誘導するのが常套手段。 しかし最近では,新たな手口も増えてきた。多数のユーザー・アクセスが見込めるサイトの広告スペースを悪用する手口である。もちろん,真正直に広告を打つわけではない。「フィッシング詐欺サイトはこちら」「ワンクリック詐欺に遭
MySpaceで感染を広げる“QuickTimeビデオ・ワーム”,目的はフィッシング
セキュリティ・ベンダーや組織は12月1日および2日,ソーシャル・ネットワーキング・サービス「MySpace」で感染を広げるワーム(ウイルス)が確認されたとして注意を呼びかけた。ワームに感染したWebページにアクセスするだけで,自分のユーザー・プロファイルのページにワームが感染するとともに,フィッシング・サイトへのリンクが追加される恐れがある。 ワームの実体は,QuickTimeビデオ・ファイル(.mov)に仕込まれたスクリプト(JavaScript)。例えば,フィンランドF-Secureでは「JS/Quickspace.A」と名づけている。 QuickTimeには,ビデオ・ファイル(動画)再生時に任意のWebページを表示したり,スクリプトを実行したりするための機能「HREF track」が用意されている。今回のワームはこの機能を悪用する。ワームが仕込まれたビデオ・ファイルを再生すると,その
「Winnyで流出した海上自衛隊の情報,3000名以上が入手」---ネットエージェント
ネットエージェントは3月3日,ファイル共有ソフト「Winny(ウィニー)」で流出した海上自衛隊の情報を,3月2日までに3433名がWinnyを使ってダウンロードしたことを確認したと発表した。この情報流出は,2月22日にメディアで報道されたもの。 ネットエージェントは,Winnyのトラフィックを検知および遮断するシステムや,Winnyが構築するネットワークの状態を解析する「Winny検知システム」などを開発したベンダー。Winny検知システムを使った調査サービスを,2005年末から提供している(関連記事)。 このWinny検知システムを使って,前述の情報流出を調査した結果を今回発表した。「Winny経由の情報流出についての危険性を具体的に訴える」(同社の発表資料より)ことが目的。同社では,流出した情報の“発見所有者数*”の推移をグラフにして公開している。グラフを見ると,2月22日の報道を契機
ポッド・スラーピング
ポッド・スラーピング(Pod Slurping)とは,USBストレージを利用して企業ネットから情報を盗み出す不正行為を指す言葉である。セキュリティ分野で最近登場した用語で,iPodなどのUSBストレージを使って企業ネットワーク内部から重要なデータを根こそぎ盗み出される可能性がある。 「ポッド・スラーピング」と聞いて,ポッドキャストのような新しい便利なサービスを想像した人もいるかもしれない。このポッド・スラーピングという言葉,まだほとんどなじみがなく,国内で明るみに出た事件もない。しかし,いつどの企業で事件が起こっても不思議ではなく,近い将来,大事件が起こって話題になる可能性は十分ある。 そもそも“slurp”とはどういう意味かを辞書で調べてみると,「音を立てて食べたり飲む行為」を指す言葉と書いてある。スープなどをズズーッと音を立てて行儀悪くすする様子のイメージである。ここから転じて,IT分
「悪質プログラムは仮想マシンを回避する」,商用ツールを利用するケースも
米SANS Instituteによれば,仮想マシンを検出する機能を備えた悪質なプログラムが最近増えているという。同組織のスタッフが現地時間11月19日,公式ブログで明らかにした。解析されることを防ぐために,仮想マシン上では動作しなかったり,自分自身を消去したりする(関連記事:「ボットネットは“目立たない”ように工夫を凝らす)。仮想マシンを検出する機能の実装には,商用ツールが使われている場合もあるという。 ウイルスやボットといった悪質なプログラムの“捕獲”には,仮想マシンが利用されることが多い。仮想マシン上のゲストOSで“罠(ハニーポット)”を稼働させ,悪質なプログラムをわざと感染させて,その挙動などを解析する。 それを防ぐために,最近の悪質なプログラムは,仮想マシンの検出機能を備え始めた。SANS Instituteのスタッフが最近捕獲した悪質なプログラム12種のうち3種が,仮想マシンVM
ついに "マッシュアップ・ウイルス”が登場
11月16日,これまで平和な時代を謳歌(おうか)してきたと言えるWeb 2.0の世界に,衝撃的なニュースが走りました。Web2.0が浸透,定着してきたことを“裏側”から示す出来事として,本コーナーで取り上げないわけにはいきません。まずはこちらの記事をご覧ください。 ■「ウイルス作者の新手口,Googleマップで感染マシンの場所を突き止める」 “散弾銃”のように進化したウイルスによる攻撃 マルウエア(Malware)とは,「malicious(悪意ある)」から派生した造語です。いわゆるコンピュータ・ウイルスやスパイウエア,またスパム・メールに仕込まれたフィッシング詐欺のURLなど,多くはネット経由で送りつけられる,悪意あるプログラムやコンテンツの総称です。上記記事によれば,感染の成功率を上げる手口が次の要素(アイデア)を備えて高度化していることがわかります。 1.自ら散弾銃(Wikipedi
「学校のWebカメラを乗っ取り,同級生を恐喝」---スペインで17歳の男が逮捕
英Sophosは現地時間11月16日,スペインにおいて,教育施設のパソコンにトロイの木馬(悪質なプログラム)を仕込んでWebカメラを乗っ取り,同級生の“不名誉な映像(compromising images)”を撮影して恐喝を図った17歳の男2名が逮捕されたことを伝えた。 同時にこの2名は,トロイの木馬を使って個人情報を収集し,成人の男2名に渡していた。この成人2名はその情報を使ってクレジット・カード詐欺を働き,6万ユーロ(およそ900万円)以上を不正に稼いでいたという。恐喝の捜査を通じてこのことが明らかとなり,この成人2名も逮捕されている。 Sophosでは,今回の事件は子どものいたずらと呼べるものではなく,お金がからんだれっきとした犯罪であるとしている。 スペインにおけるWebカメラに関する犯罪は今回が初めてでない。例えば2005年2月には,ある男子学生が若い女性のパソコンにトロイの木馬
ウイルス作者の新手口,Googleマップで感染マシンの場所を突き止める
セキュリティ組織の米SANS Instituteは現地時間11月15日,ウイルス(マルウエア,悪質なプログラム)を使った新たな攻撃手法が確認されたとして注意を呼びかけた。ウイルス対策ソフトを回避したり,ウイルスが仕込まれたマシンの場所(地域)を把握したりする“工夫”を凝らしているという。後者については「Googleマップ」を利用する。 ウイルス作者(攻撃者)はまず,ウイルスを添付したメールを不特定多数に送信する。添付ファイルはZIP形式の圧縮ファイルで,JPEG画像に見せかけた実行形式ファイルのウイルスが仕込まれている。このウイルスは「ダウンローダ」と呼ばれるプログラムの一種。ユーザーがだまされて実行すると,インターネットから別のマルウエアをダウンロードして実行する。 ここまでは,最近のウイルス作者の常套手段。めずらしくはない。 今回報告されたダウンローダは,実行されると別のダウンローダを
YouTubeビデオに見せかけた“罠”に注意,再生するとスパイウエアがダウンロード
米Websenseは現地時間11月6日,広告などを表示するアドウエア(スパイウエア)をユーザーをだましてインストールさせる新たな手口を確認したとして注意を呼びかけた。動画共有サービス「YouTube」に置かれたように見せかけられた動画(ビデオ)を再生しようとすると,スパイウエアをインストールされる恐れがある。 今回確認された手口は2段階。まず,YouTubeへの投稿ビデオに見せかけた動画(画像)を,ソーシャル・ネットワーキング・サービス(SNS)「MySpace.com」の複数の個人ページに張り込んでおく(写真1)。張り込まれた動画の下には,「動画は自動的に再生されますが,再生されない場合には上の画像をクリックしてください」といった文章が英語で書かれている。この動画は偽物なので,自動的には再生されない。そこで,ユーザーが画像(動画再生部分)をクリックすると,YouTubeとよく似たドメイン
JavaScript攻撃の前にはパッチもファイアウォールも無力
JavaScript攻撃の前にはパッチもファイアウォールも無力 米ホワイトハット 最高技術責任者(CTO) ジェレミア・グロスマン セキュリティ研究家として著名な米ホワイトハットのジェレミア・グロスマン最高技術責任者(CTO)が,東京で10月上旬に開催されたセキュリティ技術の会議「Black Hat Japan 2006」のために来日した。Webブラウザに悪意のあるJavaScriptを送り込むことで情報を漏えいさせる攻撃が今後本格化すると警告するグロスマン氏に,従来の対策を無力にする新手法の手口とその対策を聞いた。(聞き手は中道 理=日経コミュニケーション) ――WebブラウザとJavaScriptでどんな攻撃ができるのか。 JavaScriptを使えば,ユーザーのWebブラウザからCookieデータやアクセス履歴を取り出し,これを別のサイトに送信できる。こうして手に入れたクッキーを使え
「ゼロデイ攻撃」が当たり前の時代に
OSやアプリケーションの修正パッチ(セキュリティ更新プログラム)を適用することは,インターネットやパソコンを安全に使うためのセオリーの一つである。パッチを適用することで,セキュリティ・ホールを悪用する攻撃---例えば,「文書ファイルを開いただけ」あるいは「Webページにアクセスしただけ」で被害に遭うような攻撃---を避けられる。 しかし万全ではない。パッチをきちんと適用しているユーザーでも,セキュリティ・ホールを突かれるおそれがある。修正パッチや修正バージョンが未公開のセキュリティ・ホールを悪用する攻撃,いわゆる「ゼロデイ攻撃」が相次いでいるためだ(「ゼロデイ攻撃」の用語解説)。 文書ファイルを開くだけで被害 2006年になって相次いでいるゼロデイの攻撃の一つが,オフィス・ソフトのセキュリティ・ホールを狙う攻撃である。5月以降,Microsoft Office製品を狙ったゼロデイ攻撃が毎月
【Black Hat Japan 2006】ネットエージェントの杉浦社長がWinnyの現状を報告。「ハルヒ」を見たのは5000人
P2Pファイル共有ソフトWinnyの暗号を解いたことで知られるネットエージェント代表取締役の杉浦隆幸氏は2006年10月6日,東京で開催されたセキュリティ関連のイベント「Black Hat Japan 2006 Briefings」でWinnyネットワークの現状について発表した。同社はWinnyネットワークのモニタリングを行っている。 杉浦氏によると,現在のWinnyのユーザー数は1日40万~45万人。休日になると増えるという。このユーザー数は,ISPのアカウントで接続している人の約1%に相当する。 やり取りされているメインのコンテンツは,3年前はゲームやアダルト動画,音楽だったが,現在はアニメーションである。深夜に放送されているアニメや地域によっては見られないアニメが中心だ。コンテンツのダウンロード数上位30位のうち,27個くらいがアニメになっている。例えば,人気アニメ「涼宮ハルヒの憂鬱
パソコン仮想化の効果的な使い方
クライアント用のパソコンに仮想化環境がなぜ必要なのか,と常々疑問に思ってきた。使い道としてよく聞くのは,WindowsとMacOSを同時に稼働させるというものだ。しかし,2つのOSを1台のマシンで利用する用途に,それほどニーズがあるとは思えない。あるとすれば,仮想化を使って仕事用OSとホビー用OSを使い分けることで,ウイルス感染による情報漏えいを防ぐという使い方だろうか。しかし,ユーザーがわざわざOSを切り替えながら使う状況は一般的にはならない気がしていた。 ところが最近,仮想環境はネットワークやコンピュータを管理する目的では効果的だと気が付いた。エンドユーザーが意識して使う方法は本筋ではないのだ。そう考え始めたきっかけは,10月から本格展開すると見られる米インテルの新ブランド「vPro」を調べたことにある。vProはインテルが定めた部品・ファームウエアを搭載した企業向けパソコンに付けられ
「SNSを利用してスパイウエアを配布する手口が登場」、ウェブルートが警鐘鳴らす
「SNS(ソーシャル・ネットワーキング・サービス)を利用するなど、侵入の仕方が一層巧妙化している」――。スパイウエア対策ソフトを手掛けるウェブルート・ソフトウェアは、2006年第2四半期におけるスパイウエア動向の調査結果を、8月23日に発表した。「明らかに日本人を狙った手口が増えている、注意が必要だ」(野々下幸治テクニカルサポートディレクター)と警鐘を鳴らす。 ウェブルートは、同社のWebサイトで提供している無償のスパイウエア検出サービスで得たデータを集計し、スパイウエアの動向をまとめた。ウェブルートが傾向の一つにあげるのが、特定のファイルやプログラムの存在を隠すルートキットを利用するスパイウエアの増加である。「ルートキットとトロイの木馬を組み合わせてユーザーのクライアントに送り込む。そのため、通常の対策ソフトでトロイの木馬を検出することが、非常に難しくなってきている」(野々下ディレクター
セキュリティ・カンファレンス「Black Hat」でのWindows関連ニュース
8月3日に閉幕したセキュリティ・カンファレンス「Black Hat USA 2006」では,いくつかのプレゼンテーションが大きな話題となった。その中でも特にMicrosoft関連で注目に値する出来事のいくつかを,簡潔に紹介しよう。Wi-Fiドライバのぜい弱性に関する話題や,Windows Vistaのセキュリティ保護機能が破られた話題などである。 Wi-Fiドライバのぜい弱性に関する話題については多くのニュース記事が書かれたので,そのうちのどれかを読まれた方もいるかもしれない。David Maynor氏とJohnny Cache氏(John Ellch氏が使用した偽名)が,無線LANアクセス・ポイントに接続されていない状態でも,米Appleの「MacBook」を乗っ取れることを実演したのである。 いくつかの記事は,Mac OS Xの内部に欠陥があることをほのめかしていた。しかしMaynor
Google,不正プログラムを配布するWebサイト警告機能を追加
米Googleは同社の検索サービスに,不正プログラムを配布しているWebサイトについて警告する機能を追加した。スパイウエア対策プロジェクトのStopBadware.orgが米国時間8月4日に明らかにしたもの。 Googleサイトでは,ユーザーが検索結果から訪れようとしているWebサイトについて,StopBadware.orgが不正プログラムを配布している疑いありと判断している場合に警告を発する。StopBadware.orgの一般警告ページにリンクされており,「あなたが訪れようとしたサイトは不正プログラムをホスティングまたは配布しているとの報告がされています」という警告画面が表れる(写真)。当該サイトについてStopBadware.orgの調査が完了している場合は,個別の報告ページ(例)が表示される。 StopBadware.orgは,米ハーバード大学ロースクールBerkman Cente
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
