LogMeInがLastPassを買収 | スラド セキュリティ
9日、LogMeInによるLastPassの買収が発表された。買収総額は最高で1億2,500万ドル(LogMeInのプレスリリース、 LastPassのブログ記事、 Ars Technicaの記事、 VentureBeatの記事、 BetaNewsの記事)。 LogMeInはリモートアクセスサービス「LogMeIn」などを提供するSaaS企業。LastPassはWebベースのパスワードマネージャーで、既にLogMeInのサービス一覧に追加されている。 LastPassでは既存のサービスが変更されることはないとし、LogMeIn傘下となることで開発リソースが増え、より良い製品を提供できるようになると述べている。しかし、LogMeInでは昨年、無料サービスを突如終了してユーザーをパニックに陥らせている。 LastPassのブログ記事に付けられたユーザーのコメントは否定的なものが多く、別のパスワ
三井住友銀行のネットバンキングを狙った攻撃、ワンタイムパスワード利用者も被害に | スラド セキュリティ
最近ネットバンキングを狙った攻撃が増えており、銀行各社もこれに対抗すべくさまざまな手段を講じている。その1つにパスワード生成機を使ったワンタイムパスワードがあるのだが、三井住友銀行のネットバンキングにて、このワンタイムパスワードを使っていたにも関わらず被害を受けた例が確認された模様(NHK、朝日新聞、三井住友銀行の注意喚起)。 被害を受けた事案では、パソコン側にマルウェアが仕込まれており、それによって正規の銀行サイトから偽サイトに誘導されるという。そこでパスワードを利用者に打ち込ませ、その情報を使って即座に正規サイトでの不正送金を行うという手口だったようだ。 同様の手口を使った攻撃はほかの銀行でも見られるという。このようなマルウェアを使った攻撃の場合、ログイン後や操作の途中でパスワードなどの入力を求められることが多いようで、「銀行側ではウイルス対策を徹底するとともにパスワードの入力は最後に
McAfee、ライセンス契約を結ばずにオープンソースの脆弱性データベースから大量の脆弱性情報を取得する | スラド セキュリティ
Open Source Vulnerability Database(OSVDB)では、ボランティアモデルによる運営が十分に機能していないため、非商用の個人に限ってデータを無償で提供しており、それ以外はライセンス契約が必要となっている。しかし、ライセンス契約を結んでいない組織によるデータの取得が増加しており、先日はMcAfeeによる2,000件以上の無断データ取得も確認されたそうだ(OSVDBのブログ記事、 The Registerの記事、 本家/.)。 McAfeeは昨年、商用利用に関する問い合わせをOSVDBにしていたが、処理が完全には自動化されていない点に難色を示したそうだ。OSVDBでは30日間のトライアル期間を提案したが、McAfeeが受け入れることはなく、話はそれで終わりになったという。しかし、5月4日になってMcAfeeのIPアドレスからリクエストが送信され始めたとのこと。リ
シマンテック曰く、「冷蔵庫はスパムを送っていない」 | スラド セキュリティ
先日、「スパムを送信する冷蔵庫が確認される」という話題があったが、これに対しシマンテックが「冷蔵庫は無実だ」と述べている(シマンテックのブログ、@IT)。 シマンテックの調査では、スパムの送信元では無く、「たまたま同じネットワーク上にあったWindows PC」だったという。シマンテックは「NATやポート転送のため、冷蔵庫がスパムを発信しているように見えた」と述べている。シマンテックがスパムの送信元IPアドレスを調査したところ「エンターテインメントシステムやその他の家庭用デバイスに到達した」ことが難度もあったそうだが、それはたまたまルーターを介して同じPCと同じグローバルIPアドレスを共有していただけだという。
Android 4.3で追加されたパーミッション設定機能、Android 4.4.2で削除される | スラド セキュリティ
Android 4.3では個人情報などへのアクセス許可をアプリごとに設定できる「App Ops」という隠し機能が追加されていたが、先日リリースされたAndroid 4.4.2で取り除かれてしまったそうだ(Electronic Frontier Foundationの記事、 The Vergeの記事、 本家/.)。 Androidアプリには、システムリソースや個人情報などへのアクセスを要求するパーミッション設定がある。アプリの中には無断で個人情報を外部送信するものも多いが、各項目へのアクセス許可をユーザーが指定することはできず、インストール時に確認してアプリを使うかどうかを選択することしかできなかった。Android 4.3ではApp Opsを使用することで、アプリが要求するアクセス許可の項目をリストアップし、望ましくない項目を無効化できるようになっていた。しかし、Android 4.4.2
Androidの「マスターキー」セキュリティー欠陥チェックツールが公開される | スラド セキュリティ
Androidでアプリケーションパッケージ(APK)の署名が正しく照合されず、改変されたアプリをインストールできてしまうという脆弱性の存在をセキュリティー企業Bluebox Securityが明らかにしたが(/.J記事)、同社が作成した脆弱性の有無を確認するAndroidアプリ「Bluebox Security Scanner」がGoogle Playで公開された( eSecurity Planetの記事、本家/.)。 Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもので、Bluebox Securityでは「マスターキー」のセキュリティー欠陥などと呼んでいる。その後、セキュリティ
IE6〜8にゼロデイ脆弱性、攻撃コードも発見される | スラド セキュリティ
ストーリー by hylom 2012年12月31日 8時00分 対処方法の確認、もしくはIEa6〜8の使用自粛を 部門より あるAnonymous Cowardのタレコミによると、Internet Explorer 8に新たなゼロデイ脆弱性が発見されたという(FireEye)。 Microsoftのセキュリティアドバイザリによると、対象となるのはIE6〜8で、9以降ではこの脆弱性の影響はないという。問題の脆弱性は、IEが削除されたメモリ、もしくは適切に確保されていないメモリに格納されたオブジェクトにアクセスしてしまうことで、任意のリモートコードを実行してしまうというもの。US-CERT Vulnerability Note VU#154201によると、特別に細工されたJavaScriptを実行させることで、不正なメモリアドレスに格納された命令を実行させることが可能になるとのこと。 この脆
SSL3.0/TLS1.0 に脆弱性 | スラド セキュリティ
9 月 21 〜 23 日に開催されていたセキュリティ会議 ekoparty において、SSL 3.0 および TLS 1.0 の CBC モードに対する、いくぶん実用的な盗聴方法 (BEAST) が発表された (ITmedia エンタープライズの記事より)。 この攻撃は blockwise-adaptive chosen-plaintext 攻撃 (Gregory V. Bard 氏による論文) を用いることで暗号化されたデータを復号化できるというもの (yebo blog の記事) 。今回の発表の論文は http://insecure.cl で公開されていたのだが、現在は著者からの要求により削除されている。続報は insecure.cl のサイトか Twitter アカウント @insecurechile にて、とのことなのだがスペイン語なので読解には苦労されることだろう。 この問題は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
