AppleがMac OS Xのアップデートを公開、13件の脆弱性に対処
「セキュリティアップデート2010-005」は、Mac OS X 10.5.8と10.6~10.6.4が対象となる。 米Appleは8月24日(現地時間)、「セキュリティアップデート2010-005」を公開し、Mac OS Xに存在する13件の深刻な脆弱性を解決した。 今回のアップデートの対象はMac OS X 10.5.8と、Mac OS X 10.6~10.6.4。Apple Type Services、CFNetwork、CoreGraphics、libsecurity、PHP、Samba、ClamAVに存在する任意のコード実行の脆弱性やアプリケーションのクラッシュを引き起こす恐れのある脆弱性など複数の問題に対処した。 アップデートはアップルメニューの「ソフトウェア・アップデート」などから入手できる。
WindowsのDLLにセキュリティ問題、相当数のソフトに影響
Windows向けアプリケーションが共通利用しているDLLのロードの仕組みにセキュリティ問題が存在するという。 Windows向けのアプリケーションにかかわるセキュリティ問題の存在が明らかになった。SANS Internet Storm Centerが8月23日付で伝えたところでは、この問題はスロベニアのセキュリティ企業や脆弱性検証ツールMetasploitの創設者、HD・ムーア氏などの研究者が報告しており、影響は相当数のアプリケーションに及ぶとされる。 問題は、Windowsアプリケーションの構成部品であるDLL(Dynamic Link Libraries)というプログラム利用の仕組みに存在するという。アプリケーションは複数のDLLを組み合わせて構成され、システム上でDLLの機能をほかのアプリケーションと共有している。 しかし、システム上に存在しないDLLをアプリケーションがロードしよ
76億8000万ドルでMcAfeeを買収したIntelの「セキュリティがコンピュータのインフラになる」未来予想
(このコンテンツはオルタナティブ・ブログ「新倉茂彦の情報セキュリティAtoZ」からの転載です。エントリーはこちら。) 現在の円高を考えずに簡単な計算でも7000億円近い買収金額になります。7000億円の事例を検索してみましたが、赤字の記事だったりと、イマイチ規模感が分かりづらいのですが、情報セキュリティ市場、日本は世界の13%――IPA調査にあった、日本市場:7268億円というものが金額ベースでほぼ同じとなるようです。単純に考えれば、今回の買収と2008年の日本国内セキュリティ市場規模が同じことになります。(引用記事はこちら) Intelが挙げた方向性は、今回の買収によって初めて明らかになったわけではなく、既に同社が以前から独自に取り組んできたものである。同社の企業向けクライアントPC管理技術「vPro」がその代表例だ。vProには、企業の管理者がリモートからPCを管理できる機能や省電力機
IPA、情報セキュリティ教科書の最新版を刊行
「情報セキュリティ読本 三訂版 IT時代の危機管理入門」(編著:情報処理推進機構)、A5判/144ページ、ISBN:ISBN978-4-407-31800-5、定価500円、実教出版 情報処理推進機構(IPA)は、コンピュータユーザー向けの情報セキュリティ教本「情報セキュリティ読本 三訂版」(実教出版)を刊行した。8月10日ごろから全国の書店で販売されている。 同書は、2006年11月に刊行した前回の内容を最新のセキュリティ環境の変化に合わせて改訂したもの。ボットを使用した攻撃や標的型攻撃、フィッシング詐欺など、近年の攻撃手法と被害事例を解説するとともに、企業などの組織に求められるリテラシーや倫理などの項が加わった。 特に攻撃手法の解説では、脆弱性を悪用する攻撃としてDNSキャッシュポイズニングやSQLインジェクション攻撃を追加。用語集では新しい用語を追加し、解説ページの番号を付記するなど
米国の電子渡航認証システムが有償化、便乗詐欺に注意
米国への渡航に必要な「ESTA」の登録が9月に有償化され、これを悪用するオンライン詐欺の発生が懸念されている。 セキュリティ企業の米McAfeeは、米国へ渡航する際に必要な「電子渡航認証システム」(ESTA)の有償化によって、これを悪用するオンライン詐欺が発生する恐れがあると注意を呼び掛けた。個人情報が盗まれたり、悪用されたりする恐れがあるという。 ESTAは、日本や韓国など35カ国を対象に米国が2008年に導入したシステム。観光やビジネスなどで短期滞在する場合に、事前にESTAに申請を行い、認証を受ける必要がある。1回の認証の有効期間は2年間。現在は無償だが、9月8日(米国東部時間)から1人当たり14ドルが課せられ、クレジットカードで決済する必要がある。 McAfeeによると、「ESTA」や「ESTA form」「ESTA online registration」といったキーワードで検索
両者の思惑が一致したIntelによるMcAfeeの買収劇
IntelによるMcAfeeの買収は、セキュリティ分野で差別化を図りたいとするIntelと、セキュリティ専業から次なる成長を目指すMcAfeeの思惑が一致した“幸せな結婚”と言える。 米Intelは8月19日(現地時間)、セキュリティ企業の米McAfeeを76億8000万ドルで買収することで合意に達したと発表した。今回の買収劇には、今後の成長戦略における2社の方向性の一致があるようだ。 IntelとMcAfeeの思惑 Intelは買収理由に、セキュリティ技術の取り込みを挙げている。一方、McAfeeのデビッド・デウォルトCEOは「この買収により、毎月数百万に上る新しい脅威が生まれる状況において、安全かつ信頼できるインターネット接続機器の利用体験を実現できるようになる」とリリースの中でコメントした。 Intelが挙げた方向性は、今回の買収によって初めて明らかになったわけではなく、既に同社が以
Winnyに複数の脆弱性見つかる、直ちに使用中止を
Winnyに任意のコード実行やDDoS攻撃に加担させられる複数の脆弱性が見つかり、IPAやJPCERT/CCが利用中止を呼び掛けている。 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は8月20日、ファイル共有ソフト「Winny」に複数の脆弱性が見つかったと発表した。ユーザーに利用中止を呼び掛けている。 IPAやJPCERT/CCによると、Winny 2.0b7.1以前には2件のバッファオーバーフローの脆弱性と、BBS情報およびノード情報の処理に関する脆弱性の計4件の脆弱性が存在する。悪用された場合、リモートの第三者に任意のコードを実行されてしまうほか、分散型サービス妨害(DDoS)攻撃に加担させられる恐れがある。 現時点でWinnyの開発者の刑事事件が係属中であるため、修正対応などはされない。IPAやJPCERT/CCは、ユーザーにWinnyの使
GoogleがSSL通信の検索サイトを開設、内容の傍受を阻止
ユーザーが入力した検索キーワードなどが第三者に傍受されないようSSLで暗号化する、「https://www.google.com」を開設した。 米Googleはユーザーのプライバシー保護強化の一環として、SSL通信を使った検索サイト「https://www.google.com」のβ版を開設した。ユーザーが入力した検索キーワードなどが第三者に傍受されないよう、SSLで暗号化する。 SSLは、Webサイトで入力した個人情報や金融情報が外部に漏れるのを防ぐため、電子商取引サイトやログインページなどで使われている。同社は先に、メールサービスのGmailでSSL接続をデフォルトにする措置を取っていた。 Googleの公式ブログによれば、新たに開設したSSL検索サイトでは、ユーザーのWebブラウザとGoogleの間で暗号化された通信を確立し、検索用語と検索結果が第三者に傍受されないようにする。通常の
安易にフォロー返しをしないで――IPAがTwitterの脅威を解説
情報処理推進機構(IPA)は5月7日、4月のコンピュータウイルス・不正アクセスの届出状況を発表した。Twitterを例にセキュリティ脅威を解説し、人気ソーシャルサービスを利用する上での注意点を紹介している。 IPAによると、近年はTwitterやFacebook、mixi、アメーバなうといったソーシャルサービスの流行を受けて、マルウェア感染を狙う脅威が拡大しているという。ソーシャルサービスが関係したマルウェア感染の相談も寄せられるようになった。 Twitterで目立つ脅威の1つに、「フォロー返し」を悪用する攻撃がある。まず攻撃者は正規ユーザーをフォローする。フォローされた正規ユーザーは、フォローした攻撃者の身元を十分に確認することなく、フォロー返しをしてしまうという。これにより、正規ユーザーのツイートのタイムラインに、攻撃者のツイートが表示されるようになる。 攻撃者のツイートには、閲覧者の
SNSで個人情報を「公表し過ぎ」のユーザー多数――米調査
SNSで生年月日を公表したり、子供の写真を投稿したりしているユーザーが多いことが、米消費者情報誌の調査で判明した。 米消費者情報誌「コンシューマー・リポート」は、米国の成人を対象にSNSの利用動向調査を実施した結果を発表した。SNSで自分や家族の情報を公表し過ぎてしまうユーザーが多数いると報告した。 SNSで生年月日を公表しているユーザーは全体の38%だった。米最大手のFacebookユーザーに限ると42%に上った。子供がいるユーザーのうち、45%が子供の写真を投稿したことがあり、自分の住所を公表しているユーザーも8%いた。 SNSがユーザー保護のために提供しているプライバシーコントロール機能を使ったことがないという人も多く、Facebookユーザーの23%は、サイトにプライバシーコントロール機能があることを知らない、または使っていないと答えた。 SNSでマルウェア感染、詐欺、嫌がらせなど
オバマ大統領のTwitterアカウント乗っ取り犯が逮捕 - ITmedia エンタープライズ
オバマ大統領のTwitterアカウント乗っ取り犯が逮捕 オバマ大統領などの有名人のTwitterアカウントを乗っ取ったフランスの男性が逮捕された。犯行は金目当てではなかったようだ。(ロイター) [パリ 24日 ロイター] バラク・オバマ米大統領やブリトニー・スピアーズのTwitterアカウントを乗っ取ったとして、無職のフランス人男性が逮捕された。フランスの警察が3月24日に明らかにした。 サイバー犯罪部のアデリーン・シャンパーナット警部は、この25歳の男性がTwitterの管理者パスワードを入手し、それを使って米国の政治家や芸能人のアカウントを乗っ取ったと話している。 「容疑者は被害者の個人用アカウントまでは手に入れられなかったが、Twitterを掌握していた」とシャンパーナット氏はReuters Televisionの取材に応えて語った。 同氏によると、昨年7月に米連邦捜査局(FBI)か
MasterCardをかたる詐欺メール、国内でも報告相次ぐ
MasterCardをかたる詐欺メールが出回っているとして、フィッシング対策協議会が注意を呼び掛けている。 フィッシング対策協議会は2月19日、MasterCardをかたる新手のフィッシング詐欺攻撃が見つかったとして注意を呼び掛けた。国内でも報告が相次いでいるという。 この攻撃では、「Important MasterCard Alert」「MasterCard Alert」「MasterCard Account Holder」などの件名でコンピュータ利用者にメールが送りつけられる。本文には、「セキュリティ認証システムを変更したため、情報を更新してほしい」といったメッセージが記され、登録サイトと称したサイトへのリンクをクリックするよう促す。 同協議会によると、MasterCardをかたる偽サイトは19日午前10時現在で稼働しており、JPCERTコーディネーションセンターにサイト閉鎖のための調
iPhoneとiPod touch用のOS更新版がリリース、深刻な脆弱性を修正
Appleが「iPhone OS 3.1.3」と「iPhone OS 3.1.3 for iPod touch」をリリースし、計5項目の脆弱性に対処した。 米Appleは2月2日、iPhoneとiPod touch用OSの更新版をリリースし、複数の深刻な脆弱性を修正した。 Appleのセキュリティ情報によると、更新版の「iPhone OS 3.1.3」と「iPhone OS 3.1.3 for iPod touch」では、計5項目の脆弱性に対処した。このうちCoreAudioやImageIOの脆弱性は、細工を施したオーディオファイルや画像を使って悪用された場合、任意のコードを実行される恐れがある。また、リカバリモードの脆弱性では端末に物理的にアクセスできる人物が、パスコードをかわしてユーザー情報を参照できてしまう恐れがあるという。 アップデートの対象となるのはiPhone OS 1.0~3
中小組織の情報セキュリティ相談に対応、「情報セキュリティ相談センター」が設立
情報セキュリティ専任者を設置するのが難しい中小企業などを支援する社団法人「情報セキュリティ相談センター」が設立され、2月から相談対応などのサービスを提供する。 情報セキュリティ専任者を設置するのが難しい中小企業などを支援する一般社団法人「情報セキュリティ相談センター」がこのほど設立され、相談対応や専門事業者を紹介するサービスを2月2日に始めると発表した。 サービスはセキュリティ専門部署や人材の設置が難しい法人が抱えるさまざまな課題に対し、同団体が仲介役となって課題に対応できる事業者を紹介する。紹介する事業者は同団体が事前に技術力やサービス品質、価格などの面で審査しており、相談を依頼した法人へ適切に対応してくれる事業者のみを紹介するという。 設立の狙いについて同団体は、企業や組織が対処すべき情報セキュリティの課題範囲が広がる一方で、個々の課題に対応できるセキュリティ専門会社を見つけるのが難し
Adobe ReaderとAcrobatの更新版がリリース、早期適用を
AdobeがReader 9.3とAcrobat 9.3をリリースした。ゼロデイ攻撃で狙われていた脆弱性を解決している。 米Adobe Systemsは1月12日(日本時間13日)、ReaderとAcrobatの更新版をリリースし、ゼロデイ攻撃の多発が伝えられていた深刻な脆弱性を修正した。 Adobeのセキュリティ情報によると、更新版のAdobe Reader 9.3とAcrobat 9.3では9件の脆弱性を解決した。悪用された場合、アプリケーションのクラッシュを誘発され、システムを攻撃者に制御される恐れがあるとしている。特にMultimedia.apiに存在する解放済みメモリ使用の脆弱性については事前に情報が公開され、この問題を悪用した攻撃が横行していた。 更新版はWindows、Macintosh、UNIXの各OS向けにリリースされ、9.3にアップデートできないユーザーのために、Rea
暗号USBメモリ製品に脆弱性、メーカー各社が対応を呼び掛け
企業などで使われている暗号USBメモリ製品の認証ソフトに脆弱性が存在するとして、メーカー各社が対応を呼び掛けている。 重要データを保護する目的で暗号化機能を備えたUSBメモリ製品に脆弱性が存在するとして、メーカー各社が対応を呼び掛けている。SANS Internet Storm Centerが1月6日、各社の動向を伝えた。 脆弱性は暗号化USBメモリに同梱されているアクセス管理の認証ソフトに起因するものだという。米セキュリティ研究者などが12月にこの問題を指摘し、SanDiskとVerbatim、Kingstonが対応を発表した。 各社では影響を受ける製品が一部になるとしており、製品のハードウェア自体には問題がないと説明。対応策として、問題のあるソフトのアップデートの適用やサポート窓口への連絡などをユーザーに促している。 過去のセキュリティニュース一覧はこちら 企業向け情報を集約した「IT
IPA、ITセキュリティ評価基準の新規格を運用へ
IPAはITセキュリティ評価や認証制度に用いるITセキュリティ評価基準の新規格「CC/CEM バージョン3.1 リリース3」の運用を始めた。 情報処理推進機構は12月25日、ITセキュリティ評価や認証制度に用いるITセキュリティ評価基準の新規格「CC(Common Criteria) / CEM(Common Evaluation Methodology) バージョン3.1 リリース3」を公開し、運用を始めた。 CCは、セキュリティの観点からITに関連した製品やシステムが適切に設計および実装されていることを評価するための国際的な評価基準。CEMはCCに基づく評価手法となる。IPAはITセキュリティ評価と認証制度「JISEC」を運営しており、新規格は世界で7月28日に公開されたのを受けて、日本向けに公開した。 JISECでは同日から新規格へ移行するが、旧規格との6カ月の併用期間を設けており、
共通IDを利用できる認証基盤の連携を、国内で実証実験
24の民間企業や団体などが参加する「認証基盤連携フォーラム」が、異なるネットサービスを共通IDで利用できること目指した実証実験を始める。 24の民間企業や団体などが参加する「認証基盤連携フォーラム」は12月21日、インターネットの異なるサービスやコンテンツを共通IDで利用できることを目指す実証実験を12月下旬から始めると発表した。2010年3月末まで実施する。 実験では、「さまざまなネットワークやデバイスへのコンテンツ、アプリケーション配信」や、「認証・属性連携等の基盤の相互運用性・多様性の確保」、「ネットワークやデバイスを意識しない、コンテンツ、アプリケーションの利用」を目的に、電気通信事業者の持つ認証基盤の相互運用性について検証していく。 具体的には、1)認証基盤連携の標準方式のうち「OpenID」および「SAML」の拡張部分における記述方式のルール化と、相互運用性を強化した確認書の自
FirefoxユーザーはGoogleよりもBingを――Mozilla幹部が呼び掛け
Google CEOのプライバシー問題に関する発言を受け、Mozilla幹部がGoogleからBingへの乗り換えを促した。 Mozilla幹部が自身のブログで12月10日、Firefoxブラウザの検索をGoogleからMicrosoftのBingに乗り換えるよう促した。Googleのエリック・シュミットCEOの発言が発端となっている。 ブログでこの呼び掛けをしたのは、Mozillaコミュニティー開発責任者のアーサ・ドッツラー氏。Googleのシュミット氏がCNBCテレビの番組でインタビューに答えて行った発言を問題にしている。 シュミット氏はこの中でプライバシーについて、「他人に知られたくないようなことは、そもそもすべきではない。そのようなプライバシーがどうしても必要だというのなら、Googleを含む検索エンジンは、この情報を一定期間保持しているのが現実だ。米国ではわれわれすべてが米愛国者
「Google Search Appliance」でリアルタイムのTwitter表示が可能に
米Googleは12月11日、企業向け検索アプライアンス「Google Search Appliance(GSA)」にTwitterのツイートをリアルタイムで表示する機能を追加したと発表した。イントラネット内の検索結果の隣に関連するツイートを表示する。 Googleはソーシャルな情報は今やビジネスでも重要な価値を持っていると考えており、既にGSAでユニバーサル検索の結果を表示する機能「Related Web Results」を提供している。 この機能を有効にするには、管理者はインストラクションに従って設定をする必要がある。Twitterを表示する社員を限定したり、「Twitter」と入力した場合のみ表示するように設定することもできる。 企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
