グーグル、「Android」端末メーカーに定期セキュリティパッチの提供を義務づけへ先週開催されたGoogleの開発者会議「Google I/O」で、「Android」のセキュリティ統括者が、OEM各社が契約により定期的なセキュリティパッチの提供を義務付けられるようになると語った。 「セキュリティパッチの提供をOEM契約に盛り込むことにも取り組んできた。これにより、定期的なセキュリティパッチを受け取るデバイスとユーザーの数が大幅に増加するだろう」と、Androidプラットフォームのセキュリティを統括するDavid Kleidermacher氏は述べた。
「Internet Explorer」の脆弱性、日本人ユーザーが対策ソフト公開
米マイクロソフトは米国時間4月27日遅く、ウェブ閲覧ソフト「Internet Explorer(IE)」にリモートでコードが実行される脆弱性が見つかり、それを悪用しようとする標的型攻撃(外部のハッカーからのサイバー攻撃)を受けていることを確認したと発表した。対象となるバージョンはIE 6~11。攻撃はIEを介し、ユーザーに対して特別に作成したウェブページを表示し、誘導するなどして行われる。 30日時点で、マイクロソフトはこの脆弱性を解消する修正プログラムを提供していない。また、先日サポートが打ち切られたWindows XPに対応したセキュリティパッチは公開されない可能性がある。 日本人ユーザーが対策ソフトを公開 修正プログラムの提供を待つ間に、ソフトウェア技術者の西村誠一氏(@khb02323)が、この脆弱性の対策ができるフリーソフト「IE_Remove_VGX_DLL Ver0.1」を公
mixiに約1万7000件の不正ログイン--身に覚えのないつぶやき投稿
ミクシィは2月28日、同社が運営するSNS「mixi」において、外部からの不正ログインが行われたことを公表した。 不正ログインが確認されたのは同日の2時45分から14時まで。件数は28日17時時点で1万6972件。内容は身に覚えのないつぶやき(mixiボイス)の投稿としている。 同社では、不正なつぶやきの削除するとともに、不正ログインの対象となるユーザーへパスワード変更の依頼、不正利用者のアクセス制限の実施するなどの対策を行うとともに、mixiの全ユーザーに対して注意喚起を行ったとしている。 今回の不正ログインについて、同社ではサーバーアクセスによるユーザーアカウント情報の流出ではなく、他社サービスから流出または不正取得されたアカウント情報を流用の可能性が高いとの見解を示している。
ユーザー事例に見る、パブリッククラウドにおける「盤石のセキュリティ」
パブリッククラウドでERPや会計などの基幹システムを動かす――これまで考えにくかったことが、それほど珍しい事例ではなくなってきている。このようなトレンドを支えているのが、セキュリティだ。前回のセキュリティ要件を受け、今回は固有のセキュリティニーズを満たしながらパブリッククラウドを利用する事例を紹介したい。 VPN接続サービスが欠かせない 生産、販売、会計などの基幹業務パッケージである「J.D.Edwards」をパブリッククラウド上で展開するのが、ERPやビジネスインテリジェンス(BI)の導入支援を行うイデア・コンサルティングだ。拡張性、初期コストを押さえられることなどクラウドのメリットを活用したいというのがパブリッククラウドを導入した理由だが、同社にはもう1つ重要な要件があった――VPN接続だ。 基幹システムであるため、社内LANからVPNで接続する必要がある。幸い、クラウド事業者の多くは
ザッカーバーグ氏のページに投稿し規約違反となったバグ発見者に1万ドル集まる
先頃、Facebook上に重大な脆弱性を発見した善意のハッカーKhalil Shreateh氏に対して、その行為が報酬に値すると考える人々から、あふれんばかりの資金援助が集まっている。 セキュリティ研究者のShreateh氏は、この脆弱性を適切なチャンネルを通じて報告することを試みたものの失敗したため、そのバグを利用してFacebookの最高経営責任者(CEO)であるMark Zuckerberg氏のウォールに直接投稿し、脆弱性について報告した。このエクスプロイトは、Facebook上の友達以外のユーザーのウォールに誰でも投稿できるようにするもので、その後、Facebookはこのバグを修正している。 Shreateh氏の努力は、われわれすべてのユーザーが気まずくなったり、戸惑いを覚えるようなウォール投稿から守ってくれた可能性がある。だが、同氏の善良な行いに対して、Facebookから報奨金
グーグル、「Gmail」にプライバシーを期待すべきでないと主張--集団訴訟の棄却求め
UPDATE Googleは、「Gmail」で電子メールをやり取りするユーザーはメッセージのプライバシーが保たれることを期待すべきではないとの見解を明らかにした。 Googleは、データマイニングに関して起こされた自社に対する集団訴訟の棄却を目的として、39ページからなる書面を6月に裁判所に提出している。同社はその書面のなかで、令状なしに電子的な通信の収集を行うことは違法ではないという、1979年の米連邦最高裁判決(Smith v. Maryland)を引用(以下の二重括弧部分)している。 「ビジネスの相手に手紙を出した人物が、相手の秘書によってその手紙を開封されても驚くべきでないのと同様に、今日においてウェブベースの電子メールを利用する人々は、自らの電子メールが送り届けられる過程で、受信者のそれ(電子メールのプロバイダー)によって何らかの処理がなされても驚くべきではない。実際のところ、『
グーグル、「Google Drive」ファイルの暗号化を試験か
Googleが「Google Drive」のファイルを暗号化する試験を開始したようだ。プライバシー保護に向けたこの動きによって、ユーザーの保存ファイルにアクセスしようとする米国などの政府機関の試みを阻止できる可能性がある。 米CNETが2人の情報筋から入手した情報によると、Googleは同社のクラウドベースのファイルストレージおよび同期サービスである「Google Drive」上にあるファイルを保護するための、暗号化試験を積極的に実施しているという。そのうちの1人はこのプロジェクトに詳しく、Google Driveファイルのごく一部が現在暗号化されていると述べた。 この動きによってGoogleは、他のシリコンバレー企業との差別化を図れる可能性がある。米国家安全保障局(NSA)の極秘スライドによって「PRISM」という名の政府のコンピュータソフトウェアが存在することが明らかになってから、これ
グーグル、死後のアカウントデータ処理方法を指定可能に--「Inactive Account Manager」発表
Googleは米国時間4月11日、「Inactive Account Manager」というツールを米国において発表した。Googleネットワーク上に保存した自分のデータを、自分の死後、または長期にわたってアカウントを使用しなかった場合に、どのように処理したいかをGoogleに伝えるためのツールである。自分のデジタル資産に関する自動化された遺言と考えることができる。 つまり、「Gmail」のメッセージ、「Google+」のプロフィールデータ、「Blogger」の投稿、「Drive」のファイル、「Picasa」のアルバム、「Google Voice」のデータ、「YouTube」の動画などの処理方法を指示することができる。取り出したいデータを選択し、「信頼できる連絡先」に送信するようGoogleに依頼する。ユーザーのGoogleでのオンライン生活におけるすべてのデータを、残された最愛の人々がど
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに
GoogleとMicrosoftが米国時間1月3日にそれぞれ明らかにしたところによると、トルコに拠点を置くある認証局(CA)が2012年12月にセキュリティ証明書を「誤って」発行したことで、その電子証明書の交付を受けたある組織によって、さまざまなGoogleサイトへのなりすましが可能な偽の証明書が作成されてしまったという。 GoogleのエンジニアであるAdam Langley氏のブログ投稿によると、「Google Chrome」は12月24日、「*.google.com」ドメイン向けの無認可セキュリティ証明書を検出し、ブロックしたという。同氏によると、この証明書のブロック後、Googleによる調査が行われ、問題の証明書がトルコの認証局であるTURKTRUST傘下の中間認証局により発行されたものであると特定できたという。 ウェブサイトの正当性を証明する電子ドキュメントである証明書が不正に作
米ヤフーのサービス、ログイン情報45万件が漏えいか
米Yahooがセキュリティ侵害の犠牲となり、40万件を超えるログイン認証情報が漏えいする結果となったようだ。 ハッキングされたデータはハッカーサイト「D33D Company」に投稿された。同データは、45万3000件超のログイン認証情報を含んでおり、Yahooのネットワークから取得されたものとみられる。ハッカーらはUNIONベースのSQLインジェクション技術を使ってYahooのサブドメインに進入したと述べ、このデータダンプは「警鐘」のつもりだとしている。 ハッカーらは「このサブドメインのセキュリティ管理を担当している関係者には、これを脅迫ではなく警鐘としてとらえてほしい」とデータの末尾にコメントとして記している。「Yahooが所有するウェブサーバには悪用可能なセキュリティホールが多くあり、これらはわれわれのデータ公開よりもはるかに大きな損失を生み出している。軽く考えないでほしい。このサブ
熊本県のゆるキャラ「くまモン」、Twitterアカウント乗っ取りで新アカウントに移行
熊本県のゆるキャラ「くまモン」のTwitterアカウントに悪意の第三者がログインしているとして、熊本県庁は6月11日、旧アカウントの停止と新アカウントの案内を行った。 くまモンオフィシャルページの説明によると、これまで運用してきたくまモンのアカウント「@55kumamon」に対して、6月8日の夜に悪意の第三者がログインしていることが明らかになった。 県庁では、くまモンのアカウントを「@55_kumamon」に移行。「これまで同様の楽しいツイートをしていく」として、旧アカウントのフォローを外し、新アカウントのフォローを呼びかけている。旧アカウントについては、アカウントは近日中に閉鎖するという。 くまモンは、熊本県庁のキャンペーン「くまもとサプライズ」から生まれた熊本県のPRマスコットキャラクター。熊本県の許可があればキャラクターを無料利用できることから、さまざまなコラボレーション商品が登場し
Last.fmでパスワード漏洩発生か--ユーザーに変更を呼びかけ
音楽サイトのLast.fmは英国時間6月7日、同社のユーザーに対し早急にパスワードを変更するよう求めた。セキュリティ上の問題が発生しており、これはLinkedInやeHarmonyが被害に遭った大規模なパスワード漏洩と関係があるかもしれないためだという。 Last.fmのサイトには次のように書かれている。「われわれは現在、一部のLast.fmユーザーのパスワードの漏洩について調査している。これは、他のサイトで先ごろ発生したパスワードの漏洩やオンラインに投稿された情報を受けての措置だ。予防策として、当社のすべてのユーザーに対し直ちにパスワードを変更するようお願いしたい」 このページでは、影響を受けたユーザーの数やパスワード漏洩の経緯には触れていない。Last.fmの幹部に電子メールや留守番電話の伝言でコメントを求めたが、現時点で回答は得られていない。 Last.fmのユーザーは同社のサイトに
LinkedInの「iOS」アプリ、データを無断でサーバに送信か
モバイルセキュリティに関する2人のリサーチャーによると、LinkedInの「iOS」アプリは、カレンダーに入力されたデータからパスワードや会議メモなどの情報を収集し、ユーザーに通知することなくそれらを同社のサーバに送信しているという。 Appleの「iPad」および「iPhone」を対象とするLinkedInのアプリは、ユーザーがカレンダーに入力した情報を同アプリ内で閲覧できるようにするためのオプトイン機能を備えている。しかし、いったんその機能をユーザーが有効にすると、同アプリはユーザーのカレンダー入力情報をLinkedInのサーバに自動的に送信してしまうことを、リサーチャーのYair Amit氏とAdi Sharabani氏が発見した。両氏はテルアビブ大学で現地時間6月6日に開催されるセキュリティワークショップで、この発見を発表する予定だ。 ユーザーに開示されないこうしたデータ送信は、ア
LinkedIn、パスワードの盗難被害を認める
ロシアのハッカーが650万人分近くのパスワードを盗み出したと主張しているという報道を受け、ビジネスに特化したソーシャルネットワークサイトであるLinkedInは米国時間6月6日、盗難にあったとされるハッシュ化されたパスワードのリストに、会員のパスワードが一部含まれていることを認めた。同サイトへの攻撃の手口は明らかにされていない。 LinkedInのディレクターを務めるVicente Silveira氏はブログ投稿に、「被害に遭ったパスワードの一部は、LinkedInアカウントのものだったことが確認できている」と記した。LinkedInが確認したパスワードの数は不明だ。 ブログ投稿によると、LinkedInは既にこれらのアカウントのパスワードが無効にしたという。アカウント所有者には、パスワードのリセット手順を記した電子メールがLinkedInから送信される予定だという。電子メールにはリンクが
Twitter、パスワードが大量流出 - CNET Japan
Twitterは、膨大な数のアカウントパスワードおよび電子メールアドレスと思われるデータが流出した件について調査を行っている。 Twitterの広報担当者であるRobert Weeks氏は米CNETへの電子メールの中で、「われわれは現在、この状況を調査しているところだ。さしあたって、影響を受けた可能性のあるアカウントにパスワードのリセットを要請した。自分のアカウントが被害に遭ったかもしれないと心配している人々に対して、われわれはHelp Centerでパスワードのリセットなどの対策を推奨している」と述べた。 問題となっているユーザーデータ(容量が非常に大きいので公開にはPastebinで5ページを要した)は米国時間5月7日に公開され、Airdemon.netのブログで取り上げられた。同ブログは、影響を受けたアカウント数を5万5000件以上と試算している。盗まれたTwitterユーザー情報を
写真共有サービス「Path」、iPhoneの連絡先情報を無断アップロード--非難の的に
米国時間2月7日、人気の写真共有サービス「Path」が「iPhone」ユーザーのすべての連絡先を同社サーバへ自動的にアップロードしていることがブロガーによって暴露され、激しい非難を浴びている。 開発者のArun Thampi氏はブログ投稿の中で、自分の「すべての連絡先(氏名と電子メールアドレス、電話番号を含む)がPathに送信されている」ことを発見したと述べた。Thampi氏はPathが何か「邪悪な」ことをしていると非難しているわけではないとも述べたが、同サービスが連絡先のような個人情報をアップロードする許可を同氏に求めたことは一度もなかったと指摘している。 Pathの創設者兼最高経営責任者(CEO)であるDave Morin氏は、Thampi氏の投稿に対する返答を以下のように書いている。 われわれがユーザーの連絡先を弊社サーバにアップロードするのは、ユーザーがPath上で迅速(かつ効率的
Android Market、マルウェア検出でアプリの自動スキャンを導入
Googleは米国時間2月2日、「Android Market」から悪質なアプリケーションを排除することを目的とした自動スキャンプロセスを追加したと発表した。 「Android」チームのエンジニアリング担当バイスプレジデントを務めるHiroshi Lockheimer氏は2日午前、新サービスは「Bouncer」という開発コード名で、アプリケーション中に既知のマルウェア、スパイウェア、トロイの木馬が存在しないかスキャンし、疑わしい動きを検出してこれまでに分析済みのアプリケーションと比較する、と米CNETとのインタビューで述べた。 その後、すべてのアプリケーションをGoogleのクラウドインフラストラクチャ上で実行し、そのソフトウェアがAndroid端末上でどのように動作するかをシミュレーションすると同氏は述べた。既存のアプリケーションも継続的に分析されるという。 「同システムは、アップロード
スマートフォンを守る4つの極意--悪質・不正なアプリを排除する方法
2011年12月、Androidマーケットに「Angry Birds」などの有名ゲームアプリの無料版をうたうアプリが13本リリースされた。これは元タイトルの開発元とは何の関係もない「Lagostrod」なる開発元によるものだ。 これらのアプリは24時間以上公開された後、Googleセキュリティチームにより削除された。理由は簡単だ。これらはインストールされた端末からSMSを送信するマルウェアを含んでいたのだ。 今や中高生に至るまでに普及したAndroid端末で、こういったマルウェアが正規のアプリマーケットに公開され、さらにその削除に1日以上かかったのだ。これはAndroidの築いたエコシステム全体に関わる重大な事件と言えるだろう。 問題のあるアプリも巧妙化する今、我々ユーザーはどうやって自らを保護するべきなのだろうか? 気をつけるポイントを4つに分けて紹介する。 1 Androidの設定でや
ダウンロードサイトがセキュリティツールにマルウェアをバンドル? 開発者が苦言
某ダウンロードサイトでセキュリティ監査ツールのNmapをインストールすると、無関係のツールバーが導入され、デフォルトの検索エンジンがMicrosoftの「Bing」に、ホームページがMSNに切り替わっているという。 オープンソースのセキュリティ監査ツールとして定評のある「Nmap」の開発者が、米CNETのダウンロードサイトでNmapがトロイの木馬のインストーラー付きで提供されていると苦言を呈している。米セキュリティ機関のSANS Internet Storm Centerも12月6日のブログで、Nmapにマルウェアがバンドルされているとしてユーザーに注意を促した。 Nmap開発者のゴードン・リヨン氏が運営するセキュリティ情報ブログの「Insecure.Org」によれば、CNET傘下の「Download.Com」でNmapをダウンロードすると、本来のNmapにはないツールバーなどをインストー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
