iPhoneやMacからパスワードがダダ漏れ? 「iOS」「OS X」に危険な脆弱性発覚
関連キーワード OS | Apple | iOS | iPhone | Mac | 脆弱性 iOSやOS Xに発覚した脆弱性はどれほど危険なのか(出典: Appleの製品紹介画像)《クリックで拡大》 以前から米GoogleのモバイルOS「Android」に存在した「サンドボックス」(システムに影響を与えずアプリケーションを動作させる仕組み)の欠陥。それが最近、米AppleのクライアントOS「OS X」とモバイルOS「iOS」でも発見された。米Indiana University(インディアナ大学)、中国の北京大学および米Georgia Institute of Technology(ジョージア工科大学)の6人の研究者によると、この結果は「驚き」であると同時に「恐ろしいことだ」という。 OS XとiOSの両OSは、アプリのサンドボックス化とアプリ間の連係をサポートするために独自の方法を用いて
複合機からのメールでウイルス感染、だましの手口にご用心
オフィスの複合機から送信したように見せかける巧妙な偽メールで受信者のコンピュータをウイルスに感染させる攻撃が出現した。攻撃を確認したトレンドマイクロによれば、6月17日現在で2000件以上のメールが出回り、国内企業からも数十件の相談が寄せられている。 この攻撃は、複合機がスキャンしたデータをメールに添付して送信されたように見せかける。6月17日前後に見つかった手口では不正なマクロを仕込んだWordファイルが添付され、受信者がMicrosoft Officeのマクロ機能を有効にした状態でファイルを開くと、マクロが実行され、ネットバンキングの情報を盗む機能などを持ったウイルスに感染してしまう。 偽装メールに使われたメールアドレスは、例えば「scanner@<受信者の組織のドメイン>」であるなど、社内からの複合機から送信されたようになっている。件名は「Message from <アルファベット4
Word/Excelのパスワードによる保護では個人情報は守れません
日本年金機構の情報漏えい事件は、個人情報のずさんな管理や危機意識の低さなど、さまざまな問題を浮き彫りにしましたが、筆者が注目したのは“内規に違反してパスワードを設定していなかった”ということ。内規違反よりも“パスワードを設定すればよいという運用が問題でしょ”ってことに突っ込まないと。 連載目次 Officeのパスワード保護で安心していいの? 2015年5月に発生した日本年金機構の情報漏えい事件が公になってすぐ、その詳細がまだ明らかになっていない時点でも、@IT読者のようにITに詳しい方なら事件の全貌について、だいたいの想像が付いたと思います。 【参考記事】日本年金機構の情報漏えい、本当に必要な再発防止策とは?(@IT) 年金業務の基幹システムはクローズドなもののはずですし、外部からの攻撃で情報が直接抜き取られるなんてあり得ません。 漏えいしたという項目が異なる3種のデータのうち、その一部は
年金機構の情報漏えい、組織の問題点を探る
件名は、通達文書の題名にそっくりな「『厚生年金基金制度の見直しについて(試案)』に関する意見」というものと、それとは異なる別のメールの少なくとも2種類であったという。この通達文書メール型では本文中に外部リンクに接続する箇所があり、そこを職員がクリックしてしまった。 年金機構では「疑わしいメールを開くな」と全職員に通知していたが、その後も添付ファイルを開いて感染されてしまった事を認識している(東京本部の職員)。職員の端末は情報系システムとつながっていたため、結果的にウイルスに感染した職員の端末は数十台になるという。 漏えいされたデータは合計で約125万件、最も被害が大きいのが「基礎年金番号、氏名、生年月日、住所」の4要素が漏えいされたケースで約5万2000件である。 今後も情報が錯そうしていく可能性があり、周辺状況に関する考察はここでは割愛したい。先日の国会答弁で年金機構側は、漏えいしたデー
5分で絶対に分かるPCI DSS − @IT
PCI DSSとは? セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS(Payment Card Industry Data Security Standard)とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。
iCloud問題が影響? 有名人の写真が匿名掲示板に大量流出
写真が流出した原因は現時点で不明だが、今回の事件の数日前にiCloudのアカウントに総当たり攻撃を仕掛けてパスワードを破れるというツールが公開されていた。 米女優のジェニファー・ローレンスさんなど100人あまりの有名人の個人的な写真が流出し、匿名画像掲示板の4chan.orgに投稿される事件が起きた。米メディア各社が9月1日に報じた。AppleのiCloudのアカウントに何者かが不正侵入して写真を盗み出した可能性もあると伝えられている。 報道によると、流出した写真は4chanのほか、ファイル共有サイトやSNSを通じて出回っているという。ローレンスさんや女優のメアリー・エリザベス・ウィンステッドさんは写真が自分のものであることを認め、ローレンスさんの代理人は捜査当局に通報したことを明らかにした。一方、ヌード写真が流出した別の女優などは、写真は偽物だと説明している。 問題の写真は既に4chan
Gmailアドレスとパスワード約500万件が流出か
ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載された。アドレスは大部分がGmailのものだったが、Yahoo!やHotmailなども含まれるという。 GoogleのGmailなどのメールアドレスとパスワードを組み合わせた情報約500万件がロシア語の掲示板サイトに公開されたという。同国のニュースサイトCNewsの報道を引用してメディア各社が9月10日付で伝えた。 ロシアのセキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この情報はロシア語のビットコインセキュリティフォーラムサイトに9日夜に掲載された。メールアドレスは大部分がGmailのものだったが、Yahoo!やHotmailなどのアドレスも含まれるという。 流出したのは主に英語、スペイン語、ロシア語のアカウントの情報だったとThe Next Web(TNW
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
脆弱性は多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。 LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて重大な脆弱性が見つかり、9月24日に修正パッチが公開された。攻撃者がbashにコマンドを送って任意のコードを実行できる可能性が指摘されており、米セキュリティ機関のSANS Internet Storm Centerなどはパッチ適用を急ぐよう呼び掛けている。 関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。 この脆弱性は、多くの一般的
ベネッセの情報漏えい事件を分析 問題点と今後の可能性とは何か
ベネッセコーポレーションから大量の個人情報が漏えいした背景や問題点は何か? 今後はどうなるのか? 情報セキュリティと内部不正の専門家である萩原栄幸氏が検証する。 ベネッセから確定したものだけで760万人分、最大では2070万人分(可能性)もの大量の個人情報が漏えいする事件が発生した。事件の概要は有り余る程の情報が報道されているので本稿では割愛するが、次の切り口から分析してみたい。 ベネッセの問題点(どうすべきだったか?) 法律上の問題点 ベネッセの対応ついて、評価できること、まずかったこと 今後の可能性 ベネッセの問題点(どうすべきだったか?) 簡単なことである。まず外部から攻撃の場合、基本的にはその保護されているシステムそのものの脆弱性を突いて内部への侵入を図る(例外もあるが)。パスワードなどを奪取する場合でも、その奪取するきっかけは脆弱性を突いた犯行が多い。 しかし、組織内部の場合はシ
OpenSSLにまた重大な脆弱性、直ちにパッチ適用を
脆弱性を悪用された場合、クライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日(米国時間)に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、 OpenSSLは同日公開したセキュリティ情報で、6件の脆弱性を修正したことを明らかにした。中でも「SSL/TLSの中間者攻撃の脆弱性」では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。 この脆弱性はクライアントではOpenSSLの全バージョンが影響を受ける。サーバではOpenSSL 1.0.1/1.0.2-beta1のみに影響が確認されているが、1.0.1より前のバージョンを使っている場合も念のために
Adobe、Flash Playerを緊急アップデート Windowsを狙う攻撃発生
Windowsを標的に、Flash Playerの脆弱性を悪用する攻撃が横行しているという。なお、IEに発覚した未解決の脆弱性とは無関係。 米Adobe Systemsは4月28日、「Flash Player」の深刻な脆弱性を修正するセキュリティアップデートを公開した。Windowsを標的に、この脆弱性を悪用する攻撃が横行しているとして、できるだけ早く最新版に更新するようユーザーに呼び掛けている。 Adobeのセキュリティ情報によると、今回のアップデートではバッファオーバーフローの脆弱性1件を修正した。悪用された場合、任意のコードを実行され、システムを制御される恐れがある。 この脆弱性はWindowsとMac、Linuxが影響を受けるが、特にWindowsとMacでは、ただちにアップデートの適用を促す優先度「1」に分類している。 脆弱性を修正したFlash Playerは、バージョン13.
専門家も思わず開封してしまったなりすましメールや迷惑メール
多くの人にとって身近なメールは、サイバー攻撃で最も使われる“道具”の1つ。実際に届いた「なりすましメール」や「迷惑メール」を紹介しつつ、思わず筆者も開封してしまったケースも交えて解説したい。 さて、今年最初の記事は身近に感じられるところからお伝えすべきと考え、「メール」に焦点をあててみたい。 昨年、筆者あてに来たメールの数は、フィルタリングでスパムと判断されたメールを含めると約11万2000通あった。メールアドレスの数もフリーメールを含めるとちょうど10種類ある。最近のスパムは、判断が難しいタイプが急増し、フィルタリングの設定も大変になっている。 サイバー攻撃の第一段階として多いのがメールだ。筆者は、2002年頃に行った金融機関向けのセミナーで、友人や職場の仲間への「なりすまし」、ついファイルを開いてしまったり、リンク先をクリックしてしまうメールへの注意を呼び掛けたことがあり、その後も依頼
DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点”
2015年10月、いよいよ日本で「マイナンバー制度」が始動する。同制度により、行政機関のみならず、全ての民間事業者に一層厳格な個人情報管理が要求されることをご存じだろうか? どのような理由で、何が求められ、どういった対応が必要になるのか──日本オラクルのスペシャリストが解説する。[セキュリティ対策][Database Security] 2015年10月、全ての日本国民に対する「マイナンバー(社会保障/税番号)」の通知が始まり、翌(2016)年1月から実運用が開始される。「社会保障と税の一体改革」を目的とする「社会保障・税番号制度(通称:マイナンバー制度)※1」が、いよいよスタートを切るわけだ。 ご存じの通り、この制度では日本国民全てに「唯一無二」の番号(12桁の番号)が割り当てられ、その番号に基づいて全国自治体/中央行政機関が個別に管理する個人情報の相互連携が実現される(ただし、連携はさ
ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… 2014-12-06 14:57:34 Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… 2014-12-06 15:01:26 Hiromitsu T
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
多額のセキュリティ投資と立派な製品を導入した残念な企業の一面
しばし経営者から、「セキュリティ投資をしたのに、マスコミに騒がれた」「対策を強化しても、また内部犯罪だよ」と言われる。「筆者を採用すれば解決しますよ」と冗談を言っているが、こういう経営者の“セキュリティ”問題とは何か? 今回は、ある地方の有力製造業の事例を紹介したい。この企業は九州に工場を持ち、地域の中ではやや大きい部類に入る製造業である。以前この地域の商工会議所の主催で行われたパーティに筆者が招待された時のことだ。筆者のコンサルティング先の社長から、この製造業のA社長を紹介された。 A社長は、最近の業績について笑みを浮かべながら話され、好調であることが誰の目にも明らかだった。ところが、社内の話やセキュリティの話になると、どうにも憂うつな表情になる。 思い切ってその原因について尋ねたところ、「実は今年だけで内部犯罪が2件も見つかった。今までとほぼ同じ発生ペースだが、昨年3月に数千万円もの費
ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を
ベネッセコーポレーションによる個人情報漏洩事件では、容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。 一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPD(Windows Porta
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2015年6月9日 LAC - 日本年金機構の情報漏えい事件から、我々が得られる教訓
日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:JCDSC)|PCIDSSの普及促進
http://www.ts-ism.com/materials/archives/2137.html
