第3回 拡大するAndroid端末へのMITB攻撃、Firefoxに新たな脆弱性を発見
オンラインバンクでの操作を書き換えて、攻撃者の指定する口座に送金するといった新種の攻撃「Man in the Browser」(MITB)が拡大している。以前、Android端末でのMITBの危険性を指摘した。その後、マルウエアを使ってFirefoxに任意のアドオンがインストールできてしまう脆弱性を発見した。悪意あるアドオンを使うと、簡単にMITB攻撃が成立してしまう。ここ最近の動向を紹介しよう。 前回は、新種の攻撃「Man in the Browser」(MITB)がAndroid端末で起こる可能性について解説した。そこでは、(1)root化した端末への侵入、(2)Androidシステム自体の脆弱性、(3)悪意あるブラウザー拡張(Browser Extension)、(4)Class Loading Hijacking脆弱性─の4種類の危険性を指摘。Android OSの挙動を中心に、特
第2回 「AndroidでMITB攻撃」の可能性、root化は攻撃のハードルを下げる
前回は「Man in the Browser」(MITB)と呼ぶ新しい攻撃を取り上げた。パソコンを対象にしたマルウエアを使った攻撃で、被害者側では防ぎにくく、気付きにくいのが特徴だ。最近はAndroidスマートフォンを狙うマルウエアが急増している。ではAndroidでもMITB攻撃は起こり得るのか。脅威の可能性を検証した。 マルウエアを使った攻撃手法が高度化している。代表格とも言えるのが、「Man in the Browser」(MITB)である。この攻撃ではマルウエアをブラウザーに介入させ、画面や送信データの書き換えなどを行う。オンラインバンクのパスワードを盗んだり、不正口座に振り込ませたりというものだ。 「防ぎにくく」「気付きにくい」攻撃なのが特徴で、二要素認証が事実上無力化されてしまったり、ユーザー側からは正常な挙動にしか見えなかったりする。2012年秋以降、日本国内でもオンラインバ
第1回 銀行口座から金銭盗む「MITB攻撃」、正規の通信への便乗で気付きづらく
個人を狙うオンライン金融詐欺の新たな手法として、正規のオンラインバンキングとの通信に不正操作を紛れ込ませる「Man in the Browser」攻撃が台頭している。ユーザーにも金融機関にも気付きづらい攻撃手法で、流行した場合には大きな被害の恐れがある。2012年には欧米で合計被害額2000億円の大きな攻撃があったほか、国内でもそれと疑われる攻撃が流行しつつある。 個人の銀行口座から金銭を盗み出す手法として、「Man in the Browser(MITB)攻撃」が注目を集めている。マルウエアなどでブラウザーを乗っ取り、オンラインバンキングで不正送金するような攻撃の総称だ。サイバー犯罪者による金融詐欺の新しい手法として定着しつつある。 MITB攻撃ではブラウザーの正しいセッションに便乗して不正操作を紛れ込ませる(図1)。例えば、ユーザーがオンラインバンキングにログインし、送金しようとした場
「フィッシング対策」を改定、ネットサービス初回利用時はURL直接入力を
金融機関やネット関連企業などで構成するフィッシング対策協議会(山口英会長)は2013年6月17日、「フィッシング対策ガイドライン2013年度版」を公表した。協議会のWebサイトで誰でも閲覧できる。ネットバンキングサービスなどをかたった電子メールや偽Webサイトを使って個人情報を詐取する「フィッシング詐欺」の手口が巧妙化していることを踏まえ、金融機関などの事業者や、一般の利用者が守るべき「要件」を合計55項目定義した。 今回の改定で、一般利用者向けには3要件を新たに定義した。「正しいURLを確認する(要件43)」では、ネットサービスの初回利用時は利用者カードや請求書などでURLを確認し、直接入力することが望ましいとした。「錠前マークを確認する(要件45)」では、Webブラウザーでパスワードなどを入力する前に、「正しいURLにアクセスしているか」に加えて、「(暗号化通信が有効であることを示す)
2段階認証ノススメ (まとめ) - セキュリティは楽しいかね? Part 2
(2013-08-07 更新あり) 主要なサービスで 2段階認証に対応する動きが拡がってきたので、ちょっとまとめておきます。金融系のサービスやマイナーなものはいれてません*1。こうやって並べて比べてみると、細かいところで違いがあっておもしろいですね。なお現時点で Appleと Twitterは日本ではまだ正式対応されていません。 (注: Twitterは 8/7にアプリを利用した認証方式に対応し、日本でも利用できるようになりました。) サービス 名称 認証アプリ SMS/メール/音声 アプリ用パスワード 信頼できる端末 復旧用コード Apple 2段階認証 (two-step verification) ◯ (*1) SMS (*4) - ◯ ◯ Dropbox 2段階認証 (two-step verification) ◯ (TOTP) SMS - ◯ ◯ Evernote 2段階認証
Evernote Blog � Blog Archive � New updates to Web and Windows
에버노트에 뭐가 새로워요?에버노트에서 무슨 일이 일어나고 있는지 궁금하신가요? 아래의 기사들을 확인하여 우리가 작업 중인 흥미로운 것들을 모두 볼 수 있습니다. 새로운 소식레거시 버전 Evernote 앱 사용 중지2024년 3월 26일, 저희는 레거시 버전 Evernote 앱에 작별을 고합니다. v10 이전의 Evernote 경험을 단일화하면 보안 수준을 크게 높이고 더 빠른 개발을 위해 더 많은 자원을 투입할 수 있습니다. 더 읽기 14가지 주요 기능이 이제 모든 사용자에게 제공됩니다이 중요한 Evernote 기능들은 검색, 첨부 관리, 노트 액세스 등 핵심적인 제품 성능을 높여줍니다. 이제 누구나 그 기능을 사용해 Evernote의 잠재성을 최대한 활용할 수 있습니다.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft、脆弱性緩和ツール「EMET」v4.0のベータ版を公開
https://krebsonsecurity.com/wp-content/uploads/2013/04/WPpasslist.txt