「不正取得は1068口座、センター内で偽造」、NTTデータがカード不正利用の経緯を説明
NTTデータは2013年1月17日、同社が運営する「地銀共同センター」で昨年11月に発覚したキャッシュカード偽造・不正利用事件(関連記事)について、社内調査結果と再発防止策を説明する記者会見を開いた。記者会見では、地銀共同センターの企画・運営実務を担当するパブリック&フィナンシャルカンパニー事業推進部長の木村千彫氏と第二金融事業本部企画部長の池野元就氏の2人が、事実関係を説明した(写真)。 説明によると、キャッシュカード偽造・不正出金の容疑で逮捕された容疑者が不正取得したのは「ATMを利用した、地銀共同センター参加銀行(14行)と提携金融機関の間でやり取りされた銀行間取引に関する取引情報」である。不正取得された可能性があるのは最大1068口座で、口座番号と暗証番号などの情報を含む。具体的な金融機関名は明らかにしなかった。 説明を聞いて、記者が注目した点は3つある。 1つ目は、NTTデータが
CCCがIE用ツールバーを配布中止
共通ポイントサービス「Tポイント」を運営するカルチュア・コンビニエンス・クラブ(CCC)とネット広告代理店のオプトは2012年8月15日、Internet Explorer(IE)用ツールバー「Tポイントツールバー」の配布を中止した。配布開始から2週間後のことだ。 このツールバーでWebを検索すると、Tポイントを付与するなどの特典がある。その代わりに利用者が検索したキーワードに加え、Webサイトの全閲覧履歴をオプトのサーバーに送信する(図)。CCCとオプトは収集した情報をTポイント会員の購買履歴と組み合わせ、広告や販促メールの送付に使うという。 この仕様に、プライバシー侵害を懸念するネットユーザーが強く反発。両社は配布中止に追い込まれた。CCC広報は配布中止について「セキュリティ関係で多数の要望が寄せられたため」とし、9月以降に改良版を公開する考えだ。 今回の件は、企業にとって二つのリスク
アプリを解析して脆弱性を調べる
Javaのアプリケーションは解析しやすいという特徴があります。アプリを解析できれば、脆弱性が含まれていないかどうかを判断し、よりセキュリティを高めることができます。特集の最後に、アプリケーションを解析するためのツールと、その方法を説明します。 アプリを解凍する Androidアプリは、apkというファイルにパッケージングされています。このapkファイルは、ZIP形式でアーカイブされたもので、解凍ソフトで展開できます。apkファイルを展開してみると、いくつかのファイルが現れます(図15)。 META-INF/ディレクトリですが、パッケージに署名をしている場合にこのディレクトリが作成されて、署名に関係するファイルが入っています。res/ディレクトリ内のファイルとresources.arscは、アプリケーションで使用している画像やレイアウト、文字列などのリソースファイルがバイナリ形式になったもの
ファーストサーバ事件で情報漏洩の2次被害、2300社に影響か
ヤフー子会社でレンタルサーバー事業を展開するファーストサーバは2012年6月29日、6月20日に発生した大規模障害(関連記事)の復旧作業において、情報漏洩が起きていた可能性があると発表した。 発表文によると「対象サーバー数103台、最大2308者(法人や非法人)分の復元データの一部が、同じく障害の影響を受けた145者のデータ領域に混在した可能性がある」という。 ファーストサーバのサービスでは、1台の物理サーバーにつき最大で60契約を収容している。平常時はある顧客は他の顧客のファイルにアクセスできないように制御されているため、情報漏洩は発生しない。 ところが6月20日の大規模障害でファイルが消失したため、可能な範囲でファイルの復元を試み、復元できたものを顧客に提供していた。この時に、ある顧客に提供したファイルに別の顧客のファイルが混入したまま提供してしまった可能性があるという。 発表文では、
PowerPointファイルにも危険が潜む、開くだけでウイルス感染の恐れ
米トレンドマイクロは2012年6月3日、悪質なPowerPointファイルを確認したとして注意を呼びかけた。脆弱性を突くFlashファイルが埋め込まれているため、PowerPointのファイルを開くだけで、パソコンを乗っ取られる恐れがあるという。 今回同社が警告したPowerPointファイルは、メールに添付されて送られてくるという。ファイルの拡張子はppt。このPowerPointファイルには、Flash Playerの脆弱性を悪用するFlashファイルが埋め込まれている(図)。 このため、脆弱性のあるFlash Playerをインストールしているパソコンでは、このPowerPointファイルを開くだけで被害に遭う。具体的には、Flashファイル中のプログラムが動き出してウイルス(マルウエア)を生成。ウイルスはそのパソコンを乗っ取り、攻撃者の命令に従って動作する。 同時に、ウイルスは無害
APT攻撃を正しく理解するために
今回は標的型攻撃についてのブログを紹介しよう。IBMのセキュリティ部門Internet Security Systems(ISS)は、APT(Advanced Persistent Threats)について正しい理解を深めるために役立ててほしいとして、ラスベガスで開催されたセキュリティ関連会議「IBM Pulse」で行ったAPTに関する講演のビデオをブログで公開した。 複数の手法を組み合わせた高度な攻撃を執拗に続けるAPTは、インターネットセキュリティにおいて最も重大な問題の一つ。ただ同時に、最も誤解されている手口の一つであり、一般ユーザーだけでなく、専門家でも誤って解釈する人もあるとISSは指摘。様々な意味に取れる曖昧な名称が、論じるべき主題の誤解や過度の簡略化を招いているとする。民間企業が攻撃の原因を特定するのが困難であることも関係している。 APTは、世界中の広範なネットワークに影響
世界で最も使われている企業システムのパスワードは「Password1」---米調査
米Trustwaveがまとめたセキュリティに関する調査結果によると、世界の企業情報システムで最も使われているパスワードは「Password1」だという。米Microsoftの「Active Directory」の複雑な初期設定に適用できるパスワードであることが大きな要因と考えられる。 調査では、2011年に発生した300件以上のセキュリティ問題やネットワークおよびアプリケーションのスキャン結果、25種類のアンチウイルスツールなどを分析した。調査対象となったセキュリティ問題のうち76%は、システムサポートや開発あるいはメンテナンスを請け負っているサードパーティーがセキュリティの不備を招いていた。 また昨年の特徴の1つとしては、消費者の記録を狙う傾向が強く、個人を特定できる情報やクレジットカード情報などをターゲットにした攻撃がセキュリティ侵害の89%を占めたことである。 情報取得の手口では、犠
[2]複合機が丸見えになる恐れ
EWSがセキュリティ上危険な理由はいくつか挙げられる(図2)。サットン氏は、「メーカーは複合機を出荷した後、全くEWSにセキュリティパッチ(修正プログラム)を当てていないことが多い」と指摘する。セキュリティホールが放置された状態のEWSを搭載した複合機は、企業ネットワーク内に設置された“トロイの木馬”とさえいえる。 例えばEWSの多くは、WebサーバーソフトにApache HTTP Server(Apache)を搭載している。Apacheは多数のバグが存在するソフトで、バグが発覚するたびにパッチを配布している。あまりの多さから、「A Patchy Server」(パッチだらけのサーバー)のApacheと呼称されるようになったという冗談があるほどだ。当然、Apacheには常に最新のパッチを当てておかなければ、簡単にハッキングされる。 狙われるのはApacheの脆弱性だけではない。Linuxの
「都合の悪い情報を省いている」Microsoftの非難にGoogleが反論
米Microsoftが現地時間2012年2月21日、同社のブラウザー「Internet Explorer(IE)」のプライバシー保護機能を米Googleが回避していたことを確認した(関連記事:GoogleはIEのプライバシー機能も回避していた---Microsoftが非難)と声明を出したことに対して、米グーグル日本法人は日本時間の同日、「Microsoftは重要な情報を省略して非難している」とする反論内容をITproに明らかにした。 Microsoftは公式ブログで、W3Cのプライバシーポリシー標準「P3P(Platform for Privacy Preferences)」に対応したIEのプライバシー保護機能をGoogleがすり抜けていると主張した。IEのP3P保護機能では、Webサイトがクッキーの使用目的を告知してユーザーを追跡しないことを明示しない限り、クッキーを受け取らないようデフ
[対策1]「出口」を見張って止める、押さえるべき三つの手法
「標的型攻撃が台頭してきた背景の一つは、企業のマルウエア対策などがある程度強固になったこと。だから攻撃者はシステムの脆弱性ではなく、人の脆弱性を狙うよう方針を変えてきた」(サイバーディフェンス研究所の名和上級分析官)。攻撃側が変わったのなら、防御側も変わらなければならない。標的型攻撃は従来対策だけでは不十分。ここで紹介する新しい対策も含めて、“複数の対策を組み合わせ、情報が盗まれる確率をできるだけ下げる”というアプローチが必要になる。 ところが、本誌読者モニターへの調査によると、標的型攻撃への対策を実施済みとした回答は全体の4分の1程度。今後対策予定とした回答を合わせても半分に満たない(図1)。さらに対策済み、対策予定とした回答企業でも、実施対策については、半数近くがスパム対策やウイルス対策、Webフィルタリングなど従来型対策を挙げる。 「標的型攻撃を一発で解決できる銀の弾丸はない」(セキ
公式Androidマーケットから配信される「Counterclank」マルウエア
スマートフォンが電話番号をサイトと共有 スマートフォンが浸透するにつれ、プライバシー保護への関心が高まっている。そんな中、英モバイル通信事業者「O2」の加入者の携帯電話番号が、ユーザーがアクセスしたすべてのWebサイトに提供されていたことが発覚。携帯電話番号が共有されていることに気づいたO2ユーザーが、相次いで怒りのコメントを「Twitter」サイトに投稿した。英ソフォスが、この問題をブログで取り上げている。 O2ユーザーの一連のツイート ソフォスは、社員の一人が持っているO2契約の「iPhone」を使って実験を行った。念のためWi-Fi接続を切ってO2ネットワーク経由でWebにアクセスしたところ、「HTTP_X_UP_CALLING_LINE_ID」というHTTPヘッダーに携帯電話番号が埋め込まれ、訪問したWebサイトと密かに交信されていることが判明した。 テストサイトで確認したHTTP
チェックしておきたい脆弱性情報<2012.02.07>
1月29日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。 Struts 2.3.1.2リリース(2012/01/22) WebアプリケーションフレームワークStrutsのバージョン2.3.1.2がリリースされました。このバージョンでは、ParametersInterceptorに組み込まれている防護機能を迂回して、OGNL(Object Graph Navigation Language)を使った任意のコード実行を許してしまう脆弱性(CVE-2011-3923)を解決しています。Struts 2.0.0~2.3.1.1に影響があります。 Apache Struts:ParameterInterceptor vulnerability allows remote command execution Apache
EMETを利用した標的型メールの防御
最近、様々なメディアでサイバー攻撃についてのニュースが報道されている。このようなサイバー攻撃のいくつかは、標的型メールを利用していたと報告されている。標的型メールとは、ある特定の組織や個人に限定して送信される不正なメールである。この標的型メールは、ターゲットが限定されているため、ウイルス対策ベンダーでも検体の収集が難しく、ウイルス対策ソフトでの対応が難しいという特徴がある。 標的型メールには、不正なファイルが添付されていることが多い。添付されているファイルは主に以下の2種類である。 1.exeファイルまたは、zipなどで圧縮されたWindows実行ファイル 2.脆弱性を攻撃する不正なコードが含まれたドキュメントファイル このうち、最近注目を集めているのが2番目。不正なコードは、クライアントパソコン(PC)にマルウエアを感染させようとするプログラムである。ドキュメントを開くアプリケーションに
Android脅威が急速に拡大、Android向けマルウエアは前年比90%増加、iOS向けは25%増
セキュリティ関連会社の米Fortinetが現地時間2011年12月6日にまとめたモバイルマルウエアに関する調査結果によると、米GoogleのモバイルOS「Android」を狙ったマルウエアファミリーは昨年と比べ90%増加した。米AppleのモバイルOS「iOS」向けマルウエアファミリーの25%増と比べると、Android向け脅威が急速に拡大していることが分かる。 Fortinetの研究部門が確認したAndroid向けマルウエアファミリーの数は、米AppleのモバイルOS「iOS」向けの約5倍に及んだ。米Gartnerが11月に発表した調査結果では、2011年第3四半期における世界スマートフォン市場はAndroidの販売台数がシェア52.5%を占め、iOSのシェア15.0%を3.5倍上回った(関連記事:2011年Q3の世界スマートフォン市場、「Android」のシェアが5割超える)。Andr
「EXEファイルをPDFに見せかける」、拡張子偽装のウイルスが猛威
情報処理推進機構(IPA)は2011年11月4日、拡張子を偽装するウイルス(悪質なプログラム)が多数報告されているとして注意を呼びかけた。ファイル名に細工を施すことで、実行形式ファイル(拡張子は.exe)のウイルスを、PDFファイル(.pdf)に見せかける。 今回、IPAが注意を呼びかけたのは「RLTrap」と呼ばれるウイルス。2011年9月中には、同ウイルスの検出報告が、およそ5万件寄せられたという。 RLTrapの特徴は、ファイル名にユニコード(Unicode)の制御文字「RLO(Right-to-Left Override)」を挿入することでユーザーをだまそうとすること。 RLOとは、文字の流れを右から左に変更する制御文字。ファイル名の中にこの制御文字(文字コードは[U+202e])を挿入すると、本当の拡張子が「.exe」であっても、画面上は「.pdf」に見せかけることができる。 例
ソーシャルメディアにパスワードのヒント
ソーシャルメディアとスマートデバイスの普及によって、個人のプライバシーにかかわる情報が盗まれ、悪用される危険が膨らんでいる。今回は、そんな観点から、関連するセキュリティブログの記事を紹介する。 米国の人気女優スカーレット・ヨハンソンや人気歌手クリスティーナ・アギレラの携帯電話をハッキングした容疑でフロリダ州の男が逮捕された。容疑者はソーシャルメディアの情報を丹念に調べ、著名人のパスワードを探り当てていた。スロバキアのイーセットはブログで、このニュースから得られる教訓について触れた。 容疑者は難解な技術を使ったわけではない。多くの人々はパスワードを覚えるために、最初に飼った犬とか、生まれ育った場所など、自分に関係のあることに結びついた文字列を使用する。依然として大勢がこうした情報を「個人的な」ことだと考えているが、自分自身についてより多くの情報をオンラインで共有するにつれ、見ず知らずの人間が
ジュニパーがモバイル脅威に関するリポートの日本語版を配布開始
ジュニパーネットワークスは2011年9月28日、「モバイル脅威に関するレポート 2010/2011年度版」日本語版の配布を開始した。このレポートは米ジュニパーネットワークスのグローバル脅威センターがまとめたもので、主にスマートフォンを標的にしたセキュリティの脅威に関する調査結果や動向が掲載されている。 同日開催した記者説明会でジュニパーは、スマートフォンを取り巻く脅威は(1)マルウエア、(2)直接攻撃、(3)データ通信の傍受、(4)遺失/盗難、(5)不適切な行為――の五つに大別できると説明した。このなかで最大の脅威は、「現時点では端末の遺失/盗難だ」(同社)という。 説明会ではいくつかの調査結果を披露。その一つは、スマートフォンに対応するセキュリティサービスで使うソフトウエア「Junos Pulse モバイル・セキュリティ・スイート」に関するものだった。ワールドワイドのレベルで、紛失や盗難
Microsoft、ボットネット撲滅作戦で「Kelihos」を封鎖
米Microsoftは米国時間2011年9月27日、ボットネット「Kelihos」を活動停止に追い込んだと発表した。過去に大規模ボットネット「Rustock」や「Waledac」を封鎖したと同様の法的措置と技術的措置を講じたという。 KelihosはWaledacとの関連が疑われることから「Waledac 2.0」とも呼ばれている。Rustockに比べれば規模は小さいが、今回の大きな成果としてMicrosoftは、初めてボットネットに関わった被告を民事訴訟で名指ししたことを挙げた。 Microsoftによると、チェコ在住のDominique Alexander Piatti氏とその運営会社dotFREE Group SROは、「cz.cc」ドメインを取得しし、「lewgdooi.cz.cc」など複数のサブドメインを登録してボットネットの運用に利用した。これには氏名不詳の複数の人物も荷担して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FFFTPに意図しないファイルを読み込む脆弱性、IPAが公表
日本も“サイバー犯罪先進国”に