 |
- No Security No Life セキュリティのある生活 -
ネット時代の現代は、便利さと引き替えに仕事も家庭も常に危険にさらされています。ITセキュリティの先進国であるフィンランドでうまれたエフセキュアは、ネット上の脅威からあなたを守り、快適で安全なネットライフを約束します。
「本当に役立つセキュリティ」では、エフセキュアが提供するエフセキュアブログなどからの最新セキュリティ情報をわかりやすくお届けします。
■進化するTwitterのセキュリティ
Twitterが、ついにサードパーティアプリケーションでのベーシックユーザ認証のサポートを停止し、認証方式をOAuthに完全移行することでセキュリティ強化を図りました。これにより、サードパーティとパスワードを決して共有することがなくなり、TwiterのAPIを介したブルートフォースパスワード攻撃のベクタも排除されることになります。今後、Twitterには、フォロワーを「ブロック」する機能だけでなく、怪しげなアプリケーションのアクセス件も「ブロック」する機能を実装してもらいたいものです。■PS3ユーザを狙うトロイの木馬
先週、エフセキュアのセキュリティ研究所で主席研究員を務めるミッコ・ヒッポネンが、「PlayStation 3(プレイステーション:PS3)」をジェイルブレイクするUSBドングルに、トロイの木馬が仕込まれていたというショッキングなニュースをブログで明らかにし、話題になりました。■Androidを狙うスパイアプリが登場
エフセキュアのセキュリティ研究所で主席研究員を務めるミッコ・ヒッポネンは、そのゲームに見せかけたスパイアプリには隠れた機能が2つあると指摘しており、ひとつめは、一度インストールすると、永久にバックグラウンドで動作し、ユーザが電話を立ち上げるたびに、自動的にリスタートするというもの。そして、もうひとつは15分おきに、位置情報を第三者に送信されてしまうというものです。Androidの拡張性、自由性を悪用した怪しげなアプリケーションは今後も続々と開発される可能性がありますので、注意が必要です。■iPhone、iPadがゾンビ化する可能性も?!
つい先日、AppleがJailbreakMeの脆弱性に対応したセキュリティパッチをリリースしましたが、アップデートをお忘れの方は今すぐにアップデートするようにしてください。エフセキュアのセキュリティ研究所のミッコ・ヒッポネンは、現時点ではJailbreakMeの脆弱性を悪用したサイバー攻撃は報告されていないとブログで言及しているものの脅威の可能性を示唆しており、同時に株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所所長の岩井氏によれば、JailbreakMeのソースコードが公開されたことにより、脅威の可能性、たとえばドライブバイダウンロードや標的型メールの悪用だけでなく、iPhoneの管理者権限を奪取することでボットのようなマルウェアが登場する可能性があるとし、注意を呼び掛けています。■iPhoneのジェイルブレイクはあぶない?
iPhone&iPad&iPod touchをSafariブラウザベースで簡単に脱獄(ジェイルブレイク)できるアプリ、「JailbreakMe 2.0」が話題になっています。しかし、このアプリに複数の脆弱性が発見され、エフセキュアブログでは注意を呼び掛けています。この脆弱性は、iOSの2つの脆弱性を利用しており、SafariブラウザでPDFを閲覧する際に発生する脆弱性を使用しています。現時点でこの脆弱性は、iPhoneを「脱獄」させるためだけに利用されているものの、未解決であるだけでなく、他の攻撃に利用される可能性も指摘されていますので、注意が必要です。■忘れてませんか?海外旅行のフィジカルセキュリティ対策
■脆弱性の情報を事前に共有することでゼロデイに立ち向かう
先日、Las Vegasで話題になったのがアドビとマイクロソフトと提携し、ソフトウェアの脆弱性などの情報を事前共有することで、ゼロデイの脅威を少しでも減らし、セキュリティ強化を実現すると発表したことです。アドビの脆弱性情報は、「Microsoft Active Protection Program」(MAPP)を通じて共有され、アンチウイルスやセキュリティベンダは、アドビ製品の脆弱性を修正するパッチを迅速にアップデートすることが可能になりました。ゼロデイを狙うサイバー攻撃が増加していることもあり、たいへん喜ばしいニュースとして業界内外で注目されています。■レガシーOSの脅威は無限大
先日のWindows Vista RTM、Windows XP Service Pack 2 (SP2)、そしてWindows 2000 (Server / Professional) 製品のサポート終了に関する話題がメディアを席巻し、同製品のユーザにとっては唯事ではない事態となっています。というのもサポートが終了するということは、対象となる製品へのセキュリティ更新プログラムが金輪際提供されないということですから、そこに重大な脆弱性があったとしても放置されたままになるのです。■転ばぬ先の杖?夏休みを海外で過ごす人のセキュリティ対策
鬱陶しい梅雨も明け、いよいよ夏本番ですね!
夏休みは海外で過ごす方もいらっしゃるかと思いますが、その前に気をつけておくべきセキュリティの5箇条をまとめてみました。
■USB利用に関する新しいセキュリティ ポリシーの必要性
既に多くの企業では、USBの使用に関して取り扱いのセキュリティ ポリシーを制定しており、今回の新しいゼロデイ攻撃は、新たなセキュリティポリシー見直しの必要性を示唆していると言えます。また、エフセキュアのセキュリティ研究所でセキュリティアドバイザーを務めるショーン・サリバンによれば、セキュリティ ポリシーによりUSBのAutoRun/AutoPlay をオフにすることは、もはや安全を保障するものではないとの見解を示しています。■検索エンジンを欺くSEOポイズニング
アメリカの俳優で、元空手ミドル級チャンピオンのチャック・ノリスの人気を利用して特定サイトの検索エンジンでランキングを挙げようとするスパムボット・アプリケーションを見つけました。これは検索結果を汚染するのに利用され、検索エンジンをだまして、検索結果のリストの上位にサイトをランキングさせるものです。■ゼロデイ攻撃に悪用される可能性アリ!Adobeの最新アップデートをお忘れなく
つい先日、Adobe SystemsがPDF関連製品の「Adobe Reader」および「Adobe Acrobat」における脆弱性を修正するアップデートをリリースしました。Adobe Reader/Acrobatでは、既に前バージョンの9.3.2時点で脆弱性が発見されており、ゼロデイ攻撃に悪用されていたそうです。今後はWindowsのように、自動的にアップデートされるような仕組みを導入する方針だそうですが、現在はユーザの手動でアップデートする必要がありますので、忘れずに最新の状態にしておきましょう。■嬉しい誕生日のプレゼントにぽっかり空いている落とし穴
誕生日はれっきとした個人情報ということを認識されていますか?ミクシィやFacebookなどのSNSでは、誕生日を明かしている人も多く、わたしも月日だけは公開しており、誕生日になると多くの友人からメッセージをもらうという楽しみを享受しています。しかし、昨今のSNS上での個人情報漏洩やトラブルから、誕生日などの個人情報に関して神経を使っている人もふえており、誕生日の開示に危惧感を覚えている方も多々いらっしゃいますね。
■地域限定?Twitterハッキング
エフセキュアのセキュリティ研究所のミッコ・ヒッポネンによれば、1000件以上のTwitterアカウントが、何らかの不明な方法でハッキングされており、乗っ取られたTwitterアカウントは勝手に「Hacked By Turkish Hackers (トルコのハッカーがハッキング)」とつぶやくそうです。■Twiiterで便利な「短縮URL」に潜む危険な落とし穴
ソフトバンクモバイルのケータイにも対応が発表されて、人気急上昇中なのがTwitter。短い文章でコミュニケーションがとれて、とても便利ですね。つぶやき投稿で一緒の記載されるリンクのセンセーショナルなタイトルに惹かれてクリックしたり、ついつい投稿者(フォロワー)を信頼して何も考えずにリンク先に飛んだりしてしまいますよね。文字制限があるTwitterのようなサービスでは、元のURLアドレスを短くする短縮URLサービスが役立ちます。アドレスが短くなって便利な反面、アドレスが短縮されていると、どこに飛ばされるかわからないため、これまでも危険性を指摘する声はよく聞かれました。しかし、このサービスに潜むリスクはひとつではありません。
■ワールドカップに便乗したマルウェア攻撃にご注意を
2010年6月11日金曜日に南アフリカで開始される、FIFAワールドカップに便乗したサイバー犯罪が急増するので、ご注意ください。偽チケットだけでなく、SEOポイズニング、ドライブバイダウンロード攻撃 (サイトを閲覧した際にユーザの許可なしに有害なプログラムをダウンロードさせる攻撃) や、フィッシング詐欺などが横行すると、エフセキュアのセキュリティ研究所が警笛を鳴らしています。身を守る為にも、スパムメールの甘い言葉に惑わされないことはもちろん、観戦チケットは、必ずワールドカップのオフィシャルサイトや公認代理店で購入してください。そして何よりも、コンピュータのOSやソフトは常に最新の状態にしておくのが重要です。■こどもの成長に合わせたセキュリティ対策を
■ネットの匿名性を過信するな!
mixiなどのSNSや2ちゃんねるなどの掲示板が発展するにつれ、「匿名性」の魅力も増してきました。しかし、最近のネットの進化を見ると、その「匿名性」が多少脆弱になってきたように感じます。SNSの増加にともなって、匿名アカウントを個人用に、実名アカウントをビジネス用などと、使い分けている方も増えてきました。これらは、TwitterやFacebook、mixiなど、複数のSNSを活用できるようになったことが大きな要因です。
■SNSで自分を守る10ヶ条
あなたは、FacebookやtwitterなどのSNSのサイト上でパーティや旅行などの楽しんだ写真を投稿したことはありませんか? 羽目を外したパーティで騒ぎ過ぎた思い出や、はしゃぎすぎた様子を撮影した写真を面白半分に投稿すると、後々に自分自身の首を絞めることになりかねません。人事担当者や交際相手などが、過去をさかのぼってSNSの情報をチェックする場合があります。たとえば、転職しようしたとき、ローンを組もうとしたとき、結婚しようとしたとき、裁判で争っているときなど、思わぬところで自分に不利な情報として利用され、足を引っ張られるなどということもあります。
■世界で一番パソコンが安全な国って知ってる?
パソコンのウイルス感染が、国によって大きな差があることを知っていますか?Microsoft が発表したセキュリティに関するレポート『Security Intelligence Report (SIR) v8』で、世界のパソコン感染率が発表されています。レポートは、Windowsを実行する5億台を超える世界中のコンピューターからデータを収集し、 MSRT(悪意のあるソフトウェアの削除ツール)が検出したマルウェアの検出数から作成されています。
■クレジットカードを安全に利用する心得 その3
オンラインストアのパスワードを厳密に管理することは、最も重要なセキュリティ対策のひとつです。最近はクレジットカードの情報を毎回入力するのではなくオンラインショップや、サービスのサイトに登録することで、IDとバスワードを入力してログインするだけで、ショッピングやサービス提供を受けられるサイトが主流になってきています。
■クレジットカードを安全に利用する心得 その2
クレジットカードは、現金を持たずに買い物し、支払いは少し先に伸ばされます。したがって、カードを使った額がいつ自分の口座から引き落とされいるかわかりにくくなっています。だからこそ、カードの引き落とし金額をチェックしないと、危険です。皆さんは、クレジットカードの明細と金額をしっかり毎月確認していますか?
■クレジットカードを安全に利用する心得 その1
誕生当時は、用心されていたクレジットカードですが、インターネット通販に利用されるなど、今ではすっかり決済手段として定着しました。たしかにクレジットカードは便利ものですが、同時に番号だけで決済ができるため非常に危険なものでもあります。私もクレジットカードは複数持っており、オンラインショッピングも良く利用しています。今回は3回にわたって、クレジットカードを安全に利用するための心得などを、あれこれをお届けします。
■Appleのアンチウイルスはどうして必要なの?
数年前、AppleはWindows がウイルスに感染しやすいと揶揄する、「I’m a Mac」テレビCMを流したことがありました。少なくともこのCMでは、Macにはウイルスによる問題がまったくないとしていました。今日でも、こうした意識は未だにMacユーザの間では共通して持たれているようです。
■はびこるスケア(=脅し)に負けない対策
先週のエフセキュアブログでは、Windows Mobile上の携帯電話ゲームがトロイの木馬と化し、ユーザに高額な通話料を請求する被害報告や、偽アンチウイルスソフトの仕組みなどが紹介され、話題になりました。ICPP著作権財団というもっともらしい団体を名乗り、ユーザを脅し、トロイの木馬に感染させ、クレジットカード情報を盗むという被害の報告です。これらは、スケア(=脅し)ウェアとされ、ユーザの不安を煽って不要なソフトを売りつけたり、金銭や個人情報を搾取するものです。■どれが最適?バックアップメディア比較
先日のブログでバックアップのアンケート記事がありましたが、今回は、独断と偏見でバックアップメディアの長所短所をまとめてみたいと思います。まずは、USBのフラッシュメモリです。
■デジタル資産を守るのもセキュリティ対策のひとつ
あなたにとって大切なものとは何ですか?コンピュータに保存されている思い出の詰まった写真、お気に入りの音楽や動画、仕事の文書など、あなたの人生を記録している情報は、誰にとても大切なものでしょう。気がついてみると、意外にも多くの思い出がデジタルデータとして小さなパソコンに保存されています。これらはデジタル資産とも言われています。あなたは、このような大切なデジタル資産をどのように守っていますか?■PCが乗っ取られる? PDF攻撃から身を守る8箇条
PDFは資料の保管か配布などで、ビジネスシーンにおいて必須ツールとなっており、とても便利なものですが、サイバー犯罪の標的となることが多いため、困惑が広がっています。これまで安全と思われてきたPDFが、閲覧しただけでウイルスに感染してしまうという危険性が表面化したことから、この機会にPDFとの付き合い方を見直してみましょう。
■WinもMac大規模アップデート 更新を忘れずに
先週は、セキュリティパッチのリリースラッシュとも言えるほど、大規模なアップデートウィークでした。まず、MicrosoftがInternet Explorer 6および7の脆弱性を修正するアップデートをリリースしたほか、AppleがQuicktimeを含む、Mac OS X v10.6.x向けのセキュリティパッチをリリースしました。数々の重要な脆弱性を修正するものが含まれているため、まだアップデートできてないと言う方はお早めに!!■スパイは007だけじゃない 意外と地味な国家・企業のサイバースパイ
スパイといえば、映画で見かけるような派手なアクションを思い浮かべてしまいますが、実際は、ちょっと違うようです。スパイ行為とは、つまり情報を収集することです。インターネットの世界のサイバースパイたちの場合は、コンピュータやネットワーク上のデジタルデータが標的となります。
■1度でも流出したら安心できない パスワードの防御力
先日、フィンランドで大人気のゲーム&クイズ・サイト「Alypaa」が、パスワードの漏えいを発表しました。この漏えいにより12万7000以上のアカウント名とパスワードの流出が明らかになりました。同サイトは現在サービスを停止しており、これで一安心と思っているユーザも多いようですが、実は楽観はできないのです。1度でもログイン名とパスワードが流出したということは、そのデータを別のサイトを介してアカウントをハッキングされる可能性があるのです。■ゾンビ化を防ぐ5ヶ条 知らぬ間に私は犯罪の加害者に?!
DDoS (Denial of Service attack)攻撃は、大量のコンピュータが、特定のネットワークにアクセスし、トラフィック過多に追い込んで回線をパンクさせてサービスやサイトの機能を停止させる攻撃です。先日、2チャンネルが受けたDDos攻撃は記憶に新しいですね。サーバ管理者には、頭が痛い攻撃ですが、エフセキュア・コーポレーションのミッコ・ヒッポネンによると、DDos攻撃を目的としたウイルスの作者に懲役2年7カ月の判決が下ったそうです。
■エフセキュアブログを読む
エフセキュア社IT 先進国のフィンランドで1988年に設立されて以来、20年にわたりセキュリティ製品に取り組んでいる業界の老舗です。エフセキュア株式会社は、1999 年にエフセキュアの100%出資の現地法人として設立され、以降、増収を続けながら順調に企業規模を拡大しており、2009年5月に日本法人設立満10周年を迎えました。
www.f-secure.co.jp
■気をつけろ 標的型攻撃メールってなんだ
特定の個人や組織を狙ってウイルスやオンライン詐欺をしかける標的型攻撃メールというのをご存じでしょうか。標的型攻撃とは最近のサイバー犯罪の定番になりつつ攻撃スタイルで、不特定多数でなく、ターゲットを絞った攻撃です。■サイバー犯罪との国境なき戦い
現代のサイバー犯罪はまさに世界規模となっています。国際的なマネーロンダリングや犯罪組織と結び付き、犯罪に関与している組織や国が特定の場所にとどまらずに広範囲にわたっているのが特徴です。
■ますます巧妙化するSEOポイズニングにご注意を!
SEOポイズニングは、検索エンジン最適化(SEO)を悪用して、ユーザをマルウェアに感染したサイトへ誘導先、トロイの木馬やマルウェアに感染させる攻撃方法です。時事ネタやゴシップ、話題性のあるキーワードを悪用するため、日々進化していると言えます。■寄らば大樹の陰は危険?「人気=安全」はもう古い
現実世界では、人が集まる=多くの人の手による監視から安心、という環境が確立することが多いのですが、ネットの世界では、必ずしも「ユーザが多い=安心」とは、いえないケースが多いのです。皆さんは、ネット検索するときにどのWebブラウザで、どの検索エンジンを使用していますか。また、お使いのパソコンのOSはなんでしょうか。
■Twitterが狙われている?サイバー犯罪者のフィッシング攻撃
エフセキュア・コーポレーションのショーン・サリバンによると、サイバー犯罪者たちは、TwitterなどのSNSアカウントを狙って、コミュニティーや友達などの繋がりからうまれる信頼性を悪用らしいのです。ユーザーが気づかないフィッシング攻撃とは、いったいどのようなものなのでしょう。前のページへ | 次のページへ
ITライフハック代表
