Pages

2014年7月16日水曜日

iPhoneを「国防上の脅威」とする中国の主張をAppleが否定

AppleのiPhoneは、中国が言う通り危険なんでしょうか?

中国のいくつかのメディアのレポートを信じるなら、非常に危険ということにな ります。

ロイターのレポートによれば、中国国営のテレビ 局、CCTVが先週金曜日にiPhoneのiOS 7にある「利用頻度の高い位置情報」機能 が所有者の位置を監視することで、米国政府が中国の経済および「国家機密」に 関する情報を秘密裏に収集できると主張するレポートを放送しました。

Apple自身による位置情報サービスの説明でも、以下の様に「利用頻度の高い 位置情報」が所有者が訪問した場所を記録するとしていますが、その情報は iPhoneにのみ保管され、許可なくクパチーノと共有しないとされています。

利用頻度の高い位置情報:iPhone には、ユーザにとって重要な 場所を学習するために、最近行った場所のほかに、その場所に行く頻度や行った 日時が記録されています。このデータは、お使いのデバイスに保存されるだけ で、同意なしに Apple には送信されません。予測交通経路指定のようなユーザ に合わせたサービスを提供する際に使われます。

念のために書いておくと、iPhoneが「利用頻度の高い位置情報」を収集している ことを懸念しているのは中国のメディアだけでなく、次のNBC Action Newsを含 め、米国メディアもこの問題に関する記事を何度もレポートしています:



悪いニュースは、多くの人が「利用頻度の高い位置情報」機能を知らず、Apple がデフォルトでオンにした状態のまま使っていることです。良いニュースは、こ の機能が気に入らなければ、iPhoneの設定を開いて簡単に機能を無効にできると いうことです。

iPhoneの「利用頻度の高い位置情報」を無効にする方法


iOSの設定の奥深くに埋もれているこの機能は、次の手順で無効にできます:
  • 設定アプリをクリックします。
  • プライバシーをクリックします。
  • 位置情報サービスをクリックします。
  • この画面では、どのアプリに位置情報サービスを使わせるか指定できます。 あなたが許可したアプリだけがあなたの位置を知ることができるように、この機 会に一覧を見直しておいてください。
  • まだ終わりではありませんよ。画面を一番下までスクロールします。
  • 利用頻度の高い位置情報が表示されます。上手に隠され ていますね。
  • クリックします。
  • これで「利用頻度の高い位置情報」のオン/オフを切り替えることができま す。

この機能をオフにすると不便になるのではないかと心配する必要はありません。 私は、iPhoneの「利用頻度の高い位置情報」を常にオフにしていますが、それで 何か利便性が損なわれたと感じたことは一度もありません。

Appleは、個人情報を収集しておらず、どの政府機関に対しても情報収集のため の“バックドア”を開いていないとし、何のために「利用頻度の高い位置情報」機 能が用意されているのかを次のように説明する声明を発表して、中国のレポートを否定しました:

Calculating a phone’s location using just GPS satellite data can take several minutes. iPhone can reduce this time to just a few seconds by using pre-stored WLAN hotspot and cell tower location data in combination with information about which hotspots and cell towers are currently being received by the iPhone.
In order to accomplish this goal, Apple maintains a secure crowd-sourced database containing known locations of cell towers and WLAN hotspots that Apple collects from millions of Apple devices. It’s important to point out that during this collection process, an Apple device does not transmit any data that is uniquely associated with the device or the customer.

正直なところ、Appleが本当のことを言っている確証はありません。「利用頻度 の高い位置情報」が所有者の移動を記録し続けるというのはちょっと怖いです が、交予測交通経路指定のようなユーザに合わせたサービスを提供するには確か に便利です。個人的には、この追加機能がなくても問題ないので、やっぱりオフ にしておきます – Appleが私をスパイしていると信じているわけではありませんよ。

これはAppleの問題ではなく、中国と米国の問題なのです。


では、ある意味で中国政府の代弁者であるCCTVが、iPhoneが国防上の脅威である と言う大げさな報道を行うのはなぜでしょう?

それは、中国から米国に対して行われるハッキングおよびスパイ活動に関する米 国メディアの報道への、中国による反撃である可能性があります。

CCTVのレポートの数日前、New York Timesは、今年初頭に中国のハッカーが米国政府のネットワークに侵入し、全連 邦政府の全職員の個人情報にアクセスしたと報道しました。

中国外務省のスポークスマンは、米国政府は中国を名指しするための確かな証拠 を示していないとしています。

ほぼ同時に、F-22およびF-35戦闘機を含む軍事プロジェクトの機密情報を盗むために 米国防総省納入業者であるボーイングやロッキード・マーティンのコン ピュータをハッキングしたとしてカナダ在住の中国人、Su Bin氏をロサンゼルス の検察が告訴しました。

簡単に言えば、中国当局は、自分達に向けられたハッキングおよびインターネッ トを使ったスパイ行為の非難が加熱するのをひしひしと感じているのです。

国際的な報復行為と外交上の駆け引きの中で、中国国営メディアが、米国のハイ テク業界のスター企業であり、中国市場参入のために多大なリソースを費やして来たAppleを標的にするのは不思 議ではありません。

中国の数百万に上るiPhoneの潜在顧客に対し、この端末が信頼できず、購入する ことが愛国心のない行為だというメッセージを送るより効果的な米国に対する警 告があるでしょうか。

ところで、Appleが監視に関与していると主張する中国のテレビ局の名前が映像 監視システムの一般的な呼称であるCCTVなのは皮肉ですね。でも、そこを突っ込 むことは、あえてやめておきます。;-)


About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker.
He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats.

Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security.

Follow him on Twitter at @gcluley.
View all posts by Graham Cluley →


Posted on July 14th, 2014 by
intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

2014年7月8日火曜日

約45メートル離れていてもiPhoneのパスコードが盗める!

他人のパスワードを肩越しに盗み見する人達っていますよね。

あなたがコンピュータにパスワードを入力したり、ATMに暗証番号を打ち込んでいるとき、周りをうろうろして肩越しに覗き込む人達です。

しかし、世の中には約45メートル離れた場所からiPhoneやiPadのパスコードを盗む人がいるって知っていましたか? しかも端末のスクリーンを見ているわけではないのです。

まるでSF映画のようですが、マサチューセッツ大学ローウェル校の研究者は、遠く離れていてもスマートフォンに入力されるパスコードを簡単に盗むことができると言うのです。

このプロジェクトに参加した科学者、Xinwen Fu氏は、研究の結果、ユーザが指でタップする様子を動画に撮影することで、iOSおよびAndroid端末のスクリーンが見えなくてもパスコードを判別できることが確認されたとWiredに語っています

Spying on a passcode with Google Glass.  Image source: Cyber Forensics Laboratory at University of Massachusetts Lowell
Google Glassを使ったパスワードの判別。
Image source: Cyber Forensics Laboratory at University of Massachusetts Lowell

もちろん、パスコードを盗むために使うハードウェアによって結果は異なります。

Google Glassでは、約1メートルの距離から83%の精度でパスコードを判別できます。$72のLogitech製ウェブカムなら、92%という高い精度です。

最も高得点だったのは、iPhone 5内蔵のカメラで、精度は100%でした。

でも、お使いのAppleのスマートフォンのカメラの出来の良さににんまりする前に、次の事実を知っておいてください。

$700のPanasonic製高解像度ビデオカメラでは、標的から約45メートル離れた場所から光学ズームを使ってiPadのパスコードを判別できたのです。

Capturing passcodes at distance with a high-definition camcorder. Image source: Cyber Forensics Laboratory at University of Massachusetts Lowell
高解像度ビデオカメラで離れた場所からパスコードを判別。
Image source: Cyber Forensics Laboratory at University of Massachusetts Lowell

とは言え、気づかない内に撮影されてしまう可能性を考えれば、精度が低かったGoogle Glassにこそ注意を払うべきでしょう。

Fu氏は、「どんなカメラでも使えますが、iPhoneを標的に向けて持ったままではバレバレでしょう」とし、「Glassなら頭に装着しているので、このような攻撃に最適です」と続けます。

対策はあるのでしょうか?

まずiOS端末で、単純な4桁のパスコードの使用をやめることをお勧めします。研究者は、数字以外の文字が含まれた5桁以上のパスコードでもさほど難度が上がるわけではないとしていますが、それでも数字4桁よりはましです。

5桁以上のパスコードを設定するには、設定 / パスコード(ここで現在のパスコードの入力を促されます)、そして簡単なパスコードのスイッチを切り替えてください。


次に、誰かに覗かれる危険を感じたら、iPhone、iPad、あるいはAndroid端末のロックを解除する際のキー入力を隠してください。ATMで暗証番号を入力する時に覗かれにくくするのと同じです。

最後に、iOS端末を置いたまま席を離れないことです! パスコードを悪人に知られるのも厄介ですが、その悪人だって、あなたの端末を手にすることができなければ悪用はできません。

Xinwen Fu氏および研究者仲間は、今年後半のBlack Hatコンファレンスで彼らの研究成果を報告すると共に、ロック画面のキーボードのボタンをランダムに置き換えることでこの方法での盗み見を困難とするPEK(Privacy Enhancing Keyboard)と呼ばれるAndroid用アプリを発表します。

この暗証番号のプライバシ問題を解決するデモンストレーションとして、彼らは携帯電話あるいはタブレットのロック画面のキーボードのレイアウトをランダムに変更するAndroidのアドオンを開発したわけです。そしてBlack Hatでの発表と同時に、このPrivacy Enhancing KeyboardあるいはPEKと呼ばれるソフトウェアをGoogle Playストアから入手できるアプリとして、そしてAndroidオペレーティングシステムのアップデートとして公開する予定です。

PEKのようなアプリがiOSにも提供されるでしょうか? すぐにお目にかかるのは難しいと思われます。Appleは、オペレーティングシステムのあらゆる側面を厳重にコントロールしており、iPhoneやiPadのロック画面のような重要部分をサードパーティがいじることは不可能だからです。

もちろん、お使いのiOS端末をジェイルブレークしていれば話は別です – しかしジェイルブレークしているとなれば、ほかの多くのセキュリティ問題を抱え込むことになるでしょう…;-)



About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker.
He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats.

Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security.

Follow him on Twitter at @gcluley.
View all posts by Graham Cluley →


This entry was posted in Security & Privacy and tagged , , , , , , , , , . Bookmark the permalink.

Posted on July 2nd, 2014 by
intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

2014年6月11日水曜日

モスクワの2人組ハッカーが“Oleg Pliss”の名でのApple端末ハイジャックを自供

iCloud

ロシアの当局がiPhone、iPad、およびMacの所有者を襲った“ランサムウェア”攻 撃に関して、モスクワの2人組から自供を引き出すことに成功したようです。

先月、ほぼオーストラリア限定で、多くのiPhone、iPad、そしてiMacユーザが端 末を“Oleg Plissに端末を乗っ取られ”、そのアクセスを取り戻 すためにハッカーから身代金を要求される事件が起きました。

Locked iMac. Image source: Sydney Morning Herald
Locked iMac. Image source: Sydney Morning Herald

この問題の原因はどこにあるのか、なぜ南半球の限定された地域で起きたのか、 ハッカーがどうして端末をロックするためにiCloudアカウントを乗っ取り 「iPhoneを探す」を悪用しようと思い立ったか、などについて過激な想像がなさ れました。

今日、そのいくつかの問いの答が明らかになりました。

ほとんどの被害者がオーストラリアおよびニュージーランドに限定されていたこ とから、私は、この攻撃が端末をロックするためにAppleの「iPhoneを探す」の 脆弱性を悪用したわけではないと予想したわけですが、その考えは正しかったの です。同様に、ハッカーがAppleのサーバに侵入し、ユーザのiCloud IDとパス ワードを盗んだわけでもありませんでした。

実際の攻撃は、もっと泥臭いものでした。

ロシア内務省のウェブサイトの公式見解によれば、攻撃は無防備なApple ユーザを騙してiCloudログイン情報を入力させるための単純なフィッシングサイ トから始まりました。

情報を入手してしまえば、ハッカーが実際のiCloudインタフェースにログイン し、端末を盗まれたり置き忘れたときにやるように、その端末にメッセージを表 示すると共に端末をロックしてしまうのは簡単なことです。

報道によると“イワン”と呼ばれる23歳と匿名の17歳の2人組は、新しい端末で 乗っ取ったiCloudアカウントに接続し、ミュージック、ムービー、TV番組などを ダウンロードしたことも自供しています。なお、警察によるハッカーのアパート の捜索で、犯罪に使われたコンピュータ、SIMカード、そしてスマートフォンが 押収されました。

Sydney Morning Herald紙のレポートによれば、ハッカーは、キャッ シュマシンから被害者のお金を引き出そうとした際、CCTVカメラに写るというヘ マをしでかしたそうです。

今後のiCloudアカウントのハッキング対策


フィッシングは、今後も増え続け、ネットバンク、PayPal、あるいはソーシャル メディアサイト同様に、iCloudアカウントも攻撃対象として一般化するでしょう。

iCloudアカウントのハッキングによって端末をロックされ、身代金を要求される ことがないように、2ステップ確認を導入してください。

Apple 2FA

2ステップ確認のような二要素認証(あるいは二段階認証)には、ユーザ名とパ スワード以上の情報が必要となるため、ハッカーが他人のアカウントや端末を 乗っ取ることが困難になります。また端末自体に送付されるワンタイムパスワー ド(OTP)の入手も必要になります。

さらに、14桁のリカバリーキーを設定することもできます。このキーは、印刷し て安全な場所に保管しておきましょう。Appleでは、アカウントへのアクセスを 復旧したり、端末へのアクセスが不能になったりパスワードを忘れてしまった場 合に備え、リカバリーキーを保管しておくことを薦めています。

また、オンラインアカウントを守る対策だけでなく、フィッシング攻撃にも常に 注意してください!



About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker.
He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats.

Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security.

Follow him on Twitter at @gcluley. View all posts by Graham Cluley →

Posted on June 10th, 2014 by

intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

2014年5月29日木曜日

Oleg Plissによるハッキング — iPhoneおよびiPadユーザのためのFAQ

オーストラリアおよびニュージーランドの(そして多分その他の国の)、iPhone、iPad、そ してMacユーザが、端末を乗っ取られ、そのアクセスを取り戻すために身代金を 要求するメッセージが表示されたと報告しています。

そのメッセージに関し、現状で分かっていることをここに書きたいと思います。

何が起きているのですか?
地球の裏側のAppleユーザが、数日前から身代金を要求するメッセージが表示さ れたiPhone、iPad、そしてiMacをどうやって取り戻したら良いかを尋ねる投稿を Appleのサポートフォーラムに投稿し始め ました。

そのメッセージは、どのようなものですか?
このSydney Morning Herald紙によるレポートの写真にメッセージの一部が含 まれています。

Locked iMac. Image source: Sydney Morning Herald
Locked iMac. Image source: Sydney Morning Herald
“Device hacked by Oleg Pliss. For unlock device”

自分が被害者かどうか、どうやったら分かりますか?
被害を受けたiPhone、iPad、あるいはiMacが、端末を置き忘れたり、盗まれたり した時に便利な「iPhoneを探す」で使われているのと同じ技術でロックされてい るので使えなくなります。

被害者によっては、深夜に突然メッセージが表示されたと報告しています。



攻撃者は、どうやって他人の端末をロックしたのでしょうか?

次のような可能性が考えられます:
  • 攻撃者が、Appleユーザのアカウントをハッキングし「iDeviceを紛失」した 際の手順を悪用した可能性があります。しかし、それでは、なぜほとんどがオー ストラリアとニュージーランドからの報告なのかは説明できません。
  • 攻撃者が、Appleのシステムをハッキングし、ユーザ名とパスワードを盗ん だ可能性があります。しかし、それでは、なぜ被害を受けたほとんどがオースト ラリアとニュージーランドのユーザなのかは説明できません。
  • 被害者があまりに単純なApple IDパスワードを設定していて、攻撃者に容易 にハッキングされた可能性があります。しかし、その単純なパスワードというの がオーストラリアとニュージーランドだけで使われているということはあり得ま せん。
  • 被害を受けた端末の多くはジェイルブレークされていませんから可能性は低 いですが、端末がマルウェアに感染したのかも知れません。そして当然ながら、 なぜほとんどがオーストラリアとニュージーランドからの報告なのかを説明する ことはできません。
  • 被害者がApple ID情報を差し出してしまうような、フィッシングキャンペー ンの餌食になった可能性もあります。ただしその場合は、そのキャンペーンが オーストラリアとニュージーランドに地域限定されていたことを意味します。
  • オーストラリアおよびニュージーランドで非常に普及している他のサービス がハッキングされ、Apple IDのために使われているのと同じパスワードが漏洩し た可能性もあります。

Apple IDアカウント情報をもっと強固に守ることはできるのでしょう か?
現時点ではこのハッキングの詳細は不明ですが、Apple IDアカウントに2ステップ確認を導入しているAppleユー ザは、このハッキングに対してより強固に守られた状態と言えるでしょう。

Apple 2FA

2ステップ確認のような二要素認証(あるいは二段階認証)には、ユーザ名とパ スワード以上の情報が必要となるため、ハッカーが他人のアカウントや端末を 乗っ取ることが困難になります。また端末自体に送付されるワンタイムパスワー ド(OTP)の入手も必要になります。

さらに、14桁のリカバリーキーを設定することもできます。このキーは、印刷し て安全な場所に保管しておきましょう。Appleでは、アカウントへのアクセスを 復旧したり、端末へのアクセスが不能になったりパスワードを忘れてしまった場 合に備え、リカバリーキーを保管しておくことを薦めています。

Oleg Plissって誰ですか?
分かりません。でも、この攻撃を行っている犯罪者の本名でないことは明らかで しょう(本名だとしたら、間抜けです)。

LinkedInを検索すると、Oleg Plissとい う名前のコンピュータ科学者がヒットします。ただし、彼とこの攻撃を関連づけ る事実は全くありません。むしろ、犯罪者による嫌がらせの可能性のが高いで しょう。

犯罪者は、この攻撃でどうやってお金を稼ぐのですか?
分かっている範囲では、被害者に対して、自分の電子メールアドレスへの電子送 金を要求しているようです。

Appleのサポートフォーラムへの投稿では、被害者にPayPalを使ったHotmailのア ドレスへの送金要求があったということです。ただし、このアカウント自体が、 もともと無実の第三者のアカウントである可能性があります。

Apple Support forum

同様に、Oleg Plissという名前も、この攻撃の背後にいる犯罪者が第三者を陥れ ようとして悪用された可能性があります。だとすると、本人とっては散々な話で す。私は、この名前は冗談で付けられただけだと考えています。

ハッキングされました。端末へのアクセスは、どうやって取り戻せば良 いのでしょうか?
最も大事なのは、犯罪者にお金を払ってはいけないということです。払ってしま えば、つけあがって更なる攻撃を実行するでしょう。しかも、お金を払っても端 末のロックが解除される保証はありません。

お金を払うのではなく、次のように端末をリカバリーモードで消去し、バック アップから復元してください:
  1. 端末からすべてのケーブルを抜きます。
  2. 端末の電源を落とす。
  3. ホームボタンを押したままにする。そしてホームボタンを押した状態で、端 末をiTunesに接続します。端末の電源が自動的に入らなければ、手動で入れます。
  4. iTunesへの接続画面が表示されるまで、ホームボタンは押し続ける。

  5. iTunesがリカバリーモードの端末を検出したことを報告します。OKをクリッ クして初期化し、その後端末を復元します。

なお、このAppleのサポートページにあるナレッジベース の記事も参考にしてください。 その後、Apple IDに対して2ステップ確認を有効にし(国によって は、2ステップ確認が使えない場合があります)、インターネット上で同じパス ワードを流用しないようにします。 それ以外に何か注意はありますか? 被害者からの最新の報告をチェックするために、Appleのサポートコミュニティフォーラム の内容を定期的に参照してください。

About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker. He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats. Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security. Follow him on Twitter at @gcluley. View all posts by Graham Cluley → Posted on May 27th, 2014 by

intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

2014年4月16日水曜日

Heartbleedの危険に関する補足情報

世界中のヘッドラインを賑わしている「Heartbleed」と呼ばれるバ グについて、OpenSSLプロジェクトが緊急セキュリティアドバイザリを発表しま した。Heartbleedは、OpenSSLの重大な脆弱性です。OpenSSLは、 インターネット上の少なくとも約半数のウェブサイトでセキュリティを確保する ために使われており、安全であるはずのインターネット上の通信に対する悪意の あるハッカーによる盗み見を可能とします。

この問題は、Integoの製品で保護できる種類の危険ではありませんが、できるだ け多くの有用な情報をお客様に提供したいと考えています。MacおよびiOSのユー ザは、まず、お使いの環境にこのバグがどう影響するのか知るために、Heartbleedに関するFAQを参照ください。

Macユーザは、Hearbleedに対して「安全」なのか?

先週、OS XおよびOS X ServerがHeartbleedに対して「安全」であるとの報告が 公開されました。残念ながら、Graham Cluley氏がMacおよびiOSユーザのための Heartbleedに関するFAQに書いた通り、Macを使ってもHeartbleedに対して安全ではありません。 繰り返しになりますが、Apple製品が「安全」だとしても、暗号化されたデータ 通信が安全ではないのです。

Heartbleedバグは、本来ならSSL/TLSによって保護されているはずの情報の漏洩 を可能とします。そして皆さんが使っている多くのウェブサイトとインターネッ トサービスに影響します。サービスが暗号化されたデータ通信を実現するために OpenSSLを使っていると、使っているのがMacでもWindowsでも、データは危険に さらされます。

どうしたら良いのか?

影響されるサイトを使っているなら、このセキュリティバグによってお使いのパ スワードが盗まれた可能性がありますから、バグが修正されたらパスワードを変 更する必要があります。ウェブサイトでパスワードを変更する場合は、必ず事前 にサイトがHeartbleedに対して安全かどうかを確認してください。なお、影 響されるサービスが修正されてHearbleedの脆弱性が除去されたことが確認でき るまで、パスワードを変更してはいけません。

パスワードの変更が可能になっても、そのすべてを管理するのが面倒くさくて変 更を躊躇するようなら、MacおよびiOS用のパスワードマネージャのリストを用意し たので参考にしてください。

危険なウェブサイトの確認

サイトが危険かどうかは、次の特殊な検索ツールで確認できます: http://filippo.io/Heartbleed

さらなる情報のリソース

Heartbleedの概要については、The Wireが上手にまとめています。その記事では、サーバ 一一台ずつ手動で修正が必要で、すぐに修正できないこともあり得るため、完全 に修正されるまでしばらくかかるとしています。つまり、当面はサイト毎に Hearbleedの危険について確認しながらサイトを利用する必要があります。影響 されるサイトが修正されるまでは、そのサイトの利用を控えることを強くお勧め します。

サイトが影響されるかどうかは、前出の検索ツールで確認できます。あるいは、 Mashableが提供する影響されるメジャーブランドのリスト も参考になるでしょう。

それ以外に、データを守る方法はあるのか?

お客様のデータが危険なサイトに入力されてしまったら、アンチウイルス・ソフ トでもどうにもできませんが、それでもお使いのMacとデータを既知のマルウェ アおよび危険なアプリケーションから保護するために、弊社のInternetセキュリティでの保護の重層化アプローチを採用することには意味がある と、弊社では考えています。

Posted on April 15th, 2014 by
intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

Heartbleed OpenSSLバグに関する、Mac、iPhone、およびiPadユーザのためのFAQ

ここ数日の間に、Heartbleedと呼ばれるバグに関する報道を何かしら目にしたこ とでしょう。今回は、この問題に対してApple製品のユーザが持つであろう典型 的な疑問に対する回答を書きたいと思います。

そもそも、Heartbleedバグとは何なのか?

Heartbleedバグは、普通なら安全なはずのインターネット通信を悪意のあるハッ カーがスパイすることができる重大な脆弱性です。広く普及しているOpenSSLソ フトウェアライブラリ内のプログラムのバグが、通常ならSSL/TLS暗号化で保護 されているはずの情報の漏洩に繋がるというものです。

盗まれる可能性がある情報には、電子メールアドレスとパスワード、あるいはプ ライベートな通信など、通常「安全な経路」を使って転送されていると考えられ るものが含まれています。

なお、このバグはHearbleedと呼ばれていますが、公式な名称はCVE-2014-0160という面倒くさそうなものです。

このバグは、どれくらい前から存在するのですか? 聞いた感じだと、 かなり重大な問題みたいですが。

はい、非常に重大です。落ち着いてください。もう2年くらい前から存在してい たようです。

もう何年間も個人情報が盗まれる状態が続いていたんでしょうか?

はい、そうです。

実際に被害はあったんですか? この方法で情報が盗まれたことはあり ますか?

はっきりとは分かっていません。このバグを悪用しても痕跡が残りませんので、 誰かが情報を盗んでも分からないのです。ただし、ここ数日の間に多くの人達が バグを悪用して情報を盗めることを証明しています。

脆弱性があるのは、OpenSSLのどのバージョンですか?

OpenSSL 1.0.1から1.0.1fまでに脆弱性があります。OpenSSL 1.0.1g、OpenSSL 1.0.0ブランチ、およびOpenSSL 0.9.8ブランチには脆弱性はありません。

Macを使っていても危険があるのでしょうか? iPhoneやiPadはどうで しょう?

残念ながら、このバグはインターネット通信に使っている端末の種類を問いませ ん。つまり、iPhone、iPad、そしてMacもWindows 8.1も、危険性は同じです。

修正されるのですか?

はい。OpenSSLの新バージョンである1.0.1gが今週公開されました。インター ネット企業は、危険なサーバおよびサービスを全速力で更新しようとしていま す。元々危険でないサイトもありますし、サイトによってはすでに修正が終わっ ています。

メジャーなウェブサイトにもHeartbleedバグの脆弱性があるのですか?


米国のYahooってメジャーですよね? 研究者がこのバグを利用し、米Yahooの多くのユーザのパスワードおよび電子メールアドレ スを入手してみせました。影響を受けるその他のメジャなウェブサイトとし ては、Flickr、Imgur、OKCupid、Stackoverflow、そしてEventbriteが報告され ています。

Appleがこのバグのためにパッチを公開することはありますか?

残念ながら、これはAppleのソフトウェアやハードウェアのバグではありませ ん。このバグは、ウェブサーバおよびネットワーク対応機器がセキュアなSSL接 続を確立するために使っているオープンソースソフトウェア内に存在していま す。言い換えれば、ウェブサイト自体に問題があるわけですから、お使いのコン ピュータやスマートフォン、あるいはタブレットではパッチできないのです。

なお、OS X Mavericks 10.9と一緒に出荷されているOpenSSLのバージョンには、 このバグは影響しません。

ウェブサイトにHeartbleedバグの影響があるかどうかを知ることはでき ますか?

多くのウェブサイトが、サーバに脆弱性があるか調べる試験を作成しています。 興味があれば、https://ssllabs.com/ssltest/、あるいはhttp://filippo.io/Heartbleed/を確認してください。

Appleのウェブサイトは安全ですか? 脆弱性の影響を受けますか?

試験によれば、Apple自身のウェブサイトはこのバグの影響を受けません。

Heartbleedについて、もっと詳しく知りたいのですが?

Codenomiconの人達によるall about the Heartbleed bugというウェブサイトを参 照ください。

About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker.
He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats.

Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security.

Follow him on Twitter at @gcluley.
View all posts by Graham Cluley →


Posted on April 9th, 2014 by

2014年3月5日水曜日

Caretoマルウェアの素顔を探る

今週のニュースでは、Mac、Windows、そしてLinuxコンピュータを問わず、31カ 国で1,000台以上に感染したと報告されたCareto(スペイン語で仮面の意味)マ ルウェアが盛んに取り上げられました。マルウェア研究者に発見されてからは、 その活動を休止していますが、このマルウェアの攻撃がいつ再開されてもおかし くないとGizmodoは指摘しています。

IntegoのMac用アンチウイルスソフト、VirusBarrierは、 最新のマルウェア定義ファイルでCaretoを含むMacを狙う既知のマルウェア対す る保護を提供します。

Caretoマルウェアは、フィッシングメールを利用してコンピュータに感染する と、ネットワーク通信やキーストロークを記録し、Skype通話を盗聴し、さらに 暗号化キー、SSHキーあるいはVPN設定を検索して、指令管制サーバへ報告します。

セキュリティ研究者によれば、攻撃にはいくつかの方法があることが分かってい ます。例えば、少なくとも一つのAdobe Flash Playerの弱点の悪用(CVE-2012-0773)、なりすましによる誘導、強制的に JavaUpdate.jarファイルをダウンロードして実行させたりChromeブラウザのプラ グインをインストールさせるなどです。その他の弱点の悪用もあり得ると考えら れます。

Caretoの作者は、分かっていません。セキュリティ研究者は、その高度で複雑な 設計からCaretoの背後には国家がついていると考えています。弊社でも、さらに 詳細が分かり次第、報告させていただきます。

Posted on February 14th, 2014 by


intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/