エフセキュアブログ

2015年08月

インターポールの新しい複合施設に行ってみた

INTERPOL's Global Complex for Innovation in Singapore 今週、私は当社のマレーシア研究所のSu Gim Gohと、シンガポールにあるインターポール(国際刑事警察機構)の新施設IGCI(INTERPOL Global Complex for Innovation)を訪れる機会を得た。内部では世界中からやってきたアナリスト達の部隊が、サイバー犯罪を含む国際犯罪の捜査を行っていた。

 私達は詳細に踏み込むことはできなかったが、それでもなお職員の持つ、TorやBitcoinに関する専門知識のレベルを垣間見て感銘を受けた。

以上。
@mikko

広告インジェクションを避けるために、なぜVPN以上のものが必要なのか



インターネット上では、かなりの量の広告を目にしますよね。しかし、見るべき以上のものを目にしている可能性がかなり高いと思います。携帯電話会社、インターネットプロバイダー、Wi-Fiホットスポット、マルウェア、ツールバー、ブラウザ拡張機能はすべて、皆さんがお使いのウェブブラウザに広告を注入することができます。そして、それらの広告からマルウェアを仕込まれる可能性があるのです。

この夏の初め、Yahoo!にアクセスした何人かの人たちは、「広告の影響は人の心以外のものにも及ぶ」ということを、身をもって学びました。『ニューヨークタイム』誌は次のように報道しています。

ハッカーたちは7日間、Yahooの広告ネットワークを利用して、Yahooのなかでもトラフィックの非常に多いウェブサイトにアクセスするコンピュータに悪意のあるコードを送っていたと、月曜、Yahooから発表がありました。

7月28日に始まったこの攻撃は、オンラインで何百万人もの人にリーチできるよう設計されている、インターネットの広告ネットワークを悪用した一連の攻撃のなかで最新のものでした。


この特定の脅威は、Adobe Flashの脆弱性を悪用したものでした。Flashには、ほぼ常に悪用可能な脆弱性が見つかりますね。Adobeは火曜、Flashに対して今年12回目となるアップデートをリリースしました(皆さんがFlashの使用の停止を考慮すべきもっともな理由ですよね)。

第三者によりブラウザに注入された広告をユーザーがかなりの頻度で目にしていることに、専門家たちは気づいていました。しかし、Googleが今年の5月に研究結果を発表するまで、問題の範囲がはっきりとしていませんでした。その発表によると、ウェブサイトのオーナー、つまりこのケースではGoogle自身に無断で注入された広告を表示していたGoogleのサイトに、何百万人というユーザーがアクセスしていたということです。

報告書では、「ユーザーのブラウザと注入された広告を操る50,000以上のブラウザ拡張機能、34,000以上のソフトウェアアプリケーションが発見されました。これらのパッケージの30%以上が、完全に悪意のあるものであり、同時にアカウントの認証情報を盗み出し、サーチクエリを乗っ取り、追跡目的でユーザーのアクティビティを第三者に報告していました」とされています。

この問題を完全に解決するには、すべての広告ネットワーク、モバイルプロバイダー、インターネットサービスプロバイダーが、私たちのブラウザに広告を詰め込むという非常に利益性の高い慣習に厳しい措置を取る必要があります。しかし、そうなるとは思わないでください。少なくとも近いうちに実現することはありません。
だからと言って、何もできないというわけではありません。

残念ながら、皆さんも知っているような、頭文字で表される主なプライバシー/セキュリティ機能の多くは、役に立ちません。Secure Sockets Layerを表すSSLなどのことです。これは、皆さんがお使いのブラウザとウェブサイト間の通信を暗号化するものです。VPNもそうです。これはVirtual Private Networkの略です。こうしたタイプのソフトウェアは、インターネットトラフィックのために暗号化したトンネルを構築するものですが、不正なトラフィックをブロックしたり、フィルターにかけることはありません。

では、何なら役に立つのでしょうか?

エフセキュアのマルウェア保護チームのリーダーであるティモ・ヒルヴォネンは、「携帯端末も含め、インターネットに接続している時は、不正なウェブコンテンツを自動的にブロックするエフセキュアのFreedomeのようなセキュリティソフトを必ず使い、保護を行うようにしてください」と述べています。
FreedomeはVPNでは? そうです。しかし、それだけではありません。

Freedomeは皆さんのデータを暗号化し、皆さんのデバイスやPCの位置情報の管理を可能にします。また、トラッカーが皆さんに関する情報を探るのを防ぎます。さらに、マルウェアのスキャニングを行い、害のあるサイトやトラッカー、アプリからの保護を提供します。

インターネット利用時に余計な広告が表示されると、セキュリティが脅かされるだけでなく、気も散りますよね。自分で対処しようと思っているのであれば、VPN以上のものが必要になります。

>>原文へのリンク

性格診断よりもFACEBOOKに聞いてみよう(投票)




広告が、大企業の大きな原動力になっているケースがあります。Googleは57,000人以上の社員を抱え、その収益は660億ドルを超えています。Facebookの収益は120億ドル、社員は10,000人です。この二つの巨大企業は、広告収入を財源としてネット上でサービスを提供する最も有名な企業と言えるでしょう。そして、最近の広告はターゲティング広告となっており、企業側はユーザーが見たいと思っているものを知っていなければなりません。ということはつまり、皆さんのことを知っているということです。

では、Facebookを詳しく見ていきましょう。Facebookの広告設定に関する記事は以前に書きました。そして私はしばらくの間、自分のデータを追跡してみました。ターゲティング広告に使われるデータの一部は、年齢、性別、生まれた場所、見た映画など、ユーザー自身が入力したものです。しかしFacebookは、ユーザーがどのようなものを好きなのかを特定するため、Facebookやその他のサイト上の行動も分析しています。Facebook内でのトラッキングがどのように機能しているかは明らかです。Facebookのサーバーは、ユーザーがどのようなリンクをクリックしているかを単純に記録しているのです。他のサイトにおけるトラッキングに関しては、ちょっと嫌な感じですよね。これについては、以前の記事で書いています。

アクティビティの記録はFacebookによって分析され、ユーザーは「Your Ad Preferences(あなたの広告設定)」と呼ばれる興味のカテゴリに割り当てられます。広告主はターゲットとするカテゴリを選ぶことができます。そして、そうしたカテゴリに基づいて、広告が表示されることとなります。このリストは閲覧、管理が可能ですが、このページはFacebookのメニューの奥深くにうまく隠されています。

あなたの広告設定は後で見ることにして、まずはこのことに関して意見を述べさせてください。広告というのはうっとうしいこともありますが、最近では多くの「無料」サービスを提供するための原動力となっています。ですから、Facebookが広告収入で運営を行っていることを責める気はありません。ターゲティング広告を行っていることも、責める気はありません。これは、理論的には良いことでもあります。自分にとって有益かもしれない、より関連性の高い広告が表示されるからです。しかし、ターゲティング広告というのは、データ収集に基づいて行われるものです。これが油断のできないところです。このような幅広い個人プロファイルの取り扱いにおいて、Facebookなどの企業を信用できますか?その他の目的に悪用されないと信じることができるでしょうか?

これについてFacebookはある程度オープンであり、私たちに「Your Ad Preferences」を閲覧させてくれるのは良いことです(注:すべての国で利用できるわけではありません)。しかし、この呼び方は本当に誤解を招きます。これは「Facebook’s Ad Preferences for You(Facebookがあなたのために行った広告設定)」とすべきでしょう。もちろん、ユーザー自身でカテゴリを確認して削除することもできますが、これで自分の管理下に置いたと勘違いしてはいけません。Facebookはあなたの行動の分析を続け、削除したカテゴリもすぐに再登録します。私は数か月前にすべて削除したのですが、再び210以上の興味のカテゴリが表示されています!Facebook以外でのトラッキングはブロックしてあるわけですから、これは本当に驚きです。つまり、Facebook以外のアクティビティはあまり関係ないということですね。私は原則として、Facebookを含むオンラインメディア上の広告は一切クリックしないことにしています。商用ページの「いいね!」も、非常に制限的にしか行っていません。

しかし本当はFacebookも、人が広告を嫌っていることを分かっています。「Suggested posts(おすすめの投稿)」や「Sponsored posts(スポンサーによる投稿)」は、実は姿を変えた広告であり、これらに反応してしまうと、その投稿が属するカテゴリにユーザーが興味を持っていると記録されてしまうのです。正直に言うと、私も普段こうしたコンテンツをクリックしています。

ページ上部のスクリーンショットの「自殺」の項目はどこから来たのでしょうか?いえ、私は大丈夫です。橋から飛び降りたりしません。精神衛生面も心配はありません。自殺に関連するFacebookのコンテンツは、何も触っていません。ただ、それを確実に知ることはできません。FacebookはAd Preferencesの設定をユーザー自身が管理できるようにすることで、オープンかつ正直なイメージを示そうとしていますが、そのようなバラ色のイメージが、すべてではありません。実際Facebookの広告の内部構造は、非常に複雑な秘密のシステムなのです。Facebook上で何らかの行動をした際、それが自分のプロファイルにどう影響するかは知りようがないのです。私にはまったく見当もつきませんが、私がクリックした何かが、おそらく自殺と関連があったのでしょう。

ここでFacebookの性格診断を受けてみましょう。Facebookはあなたがどのような人間であると考えているでしょうか。手順は下記のとおりです。
  1. Facebookにアクセスし、広告、あるいは「sponsored post」、あるいは「suggested post」を確認します。
  2. これらの項目には、右上にX印あるいは下矢印があるはずです。クリックしてみてください。
  3. ポップアップメニューの「Why am I seeing this?(このメッセージが表示される理由)」を選択します。
  4. この画面にはいくつか興味深い情報が含まれていますが、「Manage your ad preferences(広告設定の変更)」に進んでください。
  5. リストを確認し、ここに戻ってきて皆さんの意見を聞かせてください。
  6. 不適切なカテゴリを削除します。すべて削除すると、表示される広告の数が減るかもしれません。
では、このテストの正確さについて、皆さんがどう思っているのかを見てみましょう。
 
下の選択肢のうち、FacebookでのあなたのAd Preferencesを最もよく表しているのはどれですか?
  • すごい、ピッタリ! まさに自分に当てはまる。
  • ほとんどは合っているけど、完璧ではない。カテゴリの半数近くは削除する必要がある。
  • かなりひどい。カテゴリの半分以上が間違っている。
  • うわ、これはひどい! 誰かが自分のアカウントを使っていたに違いない。

 

FacebookのAd Preferencesを性格診断に使ってみるのもおもしろいですが、結局あまり精度の高いものではありません。他に本物のテストを探したほうが良いでしょう。問題は、どのテストを受けるかは自分で選べますが、あなたに関するデータを他人がどのように収集するかは選べないということです。誰かがこのテストを頼りに、あなたの評価を行っているかもしれません。実際のところ、あなたは基本的に誰とでもこのデータを共有する権利をFacebookに与えてしまっているのです。登録前に読み、承認した同意書のこの一節を覚えていませんか?

「Facebookの事業をグローバル規模で支援するベンダー、サービスプロバイダ、その他のパートナーには情報を移転します。そのようなパートナーには、技術インフラを提供する企業、Facebookサービスの利用状況を分析する企業、広告やサービスの効果を測定する企業、カスタマーサービスを提供する企業、支払いを円滑にする企業、学術的研究や調査を実施する企業が含まれます。」
 この部分、登録前に読みましたよね?

安全なネットサーフィンを
Micke

>>原文へのリンク


AmazonがFlash広告にノーを突きつける

 近頃、Flashベースのマルバタイジングが猛威を振るっている。そのため以下のような発表がなされるのは時間の問題でしかなかった。

 「Beginning September 1, 2015, Amazon no longer accepts Flash ads on Amazon.com, AAP, and various IAB standard placements across owned and operated domains.)、または所有および運用するドメイン上のIAB(Interactive Advertising Bureau)標準の様々なプレースメント広告において、Flash広告を受理することはない。」

Amazon Advertising Technical Guidelines
Amazon Advertising Technical Guidelines

 AmazonはFlashを禁止する以上のことを行っている。以下に例を挙げる。

  • 広告を提供するサーバのドメインからのみコンテンツを受け付ける
  • ドメイン名がある場合に限定し、IPアドレスしかないものは受け付けない
  • 表示されるURLは実際の宛先でなければならず、リダイレクトは認められない

 詳細はこちら

 これはAmazonとしては非常にすばらしい動きであり、願わくば他の企業も遅かれ早かれ同様の措置を講じてほしい。Flashベースの広告は、現在は非常にありふれたセキュリティ上のリスクだ。ない方が、みんながより幸せになる。

 @5ean5ullivan

もうすぐだ…

 我々の「構築プロジェクト」はうまく運んでいる。

A work in progress

 あとこれを解決しなくては…。

Mobile usability issues

 Fix mobile usability issues?(モバイル機器での使い勝手に関する問題を修正してくださいって?)

 翻訳:貴サイトは、当社のAndroidスマートフォンや広告のさらなる売り上げに貢献していません。

 まあ「問題」が何であれ、もう間もなく解決される。

セキュリティエキスパートによるパスワードに関する3つのアドバイス



パスワードは、オンラインアカウントにとって鍵の役割を果たします。アカウント所有者だけが知る安全性の高いパスワードは、メールやソーシャルメディアのアカウント、オンラインバンキングの口座などを、利用する本人だけがアクセスできるようにします。一方で危険なパスワードは、アカウントへの不正アクセスを防止する機能が十分でなく、結果としてアカウント所有者が、個人情報窃盗などの、深刻なセキュリティリスクにさらされる恐れがあります。残念なことに、推測や解読されやすいパスワードを、何度も使い回している人は少なくないのです。

Googleの研究者が最近行った調査では、 セキュリティ研究者たちが推奨する、最も一般的なアドバイスや実践方法を明らかにしています。当然のことながら、これらの中にはパスワードに関するものが含まれていました。この調査から、パスワード作成に関してセキュリティエキスパートが望ましいと考える方法と、一般ユーザの実際の方法には隔たりのあることが明らかになっています。ここで、アカウントの安全性を保つためのパスワードの使い方について、セキュリティエキスパートによる役立つアドバイスを3つ紹介しましょう。

1. 強力なパスワードよりも、固有のパスワードのほうが重要である

専門家が勧める方法の1つは、強力で固有のパスワードを設定することです。このアドバイスを聞いたことのある人は大勢いるでしょうが、実践している人はごくわずかです。もしも、こちらの記事が紹介しているコンピュータサイエンスを研究する教授のドレスに、あなたのパスワードが載っていた場合、あなたのパスワードはアカウントを安全に守れていないことになります。

主要なオンラインサービスプロバイダの多くは、自動的に、パスワードの文字数や文字の組み合わせなど、一定のガイドラインに従ってパスワードを設定させる仕組みになっており、パスワードの強度についてフィードバックも行っています。しかし、エフセキュア セキュリティ・アドバイザーのショーン・サリバンらセキュリティ研究者によると、強力なパスワードはもちろん大切ですが、固有のパスワードを設定することも、アカウントの安全性を保つ上で同じくらい重要な意味があるのです。

基本的なことですが、固有のパスワードを使用するということは、同一のパスワード、あるいは同じ言葉やフレーズを一部変更しただけのパスワードを、別の複数のアカウントで使い回さないということです。Googleの研究者はこのことを、車や会社、さらに家のあらゆるドアを1つの鍵で済ませてしまうやり方に例えています。サービスごとに固有のパスワードを設定することが重要なのは、こうしておけば、万が一アカウントが1つ侵害されてしまったとしても、オンライン上のすべてのアカウントのパスワードが知られてしまうことがないからです。

強力なパスワードとは、文字数が多く、大文字、小文字、数字、特殊記号を組み合わせたパスワードです。また、パスワードには本人しか知らない言葉やフレーズを使用することが大切であり、一般の人々になじみのあるフレーズやスローガン、あるいは本人を知っている人が容易に推測できるものは避けるべきです。しかしそれでも、これらのパスワードを解読する方法が多数存在することは、エフセキュアブログの記事『ハッキングから身を守るためにとるべき方法』からも明らかです。

アカウントごとに固有のパスワードを使い分けることによって、侵害された1つのパスワードを犯罪者やスパイに悪用され、別の複数のサービスにアクセスされる事態を防げるのです。サリバンは、オンラインバンキングや、仕事に関連したメールやソーシャルメディアのアカウント、個人的なドキュメントを保管しているクラウドストレージサービスなどの重要なアカウントに、固有の強力なパスワードを設定することが、オンラインアカウントのセキュリティを万全にするうえで不可欠だと述べています。

2.セキュリティエキスパートがパスワードマネージャーを利用するのには理由がある

ある研究によれば、標準的なインターネット利用者は、26 個のオンラインアカウントを所有しているそうです。「標準的なインターネット利用者」に該当し、それぞれのアカウントに固有のパスワードを設定しているとすると、非常に多くのパスワードを抱えることになります。安全性を重視したばかりにパスワードがわからなくなって、自分のアカウントを使えなくなる事態に陥りかねません。

専門家がパスワードマネージャーの利用を推奨するのはこのためです。パスワードマネージャーを利用すれば、それぞれのアカウントに固有の強力なパスワードを設定し、確認しやすく安全にまとめておけるため、アカウントのセキュリティ対策は万全になります。パスワードマネージャーの働きによって、本人しか知らない強力な固有のパスワードで、26 個以上ものオンラインアカウントの安全性を保ち、データを保護することが可能になるのです。Googleの調査に参加したセキュリティエキスパートの73% がパスワードマネージャーを利用しているのは、まさにこの理由からです。その一方で、一般ユーザの利用はわずか24%に過ぎませんでした。

3.セキュリティ機能をさらに活用する

そのほかにアカウントを守る優れた方法としては、可能な限り2要素認証を有効にすることが挙げられます。基本的に、2要素(多要素)認証は、2つの異なる方法を用いてアカウント所有者本人であることを確認します。例えば、アカウントの保護にパスワードを利用するだけでなく、バックアップとしてユーザに電話番号も登録してもらい、アカウント上でパスワードのリセットなどが行われた際には、電話で本人確認を行う方法などです。

2要素認証が利用できるサービスはまだ限られていますが、このオプションが提供されている場合には利用することをセキュリティエキスパートは推奨しています。2要素認証を利用する人気のサービスや、ここで取り上げた以外の、オンラインアカウントを安全に保つ効果的なパスワード利用法については、こちらをご覧ください。

これは罠だ!

 身の回りに気を付けよう。単純な餌は、しばしば最大の効果を発揮する…。

 ここに最新のスパムメールの例を挙げる。次のような名前で添付されたExcelファイルだ。

Payment instruction & Swift.xls
Payment instruction & Swift.xls
マクロベースのマルウェアが添付された「Payment」マルウェア

 このExcelの添付ファイルには悪意のあるマクロプログラムが含まれており、DarkComet RATのダウンロードおよびインストールを試みる。エフセキュアではこの添付ファイル(および類似のもの)をW97M.Downloader.Cとして検知する。

 ひどい代物だ。

 この餌についてだが…、スパムメッセージは私の「Bulk」フォルダに行きつく。なぜか?直接私に宛てられていないメッセージは、そちらへ追い払うルールを適用しているからだ。攻撃未遂者はBcc:フィールドを使用しているため、もっとも信頼度の低いフォルダにこうしたメッセージが行き着くことを確実にしているのだ。読者の皆さんや、もっと重要なのは皆さんの所属する組織の支払担当の人については、どうだろう?この罠を開いて実行しやしないだろうか?そうかもしれない。人間なのだから。

 ヒューマンエラーの機会を減らそう。Officeファイル中のマクロを無効にするのだ。

 @5ean5ullivan



エフセキュア、マイナンバー制度対策でエンドポイント型サンドボックス導入促進キャンペーンを開始

エフセキュア株式会社は、中小中堅企業の「社会保障・税番号制度(以下、マイナンバー制度)」対応に向けたセキュリティ対策強化を支援するため、「エンドポイント型サンドボックス導入促進キャンペーン」を開始しました。

昨今、マルウェア感染を起因とした情報漏洩の報告が続いています。一方、2016年1月からはマイナンバー制度の運用開始が予定されており、自治体や企業は情報漏洩対策のさらなる強化が喫緊の課題となっています。こうした状況で、エンドポイントへのサンドボックス機能の導入が、手軽でコスト効率が高く、即効性のある対策として注目されています。エフセキュアのクラウド型セキュリティ・ソリューション「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は標準でサンドボックス機能を備えており、中小中堅企業でのマイナンバー制度対応に向けたセキュリティ対策強化の手段として有効です。このためエフセキュアは、「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」を新規で10ライセンス以上購入される場合に10%のディスカウントを適用することで、エンドポイント型のサンドボックスの導入を促進いたします。なお本キャンペーンは2016年3月28日までの弊社受注分が対象となります。

エンドポイントにもふるまい検知とサンドボックスが必須

独立系機関AV-TESTによれば2014年に発見された新種のマルウェアは1億4000万種を越えており*、アンチウイルスソフトの検知率のわずかな違いが致命的な大きさに繋がります。エフセキュアは、AV-TEST から4年連続でベスト・プロテクション賞を受賞しており、その検知率の高さが客観的に認められています。その技術の一つがサンドボックス機能です。「サンドボックス機能」により、定義ファイルによる旧来型のマルウェア防御に加え、未知のマルウェアによる攻撃からも高い精度で防御可能になります。「エフセキュア プロテクション サービス ビジネス(PSB)ワークステーション」は「サンドボックス機能」に加え、さらに「ふるまい検知機能」も標準で装備しており、実行中のプログラムの挙動を監視することで、「サンドボックス機能」による検知をもすり抜けるマルウェアに対しても有効に機能し防御可能になります。

標準で脆弱性対策機能を搭載

脆弱性対策は、現在最も優先度の高いエンドポイントのセキュリティ対策です。多くのマルウェアがソフトウェアの脆弱性を狙ったものであり、エフセキュアの調査ではマルウェア感染の80%以上が、セキュリティ・パッチを当てていれば未然に防止できていたことが判明しています。「エフセキュアプロテクション サービス ビジネス(PSB)ワークステーション」に標準で搭載された「ソフトウェア・アップデータ」は、OSやアプリケーションのパッチ管理を容易にし、既知の脆弱性対策を強化します。

エンドポイントでも出口対策の強化を

エンドポイントにおいて情報漏洩対策機能を強化することも重要です。「エフセキュア プロテクション サービス ビジネス(PSB) ワークステーション」の「アプリケーション通信制御」機能は、実行中のプログラムを監視し、疑わしい通信を未然に遮断することで、情報漏洩の被害を食い止めます。

詳細:
* http://www.av-test.org/en/statistics/malware/
エフセキュア プロテクション サービス ビジネス(PSB)
https://www.f-secure.com/ja_JP/web/business_jp/products/protection-service-for-business

Apple Watchユーザのプライバシー保護を簡単に




エフセキュアは、Apple Watch に対応したF-Secure Freedome 最新版をリリースしました。iPhoneで Freedome をお使いのお客様は、Apple Watch でのVPN(仮想プライベートネットワーク)の管理・監視が可能になり、データをリスクにさらすことなく、自由に Apple Watch の利用を楽しめるようになります。

サードパーティ製アプリを実行するスマートウォッチなどのウェアラブル端末は、今後数年でより一層普及が進むと考えられています。IT専門調査会社IDCのレポートによると、「スマートなウェアラブル」端末の出荷台数は、2015年に前年比 683% の成長が見込まれており、 2015年末までに3,310万台が出荷される見通しとなっています*。エフセキュアのネクスト・ジェン・セキュリティ担当ディレクターのヤンネ・ピルティラーティは、今回Freedome がApple Watchに対応したことにより、ユーザはApple Watchのさまざまな操作を試す際にも、プライバシー保護を簡便に実現できると述べています。

ピルティラーティはさらに次のように述べています。「ウェアラブル端末の普及が進むにつれ、ワイヤレス端末の活用の幅がさらに大きく広がっていくので、Apple Watch のような製品は非常に刺激的です。その一方で、新しいタイプのアプリは新たな習慣を生み出すことが多く、iPhone利用法にも変化がもたらされると考えられます。 Apple Watchユーザは、習慣が変わることで自らのデータがリスクにさらされる恐れがあることを、しっかり把握しておく必要があるでしょう。今回発表されたFreedome最新版は、Apple WatchでのFreedomeの管理を可能にし、このプロセスをいつでも簡単に行えるようにしています」

Freedome 最新版のリリースにより、ユーザはApple Watchを、手持ちのiPhoneで実行しているFreedomeのリモコンとして利用し、データを常に保護できるようになります。具体的には、iPhoneを通じて、データが安全でない公衆ワイヤレスネットワークにさらされることのないよう、Apple Watchを利用してアプリのオン・オフを行ったり、Freedomeのブロックしたトラッキング件数をApple Watchで監視が可能になります。

Freedomeはボタンを1回押すだけでVPNを提供し、通信の暗号化、ジオブロック(地域制限)のあるウェブサイトやストリーミングサービスにアクセスするための仮想ロケーションの変更、悪意のあるウェブサイトやインターネットのトラッキングのブロックなどを簡便に実現します。Freedomeは現在、iOS、Android、Windows PC、OS X、Amazon Fire 端末に対応しています。


*出典:http://www.businesswire.com/news/home/20150618005154/en/Worldwide-Wearables-Market-Forecast-Grow-173.3-2015#.VY0aUWO-VPJ

詳細情報: 
Freedome  https://www.f-secure.com/ja_JP/web/home_jp/freedome

iOS 8.4.1のセキュリティの中身について

 iOSのバージョンが新しくなると、いつも私はセキュリティアップデートについてもっと知りたくなる。

 アップルのサポートでは、「Apple security updates」という中心的なページを用意している。ここでiOS 8.4.1のアップデート情報が得られる。それによると71件の脆弱性に対応している。

iOS 8.4.1 security
iOS 8.4.1で対応した71件のCVE(Common Vulnerabilities and Exposures)のうちの4件

 今回のアップデートはファイルサイズとしてはたいして大きいわけではないが、iOS 9が近日提供されるとしても、当該アップデートを適用する価値はあるだろう。

 このアップデートはiOSデバイス上で「設定>一般>ソフトウェア・アップデート」と辿るとダウンロードできる。

 @5ean5ullivan



準備中

 このブログ(https://www.f-secure.com/weblog/)の常連の読者の方なら、最近、更新が遅いことにお気づきだろう。

Under Construction
工事中

 とうとうGreymatter 1.7.3から更新することにした。ここは世界でもっとも古いGreymatterのブログかもしれないが、もうすぐ変わる。

 詳細は追って連絡する。

 それと同時に、引き続きTwitterで情報を得られる。

マルウェア・オン・ザ・ウォーター

 (訳注:「こういうのは初めて見た。ディープ・パープルの『スモーク・オン・ザ・ウォーター』の歌詞の冒頭が、マルウェアのサンプルに埋め込まれている。」という意味)



お使いのAndroid端末の「Stagefright」バグ問題に対処する2つの方法



今回、「Stagefright」のバグ問題で知られる Android の脆弱性によって、Android オペレーティングシステムの抱える問題点が浮き彫りになっています。 理論的には、たった1通のマルチメディアメッセージ(MMS)によって、携帯電話が乗っ取られる恐れがあるのです。

エフセキュアラボでは、この脆弱性を狙った脅威の監視を鋭意継続中です。 理論上は攻撃リスクが高く、またAndroidを標的としたさまざまなモバイルマルウェアが定期的に確認されているものの、今回のAndroid の脆弱性を狙った攻撃がまだ観測されていないということは、喜ばしい状況と言えるでしょう。

しかし今回の問題は重大であり、Android のセキュリティ対策全般について、全面的な見直しが必要になってきています。

エフセキュアのミッケは次のように述べています。

Androidは世界中で最も広く使用されているオペレーティングシステムで、2014年に出荷された端末のうち48 %が Android を搭載しています(ガートナーによる)。これらの端末には携帯電話、タブレット、ラップトップ型およびデスクトップ型コンピュータが含まれます。Android を搭載した端末は世界中で10億台以上使用されており(Googleの『端末有効化データ(device activation data)』による)、その大半が「Stagefright」のバグを抱え、パッチを受け取ることのない端末も多数に上ります。これは重大な問題です。

ソフトウェアを更新し常に最新の状態にしておく機能は、セキュリティ対策を万全にするうえで必要不可欠な要素です。Androidは優れた適応性によって目覚ましい発展を遂げてきました。しかし一方で、この適応性の高さゆえに、Androidエコシステムの断片化が進んでしまったのです。

アダムは 『エフセキュア ビジネスインサイダー ブログ(F-Secure Business Insider blog)』で次のように述べています。「Googleによる最近のデータでは、Androidの6 つのバーションが広く使用されています。そのうち最も普及しているバージョンはKitKat(Android 4.4)ですが、これを搭載している端末は全体の40%足らずです。 残り約60% の端末の大半には、KitKat(Android 4.4)以外の5つのバージョンが搭載されていることになりますが、それぞれの端末がカスタマイズされており、サポートのレベルも携帯電話会社やメーカーによってまちまちです」

つまり、多くのユーザが、手持ちの携帯電話をまったくアップデートできない恐れがあるのです。

エフセキュア セキュリティ研究所主席研究員であるミッコ・ヒッポネンは、次のようにツイートしています。「はっきり言って、Android搭載の携帯電話を更新しようとした場合、最も手厚いサポートが受けられる方法として考えられるのは、最新のAndroidを搭載した携帯電話に買い替えることだ」

多くのAndroid ユーザにとっては、これは明らかに不可能な選択肢です。

『The EFF』のクーパー・クインティン氏は次のように述べています。「Androidエコシステムの断片化は、社会経済にも影響を及ぼしています。旧型の安価な携帯電話には、Androidの古いバージョンが搭載されているケースがほとんどです。このような場合、ベンダはサポートサービスを提供していないことが多く、ソフトウェアの更新サービスが行われていないことも珍しくありません。その一方で、新型で高価格な携帯電話(特にGoogleのNexus端末)には、迅速な更新サービスが確実に提供されているのです」

更新プログラムが配布される場合は、手持ちのAndroid端末をアップデートして、「Stagefright」などの、脆弱性を悪用した脅威を防御するためのセキュリティ対策を講じておきましょう。そのほかにユーザが当面するべきこととして次の2つの方法が挙げられます。

1. 手持ちの携帯電話でMMSを処理するメッセージアプリをチェックする。
お使いの端末で、デフォルトのメッセージアプリもしくはGoogleハングアウトを確認し、アプリ上でMMSメッセージの自動取得機能を無効化しておきます。こうすれば受信メッセージに組み込まれたエクスプロイトが端末へ自動ダウンロードされるのを防ぐことができます。

2. 信頼できるソース以外からの写真・ビデオ付きメールの開封や閲覧を避ける。

この問題に関する最新情報は、今後もブログでお伝えしていく予定です。

それではまた

サンドラ

>>原文へのリンク

悪意のある数独問題ファイルを読み込むことで任意のコマンドを実行される脆弱性

概要
シンガポールの首相リーシェンロン氏によって開発されたSudoku solverには、バッファオーバーフローの脆弱性が存在します。

sudoku-2015-000001

影響を受けるシステム
Sudoku solverを組み込んだシステム

詳細情報
Sudoku solverには入力データの処理に起因するバッファオーバーフロー (CWE-121) の脆弱性が存在します。



想定される影響
細工された数独問題ファイルを読み込むことで、任意のコードを実行される可能性があります。

対策方法
不審な数独問題ファイルを開かないようにしてください。

参考情報謝辞
IT先進国を目指す国家のリーダー像を自らの行動で示すリーシェンロン氏に対し深い謝意を表します。

「Stagefright」のバグに起因するAndroidの脆弱性― 携帯電話ベンダは対応に苦慮



コンピュータセキュリティ対策として、「常識を働かせ、システムをパッチ修正し、アンチウィルスをインストールしなさい」という、以前から言われてきたアドバイスについては、聞いたことがあるはずです。これが優れたアドバイスであることに変わりはありませんが、コンピュータセキュリティを取り巻く状況は変化しつつあります。このアドバイスは、かつてはエンドユーザに対して繰り返し言われてきたものでしたが、時代は変わり、今やメーカーに対してアップデートの重要性を強調しなければならなくなってきています。エフセキュアブログでは先頃、ジープの遠隔操作防止に対するクライスラー社のすばやい対応について取り上げたばかりです。クライスラー社はジープ用ファームウェアの最新版を作成したものの、アップデートの適切な配布チャネルを持っていませんでした。Androidで使用されている「Stagefright」も同様の問題を投げかけていますが、こちらはさらに問題が拡大する恐れがあります。

まず「Stagefright」について簡単に見ていきましょう。「Stagefright」はAndroidシステムに組み込まれたモジュールの名前で、動画ファイルを読み取り、端末上で再生する機能があります。不正な細工をした動画コンテンツを利用して、攻撃者がシステムを乗っ取る可能性があるというのが、今回の「Stagefright」バグの脆弱性です。さまざまなチャネルから受信したコンテンツを自動的にプレビューする「Stagefright」の機能が、今回のバグを深刻なものにしているのです。不正なビデオメッセージを送りつけられた場合、受信者がメッセージを開封しなくても、Android端末に不正侵入されてしまう恐れがあるためです。常識を働かせて、怪しげなメールの添付ファイルを開封しないことはできますが、今回はそうはいきません。通常「Stagefright」は受信したコンテンツを自動的にプレビューする設定となっているため、ここでは常識が役に立たないのです。

さらに悪いことに、この件に関してユーザにできることは非常に限られており、携帯電話会社やベンダから修正パッチが配布されるのを待つしかありません。また、多くのユーザにとっては、待つだけ無駄ということになるでしょう。このような事態は、Androidシステムの開発およびライセンスのしくみと密接な関係があります。LinuxをベースとしたAndroidシステムはGoogleによって開発されていますが、完全なオープンライセンスで公開されています。携帯電話ベンダがAndroidを使用する場合、Googleから直接入手していないケースがほとんどです。各ベンダは差別化を図るため、それぞれのニーズに合わせてAndroidに変更を加えています。今回の「Stagefright」のバグに関しては、Googleは速やかな対応を行い、修正パッチを作成しました。従ってGoogleのNexusスマートフォンには直ちに修正パッチが配布される見込みです。しかし、他のベンダにとって状況は複雑です。Googleの修正パッチが各社のカスタマイズしたAndroidと互換性があるかを確認しなければならないため、顧客にリリースするまでには時間がかかる恐れがあります。

しかし、この話は、そもそもベンダが携帯電話をパッチ修正しようとしている場合です。ベンダの一部には、安価なスマートフォンを使い捨て商品と考えているようなケースも見受けられます。これらのスマートフォンは長持ちしないため、販売後のメンテナンスはベンダの負担になるだけなのです。アップデートやパッチを提供しても顧客の買い替えを先送りするだけなので、ベンダの利益にはなりません。このような姿勢は、更新プログラムを送付するプロセスやシステムが不十分な、Android搭載の携帯電話を販売するベンダが一部存在する理由を裏付けるものです。つまり多くの携帯電話はパッチ修正すらされないのです。

この点について、総体的に見ていきましょう。Androidは世界中で最も広く使用されているオペレーティングシステムで、 2014年に出荷された端末のうち48 % がAndroidを搭載しています(ガートナーによる)。これらの端末には携帯電話、タブレット、ラップトップ型、およびデスクトップ型コンピュータが含まれます。Androidを搭載した端末は世界中で10億台以上使用されており (Googleの『端末有効化データ(device activation data)』による)、その大半が「Stagefright」のバグを抱え、パッチを受け取ることのない端末も多数に上るのです。これは重大な問題です。

この記事の執筆段階では、Androidの脆弱性を悪用したマルウェアの拡散は起きていませんが、広範囲に損害を引き起こすワームが発生する条件はすべて揃っています。また、今回のバグはAndroidに5年以上存在していたにもかかわらず、これまで公にされなかった点にも留意すべきです。情報機関が、自らの目的のためにAndroidの脆弱性を密かに利用していたかもしれません。

それでは、ユーザが自らを守るために何ができるでしょうか。なかなか難しい問題です。この記事では総合的なガイドを提供することは目的としていませんが、いくつかのアドバイスを簡単にお伝えしておきます。まず、お手持ちの端末が旧式で、Android 2.2より古いバージョンの場合は、今回の「Stagefright」のバグ問題を心配する必要はありません。また、GoogleのNexus 端末は速やかに修正パッチが配布される見込みですし、CyanogenMod システムを搭載した端末ではパッチがリリースされています。さらに、ユーザのプライバシー保護を重視するBlackphoneは、今回のケースにも迅速に対応すると考えられます。

その他の端末については、「Stagefright」をGoogleで検索し、お手持ちの端末の機種名やベンダ名を調べておくことが望ましいでしょう。その際は、お手持ちの端末に更新プログラムが配布される予定かどうか、また、それはいつになるかということのほかに、脅威を軽減するために設定を変更する方法についても把握しておきましょう。こちらの例もご覧ください。

安全なネットサーフィンを、
ミッケ

>>原文へのリンク

Windows 10を安心して使用するために知っておくべき5つのこと




Windows のアップグレードは、これまで国際的なお祭りのようなものでした。世界で最も普及しているOSであるWindowsの最新バージョンが発売されるたびに、パソコンユーザはバージョンアップをし、Windows 7のどこが気に入ったかとか、Windows 8 やVistaのここが気に入らないなどと意見交換をしたものです。

このように考えると、 Windows 10は1つの時代の終わりを象徴するものです。

Windows 10はWindowsの「最後のバージョン」です。Windows は今や普遍的であり、Windowsと互換性を持つほぼすべてのデバイスが、同様の使用感を提供しています。Windows 10にバージョンアップした後は、継続的なアップデートはありますが、新しいバージョンにアップグレードすることはありません。これは「サービスとしてのWindows」の誕生であると『The Verge』は述べています。

最新バージョンへの無料アップグレードを検討しているか、あるいはWindows 10が搭載された新しいコンピュータの購入を予定している場合には、これから述べる5つの点をおさえて、今後長年にわたる利用も想定されるWindowsの予備知識を持っておきましょう。

1. エフセキュアのチーフ・リサーチ・オフィサーであるミッコ・ヒッポネンによると、Windows 10 でも、ダブルエクステンション形式のファイルの場合、初期設定では拡張子が非表示になっています。
この点に関して、エフセキュアのセキュリティ・アドバイザーであるトム・ギャフニーは『Infosecurity Magazine』で次のように述べています。「『doubleclick.pdf.bat』という名前のファイルがあったとします。Windowsで『登録されている拡張子は表示しない』が有効な場合、このファイルはエクスプローラでは 『doubleclick.pdf』と表示されます。PDFファイルと表示されているので、ユーザがこのファイルを選んでダブルクリックしてしまう可能性があります」

「しかし実際にはこれはバッチファイル(.batファイル)で、ダブルクリックすると複数のコマンドが実行されるようになっているのです」

正体不明なファイルを誤ってクリックしないよう、この点に留意しましょう。

2. すべての連絡先とWi-Fi ネットワークのアクセスを共有することになってしまう可能性があります。
Windows Phone が現在そうであるように、Windows 10でも初期設定ではソーシャルメディアに登録された連絡先とWi-Fi ネットワークのアクセスを共有するようになっている点について、Windows 10が搭載している Wi-Fi Sense が、セキュリティリスクであるかどうかに関しての専門家の意見は分かれています。

『ZDNet』のエド・ボット氏は、「ユーザは意識してネットワークアクセスの共有を有効にするはずであり、偶然そうしてしまうとは考えにくい」と指摘し、セキュリティリスクには該当しないと述べています。

一方、セキュリティエキスパートのブライアン・クレブス氏はそれに懐疑的で、ユーザが「これらの確認メッセージに対して、『はい』をクリックしてしまいがちである」点を理由として挙げています。

『The Register』のサイモン・ロックマン氏は次のように述べています。「理論上は、小規模なビジネスネットワークにアクセスしたいと考えた場合、まず従業員数人とソーシャルメディア上で友達になってから、オフィスの駐車場まで運転して無線ネットワークの範囲内に入り、アクセスすることが可能です。このような事態を防止するためには、基本的な保護手段、特にパスワードの共有を防ぐような安全策が有効です」

エフセキュアのセキュリティ・アドバイザーであるギャフニーは、Windows 10に搭載されているWi-Fi Senseは、「偶発的な誤用、あるいは故意の不正利用の影響を受けやすい」と指摘しています。

ユーザはどのような対策を取るべきでしょうか。

クレブス氏は以下が望ましいと述べています。
  1. Windows 10にアップグレードする前に、Wi-Fi のネットワーク名(SSID)を「_nomap_optout」という語句を含む名前に変更しておきましょう。(これでネットワークをWi-Fi Senseから除外することになります)
  2. アップグレード完了後は、Windowsのプライバシー設定を変更して、Wi-Fi Sense によるWi-Fi ネットワークのアクセスの共有を無効にしておきます。

3.  プライバシー問題についてもいくつかの点を理解しておきましょう。
 『The Next Web』のミック・ライト氏は、基本的には「いかなる場合でも、Microsoft はユーザが何をしているかを把握している」と指摘しています。

Microsoftのサービス規約によると、Microsoft は「『Windowsで実行中のアプリケーションの使用データ』や『顧客が接続するネットワークに関するデータ』などを含む、顧客や顧客のデバイスから」のデータを収集することができ、必要もしくは妥当と判断された場合には、これらの情報を第三者に開示することができます。

この点について、ユーザにできることは非常に限られていますが、 プライバシー設定を確認して、広告主に個人情報がもれることを防ぐことはできます

プライバシー問題について詳しく知りたい場合は、『Extreme Tech』をご参照ください。

4.  Windows 10の新しい「アクションセンター」は便利ですが、管理が面倒になる可能性があります。
すべての通知をまとめたアクションセンターにより、Windows は iPhoneに似てきているようにも思われます。これは、デジタル化が進むことが、結局同じところにたどり着くことだからではないでしょうか。

『BGR』のザック・エプスタイン氏は 「すべての通知をアクションセンターでまとめて確認できるという改善は、歓迎すべき」と述べています。しかし、アクションセンターの管理する通知が膨大になり、管理が面倒になる恐れもあります。

また、エプスタイン氏は次のようにも述べています。「Windows 10では、システムトレイで通知アイコンをクリックすれば通知設定を変更できます。[設定]を開き、[システム]と[通知とアクション]の順に選択するのです」

5.  もちろん、エフセキュアの提供する「F-Secure SAFE」、および「インターネットセキュリティ」、「アンチウィルス」は、すべて Windows 10 に対応しています。


>>原文へのリンク

『WIRED』による自動車乗っ取り実験で浮かび上がる、3つの大きな疑問



US版『WIRED』(Wired.com)が7月21日に発表した記事は衝撃的でしたが、実際に起きても不思議はないことでした。ジープで高速道路を走行中の『WIRED』記者アンディ・グリーンバーグ氏に、奇妙な事が起こり始めたのです。車のエアコンやカーラジオが勝手に作動し出したことに始まり、ついにはエンジンが停止してしまいました。もはや車を運転しているのはグリーンバーグ氏ではなく、2人のハッカー役を務める研究者、チャーリー・ミラー氏とクリス・バラセク氏によって何マイルも離れた場所から遠隔操作されていたのです。2人はグリーンバーグ氏の車に何も手を加えていないどころか、触れたことすらありませんでした。これらはすべて、遠隔操作で車に接続し、車に搭載されたソフトウェアの脆弱性を利用することによって行われたのです。ブレーキとハンドルの遠隔操作については、高速道路で行うのは危険だったため、駐車場に場所を移して引き続き実験が行われました。そうです、「ブレーキとハンドル」の遠隔操作も行われたのです。

ゾッとするのも当然です。この実験は、「モノのインターネット(IoT)」の最近の動向におけるセキュリティ問題を端的に表しています。理論上、インターネットに接続したすべてのものがハッカー攻撃を受け、遠隔操作される可能性があります。「モノのインターネット」というと、通常はトースターや冷蔵庫などの「スマート」な家電製品が思い浮かびますが、インターネットに接続した自動車も、これらの家電と同様に「モノのインターネット」なのです。そしてハッカーに乗っ取られた車のほうが、ハッカーの被害に遭った冷蔵庫よりもずっと恐ろしいものです。今回の自動車乗っ取り実験で浮かび上がった3つの根本的な疑問について、ここで考えてみましょう。

なぜこのようなことが起こり得るのか

今回の実験結果は、自動車メーカーにとっては想定外の出来事でした。自動車メーカーは何十年もの間、安全性といえば変形域やエアバッグなどを念頭に置いていましたが、今やデジタル面のセキュリティも認識していかなければなりません。この分野について自動車メーカーがすでにある程度考慮していることは確かですが、『WIRED』によるジープの実験から明らかなように、彼らは多くのことを学んでいかなければなりません。そもそも私は、今回のような事態を防ぐことだけを考えているわけではありません。完璧なシステムというものは存在しませんし、自動車メーカーは発見された脆弱性に対処することもできるはずです。しかし今回、修正パッチは作成されたものの、パッチ適用のためには車を販売店に持ち込まなければならなかったのです。これは、Windows 更新プログラムの適用のためにわざわざコンピュータを販売店に持っていくようなものです。このことからも、デジタル面のセキュリティ対策が単なるデザインや品質管理の域を超えていることは明らかで、インシデント対応やメンテナンスにおけるプロセスについても対策を講じていくことが重要なのです。自動車メーカーの皆さん、デジタルセキュリティの世界へようこそ。皆さんに学んでいただきたいことは山ほどあります。
 

車の遠隔操作が実行可能なのはわかったけれど、その目的は何なのか

現時点では、車の遠隔操作が可能であることに人々が驚いているレベルですが、今後はそれをどのように利用できるか考える人が出てくるでしょう。ハッカーに車を乗っ取られ、命を落とす可能性についてはマスコミでも盛んに取り上げられています。技術的には可能かもしれませんが、これまでのところ実際にこのようなケースは起きていません。かつてハッカーやウィルス作成者は、好奇心からハッキングを仕掛けたり、能力誇示を目的に悪ふざけをしたりしたものでした。しかし、それも80年代から90年代までの話で、現在のサイバー犯罪者やスパイにとっての動機は、金銭略取と情報収集です。 車を崖から突き落として人を殺すことは、どちらの目的の裏付けにもなりませんが、好奇心をそそるニュースになることは確かです。また車をロックして車中に人を閉じ込め、ロック解除の見返りに身代金を要求するというのも、もっともらしいシナリオです。ハンズフリーマイクをこっそりオンにして、会話を盗聴することもあり得るかもしれません。あるいはドアロックを解除して車を盗むケースも想定できます。いずれにせよ大事なことは、車を狙ったハッカーが何をするかに関するショッキングな見出しの大半は、誇張したものだということです。将来もしこの脅威が現実となったとしても、様相は大きく異なっていることでしょう。それでも、この問題が現実となる前に自動車メーカーが連携して対策を講じることが望ましいことに変わりはありません。

 

一般消費者にとって懸念すべき問題か

あなたの仕事が自動車向けソフトウェアの設計でないならば、この問題を心配する必要はありません。現在マスコミで取り上げられているニュースは自動車業界にとっては重大な警鐘ですが、一般消費者に対する影響はごくわずかです。今回のジープの事例のような初期段階でのインシデントは、顧客に販売店まで車を持ってきてもらい、ソフトウェアをアップデートすれば対応が可能です。しかし長期的に考えると、このようなやり方が持続可能でないことは明らかです。家電製品と同じように自動車の更新プロセスも完全に自動化されるべきです。自動車の更新プロセスは、1年に1度、車両の定期点検の際に最新のソフトウェアを適用するよりももっと速やかに行われる必要があるのですから。インターネットに接続しているすべての自動車において、更新プロセスを自動化するべきなのです。

「でも、車がハッカーに乗っ取られて、崖から突き落とされる問題はどうなのか。それが起きても不思議はないと言うけれど、私は死にたくなんかない」と考える人もいるでしょう。最初にお伝えしたいことは、あなたを殺そうという動機を持つ人間がそもそもいるだろうかということです。幸い、私たちの大半にはそのような敵はいません。もっと重要なことは、それが実行可能かどうかということです。自動車メーカーはハッキングやITセキュリティに関しては経験が浅いかもしれませんが、どんな技術システムでも問題が生じる可能性があることは理解しています。自動車にハードウェアレベルの制御システムが搭載されているのはこのためです。『WIRED』のジープの実験では車を遠隔操作することに成功しましたが、低速時に限ってのことでした。このことは、電子制御のハンドル操作が必要となるのは駐車支援の際であり、高速走行時ではないことを考えると当然のことです。車が一定の速度を超えるとハンドル操作の電子制御機能が作動しないようにすることは安全面からも理にかなっています。その一方で、低速にもかかわらず死亡事故につながるシナリオをいくつか想定することができます。またハッカーが車の速度計をごまかして、実際とは異なる速度を表示させることもあり得るでしょう。ハンドル操作の電子制御機能をオフにするシステムに、ハッカーが偽りの速度数値を入力したらどうなるでしょうか。確かに、ハッカーに乗っ取られた車で命を落とす可能性が絶対ないということはありません。それでも、だれかがあなたの命を狙っている場合は、殺し屋を雇う従来のやり方のほうがまだましな選択だと言えるでしょう。

完全な自動運転車が従来の自動車に取って代わった場合、ソフトウェアとハードウェア(車両)間をまたぐ制御システムは設置されないことも予想されます。このような自動運転車が幅広く利用されるのは当面先のことで、自動運転車のハッキングはさらに先のことになるでしょう。しかし私たちがその方向に向かって進んでいることは明らかであり、過ちをいくつか重ねることで問題が現実となる可能性があるのです。一方で、現在の報道が、デジタル面のセキュリティに対する自動車メーカーの認識を向上させるうえで役立っていることは喜ばしいことと言えるでしょう。

現実的には、ハッカーに車を乗っ取られて殺されるよりも、落下した隕石に当たって命を落とす確率の方がずっと高いのです。ましてや通常の交通事故については言うまでもありません。

 

どうぞ安全運転を、
ミッケ

>>原文へのリンク

公衆無線Wi-Fiでのハッキング実験 日本語テロップ入り動画を公開



エフセキュアは、侵入テストを専門とするMandalorian Security ServicesとCyber Security Research Instituteの協力のもと、公衆無線Wi-FiのユーザーがSNSのパスワードなど重要なデータを簡単にハッキングされることを示す実証実験を、ロンドンにて行いました。テストは英国の3人の政治家、メアリー・ハニボール欧州議会議員デイヴィッド・デイヴィス下院議員ストラスバーガー上院議員の許可を得た上で実施されました。

メアリー・ハニボール欧州議会議員は、フェイスブックのユーザ名とパスワードが抜き取られました。デイヴィッド・デイヴィス下院議員の場合は、ペイパルとGmailで同じユーザ名とパスワードを使用していたため、Gmailへ侵入された後、ペイパルへの侵入も可能であることが明らかになりました。ストラスバーガー上院議員は、ボイス・オーバー・インターネットプロトコル(VoIP)の通話が傍受されました。

このように公衆無線Wi-Fiを使うことにはリスクが伴います。しかしエフセキュアのFREEDOMEのような仮想プライベートネットワーク(VPN)のソフトウェアを使用し、すべてのデータを暗号化すれば、ハッカーにデータを詐取されることは防止できます。

この公衆Wi-Fiでのハッキング実験の様子をご紹介する動画に日本語のテロップを追加し、YouTubeのF-Secure公式チャネルで公開を開始しました。

ポリティカル・ハック(ロング版)



ポリティカル・ハック(ショート版)



Freedome  https://www.f-secure.com/ja_JP/web/home_jp/freedome

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード