2013年11月26日火曜日

国内でOfficeの脆弱性を悪用した標的型攻撃

IPAによる発表では、国内の民間企業などに対してMicrosoft Officeなどの脆弱性を悪用した標的型のメール攻撃が発生しています。


メールの「件名」や「本文」「添付ファイル名」は全て日本語が用いられており、添付ファイル名は「履歴書.zip」となっているケースもありました。
このファイルを解凍すると、Word文書ファイルが保存されており、これを開くことでPCがマルウェアに感染してしまうということです。

IPAでは、「同様の攻撃が継続して発生する可能性があるため、注意が必要」と呼びかけています。
また、先の例は一例であり、Word文書ファイルだけではなく、ほかのファイル形式を用いたり、Webサイトへと誘導して攻撃を行う可能性もあるとしている。

自衛の基本である、不明なメール・添付ファイルは開かないことです。

なおIPAは、「Microsoft社が公開しているFix it 51004を適用した環境では攻撃が失敗することを確認した」として、緊急的に提供しているFix itを適用するように案内しています。

参考:マイナビニュース

2013年11月17日日曜日

iPhoneのウィルス対策


iPhoneのウィルス対策は必要でしょうか?

iPhoneアプリは、入手先が「App Store」に限定されています。
App Storeで公開されるすべてのアプリは、人間の手による入念な審査を経ています。
ウイルスのような迷惑プログラムがあれば発見されますし、個人情報を取得するなどの不正機能が確認されれば、審査を通過することはありません。

また、iOSが持つ不正実行防止システムは、すべてのアプリは隔離された領域内で動作し、システム全体や他のアプリに影響を及ぼすことがありません。

これまでウイルスによる被害報告を聞いたことがありません。

今のところiPhoneのウィルス対策は必要は無いでしょう。

参考:マイナビニュース

2013年11月3日日曜日

Androidアプリの96%に脆弱性リスク、暗号通信方式を誤用

ソニーデジタルネットワークアプリケーションズの「Androidアプリ脆弱性調査レポート 2013年10月版」見ると、調査したアプリケーション6,179件のうち何らかの96%に脆弱性リスクが見つかったとのこと。

インターネット通信を行うアプリケーションの72%が暗号通信方式HTTPSにより通信内容を保護していたが、そのうち39%がHTTPSの扱い方を誤っており、暗号通信が解読・改ざんされる脆弱リスクがあった。

Androidアプリケーションを構成する4つのコンポーネントについても脆弱性リスクがあり88%のアプリケーションが正しくアクセス制限されていなかった。

86%のアプリケーションで、リリース版アプリでは使用してはいけないログ出力関数が見つかっており、機密情報を含むログ情報が漏洩する可能性があった。

脆弱性を悪用された場合の影響・被害の有無・代償をさまざまだと思いますが、「96%」の表現は不安をあおりそうです。
セキュリティの完璧なアプリは存在しない・出来ないということでしょう。
悪用する人がいなければ、それが一番です。

参考:マイナビニュース