S-MAX

セキュリティー

これは危ない!iPhoneやiPadなどのiOSでApple IDのユーザー名とパスワードが盗まれるフィッシングダイアログを表示させる攻撃方法が見つかるーー対策はホームボタンを押してみること!?


iOSでApple IDのパスワードが盗まれるフィッシングダイアログを表示させる攻撃が発見!

iOSアプリの配信を自動化できるツール「fastlane」の創業者であるFelix Krause氏は10日(現地時間)、iOSにてユーザー名(ID)とパスワードを盗み出せるフィッシングダイアログを表示させる攻撃手法の概念実証を発表しています。

フィッシングといえば、オンラインバンキングやAmazonなどのオンラインストアのIDとパスワードを盗み出すために、本物のWebサイトと同じような偽Webサイトを作成して、利用者にIDとパスワードを偽サイトで入力させることで盗み出す攻撃手法です。

よくあるフィッシングサイトは、WebブラウザーでアクセスさせてテキストボックスにIDとパスワードを入力させますが、今回発見された攻撃手法はあたかもiOSのシステムダイアログを表示させているかのように表示するもので、今までのフィッシング攻撃とは少しひと味違ってより高度で罠にかかりやすくなっています。

続きを読む

Linux KernelのLTSサポート期間がこれまでの2年から6年に延長!GoogleがLinux関連イベント「SFO17」で明らかに――Androidへの影響は?


Linux KernelのLTSサポート期間が6年に延長!Androidへの影響は……

アメリカ・サンフランシスコにて2017年9月25日(月)から29日(金)に開催されたLinuxとそのエコシステムに関連したイベント「Linaro Connect San Francisco 2017(SFO17)」でLinux KernelのLTSサポート期間を2年から6年に延長することが明らかにされました。

これはイベントの9月28日(木)に行われた基調講演にてGoogleのIliyan Malchev氏が発表し、Androidでも利用されているLinuxの核を成すLinux Kernelに関する内容となります。

今回はこのLTSサポート期間が延長されたことによるAndroidへの影響、具体的にAndroidを利用するユーザーはどんな恩恵を受けられるのかを簡潔にまとめてみたいと思います。

続きを読む

トレンドマイクロ、2016年に発見されてすでに修正済みの脆弱性「Dirty Cow」を悪用したAndroid向けマルウェア「ZNIU」による攻撃を確認!セキュリティーパッチが適用されていない製品を狙う


脆弱性「Dirty Cow」を悪用したAndroidへの攻撃が確認!その影響は……

TrendMicro(トレンドマイクロ)は25日(現地時間)、同社が2016年に発見したLinux Kernelの管理者権限昇格の脆弱性「Dirty Cow(CVE-2016-5195)」を悪用したマルウェア「ZNIU(AndroidOS_ZNIU)」を発見したと発表しています。

このZNIUマルウェアは今年8月に40カ国以上で検出され、特に中国とインドでは感染したユーザーが大量に発生しました。また40カ国の中には、日本をはじめ、アメリカやカナダ、ドイツ、インドネシアも含まれています。

Dirty Cowは発見当初にAndroidにも影響があると言われていましたが、SE Linuxのポリシーによって攻撃が限定的になると言われていたことと2016年12月のAndroidセキュリティーパッチで脆弱性が改善されたため、その危険性は高いもののすでに時代遅れの枯れた攻撃手法だと考えていました。

続きを読む

えっ、iCloudで使っているApple IDのパスワードを他のWebサービスと同じものにしているんですか!?海外でMacが乗っ取られてしまった事例が発生


Apple IDのパスワードが漏れるとMacを乗っ取られてロックされてしまう!?

iPhoneやiPad、MacなどのApple製品を使っている人にはお馴染みのクラウドサービス「iCloud」。Appleのアカウント「Apple ID」にログインすれば利用でき、メールや自分のApple製品をインターネット上で探す機能などが提供されています。

またiPhoneなどのデータをバックアップできるほか、写真をクラウド上に保存したり、最新の「iOS 11」ではファイルアプリが導入され、より便利にiCloudを活用できるようになりました。

ところで、みなさんはそんなiCloudを利用するためのApple IDで設定しているパスワードをきちんと他のWebサービスと違うように設定しているでしょうか?覚えるのが面倒だからといって、パスワードの使い回し……していませんよね?

実は、海外でパスワードの使い回しとiCloudのとある仕様のせいで、2段階認証を設定しているにもかかわらず、Macbookを乗っ取られてしまうという事案が発生したということです。

続きを読む

AndroidのToast機能を悪用したオーバーレイ攻撃による脆弱性!引っかかると端末が操作不能に――Android 8.0や2017年9月1日のセキュリティーパッチで対策済みながら野良アプリには注意を


AndroidのToast機能を悪用して操作不能にする脆弱性が発覚!

アメリカのセキュリティベンダーのPalo Alto Networksは7日(現地時間)、Androidの「Toast」機能を悪用することによって簡単にAndroid搭載製品を操作不能にできる「オーバーレイ攻撃」の脆弱性を発見したと発表しています

Toastは本来、ユーザーに簡易的なメッセージを表示させる機能で、フローティング(今動いてるアプリの上に重ねて)表示させる便利なものです。

例えば、ファイルを削除を行う際、本当に削除しても良いか確認画面を表示させる時などに利用されています。今回は、画面上全体に悪意のあるToastを表示させることで、操作不能にさせるとのこと。

今回の脆弱性の影響を受ける製品は、Android 8.0(開発コード名:Oreo)以外のAndroidバージョンでかつ、2017年9月1日以降のセキュリティーパッチが適用されていないこと。同社は今年7月にGoogleに報告し、CVE-2017-0752として2017年9月1日のパッチで対策が実施されました。

なお、2017年9月1日のセキュリティーパッチもAndroid 8.0 Oreoもまだリリースされてまもないですし、特にAndroid 8.0 Oreoについては2017年9月7日時点でのOSバージョンシェアがまだ0.1%未満であることから現在、出回っているほぼすべててに影響があるといっても過言ではありません。

続きを読む

Nexus 5・6やGalaxy S7などで実施に脆弱性を確認!Androidの多くの製品が対象になる機密情報に不正アクセス可能な「TrustZone」の脆弱性が発見される


Nexus 5・6やGalaxy S7シリーズなどの多くの製品に影響が!?機密情報に不正にアクセス可能な「TrustZone」の脆弱性が発見

フロリダ州立大学のYue Chen氏とZhi Wang氏、Baidu X-LabのYulong Zhang氏、Tao Wei氏が共著で2017年7月17日に発表した論文「Downgrade Attack on TrustZone」にてAndroid搭載製品の多くに採用されている技術「TrustZone」に深刻な脆弱性が存在していることが発覚しました。

このTrustZoneにおける脆弱性が利用されると、TrustZoneのモジュールを動作させているソフトウェアを既知の脆弱性が存在する古いバージョンにダウングレードし、対象製品に対して攻撃することができてしまいます。

なぜこの問題が深刻なのかというと、例え最新バージョンを導入していたとしてもこの脆弱性を利用すればせっかく防いだはずの過去の脆弱性を使ってより重大な攻撃を防げないからです。

続きを読む

約215万円からさらに増額も!サムスン電子がGalaxyシリーズなどの自社製品の脆弱性を発見した人に報奨金を支払うプログラム「Security Rewards Program」を開始


Samsungが自社製品の脆弱性を発見した人へ報奨金を支払う「Rewards Program」を開始!

最近は「脆弱性」という言葉をニュースなどで良く耳にするようになりました。脆弱性とはスマートフォン(スマホ)やパソコン(PC)などの製品やそれに搭載されているシステム(OS)を含めたソフトウェアなどの不具合や設計上のミスが原因で発生する欠陥のことを指します。

これに対し、多くの企業は自社で脆弱性を特定して修正を行い、利用者へセキュリティーアップデートを配信することによって脆弱性を潰しています。一方で、最近の製品は複雑化しており、GoogleやAppleなどの大手企業でも自社だけではどうしてもカバーできない脆弱性が出てきてしまっています。

そこで、それらの自社でカバーできない脆弱性を第3者に探してもらうように依頼し、報告された脆弱性の深刻度によって報奨金を支払う「Bug Bounty Program」というものをGoogleやAppleなどの各社が展開しています。

今回、そんなBug Bounty ProgramについていよいよSamsung Electronics(以下、サムスン電子)も2017年9月7日より脆弱性を発見して報告した人へ報奨金を支払うプログラム「Reward Program」を提供開始すると発表しました。どうやら同社も時代の流れに乗るようです。

続きを読む

セキュリティー対策でTLS 1.0と1.1を無効化するサイトが増加!9月11日からはスターバックス公式サイトも――Android 4.4以前の標準ブラウザーやIE10.0以前などでhttpsページにアクセス不可へ


スタバ公式サイトがTLS 1.0と1.1を無効化!古いブラウザーを使っている人は注意

世界的に有名なコーヒーチェーン店「スターバックス」の日本法人であるスターバックス コーヒー ジャパンは5日、同社の公式Webサイトにおいて2017年9月11日(月)よりTLS 1.0とTLS 1.1を無効化し、TLS 1.2のみを有効化すると発表しました。

これにより、TLS 1.2に対応していないWebブラウザーを利用している場合は9月11日以降は公式WebサイトのMy Starbucksマイページなどのhttpsで通信するページにアクセスできなくなってしまいます。

なお、同社ではアクセスできなくなるWebブラウザーとしてiOS 4以前およびAndroid 4.4(開発コード名:KitKat)以前のスマートフォン(スマホ)やタブレットにおける標準Webブラウザー、Windows搭載パソコン(PC)におけるInternet Explorer 10.0以前としています。

続きを読む

Googleなどの複数企業が協力してAndroid向けマルウェア「WireX」を封じ込めに成功!Playストアで配布されていた約300アプリに仕込まれ、知らない間に攻撃に加担


Android向けマルウェア「WireX」を複数企業が協力して封じ込めに成功!

複数のCDN(コンテンツデリバリーネットワーク)とコンテンツプロバイダーがAndroid搭載製品を踏み台にする「WireX」と呼ばれる“ボットネット”(攻撃者がウイルスなどを利用して不正に乗っ取ったデバイスから一斉にDDoS攻撃を仕掛けるもの)から大規模な攻撃を受けたと2017年8月17日に報告しました。

その後、攻撃を受けてから11日経った2017年8月28日に、flashpointやAkamai、CloudFlare、RiskIQが同時にこのWireXを封じ込めることに成功したと発表しました。

WireXはAndroidのアプリ配信マーケット「Google Playストア」で配布されていた約300本のアプリに仕込まれており、これらの企業やGoogle、Oracle、Team Cymnなどに所属する研究者が協力して対応に当たり、素早く解決に至ったということです。

続きを読む

ネットバンキングを狙うモバイル向けトロイの木馬が新時代に突入!キーロガーを搭載したAndroid向け「Svpeng」の新種が登場


ネットバンキングを狙うモバイル向けトロイの木馬が新時代に突入へ!

Securelistが2017年7月中旬よりAndroidをターゲットとしたネットバンキングを狙うSvpeng - Trojan-Banker.AndroidOS.Svpeng.aeファミリーに属する新種のマルウェア(トロイの木馬)を発見したと報告しています。

このSvpengファミリーに属するトロイの木馬は現在、ネットバンキングを狙うスマートフォン(スマホ)などのモバイル向けの中で一番危険だと言われており、今回の新種では新たに「ユーザー補助機能(アクセシビリティー)」を悪用して入力した文字を記録する機能「キーロガー」が実装されていました。

ただし、このユーザー補助機能を悪用する機能が実装された新種のトロイの木馬の感染被害は、今のところ限定的とのこと。国別に見てみると実に23カ国にも被害が及んでいますが、この1週間の間に感染したユーザー数はほんのわずか報告されてるだけとなっています。

被害に遭ったユーザーを国ごとに分けて多い順に上から並べてみると、ロシアが29%、ドイツが27%、トルコが15%、ポーランドが6%、フランスが3%と主にヨーロッパが中心の構成になっています。

続きを読む
最新記事
QRコード
QRコード
検索

特集

Twitterもチェックtwitter_logo

このサイトについて
スマートフォンを中心としたモバイル全般の使い方やニュース、レビューなどを提供しています。

執筆は「K-MAX」メンバーを中心に行っていますが、タレコミ、S-MAX(エスマックス)に寄稿したいというご要望も受け付けていますので、興味をもっていただけましたら、お気軽にご連絡ください。

S-MAX編集部
連絡先:s-max【at】kmax-biz.com
Twitterアカウント:@smaxjp

編集長・ライター:memn0ck
Twitterアカウント:@memn0ck


>>詳しくはこちらへ

ライター執筆者は以下を参照ください。