ゲーム機とハッカー

ゲーム機のハッキング

ゲーム機に対する攻撃は今までほとんどありませんでした。しかし、接続機能や強力な処理能力を誇る最新ゲーム機の登場によって、この状況が変わる可能性があります。

モバイルバンキングアプリ

iOSバンキングアプリのセキュリティホール

世界的な大手銀行が提供し、幅広く利用されているiOS向けバンキングアプリの多くに、データの盗難や口座の乗っ取りの恐れのあるバグが含まれています。具体的には、豊富な知識を持つ攻撃者なら、中間者攻撃によってユーザーのふるまいを監視し、セッションハイジャック攻撃でユーザーの口座を乗っ取りメモリ損壊の問題を発生させることで、システムクラッシュやデータ漏えいを引き起こすことが可能です。こうしたぜい弱性によって、ユーザー認証情報を盗まれ、オンラインバンキングの口座に不正にアクセスされる可能性があるのです。 セキュリティ企業IOActiveに所属するアルゼンチンの研究者、アリエル・サンチェス(Ariel Sanchez)氏は、世界の大手銀行60行の40のモバイルバンキングアプリを対象に一連のテストを実施しました。テストでは、各アプリのデータ転送メカニズム、ユーザーインターフェイス、ストレージプロセスのセキュリティ分析が行われたほか、コンパイラやバイナリといった複雑なものも分析されています。 サンチェス氏は、エクスプロイトの恐れがある一連のぜい弱性を発見しました。 「相応のスキルを持つ者なら、この情報を使ってバグを見つけ出すことができるでしょう。そのバグを調べてエクスプロイトやマルウェアを開発し、影響を受けるバンキングアプリのユーザーを攻撃できるかもしれません。これはセキュリティの潜在的な脅威の第一段階と言えます。」(サンチェス氏) このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます IOActiveは、これらのぜい弱性を各行に報告したとしています。サンチェス氏によれば、現時点ではどの銀行からも、このセキュリティ問題にパッチを適用したという報告はないそうです。 各アプリのバイナリコードの静的分析で発見された最も憂慮すべき問題は、ハードコードされた開発認証情報がバイナリに大量に埋め込まれていることだとサンチェス氏は言います。つまり、ぜい弱性を抱えたさまざまなバンキングアプリ(アプリ名は公表されていません)に、マスターキーだとわかるようなものが含まれているのです。これらのハードコードされた開発認証情報は、開発者がアプリの開発インフラストラクチャにアクセスするためのものですが、攻撃者にも同じレベルのアクセス権を与えてしまう恐れがあります。 「このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます。」(サンチェス氏) この問題の一端は、多くのアプリが暗号化されていないリンクをユーザーに送信していること、あるいは、情報を暗号化するときにSSL証明書を適切に検証できていないことです。このようなふるまい(サンチェス氏は、アプリを開発した人の単純な見落としが原因としています)のために、顧客が中間者攻撃のリスクにさらされ、フィッシング詐欺の一環として悪質なJavaScriptやHTMLコードを注入される恐れがあります。 サンチェス氏が発見したこれらの問題をさらに悪化させているのが、分析対象となった銀行の70%が2段階認証を導入していないことです。 同氏は次のように述べています。「必要なのは、アプリのバイナリと、コードを復号するためのツール、コードを逆アセンブルするツールだけです。こうしたアプリのコードの復号化と逆アセンブルの方法について説明する文書は、大量に公開されています。特に専門知識がない人でも、ある程度時間をかければ簡単に読み進めていくことができます。」 IOActiveは、良い面と悪い面の両方について責任があります(ただし、ほとんどは良い面です)。良い面は、該当する銀行名と具体的なぜい弱性を公表しなかったことです。ぜい弱性についての詳細な情報が公開されれば、ユーザーの口座を狙うために必要な情報が攻撃者の手に渡ることになるかもしれません。悪い面は、どの銀行とアプリがぜい弱性を抱えているのかわからないため、誰を、あるいは何を信じていいのかわからないことです。 もちろん、極めて注意深い人は、これらの問題が確認されて解決されるまで、モバイルバンキングアプリの使用を控えるはずです。しかし、多くの人はそうしないでしょう。したがって当面は、銀行から2段階認証が提供されている場合は必ず設定するようにしてください。他にも、バンキングアプリのリンクを辿る際に注意し、フィッシングメッセージを警戒して、銀行口座に目を光らせる必要があります。

ヒント:kis2014ie設定診断-featured

Internet Explorerを保護する方法

Webサイトを見るときにどのブラウザーを使っていますか?Microsoft Internet Explorerをお使いであれば、この記事が役に立つかもしれません。このブラウザーには数多くの設定項目があり、初期設定されているものと、ユーザー自身が設定するものがあります。一部の設定は、インターネット環境のセキュリティに影響します。ここでは、セキュリティを損ねないように、ブラウザーの設定を安全なものとし、狙われるようなぜい弱性を残さないようにする方法について紹介します。 カスペルスキー インターネット セキュリティ 2014(カスペルスキー 2014 マルチプラットフォーム セキュリティのWindows対応プログラム)には、Microsoft Internet Explorerの設定をチェックするInternet Explorer設定診断機能があります。チェックの結果見つかった推奨項目のリストから、変更する項目を選んでいきましょう。 Internet Explorer設定診断機能による主なチェック項目は以下のとおりです: Microsoft Internet Explorerのキャッシュ – ここには、個人データや閲覧履歴が含まれています。ウイルスはディスクをスキャンするときにキャッシュをスキャンして、あなたにまつわるデータをすべて取得します。キャッシュが有効になっている場合は、ブラウザーを閉じるたびにキャッシュを自動消去する設定が推奨されます。 登録されているファイルの拡張子の表示 – マルウェアには拡張子が2つ含まれていることがよくあります。このような場合、実際の拡張子は表示されず、見えるのはファイル名部分だけです。これは犯罪者の常套手段です。登録されている形式のファイルの拡張子を表示しない設定になっている場合、表示する設定への変更が推奨されます。 信頼済みサイトのリスト –  信頼済みサイトのリストに、攻撃者の作成したWebサイトがマルウェアによって追加されることがあります。このリストの内容を確認するように推奨されることがあります。 Internet Explorer設定診断機能を実行するには、以下の手順に従ってください: カスペルスキー インターネット

シニアを守る

シニアの安全なネット利用

Skypeの広告のおじいさんやおばあさんは、とても幸せそうですね。それもそのはず・・・。 インターネットという魔法によって、孫や愛する人たちと、いつでもすぐにつながることができるのですから。Skypeでの通信がもっとスムーズにできたら、私のおじいさんもあまりさみしい思いをせずに、この広告の人のように幸せな気持ちになれるのですが。残念ながら、そううまくはいかないので、私はしばらくおじいさんの家で週末を過ごすことになるでしょう。でも、決定的な一歩を踏み出すことは可能です。両親や祖父母の現在の生活を「コンピューター化」するのです。 高齢の両親や祖父母がビデオ通話で子供や孫と連絡が取れないのなら、シニア世代の人にとってコンピューターなど何の役に立つのでしょうか?とはいえ、20世紀の人々に21世紀のテクノロジーの使い方を教えるとなると、一筋縄ではいきません。やってみる価値はあるのでしょうか? もちろんあります。祖父母(や両親)がコンピューターに可能性を見いだしたら、すぐにでもできるようになることはいくつもあります。  ほとんどの新聞は、ボタンを1つクリックするだけでフォントサイズを自由に変更でき、わざわざポストまで取りに行かなくても読むことができる  ほぼすべてのラジオ局やテレビチャンネルを視聴可能である  電話帳代わりになる  公共料金の支払い、送金、その他お金の管理に使える便利なツールである  さまざまなSNSで、同級生、元同僚、親類を探し出せる コンピューターやプログラムのマニュアルはいくらでも見つかりますが、コンピューターに慣れていない人は、使いたいと思ったプログラムを開く前にもう挫折してしまったりします。 一番の問題は、おそらく、してはいけないことを初心者に学んでもらうことでしょう。ルールは簡単です。「怪しいものは絶対クリックしないこと」。誤ってレジストリエディタやプロキシ設定ウィザードを立ち上げてしまったようなとき、すぐにあなた宛に電話をかけてくる可能性は大ありです。でも、もっと威嚇的なものに遭遇したときはどうでしょうか?たとえば、「メッセージがあります」「コンピューターにウイルスが見つかりました」などという悪質なバナーメッセージが出てきたときは? Windowsの標準の保護ツールやフリーウェアに備わった基本的なアンチウイルス機能だけで、粗雑ながら効果的なソーシャルエンジニアリングからシニア世代の人を守り切れるでしょうか?あなたなら、そのようなプログラムを自分のコンピューターで実際にテストしてみますか?怪しいリンクやバナーを片っぱしからクリックして、ポップアップするダイアログウィンドウですべて「はい」を選択して、「ショッキングなビデオ」をダウンロードする、…などなど、あらゆるオンラインの脅威にわざと屈して試してみます?いや、あまりお勧めしたい方法ではありません。 ルールは簡単。「怪しいものは絶対クリックしないこと」 たとえば、こんな方法はいかがでしょうか。カスペルスキー マルチプラットフォーム セキュリティには、特別な保護機能が多数用意されています。機能を組み合わせて使えば、コンピューターに慣れていない人でも、さまざまなケースに対応できます。 まず、不要なものを全部無効にしましょう。Kaspersky Labの最新技術は、実行アプリケーションの制限です。カスペルスキー製品には、安全だとわかっているプログラムを実行して、未確認のプログラムのダウンロードやインストールをすべて無効にしつつ、ほぼすべてのWebサイトにアクセスできるという機能があります。この機能を有効にしても、システムやアプリケーション、その他の安全プログラムは通常どおり動作し、必要な更新もダウンロードできます。というのも、この保護ツールは、信頼できる更新の提供元やWebサイトを記録したKaspersky Labのリストを常に参照しているからです。つまり、安全だと判断されたた、信頼できる提供元の動的なリストを利用できるというわけです。もちろん、危険と判断された信頼できない提供元の動的なリストもあります。 また、アンチバナーや迷惑メール対策機能を有効にして、怪しいダイアログウィンドウや画像イメージなどの不適切なコンテンツからシニアたちを守りましょう。ペアレンタルコントロール(保護者による管理)の使用もご検討ください。通常は、(その名のとおり)子供がオンラインのギャンブル、ドラッグ、ポルノにアクセスするのを制限するための機能ですが、あなたのお母さんもそのようなコンテンツは見たくないはずです。インターネットは油断できない場所なので、そのようなポップアップがいつ表示されてもおかしくありません。このように、信頼できないWebサイトの自分だけのリストを設定して、両親や祖父母が不適切なコンテンツに遭遇しないようにすることができます。自分はナイジェリアの王子だと主張する人物に、両親たちが大金を贈るようなことは防ぎたいものです(そもそも、ナイジェリアの王子を騙る詐欺師がカスペルスキー製品の保護をかいくぐることは事実上不可能ですが)。 今回ご紹介した推奨事項をすべて実施すれば、この信じられないほど複雑な機械も、両親にとってテレビと変わらない日常的なツールとなり、仕事や余暇に使えるようになるかもしれません。やはりコンピューターとは、生活を楽にするためのものです。さらに重要なのは、シニア世代をインターネットの負の側面から保護し、コンピューターやデータの安定性を整合性を確保できるようになる、ということです。

ces

CESに見るセキュリティとプライバシーの展望

ありのままをお伝えしますと、Kaspersky Labは今年、ラスベガスで開催のConsumer Electronic Show(CES)に人員を派遣しませんでした。よくご存じない方のために説明すると、CESとは基本的に、最新の素晴らしい技術革新と製品のすべてを紹介する年1回開催の展示会です。この報道機関と業界関係者限定のイベントにKaspersky Labは参加していませんが、その様子を本国から注視していました。 我々が読んだ記事によると(意外なことは何もありませんが)、「モノのインターネット」が広い範囲に拡大しつつあり、ウェアラブルデバイスなどのネット接続デバイスの新製品が続々と登場しています。こういった製品を購入して使用している人にとっては残念ですが、プライバシーやセキュリティの管理機能は、「箱から出してそのまま使える」状態にはなっていないようです。 CESではさまざまな電子機器が発表されています。冷蔵庫やオーブンなど、データを収集するスマート家電をはじめ、Bluetooth対応の料理用温度計、ワイヤレスのアラームシステムや照明コントロール、Skypeに接続するベビーモニター、さらには、自動車メーカーAudiが開発し、車内でWi-Fi対応ディスプレイとして使用されるAndroidタブレットなど、多岐にわたります。 今年のCESで登場した製品には何一つ驚きがありませんでした。IT業界で長きにわたって確立されたトレンドの進化が披露されただけで、その目的は、日常生活で使うあらゆるものをインターネットに接続してデータを収集することです。しかし一抹の懸念を抱かずにいられません – 2013年に私たちは、自動車も、人間も、その他の消費者向けデバイス(トイレ?)もハッキング可能だと学んだのです。Androidデバイスと同プラットフォームのぜい弱性を標的とするマルウェアの増加は言うまでもありません。 しかし一抹の懸念を抱かずにいられません – 2013年に私たちは、自動車も、人間も、その他の消費者向けデバイス(トイレ?)もハッキング可能だと学んだのです 政府による監視が次々と明らかになり、IT大手がそうした監視プログラムに対してこれ見よがしの反応を見せていることを考えると、IT企業が今までよりユーザーのプライバシーに立ち入った新製品をプッシュしていることにも、ちょっとした驚きを感じます。それに、米国家安全保障局(NSA)のスパイ行為の発覚によって世界中で抗議の声が上がっているというのに、消費者が列を作ってこうした製品を買うということにも同じような驚きがあります。 セキュリティ企業Fortinetの企業広報担当ディレクターであるクリス・マッキー(Chris McKie)氏は、最近のブログ記事で、「ビッグデータ」は「超大質量データ」になりつつあると指摘しました。 マッキー氏は続けて、犯罪者がデータを通貨として使う環境においては、大量のデータ収集に伴って巨大なリスクが生じると書いています。 「一部のぜい弱性は取るに足らないものかもしれません。確かに、『スマートトースター』をハッキングしたところで、トーストが燃えるくらいでしょう。しかし、別の脅威はどうでしょうか。たとえば、ネットに接続された自動車がハッキングされると、生命が脅かされる恐れがあります。問題は、こうした新しいスマートデバイスがハッキングされて脅威に晒されるかどうか、ということではありません。我々が業界として、こうしたすべての接続型デバイスに関するリスクをどうやって軽減していくのか、という問題なのです。」(マッキー氏) しかし、これに関して私たち消費者にできることはあるのでしょうか?新製品を一切買わず、インターネットの強力な影響が及ばない離れた場所に移り住むことはできます。でも、私は個人的にインターネットが好きですし、正直に言うと、CESではとてもクールな製品も発表されたと思っています(私の注目株はT-Mobileです)。そのため、下調べをするのが一番だと思います。セキュリティとプライバシーの強力な機能セットを提供する企業を高く評価し、これに関して選択肢のない企業の製品は利用しないようにしましょう。 また、これから冬、春、夏とさまざまなカンファレンスの開催が予定されており、Kaspersky Dailyではもちろん取り上げていきます。引き続きご注目ください。ハッカーも研究者も、新たに登場するデバイスのセキュリティを突破しようと、考えうる手段を総動員するであろうことは、疑う余地がありません。

ヒント:kisaデータ消去-featured

紛失したスマートフォンから重要なデータを消す方法

正月休みも明け、お仕事を持っている方々はすでに始動していることでしょう。ちょっとしたボーナス気分なのは、早々に三連休がやってくること。こういったときについ気が緩むと、スマートフォンをどこかにやってしまったり、誰かに盗られたりすることがあるかもしれません。 スマートフォンをなくしてしまったり、盗まれたりしてしまったりしたら、スマートフォンに入っているデータが変な人の手に渡らないかが心配です。そんなことになる前に、データを消してしまえないでしょうか。カスペルスキー インターネット セキュリティ for Androidがスマートフォンにインストールされていれば、データの消去は簡単にできます。 1)      転ばぬ先の杖、という言葉があります。盗難や紛失に遭った場合に備えて、あらかじめ必要な設定をしておきましょう: アプリケーションのメインウィンドウで、上向き矢印のアイコンをタップしてクイックアクセスパネルを開き、[設定]をタップします。 [盗難対策]を選択します。暗証番号を入力し、[入力]をタップします。 [許可するコマンド]をタップし、以下のチェックボックスをオンにします: データ消去 – データを遠隔操作で消去する機能が有効になります これで、遠隔管理機能が有効になりました。   2)      ここからは、スマートフォンが盗難または紛失に遭った場合の操作を見ていきます。ウェブ管理メニューからスマートフォンのデータを消去するには、以下の手順に従ってください: https://anti-theft.kaspersky.com にアクセスし、[マイカスペルスキーアカウント]にサインインします。マイカスペルスキーアカウントへのサインイン情報は、盗難対策機能を初期設定するときに使用したものと同じです。 ご自分のデバイス名のタブを選択し、[データ消去]をクリックまたはタップします。 [消去するデータの種別]ウィンドウで[はい]をクリックまたはタップします。コマンドの操作結果が[データ消去]に表示されます。   別のスマートフォンからSMSコマンドを送信してデータ消去する方法もあります。

新着記事をメールでお知らせします