iPhoneiPhoneは、持ち主をスパイするのか、しないのか?
iPhoneの監視機能に関する記事が波紋を呼んでいます。この機能は本当に悪用されているのでしょうか?ユーザーはどんな対策を取るべきなのでしょうか?
iOS
63 記事
アンチウイルスアンチウイルスとインターネットセキュリティにまつわる5つの迷信
マルウェアとアンチウイルス/インターネットセキュリティについては、多くの誤解が存在します。ここでは主な迷信を5つ取り上げて、実際の状況と合わせて説明します。
あなたのiPhoneはすでにハッキングされている?
iOSとAndroidに感染し、スパイ行為を働くマルウェアの存在が明らかになりました。Kaspersky Labのリサーチャーが、このトロイの木馬の実際のサンプルを発見しています。
スマートフォン新スマートフォンOSは安泰か?
先ごろAppleが新しいモバイルOSを発表し、SamsungもTizenベースのデバイスを公開しました。こうした新OSが、スマートフォン市場とセキュリティに与える影響とは。
iOS 8
Wi-Fi
アプリストア利用の3つの黄金律
便利なアプリや楽しいゲームが揃ったアプリストアにも、数々の危険が潜んでいます。iOSユーザーもAndroidユーザーも、3つの「黄金律」を守ることでアプリストアを安全に利用できます。
ランサムウェア
先週の注目ニュース:OpenSSL対策基金、AppleのSSLぜい弱性の修正など
先週もHeartbleed問題は大きく取り上げられました。他にも、AppleのSSLぜい弱性の修正や、Bitcoinマイニングを目的としたアイオワ州立大学のハッキングといったニュースが報じられています。
iPhoneを守る6つのアプリ
iPhoneは機能が豊富でセキュリティもしっかりしていますが、どんなニーズにも応えられるわけではありません。しかし、それを補うためにたくさんのサードパーティアプリが提供されています。iPhoneの保護に役立つ優良アプリを紹介します。
最適化春はモバイルデバイスも大掃除を
春を迎えて家の掃除もコンピューターの掃除も終わったという方は、スマートフォンの大掃除はお済みでしょうか?iPhoneやAndroidデバイスを新品のように快適に使用するためのヒントを紹介します。
インフォグラフィック:サイバー犯罪者がスマートフォンを狙う理由
サイバー犯罪者がスマートフォンをハッキングして何の得があるのだろう、と不思議に思ったことはありませんか?モバイルデバイスが狙われる理由を画像でわかりやすく説明します。
PC
Appleと同様の証明書関連のバグがLinuxにも
AppleのiOSとOS Xに重大なぜい弱性が見つかって話題になりましたが、同様のバグがLinuxの暗号化などに使われるGnuTLSにも発見されました
iOS、MacOSのバグで重要データ漏えいの恐れ:今すぐアップデートを
最近リリースされたiOSのアップデートは、暗号化通信に関する深刻なバグを修正するものです。MacOSへの影響も、専門家が指摘しています。
iOSバンキングアプリのセキュリティホール
世界的な大手銀行が提供し、幅広く利用されているiOS向けバンキングアプリの多くに、データの盗難や口座の乗っ取りの恐れのあるバグが含まれています。具体的には、豊富な知識を持つ攻撃者なら、中間者攻撃によってユーザーのふるまいを監視し、セッションハイジャック攻撃でユーザーの口座を乗っ取りメモリ損壊の問題を発生させることで、システムクラッシュやデータ漏えいを引き起こすことが可能です。こうしたぜい弱性によって、ユーザー認証情報を盗まれ、オンラインバンキングの口座に不正にアクセスされる可能性があるのです。 セキュリティ企業IOActiveに所属するアルゼンチンの研究者、アリエル・サンチェス(Ariel Sanchez)氏は、世界の大手銀行60行の40のモバイルバンキングアプリを対象に一連のテストを実施しました。テストでは、各アプリのデータ転送メカニズム、ユーザーインターフェイス、ストレージプロセスのセキュリティ分析が行われたほか、コンパイラやバイナリといった複雑なものも分析されています。 サンチェス氏は、エクスプロイトの恐れがある一連のぜい弱性を発見しました。 「相応のスキルを持つ者なら、この情報を使ってバグを見つけ出すことができるでしょう。そのバグを調べてエクスプロイトやマルウェアを開発し、影響を受けるバンキングアプリのユーザーを攻撃できるかもしれません。これはセキュリティの潜在的な脅威の第一段階と言えます。」(サンチェス氏) このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます IOActiveは、これらのぜい弱性を各行に報告したとしています。サンチェス氏によれば、現時点ではどの銀行からも、このセキュリティ問題にパッチを適用したという報告はないそうです。 各アプリのバイナリコードの静的分析で発見された最も憂慮すべき問題は、ハードコードされた開発認証情報がバイナリに大量に埋め込まれていることだとサンチェス氏は言います。つまり、ぜい弱性を抱えたさまざまなバンキングアプリ(アプリ名は公表されていません)に、マスターキーだとわかるようなものが含まれているのです。これらのハードコードされた開発認証情報は、開発者がアプリの開発インフラストラクチャにアクセスするためのものですが、攻撃者にも同じレベルのアクセス権を与えてしまう恐れがあります。 「このぜい弱性は、銀行の開発インフラストラクチャにアクセスし、アプリをマルウェアに感染させるために利用される恐れがあります。それによって、アプリのすべてのユーザーに影響するほどの大規模な感染が発生することも考えられます。」(サンチェス氏) この問題の一端は、多くのアプリが暗号化されていないリンクをユーザーに送信していること、あるいは、情報を暗号化するときにSSL証明書を適切に検証できていないことです。このようなふるまい(サンチェス氏は、アプリを開発した人の単純な見落としが原因としています)のために、顧客が中間者攻撃のリスクにさらされ、フィッシング詐欺の一環として悪質なJavaScriptやHTMLコードを注入される恐れがあります。 サンチェス氏が発見したこれらの問題をさらに悪化させているのが、分析対象となった銀行の70%が2段階認証を導入していないことです。 同氏は次のように述べています。「必要なのは、アプリのバイナリと、コードを復号するためのツール、コードを逆アセンブルするツールだけです。こうしたアプリのコードの復号化と逆アセンブルの方法について説明する文書は、大量に公開されています。特に専門知識がない人でも、ある程度時間をかければ簡単に読み進めていくことができます。」 IOActiveは、良い面と悪い面の両方について責任があります(ただし、ほとんどは良い面です)。良い面は、該当する銀行名と具体的なぜい弱性を公表しなかったことです。ぜい弱性についての詳細な情報が公開されれば、ユーザーの口座を狙うために必要な情報が攻撃者の手に渡ることになるかもしれません。悪い面は、どの銀行とアプリがぜい弱性を抱えているのかわからないため、誰を、あるいは何を信じていいのかわからないことです。 もちろん、極めて注意深い人は、これらの問題が確認されて解決されるまで、モバイルバンキングアプリの使用を控えるはずです。しかし、多くの人はそうしないでしょう。したがって当面は、銀行から2段階認証が提供されている場合は必ず設定するようにしてください。他にも、バンキングアプリのリンクを辿る際に注意し、フィッシングメッセージを警戒して、銀行口座に目を光らせる必要があります。
Appleのセキュリティ機能「Gatekeeper」が抱える厄介な問題
AppleのOS Xに搭載の「Gatekeeper」は、画期的なコンピューター保護技術か、 IT業界を牛耳るための新たな一手か。