2007年05月14日

アップデートを怠ると・・・

シマンテックダウンロードストア

 セキュリティ企業のSymantecは米国時間5月10日、これまで悪用されていなかった「QuickTime」や「WinZip」のセキュリティ脆弱性を利用してPCに侵入しようとする新手の攻撃に注意するよう警告を発している。

 Symantecのセキュリティ警告によると、これらの攻撃には、セキュリティの弱点を突くための複数の罠が仕掛けられた悪意あるウェブサイトが使われるという。これらのサイトは、見た目は信用ある金融機関のサイトのように見えるが、実際は、ユーザーのPCに密かにキーストロークロギングソフトウェアをインストールしようとするという。また、それらのサイトへのリンクはスパムに掲載されているケースが多い、とSymantecは指摘する。

 Symantecは、今週はじめに同社がおとりとして使用しているPCが侵入を受けたことから、これらの攻撃を発見した。

 Symantecは、「この攻撃は特に興味深い。というのも、このサイトには、2007年1月に発見されたQuickTimeの脆弱性と2006 年11月に発見されたWinZipの脆弱性が使われていたからだ」とし、さらに「われわれが分析するまで、これらの脆弱性が実際に(攻撃に)利用されていることは知られていなかった」と述べている。

 QuickTimeは広く利用されているApple製のメディアプレーヤーソフトウェアで、WinZipは人気のファイル圧縮解凍用ツールだ。

 Symantecによると、攻撃者たちはQuickTimeとWinZipの脆弱性に加え、Microsoft製ソフトウェアの2つの脆弱性を通じて同社のシステムへの侵入を試みたという。現在、これらすべての脆弱性のパッチが入手可能だ。侵入されたSymantecのPCはパッチを当てておらず、「Windows XP Service Pack 1」を使用していた。

 オンライン犯罪者たちは通常、コンピュータに侵入するためにさまざまな脆弱性を悪用する。また現在は、攻撃者がマウスを数回クリックするだけで悪意あるウェブサイトを構築できるツールキットまで提供されている。

 Symantecは、「今回の発見により、迅速なパッチスケジュールを設けることの重要性や、攻撃者たちは確実に攻撃が成功し続けるように、時流を追い続け、絶えず攻撃戦略を見直しているという事実が浮き彫りになった」と述べる。


http://japan.cnet.com/news/sec/story/0,2000056024,20348624,00.htm?ref=rss

スパムで誘い、ロギングツールをインストール・・・。
セキュリティソフトの定義ファイルが古いままだったり、ちょっとMicrosoft Updateをしていなかったりするだけで軽々とシステムに侵入されてしまうという様子がわかります。

”攻撃者”たちが常に学習しているように、ネットに接続しているパソコンを使っている人は常に武装が必要ということですね。といってもエンドユーザではセキュリティ関連の知識に精通しているわけではないですから、マイクロソフトや各セキュリティベンダー頼みという形になってしまうと思います。

悲しいことではありますが、「常に狙われている」という意識を持っていないといけないのかもしれませんね。



posted by media_aidem at 11:06 | Comment(0) | TrackBack(0) | セキュリティ

2007年05月11日

タブーへの挑戦か AttenTV

 インターネットをブラウジング中、誰かに肩越しにのぞき込まれたら、おそらく落ち着かない気分になるだろう。だが、これが逆の立場だったらどうだろう?

 従来、クリックストリーム(訪問したウェブサイトの履歴)の公開は、プライバシーを侵害する行為と考えられていた。だが現在、いくつかの企業が、こうした情報の公開により、ユーザーの最も貴重な資産の1つとされるもの、すなわち、われわれの関心事から価値をひねり出そうと、取り組みを始めている。

 わたしは先日、とあるIT系の会議で、Seth Goldstein氏が始めた「AttenTV」というサービスを知り、嫌悪感を抱くと同時に心を奪われた。AttenTVは、ほかのユーザーが訪問しているウェブサイトのビジュアルデータを提供するサービスだ。AttenTVの根底にあるのは、他人のブラウジング履歴がつい注目してしまうほど面白く、履歴を見た「ウォッチャー」たちが刺激を受けて、同じサイトをチェックするだろうとの考えだ。

 電話インタビューに応えたGoldstein氏は、AttenTVについて「ただURLを表示するだけではない。URLを娯楽として提供し、娯楽に変える手段だ」と語っている。(後略)


http://japan.cnet.com/special/story/0,2000056049,20348376,00.htm?ref=rss

肩越しに覗く行為・・・ショルダーハックとかショルダーサーフィンなどと言われることが多いようです。

従来、クリックストリーム(訪問したウェブサイトの履歴)の公開は、プライバシーを侵害する行為と考えられていた。

考えられていたという過去刑ではなく、現在進行形でしょうと考えてしまうのは頭が柔軟ではないせいでしょうか?
パソコンの使いかたを人に教えたり、設定作業をしたりすることが多いせいか、他人のパソコンに触れる機会が少なくありません。

ウェブブラウザのブックマークなどをみせてもらうと、その人の趣味趣向がわかったり、自分がつくったブログやウェブ日記が登録されていると変に緊張しちゃったりします。

別にアダルトサイトの会員になっているわけでもないし、妙な性癖があったりするわけでもないのですが、個人的にはどんなサイトを巡回しているかという情報はあまり公開したくはないです。同時に自分も公開したくないのだから、他人の情報を知るのはフェアではないような気がします。

不特定多数の情報が必要なマーケッターや広告代理店など一部の「動向が知りたいひとたち」に有用かもしれません。確かにおもしろそうではありますけど、タブーにでも挑戦しているのでしょうかねぇ。
タグ:AttenTV Attentron
posted by media_aidem at 09:25 | Comment(0) | TrackBack(0) | セキュリティ

2007年05月10日

マイクロソフト 今月の脆弱性はVistaにも影響

 Microsoftは米国時間5月8日、同社の新ブラウザ「Internet Explorer 7」や「Office 2007」「Exchange 2007」を含む製品に存在する、19件のセキュリティ脆弱性を修正した。

 同社は月例パッチリリースの一環として、7件のセキュリティ情報を発表している。いずれの情報も、最も深刻度の高い「緊急」レベルのもの。緊急レベルの脆弱性は、ユーザー側の作業をほとんど、あるいはまったく必要としないで、対象となるシステムを完全に支配するのに悪用可能な場合が多い。

 パッチが8日にリリースされた脆弱性の大半は、ユーザーに悪質なウェブサイトを閲覧させたり、悪質なファイルを開かせたりするだけで悪用でき、こうした攻撃を仕掛けるサイバー犯罪者は増加しつつある。

 今回のアップデートに含まれる「MS07-027」は、悪質なウェブサイトを通して悪用されるおそれのある、Internet Explorerの6件の脆弱性を修正する。またほかの3件のアップデートは、Office 2007をはじめとしたOfficeアプリケーションの脆弱性に対処する。これらのバグのほとんどは、Officeアプリケーションが特定のファイルを扱う方法に不具合があることから生じており、悪質なOfficeファイルを用いて悪用される可能性がある。

 Exchangeの脆弱性を悪用すると、ユーザーに特別な操作をさせなくても、電子メールサーバソフトウェアが稼働するシステムを完全に支配できるようになる。Exchange 2007を含む同製品シリーズには4件の脆弱性があり、Microsoftはセキュリティアップデート「MS07-026」でこれらを修復した。中でも危険性が高いのは、Exchangeが電子メールメッセージを暗号化する方法に存在するバグだという。

 Internet Explorer 7、Office 2007、Exchange 2007に深刻な影響を与える複数の脆弱性が新たに公表されたことで、Microsoftのセキュリティに関するメッセージに傷がついたと、Qualys の脆弱性研究所マネージャーであるAmol Sarwate氏は指摘している。Microsoftは同社のセキュリティ開発プロセスに言及し、これらの製品の安全性を強調してきていた。

 Sarwate氏は、「ExchangeおよびOfficeを筆頭とするMicrosoft 2007ソフトウェアをめぐっては、今後も脆弱性の発見が相次ぎ、同社のセキュリティ開発ライフサイクルが完全ではないことが表面化するだろう」と述べる。Microsoftは4月のパッチリリースで、「Vista」にも影響をおよぼすWindowsのゼロデイ脆弱性用パッチを含むセキュリティアップデートを提供した。

 そのほかにも、多くのユーザーが影響を受けると考えられる問題として、アプリケーションに暗号化機能を追加するコンポーネント「Capicom」の脆弱性がある。Microsoftのセキュリティ情報「MS07-028」によれば、これは同コンポーネントが特定のデータを処理する方法に関係する不具合で、攻撃者に悪用されると、同コンポーネントが動作するコンピュータが乗っ取られるおそれがあるという。

 今回のアップデートの中には、3件のゼロデイ脆弱性を修復するものが含まれている。このうち1件のアップデートは、Windows Domain Name System(DNS)の脆弱性を修復するもので、以前からリリースが待たれていた。同脆弱性は「Windows 2000 Server」および「Windows Server 2003」に影響をおよぼす。Microsoftは2007年4月、同脆弱性が「限定的な」攻撃に悪用されていると警告していた。

 Microsoftによれば、修復パッチが提供されたその他のゼロデイ脆弱性はInternet ExplorerおよびWordに存在しており、Wordのバグはサイバー攻撃に用いられているという。


http://japan.cnet.com/news/sec/story/0,2000056024,20348417,00.htm?ref=rss

「お待たせしました」ぐらいいったらどうだ!


はい、緊急にもかかわらず「月例」パッチの登場です。19件の脆弱性を修正、7件の情報を公開しています。相変わらず闇に包まれている部分は多いですな。元記事からジャンプできるマイクロソフトのサポートページで詳細が確認できるので、できれば一読をおすすめします。「アップデートに関するトラブルには一切責任は負わない」なんて自分勝手なことが書いてあったりして、とても不愉快にさせてくれます。

ニュース系サイトを読み比べると、ちょっとニュアンスが違うような気もしますが、今回の脆弱性はVistaにも関係ある様子。サポートページをご確認の上、自己責任でアップデートしましょう!
posted by media_aidem at 06:03 | Comment(0) | TrackBack(0) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。