2007年05月02日

悪質なページに誘われないようにするには

 Googleが、悪質なサイトにユーザーを誘導しようとするスポンサードリンクを削除した。これは、合法的なサイトの広告に見せかけ、ユーザーのPCに悪質なプログラムをインストールしようと試みるものだった。

 削除されたリンクは、ユーザーが特定の検索をした後に表示される検索結果ページの「スポンサードリンク」として表示されていた。このリンクは、パスワード盗難ソフトウェアのインストールを試みるサイトを経由させてから、ユーザーを合法サイトにアクセスさせる仕組みになっていた。悪質なリンクの設置に悪用されたのは、広告サービスの「Google AdWords」。

 Googleは米国時間4月26日付けのブログで「ユーザーを悪質なサイトにリダイレクトしていたAdWordsのアカウントを特定し、無効にした」と述べている。

 セキュリティソフトウェア企業Exploit Prevention Labsによると、悪質なリンクが表示されたのは、商事改善協会(Better Business Bureau)や自動車に関連した用語を検索した場合だったという。どのリンクも正当なものに見せかけられ、ユーザーを悪質サイトの smarttrack.orgにアクセスさせた後、合法サイトに誘導していたと、Exploit Prevention Labsはいう。

 Exploit Prevention LabsのRoger Thompson氏は「われわれは、smarttrack.orgへのリンクとなる検索ストリングを約20種類発見した。同じサイトにリンクする広告は複数種類見つかっている。計画的かつ狡猾な犯行だ」と述べている。

 ウェブ上の脅威は増加傾向にある。セキュリティ企業Trend Microは、2008年には電子メールよりもウェブを始点とする攻撃が多くなると予測する。こうした脅威を防ぐためのツールバーは増えてきており、 Firefox用Google ToolbarやGoogle Desktop、Exploit Prevention LabsのLinkScanner、McAfeeのSiteAdvisorなどは、既知の悪質サイトをブロックしたり、検索結果をレーティングする。

 GoogleはAdWordsの運用を見直し、問題の再発を防ぎたいとしている。「われわれは問題を深刻に受け止めており、引き続き状況を監視する。また、システムを見直し、再発防止に役立つ方法がとられているのか確認したい」と同社は述べる。


http://japan.cnet.com/news/sec/story/0,2000056024,20348128,00.htm?ref=rss

Google AdWordsで費用をかけてまでも、悪事をしようとする輩がいるんですな。

元記事にもあるように、防衛策としてMcAfeeのSiteAdvisorを利用させていただいていますが、Googleが”検査”をしていないサイトはクエスチョンマークが、そして注意が必要なサイトには「!」が表示され、注意を促します。”smarttrack.org”をググってみると、やはり注意が表示されます。


SiteAdvisor

(Linuxだとこんな表示になります)

ウイルス検出ソフトの導入は当たり前、その上なお武装していないといけない時代です。頻繁にアップデートするNoScriptやDr WEBなど、無料で使えるアドオンも充実していますので、Firefoxおすすめですよ。






posted by media_aidem at 10:05 | Comment(0) | TrackBack(2) | セキュリティ

2007年04月23日

マイクロソフト 今日の脆弱性

マイクロソフトがらみのセキュリティ関連ニュースを2つ。

 Microsoftは米国時間5月8日に予定している月例パッチリリースで、先日明らかになった「Windows Domain Name System」(DNS)サービスに関する脆弱性に対応する修正パッチを提供する計画だ。

 Microsoftのセキュリティレスポンスセンターの職員であるChristopher Budd氏は米国時間4月17日、企業ブログにて、「現在開発状態であり、われわれは開発状況および状態を常に評価し、アップデートを検証している」と書いている。

 Budd氏によると、Microsoftは現在133件のアップデートに取り組んでいるという。(後略)


http://japan.cnet.com/news/sec/story/0,2000056024,20347538,00.htm?ref=rss


 Microsoftは、2007年4月に配布した「緊急」レベルの「Windows」のパッチについて、さらに不具合が生じることを説明している。

 パッチ適用によって不具合が生じる可能性のあるアプリケーションが3つ追加され、アップデートとコンフリクトを起こすプログラムのリストは8件になった。この「MS07-017」パッチは、アニメーションカーソルのファイルを扱う際の問題を修復するもの。サイバー犯罪者は早速この脆弱性を利用して、不正なウェブサイトを通じて脆弱なPCに悪意あるソフトウェアをインストールしようとしている。

 パッチ適用に伴う新しい問題点も浮上した。Microsoftによると、一部ユーザーが「SQL Reporting Services」から「Printer Command Language(PCL)」プリンタで印刷する際にトラブルに遭遇したという。同社は、この問題への「ホットフィックス」を含む新しいサポート資料を掲載している。


http://japan.cnet.com/news/sec/story/0,2000056024,20347568,00.htm?ref=rss

DNSサービスのパッチはまだ公開できず、アニメーションカーソルについては、パッチをあてると他の不都合が起きてしまうというもの。セキュリティホールの穴を押し広げてませんか?(^^)

この脆弱性を突いた攻撃も始まっているようなので、Winユーザの方はアップデートのアナウンスも含めてご注意くださいね。

posted by media_aidem at 10:50 | Comment(0) | TrackBack(2) | セキュリティ

2007年04月20日

まずは「APOP」を利用する方法を知らないと・・・。

 情報処理推進機構(IPA)は4月19日、メール受信用の通信プロトコル「APOP」にセキュリティホールが存在すると警告した。APOPによる通信で、メールサーバ(APOPサーバ)アクセス用パスワード漏えいの可能性があるという。

 APOPは、メールクライアントとサーバ間でメール受信に必要なやり取りを行うための通信プロトコル。広く利用されているメール受信プロトコルPOP3がサーバアクセス用のパスワードを平文で送るのに対し、APOPはMD5と呼ばれる方式でハッシュ化して保護する。

 ただし、MD5ハッシュ関数にはハッシュ衝突(同じハッシュ値を持つ2つの異なるデータ列が発見可能なこと)の問題が存在するため、ユーザーが偽のAPOPサーバに誘導されてデータを解析されると、APOPパスワード解読の恐れがある。APOPパスワードが漏えいし、ほかのシステムでも同じパスワードを流用していると、不正ログインに悪用される危険もある。

 MD5が原因であることから、現時点で根本的な対策はない。IPAは、「POP over SSL」やSSL暗号化対応のウェブメールなどの利用を推奨している。最新情報は、「JVN#19445002:APOPにおけるパスワード漏えいの脆弱性」で参照できる。


http://japan.cnet.com/news/sec/story/0,2000056024,20347424,00.htm?ref=rss

パスワードが解読される可能性がある暗号化と生パスワードでの送受信、どちらが安全かと考えたら、やはり前者でしょう。万が一漏洩しても大丈夫なようにパスワード(しかもPOPだから受信サーバ)だけ別なものにしておくのが賢い使いかたですね。

いろいろ調べてみるとAPOPを使うにはサーバとクライアント(メーラー)が共にAPOPに対応していなければならず、メーラーで対応しているのは「Becky!」「AL-Mail32」「Eudora Pro及びフリーウェアのEudra-J」あたりのようです。

生パスワードでの送受信に抵抗を感じる方、煩わしい作業になるかもしれませんが、導入をご検討してみてください。
タグ:APOP
posted by media_aidem at 08:38 | Comment(0) | TrackBack(2) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。