「Black Hat Briefings」最新記事一覧

2011年上半期のセキュリティ動向
Androidユーザーの3分の1はWeb脅威に遭遇　マルウェア感染率は2.5倍
Lookoutが発表した2011年上半期のセキュリティ動向報告書によると、Android端末を狙うマルウェアが増加しており、感染手口も巧妙化しているという。（2011/9/6）

ハッカーの興味はAndroidに移行か？
ドライブバイ攻撃、アプリ経由の情報漏えい――米研究が発見した最新Android脅威
ウイルス対策製品を手掛ける米Dasientの研究チームが、Android端末に深刻な影響を及ぼすドライブバイ攻撃を実証した。（2011/8/18）

組織を狙うサイバー攻撃に強いのはMacかWindowsか――Black Hatで検証結果発表
セキュリティ企業iSec Partnersの研究チームが、組織を狙ったサイバー攻撃の各段階についてMacとWindowsがどの程度対抗できるかを比較検証した。（2011/8/9）

「Google Chrome OSをハッキングできるのか」――Black Hatで研究者が発表
ChromeBookでJavaScriptのコードを実行している場合、クロスサイトスクリプティング（XSS）攻撃を受ける恐れがあることが判明したという。（2011/8/5）

革新的なセキュリティ対策技術に賞金25万ドル、Microsoftがコンペ開催
「われわれの関心は個々の問題を洗い出すよりも、革新的なソリューションの開発を促すことにある」とMicrosoft。（2011/8/4）

「顔認識技術で個人の社会保障番号まで割り出せる」――米研究者が発表
Facebookのプロフィール写真とクラウドコンピューティング、既存の顔認識ツールを組み合わせれば、オフラインの個人のかなり詳しい情報をオンラインから抽出できるという実験結果を、カーネギーメロン大学の研究チームが発表した。（2011/8/2）

Appleのバッテリーファームウェアの脆弱性、研究者がBlack Hatで発表へ
セキュリティ研究者が8月のBlack Hatで「バッテリーファームウェアハッキング」についてプレゼンテーションを行うと発表した。（2011/7/25）

アプリケーションの脆弱性リスクを検証
Microsoft、開発者支援ツール「Attack Surface Analyzer」を公開
「Attack Surface Analyzer」では、新開発のアプリケーション導入によって攻撃の様相が変化するかどうかを検証できる。（2011/2/17）

Kaspersky Press Tour 2010（2）：
進化する“偽セキュリティソフト”――2011年版の最新機能は？
Kaspersky LabのリサーチャーであるNicolas Brulez氏が最新の「Rogue AV」を解説。24時間／年中無休の手厚いサポートを提供する“偽物”も登場した。（2010/10/8）

Adobe ReaderとAcrobatの臨時アップデート、日本は20日に公開
AdobeはReaderとAcrobatの脆弱性を解決するための臨時アップデートを、米国時間の8月19日（日本時間20日）に公開する。（2010/8/19）

Adobeが定例外パッチを予告、ReaderとAcrobatの深刻な脆弱性に対処へ
Adobeは8月16日の週に臨時セキュリティアップデートを公開し、Black Hatで公表された深刻な脆弱性に対処する。（2010/8/9）

ボットネット“ビジネス”のからくり、専門家が解説
ボットネットを使って数百万ドルもの利益を得るサイバー犯罪の舞台裏を、Black Hatセキュリティカンファレンスでセキュリティ研究者が説明した。（2010/8/5）

Android Marketに不審な壁紙アプリ見つかる、ユーザー情報を収集か
Android Marketで提供されている壁紙アプリの中に、ユーザーの電話番号などの情報を収集して外部に送信しているものが見つかったという。（2010/7/30）

Adobe、脆弱性情報の事前提供にMicrosoftの制度を採用
AdobeはMicrosoftの制度に加盟しているセキュリティソフトメーカーなどを対象に、今年秋から脆弱性情報の事前提供を開始する。（2010/7/29）

チャーリー・ミラーとのPwn2Ownインタビュー
ハッキングコンテスト「Pwn2Own」で2年続けて勝者となったチャーリー・ミラーが、インターネットセキュリティについての見解を語っている。何と、Mac OSはMicrosoft Windowsに劣らず脆弱なのだ。（2010/3/3）

BlackBerryとiPhoneを狙うスパイウェア、BlackHatでソースコード公開
公開されたスパイウェアのソースコードに手を加えれば、新しいマルウェアを簡単に作成できてしまうとSophosが指摘した。（2010/2/10）

Appleが締め出すのも無理はない：
iPhoneキラー？――企業向け機能が魅力のGoogle Voice
iPhoneの企業市場参入を阻むのは、BlackBerryでもAndroidでもなく、それらで稼働するGoogle Voiceかもしれない。（2009/8/3）

Apple、iPhone OSの深刻な脆弱性に対処
Appleは、SMSを悪用した攻撃でリモートからのコード実行につながる脆弱性を修正した。（2009/8/1）

Black Hatで明らかに：
iPhoneの脆弱性が発表？ 不審な四角い文字のメールに注意
もしも四角い文字が1文字だけ入ったテキストメールが届いたら、直ちにiPhoneの電源を切るよう、研究者はアドバイスしている。（2009/7/31）

Black Hatのジェフ・モス氏、米安保諮問評議会メンバーに
ハッカーカンファレンスDEFCONの主催者、ジェフ・モス氏が米連邦政府の国土安全保障諮問評議会メンバーに就任した。（2009/6/8）

南京錠の画像でだます：
新たな中間者攻撃にはEV SSLの活用を――ベリサイン
VeriSignは、BlackHatで公開された新たな中間者攻撃への対策としてEV SSL証明書の利用を呼び掛けた。（2009/3/13）

DNSキャッシュ汚染問題にみる脆弱性の公開と対処
7〜8月かけてインターネットの世界に巻き起こった「DNSキャッシュ汚染」の問題。この問題を担当したセキュリティ研究者のダン・カミンスキー氏が、脆弱性公開と対処に関するプロセスを語った。（2008/10/14）

SNSは危険がいっぱい？
MySpaceなどのSNSはセキュリティの基本原則を無視
MySpaceのプラットフォームは「XML化された混合物」にすぎず、「攻撃手法を考案するのに便利な説明書付きAPI」を悪質なハッカーに提供するものだ、とセキュリティ専門家が指摘した。（2008/9/16）

Web安全神話を揺るがすDNSの脆弱性、影響は想像以上
「大企業の電子メールがすべて盗まれるのではないかと心配した」とDNSプロトコルの脆弱性を発見した研究者がBlack Hatで語った。（2008/8/8）

Security Incident Report：
初夏にネームサーバ管理者を襲う「毒混入事件」
複数のDNSソフトウェアにおけるDNSキャッシュポイズニングの脆弱性について、改めて注意喚起が行われている。リソースレコードのTTLが極端に短いネームサーバの管理者は特に、すべてのネームサーバ管理者は週末を迎える前に再度チェックしておきたい。（2008/7/25）

Weekly Access Top10：
Jリーグの対戦表作成は大変、数学のプロに任せる
サッカーJリーグで対戦表の作成はかなり複雑な業務だ。対戦表作成担当者はかつては対戦表の作成に2、3週間掛かっていた。寝る時間もないくらい大変だったという。（2008/3/8）

携帯電話の盗聴が簡単に？――Black Hatで暗号解除の新技術を披露
携帯電話通信に使われている暗号を30分足らずで解除できてしまう方法が紹介された。（2008/2/28）

クレジットカードの磁気ストライプをハックするプログラムがリリース
ChaP.pyを使えば、Europay、MasterCard、VISAが開発した規格を使っているカードから機密情報を盗むことができる。（2008/2/22）

ID窃盗フィッシングネットワークの存在が明らかに――Black Hatカンファレンスで
セキュリティ研究者らは、偽の銀行サイトを無効にする「もぐらたたき」のようなアプローチは莫大な時間の浪費であると警告している。（2008/2/21）

ネットは国家の情報統制に対抗する力をもたらすか：
『1984年』の監視社会から読み解く情報発信の自由度
インターネットの利用を制限し、小説さながらの監視社会を作り出している国家がある。その実態はどのようなものなのか。（2007/11/23）

Black Hat Japan 2007 Briefings Report：
「技術者は技術の向こうにある社会情勢にも目を向けよ」、奈良先端大山口教授
去る10月23日から26日の4日間、国際セキュリティカンファレンス「Black Hat Japan 2007」が開催。基調講演では、奈良先端科学技術大の山口教授が情報セキュリティにおける技術の大切さを訴えた。（2007/11/14）

検出困難な隠ぺい技術からネットワークを守るには
rootkitからbootkitまで──極悪マルウェア対処法
元ブラックハットハッカーが、rootkitとbootkitの仕組みとその対処法を解説する。（2007/10/12）

iPhoneは携帯型「ハッキングプラットフォーム」なのか
iPhone上のアプリケーションはすべてルートアクセスを実行している。このため、攻撃者は脆弱性を悪用して同デバイスを完全に制御することが可能になってしまう可能性があるという。（2007/10/4）

エンドポイントを仮想化
SOAにおけるXMLセキュリティゲートウェイの活用
XMLセキュリティゲートウェイは、すべてのエンドポイントに直接展開するのは経済的でないと考えられる特別なセキュリティサービスを、SOAとWebサービスに固有の疎結合のアーキテクチャアプローチを利用して提供する。（2007/9/13）

Defcon 15：明らかになった秘密と不満
先週、Black Hat Briefingsに続いてDefcon 15が開催された。セキュリティ業界内部からの不満の声が大きくなっているセキュリティ事情について、辛口な言葉が飛び交った。（2007/8/13）

Black Hat USA 2007：閉幕リポート
Black Hat USA 2007のカンファレンス会場にはいままでとは何か異なる雰囲気が漂っていたという印象を、わたしはいまだ感じ続けている。（2007/8/8）

MozillaがFirefox用のJavaScript Fuzzerをリリース
Mozillaは、Black Hatカンファレンスの場でFirefox用のJavaScript Fuzzerをリリースする。（2007/8/2）

Core Securityが新しいデータベース攻撃手法を発表
黒い帽子をかぶったCore Security Technologiesの研究者たちが、データベース攻撃の新しい手法を紹介する。（2007/7/31）

Symbianのマルウェア対策強化、F-Secureが実証実験
Symbianのマルウェア対策強化、F-Secureが実証実験（2007/7/31）

Programing Bible：
zzufを使ったファズテスト
ファズテストは、ITセキュリティにおいてかなり前から非常に大きな関心事になっていた。だが、zzufという小さいながらも素晴らしいプログラムのおかげで、今では迅速かつ容易に自前でファズテストを実行できるようになっている。（2007/7/31）

機能プロトコルテストに利用
VoIPの脆弱性検証に使えるファジングツール10選
プロトコルの実装をテストするために利用できるファジングツールを、有料・無料とりまぜて紹介する。（2007/7/27）

iPhoneトラフィック殺到で大学の無線LANがダウン、その原因は……
Trend Microによると、iPhoneからのアクセス殺到で米デューク大学の無線LANが利用不能に。ただ、原因は別のところにあった。（2007/7/26）

iPhoneの脆弱性突くコンセプト実証コードが登場、個人情報盗む
iPhoneに搭載されたSafariブラウザで悪質なWebページを閲覧させ、iPhoneに保存された個人情報を不正に取得することが可能だという。（2007/7/24）

ハードウェアの難攻不落神話が崩壊――「Black Hat」で公開された衝撃のハッキング手法
2月28日に米バージニア州で開催されたBlack Hatでは、ハードウェアをハッキングする2種類の画期的な方法が紹介された。従来からの「神話」を見事に崩壊させてしまったのだ。（2007/3/5）

Oracle DBへの新種攻撃手法、Black Hatで発表
米国で開催のセキュリティカンファレンス「Black Hat」では、Oracle製品のセキュリティホールに関する2つのブリーフィングが予定されている。（2007/2/28）

“コンプライアンス”にはデータガバナンスが優先課題
ニューヨーク発――企業はデータベースガバナンスにおけるIT監査プロセスを強化する必要があると、規制コンプライアンスを専門とするアナリストらが主張している。（2006/11/11）

MS、Vistaのセキュリティ機能迂回に対処
Windows VistaのRC2では、セキュリティ機能を迂回できる「ページファイル攻撃」の防止措置が取られたが、Microsoftのやり方はまずいと研究者は指摘する。（2006/10/21）

MS、ハッカーイベント「BlueHat」でrootkitのデモ実演
仮想環境におけるrootkitには多くが注目している。ほかでもなくMicrosoftもそうだが、同社はイベントで著名人を招きディスカッションを行う。（2006/10/20）

Apple、無線LANドライバの脆弱性を修正
Black HatでAirPortの脆弱性を実演されたAppleが、無線LANドライバのパッチをリリースした。（2006/9/22）

Focus on People：
2人の「お婆さんハッカー」にインタビュー（後編）
自他ともに認める実績を持ち、16年間、国家安全保障局に務めたベッキー・ベースさんは、自らを生まれながらのギークと語る。しかし、やはりその人生の節々で彼女をギークたらしめる出来事が起こっていた。（2006/9/8）