ITmedia総合  >  キーワード一覧  > 

「中間者攻撃」最新記事一覧

MITM攻撃:Man in the Middle Attack

Google、Androidの月例セキュリティパッチを公開 多数の深刻な脆弱性に対処
カーネルやドライバなどに存在する極めて深刻な脆弱性を修正している。(2016/12/6)

Android向けファームウェアに深刻な脆弱性、米機関は「もはやrootkit」と断言
脆弱性はOTAによるアップデート時に暗号化通信が行われないというものだが、実行を隠す複数の方法が使用され、CERT/CCは「挙動はもはやrootkitだ」と指摘している。(2016/11/18)

組み込み開発視点で見る「IoTの影」(3):
IoTは「IT」と「組み込み」だけではない
IoTはエンドデバイスとクラウドサービスの組み合わせで構成されているが、組み込み開発の焦点をデバイス側だけに当てていないだろうか。「IoT」として価値を提供する以上、より広い視野での開発が求められるのである。(2016/11/18)

Maker's Voice:
ATMのリスク、物理的なアクセスで攻撃も――Kasperskyの研究者らが指摘
サイバー犯罪者の動機の一つとして、「カネ狙い」が明確になってきたと指摘されて久しい。長年、不正送金マルウェアなどについて調査してきたKasperskyでは、ATMそのものを狙った攻撃手法についても調査し、さまざまな攻撃経路が考えられると警告している。(2016/11/17)

ソフトバンクがZimperiumの「セキュリティチェッカー」を提供 その特徴とは?
ソフトバンクがiOS向けに「セキュリティチェッカー」アプリを提供。米Zimperiumが開発したもの。その特徴は、Zimperiumが培ってきた人工知能ベースの脅威検出エンジンにある。(2016/11/10)

インシデント発覚まで2年も
“史上最大規模の情報流出”で露呈したYahoo!の危ういセキュリティ体制
Yahoo!の史上最大規模の情報流出は広範囲に影響を及ぼしている。訴訟が起こされ、米証券取引委員会(SEC)の調査の可能性が浮上し、同社の侵害検知体制と対応策に疑問の声が上がっている。(2016/10/13)

ITmedia エンタープライズ ソリューションセミナー レポート:
便利と安全の両立にどう挑む? 東急リバブルやDeNAが語るモバイル活用とセキュリティ対策の最新事情
企業・組織のスマートデバイス導入では、メールチェックなどから業務システムを使う高度活用ニーズが高まる一方、同時に高まるセキュリティリスクへの対策が大きな課題だ。モバイル活用の先進企業における取り組みや課題解決の最新動向が紹介された。(2016/10/12)

エンプラ週末こぼれ話:
DDoS攻撃とサーバ管理者の戦いはすさまじい――15秒動画が話題に
目に見えないサイバー攻撃は実感しづらいのですが、DDoS攻撃のすさまじさとそれに対峙するサーバ管理者の大変さを視覚化したツイートが話題になっています。(2016/10/7)

「Firefox 49」安定版リリース 日本語対応の読み上げ機能や18項目の脆弱性修正
MozillaがWebブラウザ「Firefox」をバージョン49に更新した。「リーダービュー」の新機能として日本語にも対応する音声読み上げ機能が追加され、「最高」4項目を含む18項目の脆弱性修正などが行われた。(2016/9/21)

ICチップカードにも脆弱性
銀行やクレジットカード決済で利用機会の多いICカード。安全性は高いのですが、意外な攻撃に弱いようです。対策もまた意外かしもれません。それは――。(2016/9/17)

BREACH攻撃の改良版「Rupture」の脅威
「Gmail」「Facebook」ユーザーを不安にさせる新型“暗号無効化攻撃”の危険度
セキュリティ研究者が、暗号化通信に対する攻撃「BREACH攻撃」の改良版を生み出した。この新型攻撃「Rupture」の脅威とは、どれほどのものなのか。(2016/8/26)

車載セキュリティイベントレポート:
新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。(2016/8/18)

“偽Pokemon GO”も多数発見
「Pokemon GOでGoogleアカウント情報が丸見え」問題とは何だったのか
爆発的人気のモバイルゲーム「Pokemon GO」では当初、Googleアカウントのほぼ全情報の表示・変更権限を取得してしまう問題が発生していた。その背景には何があったのか。(2016/7/28)

「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。(2016/7/19)

Microsoft、月例セキュリティ情報を公開 IEやOfficeに深刻な脆弱性
11件のセキュリティ情報のうち6件が「緊急」、5件が「重要」に分類されている。(2016/7/13)

山市良のうぃんどうず日記(68):
更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法
2016年6月15日のWindows Updateで配布された更新プログラムの中に、グループポリシーの脆弱(ぜいじゃく)性を回避するための「セキュリティ更新プログラム(KB3159398)」がありました。この更新プログラムを適用後、グループポリシーの適用に不具合は生じていませんか。この更新プログラムは重要ですが、副作用にも注意が必要です。(2016/6/27)

SYSTEM DESIGN JOURNAL:
データセンターのイーサネット、パイプが太ければ十分か?
身近な存在であるイーサネットですが、データセンターでのイーサネットはその厳しい環境下で常に変化し続けることを求められています。単純に“パイプを太くする”ことでは生き延びることは難しいでしょう。(2016/6/23)

脅威に負けない我が社のセキュリティ強化大作戦:
圧倒的有利な攻撃者への対抗手段 多層防御とインテリジェンスのしくみ
セキュリティ対策の主流になった多層防御は、巧妙化や隠蔽化が進むサイバー攻撃を検知するポイントを増やして怪しい動きを見つけ、重要な情報の盗み出しを阻止するという考え方です。それでも攻撃側は潤沢な資金を背景に高度化を進めるため、今回は守る側が手にしつつある次の手段のSIEMやインテリジェンスについて解説します。(2016/6/13)

Lenovoのプリインストールアプリに重大な脆弱性、アンインストール呼び掛け
セキュリティ企業に重大な脆弱性を指摘されたことを受け、プリインストールアプリのアンインストールを促した。(2016/6/3)

主要PCメーカーの更新ツール全てに深刻な脆弱性
Duo Securityによると、主要OEM各社がPCにプリインストールしている更新ツール全てに危険度の高い脆弱性が見つかった。(2016/6/1)

プロキシ自動設定のWPADに脆弱性、中間者攻撃の恐れ
社内のDNSサーバ上で解決されるはずのWPADに関するDNSクエリが社外に流出している状況が観測された。悪用されれば中間者攻撃を仕掛けられる恐れがある。(2016/5/25)

「機械学習」「ビッグデータ」が変えるセキュリティ対策【第3回】
「役に立たないSIEM」という“壮大な勘違い”はなぜ起こるのか
歴史の浅さや宣伝の曖昧さから、実力を正しく評価されない傾向がある「SIEM」。過大評価や過小評価に陥らないために、SIEMの現状をあらためて把握しよう。(2016/5/25)

OpenSSLの更新版公開、複数の脆弱性を修正
悪用された場合、リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする恐れがある。(2016/5/6)

Windowsセキュリティアップデート、Windows Helloへの評価は
“意識高いブロガー”は今、「Windows 10」の何を語っているのか
限られた予算でアップグレードする方法から、Windows Helloのセキュリティアップグレード、Windowsパスワードをリカバリーする方法まで。Windowsブロガーたちは、インターネットにどんなことを書き込んでいるのか。(2016/4/14)

「Badlock」の脆弱性修正パッチ、SambaとMicrosoftが公開
悪用された場合、中間者攻撃やサービス妨害(DoS)攻撃攻撃を仕掛けられる恐れがある。(2016/4/13)

Microsoftの月例セキュリティ情報公開――「緊急」6件、「Badlock」脆弱性にも対処
13件のうち6件は深刻度が最も高い「緊急」に分類。残る7件の「重要」指定のセキュリティ情報の中には、「Badlock」と呼ばれる脆弱性に対処する更新プログラムが含まれる。(2016/4/13)

セキュリティ意識皆無のモバイルアプリ
モバイルアプリのあまりにもお粗末な開発レベルに研究者がくぜん
セキュリティの研究者がモバイルアプリを分析した結果、セキュリティを考慮していないコードが多すぎることが明らかになった。こうしたアプリが大規模な情報漏えいを引き起こすと警鐘を鳴らす。(2016/4/8)

MDM悪用でiOS端末に不正アプリをインストール、研究者が脆弱性デモ
脆弱性を悪用すると、モバイルデバイス管理(MDM)製品で管理されているiPhoneやiPadに無線経由で悪質なアプリをインストールできてしまうという。(2016/4/1)

新型のiOSマルウェア出現、設計問題を突き通常端末にも感染
AceDeceiverはAppleのDRM技術「FairPlay」に存在する設計上の弱点を突き、「脱獄」させていないiPhoneなどの端末にもインストールされる。(2016/3/17)

Google、トラフィックの暗号化状況を透明性レポートに追加
Googleが透明性レポートにHTTPS化の取り組みに関するセクションを追加した。同社サービス全体の77%がHTTPS化されたが、古い端末やソフトの存在などが100%達成を阻害しているとしている。(2016/3/16)

SYSTEM DESIGN JOURNAL:
WoT(Web of Things)と化すIoTに待ち受ける、分断された未来
さまざまな企業や勢力がIoTを目指していますが、残念ながら勢力ごとの対話はほぼ存在していません。Web技術を共通言語とし、IoTを「WoT(Web of Things)」とすることで妥協点を見いだそうという動きはありますが、成功するかは不透明と言わざるを得ません。(2016/3/15)

リモートコード実行の恐れ:
glibcにバッファオーバーフローの脆弱性。パッチ情報と回避策は
Linuxで広く使われている「glibc」にバッファオーバーフローの脆弱性が報告されている。修正パッチ適用を急ぎたい。(2016/2/17)

「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
【Update】脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響は広範に及ぶ。(2016/2/17)

セキュリティ業界、1440度(18):
「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」レポート
2016年1月19日から22日にかけて開催された「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」の中から、「車載セキュリティ」関連の発表をピックアップして紹介します。(2016/2/17)

Androidに新手のマルウェア、端末を遠隔操作される恐れ
SMS/MMSのリンクをクリックすると感染し、端末を制御されてデータを消去されてしまう可能性もあるという。(2016/2/16)

OpenSSLの更新版公開、2件の脆弱性を修正
危険度「高」を含む2件の脆弱性が修正されたほか、TLSプロトコルに発覚した「Logjam」の脆弱性の回避策が実装された。(2016/1/29)

Intelのドライバ更新ツールに脆弱性、SSL接続使用せず
Intel Driver Update Utilityでは更新ダウンロード用のURLにSSLが使われていなかった。(2016/1/21)

Apple「Gatekeeper」に迂回の恐れ、パッチでも解決できず?
セキュリティ研究者が「Gatekeeperの完全な失敗」を指摘する発表を行った。(2016/1/19)

2016年のセキュリティトレンドと脅威を占う
2015年は標的型攻撃による情報漏えい被害やマルウェアの凶悪化など、セキュリティの脅威が猛威を振るう1年だった。2016年もこうした動きは続くのだろうか――。(2016/1/5)

Xbox Live用の秘密鍵流出、Microsoftが証明書の失効で対応
どのような経緯で流出したのかは明らかにしていない。証明書を悪用された場合、通信に割り込む中間者攻撃に利用される恐れがある。(2015/12/10)

実践 Splunk道場:
第3回 招かざるセキュリティの脅威、マシンデータから見つけるには
今回はさまざまなデータを取り込むことでSplunkがセキュリティ用途としてどのように活用できるのか、どのような知見が得られるかについて紹介します。(2015/12/8)

Microsoft、Dellの証明書を無効化
Microsoftは証明書信頼リスト(CTL)の更新版を配信し、脆弱性が指摘されたDellの証明書を失効させる措置を取った。(2015/12/2)

多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。HTTPS通信に割り込む中間者攻撃を仕掛けられて情報が流出する恐れもある。(2015/11/26)

Dell、ルート証明書の脆弱性で対応表明 別の問題発覚
Dellはシステムから「eDellRoot」を恒久的に削除する方法について説明。一方、米CERT/CCは、Dellの別のルート証明書「DSDTestProvider」に関する脆弱性情報も公開した。(2015/11/25)

「フォームページのみHTTPS」はもう古い?:
PR:セキュリティだけじゃない、常時SSL/TLS化がもたらすメリットとは
ブラウザーで「鍵」マークを確認するのは、フォームに個人情報やクレジットカード情報を入力する時だけ……。そんな世界が、新たな標準「HTTP/2」の登場によって変わろうとしている。全てのページでSSL/TLSを利用する「常時SSL/TLS」を採用するWebサービスが増加しているのだ。常時SSL/TLSを導入することで、セキュリティの向上やマーケティング面でのメリットがもたらされる。しかし一方で、Webサイト管理者には、いくつか考えなければならない課題があるのも事実だ。本稿では、それらのメリットと課題を整理してみる。(2015/11/20)

Apple、iOSやOS Xのセキュリティ情報を公開
iOSやOS X、Safari、iTunes、watchOS、Mac EFI、Xcodeの脆弱性を修正するアップデートが公開された。Mountain Lionはサポート対象外になったとみられる。(2015/10/22)

モバイル時代、「セキュリティ」と「利便性」は両立できるのか:
PR:隙だらけのWebサービス、Wi-Fi通信、シャドーITがもたらすリスクへの有効な対策とは
全国7都市で開催されたセミナー「『サイバー攻撃の実態』と『セキュリティ事件の裏側』に学ぶ、今、本当に有効な対策とは」では、攻撃者の視点で見るとどのような不正アクセスの可能性があるかを解説した上で、対策のポイントが紹介された。そのハイライトを紹介しよう。(2015/10/21)

セキュリティ業界、1440度(16):
クルマのハッキング対策カンファレンス「escar Asia 2015」リポート
2度目の開催となる「escar Asia」。Black HatやDEF CONでも注目を集めた自動車ハッキングに対するさまざまな対策が提案されました。(2015/10/13)

IoT時代においてもコアテクノロジーに:
「PKIが果たす役割はますます大きくなる」、米デジサート
認証機関として長年電子証明書発行サービスを手がけ、国内ではサイバートラストと提携してビジネスを展開している米デジサート(DigiCert)の担当者らが2015年9月に来日。PKIを巡る最新の状況を尋ねた。(2015/10/8)

Androidに「Stagefright 2.0」の脆弱性、また10億台に影響
細工を施したMP3やMP4を使って任意のコードを実行される恐れがある。影響はバージョン5(Lollipop)までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。(2015/10/2)



多くの予想を裏切り、第45代アメリカ合衆国大統領選挙に勝利。貿易に関しては明らかに保護主義的になり、海外人材の活用も難しくなる見込みであり、特にグローバル企業にとっては逆風となるかもしれない。

携帯機としても据え置き機としても使える、任天堂の最新ゲーム機。本体+ディスプレイ、分解可能なコントローラ、テレビに接続するためのドックといった構成で、特に携帯機としての複数人プレイの幅が広くなる印象だ。

アベノミクスの中でも大きなテーマとされている働き方改革と労働生産性の向上。その実現のためには人工知能等も含むITの活用も重要であり、IT業界では自ら率先して新たな取り組みを行う企業も増えてきている。