ITmedia総合  >  キーワード一覧  > 

「中間者攻撃」最新記事一覧

MITM攻撃:Man in the Middle Attack

「Firefox 49」安定版リリース 日本語対応の読み上げ機能や18項目の脆弱性修正
MozillaがWebブラウザ「Firefox」をバージョン49に更新した。「リーダービュー」の新機能として日本語にも対応する音声読み上げ機能が追加され、「最高」4項目を含む18項目の脆弱性修正などが行われた。(2016/9/21)

ICチップカードにも脆弱性
銀行やクレジットカード決済で利用機会の多いICカード。安全性は高いのですが、意外な攻撃に弱いようです。対策もまた意外かしもれません。それは――。(2016/9/17)

BREACH攻撃の改良版「Rupture」の脅威
「Gmail」「Facebook」ユーザーを不安にさせる新型“暗号無効化攻撃”の危険度
セキュリティ研究者が、暗号化通信に対する攻撃「BREACH攻撃」の改良版を生み出した。この新型攻撃「Rupture」の脅威とは、どれほどのものなのか。(2016/8/26)

車載セキュリティイベントレポート:
新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。(2016/8/18)

“偽Pokemon GO”も多数発見
「Pokemon GOでGoogleアカウント情報が丸見え」問題とは何だったのか
爆発的人気のモバイルゲーム「Pokemon GO」では当初、Googleアカウントのほぼ全情報の表示・変更権限を取得してしまう問題が発生していた。その背景には何があったのか。(2016/7/28)

「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。(2016/7/19)

Microsoft、月例セキュリティ情報を公開 IEやOfficeに深刻な脆弱性
11件のセキュリティ情報のうち6件が「緊急」、5件が「重要」に分類されている。(2016/7/13)

山市良のうぃんどうず日記(68):
更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法
2016年6月15日のWindows Updateで配布された更新プログラムの中に、グループポリシーの脆弱(ぜいじゃく)性を回避するための「セキュリティ更新プログラム(KB3159398)」がありました。この更新プログラムを適用後、グループポリシーの適用に不具合は生じていませんか。この更新プログラムは重要ですが、副作用にも注意が必要です。(2016/6/27)

SYSTEM DESIGN JOURNAL:
データセンターのイーサネット、パイプが太ければ十分か?
身近な存在であるイーサネットですが、データセンターでのイーサネットはその厳しい環境下で常に変化し続けることを求められています。単純に“パイプを太くする”ことでは生き延びることは難しいでしょう。(2016/6/23)

脅威に負けない我が社のセキュリティ強化大作戦:
圧倒的有利な攻撃者への対抗手段 多層防御とインテリジェンスのしくみ
セキュリティ対策の主流になった多層防御は、巧妙化や隠蔽化が進むサイバー攻撃を検知するポイントを増やして怪しい動きを見つけ、重要な情報の盗み出しを阻止するという考え方です。それでも攻撃側は潤沢な資金を背景に高度化を進めるため、今回は守る側が手にしつつある次の手段のSIEMやインテリジェンスについて解説します。(2016/6/13)

Lenovoのプリインストールアプリに重大な脆弱性、アンインストール呼び掛け
セキュリティ企業に重大な脆弱性を指摘されたことを受け、プリインストールアプリのアンインストールを促した。(2016/6/3)

主要PCメーカーの更新ツール全てに深刻な脆弱性
Duo Securityによると、主要OEM各社がPCにプリインストールしている更新ツール全てに危険度の高い脆弱性が見つかった。(2016/6/1)

プロキシ自動設定のWPADに脆弱性、中間者攻撃の恐れ
社内のDNSサーバ上で解決されるはずのWPADに関するDNSクエリが社外に流出している状況が観測された。悪用されれば中間者攻撃を仕掛けられる恐れがある。(2016/5/25)

「機械学習」「ビッグデータ」が変えるセキュリティ対策【第3回】
「役に立たないSIEM」という“壮大な勘違い”はなぜ起こるのか
歴史の浅さや宣伝の曖昧さから、実力を正しく評価されない傾向がある「SIEM」。過大評価や過小評価に陥らないために、SIEMの現状をあらためて把握しよう。(2016/5/25)

OpenSSLの更新版公開、複数の脆弱性を修正
悪用された場合、リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする恐れがある。(2016/5/6)

Windowsセキュリティアップデート、Windows Helloへの評価は
“意識高いブロガー”は今、「Windows 10」の何を語っているのか
限られた予算でアップグレードする方法から、Windows Helloのセキュリティアップグレード、Windowsパスワードをリカバリーする方法まで。Windowsブロガーたちは、インターネットにどんなことを書き込んでいるのか。(2016/4/14)

「Badlock」の脆弱性修正パッチ、SambaとMicrosoftが公開
悪用された場合、中間者攻撃やサービス妨害(DoS)攻撃攻撃を仕掛けられる恐れがある。(2016/4/13)

Microsoftの月例セキュリティ情報公開――「緊急」6件、「Badlock」脆弱性にも対処
13件のうち6件は深刻度が最も高い「緊急」に分類。残る7件の「重要」指定のセキュリティ情報の中には、「Badlock」と呼ばれる脆弱性に対処する更新プログラムが含まれる。(2016/4/13)

セキュリティ意識皆無のモバイルアプリ
モバイルアプリのあまりにもお粗末な開発レベルに研究者がくぜん
セキュリティの研究者がモバイルアプリを分析した結果、セキュリティを考慮していないコードが多すぎることが明らかになった。こうしたアプリが大規模な情報漏えいを引き起こすと警鐘を鳴らす。(2016/4/8)

MDM悪用でiOS端末に不正アプリをインストール、研究者が脆弱性デモ
脆弱性を悪用すると、モバイルデバイス管理(MDM)製品で管理されているiPhoneやiPadに無線経由で悪質なアプリをインストールできてしまうという。(2016/4/1)

新型のiOSマルウェア出現、設計問題を突き通常端末にも感染
AceDeceiverはAppleのDRM技術「FairPlay」に存在する設計上の弱点を突き、「脱獄」させていないiPhoneなどの端末にもインストールされる。(2016/3/17)

Google、トラフィックの暗号化状況を透明性レポートに追加
Googleが透明性レポートにHTTPS化の取り組みに関するセクションを追加した。同社サービス全体の77%がHTTPS化されたが、古い端末やソフトの存在などが100%達成を阻害しているとしている。(2016/3/16)

SYSTEM DESIGN JOURNAL:
WoT(Web of Things)と化すIoTに待ち受ける、分断された未来
さまざまな企業や勢力がIoTを目指していますが、残念ながら勢力ごとの対話はほぼ存在していません。Web技術を共通言語とし、IoTを「WoT(Web of Things)」とすることで妥協点を見いだそうという動きはありますが、成功するかは不透明と言わざるを得ません。(2016/3/15)

リモートコード実行の恐れ:
glibcにバッファオーバーフローの脆弱性。パッチ情報と回避策は
Linuxで広く使われている「glibc」にバッファオーバーフローの脆弱性が報告されている。修正パッチ適用を急ぎたい。(2016/2/17)

「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
【Update】脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響は広範に及ぶ。(2016/2/17)

セキュリティ業界、1440度(18):
「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」レポート
2016年1月19日から22日にかけて開催された「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」の中から、「車載セキュリティ」関連の発表をピックアップして紹介します。(2016/2/17)

Androidに新手のマルウェア、端末を遠隔操作される恐れ
SMS/MMSのリンクをクリックすると感染し、端末を制御されてデータを消去されてしまう可能性もあるという。(2016/2/16)

OpenSSLの更新版公開、2件の脆弱性を修正
危険度「高」を含む2件の脆弱性が修正されたほか、TLSプロトコルに発覚した「Logjam」の脆弱性の回避策が実装された。(2016/1/29)

Intelのドライバ更新ツールに脆弱性、SSL接続使用せず
Intel Driver Update Utilityでは更新ダウンロード用のURLにSSLが使われていなかった。(2016/1/21)

Apple「Gatekeeper」に迂回の恐れ、パッチでも解決できず?
セキュリティ研究者が「Gatekeeperの完全な失敗」を指摘する発表を行った。(2016/1/19)

2016年のセキュリティトレンドと脅威を占う
2015年は標的型攻撃による情報漏えい被害やマルウェアの凶悪化など、セキュリティの脅威が猛威を振るう1年だった。2016年もこうした動きは続くのだろうか――。(2016/1/5)

Xbox Live用の秘密鍵流出、Microsoftが証明書の失効で対応
どのような経緯で流出したのかは明らかにしていない。証明書を悪用された場合、通信に割り込む中間者攻撃に利用される恐れがある。(2015/12/10)

実践 Splunk道場:
第3回 招かざるセキュリティの脅威、マシンデータから見つけるには
今回はさまざまなデータを取り込むことでSplunkがセキュリティ用途としてどのように活用できるのか、どのような知見が得られるかについて紹介します。(2015/12/8)

Microsoft、Dellの証明書を無効化
Microsoftは証明書信頼リスト(CTL)の更新版を配信し、脆弱性が指摘されたDellの証明書を失効させる措置を取った。(2015/12/2)

多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。HTTPS通信に割り込む中間者攻撃を仕掛けられて情報が流出する恐れもある。(2015/11/26)

Dell、ルート証明書の脆弱性で対応表明 別の問題発覚
Dellはシステムから「eDellRoot」を恒久的に削除する方法について説明。一方、米CERT/CCは、Dellの別のルート証明書「DSDTestProvider」に関する脆弱性情報も公開した。(2015/11/25)

「フォームページのみHTTPS」はもう古い?:
PR:セキュリティだけじゃない、常時SSL/TLS化がもたらすメリットとは
ブラウザーで「鍵」マークを確認するのは、フォームに個人情報やクレジットカード情報を入力する時だけ……。そんな世界が、新たな標準「HTTP/2」の登場によって変わろうとしている。全てのページでSSL/TLSを利用する「常時SSL/TLS」を採用するWebサービスが増加しているのだ。常時SSL/TLSを導入することで、セキュリティの向上やマーケティング面でのメリットがもたらされる。しかし一方で、Webサイト管理者には、いくつか考えなければならない課題があるのも事実だ。本稿では、それらのメリットと課題を整理してみる。(2015/11/20)

Apple、iOSやOS Xのセキュリティ情報を公開
iOSやOS X、Safari、iTunes、watchOS、Mac EFI、Xcodeの脆弱性を修正するアップデートが公開された。Mountain Lionはサポート対象外になったとみられる。(2015/10/22)

モバイル時代、「セキュリティ」と「利便性」は両立できるのか:
PR:隙だらけのWebサービス、Wi-Fi通信、シャドーITがもたらすリスクへの有効な対策とは
全国7都市で開催されたセミナー「『サイバー攻撃の実態』と『セキュリティ事件の裏側』に学ぶ、今、本当に有効な対策とは」では、攻撃者の視点で見るとどのような不正アクセスの可能性があるかを解説した上で、対策のポイントが紹介された。そのハイライトを紹介しよう。(2015/10/21)

セキュリティ業界、1440度(16):
クルマのハッキング対策カンファレンス「escar Asia 2015」リポート
2度目の開催となる「escar Asia」。Black HatやDEF CONでも注目を集めた自動車ハッキングに対するさまざまな対策が提案されました。(2015/10/13)

IoT時代においてもコアテクノロジーに:
「PKIが果たす役割はますます大きくなる」、米デジサート
認証機関として長年電子証明書発行サービスを手がけ、国内ではサイバートラストと提携してビジネスを展開している米デジサート(DigiCert)の担当者らが2015年9月に来日。PKIを巡る最新の状況を尋ねた。(2015/10/8)

Androidに「Stagefright 2.0」の脆弱性、また10億台に影響
細工を施したMP3やMP4を使って任意のコードを実行される恐れがある。影響はバージョン5(Lollipop)までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。(2015/10/2)

Apple、iOS 9を公開、100件超の脆弱性に対処
iOS 9では100件を超す脆弱性が修正された。同時に「iTunes 12.3」「Xcode 7.0」「OS X Server v5.0.3」も公開されている。(2015/9/17)

ビッグデータ利活用と問題解決のいま:
GEにみるIoTとビッグデータ連携でのOSS利用と国際協調
モノのインターネット(IoT)の普及拡大とともに、企業の産業システムがオープンソースソフトウェアとデータを連携する場面が増えてくる。ビッグデータ/IoT連携を推進するグローバル企業は、どのように対応しているのだろうか。(2015/9/9)

萩原栄幸の情報セキュリティ相談室:
ネットバンキングを少しでも安全に使うための方法とは?
便利なインターネットバンキングでウイルス感染による不正送金被害などの問題が深刻化し、しかも状況が変化している。現時点(2015年夏)で考えられる安全に使うための方法を紹介したい。(2015/9/4)

日本の銀行を狙うマルウェア出現、中間者攻撃で情報搾取
世界的に猛威をふるう「Zeus」や「Citadel」とは異なり、日本を含む3カ国を標的にしているという。(2015/8/25)

Samsungの「スマート冷蔵庫」に脆弱性、他人にのぞき見される恐れ
中間者攻撃を仕掛けられ、Googleサービスへのログイン情報を盗まれる恐れがあるという。(2015/8/25)

IT用語解説系マンガ:食べ超(77):
残業でトゲトゲした心をマルウエアくしよう!
残業が減って彼女ができました!(2015/8/19)

クラウドを狙う中間者攻撃「MITC」が浮上、Black Hatで報告
「Man in the Cloud」攻撃では、Google DriveやDropbox、Microsoft OneDriveなどのファイル同期サービスがエンドポイント攻撃のためのインフラとして使われる恐れがあるという。(2015/8/7)

OpenSSL、深刻な脆弱性を修正した更新版公開
攻撃者が代替チェーン証明書を偽造できてしまう恐れがあり、通信の傍受やデータの改ざんなどの攻撃に利用される可能性がある。(2015/7/10)



7月6日に米国等で、遅れて22日に日本でも配信を開始したスマホ向け位置情報ゲーム。街でスマホを持つ人がすべてポケモンGOプレイヤーに見えてしまうくらいの大ブームとなっているが、この盛り上がりがどれだけ継続するのか、この次に来る動きにも注目したい。

Oculus Riftに続く形で各社から次々と発表されたVRゴーグル。まだマニア向けという印象だが、ゲーム用途を中心に実用段階に進んでおり、決定打になるようなコンテンツが出てくれば、一気に普及が進む可能性もある。

ソフトバンクが買収を発表した半導体企業。既にスマホ市場では圧倒的なリーダーだが、今後IoTの時代が到来することで、ネットにつながるデバイスが爆発的に増加することが予測されており、そこでもスマホ同様のシェアを押さえられるのなら、確かにその成長性には期待が持てる。