ITmedia総合  >  キーワード一覧  > 

「中間者攻撃」関連の最新 ニュース・レビュー・解説 記事 まとめ

MITM攻撃:Man in the Middle Attack

Windows 10の「DNS over HTTPS」機能がWindows Insiderで利用可能に
正式リリース前の機能を試験的に利用してもらう制度向けに実装。Microsoftは「よりプライベートなインターネットエクスペリエンスを創出する一助」と述べている(2020/5/15)

こうしす! こちら京姫鉄道 広報部システム課 @IT支線(23):
ハッカーはとんでもないものを見てしまいました。あなたのジャージーです
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第23列車は「ビデオ会議のセキュリティ」です。(2020/5/11)

2つの鍵交換方式【前編】
鍵交換の2大アルゴリズム「Diffie-Hellman」「RSA」 何が違い、どちらが安全?
暗号化通信に欠かせない鍵交換。主な方式として「Diffie-Hellman方式」(DH法)と「RSA方式」の2つがある。それぞれどのように違い、どちらがより安全なのか。(2020/3/30)

Avastがウイルス対策ソフトの脆弱性を修正 HTTPS通信の内容傍受の恐れ
発見者によると、Avast AntiTrackの脆弱性を悪用すれば、リモートの攻撃者が悪質なプロキシを使って被害者のHTTPSトラフィックを傍受し、認証情報を取得することも可能だった。(2020/3/12)

この頃、セキュリティ界隈で:
Windowsに証明書偽装の脆弱性、通信盗聴やマルウェアに悪用の恐れも あのNSAが報告した意図は?
Windowsの脆弱性が多方面で影響を与えている。その流れを追う。(2020/1/20)

「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”
2019年9月からネットバンキングでの不正送金による被害が急増している。その背景には、多要素認証を迂回する手段が登場したことが挙げられるという。(2019/12/27)

「ToTok」はUAE政府のスパイツールだった? GoogleとAppleが提供中止
中東を中心に人気のメッセージングアプリ「ToTok」について、New York Timesが「実態はスパイツールだった」と報じている。(2019/12/24)

「日テレニュース24」Androidアプリに脆弱性 通信内容の取得や改ざんの恐れも
日本テレビ放送網が提供するAndroidアプリ「日テレニュース24」の脆弱性が発表された。通信内容の取得や改ざんなどが行なわれる可能性があるため、JPCERT コーディネーションセンターはアプリを最新版へアップデートするよう注意を促している。(2019/12/20)

「ソフトウェア定義境界」(SDP)とは【前編】
セキュリティ新概念「ソフトウェア定義境界」とは? 「認証後に接続」を実現
セキュリティ業界に新しく登場した概念「ソフトウェア定義境界」(SDP)とは何か。SDPの特徴と、それを具現化する仕組みを紹介しよう。(2019/12/12)

登場当初からどう変わったのか
「CASB」の進化とは? シャドークラウド監視だけではない新たな用途
クラウドのセキュリティを強化する「CASB」(Cloud Access Security Broker)が変化している。多様化・複雑化する脅威が、CASBの機能をどのように進化させ、CASB導入の仕方に変化を促したのか。(2019/11/21)

Gartnerに聞く「iOS」の脆弱性がもたらす影響【後編】
「iPhoneは絶対に安全」だという思い込みはなぜ危険なのか
2019年2月に複数の脆弱性が見つかった「iOS」。この件をきっかけに、モバイルデバイスのセキュリティに対する人々の意識が変わりつつあるとGartnerは話す。モバイルデバイスを安全に運用するには何が必要なのか。(2019/10/29)

Gartnerに聞く「iOS」の脆弱性がもたらす影響【前編】
iPhoneの“安全神話”はGoogleが見つけた脆弱性で崩壊か?
複数の脆弱性が「iOS」に存在していたことが、Googleのセキュリティチームの調査で判明した。Appleはパッチを配布済みだが、この問題を受けてiOSのセキュリティに注目が集まっている。Gartnerに実情を聞いた。(2019/10/22)

無線LANにも注意が必要
固定電話「VoIP」移行の落とし穴 音声でも注意すべきセキュリティ侵害とは
アナログのPBXをVoIPに切り替える際、通話品質やセキュリティを確保するためには入念な計画が必要だ。具体的な移行の方法や、注意すべき点を解説する。(2019/10/18)

脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠に:
「CNC」も「CODESYS」も脆弱性とは無縁ではない
CNCやCODESYSなど製造現場で活躍するシステムも、常にセキュリティリスクに晒されている。ロシアのセキュリティ企業、Kasperskyによるリサーチによると、製造現場においても脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠であることが示された。(2019/10/10)

「無線LAN」をサイバー攻撃から守る【中編】
無線LANの不正APを使った攻撃「悪魔の双子」「APフィッシング」とは
さまざまな無線LANの攻撃手法が現れている一方で、その基本的な仕組みは普遍的なものだ。中編は無線LANを介したトラフィックの機密性と整合性を狙った攻撃手法を説明する。(2019/10/8)

Kaspersky Industrial Cybersecurity Conference:
スマートビルの3分の1はマルウェアに感染――ビルセキュリティ最新動向
ロシアのセキュリティ企業、Kasperskyはロシア・ソチで2019年9月19、20日に「Kaspersky Industrial Cybersecurity Conference」を開催し、スマートビルやスマートシティ、ICSのセキュリティを巡る最新動向を紹介した。(2019/10/4)

「赤ずきん」オオカミの手口はフィッシング詐欺? カスペルスキーがサイバー攻撃を童話で解説
「オオカミの雑な変装」=「フィッシングメールの変な日本語」?(2019/9/28)

脆弱なパスワードの使用を強制する
全Bluetoothデバイスに盗聴や改ざんのリスクをもたらす「KNOB攻撃」とは?
脆弱な暗号鍵をBluetoothデバイスに強制する方法が見つかった。攻撃者が「中間者攻撃」を仕掛け、デバイスから情報を盗み取る恐れがある。(2019/9/24)

Mozilla、Google、Appleがカザフスタン政府によるWebブラウザ経由のスパイ行為をブロック
MozillaとGoogleがそれぞれのWebブラウザで、カザフスタン政府発行のルート証明書をブロックすることで、政府によるユーザー監視を阻止したと発表した。Appleもブロックしたとメディアに声明文を送った。(2019/8/22)

IoT時代のセキュリティ絶対防衛ライン:
狙われた大量のIoTデバイス なぜ攻撃される? 有効な対応策は
各業界のIoT関連サービスが抱える問題点、そして有効な対応策とは? セキュリティの専門機関が情勢を伝えます。(2019/7/16)

「7pay」不正ログイン被害で話題「二段階認証」とは?
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題。運営元のセブン・ペイが開いた会見で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しました。ここで問題視されている「二段階認証」とはどのようなものでしょうか。(2019/7/4)

GoogleのパブリックDNSサービス、「DNS over HTTPS」の正式リリースを発表
パブリックDNSサービス「Google Public DNS」で実験的に提供されてきた「DNS over HTTPS」(DoH)が、IETFの標準規格「RFC 8484」に完全対応した。(2019/6/28)

VAIO用アップデートソフト「VAIO Update」に複数の脆弱性 IPAが報告
IPAとJPCERT/CCが、「VAIO Update」に複数の脆弱(ぜいじゃく)性が存在するとの公表を行った。(2019/6/21)

14年分の「情報セキュリティ10大脅威」を振り返り “変わらない”5つの対策
情報処理推進機構(IPA)が毎年発表する「10大脅威」。過去14年分をまとめて振り返ると、脅威と対策の中で「変わったこと」と「変わらないこと」が見えてくる。(2019/5/29)

ASUSのクラウドサービス、マルウェア配信に悪用されていた
「サプライチェーン攻撃や中間者攻撃が、世界中でさまざまな攻撃者によって利用されるケースが増えている」とESETは警鐘を鳴らしている。(2019/5/17)

国家レベルの組織が標的に
インターネットを危険にする「DNS乗っ取り攻撃」の周到な手口
国家のセキュリティ機関や重要インフラを狙ったドメインネームシステム(DNS)乗っ取り攻撃が、新たなトレンドとして浮上している。専門家に話を聞いた。(2019/5/17)

セキュリティ・アディッショナルタイム(31):
君のコンパイラや開発環境は侵害されていないか?――開発者が「サプライチェーン攻撃」に加担しないためにすべきこと
セキュアな開発やコードスキャンに取り組むだけでは防ぎ切れないリスクとして「サプライチェーン攻撃」がある。Kaspersky Labは、2019年4月9〜10日に開催した「Security Analyst Summit 2019」で、その実態を紹介した。(2019/5/7)

新たな手口「DNS Changer」:
iOS端末向けに偽の構成プロファイルを用意する手口も――進化を続ける「Roaming Mantis」に警鐘
家庭用ルーターのDNS設定を変更し、それと知らぬうちにユーザーをフィッシングサイトや悪意あるサイトに誘導するサイバー攻撃キャンペーン「Roaming Mantis」は継続的に「進化」を続けている。iOSデバイス向けに偽の構成プロファイルをインストールさせる手法も登場しており、引き続き注意が必要だ。(2019/4/25)

今さら聞けない「認証」のハナシ:
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回はパスワード以外の「所有物認証」について。(2019/4/8)

テレメトリー無効化から多要素認証の利用まで
「Windows 10」を“危ないOS”にしないための4つの設定
初期設定のまま「Windows 10」を放置すると、組織が危険にさらされる可能性がゼロではない。Windows 10のセキュリティをできる限り高めるために変更すべき設定を紹介する。(2019/3/6)

IoT時代のセキュリティ絶対防衛ライン:
他人の声で自宅を解錠できる? Apple「HomePod」で試してみた スマートスピーカーがIoTの弱点になるか
各業界のIoT関連サービスが抱える問題点、そして有効な対応策とは? セキュリティの専門機関が情勢を伝えます。(2019/2/26)

「協力」こそ「強力」な力:
PR:Windows 10時代のセキュリティを守る「MVISION」というビジョン
Windows 10に搭載されているマルウェア対策ソリューション「Windows Defender」に注目が集まっている。既存のセキュリティ製品と肩を並べるOS標準機能があるならば、それだけで対策は問題ない――これは正解でもあり、「大きな誤解」でもある。(2019/2/6)

機内Wi-Fiは安全?:
PR:「手元の端末はどんな状態?」、可視化によって働き方が安全に
モバイルデバイスを駆使した新しい働き方を検討する企業が増えている。そこに立ちふさがる最大の課題が端末のセキュリティだ。ソフトバンクではまず「デバイスが今どのような状態にあるのか」を可視化し、把握することで、アプリとデバイス、ネットワークにまたがるセキュリティ対策を支援する。(2019/2/12)

更新プログラムは開発中:
Microsoft、Exchangeの脆弱性に関するセキュリティ情報を公開
悪用された場合、攻撃者が中間者攻撃を仕掛けて他のExchangeユーザーになりすますことができてしまう恐れがある。(2019/2/7)

「全てのスマートフォンはICカードリーダー」:
「貼るSIM」は日本のFinTech普及を加速できるのか
既存のモバイルSIMの上に貼る、シール型のSIMが、一部で見られるようになってきたが、これを活用して認証インフラを構築しようという動きがある。これを取材した。(2019/2/6)

EMMだけでは足りないセキュリティ機能
「モバイル脅威防御」(MTD)はなぜ必要なのか 広がるモバイル端末のリスク
モバイルデバイスのセキュリティ戦略には、EMMだけでなくモバイル脅威防御(MTD)も必要だ。現在のモバイル脅威に対抗する手段として、MTDのようなデバイス上でセキュリティ対策を講じる重要性が高まっている。(2018/12/28)

AI技術を取り入れた脅威対策
EMMのセキュリティを高める「モバイル脅威防御」(MTD) 主要製品や機能を紹介
「モバイル脅威防御」(MTD)はモバイルデバイス管理で一歩先を行くための手法だ。今後導入が広がると予想されるMTD製品とEMM製品を連携させたセキュリティ対策について解説する。(2018/12/26)

仮想通貨流出の次は、AI攻撃か:
2018年のセキュリティ事件認知度1位はコインチェックの「NEM流出事件」、マカフィーが10大事件を発表
マカフィーは、2018年の10大セキュリティ事件と、2019年の脅威動向予測を発表した。10大セキュリティ事件の第1位は被害額が史上最大となった仮想通貨「NEM」の流出事件。脅威動向予測では、AIによる高度な回避技術を用いたサイバー攻撃が展開されると予測した。(2018/12/12)

暗号鍵を不正に取得される可能性
Bluetoothの新しい脆弱性 その仕組みと対策方法とは
新しいBluetoothの脆弱性が2018年7月に発見された。この脆弱性には、中間者攻撃によるデータ改ざんやデータ漏えいの危険がある。脆弱性の内容と、暗号鍵の復元や攻撃の仕組み、対策について解説する。(2018/12/6)

マイクロ仮想化技術で守るものとは?
ホストOSは守らない! 仮想化ベースセキュリティ技術
攻撃を仮想マシン内に隔離してホストOSを守る従来のセキュリティ技術に対して、Bromiumが新たに提唱するのは仮想化で「アプリケーションを守る」セキュリティ対策。逆転の発想は受け入れられるのか。(2018/10/9)

MDMやUEMで管理を
スマートフォンのビジネス利用、セキュリティ対策「基本のき」
中間者攻撃からマルウェアまで、モバイルデバイスに対するセキュリティの脅威にはさまざまなものがある。BYODやモバイルデバイスの業務利用が増える中、ビジネスを脅威から守るには、どのような対策が必要なのか。(2018/9/19)

IoTセキュリティ基礎解説:
組み込み技術者向けTLS1.3基礎解説(前編):まずはSSL/TLSについて知ろう
インターネット接続機器のセキュリティ技術として広く用いられているTLSの最新バージョン「TLS1.3」は、IoTデバイスを強く意識して標準化が進められた。本稿では、組み込み技術者向けにTLS1.3の基礎を解説する。前編ではまず、TLS1.3のベースとなる一般的な暗号化通信技術であるSSL/TLSについて説明する。(2018/9/18)

@ITセキュリティセミナー2018.6-7:
EMM/MDMと連携もするスマホの総合的なセキュリティ対策――ルックアウト
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、ルックアウト・ジャパンの講演「スマートデバイスにおける通信リスクとそのセキュリティ対策について」の内容をお伝えする。(2018/9/12)

中間者攻撃で患者データの改ざんが可能:
カリフォルニア大の研究チーム、古い医療システムの脆弱性を突く攻撃を警告
米カリフォルニア大学の研究チームが、病院の検査機器と医療記録システムの接続を攻撃することで、医療検査結果を簡単にリモートで変更できることを実証した。(2018/9/6)

モバイルOSにも“多層のセキュリティ対策”が必要:
PR:モバイルデバイスへのサイバー攻撃を検知、修復する際の盲点「速度」が、“オンデバイス”なら劇的に改善される理由
現代の企業において、モバイルデバイスはなくてはならないツールだ。クラウドサービスとモバイルアプリケーションを使って、どこでも仕事ができる環境が整いつつある。一方で、モバイルデバイスを狙う攻撃が巧妙化の一途をたどっており、ユーザーに正しい利用を強制するだけではなく、“悪質な第三者による脅威”からも企業を守る必要がある。どうすればよいのだろうか?(2018/8/27)

CEDEC 2018:
ソシャゲのチートにも「海賊版サイト」 知識なくても使える不正アプリ横行
ゲーム会社が頭を抱える、一部ユーザーによるゲーム内不正行為(チート)。最近は知識がなくても不正アプリや改造ツールが入手できる海賊版サイトなどの存在もあり、企業側も対応に追われている。(2018/8/27)

ゲストアカウントから攻撃できる場合も:
「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ
パスワードマネージャーなど、コンピュータセキュリティにとって重要な10以上のアプリケーションに、プロセス間通信を横取りする攻撃に対する脆弱(ぜいじゃく)性があることが分かった。(2018/8/20)

Windowsと比べ注目を集めにくいMacの脅威
新手のMacマルウェア4種を解説 攻撃からMacBookやiMacを守るには
Malwarebytesが新手のMacマルウェア4種類を発見し、macOSシステムは危険にさらされていることが分かった。組織を守り、Macへの攻撃を回避する方法とは。(2018/8/19)

Androidは影響不明、Windowsは影響なし:
Bluetoothの実装に傍受や改ざんを招く脆弱性、AppleとBroadcomはパッチ公開済み
イスラエル工科大学の研究者がBluetoothの実装の新たな脆弱(ぜいじゃく)性を発見した。悪用されると、デバイス間でやりとりしたデータを傍受されたり、改ざんされたりする恐れがある。(2018/7/26)

Bluetoothの実装に脆弱性、AppleやIntelの製品に影響
無線通信の圏内にいる攻撃者が中間者攻撃を仕掛けて暗号鍵を入手し、デバイスメッセージの傍受や復号、改ざんなどを行うことができてしまう恐れがある。(2018/7/25)



にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。