6百万のユーザを危険に曝すVirgin Mobileの脆弱性
6百万のユーザを危険に曝すVirgin Mobileの脆弱性
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
一部の企業がウェブセキュリティの「常識」だと考えていることが、実際には 「非常識」ということがしばしばあります。
今回は、ウェブサイトの信じられないくらい貧弱な認証方式が指摘されている、Virgin Mobile USの例を見てみましょう。
問題は、Virgin Mobile USのウェブサイトでは、ユーザが使っている携帯電話番号をユーザ名として、6桁の識別番号をパスワードとして入力しなければなら ないということです。
しかもパスワードの入力時には、何度間違えても構いません。
パスワードに6桁の数字を使うということは、百万通りの組み合わせしか存在しないことを意味します。
実際には、数字の繰り返しや連番が禁止されていますから、可能な組み合わせはもっと少ないでしょう。
多分、このやり方でパスワードが破られにくくなると思ったのでしょうが、組み合わせの数が少なく、 何度でも間違えてよいのですから時間さえかければ誰でも総当たり方式でパス ワードを破ることが可能です。
さらにVirgin Mobile USのユーザ数は6百万人ですから、6人に1人は同じパスワードを使っていることになります。
Virgin Mobileは、Kevin Burkeという開発者から約一ヶ月前にこの問題を報告されたのに、まだ修正しようとしていません。
さらに不安を煽るのがBurkeとの電子メールのやり取りで、Virginの担当者達がBurkeに常に電話番号とパスワードを記載するように要求したことです。
アカウントのログイン情報を単なる文字列で何度もやり取りすれば、情報が盗まれる可能性が高まるだけです。
Virgin Mobileのウェブサイトのこの脆弱性は、次の操作を可能とします:
- 電話あるいはテキストメッセージの相手を知る
- アカウントに登録されている携帯端末を変更する
- 記録されているクレジットカードを使い、本人になりすまして携帯端末を購 入する
- 住所、電子メールアドレス、識別番号を変更する
問題が修正されるまではクレジットカード情報 をウェブサイトから削除することをお勧めします。
Burkeは、この問題を解決するいくつかの方法をVirgin Mobileに提示しました。
その内容は、本当に素晴らしいものです。
この問題によりHonanのハッキング のような事件が繰り返される可能もありますから、できるだけ早く対策が講じられることを願うばかりです。
Lysa Myers on September 18, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
新しいiPhone:サプライズもないけど、結構悪くない
新しいiPhone:サプライズもないけど、結構悪くない
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
背が高く、浅黒でハンサムな新しいiPhone 5は、Appleがどう宣伝しようと革新と呼ぶのはやや大げさで進化と言うのが適当でしょう。
iPhone 5として発表された内容が事前に噂ブログに書かれていた情報の通りだったので、本当の意味での「えぇ~」という驚きはありませんでした。
Appleは、この製品を「iPhoneの誕生以来、最も大きな驚きを。」と言っていますが、あくまで宣伝文句であって本当にそう思っている人は多くはないはずです。
一般的な反応は、Appleの新端末の常として、今すぐ買いに走るですが、過去の新製品発表に比べると熱はやや低めに思われます。
多くの人がiPhone 5に期待した通り、より薄く、より軽く、バッテリも長持ちするようになったのですが、すでに素晴らしく完璧なiPhone 4Sを持っている人の背中を押すには十分でありません。
また、個人的にはAppleが私が期待したようには製品を宣伝しなかったこともあり、ちょっと不満を持っています。
Appleは、より大きく、彩度が上がった画面のことばかり話しています。
でも、これは単に競合製品に対抗するために付加した機能です。
本当に大きな変更は、iPhone 5のネットワーク接続を司るLTEチップという内部的なものなのにです。
これは「単に」高速になるのでなく、「凄く」高速になることを意味します。
iPhoneがEDGEから3Gに進化したとき、ウェブ閲覧やアプリの動作速度、そして処理できるデータ量などで、すべてのユーザが違いを感じた変化と似ています。
<
もちろん、こうした数値は、ネットワークのキャリアの対応に依存しています。
しかし、ソフトバンクもAUも過去数年間4G LTEネットワークに大きな投資を行ってきました。
あとは市場にiPhone 5が行き渡ったとき、その期待にどれだけ応えられているかです。
Appleは、iPhoneの新しいオペレーティングシステムであるiOS 6の情報も公開しました。
そこには、優れた変更や改良がいくつもあります。
新しいiOS 6でのセキュリティとプライバシーの問題についてはすでに触れましたが、全体としてより良くなっており、iPhoneのハードウェア同様に大きなジャンプではありませんが確実な前進と言えます。
いずれにしろ、iOS 6へのアップデートは簡単ですし、否定する理由はありません。
iPhone 5へのアップグレードはそれほどエキサイティングでないとしても4Gに対応する地域に住んでいるなら、ハードウェアの処理速度の向上も体感できるでしょう。
Appleの顧客は、Appleが過去10年に発表した業界を変革する製品に対してより厳しい評論を与える傾向にあります。
それでも、Appleは対価に見合う優れた、先進的な製品を作り続けています。
私は、新しいiPhoneを買いますし、実際に試すのが待ちきれません。
先日のAppleのイベントでは、新しいiPodおよびiTunesのバージョンアップにも触れられました。
しかし、これといって注目すべき内容が公開されたわけではありません。
これらの製品シリーズも進化し、改良されるでしょうが、iPod touchで成し遂げられた高い完成度を超える革新は近い将来には現れないでしょう。
Appleが基調講演で言った通り、iPod touchは世界で最も普及した音楽プレイヤというだけでなく、世界で最も普及した携帯ゲーム機です。
Appleは、ホームエンターテイメント市場を支配し、そのポジションを維持するつもりでしょうが任天堂やマイクロソフトも近日中に新しい端末を発売しますから、その後の激しい戦いに大いに注目したいと思います。
また、Appleは、近日中に、別のイベントを開くと思われます。
2012年が終わる前に、前回は出し惜しみしたさらなるマジックを見せてくれるはずです。
By Sam Lawrence on September 17, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
背が高く、浅黒でハンサムな新しいiPhone 5は、Appleがどう宣伝しようと革新と呼ぶのはやや大げさで進化と言うのが適当でしょう。
iPhone 5として発表された内容が事前に噂ブログに書かれていた情報の通りだったので、本当の意味での「えぇ~」という驚きはありませんでした。
Appleは、この製品を「iPhoneの誕生以来、最も大きな驚きを。」と言っていますが、あくまで宣伝文句であって本当にそう思っている人は多くはないはずです。
一般的な反応は、Appleの新端末の常として、今すぐ買いに走るですが、過去の新製品発表に比べると熱はやや低めに思われます。
多くの人がiPhone 5に期待した通り、より薄く、より軽く、バッテリも長持ちするようになったのですが、すでに素晴らしく完璧なiPhone 4Sを持っている人の背中を押すには十分でありません。
また、個人的にはAppleが私が期待したようには製品を宣伝しなかったこともあり、ちょっと不満を持っています。
Appleは、より大きく、彩度が上がった画面のことばかり話しています。
でも、これは単に競合製品に対抗するために付加した機能です。
本当に大きな変更は、iPhone 5のネットワーク接続を司るLTEチップという内部的なものなのにです。
これは「単に」高速になるのでなく、「凄く」高速になることを意味します。
iPhoneがEDGEから3Gに進化したとき、ウェブ閲覧やアプリの動作速度、そして処理できるデータ量などで、すべてのユーザが違いを感じた変化と似ています。
<もちろん、こうした数値は、ネットワークのキャリアの対応に依存しています。
しかし、ソフトバンクもAUも過去数年間4G LTEネットワークに大きな投資を行ってきました。
あとは市場にiPhone 5が行き渡ったとき、その期待にどれだけ応えられているかです。
Appleは、iPhoneの新しいオペレーティングシステムであるiOS 6の情報も公開しました。
そこには、優れた変更や改良がいくつもあります。
新しいiOS 6でのセキュリティとプライバシーの問題についてはすでに触れましたが、全体としてより良くなっており、iPhoneのハードウェア同様に大きなジャンプではありませんが確実な前進と言えます。
いずれにしろ、iOS 6へのアップデートは簡単ですし、否定する理由はありません。
iPhone 5へのアップグレードはそれほどエキサイティングでないとしても4Gに対応する地域に住んでいるなら、ハードウェアの処理速度の向上も体感できるでしょう。
Appleの顧客は、Appleが過去10年に発表した業界を変革する製品に対してより厳しい評論を与える傾向にあります。
それでも、Appleは対価に見合う優れた、先進的な製品を作り続けています。
私は、新しいiPhoneを買いますし、実際に試すのが待ちきれません。
先日のAppleのイベントでは、新しいiPodおよびiTunesのバージョンアップにも触れられました。
しかし、これといって注目すべき内容が公開されたわけではありません。
これらの製品シリーズも進化し、改良されるでしょうが、iPod touchで成し遂げられた高い完成度を超える革新は近い将来には現れないでしょう。
Appleが基調講演で言った通り、iPod touchは世界で最も普及した音楽プレイヤというだけでなく、世界で最も普及した携帯ゲーム機です。
Appleは、ホームエンターテイメント市場を支配し、そのポジションを維持するつもりでしょうが任天堂やマイクロソフトも近日中に新しい端末を発売しますから、その後の激しい戦いに大いに注目したいと思います。
また、Appleは、近日中に、別のイベントを開くと思われます。
2012年が終わる前に、前回は出し惜しみしたさらなるマジックを見せてくれるはずです。
By Sam Lawrence on September 17, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
Apple の iOS 6 のセキュリティとプライバシー
AppleのiOS 6のセキュリティとプライバシー
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
先週水曜日のAppleの発表で、ついにiOSの新バージョンの公開日が9月19日であることが明らかになりました。
200の新機能がありますが、いくつかはセキュ リティとプライバシーに関係しその内のいくつかはセキュリティを向上させるものです。
今回は、iOS 6の注目すべき新機能とセキュリティ/プライバシー関 連の問題を簡単に予習しましょう:
iOS 6の Passbookでは、チケット、ギフトカード、ポイントカード、およびクー ポンが携帯電話上の一カ所に保管できるようになるのは便利ですね。
しかし、個 人が特定できる情報や家を不在にする予定、そして誰もがお金を払っても欲しが るであろうクレジットカード情報などが一カ所に集められているわけですから、サイバー犯罪者にとっても非常に魅力的な機能と言えます!
BlackHat/Defcon などのハッキング技術を競う場で、この機能のハッキングが話題になるまでどれくらいかかるでしょう?
こんなネガティブな印象を持った のは、私だけでしょうか?
それでも、今年はまだNFC機能と連動しないと聞いて 少し安心しました。
この2つの機能が合わされば、サイバー犯罪者は Passbookから情報を盗むことに挑戦せずにはいられないはずです。
【アプリのインストール 】
新しいアプリのインストール方法も、若干の不安材料です。
iOS 6では、無料の アプリをインストールする場合はパスワードの入力が不要になります。
大きな 問題ではないですが、ここで注意を促しておくことに意味はあると思います。
現時点では、ジェイルブレークしていないiOS端末に感染する悪意のあるiOSアプリ はまだ見つかっていません。
iOS 6で強化されるアクセス権管理により、マルウェア作者が端末にアクセスし価値のある情報を盗み出すのはより大変にな るでしょうから、その点を心配するには及びません。
一方で、宝の山でもある Passbook の登場で、そのハッキングのためなら労力を惜しまないマルウェア作者が出てくるでしょう。
そのような状況では、ユーザのセキュリティ意識の低下 が心配なのです。
パスワードなしにアプリをインストールすることに慣れてしまったら、 明示的に許可を与えていないのに画面に未知のアプリが表示されても気にしな いユーザが増えるのではないでしょうか。
名前だけでは何のことか分からない機能ですが、セキュリティの視点から言うとiOS 6で最も素晴らしい新機能でしょう。
単に言いづらいだけでなく、平均的なユーザにその内容を説明するのも難しいため、iOS 6の製品ページでも、多分説明されないでしょう。
そこで今回、簡単な説明にトライしてみます。
:iOS内には、ハッカーがアクセスできさえすればオペレーティングシステ ムの脆弱性を突くことができるデータ構造があります。
しかし、iOS 6ではこうした構造のアドレスは固定されていません – 定期的に変動するのです。
つま り、ソフトウェアに侵入するための最もよく知られた方法がもう使えなくな るのです。
これにより、ジェイルブレイクがよいことか悪いことかは別にして、 iOS 6をジェイルブレイクする方法を見つけるには相当の技術と努力が必要になります。
同時に、マルウェア作家がジェールブレークされていない端末に侵入するのも困難となります。
前出の不安を伴う2つの新機能があるにしても、サイ バー犯罪者がその時間と労力に見合う利益を上げることは難しいでしょう。
さらに強化されたプライバシー制御 最近、隠れて情報を収集するア プリについての報道が増えています。
そこで、iOS 6ではアプリの動作の透明性を高めるための警告を表示します。
これは、アプリがユーザの場所、連絡 先、カレンダー、リマインダ、あるいは写真へのアクセスを要求する前に、ユー ザの許可を得るためのメッセージの表示が必要となる、厳しいプライバシー保護の新機能です。
これは、スマートフォンのユーザがアプリを使う際の安心感を高める時代の始まりでしょう。
Pew Research Centerの最近のレポートではアプリユーザの57%が、特定のアプリが収集するプライバシー情報に不安をおぼえ、そのアプリのインストールを中止するか、そのアプリをアンインストールしたことがあるそうですから、この新機能は抜群のタイミングで登場したと言えます。
結局のところ、iOSの新バージョンはこれまででもっともセキュリティの高いバージョンとなるでしょう
。ジェールブレークを行うユーザとAppleの終わりなき戦いによって、端末全体のセキュリティが向上した結果でもあります。
今や、 承認されていないコードがブロックされるだけでなく正規のアプリの動作の透明化も進んで、データセキュリティについて少しは安心できるようになります。
お使いの iOS 端末を iOS 6 にアップデートしますか?
最も期待する機能は何です か?
最新 OS のセキュリティ機能が有用だと思いますか?
それともやり過ぎで しょうか?
By
Lysa Myers on September 17, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
先週水曜日のAppleの発表で、ついにiOSの新バージョンの公開日が9月19日であることが明らかになりました。
200の新機能がありますが、いくつかはセキュ リティとプライバシーに関係しその内のいくつかはセキュリティを向上させるものです。
今回は、iOS 6の注目すべき新機能とセキュリティ/プライバシー関 連の問題を簡単に予習しましょう:
iOS 6のセキュリティ関連で不安に思うこと
【Passbook】iOS 6の Passbookでは、チケット、ギフトカード、ポイントカード、およびクー ポンが携帯電話上の一カ所に保管できるようになるのは便利ですね。
しかし、個 人が特定できる情報や家を不在にする予定、そして誰もがお金を払っても欲しが るであろうクレジットカード情報などが一カ所に集められているわけですから、サイバー犯罪者にとっても非常に魅力的な機能と言えます!
BlackHat/Defcon などのハッキング技術を競う場で、この機能のハッキングが話題になるまでどれくらいかかるでしょう?
こんなネガティブな印象を持った のは、私だけでしょうか?
それでも、今年はまだNFC機能と連動しないと聞いて 少し安心しました。
この2つの機能が合わされば、サイバー犯罪者は Passbookから情報を盗むことに挑戦せずにはいられないはずです。
【アプリのインストール 】
新しいアプリのインストール方法も、若干の不安材料です。
iOS 6では、無料の アプリをインストールする場合はパスワードの入力が不要になります。
大きな 問題ではないですが、ここで注意を促しておくことに意味はあると思います。
現時点では、ジェイルブレークしていないiOS端末に感染する悪意のあるiOSアプリ はまだ見つかっていません。
iOS 6で強化されるアクセス権管理により、マルウェア作者が端末にアクセスし価値のある情報を盗み出すのはより大変にな るでしょうから、その点を心配するには及びません。
一方で、宝の山でもある Passbook の登場で、そのハッキングのためなら労力を惜しまないマルウェア作者が出てくるでしょう。
そのような状況では、ユーザのセキュリティ意識の低下 が心配なのです。
パスワードなしにアプリをインストールすることに慣れてしまったら、 明示的に許可を与えていないのに画面に未知のアプリが表示されても気にしな いユーザが増えるのではないでしょうか。
iOS 6でのセキュリティ強化
【カーネル・アドレススペース・レイアウトのランダム化】名前だけでは何のことか分からない機能ですが、セキュリティの視点から言うとiOS 6で最も素晴らしい新機能でしょう。
単に言いづらいだけでなく、平均的なユーザにその内容を説明するのも難しいため、iOS 6の製品ページでも、多分説明されないでしょう。
そこで今回、簡単な説明にトライしてみます。
:iOS内には、ハッカーがアクセスできさえすればオペレーティングシステ ムの脆弱性を突くことができるデータ構造があります。
しかし、iOS 6ではこうした構造のアドレスは固定されていません – 定期的に変動するのです。
つま り、ソフトウェアに侵入するための最もよく知られた方法がもう使えなくな るのです。
これにより、ジェイルブレイクがよいことか悪いことかは別にして、 iOS 6をジェイルブレイクする方法を見つけるには相当の技術と努力が必要になります。
同時に、マルウェア作家がジェールブレークされていない端末に侵入するのも困難となります。
前出の不安を伴う2つの新機能があるにしても、サイ バー犯罪者がその時間と労力に見合う利益を上げることは難しいでしょう。
さらに強化されたプライバシー制御 最近、隠れて情報を収集するア プリについての報道が増えています。
そこで、iOS 6ではアプリの動作の透明性を高めるための警告を表示します。
これは、アプリがユーザの場所、連絡 先、カレンダー、リマインダ、あるいは写真へのアクセスを要求する前に、ユー ザの許可を得るためのメッセージの表示が必要となる、厳しいプライバシー保護の新機能です。
これは、スマートフォンのユーザがアプリを使う際の安心感を高める時代の始まりでしょう。
Pew Research Centerの最近のレポートではアプリユーザの57%が、特定のアプリが収集するプライバシー情報に不安をおぼえ、そのアプリのインストールを中止するか、そのアプリをアンインストールしたことがあるそうですから、この新機能は抜群のタイミングで登場したと言えます。
結局のところ、iOSの新バージョンはこれまででもっともセキュリティの高いバージョンとなるでしょう
。ジェールブレークを行うユーザとAppleの終わりなき戦いによって、端末全体のセキュリティが向上した結果でもあります。
今や、 承認されていないコードがブロックされるだけでなく正規のアプリの動作の透明化も進んで、データセキュリティについて少しは安心できるようになります。
お使いの iOS 端末を iOS 6 にアップデートしますか?
最も期待する機能は何です か?
最新 OS のセキュリティ機能が有用だと思いますか?
それともやり過ぎで しょうか?
By
Lysa Myers on September 17, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support