SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか:セキュリティクラスター まとめのまとめ 2015年2月版(1/3 ページ) PCにプリインストールされたソフトが通信に割り込み、その内容を全て見ていたかもしれない――2015年2月、レノボの「SuperFish」問題は大きな爪痕を残しました。 連載目次 2月と言えば情報セキュリティ月間改め「サイバーセキュリティ月間」です。脆弱性による大きなインシデントは発生せず、ほっとしていたのもつかの間、レノボのPCにSSL通信を書き換えるアドウエアが、レノボ自身の手によって仕込まれていることが明らかとなり、大きな騒ぎとなりました。 さらに、セキュリティクラスターの風物詩的なものとして長く見守られていたいわゆる「バリデーション論争」がついに終わりを迎えることとなります。 レノボのPCに「SuperFish」の凶悪なアドウエアが仕込まれ
米電子フロンティア財団によれば、この問題は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡もあることが分かったという。 Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェア「SuperFish」に深刻な脆弱性が発覚した問題で、米電子フロンティア財団(EFF)は2月25日、この脆弱性は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡があることが分かったと伝えた。 Superfishの脆弱性では、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり、Webサイトを偽装されたりする恐れが指摘されていた。 この問題はイスラエル企業のKomodiaが提供する「Komodia Redirector
重要なのは機能性だけではありません。ユーザビリティ、サポート、セキュリティなども気になるポイントですよね。そこで、今回取り上げるすべてのパスワード管理ツールに備わっている基本の機能については、最初にまとめて説明してしまいます。 パスワードの生成:安全と言えるパスワードは、自分でも覚えられないものだけ。さらに、使用するあらゆるサイトのあらゆるアカウントごとに、違ったパスワードを使うべきです。だからこそ、パスワード生成ツールの出番というわけ。今回取り上げるパスワード管理ツールには、どれもこの機能が備わっていて、ユーザーがウェブサイトに新しくアカウントを作るたびに、この作業を肩代わりしてくれます。 フォームの自動入力:今回取り上げるパスワード管理ツールはどれも、氏名や住所などの個人情報をさまざまなサイトに自動で入力してくれます。パスワード管理という本来の目的には直結しない機能ですが、便利ですよね
情報セキュリティー大手シマンテックのパソコン用ソフト「ノートンセキュリティ」などセキュリティー製品で、21日に配布された更新を実行すると、ウィンドウズのブラウザー(インターネット閲覧ソフト)「インターネットエクスプローラー(IE)」が動作しなくなる障害が起きていたことがわかった。配布された時間は同社が調査中だが、ネット上では同日午後1時半ごろから障害を指摘する声があがっていた。 同社は同日午後7時半ごろ、問題を修正した更新ファイルを配布した。ノートンセキュリティなどの「ライブアップデート」を実行すれば、問題は解決するという。障害が起きたウィンドウズやIEのバージョンなどの詳細はまだわかっていない。 企業向け製品にも同様の更新が配布されていた可能性があるが、21日夜以降の最新の更新を適用すれば問題は発生しないという。 また、グーグル・クロームやファイアフォックスなど、IE以外のブラウザーでは
Lenovo製PCにアドウェア「VisualDiscovery(通称:Superfish)」が潜んでいるという事がサポートフォーラムで問題視されましたが、どうやらSuperfishは単なるアドウェアというわけではなく、悪意のある攻撃者によってやりたい放題される危険を持つ超絶セキュリティホールであったことが判明しています。 Lenovo Turns Off Superfish PC Adware Following Customer Complaints - Personal Tech News - WSJ http://blogs.wsj.com/personal-technology/2015/02/19/lenovo-turns-off-superfish-pc-adware-following-customer-complaints/ Superfish問題の発端については以下の記事
会員ランク「プラス」特典 • 対象製品が、非会員向け価格から更に最大4%OFF • 専任担当者が御社をサポートします • 年間200万円以上のご購入で、次の会員ランク「エリート」に進み、更にお得になります
LenovoのノートPCにアドウェアが混入しているという海外の話題をお伝えしましたが、Lenovoの日本版公式サイトに該当ソフト(Superfish社製Visual Discovery)の削除方法が、既に掲載されていることが明らかになりました。 公式サイトによると、ノートPC Ideaシリーズの一部にプリインストールされているSuperfish社製ソフトウェアが原因で、電子証明書の必要なWebサイトにログインできない現象が確認されているとのこと。確かに海外報道では、Superfish社製ソフトの挙動として、電子証明書でSSL含む全てのWeb通信に割り込むといったものが確認されています。 公式サイトがアナウンスする、該当ソフトのプリインストールされた機種は以下の通り。 Lenovo G50シリーズ、Flex10シリーズ、Y50シリーズ、S20シリーズの一部 (Superfish社 Visua
レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴2015.02.20 04:1621,510 satomi レノボPCの人は今すぐココ開いてSuperfishの脆弱性にやられてるかどうかチェックしてください! 「Good, ~」って水色の文字で出たらセーフ。「Yes」はアウトなので後述の指示に従ってね。 レノボ製の2014年9月~12月製造(lenovo発表)のパソコンに工場出荷の段階で「セキュアな取引きまで傍受できる」とんでもないアドウェアがプリインストールされていたことが、同社フォーラムに寄せられた苦情多数で明らかになりました。 ソフトの名前は「Superfish」。グーグルの検索結果やサイトを開くとユーザーの許可なしにサードパーティー製の広告を挿入するアドウェアで、少なくともChromeやIEでは動作が確認されています。 広告挿入もひどいけど、問題はそれだけじゃあ
2015年2月19日、Lenovo製品のPCの一部にプリインストールされているアドウェアSuperfishに深刻な問題が確認されたとして報道されました。ここでは関連情報をまとめます。 公式発表 2015年2月19日 LENOVO STATEMENT ON SUPERFISH (魚拓:当初発表・変更後) 2015年2月20日 Superfishに関するレノボの見解 (魚拓:当初発表・変更後) 2015年2月20日 SUPERFISHの脆弱性 (魚拓) 2015年2月21日 Updated Lenovo Statement on Superfish (魚拓) 2015年2月21日 Superfish に関するレノボからのお知らせ(更新)(魚拓) 見解内容 2015年1月以降Superfishのサーバー側作用により完全に無効となっており、この無効化は市場に出回っている全てのSuperfishが対
中国大手PCメーカーLenovoのPCに、AdWareが混入していると海外で話題になっています。このような報告は2014年半ばからあり、そうした疑惑が現在、表面化している形です。 The Next Webによれば、「SuperFish」という名のAdWareが、Lenovoの個人消費者向けノートPCにインストールされているとのこと。このソフトの挙動は、ユーザーの許可なく、Google検索などのウェブサイト上にサードパーティの広告を表示するというもの。影響をあたえるWebブラウザーとしてInternet ExplorerおよびGoogle Chromeの名が挙がっています。 このソフトは電子証明書をインストールして、SSL含む全ての通信に、プロキシーで割り込むことができるとのこと。これにより「MITM攻撃(man-in-the-middle=中間者攻撃)」と呼ばれるサイバー攻撃を仕掛けること
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
セキュリティ対策ソフト大手のKaspersky(カスペルスキー)が「主要メーカー製のHDDの基本ソフト(ファームウェア)に感染するタイプのマルウェア(スパイウェア)が見つかった」と発表しました。システムの仕組み上、このマルウェアをセキュリティソフトで駆除することは極めて困難とのことです。 Equation_group_questions_and_answers.0.pdf (PDFファイル)https://cdn1.vox-cdn.com/uploads/chorus_asset/file/3415904/Equation_group_questions_and_answers.0.pdf Russian researchers expose breakthrough U.S. spying program | Reuters http://www.reuters.com/article/
カスペルスキー「HDDのファームウェアに感染するスパイウェアを発見。駆除は無理」 1 名前: デンジャラスバックドロップ(岐阜県)@\(^o^)/:2015/02/18(水) 10:38:36.71 ID:8edjENmR0.net セキュリティ対策ソフト大手のKasperskyが「主要メーカー製のHDDの基本ソフトに感染するタイプのマルウェア(スパイウェア)が見つかった」と発表しました。システムの仕組み上、このマルウェアをセキュリティソフトで駆除することは極めて困難とのことです。 Kaspersky Labは、HDDのファームウェアに感染して情報収集をする新手のマルウェアを発見したことを明らかにしました。イラン、ロシア、パキスタン、アフガニスタン、中国、マリ、シリア、イエメン、アルジェリアなどの30カ国のPCからこのマルウェアの感染例が発見されたとのこと。このマルウェアを作成したのはEq
■MyJVNバージョンチェッカ JRE版の公開終了のお知らせ 2019年1月16日をもって以下のツールの公開を終了致しました。 MyJVNバージョンチェッカ JRE版(オンライン) MyJVNバージョンチェッカ JRE版(コマンドライン) MyJVNバージョンチェッカ JRE版(オフライン) MyJVNバージョンチェッカ JRE版(オンライン、コマンドライン)をご利用の方は、同等の機能を持つ「MyJVNバージョンチェッカ .NET Framework版」への移行をお願いします。 MyJVNバージョンチェッカ JRE版(オフライン)をご利用の方は、利用の停止をお願いします。 更新履歴 2019年01月16日 MyJVNバージョンチェッカ JRE版の公開終了. 2018年04月25日 対象ソフトウェア製品から対象外製品を削除(QuickTime). 2018年02月21日 Windows XP
Windows 7の起動画面で使っているパスワードを忘れてしまい、ログインできないという非常事態に出くわしたときに、管理者権限を取得した状態でコマンドプロンプトを立ち上げられる裏技を知っておけば、コマンド入力であっという間にパスワードを設定し直してログインすることが可能です。ということで、実際にうまくいくのか、管理者権限を強制的に取得する裏技を試してみました。なお、この裏技は手順を間違えるとPCが正常に起動しなくなる危険がある点には注意が必要です。 A tutorial on how to get into an admin account on ANY computer. - Imgur http://imgur.com/gallery/H8obU 電源ボタンを押してPCを起動させ、「Windowsを起動しています」と表示されている間に、PCの電源ボタンを長押しして強制的にPCをシャット
企業や自治体などで広く使われているサーバーの基本ソフト、「ウィンドウズサーバー2003」のサポートがことし7月に打ち切られます。 しかし、全国の都道府県庁の7割近くで更新が間に合わない見込みであることが分かり、専門家は、サイバー攻撃の被害を防ぐため早急な対策を呼びかけています。 今から12年前の平成15年に発売された「ウィンドウズサーバー2003」は、企業や自治体などで業務用のソフトを動かしたり、文書の保存を行ったりする「サーバー」と呼ばれるコンピューターで広く使われてきました。 この基本ソフトについて、メーカーのマイクロソフトは、日本時間のことし7月15日でサポートを打ち切ることを決めていて、総務省は先月、全国の自治体に注意を呼びかけていました。 ところが、NHKが全国のすべての都道府県庁を取材したところ、全体の7割近い32の都道府県で更新が間に合わず、使い続ける見込みであることが分かり
アンチウイルスソフトウェアの脆弱性
Breaking av software 市場に出回っているアンチウイルスソフトウェアの脆弱性についての研究発表のスライド資料が公開されている。 アンチウイルスソフトウェアは、セキュリティ向上のために重要だという意見があるが、このスライド著者は疑問を投げかけている。そもそも、ソフトウェアの追加は、攻撃できる箇所が増えるということだ。アンチウイルスソフトウェアは果たしてセキュアに作られているのか。 特に、多くのアンチウイルスソフトウェアは、カーネルドライバーを使ったりしている。もし脆弱性があればとんでもないことだ。 アンチウイルスソフトウェアの攻撃手段としては、細工されたファイルフォーマットをスキャンさせる事が大半だ。アンチウイルスソフトウェアは、様々なフォーマットのファイルをパースする必要がある。もし、そのパーサーにバッファーオーバーフローなどの不具合があれば任意のコードを実行させることが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
