BLOG
ブログ

ソフォスが厳選した世界の最新ニュースを更新中!

arrow

2017.09.19

ユーザーには聞こえないハッカーからの指示を認識する音声アシスタント

9 月 12 日に予定されている iPhone 8 と iOS 11 の発表に先立って、Apple の音声アシスタント Siri がより人間らしくなるだろう(リンク先:英語)という噂が聞こえ…

arrow

2017.09.01

脆弱なパスワードが許可されている有名サイト

セキュリティ侵害が発生するのは、ユーザーが選択した脆弱なパスワードが原因だとよく言われます。しかし、企業側にも Web サイトのパスワード設計が脆弱であるという点で責任があるのではないでしょ…

arrow

2017.07.31

Kerberos に起因する Windows の脆弱性「Orpheus’ Ly…

他の脆弱性よりも大々的に報道される脆弱性は、数か月に 1 度発生します。 大きく取り上げられる理由として、極めて深刻な脆弱性であるために多くのユーザーが影響を受けること、あるいは、ソフォスが…

arrow

2017.07.28

SMS ベースの 2FA の使用は中止するべきか

The Register が先日、SIM スワップと呼ばれるサイバー犯罪の新たな実例についての記事(リンク先:英語)を掲載しました。 典型的な手口は、次のようなものです。 1 人の詐欺師が携…

arrow

2017.07.24

イーサリアムのウォレットから通貨が消えた理由

6 月 29 日 (ET) の夕方に報じられた Classic Ether Wallet に関するニュースは、暗号通貨に投資している誰もが恐れる出来事でした。 classicetherwal…

arrow

2017.07.21

Petya 攻撃を受けた企業の損害額

Petya (別名 NotPetya、PetyaWrap) のサイバー攻撃が発生した当初、この攻撃は 5 月の大規模な WannaCry 攻撃の模倣犯にすぎないのではないかという楽観的な見方…

arrow

2017.07.20

「BroadPwn」等の脆弱性を修正する Android 用パッチを適用してください

Google が Android 向けに 2017 年 7 月のセキュリティ更新プログラム(リンク先:英語)を公開しました。 現時点で CVE 番号が割り当てられた 138 件の不具合が修正…

arrow

2017.07.07

SophosLabs による分析: Word ドキュメントを隠れ蓑にするランサムウェア急増…

この記事を公開できるように尽力してきた SophosLabs の Graham Chantry に感謝します。 攻撃者がユーザーに送り付けてくる大量の悪意のあるドキュメントからも、そのような…

arrow

2017.07.03

短期間で兵器化した Word エクスプロイト

SophosLabs の分析によると、攻撃者たちは極めて短期間に CVE-2017-0199(リンク先:英語) の Word の脆弱性を悪用して強力な攻撃を作成することに成功していました。 …

arrow

2017.06.30

InfoSec 2017: 次の WannaCry 攻撃に備えるには

WannaCry が世界中で数十万台のコンピュータを乗っ取った事件から 1 か月が経過しようとしています。 InfoSec Europe 2017(リンク先:英語) の参加者たちは、Wann…

arrow

2017.06.26

Google が「脆弱性ではない」と主張する Chrome の「欠陥」

昨年、動画配信される映画を不正コピーできる脆弱性が Google Chrome で発見されたことを覚えていらっしゃるでしょうか。 今回の問題は、私たちユーザーがハッカーの映画の出演者になって…

arrow

2017.06.09

メディアプレイヤーで映画を楽しむ前にパッチの適用を

人気のメディアプレイヤーが映画の字幕を処理する方法に深刻なセキュリティホールが存在しており、ユーザーのコンピュータが攻撃者に完全に乗っ取られる可能性があることが、複数の研究者によって発見(リ…

arrow

2017.06.07

WannaCry: Windows XP に非難が殺到したことで、見えなくなってしまった問…

今月初めに世界中で WannaCry の被害が拡大したことで、Windows XP を使用し続けている組織に非難の声が集中しました。しかし、実際に最も感染台数が多かったのは Windows …

arrow

2017.06.05

Samba の脆弱性 – 「WannaCry for Linux」と呼ぶほどの…

Samba は Linux や UNIX のコンピュータで広く使用されているオープンソースプロジェクトであり、Windows のファイルやプリントサービスを扱うことができます。 Samba …

arrow

2017.06.02

WannaCry のような攻撃は Android でも発生するか?

WannaCry が 150 か国で数十万台のコンピュータを乗っ取ってから 1 週間が経過しましたが、その間 Android デバイスも影響を受ける可能性があるのかを何度も尋ねられました。答…

arrow

2017.05.31

WannaCry: フィッシングメールを介さず感染を拡大させたランサムウェアワーム

WannaCry が 150 か国で 20 万台のコンピュータを乗っ取ってから 4 日後、SophosLabs は、感染方法が典型的なランサムウェア攻撃 (フィッシングメールを介して悪意のあ…

arrow

2017.05.30

WannaCry と同じ NSA のエクスプロイトを使用した暗号通貨マイニングマルウェア

WannaCry ランサムウェアワーム が NSA から流出したツールを悪用して大規模拡散する何週間も前から、別のマルウェアが同様の攻撃をしていました。そのマルウェア「Adylkuzz」は、…

arrow

2017.05.29

WannaCry ランサムウェア – 生かされなかった Slammer、Con…

金曜日に発生した大規模な WannaCry ランサムウェア攻撃は、多くの組織に被害をもたらしました。しかし、Slammer と Conficker を覚えている人にとっては、WannaCry…

arrow

2017.05.24

LastPass の 2FA で新たに発見された脆弱性

Naked Security では最近、LastPass の話題を何度も取り上げてきました。 3 月には、Google の Tavis Ormandy 氏が 2 度にわたって公開した深刻な脆…

arrow

2017.05.09

Mirai ボットネットをもてあそぶ新たな IoT マルウェア「Hajime」

「Hajime」と名付けられたこのマルウェアは、昨年 10 月に DNS プロバイダーの Dyn に対して実行されたテラビットクラスの大規模 DDoS 攻撃に使用された悪名高い IoT ボッ…

arrow

2017.05.08

Linksys ルーターで複数のセキュリティホールが発見される

ホームルーターのメーカーは、製品の脆弱性を出荷前に発見するために十分なリソースを費やしているのでしょうか。 今週、Linksys が現在販売しているほぼすべての家庭用ルーターに影響を及ぼす …

arrow

2017.04.27

インターネットルーティングの脆弱性が
ビットコインユーザーに及ぼす影響

インターネットの運用方法に存在する脆弱性を利用して、ビットコインネットワークを攻撃する方法を発見した、と研究チームが発表しました。 スイス連邦工科大学チューリヒ校 (ETH Zurich)(…

arrow

2017.04.25

スマートフォンのセンサーのデータで PIN の推測が可能に

スマートフォンに埋め込まれたモーションセンサーが原因で、セキュリティ PIN が攻撃者に推測される可能性があることを、ニューキャッスル大学の研究チームが発見しました。 今日のスマートフォンに…

arrow

2017.04.24

「iPhone の Wi-Fi の脆弱性」が
Apple ユーザー以外にも影響を及…

Naked Security は今週、Apple が大規模なアップデートを公開してからわずか 5 日後のことではありましたが、最新の iOS アップデートを直ちに適用するよう iPhone …

arrow

2017.04.20

Apple、23 個のカーネルレベルの脆弱性などを修正

Apple から、macOS Sierra 10.12.4 とiOS 10.3 を含む大量のアップデートが公開されました。 Sierra をアップデートすると自動的にインストールされる Sa…

arrow

2017.04.19

Microsoft、Word のゼロデイ脆弱性を修正

ユーザーのコンピュータにマルウェアをインストールするために利用されていた Word の未公開のゼロデイ脆弱性が、Microsoft の月例セキュリティ更新で修正されました。 このゼロデイ脆弱…

arrow

2017.04.18

マルウェアの拡散が可能な
Microsoft Word のゼロデイ脆弱性

攻撃者がユーザーのコンピュータにさまざまなマルウェアをインストールするのに、これまで公開されていなかった Microsoft Word のセキュリティホールが利用されています。Microso…

arrow

2017.04.14

修正に時間を要する新たな LastPass の脆弱性が発見される

どうやら Google Project Zero のTavis Ormandy 氏は、LastPass を放っておけないようです。 Naked Security は数週間前から、Ormand…

arrow

2017.04.04

Mac 用マルウェアの脅威とその対策

「Mac は Windows コンピュータよりも安全性が高く、マルウェアに感染しにくいのではないか」という議論は 10 年以上前から続いています。 Mac を標的としたマルウェアの増加を受け…

arrow

2017.03.30

36 機種の Android デバイスにマルウェアがインストール
され出荷されている…

2017 年 3 月 14 日: 更新情報 Check Point はもともと 38 機種のデバイスをリストしていましたが、後日後でその数を 36 台に減らしています。Nexus 5 と N…

arrow

2017.03.17

Cloudbleed の問題に射した一筋の光 –
セキュリティ体制が効…

Cloudbleed は、Cloudflare のインターネットインフラストラクチャに存在する深刻な脆弱性で、Google のセキュリティ調査チーム Project Zero のメンバー T…

arrow

2017.03.16

Apache Struts 2 の脆弱性はどのぐらい深刻か

先週明らかになった脆弱性のニュースは、Apache、Struts、Java、Jakarta、OGNL など、重要な Web テクノロジーに関連するものです。 (OGNL は、Object-G…

arrow

2017.03.03

Cloudflare のトップ、第三者によるコードレビューを約束

Cloudbleed は深刻な脆弱性ではありますが、パッチが適用される前に攻撃者がこの脆弱性を悪用したという証拠は発見されていません。しかし、この脆弱性は 6,500 件のサイトから 120…

arrow

2017.02.21

Cisco WebEx にコード実行を許してしまう
セキュリティホールが発見される

今週注目を集めているセキュリティ問題は、Cisco WebEx サービスで発見されたリモートでコードが実行されるセキュリティホールです。 WebEx は、会議、ウェビナー、ビデオ会議などのオ…

arrow

2017.02.08

ウクライナの停電は
「サイバー攻撃者の仕業」と専門家らが警告

ウクライナでは 12 か月間に大規模停電が 2 度発生しましたが、2 度めの停電がサイバー攻撃者によるものだったと、このインシデントを調査していた 2 つの研究チームが発表しました。 201…

arrow

2017.02.03

CES で発表された新製品
魅力的でもセキュリティ対策は不十分

IoT (Internet of Things: モノのインターネット) を「賢くない物に賢さを埋め込んだ魅力的な新領域」だと捉えるか、「高価な独自技術が搭載されたきらびやかな製品だが、セキ…

arrow

2017.01.12

医療機関で現在も使用されている Windows XP

Microsoft は Windows XP のサポートを 2 年前に終了しています。ベテランのセキュリティ専門家であれば、この古い OS を標的にしたマルウェアが次々に登場したことを覚えて…

arrow

2016.12.23

クリスマスに向けたアドバイス
#10: ソフトウェアアップデートを後回しにしないで…

更新を先延ばしにする人は少なくありません。 アップデートが公開されているのは知っています。セキュリティ上とても重要であることもよく分かっています。 そして、「明日は更新しよう」と心に誓います…

arrow

2016.12.13

ソーシャルネットワーク Elloで
平文パスワードが流出する問題を発見

2014 年 3 月、ello.co がサービスの提供を開始しました。Ello は、ユーザーのクリックがもたらす利益を目的としないことを謳った新たなソーシャルネットワークです。 Ello で…

arrow

2016.11.30

ルート権限の取得とパスワードの窃取が可能な
Linux のバグが発見される

ルート権限を取得される Linux のバグ(リンク先:英語)が、つい先日スペインのセキュリティ研究者 2 名によって公開されました。 Linux ファンの怒りを買わないように申し上げておくと…

arrow

2016.11.25

Google Chrome for Android のバグが発見される

Kaspersky は先日、Svpeng と呼ばれるマルウェアを使用したさまざまな攻撃が Android 端末に対して実行されていることを報告しました。 Svpeng はデータの盗み出しやオ…

arrow

2016.11.24

2008年に発見された iPhone の自動ダイヤルバグの再来

セキュリティ研究者の Colin Mulliner 氏 が興味深いバグを発見し、Apple に報告したのは 8 年前のことです。 バグは iOS で実行される Safari に存在していたも…

arrow

2016.11.22

11月の月例パッチにより、論議を呼んでいた Windows のゼロデイ脆弱性が修正される

Microsoft が最新の月例パッチを公開しました。 今回のセキュリティ情報は 14 件で、深刻度別に次のように分類されます。 リモートから任意のコードが実行される脆弱性 (RCE) が含…

arrow

2016.11.17

ゼロデイ脆弱性の情報公開の正しい方法とは

数日前、Windows 10 にローカル権限昇格の脆弱性が存在することを Google が Microsoft に対して公表した(リンク先:英語)というニュースがありました。この脆弱性は、直…

arrow

2016.11.02

Linux カーネルのバグ:ルート権限への昇格を可能にする
セキュリティホール「Di…

新しい BWAIN が登場しました。 DirtyCOW には、風刺画(リンク先:英語)が付けられています。これは、Linux カーネルのバグであり(リンク先:英語)、Linux システムを利…

arrow

2016.10.03

任意のFacebook ページを削除できる脆弱性が発見される

Facebook ビジネスマネージャに存在していたゼロデイの脆弱性を発見した Arun Sureshkumar 氏は、Facebook の「ご協力いただいた方」ページに名を連ね、16,000…

arrow

2016.09.16

Google 社、Chrome の深刻な脆弱性を修正。
バグ検出の報奨金が効果を発揮…

Google Chrome ブラウザの最新アップデートには、33 件の脆弱性パッチが含まれており、そのうち 13 件の深刻度は同社基準で5段階中上から 2 番目の High (高) になって…

arrow

2016.09.15

IoT セキュリティの問題:
不特定のユーザーからの指示を受けるルーター

エンドユーザー機器のリモート管理のためのアプリケーション層プロトコル TR-069 についてご存じでしょうか。これは、CPE WAN 管理プロトコル (CWMP) とも呼ばれます。 自宅や職…

arrow

2016.09.06

Apple iOS を今すぐアップデートしてください – ゼロデイ攻撃が確認さ…

Apple が最新セキュリティアップデートとなる iOS 9.3.5 をリリースしました。 Apple デバイスのユーザーの方は、このアップデートをできるだけ早く適用することをお勧めします。…

arrow

2016.09.02

攻撃者が好むのはソフトウェアの脆弱性よりも「ダメなパスワード」

ソフトウェアの脆弱性は攻撃者の好物ですが、それよりも遥かに好まれているものがあります。 米国のセキュリティ企業 Praetorian が 75 の組織と 450 件の実環境での攻撃を対象に …

arrow

2016.08.30

Shadow Brokers が公開した攻撃ツールで
Cisco のゼロデイ脆弱性が…

Shadow Brokers は、NSA (米国家安全保障局) の関与が噂されているハッカー集団 Equation Group へのハッキングに成功したとして、最近メディアにも多く登場するハ…

arrow

2016.08.16

Apple が大急ぎで公開した iOS アップデートにより、ジェイルブレイクが阻止される

Apple はほんの 2 週間前に iOS 9.3.3 をリリースしたばかりです。これは、昨年発見された Android のバグ Stagefright と比較されるバグを含め、多数のセキュ…

arrow

2016.08.05

パスワードマネージャー LastPass に「ゼロデイ」脆弱性が発見されたというニュースに…

パスワードマネージャーは、現代のデジタルライフスタイルに欠かせない数多くのアカウントを記録しておくのに役立つツールです。 昨今パスワードが必要なのは Web メール、Facebook、Twi…

arrow

2016.08.04

ワイヤレスキーボードの脆弱性「KeySniffer」について

米国の新興企業 Bastille Networks は数か月前、一部のワイヤレスマウスとコンピュータの間で交わされる信号が傍受、改ざんされる恐れがあるという調査結果を発表しました。 そして今…

arrow

2016.07.28

Mac、iPhone に Stagefright タイプのバグが存在、今すぐ更新を

Stagefright を覚えていらっしゃるでしょうか。 Stagefright は 2015 年最も注目すべき BWAIN (Bugs with an Impressive Name: 印…

arrow

2016.07.12

エクスプロイトの分析: しぶとい Microsoft Word の脆弱性

この記事で言及している調査レポートの執筆者 Graham Chantry (SophosLabs) によるゲスト投稿。Graham は面白い記事を書くことで知られる博識のライターです。ぜひお…

arrow

2016.06.23

BadTunnel: すべての Windows ユーザーが影響を受ける脆弱性

Windows 95 から Windows 10 までの全バージョンの Microsoft Windows オペレーティングシステムが影響を受ける深刻な脆弱性が、セキュリティ研究者によって発…

arrow

2016.06.22

実環境で悪用される Flash の重大な脆弱性

Flash で発見され、実環境での悪用が報告されている重大な脆弱性 (CVE-2016-4171) に対して、Adobe は「早ければ 6 月 16 日」にパッチを公開すると約束しています。…

arrow

2016.06.17

Twitter、約 3,300 万人分のログイン情報が売りに出されたことを受け、ユーザーア…

先日発生した MySpace、LinkedIn、Tumblr でのデータ漏洩に関与しているとされるハッカーが、今度は Twitter アカウントのログイン情報を大量に入手したと主張しています…

arrow

2016.06.02

Web ページからコピーアンドペーストされたコンテンツを信頼してはいけない理由

wget や curl、SOAP クライアントや WSDL、WebDAV サーバー、REST API やJSON コールバックなど、Web サイトから自分のコンピュータにデータを移すのにさま…

arrow

2016.06.01

ドメイン名を悪用した攻撃 – WPAD の名前衝突の問題

ミシガン大学での研究調査によると、ネットワークが適切に設定されていないこととインターネットドメイン名に新ルールが導入されたことが相まって、企業全体を簡単に攻撃できる方法が誕生しています。 U…

arrow

2016.05.31

Instagram アカウントの乗っ取りが可能な脆弱性が発見される

先日、Instagram のセキュリティ上の欠陥を発見したベルギー人のバグハンターが 5,000 ドルの懸賞金を受け取りました。 この出来事は、本日付の別のブログ記事に掲載したスロベニアの事…

arrow

2016.04.15

人質になったファイルを取り戻すための
Petya ランサムウェアの復号化ツール

CryptoWall、TeslaCrypt、および Locky などのランサムウェアは、ハードドライブにあるデータファイルを暗号化し、復号化するために身代金を支払うように要求します。 しかし…

arrow

2016.04.14

今も Windows XP の使用を続ける数百万人のユーザー

Microsoft が Windows XP のサポートを終了してから 2 年が経過しましたが、多くのユーザーがこの 2001 年にリリースされた人気のオペレーティングシステムを手放したくな…

arrow

2016.03.14

Flash ゼロデイに対応するため Adobe 社が緊急アップデートを公開

今月、Adobe 社は、月例パッチのわずか 2 日後に Flash の緊急修正プログラムを公開しました。 APSB16-08 の情報によると、このアップデートは火曜日の月例パッチには間に合わ…