カテゴリー「セキュリティ」の77件の記事

2021年4月 4日 (日)

こういった話に、どれだけ危機感を持って動いているのだろうか

北朝鮮ハッカー、偽企業を立ち上げセキュリティ研究者を攻撃--グーグルが指摘
https://japan.zdnet.com/article/35168746/

だんだん、こうったものも手口が巧妙になってきてますが、日本のマスコミってこういった話をなかなか取り上げないですね。政治家もどれだけ危機感をもって動いているのでしょうか。実害が報道されないと、大きく動かないのでしょうか。それってコロナ対応と同じレベルですよね。話が大きくなって、やっと動き出す・・・。情けない限りです。

 

 

 

 

 

 

 

2021年4月 3日 (土)

Lineのサーバの話って…

個情委、LINEとZHDに立ち入り検査
https://www.security-next.com/124762

 

個人情報保護委員会は、LINEや親会社であるZホールディングスの立ち入り検査を3月31日午前中より実施している。

LINEにおいて海外委託先より国内の個人情報が参照されたり、韓国のサーバでデータが保管されていたことを受け、同委員会では同社における個人情報の取り扱いについて調査を進めており、今回立ち入り検査を実施したもの。

同委員会では、3月23日に同社より報告を徴収しているが、内容が不足しているとして資料の追加提出を要請。精査を継続するとしていた。

同委員会では、実際にアクセスが遮断されていることの検証なども行っており、提出された報告書の内容について現地で確認する必要が生じたとして、立ち入り検査に踏み切った。

 

なんだか今更感が否めないですね。昔からそんな話があったような気はします。こういったことで注目されないと利用していた公的機関も利用の見直しがなされないのは、悲しいところですね。

 

 

 

 

 

2020年6月23日 (火)

セキュリティ情報:「Ripple20」TCP/IPライブラリ・ゼロデイ脆弱性

数億台以上の電化製品にひそむ脆弱性「Ripple20」が発見される
https://gigazine.net/news/20200617-ripple20-vulnerabilities/

セキュリティ企業JSOFが、IntelやHPの製品を含む多くのスマートデバイスやルーター、プリンターなどが影響を受ける脆弱性「Ripple20」を発見したと発表しました。Ripple20は、1997年にリリースされて以来多くのメーカーが採用してきたインターネット通信プロトコルのライブラリが原因となっていることから、この脆弱性の影響を受ける製品は全世界に数億台以上あると見られています
・・・
Ripple20は、Treckが開発したTCP/IPプロトコルのライブラリで発見された19件のゼロデイ脆弱性の総称です。この脆弱性を利用すると、外部からネットワークに侵入し、データを盗んだり機器を誤作動させたりすることが可能になります。Treckのライブラリは動作が軽量だったことなどから、多くのメーカーが自社製品に採用しており、このことが被害の拡大に拍車をかけました。
・・・
JSOFの試算によると、Ripple20の影響を受ける製品は全世界に数億台かそれ以上あるとのこと。TreckはIT系ニュースサイトZDNetに対し、「Ripple20に該当するすべての脆弱性に対するパッチが利用可能となっています」と回答し、既にメーカー向けに修正パッチがリリースされていることを明かしました。
ただし、Treckのライブラリを使用している製品やそのメーカーの特定作業は記事作成時点でも進行中で、被害の全容はいまだに明らかになっていません。Treckは今後、Ripple20の影響を受けていることが確認された企業や複数のセキュリティベンダーなどと協力してこの問題に取り組んでいくほか、2020年8月1日から開催される情報セキュリティイベントBlack Hat USA 2020でもRipple20を取り上げて、注意喚起を図っていく方針だとしています。

これまた大規模なやつが来ましたね。

ほんと、怖いという他ないです。

 

 

 

 

 

 

 

セキュリティ:スマートスピーカー・ハッキング 〜Light Commands〜

レーザー照射でGoogleやAmazonのスマートスピーカーをハッキングする方法が判明、100メートル以上離れても実行可能
https://gigazine.net/news/20191105-shining-lasers-hack-voice-assistants/

スマートスピーカーやスマートフォンに搭載されているAmazonのAlexaやGoogle アシスタント、AppleのSiriなどの音声アシスタントを、「レーザー光の照射」でハッキングする方法が発表されました。
日本の電気通信大学やミシガン大学の研究者らは、「Light Commands」と名付けた新しい音声アシスタントのハッキング方法を発見しました。Light Commandsでは、音声アシスタントを搭載したデバイスのマイク部分に低出力のレーザーを照射し、音声での指示と同様にさまざまなコマンドを実行させることが可能とのこと。
研究チームによると、Light Commandsを利用してドアのロックを解除させたり、Webサイトへアクセスさせたりすることができるそうで、レーザーさえマイク部分へ的確に照射できれば、数十メートル以上も離れた場所からハッキングすることができる模様。また、窓のガラスを貫通して実行することもできるそうです。
・・・
Light Commandsとは、音声アシスタントを搭載したデバイスに広く使用されている、MEMSマイクの脆弱性を突いたハッキング方法です。MEMSとは微小電気機械システム(Micro Elerctronics Mechanical System)の頭文字を取った略語で、従来の機械加工技術ではなく、半導体微細加工技術などを用いて、基板上に微小な機械部品と電子回路を集積することで極小サイズで高機能なデバイスを製造することが可能となります。Amazon AlexaやGoogle アシスタント、Siriなどを搭載したデバイスにもMEMSマイクは用いられています。
・・・
研究チームはMEMSマイクについて「あたかも音であるかのような光にも反応してしまう」とコメント。なぜ光によって振動板が揺れてしまうのかという点について、記事作成時点では物理学的な背景が完全に理解されているわけではないそうです。

実験で使用したレーザーポインターは、わずか5mWのレーザー出力しかないものから60mWで駆動するものまで多岐にわたりましたが、Google アシスタントやAmazon Alexa、AppleのSiriといった多くの音声アシスタントが光に反応してしまいました。記事作成時点では、実際にLight Commandsが悪意を持った人物に使用されたことはないとみられていますが、Light Commandsは現実世界でも実行可能な攻撃であり、デバイスメーカーは新たな防御策を構築する必要があると研究チームは指摘しています。

まるでスパイ映画のような話です。

こわいですね。

 

 

 

 

 

2020年6月 2日 (火)

テレワークが広がる現況での危険な話〜マルウェア45%

在宅勤務用ネットワークの45%にマルウェア発見 テレワークはなぜ危険か
https://techtarget.itmedia.co.jp/tt/news/2005/30/news01.html

セキュリティベンダーBitSight Technologies(以下、BitSight)が2020年3月に実施した調査で、企業の従業員が在宅勤務に使用するネットワークにマルウェアが存在する割合は、企業内のLANやWANといった企業内ネットワークと比べてはるかに高いことが分かった。同社はこの結果をまとめ、同社が同年4月にレポート「Identifying Unique Risks of Work from Home Remote Office Networks」(リモートオフィスネットワークを利用した在宅勤務固有のリスクの特定)として発表した。それによると、従業員が在宅勤務に使用するネットワークにマルウェアが見つかった企業の割合は全体の45.0%であるのに対し、企業内ネットワークにマルウェアが見つかった企業の割合は13.3%にとどまるという。・・・

 

企業と個人で変わらなければ、企業何やってるんですかって、話ですが。

個人宅でのマルウェア存在率が企業よりも高くなるのは仕方ないかと思いますが、45%というのはかなりの数かと思います。そんな状況で、ネット決済とか、ネットでの買い物なんかはしたくないですね。やはり会計用の端末は分けるべきだと思います。

 

 

〔関連ページ〕
 ・『リスクセパレータ環境』構築のススメ 〜情報漏えいから身を守るために〜


 

 

 

 

 

 

 

 

2020年4月26日 (日)

セキュリティ情報:iOS ゼロクリック 他

【注意喚起】iOS標準メール、『受信しただけ』で被害の恐れ。メール受信設定の一時無効化を推奨
https://www.lac.co.jp/lacwatch/alert/20200424_002178.html

iPhoneやiPadに搭載されている標準メールアプリにおいて、メールを受信しただけ保存されているメールが漏洩したり、意図しないコードが実行されたりする脆弱性の存在が公表されました。

米国のセキュリティ企業ZecOps社が2020年4月22日(現地時間)にブログで発表した情報によると、最新のiOS(13.4.1)を含むiOS6以降のすべてのバージョンに脆弱性が存在し、この脆弱性が悪用されるとメール内容の漏洩、改ざん、削除が行われる恐れがあります。また、確認されていませんが、他の脆弱性と組み合わせることでデバイスが乗っ取られる可能性があります。

悪用された際の挙動はiOSのバージョンごとに異なり、 特にiOS13(13.4.1)ではバックグラウンドでメールを受信しただけでも攻撃が成功するため、「0-click(ゼロクリック)」とも呼ばれています。iOS12では、ユーザが不正なメールをクリックすることによってメールアプリがクラッシュする、iPhoneやiPadの全体の動作が遅くなるなどの影響が現れます。

すでに日本を含む複数の企業や個人に対する脆弱性の悪用が確認されており、今回の発表により同種の攻撃が増える可能性が考えられます。

 

iPhoneとiPadのメールアプリに脆弱性〜iOS13.4.5で修正
https://iphone-mania.jp/news-284858/

iOS13/iPadOS13の純正メールアプリに、2つの深刻な脆弱性が見つかりました。次のOSアップデートで対処される見通しです。

2つの深刻な脆弱性
脆弱性を発見したセキュリティグループZecOpsによると、脆弱性のひとつは、遠隔でのゼロクリック・エクスプロイト(ユーザーが全く操作しない状態での攻撃)を可能にするものです。

また、2つのうちのより深刻な脆弱性は、最新の正式版であるiOS/iPadOS13.4.1をインストールしたデバイスにも影響します。

ゼロクリック・エクスプロイトが可能に
このゼロクリック・エクスプロイトを仕掛けられると、ユーザーが純正のiOSメールアプリを開いただけで感染してしまいます。攻撃者はメールを送信するだけでiPhoneやiPadを感染させ、膨大なメモリ容量を消費することが可能とのことです。

また攻撃者はメールを送信、攻撃に成功すると、証拠となるメールを削除している可能性があるようです。

ZacOpsは調査の結果、この脆弱性を突いた攻撃はかなり広範囲に広がっている可能性が高いと結論付けています。

なお今回問題になっている脆弱性は、2012年9月にリリースされたiOS6から存在していると、ZacOpsは指摘しています。

iOS13.4.5で脆弱性が修正
Appleは最新のiOS13.4.5ベータで脆弱性を修正しており、正式版は数週間以内にリリースされる見通しです。このアップデートがリリースされるまではAppleの純正メールアプリは使わず、GmailやOutlookなどサードパーティー製のメールアプリを使うよう、ZacOpsは推奨しています。

 

iOSのメール機能に深刻な脆弱性。ゼロクリックでリモートコード実行可能
~すでにゼロディ攻撃に使われた形跡あり
https://pc.watch.impress.co.jp/docs/news/1248996.html

・・・
同社は定期的にiOSのセキュリティについて調査を行なっているが、北米フォーチュン500企業の個人日本のキャリアの幹部ドイツのVIPサウジアラビアとイスラエルのMSSPヨーロッパのジャーナリストスイス企業の幹部といった人物をターゲットに、この脆弱性に対する複数のトリガーを長期的にわたって検出できたという。
・・・

 

やばい感じの脆弱性ですね。要注意です。ところで、iOS関係で、以下のセキュリティ情報も。

 

中国国営ハッカー集団、iOS脆弱性を悪用してウイグル自治区のイスラム教徒を監視した疑い
https://japanese.engadget.com/jp-2020-04-23-ios.html

iOS 12の特定バージョンにセキュリティ上の脆弱性が発見され、それが新疆ウイグル自治区のイスラム教徒を監視する目的で、中国政府が背後にあるハッカーグループに悪用されていたと報じられています。セキュリティ企業Volexityが「Insomnia(不眠症)」と名付けた脆弱性は、iOS 12.3/12.3.1/12.3.2に存在しているものです。脆弱性自体はすでにアップルは2019年7月にリリースしたiOS 12.4にて封じているとのこと。
とはいえ一部のiOSをアップデートしていないユーザーは、攻撃される可能性に晒され続けたわけです。

Volexityの報告によれば、このInsomniaは2020年1月~3月に同社が「Evil Eye」(悪の眼差し)と名付けて追跡しているハッカー集団により使われたとのこと。Evile Eyeは中国政府の要請で活動し、新疆ウイグル自治区のイスラム教徒を監視する、国営のハッカー集団と目されています。

その具体的な仕組みは、ウイグルをテーマにしたWebサイトにInsomniaが仕込まれ、そこにアクセスしたiOSデバイスに作用。そして攻撃者にルートのアクセス権限(システム管理者用のアカウントに付与された、ほぼ全ての操作が可能な強力な権限)を与えるという具合です。

Evil Eyeはそれを利用し、様々なインスタントメッセージングからの平文メッセージや電子メール、写真や連絡先リスト、およびGPSの位置データを盗んだと報告されています。

またこのInsomnia脆弱性自体、やはり以前ウイグル自治区のイスラム教徒を標的にしていたハッキングサイトで用いられた脆弱性を元にして、それを拡張したものと分析されています。
新たに監視対象に加えられたのは、電子メールのProtonMailとメッセージングのSignal。これらは強固なエンドツーエンド暗号化を行うことで知られる2つのアプリです。前者は電子メール、後者は画像が狙われたとされています。

Volexityいわく、それはウイグル族が通信が潜在的に監視されていると認識しており、監視を避けるために強力なセキュリティ機能のあるアプリを使用している事態を示唆しているかもしれないとのこと。
そうした自衛手段に対して、さらに監視が強められている可能性があるわけです。

このInsomnia脆弱性はWebkit、つまりiOS用のWebブラウザがすべて利用しているエンジンを利用しているため、どのブラウザーにも作用する可能性があるとのことです。実際、Volexityの調査チームはiOS 12.3.1を実行しているデバイスにつき、SafariやChrome、およびMicrosoftのEdgeを介して成功(ルート権限の乗っ取り)を確認できたと報告しています。

これはすなわち新疆ウイグル自治区の外にいる人であれ、iPhoneでウイグル関連情報のサイトにアクセスすれば脆弱性を突かれて被害に遭うかもしれないことを意味しています。ハッキングされることを望まないユーザーは、iOS 12.4以降にアップデートするようお勧めします。

 

日本は海外よりもiPhoneの普及率が高いですからね。ターゲットにされやすいかもしれません。

要注意です。

 

 

 

 

 

 

 

 

 

 

 

脆弱性がお金になる時代

「脆弱性の買取」を行うZERODIUMが買い取り価格をアップ、iOSを遠隔で脱獄させる脆弱性は2億円以上
https://gigazine.net/news/20190109-zerodium-payout-change/

様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZERODIUMの買取額は破格であり、研究者からはZERODIUMの信頼性に疑問を投げかける声もあります。

「脆弱性獲得プラットフォーム」を称するZERODIUMは、セキュリティ研究者のもとに未知のゼロデイ脆弱性を届けるべく活動しているとのこと。企業のバグ発見報奨金プログラムが、おおむねどんなバグや脆弱性でも受け入れる代わりに金額はそう多くはないのに対して、ZERODIUMは買取対象をリスクの高い脆弱性に絞り込み、高額の報酬を支払うとうたっています。

ZERODIUMの買取金額は1件につき2000ドル(約22万円)から200万ドル(約2億1700万円)に設定されています。

具体的には、iOSを遠隔で脱獄(ジェイルブレイク)させる脆弱性が、クリック不要なら200万ドル(約2億1700万円)1クリックなら150万ドル(約1億6300万円)。WhatsAppやiMessage、その他のSMS・MMSでリモートコードを実行させる脆弱性が100万ドル(約1億900万円)。Windowsでリモートコードを実行させる脆弱性も100万ドル(約1億900万円)となっています。

ZERODIUMでは、提出された脆弱性を1週間以内に評価・検証。支払いは電信送金や暗号通貨(仮想通貨)などによって行われるとのこと。

企業よりも高額で買取をしてくれるというのは魅力的ですが、一方で、独立系のコンピューターセキュリティアナリストであるグラハム・クルーリー氏はZERODIUMの危険性を指摘しています。

クルーリー氏は「そもそも、なぜそんな高額の買い取りができるのか。それは、ZERODIUMが集めた情報を他人に売ることで利益を上げられると信じているからです」と指摘。

売る相手がAppleやGoogle、Microsoftといったベンダーで、バグ修正に生かされるならいいのですが、実際は犯罪者やテロリスト、外国を狙うためにゼロデイ攻撃をもくろむ政府や諜報機関ではないかとクルーリー氏はにらんでいます。もし、実際に顧客がそういった「悪意ある攻撃者」なのであれば、パッチが適用されてしまうとせっかくの脆弱性の価値が下がるため、情報をベンダーやセキュリティ専門家に提供することは考えられません

クルーリー氏は「そもそも、こうやってZERODIUMのことを記事にする時点で彼らの名声を高めてしまう」と口を曲げた顔文字「:(」を使ってモヤモヤした感情を示しつつ、もし該当するような脆弱性がAppleではなくZERODIUMに報告された場合、すべてのユーザーが危険に晒されると警鐘を鳴らしました。

 

推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示
https://gigazine.net/news/20190731-google-researchers-vulnerabilities-ios/

Google内に存在するゼロデイアタック専門の研究・開発チーム「Project Zero」が、Appleのモバイル向けOSである「iOS」上で複数のバグを発見しました。このバグを用いればユーザーの操作なしにiMessageアプリ経由で悪意のあるコードを実行可能になるとのことです。なお、Project Zeroが発見した6つのセキュリティ上のバグは、2019年7月23日に配信開始となったiOS 12.4ですべて修正されています。

iOS上に存在した「ユーザーの操作なし」で悪意のあるコードを実行したり、データを盗み出したりすることが可能になる6つの脆弱性について報告したのは、Project Zeroのメンバーのひとりであるナタリー・シルバノビッチ氏。なお、記事作成時点では6つの脆弱性のうち1つは詳細が非公開のままとなっています。

6つのセキュリティバグのうち、4つはリモートからiOS端末上で悪意のあるコードを実行することが可能になるというもので、コードの実行にユーザーの操作は不要です。攻撃者が行う必要があるのは、不正なメッセージをターゲットの端末に送信することのみで、あとはユーザーがメッセージを開けば悪意のあるコードが自動で実行されることとなります。

Project Zeroが報告した4つのバグは「CVE-2019-8641」(詳細非公開)、「CVE-2019-8647」、「CVE-2019-8660」、「CVE-2019-8662」です。リンク先にはバグに関する技術的な詳細のみでなく、バグを用いてエクスプロイトを作成するための概念実証コードも含まれています。

Project Zeroが発見した残りのセキュリティバグは、「CVE-2019-8624」と「CVE-2019-8646」です。これらのバグを使えば、攻撃者はユーザーの操作なしでターゲットとなる端末のメモリからデータを漏洩させ、リモート端末からそれらのデータを読み取ることが可能になります。

セキュリティバグを発見したシルバノビッチ氏と同僚のSamuelGroß氏は、アメリカのラスベガスで開催されるセキュリティカンファレンス「Black Hat USA 2019」で、バグの詳細をプレゼンテーションする予定です。なお、プレゼンテーションの概要には「iPhoneを攻撃するためにユーザーの操作を必要としない(非相互作用な)リモート脆弱性が存在するというウワサがありましたが、こういった種類の攻撃についての技術的側面は非常に限られています」と記されており、近年流行りの「ユーザーによる特定の操作なしで悪意のあるコードを実行可能となる脆弱性」についての一部詳細が明かされることとなる模様。

シルバノビッチ氏は脆弱性を発表した際に、6つの脆弱性について「(売れば)500万ドル(約5億4000万円)以上の価値がある」と主張しました。脆弱性の買い取りを行うZERODIUMの価格表に基づけば、今回発見された6つの脆弱性はそれぞれ100万ドル(約1億1000万円)をはるかに超える価格がつく可能性があります。また、テクノロジー系メディアのZDNetがエクスプロイトを取り扱うCrowdfenseに対して問い合わせたところ、ユーザーのクリックなしで動作するようなiOS向けのエクスプロイトであれば、影響度を考慮すればそれぞれ200~400万ドル(約2億2000万~約4億3000万円)程度で取引される可能性があるという回答が得られたそうです。そのため、ZDNetはシルバノビッチ氏による「500万ドル」という評価額は行き過ぎた評価ではなく、下手をすれば1000万ドル(約11億円)の価値がつく可能性もあると指摘しています。

なお、ZDNetは概念実証コードも公開されているため、いちはやくiOS 12.4にアップデートすることを推奨しています。

 

嫌な世の中ですね。

しかし、こういった流れが進むと危険な脆弱性がそのままにされ、ますますリスクあるものになってしまいますね。

できるだけ自己防衛していくしか無いんでしょうかね。

 

 

〔関連ページ〕
 ・『リスクセパレータ環境』構築のススメ 〜情報漏えいから身を守るために〜  

 

 

 

 

 

2020年4月 7日 (火)

Zoom 暗号化キー、中国サーバ経由

Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明
https://www.itmedia.co.jp/news/articles/2004/05/news010.html

・・・

Citizen Labは、Zoomが主張するエンドツーエンドの暗号化について調査する目的で米国カナダ間のWeb会議を実施したところ、その会議の暗号化キー中国の北京にあるサーバを経由していたことが分かったとしている。

・・・

また、エンドツーエンドの暗号化を主張していることに関しも、Citizen Labは政府や医療関係者、機密情報を持つ企業など、強力なプライバシーと機密性を必要とする場合は、現時点ではZoomを利用しないことを強く勧めた。ただし、TLS(Transport Layer Security)は採用しているので、友達とのカジュアルな会話教育機関による授業のための利用について中止の推奨対象ではないとしている。

・・・

本当に誤って送ったのかは疑問ですが、とりあえず企業活動への利用はリスクを伴うかと。

今回の新型コロナ騒ぎで、Zoomを採用した日本企業は多くないですかね。販売店の売り文句だけを鵜呑みにしてはいけません。流出した電子データは2度と消去はできません。いざという時に責任は取ってはくれません。

 

 

 

〔関連ページ〕
 ・セキュリティ情報:テレワークソフト「Zoom」に関する脆弱性  

 

 

 

 

 

 

 

 

 

2020年4月 4日 (土)

セキュリティ情報:ジュースジャッキング

ジュースジャッキング攻撃とは?危険な理由や手口、対策方法について徹底解説
https://cybersecurity-jp.com/cyber-terrorism/33351

・・・

ジュースジャッキング攻撃とは

ジュースジャッキング(Juice Jacking)攻撃とは、USBポートに悪意のある第三者がマルウェアを仕込んだり、データを盗み出すための細工をしたりする攻撃のことを表します。あなたは、空港やカフェなどの公共の場において、スマホなどの機器を充電する目的で設置されたUSBポートを利用したことがあるのではないでしょうか?

・・・

ジュースジャッキング攻撃の手口

ジュースジャッキング攻撃は、公共の場に設置されているUSBポートに細工を行います。見た目には通常の充電用USBポートにしか見えませんが、接続することでマルウェアを仕込んだり、データを盗んだりすることが可能です。

また、USBポートだけでなく、USBケーブルを始めとする充電ケーブルに細工をする手口も発見されています。「ハッカーのサマーキャンプ」とも呼ばれている「DEFCON」というラスベガスで開催されたハッキング会議があります。そのなかで、細工したiPhoneの充電ケーブルを使用することで、マルウェアを仕込み、遠隔操作ができるようになる事例が発表されました。

悪意のある第三者は、公共の充電用USBポートに細工をするだけでなく、充電用のケーブルにも細工をすることで、ジュースジャッキング攻撃を行います。


公共のUSB充電ポート・ケーブルが危険な理由

・・・

マルウェアに感染してしまう

マルウェアはウィルスを含む不正なソフトウェアの総称です。ウィルスに感染した場合、あなたのスマホやパソコンなどのデータが破壊される可能性があります。ほかにも、あなたのデータを人質として金銭を要求する「ランサムウェア」など、さまざまな脅威にさらされる可能性があります。


情報を抜き取られる

マルウェア感染と合わせて、あなたの情報を抜き取られてしまう可能性も考えられますね。スマホであれば、電話番号やメールアドレス、氏名や住所など、あらゆる個人情報が盗まれてしまうかもしれません。オンラインショッピングを利用している人も多いでしょう。オンラインショッピングサイトのあなたのアカウント情報も盗まれてしまうため、不正に商品を購入されることも考えられます。

また、あなたの情報を抜き取られるだけでなく、あなたの友人や知人の情報も同じように盗まれてしまう可能性があるのです。あなたからのメッセージのように見せかけて、マルウェアを送りつけて情報を盗むなど、さまざまな方法が考えられます。


危険なアプリをインストールされる

マルウェアを含む危険なアプリを勝手にインストールされてしまう可能性があります。あなたの情報を盗み出すためのスパイウェアや、勝手に広告を出し続けるアドウェアなどが考えられますね。あなたにとって好ましくない、危険なアプリをインストールされてしまうかもしれません。


勝手に操作されてしまう可能性も

危険なアプリやマルウェアを勝手にインストールされてしまった結果、あなたのスマホやパソコンを勝手に操作されてしまう可能性があります。スマホを遠隔操作され、勝手に写真や動画を撮られたり、メールや通話履歴を見られたりした、という事例もあります。

ほかにも、パソコンを遠隔操作して他人になりすました上で犯罪予告をし、4人が誤認逮捕されてしまった事件もありましたね。勝手にあなたの機器を操作されてしまうと、思わぬ不利益を被る可能性があります。


ジュースジャッキング攻撃への対策

危険なジュースジャッキング攻撃ですが、具体的にどのような対策方法があるのでしょうか。具体的な対策方法について解説していきます。


公共のUSBポートやケーブルで充電しない

最も効果的であるのは、公共のUSBポートや自分のものではないケーブルを使って充電をしないことです。公共のUSBポートは便利で、無料で充電ができることは魅力的です。しかし、ジュースジャッキング攻撃の危険性を考えれば、利用しない方が良いでしょう。

米IBMのセキュリティ専門家は「公衆のUSBポートにスマホをつなぐことは、道に落ちている歯ブラシで葉を磨くようなものだ」と発言しています。あまり良くない結果となることは、想像に難くないですよね。


セキュリティツールを使用する

公共のUSBポートは非常に便利であるため、全く利用しない、というのは難しいかもしれません。そこで、セキュリティツールを使用することも一つの手と言えます。USBポートとUSBケーブルの間に接続し、充電だけを行うように制御するためのセキュリティツールです。

「USBコンドーム」や「Juice Jacking Defender」といったツールがあります。USBコンドームは、海外のショッピングサイトで約750円、Juice Jacking DefenderはAmazonにて、4,800円程度で販売されています。

外出先で充電する機会が多い人は、セキュリティ対策として導入を考えてみてはいかがでしょうか。


充電専用のケーブルを使用する

USBケーブルには、データ転送用と充電用の2種類があることを知っていますか?USBは、もともとコンピュータに周辺機器を接続するための規格です。そのため、一般的なUSBケーブルはデータ転送ができるケーブルとなっています。

しかし、最近では充電目的でUSBポートを利用する機会が増え、充電専用のUSBケーブルも販売されています。充電専用のUSBケーブルは、データ通信ができないため、ジュースジャッキング攻撃に対する対策となり得ます。


モバイルバッテリーを使用する

モバイルバッテリーを利用することでも、ジュースジャッキング攻撃を防げます。注意点としては、自身で用意したモバイルバッテリーを使うことです。ホテルなどによっては、モバイルバッテリーを貸してくれる場所もあるでしょう。しかし、誰が使用したかわからないようなモバイルバッテリーであれば、細工が施されている可能性も考えられます。自身で用意したモバイルバッテリーを利用することが重要です。

・・・

ジュースジャッキング攻撃を防ぐためには、公共のUSBポートを利用しない、セキュリティツール・充電専用ケーブル・モバイルバッテリーを使用する、といった対策方法があります。少し気をつければ防げる攻撃ですので、外出先でスマホなどの機器を充電する際には、注意する習慣を身に着けましょう。

 

思いもしないセキュリティリスクがどんどん出てきますね。

こういったケーブルに対して、チェックするツールとか欲しいですね。

 

 

〔関連ページ〕
 ・セキュリティ情報:危険な「iPhone接続ケーブル」  

 

 

 

 

 

 

 

 

このご時世のテレワークトラブル

まさかの無給扱いも!驚きのIT業界テレワーク事情
https://dime.jp/genre/886494/

テレワークが浸透しない企業の裏の実情

・「テレワークは無給扱いになると通達があった」
・「規程がないため労働時間にはならないと通達があった」
・「派遣社員のテレワークが許可されていなかった
・「推奨していると会社は公表しているは実際にはできなかった
・「請求書など、紙文化が残っているため対応できなかった

行き当たりばったりだとこうなりますね。新型コロナの影響で緊急でしなければいけないところをはどうしようも無いかもしれませんが。

実際にテレワークで回す場合、テレワークに向く業種と向かない業種、または作業はありますよね。また、テレワークソフトも

・会議システム
・管理システム
・在籍管理システム
  ・
  ・
  ・

と、いろいろあるわけで、何が必要で、何が不要なのかがわかってないと、無駄金を費やすわけです。また、セキュリティにも十分に気をつける必要があります。

しかし、これに乗じて「テレワーク詐欺」が出てこないか心配ですね。企業も個人も。「このテレワークソフトを導入すれば、人が来ますよ」とか、「うちで働くためにはこのテレワークソフトを導入してもらう必要がありますよ」なんて詐欺が出そうで怖いです。

しかし、世の中オープン系のソフトでも優秀なソフトは存在しているので、少しでも導入費用を抑えたければオープン系ソフトを並行して利用するのは手かと思います。(ただし、企業サポートは無いので、トラブルは自己解決をしていく必要はありますが。)

ちなみに、オープン系仮想環境ならKVMとかは利用できそうですね。コンピュータが苦手な人には厳しいかもしれませんが。

 

 

 

 

 



より以前の記事一覧

2021年5月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
無料ブログはココログ