[第28号]

Weekly CyberSecurity Column201603

弊社上級ネットワークエンジニアによる、セキュリティーに関するコラムをお届けします。
会社の公式文書という形ではない、作者個人の現場感あふれるコラムをお楽しみいただきつつ、日頃の営業活動へのヒントやお客様へのコミュニケーションなどにご利用頂ければ、幸いです。

著者 okun
ネットワーク ・ セキュリティー「一筋」?十年。社内外のネットワークインフラ構築を担当する。社内の新人向けから技術者向けまでネットワークやインターネットの講座を幅広く開催している。

[第28号]

インターネットに関連するさまざまなセキュリティーニュースとコラムを、定期的(ほぼ週刊)にお届けします。

今週は、ゴールデンウイーク以降のサイバーセキュリティー事件に関連して発表された脆弱性についてお送りします。

1)サイバーセキュリティー事件に関連する脆弱性

①画像データ処理ソフトのImageMagickに深刻な脆弱性(5月9日)
画像のアップロードを通じて、画像共有などを行う多くのサイトで利用されている、このオープンソースのソフトウエアに、サイトの改ざんや乗っ取りが可能になる脆弱性が発表されました。悪意のあるプログラムを画像であるかのようにアップロードすると、それを実行してしまうという、攻撃することが容易なバグです。そのため、深刻さの判定も、きわめて高いものになっています。
参照URL:https://www.jpcert.or.jp/at/2016/at160021.html

② スマートフォンアプリの暗号通信処理に脆弱性(5月16日)
サイボウズと百五銀行が提供しているスマートフォン用アプリに暗号通信の脆弱性があり、通信途中に割り込み、データの内容を閲覧できてしまうと発表しました。但し、この脆弱性を攻撃するのは容易ではないため、①に比較すると深刻度は低くなっています。
参照URL(サイボウズ):http://jvn.jp/jp/JVN11994518/
     (百五銀行):http://jvn.jp/jp/JVN11994518/

③  iCloudに侵入し、女性芸能人のデータを搾取した容疑者が逮捕(5月18日)
新聞やテレビで取り上げられているiCloudからの流出です。今回は、日本の若手女優の何人かが被害に遭いました。報道内容によると、この容疑者は誕生日などから類推してパスワードを見つけ、不正にログインして、データをダウンロードしていたとされています。
記事では、容疑者のPCから外部にデータは流出していないと報道されていますが、これを信じると、なぜ発覚したのか不思議です。このような不正侵入のスキルがあるのだから、自身の情報を隠すことくらいはやっていると思うのですが、外部流出がなく簡単に捕まったとすれば、本当の愉快犯で、身元を隠さずに、何度もアクセスしたため発覚したのでしょうね。
2014年9月にアカデミー女優のiCloudからの同様の流出事件がありました。これに関して、あまり大きなニュースにはなっていませんが、今年の3月にこの事件の容疑者が逮捕されています。この犯人は、ハッカーであるとされています。
参照URL: http://www.sankei.com/world/news/160317/wor1603170041-n1.html?google_editors_picks=true

 

2)その他

もうご存知かも知れませんが、5月18日から20日にかけて、GoogleのDevelopers Conference(Google IO 2016)が開催されています。映像やニュースが流れていますので、私が気になったところを少し紹介したいと思います。

・Android N:Android OSの新バージョン。マルチウインドウが採用される。通知機能なども、マルチウインドウに対応して大きく変更されている。

・Android Auto: スマートフォンで実現する、ダッシュボード風ナビゲーションシステム。これが将来のGoogle Carにつながるのかな。

・人工知能(AI)専用のプロセッサー:マシンラーニングに特化したチップを発表した。面白いのは、動作ビットが8ビットであること。

そのほかにもたくさんの発表があります。興味のある方は、以下のURLを参照してください。

   参照URL: http://www.techradar.com/news/world-of-tech/google-io-1307820

以上、28号でした。