サイバー犯罪者、iPhone 5フィーバーに便乗の用意あり......過剰な値引き広告に注意を

 マカフィーは21日、アップル「iPhone 5」の発売にあわせて、サイバー犯罪者やオンライン詐欺師が人気を悪用する可能性があるとして、注意喚起する文章を公開した。

 クリスマスシーズンや大型連休、年末年始など、あるいはApple新製品発売など大きなイベントが行われるタイミングがあると、サイバー犯罪者はその騒ぎにつけ込もうとする。今回、待望のiPhone 5発売とあって、製品を求める人たちをターゲットに、さまざまな不正活動が行われる可能性が高い。具体的には、「より安価な値段でiPhone 5が入手できる」として、フィッシング詐欺のメールや悪質サイトへのリンクを貼ったメールを流通させ、クレジットカード情報やその他の個人情報を盗もうとすると見られている。

 マカフィーでは、詐欺に遭遇しないために簡単にできる対策として、アップル(さらに日本ではauやソフトバンクモバイル)のWebサイトに直接アクセスし、同じ内容のプロモーションを検索するなど、情報の発信元に直接アクセスすること、セキュリティソフトを最新版に更新すること、また大幅な値引きの広告に警戒することなどを呼びかけている。たとえば端末販売開始から1週間は、「1台購入すれば2台目は無料」のような条件のもので正当なものはないと思ってほしいとしている。

ScanNetSecurity
http://scan.netsecurity.ne.jp/article/2012/09/22/30012.html

「iPhone 5のバッテリー画像流出」で釣るウイルスメール、Flashの脆弱性悪用

 Adobe Fash Playerの脆弱性(CVE-2012-1535)を悪用した攻撃の拡散に、"iPhone 5"のうわさが利用されているという。株式会社シマンテックが21日付の同社公式ブログで報告している。

 シマンテックによると、この攻撃は、悪意のあるWordファイルをメールに添付することで行われており、そのメールがiPhone 5のバッテリーの流出画像やスペック情報を装ったものだった。

 添付されているWordファイルには、悪質な.swfファイルが隠されており、侵入先のPCにバックドアやトロイの木馬を投下する。シマンテックが入手したサンプルは、いずれもFlash Player ActiveXのバージョン「 11.0.1.152」で確認されたものだとしている。

 なお、この脆弱性についてはすでに14日、Adobe Systemsからリリースされたセキュリティアップデートで修正されているが、その時点でAdobeでは、Windows版Internet Explorer用のFlash Player ActiveXをターゲットとして、悪意のあるWordファイルを用いた限定的な攻撃事例が報告されていることを明らかにしていた。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120822_554443.html

「SMSではなくiMessageの利用を」、Appleが注意呼び掛け

 iPhoneなどに搭載されているiOSのSMSに差出人偽装の脆弱性が指摘された問題で、Appleがこの問題の存在を認め、SMSではなく同社のメッセージサービス「iMessage」を使うよう呼び掛けている。ハイテク情報サイトなどが伝えた。

 engadgetなどの報道によると、Appleは同社に寄せたコメントの中で、「SMSの限界の1つは、偽装したアドレスを使ってメッセージを送信できてしまうことだ」と述べ、特にSMS経由でWebサイトなどに誘導された場合は厳重に注意する必要があると指摘。「SMSではなくiMessageを使えばアドレスが確認され、この種の偽装攻撃から保護される」と説明している。

 なお、今回指摘されたSMSの問題はiOS特有のものではなく、ユーザーはOSや機種にかかわらず注意する必要があるという。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20120821-00000003-zdn_ep-secu

「iCloud」ハック事件を受け、アップルがパスワードのリセット処理を停止

米国Appleのクラウド・サービス「iCloud」で、ジャーナリストのマット・ホーナン(Mat Honan)氏のアカウントが乗っ取られた事件を受け、同社は電話によるApple IDのパスワード・リセット操作を停止した。

 同社はサポート担当スタッフに対し、電話でのパスワード変更要請を処理しないように指示したという。同社のカスタマー・サービスの一人が、Apple IDのパスワード・リセット処理をすべて休止していることを、Wired誌に明かした。

 Wiredの記事によると、Appleがシステム全体にわたるメンテナンス更新作業を行う間、少なくとも24時間はパスワードが凍結されるという。

 なお、Apple IDのパスワードは、appleid.apple.com では変更が可能だ。

 昨日報じたように、ホーナン氏のiCloudアカウントへの不正アクセスが生じた原因について、Appleは「社内規定の順守が不完全だった」として過誤を認めている。

 ホーナン氏は、ハッカーが同氏になりすましてAppleに電話をかけ、名前と住所、Amazonから入手した同氏のクレジットカード番号の下4桁を伝えた、と説明している。Appleの技術サポートスタッフは、この情報をもとに同氏のiCloudアカウントをリセットし、仮パスワードを発行した。

 一方Amazonもこのハック事件の後、セキュリティに変更を加えたという。Amazonのアカウントには、名前、電子メールアドレス、住所の3つだけでアクセス可能だったが、現在はこの抜け穴をふさぐ変更措置を取ったようだ。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20120809-00000003-cwj-sci

【関連記事】アップルとアマゾンのセキュリティはこんなにもザルだった

アップルとアマゾンのセキュリティはこんなにもザルだった

マット・ホーナン(Mat Honan)米Gizmodo元記者が金曜夜ハックされた事件の詳しい話を現勤務先ワイヤードに発表し、ホラーの全容が明らかになりました。

なんとアップルの技術サポートは電話でクレジットカード下4桁と請求先住所とか言うだけでハッカーを本人認証してパスワード再発行してたのです!

しかもこのクレカの情報はアマゾンに電話すればちょちょっと手に入るんですってよ?
これって誰にでも起こりうることなので、話を少し整理しておきましょう。

【ハッカーが使った手口】

マットはハッカーの「Phobia」なる人物と連絡をつけ、訴えないと約束し、全容を聞き出しました。

今回の僕を襲った事件は、アップルとアマゾンはじめ一部カスタマーサービス・システムが抱えるセキュリティの致命的欠陥を浮き彫りにした。
アップル技術サポートはハッカーに僕のiCloudアカウントへのアクセスを許し、アマゾンの技術サポートは僕のiCloudアカウントへのアクセスを許した。

アマゾン技術サポートは僕の一部個人情報を渡した。クレジットカード番号の一部データだが、これがまさにアップルが情報リリースする際、認証に使うものだった。

アマゾン的にはクレジットカード下4桁なんてそんな重要でもないしウェブに表示しても構わない、という認識。これがアップル的にはID認証に使えるほどセキュアな情報という認識で、この認識のズレこそが今のハイテク業界全体の情報管理方針が内包する欠陥であり、今後クラウドコンピューティング時代、端末が相互に繋がる時代を迎える我々に忍び寄る悪夢でもある。(ソース:Wired)


これはアップル技術サポートに週末2度確かめた話なのだけど、誰かのAppleIDにアクセスしたかったら登録メールアドレスと請求先住所、登録クレジットカードの下4桁の番号があれば済むらしいんだ。 はっきり聞いたから間違いない。AppleCareの技術サポートに2度目に電話したとき、窓口の男性がこう話していた。「うちで何か認証するのに必要なものと言っても、それで全部ですね」(ソース:Wired)
流れを整理しますと...(参考:CNN)

1. アマゾンに電話をかけ、自分のアカウントに新しいクレジットカードの番号を加えたい、と伝える。するとアマゾンは氏名、請求書送付先住所、メールアドレスを聞いてくるが、それだけ(ワイヤードが偽のクレジットカード番号でこの手口を試してみたら、2度ともそうだった)。

2. クレカの情報を加えたら、電話を切ってまたかけ、別のアマゾン窓口の人に「アカウントに入れなくなった」と言う。氏名、請求書送付先住所、クレジットカード番号を尋ねてくるので、先般加えた偽クレカの情報を言う。これで新しいメールアドレスをアカウントに追加してもらえる。

3. アマゾンのサイトに行き、パスワード再発行の要求を新規メールアドレスに送る。これでターゲットのアマゾンアカウントに入れるので、そこでクレジットカードの番号を見る。アマゾンはセキュリティのため番号は大方隠しているが、下4桁は表示される。

4. アップルの技術サポートに電話をかけ、マットの@me.comのパスワードのリセットをお願いする。セキュリティ保護の質問の答えは全くわからない。するとアップルはクレジットカードの下4桁の番号と請求書送付先住所を聞いてくる。つまり、このふたつがあれば本人に成りすましてAppleアカウントと.Meのメールアカウントに入れる。

5. .Meのメールアカウントを使ってGmailアカウントのパスワードをリカバリする。

あとはなんだってやり放題。マットはTwitterが乗っ取られ、過去7年分のGmail、3つのアップル端末に貯めたデータも全部消されてしまいました。南無三...。
 
 
今日ワイヤードが同じ手口確かめてみたら...本当に入れたそうです。つまりアマゾンやペイパルで使うのと同じクレジットカードをアップルでも使ってる人は誰でもこの近年稀に見る死ぬほどシンプルなソーシャルハックの標的になり得る、ということ。怖いですね。


アップルは何もしなかった


もっと嫌なのは、アップルの技術サポートはこれを知りながら、改善する気配もないこと。セキュリティ手順の引き締めを検討中かどうかワイヤードは取材したんですが、アップルはコメントを拒否したそうですよ。

いやあ...ブルートフォースアタックでパスワ解読されたのではないことは知ってましたが、ここまでだったとは...驚きです。セキュリティ方針を少し見直せば塞げる穴だし、それで恐ろしいハックから顧客を守れるのに、対策を検討する気配もないなんて...理解不能ですよ。


アマゾンの穴は塞がった模様


ワイヤードはアマゾンの方も侵入を再現できたと書いてます、それも広く入手できる情報(非常に限定された情報ですが)を使って。悪者がその気になればクレジットカードはどれでも標的になり得る、みんな残高が空になるまで使い込まれるリスクはある、ということです。新住所を送付先に指定するにはカード番号を全部入力し直さないといけないので、それはできないのだけど、考えるだけでゾッとしますよね。

アップルの技術の人は何ヶ月も前からこの状況に気づいていた、と言ったようですが、アマゾンがこの抜け穴に前々から気づいていたかどうかは分かりません。

一応アマゾンはCNNに「報告を受け、その穴は昨日のうちに塞ぎました」と話しています。ワイヤードにも最初はノーコメントだったんですが、続報では「火曜アマゾンはカスタマーサービスにセキュリティ方針変更の通達を出した。今後は電話でメールアドレスやクレジットカード情報の変更には応じないことになった」と報じてます。ふひ~良かった...。

自分の身を守る方法


マットのようなケースは稀だと思いますが、同じような目に遭うリスクはみんな抱えてます。Phobiaのソーシャルハックの手口から身を守る一番の対策は各々のアカウントを完全に切り離すことでしょうね。

アカウントを切り離せ
・パスワード回復用メールが別の使用中アカウントに届かないようにする。
・2つのアカウントで同じクレジットカードを使わない。
・複数のサービスに同じメールアドレスを使わない。
・毎日使うネットサービス同士ガッシリ繋がってる連携を経つ。
・「Find My Mac(Macを探す)」や「Find My iPhone(iPhoneを探す)」機能はOFFに!
・アマゾンのクレジットカードは全部削除した方がいいかも...アマゾンから取材に返事がくるまで...(←この穴は塞がったみたいです)

その他、普段からやれるセキュリティ対策
・グーグルの「2段階認証プロセスを使用する」をONにする。
・外付けドライブにデータのバックアップをとる。
・クレジットカード下4桁の番号が刷り込まれたレシートは捨てない。

アップルはCNNに社内のプロトコルが守られていなかった、というようなこと言ってるようですが...そのうちアップル、ワイヤードのマットから何か新しい情報が入りましたらアップデート入れます。ワイヤード日本版にそのうち翻訳が出ると思いますけど、いやーとにかく今夏最大のホラーですよ...。

UPDATE: アップルが、電話でAppleIDパスワード変更の要請がきても応じぬようサポート担当に通達を出しました(ソース:Wired)。

livedoorニュース
http://news.livedoor.com/article/detail/6837718/

App StoreにWindowsマルウェア混入、ユーザー報告を受けAppleが削除

 iOS向けアプリなどを配信しているAppleの公式サービス「App Store」にマルウェアが混入していたとの報告が7月24日、同社のサポートフォーラムに寄せられた。Appleはその日のうちに問題のアプリを削除したと伝えられている。

 問題になったのは「Quotes Cards For Instagram」というアプリ。サポートフォーラムに投稿を寄せたユーザーによると、iTunesを通じてこのアプリをダウンロードしたところ、ウイルス対策ソフトの「ClamXav」で「Worm.VB-900」というマルウェアとして検出されたという。

 セキュリティ業界の関係者とみられる別のユーザーによれば、Worm.VB-900はWindowsに感染するマルウェアだという。Macに対しては無害で、Windowsに対しても深刻な被害をもたらすものではないとしている。

 それでも「App Storeのアプリにマルウェアが混入していたのは極めて深刻な問題だ」とこのユーザーは指摘。恐らく手違いによるものだろうとしながらも、「Appleが他のシステムに感染するマルウェアについてもiOSアプリのスクリーニングを行っているのかどうか、試す狙いがあった可能性も排除できない」としている。

 その後の投稿によれば、Appleは問題のアプリをiOSのApp Storeから削除する措置を取った。

 App Storeは不正アプリのチェック態勢で定評があり、これまでマルウェアが混入することは稀(まれ)だった。ただ、セキュリティ企業のKaspersky Labは7月に入り、「Find and Call」というマルウェアアプリがAppleのApp StoreとGoogle Playの両方から見つかったと伝えている。

ITmedia
http://www.itmedia.co.jp/enterprise/articles/1207/25/news033.html

iOS初のマルウェア? 「Find and Call」にセキュリティ企業の見解分かれる

iOS初のマルウェアが登場したのでは......と1本のアプリが話題になっている。当該のアプリはセキュリティ企業のKasperskyからの指摘を受けてすぐにApp Storeから取り下げられているが、他のセキュリティベンダーでは「マルウェアではない可能性がある」としており、見解が分かれている。

○Kasperskyがマルウェアと指摘した「Find and Call」

Kaspersky Labsがマルウェアと指摘し、App Storeから登録が取り下げられたのは「Find and Call」という名称のアプリだ。このアプリはロシアのIT Mobileという新興企業が開発したもので、AppleのApp Storeだけでなく、Android版がGoogle Play Storeに登録されている。その内容はというと、アプリをインストールした端末のコンタクトリストを同社サーバへとアップロードし、そのコンタクトリスト情報を使って友人や知り合いにSMSや電子メールを送信し、同アプリのダウンロードを促すという仕組みを持っている。

このアプリには2つの大きな問題がある。1つはユーザーのコンタクトリストを取得して勝手にサーバに送信していること、そしてその情報をダイレクトメール(DM)送信に利用するスパム的な側面を持っていることだ。Androidでこそこういった不審な挙動のアプリは珍しくないものの、iOSでは珍しいため、Kasperskyは「初のiOSマルウェアの可能性」としたわけだ。同社では「Find and Call」のiOS版とAndroid版をそれぞれ「Trojan.IphoneOS.Fidall.a」「Trojan.AndroidOS.Fidall.a」の名称でマルウェアとして定義している。

すでに登録が取り下げられているうえ、アプリ説明の原文がロシア語なので「Find and Call」の正確な挙動は不明だが、説明を読む限りでは「電話番号(SMSアドレス)や電子メール、SNSなどといった友人のコンタクト情報を集めて管理するアプリ」だとみられる。そのため、Find and CallのWebサイトでは前述の電話番号や電子メールアドレスだけでなく、SNSのアカウント情報、さらにはPayPalのアカウント情報までが登録可能になっているようだ。なぜPayPalが必要なのかは不明だが、サイトそのものが有料サービスであるのかもしれない。このPayPalの送金先に指定されているのはシンガポールの企業だという。また、現在のところ同アプリの挙動として判明しているのは「コンタクトリストをユーザーが把握しないうちに取得してスパム(?)送信に利用する」という点だが、Kasperskyではこのほか「Find and Call」に内在する不明な挙動や、マルウェア特有のコードの存在にも言及しており、その意図が正規のビジネスにあったかどうか、疑問を呈している。

○Sophosは「問題はあるがマルウェアとは言い切れない」との評価

一方でセキュリティ企業のSophosでは、これが「マルウェアを意図して作られたとは100%言い切れない」とKasperskyとは違う見解を出している。その挙動の不審さや問題点については認めているものの、ドメイン登録情報から当該のIT Mobileという企業が非常に未熟である可能性があること、そしてスパムと非難されている仕組みが「セルフプロモーションの一環」であるとの指摘をしており、悪意を持って行った行動ではないかもしれないと擁護している。

このほかアプリがマルウェアではない根拠としては、「同一の名称をもってApp StoreとGoogle Playに登録されており、騙す意図がみられない」「アプリは実体をもって複数の機能を内包しており、マルウェアだけを意図した体裁ではない」「すでに『Find and Call』のWebサイトが存在してサービスを行っている」という3点を挙げている。とはいえ同社もこのアプリの挙動に問題があることは認めており、Kaspersky同様に「iPh/FndNCll-A」「Andr/FndNCll-A」の名称で両プラットフォーム向けのアプリをマルウェアとして定義しているようだ。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20120710-00000056-mycomj-sci

AppleのApp Storeに不正アプリ、カスペルスキーが"初のマルウェア"と断定

 ロシアのセキュリティ企業Kaspersky Labは7月5日のブログで、ユーザーの連絡先にSMSスパムを送信するマルウェアアプリがAppleとGoogleの公式サービスで配布されているのが見つかったと伝えた。iOS用のアプリを販売するAppleのApp Storeでマルウェア混入が確認されたのは初めてだとしている。

 同社によると、問題のアプリは「Find and Call」という名称で、AppleのApp StoreとGoogle Playの両方から見つかった。ユーザーのコメント欄には、同アプリからSMSスパムが送信されてしまうという苦情が相次いでいるという。

 同社が調べたところ、Find and Callはユーザーのアドレス帳をリモートのサーバに送信し、アドレス帳に登録された全連絡先にSMSスパムを送信するトロイの木馬だったことが判明した。

 アプリによるユーザーの個人情報流出が問題になることは過去にもあったが、Kasperskyが同アプリをマルウェアと分類したのは、流出した情報が実際に悪用されていたことによる。「Google Playへのマルウェア混入は今に始まったことではないが、Apple App Storeでマルウェアが発見されたのは今回が初めて。iOS Apple App Storeは5年前のサービス開始以来、これまでマルウェア問題が発生したことはなかった」とKasperskyは伝えている。

 AppleとGoogleは通報を受けて、間もなく問題のアプリをストアから削除したという。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20120706-00000002-zdn_ep-secu

「iOS 5.1.1」公開、SafariとWebKitの脆弱性を修正、URL偽装などの恐れ

 Appleは7日、iOSの最新アップデートとなる「iOS 5.1.1」を公開した。対象は、iPhone 4S/4/3GS、iPad 2/iPad、iPod touch(第4・第3世代)。

 iOS 5.1.1では、Safariで1項目(CVE番号ベースで1件)、WebKitで2項目(CVE番号ベースで計3件)の脆弱性を修正した。Safariの脆弱性は、ロケーションバーに表示するURLを偽装できるというもの。WebKitは、細工をした悪意のあるサイトを訪問することで、クロスサイトスクリプティング(XSS)が発生する恐れのある脆弱性と、メモリ破壊により予期せずにアプリが終了したり、任意のコードを実行される恐れのある脆弱性だ。

 iOS 5.1.1ではこのほか、一定の状況下でビデオのAirPlay再生に影響を及ぼす問題、新しいiPad(第3世代iPad)で2G/3Gネットワーク切り替えができない問題、iMessageで絵文字が正しく表示されない問題などのバグ修正や、"画面をロック"ショートカットを使用して撮影される写真にHDRオプションを使用する際の信頼性向上、Safariブックマークとリーディングリストの同期の信頼性向上も含まれているとしている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120508_531223.html

マカフィー、モバイル端末向けセキュリティ管理ソフトの新版を発売

 マカフィーは2012年4月3日、BYOD(私物デバイス活用)を可能にするモバイル端末向けセキュリティ管理ソフトの新版「McAfee Enterprise Mobility Management (EMM) 10.0」を発表した。同日より提供を開始する。

 EMMは、従業員のモバイル端末から企業のモバイルアプリケーションへのアクセスを安全にし、認証を可能にする管理ソフト。新版の10.0では、個人のメールボックスから社内メールへの転送を防ぐiOS対応の「サンドボックス機能」や、社内データのiCloudへの移動を防ぐ「Block iCloud Backup」などが備わっている。また、管理者がAndroidおよびiOS対応の「Application Blacklist」を使ってアプリケーションを定義し、アクセスをブロックすることや、信頼できないSSL証明書をブロックすることも可能だ。

 1つのEMMサーバーで1万5000台までのデバイスを管理できる。価格は、11~25ライセンスの場合で1ライセンスあたり1万7720円(初年度のサポート料を含む)。ライセンス数に応じて単価が下がり、1万ライセンスを超える場合は1ライセンスあたり8860円(同)となる。

ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20120403/389042/