マカフィー - セキュリティ

McAfee Blog 記事一覧

本コンテンツは米国マカフィーのBlog Centralから話題の脅威やセキュリティ動向などの抄訳を一部含んだ内容です。
原文はMcAfee Blog Centralでご確認ください。

• 2011/06/30 　「感染したい人はここをクリック」：短縮URLをクリックしたい衝動との戦い

  Twitterの短縮URLは信用できないことが多々あります。先日、セキュリティ研究者のステファン・エッサー（Stefan Esser）氏が下のようなツイートをしました。

• 2011/06/28 　強力なセキュリティ戦略を構築するために：「把握」することの重要性

  何かを守ろうとする際に、そもそも何を持っているのかを理解することが必要です。つまり、重要性の高いアセットを「把握」することは、あらゆるセキュリティ戦略の第1段階といえるでしょう。しかし、プロセスを自動化し、結果を関連づけ、全体的な可視性を提供し、実用的な結果を生成できる適切なテクノロジーが無くては、アセットを把握することは不可能です。

• 2011/06/27 　偽セキュリティソフトやドラッグサイトが儲かる訳：SEOポイズニングのビジネス面

  SEOポイズニングとは、検索エンジンで検索した際に不正サイトへのリンクがトップに表示されるようにすることで、ユーザーにリンクをクリックさせ、マルウェアをダウンロードさせる手法です。マーケティング能力に優れた犯罪者にとって、不正サイトをGoogleの検索結果上位5位に入れることは比較的簡単なことであり、ビジネス面からも合理性が十分にあります。先週の仏CLUSIR/RSSIAカンファレンスで、ビジネスの視点からSEOポイズニングを考察したプレゼンテーションがありましたので、紹介します。

• 2011/06/24 　クラウド・セキュリティを学んでみよう！：ガバナンス編 - 第3回

  前回は、CSAJC（Cloud Security Alliance Japan Charter）から提供されている「解説クラウド・セキュリティ・ガイダンス」の「II　法律問題編」について、説明しました。今回は、クラウド・セキュリティ・ガイダンスに戻って、「ドメイン4：電子情報開示（e-ディスカバリ）」と「ドメイン5：コンプライアンスと監査」について説明します。

• 2011/06/23 　エグゼクティブラウンジに潜む危険性

  旅行の楽しみの1つに、エグゼクティブラウンジを利用することがあります。エグゼクティブラウンジの良いところは、最新のインターネット接続デバイスが並べられていて、旅行者が気晴らしに使えるようになっている点です。韓国のラウンジには、Android搭載タブレットであるMotorola XOOMが置いてありました。

• 2011/06/22 　セキュリティインシデントとリスク管理のコストバランス

  もし、セキュリティインシデントによる被害額を数値化したとしたら、一体いくらになるのでしょうか。例えば、ラップトップPCをバーに置き忘れた場合の収益への影響を算出するといくらになるのでしょうか。素朴な疑問ですが、ビジネスへのリスク軽減の根拠を示すセキュリティ専門家にとっては、非常に難しい質問です。一方でリスク管理にかけるコストは、特にリソースが不足がちな中堅企業にとっては、大きな課題の一つです。

• 2011/06/20 　危険な短縮URLを踏まないための3つのヒント

  サイバー犯罪者は、日々新たな手法を犯行手口に取り入れており、ウイルス感染や個人情報が盗まれる可能性は、ますます高くなっています。その中でも一般的な手口として、短縮URL（Webアドレス）を利用するものがあげられます。サイバー犯罪者は、マルウェアや悪質なWebサイトのリンク先を隠すため、人気のあるタグや最近の出来事を悪用し、Twitter、Facebookなどといったソーシャルメディアにリンクを投稿し、罠を仕掛けます。ソーシャルメディアでニュース検索すると、危険なリンクが検索結果に表示され、誰もが簡単に罠にかかる可能性があります。このように短縮URL はWeb サイトのリンク先を隠すことができるため、今後この手法の攻撃はさらに増加すると思われます。

• 2011/06/17 　クラウド・セキュリティを学んでみよう！：ガバナンス編 - 第2回

  前回は、クラウド・セキュリティ・ガイダンスの2つ目のカテゴリであるクラウドの統制（ガバナンス）の中から、ドメイン2：ガバナンスとエンタープライズリスクマネジメント、およびドメイン3：法律について説明しました。今回は、ガイダンスから少し離れて、CSAJC（Cloud Security Alliance Japan Charter）から提供されている「解説クラウド・セキュリティ・ガイダンス」の「II　法律問題編」について説明します。クラウド・セキュリティ・ガイダンスの説明を行っている本稿が、解説編を説明するというのも変な話ではありますが、ガイダンスは、米国におけるクラウドサービスに関する法律という観点から書かれています。ここでは、この「II　法律問題編」をもとにして、クラウド・セキュリティの法律問題と日本での適用法令に目を向けてみたいと思います。

• 2011/06/16 　ロッキード・マーチン、EMC、ソニー、相次ぐAPT攻撃から守るために

  防衛機器メーカー、ロッキード・マーチンのネットワークに対する最近のサイバー攻撃は、昨年起こったOperation AuroraやStuxnetといった一連の事件が企業を狙ったAPT攻撃における新時代の幕開けに過ぎないことを裏付けました。

• 2011/06/15 　イタリアの金融機関を装うフィッシング詐欺

  フィッシング詐欺の手法の変化には、いつも驚かされます。今回紹介する最新のフィッシング詐欺は、イタリアの金融機関であるCartaSiを装うスパムメールです。

• 2011/06/13 　フィッシング詐欺に遭わないために：Gmailハッキング事件から得られる教訓

  Googleは6月1日、Gmailを多く利用する数百人分のユーザーアカウントがセキュリティ侵害を受けたという異例の情報公開を行いました。ターゲットにされたアカウントの中には、米政府高官や中国の政治活動家、ジャーナリストのアカウントも含まれており、「スピア・フィッシング」と呼ばれる手法が使用されたと報道されています。

• 2011/06/10 　クラウド・セキュリティを学んでみよう！：ガバナンス編 - 第1回

  初回は、アーキテクチャ編として、ドメイン1を通し「クラウドのアーキテクチャ」について説明しました。今回はガバナンス編として、2つ目のカテゴリであるクラウドの統制（ガバナンス）について、4回に渡って説明します。ガバナンス編の初回である今回は、ドメイン2：ガバナンスとエンタープライズリスクマネジメントと、ドメイン3：法律について説明します。

• 2011/06/09 　Adobe Flash Playerの脆弱性を狙うドライブバイダウンロード攻撃

  3月、アドビ システムズ社がAdobe Flash Player 10.2.152.33以前のバージョンについて、脆弱性に関するセキュリティ警告を発表しました。この脆弱性を狙ったエクスプロイトは、Microsoft Excelドキュメント内に組み込まれ、被害者を悪性コードに感染させるために使用されていました。McAfee Labsは、このエクスプロイトについて詳細な技術分析を行い、Excelドキュメントに組み込まれているFlash Playerオブジェクトが、悪性シェルコードを運んでいたことを突き止めましたので報告します。

• 2011/06/08 　IEの新たな脆弱性を悪用してcookie狙う、「Cookiejacking」攻撃

  最近、Microsoft Internet Explorerの新しい脆弱性が注目を浴びています。セキュリティカンファレンス「Hack on the Box」で独立系研究者ロザリオ・ヴァロッテ（Rosario Valotta）氏が明らかにしたところによると、この脆弱性を狙った攻撃は、HTML5のプロパティを利用してユーザーのcookie（クッキー）を盗む「Cookiejacking（クッキージャッキング）」というものです。

• 2011/06/06 　世界で最もゾンビの多い国ランキング2011

  世界のスパムメールの80%が、「ゾンビ」から送信されています。「ゾンビ」とは、サイバー犯罪者に乗っ取られ、画面の前のユーザー本人に知られずに遠隔操作が可能な状態になっているPCを指します。犯罪者のコントロール下にある多数のゾンビで構成されたネットワークはボットネットと呼ばれ、サイバー犯罪者に悪用されています。

• 2011/06/03 　クラウド・セキュリティを学んでみよう！：アーキテクチャ編

  今やインターネットは世界中に普及しており、コンピュータ環境はクラウドの時代に突入しています。その一方で、安全なクラウド環境の実現に向けては、まだまだ解決・整備しなければならない問題が存在しています。このような状況から、クラウドコンピューティングにおけるセキュリティの位置づけや、グローバルの動向について、「クラウドコンピューティングにおけるセキュリティ対策」にて渡って述べてきました。新シリーズでは、CSA（Cloud Security Alliance）が提供しているクラウド・セキュリティ・ガイダンスに基づいて、クラウド・セキュリティというものを具体的に掘り下げて考察してみたいと思います。今回はその第1回目として、「クラウド・アーキテクチャ」について、取り上げます。

• 2011/06/02 　個人情報の不正利用を防ぐ3つのヒント：PSNハッキングからの教訓

  4月末、ソニーのPlayStation向けインターネット配信サービス「PlayStation Network」から個人情報が流出したインシデントについて知らない人はいないうでしょう。ソニーが明らかにした情報によると、オンラインゲームをプレイするユーザー7700万人の名前、生年月日が流出し、クレジットカード番号も盗まれた可能性があります。3桁の数字であるクレジットカードのセキュリティコードは流出しませんでしたが、220万件のクレジットカード情報が売却されたとの話もあります。