セキュリティ

2015年7月1日にAppleからiOS8.4がリリースされ、その後すぐにリリースされたiOS8.4対応完全脱獄ツールTaiG v2.2。そして昨日にはセキュリティ問題が修正されたTaiG v2.2.1がリリースされたのだが、これを導入すると一部のユーザでリンゴループに入ってしまうなどの不具合が発生する上に（私のデバイスでは確認できなかった）、更にセキュリティ問題の原因が解決されていなかったため、本日それらの問題が修正されたTaiG v2.3がリリースされた。

Apple Insiderの情報によると、Appleは先週金曜日にいわゆる”アプリ間リソースアクセス（XARA）”の重大なセキュリティホールについて認め、今週既にサーバ側でセキュリティアップデートを公開し、現在スタッフがこの問題について研究し、セキュリティパッチをリリースする予定だという。

数日前の演説で、クックCEOはAppleのユーザデータに対する暗号化について、米国政府が自身で破ることができないためやめさせようとしたことについて、米国政府を批判した。クックは米国憲法の中から、国民がプライバシーの権利を持っていることを引き合いに出し、また政府が強調するAppleのユーザデータへの暗号化が米国国民のセキュリティに影響するという主張に疑問を呈した。

ロイタードイツ支社の報道によると、ドイツの首相メルケルの議会事務室のコンピュータに悪意のあるソフトウェアが見つかったというメディアの報道に対し、ドイツの国防省長官のvon der Leyenがコメントした。von der Leyen長官は、最近ネットワーク攻撃事件がますます激しくなっているため、政府はネットワーク安全保障を強化すべきだと指摘した。

エドワード・スノーデンといえば現在ロシアに亡命している元アメリカ合衆国（以下米国）の元諜報機関スタッフだ。そんなスノーデンがAppleのiOS8のセキュリティ対策について、昨日非常に高く評価したという。その中にはiOS8が自動的に全ての内蔵メモリに暗号化を施すことについても含まれている。 スノーデンは以前からずっと、各国の政府（米国も含む）は技術的にデバイスやインターネットプロトコルを通じて、ハイテクインフラの弱点を利用して国民の情報にアクセスしていると警鐘を鳴らしている。 基本的な保護技術、例えば暗号化などは、これまではあまりにディープで必要ないといわれていた。しかしAppleはデバイス上にデフォルトで暗号化をかけるため、iPhoneなどを盗まれてもロックを解除されない限りは中のデータを盗み取られることはない。

セキュリティ研究者が先日、AppleのMac用OS、OS Xを外部からコントロールできてしまう方法を見つけたという情報がSlashGearから入った。この悪意のある攻撃ツールを使えば、攻撃者はリモートでファームウェアを上書きし、デバイスを再起動することができてしまうという。そしていったん攻撃者に狙われると、再起動後は意のままにその攻撃対象のOS X搭載マシンを操られてしまうという。これは恐ろしい攻撃ツールだ。 この攻撃ツールについてはセキュリティ研究家Pedro Vilacaのブログ記事にて詳細が語られている。この攻撃方法は持続的に、しかも物理的な接触なしにMacの低層レベルのコントロールを可能にしてしまうもので、簡単にいえば悪意のあるハッカーが地球上どこにいたとしても、あなたのシステムを攻撃することができるということだ。

AppleのiPhoneやiPadはiOS7以降からアクティベーションロック（iPhoneを探すロック、Apple IDロックとも）によって守られている。このアクティベーションロックによって、Apple IDのパスワードがわからない限り新しいデータでの上書きや消去ができなくなり、これによって多くの盗難デバイスの転売だけでなく、盗難そのものも減るという快挙を成し遂げた画期的なセキュリティ措置となっているのは皆さんご存じの通り。 しかし最近リリースされた新しい”Apple Watch（アップルウォッチ）”にはその画期的なセキュリティが全く適用されないようだ。 ※追記：その後、watchOS 2からはApple Watchにもアクティベーションロックが導入されています。この記事は古い記事ですので、あくまで当時の状況を説明したニュース記事として捉えていただければと思います。 Apple Watchにはアクティベーションロックが存在せず、パスコード保護のみ iDownloadBlogに詳細が報告されたとこ […]

Macユーザはウイルスや悪意のあるソフトウェアについては心配しなくていい、という言い方がまことしやかに流れている。Macはウイルスに感染しないと信じている人が多いのも事実だ。Appleも、公式にはMacがウイルスに感染しないということについて特に躍起になって否定したりしていないという。しかし上記の全ては正しいのだろうか？ ウイルス対策やセキュリティの専門家の意見を聞きつつ、その真実を探ってみたい。 Macはウイルスに感染する？しない？ テクノロジーサイトのDigital Trendsによれば、ルーマニアのセキュリティソフトウェア、Bitdefender（ビットディフェンダー）のシニアデジタル脅威アナリストのBogdan Botezatu氏は、「明らかに、その質問への答えは間違いなくYesです。以前Macがウイルスに感染した事件は起こったことがあり、将来的にも同類の事件は起こるでしょう」としている。 数年前、Flashbackという悪意を持ったソフトウェアが、Javaの中のセキュリティホールを利用 […]

ここ数年来、多くのネットワーク犯罪者たちの目標がモバイルデバイスに移ってきたように、ウェアラブルスマートデバイスも今後悪玉ハッカーたちの主流のターゲットとなってしまうだろう。そしてウェアラブルデバイスの中で、来月4月に鳴り物入りでデビューするApple Watchが間違いなく悪玉ハッカーが選ぶターゲットのトップになるのは間違いない。しかし、ことはそんなに簡単にいかないようだ。Security Compass、Apple Watchは最もセキュリティが高いスマートウォッチと評価セキュリティ研究機構のSecurity Compassのセキュリティ顧問Geoff Vaughanは数日前、メディアのインタビューにて、Apple Watchは現在最もセキュリティが高いスマートウォッチだと評価している。Vaughanによれば、Apple Watchは実際にはiPhoneに一つ小さなディスプレイが増えたようなものだという。なぜならApple WatchはiPhone（iPhone5以降）によって大多数の機能が […]

元米国の諜報機関CIAやNSAの職員で、あまりに多くの秘密を暴露したため米国政府に追われ、現在ロシアに亡命しているエドワード・スノーデン（Edward Snowden）。スノーデンがThe Interceptに提供した文書の中で、米国と英国の諜報機関が、かつてGemalto社（ジェムアルト社、オランダの会社）のシステムに入り込んで認証キーを盗みとったとされており、それがThe Interceptによって公開されにわかに問題となっている。盗みとられた携帯電話SIMカードの認証キーと、その影響とは諜報機関によって盗み出された認証キーがあれば、製造されたSIMカードの音声通信やデータ通信などのモバイル通信の内容を全て読み取ることができる。しかも、情報によれば、これらの盗み出された認証キーを使うことによって通信会社の許可を得ることなく、対象のSIMカードユーザのモバイル通信の内容をモニタリングできるとのこと。また、この方法でのモニタリングは、無線キャリアの記録に一切痕跡を残さないため、追跡が不可能という […]

先週Appleが公開した文書の中で、同社は初めて2014年にAppleがCEOのティム・クック（Tim Cook）個人のセキュリティのために699,133米ドル（約8,233万円）を支払ったことを明らかにした。Appleが公表した文書の中で、クックの昨年の収入が920万米ドル（約10億8,348万円）で、セキュリティ費用はその中で”その他の報酬”に含まれていることがわかっている。クック個人のセキュリティの出費は年々増加する傾向にあり、2012年は17,274米ドル（約203万円）、2013年は52,721米ドル（約621万円）となっていた。そう考えると2014年は2013年の10倍以上と飛躍的に上昇していることがわかる。Appleは書類の中で、同社のセキュリティ保護措置について、”従業員には特別手当は出さず、また幹部にも通常はセキュリティ措置は提供しない。会社としてはこれは彼の個人の利益となる特別手当とは考えておらず、会社がクックに提供する家庭と個人のセキュリティ保護措置と考えている。なぜなら彼 […]

中国の新聞”新京報”の報道（via iPhone中文網）によると、1月22日、中国国家インターネット情報事務局主任の魯煒氏が去年12月初めに米国に視察に行った際に、AppleのCEOティム・クック（Tim Cook）と会談したという。会談の中で、クックは中国がAppleの製品に対してネットワークセキュリティの評価をすることに協力すると述べたという。この会談に参加した担当者によれば、会談の重点はApple製品の中国地区での安全保障についてだった。魯煒主任は会談で、「中国はAppleによって最大の市場の1つとなっており、中国もAppleなどのテクノロジー企業のトップのために市場を開放することを望んでいますが、その前提としてiPhone・iPadやMac等の製品が必ずユーザの情報セキュリティやプライバシーを守ることを保証し、同時に国家安全保障の維持も確保している必要があります」と述べた。クックは魯煒氏との会談の中で「以前、我々が第三者にバックドアを使ってデータを提供しているという噂がありましたが、我々 […]

※2015/1/6現在、このセキュリティホールはAppleによって修正されている。詳細はこの記事参照。iCloudのセキュリティ問題で、ハリウッドセレブや歌手などのプライベートフォトが流出したことは記憶に新しいが、その件でAppleは更にiCloudのセキュリティを強化した。しかしセキュリティというものはイタチごっこだ。Appleは前回のセキュリティ問題で、2重認証やパスワードの入力回数の制限をつけるなどの対策をしたが、本日GitHubのソースコードにアップされたとあるツールでは、Apple IDに対してパスワードの試行回数制限をなくし物量でパスワードを類推しログインするというやり方ができてしまう。この恐るべき攻撃ツールの名前はiDICT（GitHubのここからダウンロード可能）。その攻撃の原理は非常に簡単で、Brute-Force（ブルート・フォース）と呼ばれる方式で、500個の典型的なパスワードが入った辞書（GitHubからダウンロード可能）を使って任意のiCloudユーザに対してパスワード […]

ヨーロッパ最大のハッカー連盟”Chaos Computer Club”によれば、数枚の指紋写真から人の指紋のコピーを作り出すことに成功したという。先日ドイツのハンブルグで行われた第31回Chaos Computer Clubの大会において、ハンドルネーム”Starbug”で本名Jan Krisslerという人物から、彼がどのようにドイツ国防省長のUrsula von der Leyenの指紋をコピーできたかの説明がなされた。多くの人に知られているように、表面がつるつるの物体、例えばガラスやスマートフォン等にある人が触れると、そこにはその人の指紋のコピーが残されることになる。Krisslerが今回プレゼンテーションしてみせたのは、その人が直接触れた現物を手に入れることができなくても、指紋情報は同じように取得できてしまうというからくりだ。Krisslerによれば、”カメラで撮影した普通の写真”さえあれば、ある人の指紋を読み取ることができるという。指紋は個人識別に使われるため、彼は「将来、政治家などの […]

先日ブログ記事でも書いた、ルータに潜むセキュリティ・ホール”Misfortune Cookie（フォーチュン・クッキー）”。前回の記事でこのセキュリティホール”フォーチュン・クッキー”は多くのメーカのルータに存在し、世界の1200万台のルータが影響を受けると書いたが、その影響を受けるルータを作っているメーカー製品は殆ど日本では売っておらず、日本のユーザには縁のないものだとも書いた。しかしTechworldの報道(via MacDailyNews)によれば、そのルータの中にAppleのAirport Extremeも含まれているというのだ。しかも、このセキュリティホールは10年以上も存在してきたという。こうなると、日本のユーザも完全にこのセキュリティホールに晒されてしまうことになる。現在までに、この”フォーチュン・クッキー”セキュリティホールを利用された攻撃は報告されていないが、この”フォーチュン・クッキー”を発見し警鐘を鳴らしているセキュリティ機構”Check Point”は、既にセキュリティ委 […]