心理学やビジネスの話、役立つかもしれない豆知識・情報、管理人の体験談などを発信する雑多なブログ

ニュース・時事

またもやWindowsに脆弱性!? パスワードなどを盗用される危険性有り。深刻な問題ではないそうですが、念の為注意しましょう。

投稿日:2015年4月15日 更新日:

またもやWindowsの脆弱性が問題視されているようです。

 

発見したセキュリティ会社「Cylance」によれば、この脆弱性の悪用によって、パスワードが盗まれる可能性があるとのこと。

しかも、今夏に正式リリースされる予定の「Windows10」の最新プレビュー版を含む、全てのバージョンでこの脆弱性が存在するようです。

タブレットや携帯など、パソコン以外にもWindowsを搭載する機器が増えていますから、かなりの数が危険に曝されている状態ということです。

 

どうも、今回はWindowsのファイル共有プロトコル「Server Message Block(SMB)」に関するもののようです。

 

「file://」で始まるURLをInternet Explorerに入力すると、WindowsがSMBサーバに接続しようします。

その際、ユーザー名やパスワードなどのログイン情報を提供してしまうという脆弱性が1997年に発見されています。

 

今回、これを発展・悪用した方法でパスワードが盗用されるとして、警告が出されたのです。

 

方法は結構単純で、まず中間者攻撃によって正規のサーバとの通信を乗っ取り、悪質なSMBサーバにリダイレクト。

後は、上記の手順でユーザー名や暗号化されたパスワードなどが提供させるというわけです。

パスワードなんかは暗号化されていますが、ブルートフォース(総当たり)攻撃でクラッキングすれば済む話ですからね。

 

中間者攻撃をしなくても、認証を試みるようにと促し、悪質なサーバへのリンクをクリックさせるだけでも良いわけです。

 

これはMicrosoftだけでなく、AVG等のウイルス対策ソフトやAdobe、Appleなど多数のソフトウェアが影響を受ける可能性があるのだそうです。

 

カーネギーメロン大学のCERTが、この問題に対して「完全な解決策を把握していない」とコメントを出しています。

非常に深刻バグだと考えているようで、警告を発しています。

SMB接続やNTLMに制限をかけようと呼びかけているようです。

 

この問題を確認したCylanceも、Microsoftがこの脆弱性に対処することを望んでいるようです。

 

しかし、当のMicrosoftは、然程深刻な問題とは捉えていないようです。

声明で「中間者攻撃を引き起こすには、さまざまな要因が重なる必要がある」とコメントしています。

また、「この種の脅威に対処できるよう、2009年にガイダンスが更新されている。WindowsのExtended Protection for Authentication機能などによって、保護が強化されている」と述べています。

 

現時点では、Microsoftが今後のアップデートでこの問題を修正するか否かは不明です。

 

分かっている欠陥なら、早めに対処してほしいですね。

 

今回はWindowsに関するセキュリティ問題でしたが、

発見・指摘されていないだけでMacやLinaxなんかでもありそうですよね。脆弱性。

出来てから日が浅いAndroidやiOSなんか特にそうでしょう。

 

Windowsを使っていなくても、油断しないようにしたいですね。

-ニュース・時事
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

no image

振り込め詐欺。今度はプリペイド(前払い)型電子マネーが標的に!? 本当、いたちごっこですね。

各地で被害が相次いでいる振り込め詐欺。 あの手この手でお金を騙し取ろうとしますが、今度はプリペイド(前払い)型電子マネーを使った手法が横行しているのだそうです。   このプリペイド型電子マネ …

no image

小保方氏の弁護団が、NHKに対して「偏向に満ちた報道」と抗議文を送ったらしいですね。正直、自業自得な気も・・・

STAP細胞の研究で不正が発覚し、昨年の12月に理化学研究所を退職した小保方晴子元研究員。 その弁護団が、NHKに対して「偏向に満ちた報道がなされた」と抗議文を送っていたそうです。 弁護団の三木秀夫弁 …

no image

劇症型溶血性レンサ球菌感染症の患者数が過去最悪。 別名「人食いバクテリア」!!

「劇症型溶血性レンサ球菌感染症」の患者数が、今年の12月中旬までに263人に上ったことが発表されました。 調査を始めた1999年以降、今年の患者数が過去最悪の数を超えたそうです。

no image

パソコンにイラつき、銃で無理矢理シャットダウンした男がアメリカで逮捕されたらしいですね。コンセント抜けよ・・・

アメリカでおバカな事件が起こったようです。 4/20にコロラド州で、パソコンにイラついた37歳の男性が、銃撃でパソコンを破壊し逮捕されました。 現地警察の報告では「男、コンピューターを殺す」と記載され …

no image

政府機関での災害用備蓄、7割超の機関で不足? 本当に不備があるなら、早く対応しないと大変です。今地震とか来たら・・・

これはやばいだろと感じたニュースを目にしたので、紹介したいと思います。   総務省が首都直下地震を想定した、とある調査を行いました。 それは、省庁など24の政府機関の備蓄状況(災害時に必要な …

pagetop