アメリカンの特集について

自宅で簡単にきれいに白髪染め

私の最大の悩みは頭の白髪の増加です。元のヘアスタイルが確固とした黒い髪のために白髪が1つあるだけですごく目立ちます。遠くから見ても光が当たると白髪だけがキラキラと輝いてしまいます。そこで白髪染めを始めようかと考えています。しかし、数が限られているので、自宅で簡単にできる部分の白髪染めで始めようとしています。
うちの子は小学校3年生だが、いくつかの円形脱毛症です。見た時は本当にびっくりびっくりしました。円形脱毛症はストレスから来ることが多いところなのでされているし、ストレスを与えないようにはしていますが言うことを聞かないので怒って簡単です。女性は髪で隠すこともできますが、我々の子供は男の子なので、なるべく目立たないように隠すようにしています。
ソフォス株式会社の2月21日の発表によると英国政府は同日、サイバー犯罪に関連するコストについての報告書を公開し、サイバー犯罪が英国経済に与える全体的なコストが毎年270億ポンドになるとしている。ただし、この値の算出方法の具体的な詳細については説明されていない。報告書では、270億ポンドの内訳を異なるカテゴリに分類している。たとえば、92億ポンドが知的財産の盗用に関連し、76億ポンドが産業スパイ関連として分類されているが、こうした事例の多くは報告されないことが多いため、これらの金額の算出は基本的に難しい部分が多いと述べている。

また報告書では、企業はサイバー犯罪の脅威を深刻にとらえる必要があるとしており、スパムやマルウェア攻撃のほかにも企業システムへのリモートからのアクセス、機密活動へのスパイ、情報の盗難などのサイバー犯罪に警戒する必要があるとも述べている。ソフォスで上級技術コンサルタントを務めるグラハム・クルーリー氏は、「報告書の統計情報は非常に疑わしいと思われますが、英国においてサイバー犯罪について適切な対応策の確立が必要であるという結論には、強く同意できます。ユーザーを脅威から守るためには、まずサイバー犯罪を正確に特定・記録する手段を確立する必要がある」としている。
（吉澤亨史）

【関連記事】
ソフォス、サイバー犯罪を正確に特定・記録する手段の確立が急務と主張
2010年はSNSサイトを標的にしたサイバー犯罪が増加、攻撃方法も多様化（ソフォス）
送信されるスパムはこれまで以上に悪質化--スパム四半期レポート（ソフォス）
ゲーム内通貨を無償提供するという詐欺がSNSで拡大、アクセス許可に注意（ソフォス）
推測されやすい危険なパスワード50を公開、複数サイトでの使用も危険（ソフォス）


　iPhoneやiPadがパスコードでロックされていても、VPNやWi-Fiその他のiPhoneに登録されているパスワードを入手する攻撃が発表された。ローカルからの攻撃であるため、攻撃者が実際に被害者のデバイスにアクセスする必要がある。しかし、6分あれば攻撃を実行できることから、デバイスの紛失に気がついた時にはすでに手遅れになりかねない。このためデバイスの管理を厳重にする必要がある。

　この攻撃を発表したのは、ドイツのフラウンホーファー研究機構のJens Heider氏とMatthias Boll氏で、「Lost iPhone? Lost Passwords! - Practical Consideration of iOS Device Encryption Security」というタイトルの論文にまとめられている。

　論文の前書きには、「iOSはAES-256のアルゴリズムを使用しているため利用者は安心しがちだが、すでに去年、暗号化されていないディスク・イメージをiPhoneからコピーしたり、パスコードをバイパスする方法も発表されている。その理由は、現在のiOSの暗号キーはユーザのパスコードを使用せず、デバイスに内蔵されているデータを使って生成されるから」iOSのkeychainデータにアクセスできると書かれている。

　keychainには、iOSの「email、groupware、VPN、Wi-Fi、Webサイトなどのパスワードやアプリのパスワード、証明書が含まれている」らしいので、今回の攻撃ではデバイスに保存されているパスワードをほぼ根こそぎコピーすることができるわけだ。

　実験が行われたのはiPhone4とiPadで、ファームウェアは4.2.1。

　攻撃は、脱獄ツールを使ってSSHサーバをデバイスにインストールし、次にkeychainにアクセスするスクリプトをSSHでデバイスにコピーする。このスクリプトはシステムのファンクションを使用してkeychainのデータにアクセスするため、keychainの暗号メカニズムをリバース・エンジニアリングする必要はない。そして最後にそのスクリプトを実行してパスワードを入手する。

　この攻撃で入手できるパスワードなどは、Apple Push、Apple-token-sync、CalDav、Google Mail（Exchange Account）、iChat、LDAP、Lockdown Daemon、MS Exchange、Voicemail、VPN IPSec、Shared Secret、VPN XAuth Password、VPN PPP Password、Wi-Fi、Wi-Fi WPA。アクセスできないものは、AOL Email、Generic IMAP、Generic SMTP、Google Mail、iOS Backup Password、SafariのWebサイトのアカウント、Yahoo Mailだ。アプリケーションはまちまちだが、ものによってはクリアテキストでパスワードを保存しているものもあることが分かったそうだ。

　両氏は同時に、攻撃をデモンストレーションしたビデオも公開しているので参照されたい。
（米国：笠原利香）

【関連記事】
「Lost iPhone? Lost Passwords!：Practical Consideration of iOS Device Encryption Security」
攻撃のデモビデオ
スマートフォンを標的としたウイルスの脅威--1月度ウイルス届出状況（IPA/ISEC）
Android OSを標的とする初のボット「Geinimi」を確認、注意喚起を発表（IPA/ISEC）
スマートフォンセキュリティ研究所を開設、セキュリティ対策を支援（ラック）