Apple、Javaプラグインの脆弱性を狙った攻撃を受ける。社内コンピュータの一部がマルウェアに感染 57
ストーリー by hylom
Macだから安全とか言っていたのは誰だ 部門より
Macだから安全とか言っていたのは誰だ 部門より
あるAnonymous Coward 曰く、
Appleがサイバー攻撃を受け、社内の一部コンピュータがマルウェアに感染したと発表した(GIZMODO)。
社外への情報流出は現在認められていないとのこと。Facebookも最近ハッカー集団に攻撃を受けているが、それと同じものだという。
また、あるAnonymous Coward 曰く、
東京新聞によると、Macを使用する企業数百社が同様の被害を受けている可能性があるという。もう「Mac = 安全」なんてどう贔屓目に見ても無理ですよねぇ……
なお、これらの攻撃はiOS開発者に向けた情報を提供するWebサイト「iPhoneDevSDK」に仕込まれたスクリプトが発端だった模様。あるAnonymous Coward 曰く、
大手iPhoneアプリ開発者向けコミュニティiPhoneDevSDKに、ゼロデイ脆弱性を突く未知の攻撃コードが仕掛けられていたとのこと(本家/.、CNETの記事)。iPhoneDevSDKの管理者は同サイトに攻撃コードが仕込まれていたことについて認め、これが発端でAppleやFacebookへの攻撃につながった模様。
なお、この攻撃についてERIC ROMANG BLOGによって巧妙なテクニックの解説が行われている。Javaを有効にしたWebブラウザでiPhoneDevSDKにアクセスした人はマルウェアに感染している恐れがあるので、心当たりがある人はチェックが必要かもしれない。
そうか、わかったぞ (スコア:5, おもしろおかしい)
ブラウザのJava、すなわちアプレット、これを英語で書くとappletとなる。
ここから、時間(T)の経過を示すために、tを取り除く。
applet - t = Apple
つまり、ブラウザで動作するJavaが実装された時に、
既にこの事件は予言されていたんだよ!
つまり、人類は滅亡する!!
おやくそく (スコア:0)
な、なんだってー!?
Re: (スコア:0)
その時間(T)は QuickTime の T …ですかね?
Javaプラグインの問題 (スコア:2)
Mac=安全とは言いませんけど、
この脆弱性はJavaプラグインの問題であって、Macの安全性は関係ないですよね
Re:Javaプラグインの問題 (スコア:1)
WindowsにもMacにも、脆弱性を突くわけではないマルウエアは存在する。ただ、Windows向けのものが多く、それらはMacで実行できない。でもその事実が「Windowsの安全性とは関係ない」と言いきれる?
Re: (スコア:0)
そのJavaプラグインを配布しているのは、そのアップル [apple.com]なんだけどね。
さすがにOracleも切れて「お前には任せらせん」ということで、Java7からはOracleが配布 [java.com]するように変更されたんだよ。
Re: (スコア:0)
>「お前には任せらせん」
そうだったんだ。
てっきりAppleが愛想尽かして、Javaをアンインストールしたのかと思ってた。
http://www.itmedia.co.jp/enterprise/articles/1210/19/news043.html [itmedia.co.jp]
Re: (スコア:0)
たしかLionからはJavaはプリインストールされなくなったけどね。
初めてJavaアプリを起動する時に「インストールするか?」って聞いてきて初めてインストールすることになる。
最近は、デフォルトでウェブブラウザのJavaプラグインを排除するようになったような。
Javaはあってもいいけど、ウェブブラウザのJavaプラグインはいらんわ。リスク以外の何者でもない。
ブラウザ上でJava使ってる人って、全体の0.何%だ?
Re: (スコア:0)
しかもJavaプラグインはOracleが直接配布するようになったんじゃなかったっけ?
Re: (スコア:0)
え?AppleがSunには任せられんってことで自社で出してたんですよ。
UI周りをOSXと同じようにしたいApple(というかJobs?)としては自社で手を入れざるを得なかったんだと思います。
GoslingもSunから出したいって何度か言ったけど断られてたみたいだし。(ソース失念)
だから、JavaSE6まではAppleが出してた。
その後、JavaをOSXにデフォルトバンドルしない方針に
Appleが舵を切ったのでOracleが出すハメになった。
タイミングとしては、SunがOracleに買収された後でZFS採用を止めたのと同じ頃だから
AppleがOracleというリスクを回避したんだと思ってます。
Re: (スコア:0)
ひどい信者脳を見た。
Re: (スコア:0)
ただしWindowsのクラッシュはデバイスドライバのせいでMSは一切悪くないんですねわかりますん
Re: (スコア:0)
きっとAppleのJava離れが加速しますね。
元々安全じゃない (スコア:2, すばらしい洞察)
数年前から既にWindowsよりMacの方が脆弱性が多い。
http://japan.zdnet.com/security/sp_07zeroday/20363926/ [zdnet.com]
Re:元々安全じゃない (スコア:1)
少なくても日本法人で言う限りマイクロソフトは毎月セキュリティアップデートを提供し(知る限り定期でパッチなしは1-2回ぐらいw)、説明会もやってるけど、アドビやオラクル、アップルがそういう説明会を開いていると聞いたことなし。
ゲイツのTWCの考えは10年後も生きているけど、ぶっちゃけ他社がそこまでリソースを投入しているとは思えない。
※でもマイクロソフト製品が安全とは言えないけどねぇw
Re: (スコア:0)
どの商品も同じくらいに欠陥品で、頻繁に修正されるかされないかの違いでしょ。
Re: (スコア:0)
そうだよね。CentOS6.3使ってても月に2回くらいはyum check-updateで何かしら表示されるよ。
今やってみたら
libproxy.x86_64 0.3.0-4.el6_3 updates
libproxy-bin.x86_64 0.3.0-4.el6_3 updates
libproxy-python.x86_64 0.3.0-4.el6_3 updates
だって。
部門名にフレームの元(-1)つけられないの? (スコア:1)
Re: (スコア:0)
信者乙
いますぐJavaをアンインストール! (スコア:1)
アップデートの必要もない!
すっきり!
Re: (スコア:0)
ずいぶん前からJavaもFlashもAdobe Readerもインストールしてない。
三大ブラウザはどれもサイレントアップデートするようになって久しいしマジ管理が楽になった
英語チカチカ (スコア:0)
誰かeromangの解説を10行以内で簡潔に説明して
Re:英語チカチカ (スコア:5, 参考になる)
・誤訳が恥ずかしいからACで行くよ
・min.liveanalytics.org っていう、2012/12/8に匿名で立てられたドメインがマルウェアを配布するためのものだったみたいよ
・www.iphonedevsdk.com に、min.liveanalytics.org を見に行くJavaScriptが埋め込まれてたことが確認できるよ(WayBack Machine の記録、2013/1/15)
・2013/1/22,23に実際にそのJavaScript、および(0dayの?)Javaコードが走ってた形跡が urlQuery とか JSUNPACK から見つかったよ
・JavaScriptは日付の他、ブラウザのプラグイン情報(種類、バージョン)を min.liveanalytics.org に送信してたよ
・2013/1/13に Java SE 7 Update 11 が出たんだけど、この時点でセキュリティレベルをデフォルトのMediumからHighに上げていれば、署名なしのアプレットやJava Web Startアプリ実行前に確認が出るから攻撃に気づけたはずだよ
・2013/2/1の Java SE 7 Update 13 であれば強制的にHighだから気づけたんだろうけど min.liveanalytics.org は2013/1/24には止まってたみたいだよ
・これが狙った攻撃とは思わないな、だってTwitter(※)やFacebookやAppleみたいなまともな会社の人はブラウザのJavaなんて切ってるよね?
(・というか、このblog 巧妙なテクニックなんて解説して無くね?)
・追記で、F-Secureが公開した攻撃ドメインを調べると、Fedoraforum.org にそこへ行くスクリプトが2012年7月くらいに埋められてたみたいだけど。。。どうすんだよこれ
※Twitterにサイバー攻撃、25万件のアカウント情報に不正アクセス [srad.jp]の件。2013/2/1に発表ということで攻撃を食らったのは同じ1月下旬、同じJavaがらみと考えられる。
エンドユーザをいちいち撃つよりも、開発者を撃てば一網打尽 (スコア:1)
・追記で、F-Secureが公開した攻撃ドメインを調べると、Fedoraforum.org にそこへ行くスクリプトが2012年7月くらいに埋められてたみたいだけど。。。どうすんだよこれ
ほんとですね。どうすんだこれ。
今回の件は Mac/Apple がどうこうというよりも、上流 (開発者) から攻める手法にニュースバリューがあるように思います。
例えば sourceforge に毒が入ってたら、みんな困ると思うんです。そういう話ですよね。
署名で防げるのは、上流が汚染されていない場合だけです。
下流で対処する方法って、あるんでしょうか。
Re: (スコア:0)
ありがとう
「Mac = 安全」 (スコア:0)
>> 「Mac = 安全」なんてどう贔屓目に見ても無理ですよねぇ……
安全というわけではなく、今までは市場シェアの関係で攻撃のターゲットにされる確率が低かったということでしょう
#今ならDOSは安全です!??? みんなWebBoyを使おう!
Re:「Mac = 安全」 (スコア:1)
あれ?
ラーメンズがドヤ顔でCMしてましたよ?
その時にそんな説明はありませんでしたが。
Re:「Mac = 安全」 (スコア:1)
Re: (スコア:0)
TigerのままPowerPCのままなら安全だったのか!
Re: (スコア:0, フレームのもと)
そんなのわかりきったこと。Apple自らが安全神話をねつ造して売ってきたのが問題だろ。詐欺行為。
Re: (スコア:0)
訓練されたアップル信者は、宣伝文句のフィルタリングが完璧なので踊らされません。
だから過激な宣伝を打っても一定以上の売り上げは常に確保される。
アップルはそれが分かっているから、バンバン嘘つきますよ。
Re:「Mac = 危険」 (スコア:2)
まあ、あんまり人のことはいえませんが
Re:「Mac = 危険」 (スコア:1)
そのルーズなユーザーの中にApple社自体迄含まれているのだけどな。
Re: (スコア:0)
現実歪曲フィールドというか問題なんか無かったことになってしまう熱狂的なユーザの思考回路は恐ろしい。
ま、Appleとしては悪いのはJavaであってMacの問題ではないってスタンスでしょうね。
その視点ではWindowsも同じ条件のはずなのになぜかMicrosoftがダメだってことにされてしまう。
Re: (スコア:0)
ただの現実歪曲フィールドからの連想なんですが
「ジョブスが生きてる間はジョブスが注ぎ込むフィールドの力によってMacの安全が保たれていた。ジョブス亡き今、全世界のMacに注ぎ込むフィールドの力が足りず、Mac王国は崩壊の危機に瀕している。この危機を救うために、老いたエンジニアが再び立ち上がる時がきたのだ! それゆけウォズニアック! メカジョブスを倒してAppleを救うのだ!」
とかいう電波を受信してしまいました。ゆんゆん。
Re: (スコア:0)
スティーブン・キングの暗黒の塔みたいなストーリーだ。
Re: (スコア:0, フレームのもと)
アンチ乙。
Windowsじゃこの程度のことじゃ日常茶飯事で記事になるわけもないし、アンチも気にも留めない反面、Macじゃこういう事が一度でも起こるとアンチが鼻水たらして大喜びするんだよねぇ。
今日は思いっきり楽しみな。
このストーリーは伸びない (スコア:0)
Appleに都合の悪いストーリーは伸びないよね。
露骨過ぎて逆に目立ってると思うんだけど。
こっそりとしておきたいなら、適度に無難なコメントをつけたほうがいいのでは? > 信者さん
Re: (スコア:0)
OS9信者の俺、勝ち組!
Re: (スコア:0)
たまにはOS-9のことも思い出してあげて下さい。
#お約束
Re: (スコア:0)
OSから9を引くより2で割る派
Re: (スコア:0)
両方答えは0です。
Re: (スコア:0)
ように画策しないだけ、昔よりマシです。
Re: (スコア:0)
これがマイクロソフトネタだと、金曜日の最後とかに掲載されるんだろうな。
Re:このストーリーは伸びない (スコア:1)
> Macのトラブルを擁護しようとする人(つまり信者)が少ないからレスが伸びないのしょう
信者ですら擁護の余地がないようなストーリーだと伸びない印象。
伸びるのは、WindowsやAndroidなんかを叩きやすい場合だよね。
でも、Appleを叩きやすいストーリーはそんなに伸びない。
好きなものを好きだというのは好きなだけやればいいと思うけど、某教の方々は対抗製品を貶めることで自分達の優位性を高めようとするのでキライです。
だんまりを決め込んでもApple製品がセキュアになる訳でもなく、むしろガンガン声をあげるべきだと思うんだけど。
セキュリティに関しては特にね。
Re: (スコア:0)
>見えない信者と戦いたい気持ちはわかりますが、
うわ嫌らしい言い方。
Appleの擁護ってこういうのが多い気がする。
Re: (スコア:0, 荒らし)
脆弱性がないわけねえだろと大昔から思ってますが。
Appleを擁護せずとも、的外れなApple批判に対して皮肉を言っただけで、
信者にされてしまうことが多いです。
# 最愛のWindows Vistaからの書き込みです
Java を on にしたままブラウザを使っている人ってそんなに居るんか (スコア:0)
Apple がどうこういうより,そちらに驚いた.
ブラウザで Java って,良い事無さそうだから必要がないときは切ったままの人が多いのかと思ってたが…
# それとも,SDK を配布しているそのサイトで Java が必要なのかな?
Re: (スコア:0)
デフォルトでONじゃない?
そもそもJavaが何か知ってる人は、世の中のネットユーザーの10%未満だと思うよ。
だから、ON OFFの意味も必要性もわかってないはず。危険性もね。
まぁでも、優秀なエンジニアがたくさんいるApple社内でJava有効で使ってる人がいるとはね。
非技術系な人だったのかな。さすがに社員が何千人とかいれば、知識のない人もいるか。
Re: (スコア:0)
ブラウザ単体で無効にできないことに気づかぬ人もいるのでは?
http://www.atmarkit.co.jp/ait/articles/1301/18/news092.html#iexplorer [atmarkit.co.jp]