パスワードを忘れた? アカウント作成
Close
7569837 story
Facebook

Facebook、マルウェアによる攻撃を受ける 12

ストーリー by reo
まあ受けますわな 部門より

ある Anonymous Coward 曰く、

Facebook 従業員のノートパソコンがマルウェアに感染していたことが判明した。Facebook 社内システムに対する攻撃が目的と見られている (threatpost の記事本家 /. 記事より) 。

従業員がモバイル開発者向けサイトにアクセスした時に、このサイトに置かれていたマルウェアに感染したという。Facebook 側はこの攻撃によるユーザーデータへの侵入は確認されていないと説明している。

マルウェアを分析した結果、Java のサンドボックス機能を迂回するゼロデイ脆弱性を悪用したものであることが判明、Facebook ではこの問題を Oracle に報告し、すでに Oracle 側は 2 月 1 日にこの脆弱性を修正するためのセキュリティアップデートを公開している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Facebook、マルウェアによる攻撃を受ける More

  • Javaのゼロデイ脆弱性 (スコア:0)

    by Anonymous Coward on 2013年02月20日 10時23分 (#2328866)

    AppleとかTwitterも被害受けたってさ。ホームページを観覧するとJavaの脆弱性突いてマルウェアをインストールされたんだって。http://www.itmedia.co.jp/enterprise/articles/1302/20/news037.html
    日本の企業はまったく魅力が無かったのか、未だ気づいてもいない予感

    • Re: (スコア:0)

      by Anonymous Coward

      「はっきんぐー?ういるすばすたーしてるから大丈夫でしょ」

      上の人間はこんなことを本気で宣うから困る

    • Re: (スコア:0)

      by Anonymous Coward

      >マルチプラットフォーム対応の特性を利用して
      具体的な脆弱性の内容調べてないからなんとも言えなけど、なんか違う気がするよなぁ…

      脆弱性によってJavaの上のレイヤにエスカレーションすることで問題が起きるのであれば、エスカレーションした時点でマルチプラットフォームもヘッタクレも無いわけで。
      単に脆弱性が多くてブラウザから呼べるライブラリとしてJavaが選べれてるに過ぎないような。
      FlashとかPDFはスクリプト実行環境を含むしなんとも言えない部分があるけれど、libpngやlibjpegに脆弱性が有っても、png/jpegのマルチプラットフォーム対応の特性を利用して、なんていい方はしないだろ、普通。

  • 「マルウェアによる攻撃」という表現に違和感 (スコア:0)

    by Anonymous Coward on 2013年02月20日 10時59分 (#2328908)

    「マルウェアに感染」じゃ駄目なの?

    ワームのような能動型マルウェアの攻撃を受けこと自体は日常茶飯事だろとツッコミたい。
    対策してれば問題ないだろ

    • Re: (スコア:0)

      by Anonymous Coward

      標的型だから。
      狙われたというニュアンスが出る。
      まぁ、facebook狙いじゃないけど。

  • 目的は開発環境への感染? (スコア:0)

    by Anonymous Coward on 2013年02月20日 12時01分 (#2328963)

    エフセキュアのブログによると、今回の手法はモバイルアプリ開発者を狙った水飲み場型攻撃だったとのことで、
    モバイルアプリのソースコード改竄を狙ったものではないかとのこと。

    Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア
    http://blog.f-secure.jp/archives/50694451.html [f-secure.jp]
    >たとえば…、モバイル機器をハッキングできないかな?
    >オーケー、それなら、上流に行って、モバイル・アプリケーション開発者をハッキングしよう。
    >開発者のソース・コードに何でも好きなものを差し挟めるところだ。

    >ブラウザでJavaを有効にしていて、ここ2ヶ月の間にモバイル・アプリ開発者のWebサイトにアクセスし、
    >自身のコンピュータに証拠が残っているなら、侵害されている。
    >ソース・コードのバージョン管理システムを用いて、最近コミットしたものを確認すべきだ。
    >そしてもし(SVNやGitといった)バージョン管理システムを使っていないのなら、コード全体を読む時間を楽しむといい。

    • セキュリティをかなり強固にしているはずのFacebookやAppleというITトップ企業でさえ大量の被害を受けたのは、Macを無防備に使っていたからですね。
      今や、Windowsよりも危険なのかもしれない。

      最終的な目的は、iOSデバイスのようですし、Androidと比べてセキュアなiOSも油断はできなくなりました。

      • Re: (スコア:0)

        by Anonymous Coward

        Androidと比べてセキュアなiOS

        [要出典]
        iOSのアプリは多少なりとも人手による審査があるので、多少は問題が見つかりやすい。 でも、インストール時に権限を確認できないので、審査をやり過ごせばやりたい放題(iOS6で多少改善)。 Androidアプリの審査は緩いけど、インストール時に確認ができる。
        つまり、リスク管理の点ではAndroidの方が安全。

        • Re: (スコア:0)

          by Anonymous Coward

          つまり、パーミッションも審査もあるWindowsPhoneが一番安全ってことですね!!

          • Re: (スコア:0)

            by Anonymous Coward
            ですよね!! 利用者も少なくて狙われにくいし(>_<)
            # 日本での販売はどうなるのやら…

    • Re: (スコア:0)

      by Anonymous Coward

      実際、どこのサイトに仕掛けられたんだろう?

  • 不正請求への波及 (スコア:0)

    by Anonymous Coward on 2013年02月20日 14時24分 (#2329092)

    これって、あびるさんのところで起きた「Facebook からの不正請求」の件と関連はないのだろうか?

    http://www.abi-station.com/p/3003 [abi-station.com]

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家