2015年5月の脆弱性と脅威ニュース記事一覧(2 ページ目)

脅威動向 2015.5.20 Wed 12:15

DDoS攻撃の危険性に関する5つの誤解（アーバーネットワークス）

DDoS攻撃から組織のネットワークを防御することが長年の課題とされる中、多くの企業のネットワークは危険にさらされている。このような状況を踏まえ、企業がDDoS攻撃に対して飽きやすい主な誤解についてアーバーネットワークスがまとめた。

TheRegister 2015.5.20 Wed 8:30

そのキャッシュレジスターのメーカーは 1990 年から、ずっと同じパスワード「166816」を利用している～あなたの PoS（P.O.S.）にハッカーは高笑い（The Register）

彼らは、このパスワードがライバル社のベンダーの PoS にさえも適用されていると語った。なぜなら、顧客たちは自分のコードが（自分の PoS を動かす）独自のスイッチであると考えているからだ。

エクスプロイト 2015.5.20 Wed 8:21

Elasticsearch の Groovy スクリプトエンジンにおいてサンドボックス保護機構を回避して任意の Java コードが実行されてしまう脆弱性（Scan Tech Report）

オープンソースの検索エンジンソフトウェアである Elasticsearch に、任意の Java コードが実行されてしまう脆弱性が報告されています。

調査・ホワイトペーパー 2015.5.18 Mon 13:11

準拠の継続率が低いPCI DSS、カード情報を漏洩した企業の要件6・10準拠は皆無（ベライゾン）

ベライゾンは5月14日、2015年のペイメントカード業界コンプライアンス調査報告書に関する記者発表会を行った。前年を上回る約6割の企業が何かしらのPCI DSS要件に準拠していたことが明らかになったが、全ての要件をクリアし、完全に準拠している企業は約2割に留まった。

TheRegister 2015.5.18 Mon 8:30

スマートグリッドのセキュリティは、我々が想像していた以上に「ひどい」～まるで冗談のような OSGP の「自家製 MAC」（The Register）

ここで問題となるのは MAC である。この暗号学者たちが、そのシステムによって生成されるキーを取り出すのに必要とされたのは、「OMA ダイジェストオラクル」のほんの一握りのクエリだけだった。

脅威動向 2015.5.18 Mon 8:00

「ゆうちょ銀行」を騙るフィッシングメールを確認、注意を呼びかけ（フィッシング対策協議会）

フィッシング対策協議会は、「ゆうちょ銀行」を騙るフィッシングメールが出回っているとして注意喚起を発表した。

セキュリティホール・脆弱性 2015.5.18 Mon 8:00

バイクライフアプリ「Honda Moto LINC」にサーバ証明書検証不備の脆弱性（JVN）

IPAおよびJPCERT/CCは、本田技研工業が提供するバイクライフサポートアプリ「Honda Moto LINC」にサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。

脅威動向 2015.5.16 Sat 10:00

箱根山では火山活動が活発な状態、火口周辺警報を継続(気象庁)

　箱根山では火山活動が活発な状態で経過している。気象庁によると、15日は15時までに237回の火山性地震を記録した。同庁は火口周辺警報（噴火警戒レベル2、火口周辺規制）を継続している。

脅威動向 2015.5.15 Fri 21:30

「ゆうちょ銀行」を騙るフィッシングサイトを確認、ロゴが使われ巧妙な作り(フィッシング対策協議会)

　フィッシング対策協議会は15日、「ゆうちょ銀行」を騙るフィッシングサイト（偽サイト）が存在しているとして、注意喚起する文章を公開した。ゆうちょ銀行も注意を呼びかけている。

TheRegister 2015.5.15 Fri 8:30

Heartbleed よ、悔しかろう。脆弱性「VENOM」が、無数の VM を毒牙に掛ける～その広範囲に影響を及ぼす仮想化の欠陥は、10 年以上前から存在していた（The Register）

この影響を受けるソフトウェアが含まれたシステムを利用している企業は、間違いなく、ベンダーに連絡して適切なパッチを適用する必要があると Eng は語った。QEMU、Xen projects、Red Hat などは、すでにパッチを利用できる状態にしている。

脅威動向 2015.5.15 Fri 8:00

IHCへの通報件数は増加傾向、「売春目的等の誘引」情報が前年比3倍近くに（警察庁）

警察庁は、2014年中の「インターネット・ホットラインセンター」の運用状況などについて発表した。

セキュリティホール・脆弱性 2015.5.14 Thu 8:00

Adobe ReaderとAcrobatのセキュリティアップデートを公開（アドビ）

アドビは、「Adobe Reader」および「Acrobat」のセキュリティアップデートを発表した。これは、5月8日に同社が事前情報として発表していたもの。

セキュリティホール・脆弱性 2015.5.14 Thu 8:00

月例セキュリティ情報13件を公開、最大深刻度「緊急」は3件（日本マイクロソフト）

日本マイクロソフトは、2015年5月のセキュリティ情報を公開した。公開されたセキュリティ情報は13件で、このうち最大深刻度「緊急」が3件、「重要」が10件となっている。

エクスプロイト 2015.5.13 Wed 9:19

Adobe Flash Player における ByteArray 領域解放済みメモリ参照の脆弱性（Scan Tech Report）

Adobe Flash Player には、解放後のメモリを参照出来てしまう脆弱性が存在しています。

セキュリティホール・脆弱性 2015.5.13 Wed 8:34

「メールディーラー」にクロスサイトスクリプティングの脆弱性（ラック）

ラックは、LAC Advisory No.119として「メールディーラーにおけるクロスサイトスクリプティングの脆弱性」を発表した。

TheRegister 2015.5.13 Wed 8:30

「Windows 95 にも感染できるミス」で、Stuxnet は大失敗の危機に瀕していた～イランの核研究所を悩ませたマルウェアに、そんなバグが？（The Register）

それは「サポートされていない古いバージョンの Windows を使っている PC」へ感染を広げることができたようだ。感染すれば、おそらく Stuxnet は（PC を）クラッシュさせていた。そこでブルースクリーンを表示させたなら、ナタンツの核研究所は疑いを持っただろう。

特集 2015.5.12 Tue 13:15

[インタビュー] 日本の総合セキュリティ企業の強味を生かした標的型攻撃対策（トレンドマイクロ）

これまでは、組織内のネットワークに不正侵入する前の「入口対策」が主流でした。侵入後の情報の持ち出しを防ぐ「出口対策」、不正侵入後に、内部での攻撃をいち早く検知する「内部対策」の重要性がようやく認識されはじめています。

特集 2015.5.12 Tue 9:45

[インタビュー]エフセキュアCRO ミッコ・ヒッポネン氏に聞くデジタル監視社会におけるプライバシー保護の重要性

例えば、アメリカのプライバシーに関する法律を読むと、「アメリカ国民を保護する」と書かれていることがありますが、フィンランドの法律は、「全ての人類」と規定しています。

TheRegister 2015.5.12 Tue 8:30

邪悪な JPEG が、Windows サーバを狙って組織を攻撃する～バリデーションの落ち度で、何もかもが台無しにされるハッキングショーの映像（The Register）

彼によれば、一部のアップロードポータルは非常に脆弱であるため、「ファイルの拡張子が jpg だ」というだけの理由で、悪質な動的コンテンツのアップロードを許してしまう。

セキュリティホール・脆弱性 2015.5.12 Tue 8:00

「Subrion CMS」にSQLインジェクションの脆弱性（JVN）

IPAおよびJPCERT/CCは、Subrionが提供するWebベースのコンテンツ管理システムである「Subrion CMS」にSQLインジェクションの脆弱性が存在すると「JVN」で発表した。

脅威動向 2015.5.11 Mon 21:30

(2015年5月11日) 非常に強い台風6号が接近、12日は沖縄・奄美から東日本にかけて激しい雨(気象庁)

　気象庁が5月11日6時45分に発表した台風情報によると、非常に強い台風6号（ノウル）はバシー海峡を北上し、11日朝には沖縄の南に達する見込み。12日は沖縄・奄美から東日本にかけて広い範囲で激しい雨になるという。