脆弱性と脅威
Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report)
2021 年 4 月に、Google Chrome に任意のコード実行が可能となる脆弱性が報告されています。
2021.09.28(火)
- 注目検索ワード
2021 年 4 月に、Google Chrome に任意のコード実行が可能となる脆弱性が報告されています。
オープンWebアプリセキュリティプロジェクト(OWASP)はこのほど、今年のWebソフトウェアの脆弱性のトップ 10 リストを公開した。
2020年6月、コインチェックはドメイン名ハイジャックの被害を受けた。しかし、発見と初動が早かったため、仮想通貨や資金の流出(窃盗)はなく、情報漏えいの可能性も数百件程度と大事には至らなかった。
ことの発端は、ひょっとすると秋ごろには海外取材が再開できるのでは? と思ったことだ。
「交渉人のスキルは、オファーを出すことではなく、攻撃者に『オファーを出す」ように仕向けることです」とシャー氏は教えてくれました。
IT業界以外の多くの人は、コンピュータが仕事を奪うと考えていますが、今回のランサムウェアの被害を見ると、少なくともそれと同じくらいの速さで、新しい、より興味深い種類の仕事が生み出されています。
2021 年 8 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
8 月はタリバンがアフガニスタン首都を制圧したことが記憶に新しいニュースです。今回の事案に関連していると噂される中国は、昨年 12 月に国家安全部の関係者が、タリバン内の最強硬派「ハッカニ・ネットワーク」と接触していたことが報じられています。
オープンWebアプリセキュリティプロジェクト(OWASP)はこのほど、今年のWebソフトウェアの脆弱性のトップ 10 リストを公開した。
「交渉人のスキルは、オファーを出すことではなく、攻撃者に『オファーを出す」ように仕向けることです」とシャー氏は教えてくれました。
IT業界以外の多くの人は、コンピュータが仕事を奪うと考えていますが、今回のランサムウェアの被害を見ると、少なくともそれと同じくらいの速さで、新しい、より興味深い種類の仕事が生み出されています。
3 月に、マイクロソフト Exchangeサーバを標的とした大規模な攻撃が発生した。
2021 年 4 月に、Google Chrome に任意のコード実行が可能となる脆弱性が報告されています。
2021 年 8 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
2021 年 6 月に、Microsoft Windows の Print Spooler サービスに、特権昇格につながる脆弱性が報告されています。
2021 年 7 月に、Microsoft Windows に、レジストリへのアクセス権限設定不備が報告されています。
![中国来年度サイバー人材新卒1,300人採用/APT組織ランサムで小遣い稼ぎか/政府御用達マルウェア ほか [Scan PREMIUM Monthly Executive Summary]](/imgs/p/R6O9BpFTaEW-PJL4ByThnm8IJAfaBQQDAgEA/35600.jpg)
8 月はタリバンがアフガニスタン首都を制圧したことが記憶に新しいニュースです。今回の事案に関連していると噂される中国は、昨年 12 月に国家安全部の関係者が、タリバン内の最強硬派「ハッカニ・ネットワーク」と接触していたことが報じられています。
7 月は、米国が英国や同盟国などと連携し、中国によるサイバー攻撃に対する非難声明を行なったことに注目が集まりました。
6 月は、中国および北朝鮮の攻撃報道が複数ありました。中国の APT グループによる ASEAN 諸国へのサイバー攻撃が目立って確認されており、中国の外交政策を含めての動きに注目が集まります。
5 月は、米国、英国がロシアによるサイバー攻撃に関するアドバイザリをリリースするなど、米国のロシアに対する経済制裁と連動した動きが見られました。
何だね君はぁ!「ども!テレワークだと昼休みに弁当を食べながらアニメが見られて最高です。冬アニメの消化がとても捗ります!」
企業イメージ以上に、既存顧客のサービスをどうするか、この責任は大企業では逃れられない。逆に逃れたいなら、出資という形で別会社にする。この線引きによって、事件が発生していない他社においても、必要な対応、責任が見えてくる
後編では、これからも長い付き合いになりそうなパスワードの、不都合な真実って奴に突っ込んで、真実を暴きます。そしてもちろん言いっぱなしにはしません。何が何故、残念で、どうすればいいかを説明します。
今回のコラムでは、社内のOAの一般利用者のパスワードを想定することにした。IDの持ち主はIT音痴なオッサンや、スマホしか使ったことのない新入社員も含める。企業のセキュリティ管理者の悩みどころだ。
「CrowdStrike アドバーサリーカレンダー」は「アドバーサリー(敵性国家)」に関わる、サイバー攻撃に影響を及ぼす可能性がある(あるいは過去影響を及ぼした)地政学的出来事の情報を提供している点に最大の特長があります。記事末尾には当月の記載事項を付記します。
オリンピックを控えた東京都内の主要駅に、まるでアメコミのようにポップなイラストを用いた巨大な広告が掲出されました。
「CrowdStrike アドバーサリーカレンダー」は「アドバーサリー(敵性国家)」に関わる、サイバー攻撃に影響を及ぼす可能性がある(あるいは過去影響を及ぼした)地政学的出来事の情報を提供している点に最大の特長があります。記事末尾には当月の記載事項を付記します。
クラウドストライク株式会社は7月、Webセミナー「最新サイバーインシデントに対抗し、進化する対応体制」の開催を発表した。
Proofpoint が、これまで積極的に無視されてきた最もネガティブな側面にわざわざ名前をつけて光をあてた。VAP などという対策が難しく正否が鮮明に表れる領域に、自ら歩を進めた Proofpoint には一体どんな勝算があるのか。
プルーフポイントのリサーチャーは、イラン国家を後ろ盾とする攻撃グループ TA456 による数年間にわたるソーシャルエンジニアリングとマルウェアを用いた標的型攻撃のキャンペーンを確認しました。
日本プルーフポイント株式会社は8月26日、年次レポート「Human Factor 2021(サイバーセキュリティにおける人的要因分析)レポート」の日本語版を発表した。
世の中は、矛盾に満ち溢れている。
株式会社LogStareは9月27日、同社が主催するITエンジニア限定のeスポーツ大会「LogStare eSports Series」第2回大会の競技種目を「Pokémon UNITE」とし、11月13日に開催すると発表した。
株式会社セキュアヴェイルは9月16日、創業期から20年に渡って提供する統合セキュリティ運用サービス「NetStare」のサービスラインアップを2021年冬にリニューアルすると発表した。
ユーザーにとって、同じ「 SOC 」と書いてあるなら、より料金が安い方を選ぶのは人情である。本記事でこれから説明するほどの差が、まさか同じ SOC と謳うサービス間にあろうなどとは夢にも思わない。
株式会社LogStareは8月26日、「LogStare Collector」のAWSマーケットプレイスへの出品を発表した。
株式会社イエラエセキュリティは8月4日、サイバーセキュリティ人材の育成プログラム「イエラエアカデミー」の提供開始を発表した。
株式会社イエラエセキュリティは8月2日、同社のエンジニア川田柾浩氏が執筆した「ペネトレーションテストの教科書(ハッカーの技術書)」の発売を発表した。
企業業績からだけでは、牧田が実現した夢がいかに規格外であるかは到底伝わらないからだ。
株式会社イエラエセキュリティは7月21日、テレワーク環境におけるセキュリティ評価サービスを7月26日から提供開始すると発表した。
ある種のバディ関係にある大井と中村、このふたりに話を聞き、コンビニ店長のその後と現在、そして未来に迫る。
ゆるキャラでも何でも、自分自身が容器か何かになって、そこにいろいろなものを入れてみたいという人がいるなら、それで誰かの役に立つのなら、それでいいと大井は思う。
株式会社SHIFT SECURITYは5月12日、2019年から同社が提供してきた「EC-CUBE向け無償セキュリティ診断」の診断範囲の拡大を発表した。
クラウドエース株式会社は5月11日、株式会社SHIFT SECURITYのクラウド診断サービスを活用し、Google Cloud 利用時のセキュリティ運用や設定の最適化を目指す診断サービスの提供を発表した。
長野県は9月16日、新型コロナウイルス感染症陽性者等の個人情報を含む資料のFAX誤送信について発表した。
株式会社アプラスは9月16日、同社が提供するクレジットカード会員向けマイページ「NETstation*APLUS」のスマホアプリのログインIDとパスワードを、親会社である株式会社新生銀行がWeb解析を委託する事業者2社に対し、誤ってデータ提供していたことが判明したと発表した。
トヨタ自動車株式会社は9月15日、8月19日に公表したトヨタ販売店における個人情報の不適切な取扱いについて、その後、全国257社の再点検を実施した結果を発表した。
埼玉県は9月13日、県立特別支援学校塙保己一学園で無料通信アプリ「LINE」使用による個人情報流出が判明したと発表した。
山口県は8月31日、県事業の「頑張るお店応援プロジェクト」委託事業者のWebサイトでの個人情報の誤表示について発表した。
東邦大学医療センター大森病院は8月24日、同院の看護師による患者の個人情報漏えいについて発表した。
トヨタ自動車株式会社は8月19日、トヨタ販売店における個人情報の不適切な取扱いについて発表した。
IPAは、「コンピュータウイルス・不正アクセスの届出事例[2021年上半期(1月~6月)]」を公開した。
IPAは、サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化できるWebサービス「サイバーセキュリティ経営可視化ツール」を公開した。
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月27日、「ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第2四半期(4月~6月)]を発表した。
