• 

  研修・セミナー・カンファレンス 2019.6.13(Thu) 8:20

  脆弱性捕物控：Gooogle Security Assurance Team 日々之御仕事

  GoogleにはPROJECT ZEROという市井ソフトウェアの脆弱性発見プログラムがあるが、自社製品についてもリリース前のセキュリティ監査やバグや脆弱性をFIXさせるチーム、Gooogle Security Assurance Teamが存在する。

• 「ハッキングにはハッキングで報復」英閣僚発言、NATO同調か（The Register）

  ハント氏は次のようにも述べている。「サイバー攻撃による他国への干渉が一般的なものになってしまえば、民主主義に対する国民の信頼を独裁国家が揺るがす危険がある」

  2019.6.10(Mon) 8:10

• TLPT（Threat-Led Penetration Test）実施手順

  清水氏がこれまでに TLPT チームの一員として参加し経験した TLPT の具体的実施手順について話を聞いた。

  2019.6.4(Tue) 8:15

• Scan PREMIUM Monthly Executive Summary 2019 年 5 月のふりかえり：G20 大阪サミットの情報収集か

  同脆弱性の検証コードは世界中で開発中ですので、悪用を目的とした攻撃ツールが登場するのも時間の問題とされています。なお、公開されている検証コードの開発状況は BlueKeepTracker などで確認することができます。

  2019.6.4(Tue) 8:10

• Wi-Fi 起動爆弾を選挙中に発見、中東以外では初の事例（The Register）

  警察によると、逮捕者の一人は爆弾製造の専門家で、Wi-Fi 起爆機構に取り組んでいたという。爆弾に Wi-Fi 信号を使用することは中東では数例あったものの、その他の地域では聞かれていなかった。今回が中東以外で初めての事例と考えられている。

  2019.6.3(Mon) 8:15

• 車両ナンバー読取り機器大手に攻撃、機微情報ダークウェブに公開（The Register）

  しかし今週木曜日、「 Boris Bullet-Dodger (間一髪で逃げ切るボリス) 」と名乗る人物が The Register に連絡してきて、ハッキングを警告、その証拠として Perceptics 社企業ネットワークから密かに持ち出されたファイルのリストを示した。

  2019.5.30(Thu) 8:15

• ACD（攻撃的サイバー防衛）はどこまで許されるのか

  攻撃は最大の防御という言葉がある。脅威インテリジェンス、ハックバック、防衛的サイバー攻撃といった行為は、アクティブサイバーディフェンス（攻撃的サイバー防衛）と呼ばれ、しばしば議論の元になる。

  2019.5.29(Wed) 8:15

• Shopware において Object Instantiation により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

  EC サイト向け CMS ソフトウェアである Shopware に、悪意のある Phar ファイルをアップロードして、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。

  2019.5.28(Tue) 9:10

Scan PREMIUM 会員限定記事特集をもっと見る

• 

  国際 2019年6月10日

  「ハッキングにはハッキングで報復」英閣僚発言、NATO同調か（The Register）

  ハント氏は次のようにも述べている。「サイバー攻撃による他国への干渉が一般的なものになってしまえば、民主主義に対する国民の信頼を独裁国家が揺るがす危険がある」

• Wi-Fi 起動爆弾を選挙中に発見、中東以外では初の事例（The Register）

  警察によると、逮捕者の一人は爆弾製造の専門家で、Wi-Fi 起爆機構に取り組んでいたという。爆弾に Wi-Fi 信号を使用することは中東では数例あったものの、その他の地域では聞かれていなかった。今回が中東以外で初めての事例と考えられている。

  2019年6月3日

• 車両ナンバー読取り機器大手に攻撃、機微情報ダークウェブに公開（The Register）

  しかし今週木曜日、「 Boris Bullet-Dodger (間一髪で逃げ切るボリス) 」と名乗る人物が The Register に連絡してきて、ハッキングを警告、その証拠として Perceptics 社企業ネットワークから密かに持ち出されたファイルのリストを示した。

  2019年5月30日

• 500 万人の「人声」録音データ消去へ、生体認証データが GDPR 抵触（The Register）

  歳入関税庁 ( HMRC )、即ち税務署は、生体 ID 作成に利用した 500 万人の音声録音の消去に同意した。

  2019年5月27日

The Register特集をもっと見る

• 

  脆弱性と脅威 2019年5月28日

  Shopware において Object Instantiation により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

  EC サイト向け CMS ソフトウェアである Shopware に、悪意のある Phar ファイルをアップロードして、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。

• WordPress のプラグイン Social Warfare において遠隔のファイルを読み込み任意のコードを実行されてしまう脆弱性（Scan Tech Report）

  WordPress のプラグインである Social Warfare において、読み込み先 URL の検証不備によって、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

  2019年5月9日

• Webmin において特定の権限を持つユーザを悪用して遠隔から任意のファイルが実行可能となる脆弱性（Scan Tech Report）

  OS 管理ツールである Webmin に、遠隔から任意のファイルをアップロードすることが可能となる脆弱性が報告されています。

  2019年4月15日

• Drupal において RESTful Web Services モジュールのシリアル化解除処理の不備を悪用して遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

  世界的に利用されている CMS である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

  2019年4月1日

Scan Tech Report特集をもっと見る

• 

  脆弱性と脅威 2019年6月4日

  Scan PREMIUM Monthly Executive Summary 2019 年 5 月のふりかえり：G20 大阪サミットの情報収集か

  同脆弱性の検証コードは世界中で開発中ですので、悪用を目的とした攻撃ツールが登場するのも時間の問題とされています。なお、公開されている検証コードの開発状況は BlueKeepTracker などで確認することができます。

• Scan PREMIUM Monthly Executive Summary 2019.4

  先月は、Kaspersky 社の主催する SECURITY ANALYST SUMMIT がシンガポールで開催され、多くの注目すべき脅威情報が発表されました。中でも、新たな APT フレームワーク「 TajMahal 」は、技術的な観点以外でも謎めいており、注目が集まりました。

  2019年5月8日

Scan PREMIUM Monthly Executive Summary特集をもっと見る

• 

  特集 2019年4月23日

  ここが変だよ日本のセキュリティ 第38回 「転生したら CSIRT だった件」

  これまでのお話で分かると思うけど、CSIRT体制構築は成熟期に向かう過渡期にあり、評価や話題性でみると終焉に向かいつつある。低コストで維持しやすい組織を目指した方がいい。

• ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

  既に、CSIRT体制構築ブームに乗って、日本シーサート協議会に登録、あわよくばIT系のニュースで事例紹介されたい、なんてCSIRTゴールは飽きられ始めている。新鮮味が薄くなったんだ。ITに疎い経営者も少なくなった。

  2019年4月18日

• [配信予告] ＣＳＩＲＴの終焉？ 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行

  連載「ここが変だよ日本のセキュリティ」は、その内容はもちろんのこと、毎回記事に添付される、強烈な存在感を放つ、純愛を貫く著者近影写真もメッセージに力強い説得力を加えてきました。

  2019年4月15日

• ここが変だよ日本のセキュリティ 第36回 「２０１８セキュリティ流行語大賞」

  選定基準と言っても、個人的にインパクトがあって、突っ込みを入れておかねばならんと思った奴を挙げていきます。特に、言葉から受ける印象に対して注意が必要な奴は、そこんとこ厳しくいかせてもらいます！

  2018年12月26日

ここが変だよ日本のセキュリティ特集をもっと見る

• 

  おしらせ 2019年2月25日

  [おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ

  このたび ScanNetSecurity 編集部は多用のため〆切に遅れがちな寄稿者からのスムースな原稿入稿のために「ノリスケ方式」を採用したことを公表いたします。

• Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  犯罪が組織化したということは、組織間の連絡や他組織との情報交換が盛んに行われるようになったということだ。言うまでもなく、そのコミュニケーションの中心となっているのはインターネットである。ではどこでそのようなコミュニケーションが図られているのか。

  2017年10月6日

• Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  ニュースを始めとしたメディアで毎日のように取り上げられるサイバー犯罪。それらの犯罪の裏にどのようなアクターが存在しているのか。僕が話をする前にちょっと想像してみてほしい。彼らはどんな目的で、どんな環境で攻撃を仕掛けているのか。

  2017年9月8日

• Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  ダークウェブの犯罪者コミュニティを巡回するヨハンが、あるロシア人の投稿を見つけた。「α社製造のATMのハッキングモジュール作りました。だれかほしい人いませんか？」

  2017年7月14日

Heart of Darknet - インターネット闇の奥特集をもっと見る

• 

  特集 2018年12月19日

  ペネトレーションテスターは見た！ 第3回「ペンテスターだって負ける日もある。だって人間だもの。」

  実は、筆者の10年以上の長いペネトレーションテスターキャリアにおいて、これが初めての負け試合だった。そして、まだこの時点ではさらに半年後にまさか2つ目が待っていようとは筆者自身知る由もなかったのである。

• ペネトレーションテスターは見た！ 第2回「誰が困る？ 脆弱性出すぎ問題」

  脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。

  2017年5月24日

• ペネトレーションテスターは見た！ 第1回「ペンテスターの苦悩 ～ 脆弱性が見つからないのは○○だから？」

  そんな中、転職活動の中でエージェントからサイバーディフェンス研究所というとっても香ばしい社名の会社の紹介を受ける。

  2017年3月23日

• [配信予告] 新連載「ペネトレーションテスターは見た！」開始のおしらせ

  3月末から、現役ペネトレーションテスターによるコラム「ペネトレーションテスターは見た！（仮題）」の連載開始を予定しております。ご執筆いただくのは、株式会社キーコネクト 代表取締役 利根川 義英 氏。

  2017年3月15日

ペネトレーションテスターは見た！特集をもっと見る

• 

  特集 2017年1月24日

  piyolog Mk-II 第11回 「佐賀県学校教育ネットワークへの不正アクセス事件を振り返り気になったコト」

  今回の事件は複数の専門家から見解が示されています。しかし実際はどうだったのでしょうか。

• piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

  Anonymousによる攻撃示唆の投稿は合計すると100以上にも及び、障害も似たような件数が発生していたものと考えられますが、それらすべてが報道されていたわけではありません。

  2016年5月24日

• piyolog Mk-II 第9回「巷で見かける不正広告問題とその対応での悩みゴト」

  残念ながら攻撃者から見れば広告経由で拡散できる手段は魅力的に映っているのだろうと思います。今後も不正広告の事例が出てくるはずです。業界としての取り組みを期待するとともに、広告は身近な存在であるために油断せずに自衛手段を行っておきたいものです。

  2015年11月2日

• piyolog Mk-II 第8回「マルウェア感染により国内混迷、慌てて対策をとる前に考えるコト」

  しかし、カスペルスキーが6月4日に発表した標的型攻撃のキャンペーン「Blue Termite」は大変興味深いものでした。外部の指令サーバーへ通信を行っていたIPアドレスが少なくとも300個確認され、内73%が国内のもので、この中には日本年金機構も含まれていたそうです。

  2015年6月30日

piyolog Mk-II特集をもっと見る

• 

  インシデント・事故 2019年6月14日

  西淀川区役所にて生活保護費にかかる申請書類を紛失（大阪市）

  大阪市は6月13日、西淀川区役所保健福祉課（生活支援）にて、窓口で受領した生活保護費にかかる申請書類の紛失と事務処理遅延により通院移送費の支給に遅延が発生したことが判明したと発表した。

• Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明（ZIG）

  株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

  2019年6月14日

• 府立今宮工科高等学校にて生徒の個人情報が記載された「記録簿」を紛失（大阪府）

  大阪府は6月11日、大阪府立今宮工科高等学校定時制の課程にて、生徒の個人情報が記載された「記録簿」を紛失したと発表した。

  2019年6月12日

• 「平成31年度多面的機能支払交付金」に係る書類5件を紛失（新潟県）

  新潟県は6月11日、同県の農地管理課内にて個人情報を含む書類の紛失が判明したと発表した。

  2019年6月12日

顧客情報流出 , 個人情報漏えい特集をもっと見る

• 

  脆弱性と脅威 2018年12月25日

  横河電機のVnet/IPオープン通信ドライバに、機能を停止される脆弱性（JVN）

  IPAおよびJPCERT/CCは、横河電機が提供するVnet/IPオープン通信ドライバに、DoSの脆弱性が存在すると「JVN」で発表した。

• セイコーエプソンの複数のプリンタ、スキャナ製品に脆弱性（JVN）

  IPAおよびJPCERT/CCは、セイコーエプソンが提供する複数のプリンタおよびスキャナ製品に、複数の脆弱性が存在すると「JVN」で発表した。

  2018年12月7日

• パナソニック製Wi-Fi SDカードリーダーライターに複数の脆弱性（JVN）

  IPAおよびJPCERT/CCは、パナソニックが提供するWi-Fi SDカードリーダーライター「BN-SDWBP3」に複数の脆弱性が存在すると「JVN」で発表した。

  2018年11月21日

• ECサイト構築システム「EC-CUBE」に任意の操作を実行される脆弱性（JVN）

  IPAおよびJPCERT/CCは、ロックオンが提供するオープンソースのショッピングサイト構築システム「EC-CUBE」にセッション固定の脆弱性が存在すると「JVN」で発表した。

  2018年4月18日

Japan Vulnerability Notes（JVN）特集をもっと見る

• 

  製品・サービス・業界動向 2019年5月21日

  入退管理システムのセキュリティ対策要件チェックリストを公開（IPA）

  IPAは、「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開したと発表した。

• 脆弱性届出「その他実装上の不備」が1位に--四半期レポート（IPA）

  IPAは、2019年第1四半期（1月から3月）における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。

  2019年4月26日

• 2019年1QのJVN登録状況：脆弱性「XSS」、製品「Debian GNU/Linux」最多（IPA）

  IPAは、2019年第1四半期（1月から3月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

  2019年4月25日

• 相談件数が前四半期から約25％減少、偽警告のみ増加（IPA）

  IPAは、「情報セキュリティ安心相談窓口の相談状況［2019年第1四半期（1月～3月）］」を発表した。

  2019年4月24日

独立行政法人 情報処理推進機構 （IPA）特集をもっと見る