脆弱性と脅威
Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
2022 年 6 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
2022.06.26(日)
- 注目検索ワード
2022 年 6 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
世界経済フォーラム(World Economic Forum、WEF)は、同団体が主導する野心的なプロジェクト、アトラス・イニシアティブで、オープンソースの情報を活用したサイバー犯罪の生態系マップを作成しようと取り組んでいる。
昨秋、東京電力パワーグリッドによる電力会社のセキュリティ対策のアウトラインについて語られる講演が行われた。登壇者は同社サイバーセキュリティセンター 岡部 直 氏だ。なかなかない機会である。取材したことは言うまでもない。
Microsoft が「Windows Insider」テストプログラムのウェブページの証明書を更新するのを忘れていた。
2022 年 4 月に、Apache Struts の、遠隔からの任意のコードが実行可能となる脆弱性が公開されています。
防衛研究所が「ウクライナ戦争の衝撃」を刊行しています。この書籍は、PDF で無償配布されています。ウクライナ戦争を通じて、各国の立ち位置や課題を整理するには良書かと思います。
アメリカ軍は、ロシアの不法侵略への対応として、ウクライナを支援する攻撃的サイバー作戦を実行した、とアメリカ・サイバー軍司令官ポール・ナカソネ大将が述べた。
質量効果(Mass Effect)とは、冶金の世界では素材の質量によって内部まで焼き入れがされない状態を意味する。医学の世界では(主にガン)細胞などが圧力や刺激によって増殖が加速する現象を指す。サイバーセキュリティでは…
どこといって特徴のない声だ。妙に淡々と落ち着いているのが気味悪い。それにしても電話番号まで把握されているのは驚きだ。
よくあるスパムの一種ではない。なぜなら書いてあることが全て事実だ。言葉使いはていねいだが、どうみても脅迫だろう。会ってオレから金を巻き上げるつもりなのか?
自称革命家だけあって、自分たちが革命を起こすことを夢見て話している。普通の女の子なら恋愛話だろ。こいつらのガールズトークは金と暴力と政治だ。
「父親と母親のどっちを自分の手で殺したい? 両方でもいいけど、最初はきついと思う」
「テクカン2022」の「テクカン」が何の略か言い当てられる読者はまずいないと断言できる。記者がその一人だった。取材が始まってしばらく経過したところで「あ…。これ『テクノロジーカンファレンス』の略じゃないんだ…」そう気づいたとき記者の背筋を戦慄が走った。
日本法人から出された今回の機能追加で、イスラエル生まれアメリカ育ちの内部脅威対策製品がいかに日本市場向けに洗練され、そして利用範囲と可能性が拡大するのか、取材した。
銀行強盗の被害が起きても当の銀行が金庫を製造したり警備システムを開発したりはしない。サイバー攻撃を受けて財務会計情報が盗まれたとしても財務会計ソフトの会社がセキュリティプロダクトを開発したりはしない。餅は餅屋に任せるということだ。
「Microsoftさん、Microsoftさん、スクリーンショットを禁止するにはどうしたらいいの?」「それはね……」などという答は決して返っては来ない。そんなことを聞いたりしようものなら、Microsoft から FBI に通報すらされかねない。
世界経済フォーラム(World Economic Forum、WEF)は、同団体が主導する野心的なプロジェクト、アトラス・イニシアティブで、オープンソースの情報を活用したサイバー犯罪の生態系マップを作成しようと取り組んでいる。
Microsoft が「Windows Insider」テストプログラムのウェブページの証明書を更新するのを忘れていた。
アメリカ軍は、ロシアの不法侵略への対応として、ウクライナを支援する攻撃的サイバー作戦を実行した、とアメリカ・サイバー軍司令官ポール・ナカソネ大将が述べた。
米国証券取引委員会(SEC)は、暗号通貨詐欺やその他のサイバー犯罪を取り締まるための特別部隊を 20 人増員するつもりだ。
2022 年 6 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
2022 年 4 月に、Apache Struts の、遠隔からの任意のコードが実行可能となる脆弱性が公開されています。
2022 年 1 月に、データベースソフトウェアである Redis に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
2022 年 1 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。
![防衛研究所の注目書籍 PDF 無償公開/リスク移転後の万が一/露 情報操作 見本市状態 ほか [Scan PREMIUM Monthly Executive Summary]](/imgs/p/R6O9BpFTaEW-PJL4ByThnm8IJAfaBQQDAgEA/38381.jpg)
防衛研究所が「ウクライナ戦争の衝撃」を刊行しています。この書籍は、PDF で無償配布されています。ウクライナ戦争を通じて、各国の立ち位置や課題を整理するには良書かと思います。
中国の APT グループによるロシアに対しての攻撃も報告されています。第 56 ブラゴベシチェンスキー赤旗国境警備分遣隊や、この地域に詳しい関係者や軍人が標的である可能性が指摘されていますので、ロシア連邦軍に関連した情報収集とみた方が良さそうです。
ウクライナに関連したサイバー関連は多数報じられていますが、軍事的な面で注目なのは、いわゆる「鉄道戦争」と呼称されるベラルーシ鉄道システムへのハッキングや列車の走行妨害です。
連日、報道の続くウクライナ情勢ですが、ウクライナの IT 軍「 IT ARMY OF UKRAINE 」とロシアのサイバー軍の活動も非常に活発です。
何だね君はぁ! 「どうも!初参りは感染が怖くて時間をずらして行きました。さてさて始まった 2022 年は、何の元年になるんだろう。
何だね君はぁ!「ども!コロナ禍で社会が停滞するかと思ったら、思いのほか景気は落ち込まず、今年も数々の事件が起きてセキュリティ対策に終わりはない感じです。
何だね君はぁ!「ども!テレワークだと昼休みに弁当を食べながらアニメが見られて最高です。冬アニメの消化がとても捗ります!」
企業イメージ以上に、既存顧客のサービスをどうするか、この責任は大企業では逃れられない。逆に逃れたいなら、出資という形で別会社にする。この線引きによって、事件が発生していない他社においても、必要な対応、責任が見えてくる
「Microsoftさん、Microsoftさん、スクリーンショットを禁止するにはどうしたらいいの?」「それはね……」などという答は決して返っては来ない。そんなことを聞いたりしようものなら、Microsoft から FBI に通報すらされかねない。
株式会社ティエスエスリンクは4月11日、サーバやパソコンから共有ファイルのコピーを禁止する、情報漏えい対策ソフト「コプリガード Ver.6.0 スタンダード版」を同日から発売すると発表した。
株式会社ティエスエスリンクは1月17日、Webコンテンツの情報漏えい対策ソフト「パイレーツバスター AWP Ver.11.2」の同日からの発売を発表した。最新バージョンでは、新たに Windows 11 に対応している。
株式会社ティエスエスリンクは1月11日、社内共有ファイルの情報漏洩対策ソフトの新バージョン「トランセーファー PRO Ver.3.0」と、同製品の新しいオプション「Active Directory 連携オプション」を発売した。
ペネトレーションテストはどのようなタイミングで依頼すればよいのかについて語ります
ペネトレーションテストで実際に最近、よく見つかる脆弱性を取り上げます
システム侵入後にペネトレーションテストでは実際にどのような調査を行い、何を探索しているのか、その実際について語ります
GMOサイバーセキュリティ byイエラエ株式会社が、今秋開催されるセキュリティカンファレンス「CODE BLUE 2022」のTop Sponsorに入った。
定年まで逃げ切らんと全力を尽くす「空に聳える低い志」の紳士と対極的に、新卒として社会に出たときから、あらゆる約束を反故にされ奪われた山田の手によってこの仕事が完成されたとき、S4 というプロジェクトが必然に変わる。
株式会社クラフは5月24日、「誰の手にもセキュリティがいきわたる社会」を目指すプロジェクト「S4」のプランを公開した。
2022年2月22日にβ版を公開し、現在クローズドベータテストを行っている、中小企業向け無料資産管理ソフト「S4(エスフォー)」。
脆弱性診断や監視サービスを提供する株式会社クラフが、2022年2月22日火曜日のCBT(クローズドベータテスト)版リリースに向けて最終段階の準備を進めているプロジェクトがS4(エスフォー)である。
デジサート・ジャパン合同会社は6月、無料ウェビナー「フィッシングメールを見分ける~DMARC、BIMI、VMC(認証マーク証明書)とは?~」を7月6日に開催すると発表した。
以前、大規模ISP で加入者向けのメールサーバを運用されているお客さんとお話していた時、マガジンミステリー調査班の一員であるかのような気分になったことがあります。
株式会社TwoFiveは5月19日、日経225企業のDMARC導入についての調査結果を発表した。
メールやショートメッセージのフィッシング対策を行う上で、「短縮URL」や「ダイナミックDNS」と呼ばれる分野のサービスが問題になっています。
クラウドストライク株式会社は6月、Webセミナー「ランサムウェアに苦しむ組織をサポートする:クラウドストライクの知見と実際の技術」を6月14日に開催すると発表した。
「CrowdStrike アドバーサリーカレンダー」は「アドバーサリー(敵性国家)」に関わる、サイバー攻撃に影響を及ぼす可能性がある(あるいは過去影響を及ぼした)地政学的出来事の情報を提供している点に最大の特長があります。記事末尾には当月の記載事項を付記します。
今年もこの時期になりました。
日本プルーフポイント株式会社は6月17日、SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能を発見したと同社ブログで発表した。
プルーフポイントは、CISO の考え方を理解するために、世界 14か国の 1,400 人の CISO を対象に調査を行い、彼らの考えと知見を第二回目となる CISO 意識調査レポート「2022 Voice of the CISO」にまとめました。
日本プルーフポイント株式会社は5月31日、「2022 Voice of CISO Report(2022年 CISO 意識調査レポート)」の日本語版を発表した。Proofpointでは全世界1,400人の CISO を対象に、この1年の体験談と今後の分析について調査を行っている。
日本法人から出された今回の機能追加で、イスラエル生まれアメリカ育ちの内部脅威対策製品がいかに日本市場向けに洗練され、そして利用範囲と可能性が拡大するのか、取材した。
株式会社LogStareは5月24日、親会社である株式会社セキュアヴェイルと共催する「セキュリティリスクを分析する“実践型” ログ分析ウェビナー」の内容について発表した。
株式会社LogStareは4月26日、親会社である株式会社セキュアヴェイルと共催で「セキュリティリスクを分析する“実践型” ログ分析ウェビナー」の開催を発表した。
株式会社LogStareは4月12日、古河ネットワークソリューション株式会社と技術提携し、マネージド・セキュリティ・プラットフォーム「LogStare」での古河ネットワークソリューションのアクセスVPNルータ FITELnet F220 及び F221への対応を発表した。
株式会社LogStareは4月5日、同社製品におけるSpringの脆弱性の影響について発表した。
イオン株式会社は6月16日、同社とコンサルティング契約を締結していたデロイト トーマツ コンサルティング合同会社による秘密情報の漏えいについて発表した。
スーパーマーケット等を運営する株式会社バローホールディングスは6月10日、同社の夏ギフトのダイレクトメール配信での個人情報漏えいについて発表した。
エイチ・アンド・エム ヘネス・アンド・マウリッツ・ジャパン株式会社は6月15日、顧客の個人情報漏えいについて発表した。
LINE株式会社は6月10日、LINEギフトで登録したほしいものリスト情報が友だち以外のユーザーに配信される不具合について発表した。
第一生命保険株式会社は6月3日、同社が提供する「年金通信メール通知サービス」での個人情報流出の可能性について発表した。
岩手県釜石市は5月26日、市民の個人情報をメール添付し、自宅パソコンに送信することで情報を漏えいしていた職員2名の懲戒処分について発表した。
東京都調布市は4月25日、同市職員の懲戒処分について発表した。
