「「BIND 9」にまた重大な脆弱性が発見されたんだにゃーの巻」(8月5日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2020.05.29(金)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

「「BIND 9」にまた重大な脆弱性が発見されたんだにゃーの巻」(8月5日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

DNSサーバーアプリケーションの「BIND 9」にDoS攻撃を受ける脆弱性が見つかったんだにゃー。リソースレコードのRDATA部分の取り扱いに問題があって、DNS問い合わせによって異常終了するんだにゃー。夏恒例のBINDの脆弱性なんだにゃー。

特集 コラム
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●「BIND 9」にDoS攻撃を受ける重大な脆弱性が発見される

DNSサーバーアプリケーションの「BIND 9」にDoS攻撃を受ける脆弱性が見つかったんだにゃー。リソースレコードのRDATA部分の取り扱いに問題があって、DNS問い合わせによって異常終了するんだにゃー。夏恒例のBINDの脆弱性なんだにゃー。

この脆弱性はBIND 9のDNSライブラリに問題があるらしく、named以外のアプリケーションにも影響があるみたいなので、DNSを管理していないからといって安心はできないんだにゃー。管理者の皆さんはパッチを当てたり対応が大変だと思うけどがんばってほしいんだにゃー。

●BlackHat/DEFCON 2013開催される

ラスベガスでは毎年恒例のセキュリティカンファレンス、BlackHatとDEFCONが開催されたんだにゃー。日本からもたくさんのセキュリティ関係者が参加してたみたいで、りくは編集部から出られないからうらやましいんだにゃー。

BlackHatでもDEFCONでも新たなセキュリティのトピックや脆弱性に関する話が盛りだくさんで、発表者の資料を読むだけでも勉強になるんだにゃー。そしてCTFに参加されたチームSutegoma2の方々、お疲れ様なんだにゃー。

●DDoS攻撃の規模、速度、複雑性は拡大傾向に

アーバーネットワークスの発表によると、2013年上半期中のDDoS攻撃の規模、速度、複雑性は拡大傾向にあるんだって。特に1Gbps以上の攻撃が占める割合が46.5%と、2012年上半期の13.5%から大幅に上昇しているんだにゃー。

最近ハクティビズムのためのDDoS攻撃は収まってきた気はするけど、まだまだDDoSは続いているみたい。原理的にも防ぐのはなかなか大変だと思うけど、管理者の皆さんがんばってくださいにゃー。
http://www.arbornetworks.com/corporate/blog/4922-q2-key-findings-from-atlas

●ほとんどのChromeユーザーは警告メッセージを気にしないとの調査結果

Webサイトを見ているとき、たまにブラウザーが「あなたが表示しようとしているWebサイトは偽物のページである可能性、あるいはマルウェアを含んでいる可能性がある」という警告を発することがあるけど、Chromeユーザーは気にせず先に進む人がほとんどなんだってにゃー。

理由はよくわからないけど、偽陽性が多いからってことも考えられているみたい。確かに何度も何度も警告が出ると、警告の内容を見るのが面倒になって、はいはいOKOKってなっちゃうよね。ペットボトルが置かれてると最初は嫌だけど、毎日見てると平気になるみたいなものだろうにゃー。

・「ユーザーは Chrome のセキュリティ警告を気に留めない」Google の調査で明らかに~ ,500 万件のブラウザ警告メッセージを追跡調査したところ、「Chrome ユーザーのほとんど警告を無視」という結果に(The Register)
http://scan.netsecurity.ne.jp/article/2013/07/30/32170.html

●中国のセキュリティ研究者たちが、新たなAndroidの脆弱性を発見

先日発表されて大騒ぎとなったAndroidのデジタル署名に関する脆弱性に続き、今度は中国のセキュリティ研究者がデジタル署名を改ざんすることなくスマートフォンのアプリに変更を加えられる別の脆弱性を発見したんだにゃー。

どちらの脆弱性もAndroidアプリパッケージを改ざんしてトロイの木馬を仕掛けたものを、オンラインマーケットプレイスへアップロードすることができるんだにゃー。しばらくは本当に信頼できるアプリしかインストールしちゃいけないのかにゃー。

・「すべての Android がやられる」パート 2:Java の欠陥、隠されたトロイの木馬~アップデート推進中の Google、だが公開時期は?(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/01/32196.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Cybozu Desktop Windows版」に任意コード実行の脆弱性(JVN) 画像

「Cybozu Desktop Windows版」に任意コード実行の脆弱性(JVN)
Google Chrome の InferReceiverMapsUnsafe 関数における Type Confusion の脆弱性(Scan Tech Report) 画像

Google Chrome の InferReceiverMapsUnsafe 関数における Type Confusion の脆弱性(Scan Tech Report)
Schneider Electric製タッチスクリーンソフトに複数の脆弱性(JVN) 画像

Schneider Electric製タッチスクリーンソフトに複数の脆弱性(JVN)
PowerDNS Recursorに複数の脆弱性、アップデートを呼びかけ(JPRS) 画像

PowerDNS Recursorに複数の脆弱性、アップデートを呼びかけ(JPRS)
Apple「Xcode」にgitの認証情報が漏えいする脆弱性(JVN) 画像

Apple「Xcode」にgitの認証情報が漏えいする脆弱性(JVN)
「Apache Tomcat」にコード実行の脆弱性、アップデート公開(JVN) 画像

「Apache Tomcat」にコード実行の脆弱性、アップデート公開(JVN)

インシデント・事故 記事一覧へ

コールセンター業務委託先で新型コロナウイルス相談記録データを誤送信(愛媛県、NTTマーケティングアクト) 画像

コールセンター業務委託先で新型コロナウイルス相談記録データを誤送信(愛媛県、NTTマーケティングアクト)
問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市) 画像

問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市)
外部から不正にWebサイトのプログラム書き換え(高知県言語聴覚士会) 画像

外部から不正にWebサイトのプログラム書き換え(高知県言語聴覚士会)
livedoor IDへの大規模な不正ログイン検知、大部分は自動遮断するも一部は成功(LINE) 画像

livedoor IDへの大規模な不正ログイン検知、大部分は自動遮断するも一部は成功(LINE)
「名探偵コナン検定」案内メール誤送信でアドレス流出、本誌取材に回答なし(サイバード) 画像

「名探偵コナン検定」案内メール誤送信でアドレス流出、本誌取材に回答なし(サイバード)
イベント案内メール誤送信、使われなかった専用送信システム(キッコーマンこころダイニング) 画像

イベント案内メール誤送信、使われなかった専用送信システム(キッコーマンこころダイニング)

調査・レポート・白書 記事一覧へ

IoTと5Gのセキュリティ対策進捗状況(総務省) 画像

IoTと5Gのセキュリティ対策進捗状況(総務省)
コロナで需要急伸サービスが標的 -- DDoS攻撃レポート(カスペルスキー) 画像

コロナで需要急伸サービスが標的 -- DDoS攻撃レポート(カスペルスキー)
フィッシング詐欺成功率、アウェアネストレーニングでどこまで改善したか(KnowBe4 Japan) 画像

フィッシング詐欺成功率、アウェアネストレーニングでどこまで改善したか(KnowBe4 Japan)
筋の良いペネトレーションテストのシナリオとは -- 診断レポート春号公開(ラック) 画像

筋の良いペネトレーションテストのシナリオとは -- 診断レポート春号公開(ラック)
ログイン可能での注意喚起、対象が千件近く増加--NOTICE取組状況(総務省、NICT、ICT-ISAC) 画像

ログイン可能での注意喚起、対象が千件近く増加--NOTICE取組状況(総務省、NICT、ICT-ISAC)
2019年のサイバー攻撃、航空関連企業の被害事例分析 ~ CrowdStrikeの「高度で継続的」研究成果から 画像

2019年のサイバー攻撃、航空関連企業の被害事例分析 ~ CrowdStrikeの「高度で継続的」研究成果から

研修・セミナー・カンファレンス 記事一覧へ

打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊 画像

打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊
日本への攻撃状況と脅威インテリジェンスの有効性を解説するウェビナー(CrowdStrike) 画像

日本への攻撃状況と脅威インテリジェンスの有効性を解説するウェビナー(CrowdStrike)
中国から届いた誤字脱字メール ~ 医療ISACの現状と課題 画像

中国から届いた誤字脱字メール ~ 医療ISACの現状と課題
アフターコロナでセキュリティ業界はどう変わる、セミナー開催(SHIFT SECURITY) 画像

アフターコロナでセキュリティ業界はどう変わる、セミナー開催(SHIFT SECURITY)
ECサイトセキュリティと個人情報保護をテーマにセミナー開催(fjコンサルティング) 画像

ECサイトセキュリティと個人情報保護をテーマにセミナー開催(fjコンサルティング)
テレワークのセキュリティを主題に、上野宣氏招きウェビナー開催(GSX) 画像

テレワークのセキュリティを主題に、上野宣氏招きウェビナー開催(GSX)

製品・サービス・業界動向 記事一覧へ

クラウド環境向けの統合セキュリティ集中管理ソリューション(ファイア・アイ) 画像

クラウド環境向けの統合セキュリティ集中管理ソリューション(ファイア・アイ)
統合ソリューションにジェイズの国産分離ソリューション追加(NEC) 画像

統合ソリューションにジェイズの国産分離ソリューション追加(NEC)
講師 はせがわようすけ氏、PCI DSS 要件 6.5 安全なコーディング技法のオンライントレーニング(fjコンサルティング、セキュアスカイ・テクノロジー) 画像

講師 はせがわようすけ氏、PCI DSS 要件 6.5 安全なコーディング技法のオンライントレーニング(fjコンサルティング、セキュアスカイ・テクノロジー)
アフターコロナ時代に選ばれるセキュリティ会社とは~インターネット普及と同程度のインパクトに備える 画像

アフターコロナ時代に選ばれるセキュリティ会社とは~インターネット普及と同程度のインパクトに備える
自治体強靱化から5年、VDI のリプレース需要を狙う「OS分離」製品 画像

自治体強靱化から5年、VDI のリプレース需要を狙う「OS分離」製品
標準化フレームワークが「NIST SP800-171」に対応(NRIセキュア) 画像

標準化フレームワークが「NIST SP800-171」に対応(NRIセキュア)

おしらせ 記事一覧へ

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
Page Top
編集長就任10周年記念「宣ベロキャンペーン」中!
編集長就任10周年記念「宣ベロキャンペーン」中!

Scan PREMIUM が半額! こんな時期だからこそセキュリティの未来を考えるオンライン飲み会を開催
×