「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

特集 コラム

管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●Facebook、他人のウォールに許可なく投稿できた脆弱性

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

過激な方法で、Facebookとしてはいつも脆弱性報告者に支払われることになっている報奨金の対象からも外されたようなんだにゃー。でも、脆弱性の指摘が無視されて修正されないときにはどうすればいいか考えさせられるにゃー。

●ブロードバンドルーターの脆弱性によりOCNのアカウントが盗まれる

NTTコニュニケーションズの運営するISPのOCNでは、接続に利用されているロジテック社のブロードバンドルーターの脆弱性を突かれて、認証IDとパスワードが盗まれる問題があるんだにゃー。それを解決するためにOCNの方で脆弱性検査を行うんだってにゃー。

勝手にユーザーの機器をチェックするのはどうかという意見もあるかもしれないけど、ユーザーを守るためなんだろうからしょうがないと思うんだにゃー。またこのルーターを使っているのはOCNのユーザーだけじゃないはずだから、今一度自分や会社で使ってるルーターの機種をチェックしてファームをアップデートした方がいいと思うんだにゃー。
http://www.ntt.com/release/monthNEWS/detail/20130820.html

●第二四半期はサーバーのミドルウェアとアカウントリスト攻撃が増えている傾向

トレンドマイクロ株式会社から、この4月から6月のセキュリティ動向を分析した報告書「2013年第2四半期セキュリティラウンドアップ」が公開されているんだにゃー。これによると、サーバーのミドルウェアを突いた攻撃や、すでに漏れているIDとパスワードのリストを使った攻撃が増えているんだってにゃー。

確かに他者から漏れたリストが使われて攻撃を受けているってプレスリリースをよく見かけるようになった気がするにゃー。パスワードの使い回しは止めてってお願いもよく見るけど、みんな変更しないから攻撃が続いているんだろうにゃー。
http://jp.trendmicro.com/jp/about/news/pr/article/20130815031323.html

●携帯電話のフェムトセルが侵入されてクローン携帯が作成される

携帯電話の電波の届きづらい場所で電波信号の領域を広げるために使うフェムトセルのエクスプロイトが公開され、システムの管理者権限を奪われることがわかったんだにゃー。
これによって音声とSMSを傍受するだけでなく、クローン携帯が作成できたんだにゃー。

現在はパッチが適用され、侵入はできなくなっているみたいだけど、いったん侵入できたら携帯電話のクローンが簡単に作成できるなんて驚きなんだにゃー。

・ハッカーはフェムトセルへの侵入で携帯電話を傍受し、さらにクローン携帯を作る~「あなたはフェムトセルを完全に見捨てるべきだ」(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/09/32254.html

●HTML5の時間計測機能によってブラウザで開いたページの盗み見が可能に

HTML5ではrequestAnimationFrameというアニメーションに関するメソッドがサポートされているんだけど、このメソッドを使いページのデータや履歴の盗み見が可能になるんだにゃー。

ブラウザがレンダリングする時間や再描画のタイミングを計ることによって、ブラウザの履歴を知ることができるんだって。また、フィルタする時間の違いによってインラインフレーム内のWebサイトに書かれているデータを解読することができるそう。時間の違いでデータを推測するなんてびっくりだけど、防げないのは困るんだにゃー。

・バッドタイミング:HTML 5 の新しい策略でハッカーはブラウザの覗き見が可能に~あなたのレンダリングエンジンは誤差 1,000 分の 1 秒以下の精度。それでどんな問題が起こるというのか?(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/19/32286.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×