「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.03.28(木)

「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

特集 コラム
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●Facebook、他人のウォールに許可なく投稿できた脆弱性

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

過激な方法で、Facebookとしてはいつも脆弱性報告者に支払われることになっている報奨金の対象からも外されたようなんだにゃー。でも、脆弱性の指摘が無視されて修正されないときにはどうすればいいか考えさせられるにゃー。

●ブロードバンドルーターの脆弱性によりOCNのアカウントが盗まれる

NTTコニュニケーションズの運営するISPのOCNでは、接続に利用されているロジテック社のブロードバンドルーターの脆弱性を突かれて、認証IDとパスワードが盗まれる問題があるんだにゃー。それを解決するためにOCNの方で脆弱性検査を行うんだってにゃー。

勝手にユーザーの機器をチェックするのはどうかという意見もあるかもしれないけど、ユーザーを守るためなんだろうからしょうがないと思うんだにゃー。またこのルーターを使っているのはOCNのユーザーだけじゃないはずだから、今一度自分や会社で使ってるルーターの機種をチェックしてファームをアップデートした方がいいと思うんだにゃー。
http://www.ntt.com/release/monthNEWS/detail/20130820.html

●第二四半期はサーバーのミドルウェアとアカウントリスト攻撃が増えている傾向

トレンドマイクロ株式会社から、この4月から6月のセキュリティ動向を分析した報告書「2013年第2四半期セキュリティラウンドアップ」が公開されているんだにゃー。これによると、サーバーのミドルウェアを突いた攻撃や、すでに漏れているIDとパスワードのリストを使った攻撃が増えているんだってにゃー。

確かに他者から漏れたリストが使われて攻撃を受けているってプレスリリースをよく見かけるようになった気がするにゃー。パスワードの使い回しは止めてってお願いもよく見るけど、みんな変更しないから攻撃が続いているんだろうにゃー。
http://jp.trendmicro.com/jp/about/news/pr/article/20130815031323.html

●携帯電話のフェムトセルが侵入されてクローン携帯が作成される

携帯電話の電波の届きづらい場所で電波信号の領域を広げるために使うフェムトセルのエクスプロイトが公開され、システムの管理者権限を奪われることがわかったんだにゃー。
これによって音声とSMSを傍受するだけでなく、クローン携帯が作成できたんだにゃー。

現在はパッチが適用され、侵入はできなくなっているみたいだけど、いったん侵入できたら携帯電話のクローンが簡単に作成できるなんて驚きなんだにゃー。

・ハッカーはフェムトセルへの侵入で携帯電話を傍受し、さらにクローン携帯を作る~「あなたはフェムトセルを完全に見捨てるべきだ」(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/09/32254.html

●HTML5の時間計測機能によってブラウザで開いたページの盗み見が可能に

HTML5ではrequestAnimationFrameというアニメーションに関するメソッドがサポートされているんだけど、このメソッドを使いページのデータや履歴の盗み見が可能になるんだにゃー。

ブラウザがレンダリングする時間や再描画のタイミングを計ることによって、ブラウザの履歴を知ることができるんだって。また、フィルタする時間の違いによってインラインフレーム内のWebサイトに書かれているデータを解読することができるそう。時間の違いでデータを推測するなんてびっくりだけど、防げないのは困るんだにゃー。

・バッドタイミング:HTML 5 の新しい策略でハッカーはブラウザの覗き見が可能に~あなたのレンダリングエンジンは誤差 1,000 分の 1 秒以下の精度。それでどんな問題が起こるというのか?(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/19/32286.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×