「省庁などを標的にした水飲み場型攻撃が行われていたんだにゃーの巻」(10月14日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

「省庁などを標的にした水飲み場型攻撃が行われていたんだにゃーの巻」(10月14日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

特集 コラム

管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●省庁などを標的にした水飲み場型攻撃が行われる

IEのゼロデイ脆弱性を悪用した、新たな手口のサイバー攻撃が起こっていたそう。特定のユーザー層が集まるWebサイトに不正プログラムが埋め込まれた、水飲み場型攻撃といわれるものなんだにゃー。

WindowsXPでIEを使って攻撃サイトを見てしまった人は正しいセキュリティ対策をしててもほぼ確実にウイルスに感染したんだにゃー。しかも国の省庁など特定の組織からの閲覧者だけがウイルスに感染するよう仕組まれていたんだって。国などの機密情報を狙った攻撃は、これまで以上に巧妙になってきたんだにゃー。
http://www.lac.co.jp/security/alert/2013/10/09_alert_01.html

●アドビのネットワークにサイバー攻撃、290万名分の顧客情報が漏えい

アドビ システムズ株式会社は10月3日に同社のネットワークが高度なサイバー攻撃を受け、顧客情報に不正アクセスされたと発表したんだにゃー。そして、AcrobatやColdFusionのソースコードも盗まれたそうなんだにゃー。

流出した情報にはクレジットカード情報と有効期限が含まれてるんだって。AdobeIDを持っている人や会社の担当者の人はすぐにパスワードを変更した方がいいと思うにゃー。
http://blogs.adobe.com/japan-conversations/

●「e+」に不正ログイン、第三者によるサービスの不正利用が行われる

9月27日から30日にかけて大手チケット予約サイトの「e+」に不正アクセスが行われ、実際に第三者によるサービスの不正利用も行われていたんだにゃー。個人情報の流出はないというけれど、心配だにゃー。

不正アクセスの手口は他のサービスから流出したと思われるIDとパスワードが使われているんだって。いろんなところで使われている流出したIDとパスワードって、いったいどこから流出したんだろうにゃー。
http://eplus.jp/info_1004

●PacSec 2013カンファレンスにおいて、第2回 Mobile Pwn2Own ハッキングコンテストの開催決定

11月11日から13日にかけて日本で行われる PacSec 2013カンファレンスにおいて、スマートフォンやタブレットの脆弱性を攻撃する大会、第2回 Mobile Pwn2Own ハッキングコンテストが開催されるんだにゃー。

Bluetooth や Wi-Fi、USB、NFC の欠陥を悪用し、ユーザとのやりとりをほとんど、あるいは全く必要とせずに侵入できる攻撃方法を発見したら5万ドル、Webブラウザーのエクスプロイトでは4万ドルもらえるんだって。どうにかして見つけてみたいものだにゃー。

・なあ……電波で携帯をハッキングする方法を知らないか?  7 万ドル払うよ~今年の Mobile Pwn2Own、賞金の準備は万端(The Register)
http://scan.netsecurity.ne.jp/article/2013/10/07/32637.html

●Yahoo! 脆弱性報告に報奨金を支払う新しい脆弱性報告システム始める
スイスを本拠地とするセキュリティ企業のHigh-Tech Bridgeによると、Yahoo!のメールアカウントを乗っ取れる可能性があるXSS脆弱性を発見して報告したんだけど、バグは既知のものだから支払い対象とならないと返事がきたんだって。そして別に3つ同じような脆弱性を報告したらようやくギフト券がもらえたんだにゃー。

このことについてHigh-Tech Bridgeが記事にすると、Yahoo!は脆弱性に対して150ドルから15000ドルの報奨金が支払われる新しい脆弱性報告システムを始めたんだにゃー。脆弱性を探している人には朗報なんだにゃー。

・Yahoo! 厄介な! メールの! バグに! 払った! 報奨は! たった! 12.50 ドル!~そのうえ Yahoo! のロゴ入りグッズしか買えない(The Register)
http://scan.netsecurity.ne.jp/article/2013/10/10/32670.html
https://www.htbridge.com/news/what_s_your_email_security_worth_12_dollars_and_50_cents_according_to_yahoo.html
http://yahoodevelopers.tumblr.com/post/62953984019/so-im-the-guy-who-sent-the-t-shirt-out-as-a-thank-you

●Scan創刊15周年メルマガ半額キャンペーン実施中

ありがたいことにScanは今年の10月8日に創刊15周年を迎えるんだにゃー!パチバチー。
そこで15周年記念キャンペーンが行われるんだにゃー。
なんとScanのメルマガが全て半額で、しかも契約してくれた人全員に専門情報を収録したデジタルブック・調査レポートが贈呈されるんだにゃー。
先着150人には秘密の15周年記念ノベルティがもらえるんだって。僕のノベルティを作ってくれているみたいなんだにゃー。
これは申し込まずにはいられないんだにゃー。
http://goo.gl/pqgBdR

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×