「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

特集 コラム

管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●すでに標的型攻撃に利用されているOfficeのゼロデイ脆弱性が報告される

Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているよ。すでにこの脆弱性が標的型攻撃に悪用されていることがわかっているんだにゃー。

残念なことにまだ修正プログラムは公開されていないんだけど、軽減策となるFix Itが公開されているので、心配な管理者の皆さんはそれを適用してもらうようにすればいいと思うにゃー。TIFF画像が見られなくなるようだけど、あまり見る人はいないだろうから我慢してもらうんだにゃー。
http://technet.microsoft.com/ja-jp/security/advisory/2896666

●OWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開される

11月1日にはOWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開されたんだって。この文書にはWebシステムおよびWebアプリケーションに関して一般的に盛り込むべきと考えられるセキュリティ要件が記載されているんだにゃー。

開発会社にWebアプリを発注するときに、どのようにセキュリティ的な要求仕様や瑕疵担保契約の責任分解点を定めるか悩んでいる発注側の人は多いと思うけど、その助けになる文書だと思うんだにゃー。
https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf

●東京外国語大学生、フィッシングサイトを使い大学サイトに不正侵入

東京外国語大学生が他の生徒のIDとパスワードを盗み取り、学務情報サーバーに不正アクセスしていたんだって。学務情報サーバーに似たフィッシングサイトを作成し、メールで誘導してIDとパスワードを入力させていたんだにゃー。

詐取したパスワードを使って他の生徒の成績などを見ていたということなんだけど、わざわざそれだけのことのために大がかりなサイトを作ったなんて不思議なんだにゃー。努力するところを間違っているんだにゃー。
http://www.tufs.ac.jp/topics/post_406.html

●米国防総省国防高等研究計画局、優勝賞金200万ドルの防御システムコンペティションを開催

米国防総省国防高等研究計画局(DARPA)は、新しい防御システムや脆弱性検出システムののコンペ「Cyber Grand Challenge」の開催を発表したんだにゃー。自動的にコードを分析して脆弱性を発見し、修正を適用するようなシステムの中で最高のパフォーマンスを見せたものに賞金200万ドルが支払われるんだにゃー。

今主流となっているパターンファイルによる検出を行う攻撃防御システムや脆弱性スキャナには難しい自動検出自動修復ということなので、これまでとは全く違う画期的なシステムが作られるかもしれないにゃー。楽しみだにゃー。

・DARPA、究極のセキュリティバグ殺害者を求めて 200 万ドルを用意~それはアンチウイルス業界の一部にとって、とてつもない恐怖の瞬間(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/01/32840.html

●中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインで漏えい

中国の新聞報道によると、中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインに漏えいしていたんだって。これらのデータは、中国のホテルチェーンへWi-Fi接続を提供している浙江ベースの企業CNWisdomから盗まれた可能性があると疑われているんだにゃー。

中国では個人データの盗難が横行してて、それは内部犯行であることも多いみたい。中国のネットワークサービスを使うときはなるべく個人情報を登録しない方がいいみたいなんだにゃー。

・中国のホテル宿泊客の個人データがインターネットに放たれる~次に中国へ行く際は、たぶん Wi-Fi サービスに登録しないほうがいい(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/06/32865.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×