「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.03.28(木)

「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているんだにゃー。

特集 コラム
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●すでに標的型攻撃に利用されているOfficeのゼロデイ脆弱性が報告される

Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているよ。すでにこの脆弱性が標的型攻撃に悪用されていることがわかっているんだにゃー。

残念なことにまだ修正プログラムは公開されていないんだけど、軽減策となるFix Itが公開されているので、心配な管理者の皆さんはそれを適用してもらうようにすればいいと思うにゃー。TIFF画像が見られなくなるようだけど、あまり見る人はいないだろうから我慢してもらうんだにゃー。
http://technet.microsoft.com/ja-jp/security/advisory/2896666

●OWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開される

11月1日にはOWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開されたんだって。この文書にはWebシステムおよびWebアプリケーションに関して一般的に盛り込むべきと考えられるセキュリティ要件が記載されているんだにゃー。

開発会社にWebアプリを発注するときに、どのようにセキュリティ的な要求仕様や瑕疵担保契約の責任分解点を定めるか悩んでいる発注側の人は多いと思うけど、その助けになる文書だと思うんだにゃー。
https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf

●東京外国語大学生、フィッシングサイトを使い大学サイトに不正侵入

東京外国語大学生が他の生徒のIDとパスワードを盗み取り、学務情報サーバーに不正アクセスしていたんだって。学務情報サーバーに似たフィッシングサイトを作成し、メールで誘導してIDとパスワードを入力させていたんだにゃー。

詐取したパスワードを使って他の生徒の成績などを見ていたということなんだけど、わざわざそれだけのことのために大がかりなサイトを作ったなんて不思議なんだにゃー。努力するところを間違っているんだにゃー。
http://www.tufs.ac.jp/topics/post_406.html

●米国防総省国防高等研究計画局、優勝賞金200万ドルの防御システムコンペティションを開催

米国防総省国防高等研究計画局(DARPA)は、新しい防御システムや脆弱性検出システムののコンペ「Cyber Grand Challenge」の開催を発表したんだにゃー。自動的にコードを分析して脆弱性を発見し、修正を適用するようなシステムの中で最高のパフォーマンスを見せたものに賞金200万ドルが支払われるんだにゃー。

今主流となっているパターンファイルによる検出を行う攻撃防御システムや脆弱性スキャナには難しい自動検出自動修復ということなので、これまでとは全く違う画期的なシステムが作られるかもしれないにゃー。楽しみだにゃー。

・DARPA、究極のセキュリティバグ殺害者を求めて 200 万ドルを用意~それはアンチウイルス業界の一部にとって、とてつもない恐怖の瞬間(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/01/32840.html

●中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインで漏えい

中国の新聞報道によると、中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインに漏えいしていたんだって。これらのデータは、中国のホテルチェーンへWi-Fi接続を提供している浙江ベースの企業CNWisdomから盗まれた可能性があると疑われているんだにゃー。

中国では個人データの盗難が横行してて、それは内部犯行であることも多いみたい。中国のネットワークサービスを使うときはなるべく個人情報を登録しない方がいいみたいなんだにゃー。

・中国のホテル宿泊客の個人データがインターネットに放たれる~次に中国へ行く際は、たぶん Wi-Fi サービスに登録しないほうがいい(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/06/32865.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×