エジプト発の偽 SSL 証明書に Google が激怒~「いかに認証局の世界が崩壊しているのか」が、またしても示される(The Register)
研究者たちは、偽の証明書を発行するのが簡単であったこと、そしておそらくそれが現実社会で盗まれ、利用されたことを懸念している。これは、またも現れた「暗号の認証局に関する根本的な問題」の新たな一例だ。
国際
TheRegister
セキュリティ企業の MCS Holdings が、「Google の所有するウェブサイトの不正な SSL 証明書」を作成したと Google が述べている。
理論上、その危険な証明書を持つ者は誰でも「正式な Google のサイト」になりすましたウェブサーバを構築することができ、また DNS を乗っ取ることで、偽サイトへと人々をリダイレクトすることができる。Chrome、および最新の Firefox ウェブブラウザは、それを検知してサーバの通信を拒否するが、その他のブラウザの場合は、その試みに気付かぬまま偽のウェブサイトへのリダイレクトを続け、パスワード、メールアドレス、その他の詳細情報を悪者の手に渡してしまう可能性がある。
関連記事
-
Facebook のセキュリティチームが 10 の「Superfish の亜種」を発見~証明書の乗っ取りに使えるライブラリ「Komodia」は、広く利用されているようだ(The Register)
-
Superfish:Lenovo はアドウェアを廃止するが、それは SSL の大きな脆弱性の解決にはならない~広告挿入のクラップウェアに対処する方法(The Register)
-
IETF の技術者たち、次の SSL のために「耐 NSA」の暗号鍵交換を検討中~「いかに Snowden が我々のプライバシーを改善したかを示す最高の一例」(The Register)
-
フランス政府、従業員のトラフィックを嗅ぎまわるために Google の不正証明書を利用~自由、平等、不可視性:財務省によるマンインザミドルの詮索(The Register)
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威ここが変だよ日本のセキュリティ 第43回 「パスワード管理は続くよ、どこまでも(パスつづ)」(後編)
後編では、これからも長い付き合いになりそうなパスワードの、不都合な真実って奴に突っ込んで、真実を暴きます。そしてもちろん言いっぱなしにはしません。何が何故、残念で、どうすればいいかを説明します。
-
FreeBSD の IPv6 ソケットにおける競合状態と Use-After-Free の脆弱性(Scan Tech Report)
2020 年 7 月に、UNIX 系 OS である FreeBSD に、管理者権限の奪取が可能となる脆弱性が報告されています。
-
GitLabがユーザーのソースコードを調査、予想どおり見つかった脆弱性の傾向と内訳とは
マイクロソフトのGitホスティングサービス「GitHub」の競合サービスである「GitLab」が顧客のホストするソフトウェアプロジェクトのセキュリティについて2回目のテストを実施、そして不備を発見した。
-
日本トップ10入り、ハーバード大学 世界各国のサイバーパワーをランク付け ほか [Scan PREMIUM Monthly Executive Summary]
測定結果の内容については賛否両論あるかと思いますが、日本のトップ 10 へのランクインは思いのほか高評価です。測定項目は「Surveillance」「Defense」「Information Control」「Intelligence」「Commercial」「Offense」「Norms」の 7 つです。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Oracle Java SEに脆弱性 攻撃された場合の影響大、早急なアップデート呼びかけ
vBulletinの脆弱性(CVE-2020-17496)を標的としたアクセスを観測
Advantech社のWebAccess/SCADAとR-SeeNetに脆弱性(JVN)
脅迫メール送信後、30分から60分間DDoSを実施し能力示す(JPCERT/CC)
ステガノグラフィー用い攻撃モジュール隠し、メインモジュールはビットマップファイルに偽装(カスペルスキー)
WordPress用プラグインLive Chat - Live supportにCSRFの脆弱性(JVN)
インシデント・事故 記事一覧へ
社員PCが「Emotet」感染、鳥羽洋行騙る暗号化ZIP付不審メール確認
シルバニアファミリーオンラインショップのメール流出、プログラム改修が原因
「ドコモ口座」不正利用の被害件数を公開、補償完了は122件2,797万円に
「マンション・ラボ」に不正アクセス、記事ページが改ざん(つなぐネットコミュニケーションズ)
新潟県の全庁調査 続報、会議資料や写真掲載記事まで範囲を拡大
従業員のパソコンが「Emotet」感染、zip形式のマルウェア添付メールを送信(京セラ)
調査・レポート・白書 記事一覧へ
ブロードバンドセキュリティが実施した脆弱性管理の500名調査の結果、見えてきた課題
「Emotet」関連相談が大幅増 ~ IPAの情報セキュリティ安心相談窓口
2020年度上半期のJASRAC徴収実績、新型コロナの影響でインタラクティブ配信以外減少
自治体の防災メールなりすまし対策実施状況
世界各国企業のDX成熟度のベンチマーク実施
浮かび上がる全体像 CrowdStrike が結んだランサムウェアの点と線
研修・セミナー・カンファレンス 記事一覧へ
イエラエセキュリティ取締役とエンジニアが「セキュリティ・ミニキャンプ」に登壇
eスキミング:その手口と対策
DX時代の企業のプライバシーガバナンス、CEATEC 2020 ONLINEの経産省講演
セキュリティは二番ではない ~ セキュリティ・キャンプ全国大会2020 オンライン開講
今年も難題:脆弱性を改善しない企業への教育、MBSD Cybersecurity Challenges 2020(MBSD、ビーアライブ)
