「脱線を招く欠陥」に苛立たされた列車ハッカーが、SCADA のパスワードのリストを公開～これで彼らも修復するだろう、たぶん（The Register）

これらのバグは（無害そうなアプリケーションのバグでも）、賢い攻撃者により強力なベクトルで悪用される可能性がある。「もし誰かがモデムを攻撃できたら、そのモデムは電車の自動制御システムを攻撃でき、そして彼らは電車の制御を奪うことができる」

国際 TheRegister

2016年1月19日（火） 08時30分

オランダ半導体製造企業侵害／doda 転職活動バレ／港湾運営会社業務停止ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]
Microsoft バグ報奨金プログラム 10 周年バグバウンティは安全性を高めているか？
Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性（Scan Tech Report）

【32c3】
鉄道網の致命的な欠点で、列車がハイジャックや脱線の危険に晒されているとロシアのハッカー 3 人組が語っている。ベンダーに行動を促すため、彼らは多数のハードコードされた産業制御システムの認証情報を公開した。

【画像：解説を行う 3 人。Sergey Gordeychik（右）、Gleb Gritsai（左）、Aleksandr Timorin（後ろ）】

産業制御システム専門のハッカー、Sergey Gordeychik、Aleksandr Timorin、Gleb Gritsai は、このバグの詳細については解説しなかった。それを行った場合、他者が同じ攻撃を真似たり、あるいは（この欠陥の）影響を受ける鉄道事業者の名前を暴いたりすることができると思われるからだ。

《》

Yokogawa、大きく開いた SCADA の脆弱性にパッチを適用～パケットの送付でネットワーキングのプロセスが砕かれる（The Register）2015.9.24 Thu 9:30
Black Hat 2015 では、SCADA やモバイルの脆弱性が 32 件投下される～ハッキングの嵐が吹き荒れようとしている（The Register）2015.7.29 Wed 8:30
Siemens のため息：SCADA はバグだらけ～Wimax ネットワークキットの脆弱性（The Register）2015.2.13 Fri 8:30
原子力発電所のハッキングが韓国にサイバー戦争演習を促す～原子炉の設計図、ソーシャルメディアに漏えい2015.1.21 Wed 9:30

Scan PREMIUM 会員限定記事

脆弱性と脅威 2023.12.7(Thu) 8:10
オランダ半導体製造企業侵害／doda 転職活動バレ／港湾運営会社業務停止ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

　宇宙航空研究開発機構（JAXA)が今年夏頃に、サイバー攻撃を受け、Active Directory（AD）への侵害を通じて宇宙開発に関する機微情報が漏洩した可能性があることが報じられました。米中をはじめ、日本においても宇宙事業は国家安全保障戦略に含まれていることを勘案しますと、組織としてもう少し考えて行動すべきだったように思います。
Microsoft バグ報奨金プログラム 10 周年バグバウンティは安全性を高めているか？

　さらにケイティ・ムーサリス氏を称えた。Microsoft 経営陣はバグに関して、リサーチャーに報酬を支払うことは「絶対ない」と言っていたのだが、ムーサリス氏が中心となって、Microsoft にはバグ報奨金プログラムが必要であると Redmond 上層部を説得した。最終的に Microsoft に転機をもたらしたのは、独自ブラウザで Internet Explorer の市場優位性に挑んできた新興企業Google を打倒したいという思いだった。
2023.12.6(Wed) 8:10
Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性（Scan Tech Report）

2023 年 7 月に、Linux OS で高いシェアを誇る Ubuntu のファイルシステムに、権限昇格につながる脆弱性が報告されています。
2023.12.4(Mon) 8:10
今日もどこかで情報漏えい第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

10 月に最も件数換算の被害規模が大きかったのは、株式会社NTTマーケティングアクトProCX と NTTビジネスソリューションズ株式会社による「NTTマーケティングアクトProCX 元派遣社員約900万件の顧客情報を不正に持ち出し、一部カード情報も含む」の約 900 万件だった。
2023.11.30(Thu) 8:10

Scan PREMIUM 会員限定記事特集をもっと見る

ScanNetSecurityをフォローしよう！

@scannetsecurityをフォロー

シェア
ツイート
ブックマーク
後で読む

「脱線を招く欠陥」に苛立たされた列車ハッカーが、SCADA のパスワードのリストを公開～これで彼らも修復するだろう、たぶん（The Register）

関連記事

Scan PREMIUM 会員限定記事

オランダ半導体製造企業侵害／doda 転職活動バレ／港湾運営会社業務停止ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

Microsoft バグ報奨金プログラム 10 周年バグバウンティは安全性を高めているか？

Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性（Scan Tech Report）

今日もどこかで情報漏えい第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

カテゴリ別新着記事

関連記事

Scan PREMIUM 会員限定記事

オランダ半導体製造企業 侵害／doda 転職活動バレ／港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

Microsoft バグ報奨金プログラム 10 周年 バグバウンティは安全性を高めているか？

Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性（Scan Tech Report）

今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

不審メール確認、年金積立金管理運用独立行政法人を装い給付金等 案内

オランダ半導体製造企業 侵害／doda 転職活動バレ／港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

「楽々Document Plus」にディレクトリトラバーサルの脆弱性

トレンドマイクロ、2023年サイバーセキュリティ動向ふりかえり

Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性（Scan Tech Report）

Ruckus Access Point に XSS の脆弱性

インシデント・事故 記事一覧へ

シグマの Instagram 公式アカウント乗っ取り被害

京都教育大学附属桃山中学校の公用パソコン、サポート詐欺の被害に

ファイルサーバに脅迫文、大西グループに不正アクセス

ECC学習支援システムへの不正アクセス、名古屋芸術大学の在籍学生586人の個人情報漏えいの可能性

積水ハウスのシステム開発用クラウドサーバから顧客情報漏えい、委託先のBIPROGYのセキュリティ設定不備

マツダへの不正アクセス、再発防止策は ASM 導入や多要素認証の実装加速

調査・レポート・白書・ガイドライン 記事一覧へ

ほんとにクラッカーに負けない？「OSS の六つの神話」を検証

不正注文被害のEC事業者は34.4%、年間被害金額は25～50万円が最多

ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に

代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析

EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証

ソースコード診断における ChatGPT の 3 つの長所 ～ MBSD 寺田氏検証

研修・セミナー・カンファレンス 記事一覧へ

AeyeScanによるテスト環境の診断方法 ～ エーアイセキュリティラボ 執行役員 関根氏解説

GMOイエラエ、「外部 IT 資産可視化」「継続的脆弱性対策」への ASM 活用セミナー 12/11 開催

GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」～ 12 / 5, 6「GMO Developers Day 2023」オンライン開催

受け身ではなく先回り：CISO はサイバー脅威インテリジェンスをどう読むべきか

「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定

サイバー脅威インテリジェンスの未来 ５つの傾向

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」アップデート、スキャンルールおよび脆弱性説明のカスタム機能を追加

社会や環境に配慮した公益性の高い企業としてクラフを「B Corporation」に認証、国内セキュリティ企業初

宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで ～ 株式会社クラフ エバンジェリスト村上瑛美インタビュー

不正アクセス禁止法に基づくアクセス制御技術の募集を開始

心の中で思い描いたイメージの脳信号からの復元に成功

「脆弱性のない製品を」NECプラットフォームズ、製品セキュリティポリシー策定

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

オランダ半導体製造企業侵害／doda 転職活動バレ／港湾運営会社業務停止ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

Microsoft バグ報奨金プログラム 10 周年バグバウンティは安全性を高めているか？

今日もどこかで情報漏えい第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

脆弱性と脅威記事一覧へ

不審メール確認、年金積立金管理運用独立行政法人を装い給付金等案内

オランダ半導体製造企業侵害／doda 転職活動バレ／港湾運営会社業務停止ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

インシデント・事故記事一覧へ

調査・レポート・白書・ガイドライン記事一覧へ

ソースコード診断における ChatGPT の 3 つの長所～ MBSD 寺田氏検証

研修・セミナー・カンファレンス記事一覧へ

AeyeScanによるテスト環境の診断方法～エーアイセキュリティラボ執行役員関根氏解説

GMOイエラエ社長牧田誠講演「エンジニアの楽園のつくりかた」～ 12 / 5, 6「GMO Developers Day 2023」オンライン開催

「サイボウズバグハンター合宿 2023」脆弱性 36 件認定

サイバー脅威インテリジェンスの未来５つの傾向

製品・サービス・業界動向記事一覧へ

宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで～株式会社クラフエバンジェリスト村上瑛美インタビュー

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ