すべての近代的なプラントは、ほんの一握りのベンダーが提供する、同様の、あるいは同一の構成を利用したシステムや製品で稼動している。もしも一つの産業用制御システムの制御を得ることができた場合なら、数百の『同一品種』に侵入することができる
5つの講演が決定、実行委員会も同時に正式発表(CODE BLUE)他
IEが使用するInformationCardSigninHelperクラスのActiveXの脆弱性(FFRI:脆弱性検証結果)他
この分野における同国の成功は、北朝鮮や中東などが同じようなシステムを一般的にすることを助け、それらの技術のサプライヤーたち(すべてのモラルを無視する準備ができている)と、いくつかの有利な契約を結ぶに至った。
Adobe Shockwave Playerのセキュリティアップデートを公開(アドビ)他
一昨年の Fullz の価格は、40 ドルから 60 ドルの間で取引されていた。「盗まれたクレジットカード、個人のアイデンティティ(Fullz としても知られているもの)、そして個人の社会保障番号の販売は、供給が間に合っている」と研究者たちは記している。
船舶追跡システムに存在する問題を発見(トレンドマイクロ:ブログ)他
すでに約 400 人のテスターがサインアップしており、その数は現在も増えていると Storm は語った。「何が報告されているのか、どんなフィードバックを受けとったのか、その概要を容易につかめる場所で、我々はバグ管理システムを構築している」
CSIRT構築に役立つ参考ドキュメント類を掲載(日本シーサート協議会)他
毎年恒例のように開催されていたセキュリティイベント「AVTokyo」が今年は開催されなかったけど、「AVTokyo2013.5」として来年の2月16日に開催されることが発表されたんだにゃー。
最新の NSA の漏えい情報で紹介された変り種のマルウェアは、ブラジル(米国のサイバースパイ活動の馬鹿げた行動に関して不満を言うとき、最も声高だった国のひとつ)およびメキシコのシステムへのアクセスにバックドアを設置した。
動的情報に基づいたマルウェアのクラスタリング(FFRI:Monthly Research)他
i2Ninja のもう一つの特徴はチケット制の総合ヘルプデスクのシステムだ。顧客は、(マルウェアの)開発者たちやサポートチーム、オープンチケットと交信して回答を得ることができ――それら全てに、I2P の特色である暗号化されたメッセージ通信が利用される。
11月のIPAの活動(IPA)他
具体的に言うなら、レドモンドの人々は TLS 1.2 の暗号プロトコルに切り替えたいと願っており――HTTPS、セキュア環境の SMTP、VPN、および他の技術で利用されているように――そして強い暗号である AES-GCM を使用したいと考えている。
Windows XPのゼロデイ脆弱性関連のバックドア、複数の解析回避手法を利用(トレンドマイクロ:ブログ)
Remes は、もはや磁気ストライプに基づいたあらゆる技術がクレジットカードにもデビットカードにも相応しくないと主張しており、クローンの作成を困難とする Chip and PIN のテクノロジーに基づいた技術を利用することが好ましいと唱えている。
サイボウズ ガルーンにおけるDoSの脆弱性(JVN)他
HTTP 2.0 サイトが TLS を使用し、SSL をデフォルトにする場合、それは HTTP 2.0 ブラウザと通信する HTTP 2.0 サーバだけに影響を与えるだろう。古いブラウザを利用して http:// ページにアクセスするユーザーには、その変化が分からない。
2013年12月の呼びかけ(IPA)他
Windowsのカーネルにローカルでの権限昇格が可能となる脆弱性が見つかったんだって。この脆弱性はWindows XPとWindows Server 2003に影響があるみたいなんだにゃー。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)