システムメンテナンスに伴うITパスポート試験の中止について(IPA)他
実は1年のうちで世界中で開催されるセキュリティカンファレンスの中で筆者が一番楽しみにしているのが、この CeCOS なのである。国別の犯罪事情や、ある国や地域のセキュリティ的な取り組みが行われた結果を聞くことができるカンファレンスは数少ない。
「LibreSSL」プロジェクトのメンバーには、気難しいことで知られる創設者 Theo de Raadt が含まれている。彼は OpenSSL が「信頼できるチームによって開発されたものではない」プロジェクトであると公に批判している。
IPv6セキュリティテスト手順書などを公開(JPCERT/CC)他
最終的に、Heartbleed に関する情報が公開されたとき、ネットワークのディフェンダーたちは先を争って修復を行った。そのことによって、一般のユーザーたちは「パスワードをいつ変更する必要があるのか」という点に関して混乱させられた。
Apache Struts 2 の脆弱性を狙う PoC を確認(トレンドマイクロ:ブログ)他
現在も Tor ノードの一部は、破られたバージョンの OpenSSL を走らせており、それは暗号キーなどの機密データを漏えいさせる目的で利用することができる。
複数の Apple 製品の脆弱性に対するアップデート(JVN)他
この監査の次の段階は、TrueCrypt の基板となる暗号技術に対する精密検査となる。乱数発生器、暗号の一式、および暗号を支えるアルゴリズムは、すべていったん見直されることとなる。
ゴールデンウィークにおける情報セキュリティに関する注意喚起(IPA)他
米国当局は 2 人の容疑者を拘留してはいるものの、残りの 7 人は現在も逃走中である:そのうち 3 人はウクライナ人、1 人はロシア国民、その他の 3 人は身元が明らかになっていない。
無断複製MIX-CD販売事件について(RIAJ)他
このスレッドに貢献した人物は、コンソール上にインストールした Firefox を稼働している様子を示す写真を投稿した。さらに、そのスレッドは「Tesla の技術者たちが、どれほど深くまで車の内部を観察しているか」という陰謀説も煽動した。
オンラインゲームの脅威、ワースト5(カスペルスキー:ブログ)他
このドローンの所有者は New Era Photography and Film と呼ばれる地元団体で、「誰かが我々のシステムをハッキングしたようだ」と語っており、「未知の集団が、ドローンの制御を得るためにチャンネルの切り替えを行った」と結論づけたという。
一部のセキュリティ研究者たちは、そこに強制力がない、あるいはいずれにせよ無視されるものだと語っている。一方、別の研究者たちは、その活動が「役に立つ(助けとなる)」場合、これらの法律に免除があるようにするべきだと主張している。
スマホ・タブレットの業務利用向けセキュリティガイドラインの第二版(JSSEC)他
そのメモリには、メッセージやパスワードなどといった旨みのある情報が含まれている。そして別の heartbeatMessage を送信することにより、別の 64KB が漏えいされるため、被害者のシステムを徹底的に調査して御馳走を得るよう、それは繰り返される。
Heartbleed bug による秘密鍵漏えいの現実性について(IIJ SECT)他
「Extended Random は、我々が(研究の)途中でたまたま出会っただけのものだった」と The Register に語っている。「我々は、そこには焦点を当てておらず、またそれは我々の調査結果にいかなる影響をも及ぼしていない」
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)