2025.12.09(火)
- 注目検索ワード
任天堂が海外で最近更新したWii Uのエンドユーザーライセンス(EULA、End-User License Agreement)に困惑の声が上がっています。
LulzSec のハッカーたちは、複数の政府のウェブサイトを改竄し、またトルコやブラジル、その他のサーバから機密情報を盗むよう奨励されていた。ここで盗まれたデータは、どうやら FBI に制御されているサーバへアップロードされたようだ。
アジア圏は21世紀後半の主戦場になります。そこでは日本が先頭を走りたいと考えています。
「どのユーザーも決して管理者としてログインするべきではない」と Salous は語った。「テクノロジーの部署では、それぞれのスタッフのために個別の admin アカウントを作成せよ」
「ハッカーが試みるのは、あなたのセッション Cookie のハッキングである。つまり彼らは、あなたのアカウント用のパスワードを手に入れることはないが、あなたのアカウントに『あなたとして』ログインすることが可能となるだろう」
「PCI DSS のセキュリティ要件が要求しているのは『カードデータの基礎的な保護』だ。しかし企業は、コンプライアンスを遵守するだけで侵害のリスクから身を守ることはできない」
「我々は、いかなる国の、いかなる政府機関とも、協働してバックドアを仕掛けたことはない(いかなる製品、いかなるサービスにも)。そして我々は、これまで我々のサービスへのアクセスを許可したことがなく、それを許可することは今後もないだろう」
その攻撃者は、『RomanticVK』または『VK_Gift』の名で『ロマンチックな贈り物』を約束するという内容の MMS メッセージを大量に送信することにより、悪意あるソフトウェアを携帯電話に感染させた。
この改正は、海外での捜索を認可するための令状を交付する権限を法廷に与えるものではないと DoJ(米司法省)は語っている。しかしGhappourは、その適用が結果として「FBI史上最大の、治外法権における監視権限の幅広い拡大」に繋がるだろうと 主張している。
「ケーブル事業者は、彼らのライセンスの条件として、法の執行機関への協力に同意しなければならない」ということは、隠すまでもない話であり――そのような文書は米国の FCC によって公開されている。
この攻撃は、パスワードをデフォルトのままにしている SNMP ホスト―― その Read-write コミュニティストリングが「private」のもの――の乗っ取りを企んでいる。
「中小企業を援助するための資金を設立したことは称賛に値する。しかし英国のサイバーセキュリティの全体予算が8 億 6 千万ポンド(編集部註:約 1,517 億円)であることを考えると、その額は 0.5%にも満たない」と Cottonは語った。
TFA はあなたをより安全にするかもしれないが、あらゆるリスクを軽減するわけではない。これまでハッカーたちは、いくつかの銀行で TFA のスキームを破ってきた。少なくとも、ハッカーたちには TFA の迂回を可能とする 3 つの技術がある。
影響を受ける製品には、最低25万ドルのクラスタアプライアンス「Oracle Exalogic」、Oracle Data Appliance、Big Data Appliance、SPARC Supercluster、Sun ZFS Storage Appliance Kit、様々なソフトウェア製品、全範囲に渡る Oracle Communications が含まれている。
2 要素認証は、セレブのヌード事件のおかげで少なからず注目を浴びることとなった。Apple は、その技術を既に採用しているからだ。とはいえ、彼らは同社のクラウドにおける TFA の必要性に関して、それほど熱心ではなかった。
![[Black Hat USA 2014 レポート] これからの脅威情報共有の未来像とは 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/11524.png)
セキュリティ機器から得られる情報を、ベンダの垣根を超え、リアルタイムに共有する仕組の構築が待たれている。たとえば、シスコ機器から得た情報をもとに、チェックポイントのアプライアンスが IDS ルールを即時修正するような体制である。
今回のBashの欠陥にShellshockという名前を提案した、Errata SecurityのRobert Grahamもまた、このプログラミングのへまはHeartbleedと同様に深刻だと言う。ただし次のように言及している。
「我々は、できるかぎり迅速に修正を提供する所存だ。今後、提供されるすべての PIXMA 製品では、『PIXMA ウェブインターフェイス』にユーザーネームとパスワードが追加され、また 2013 年後半以降に販売されたモデルも、このアップデートに対応する」
WikiLeaksの最新のリークには、当該ベンダーの請求書とサポートチケットのコピーが含まれている。同社の多数の顧客の名前や、この議論を呼んでいる技術にいくら支払ったのかについて、マスクはかけられていない。WikiLeaksによると、FinFisherの売上は少なくとも…
スパマーたちはメールフィルタを潜り抜けるトリックを大量に使用しており、ソーシャルメディアを通じて急増させている。Virus Bulletinは、数々のこうしたトリックを挙げたSpammer's Compendium(スパマー一覧)の保守を行っている。
![[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (1) 目的と歴史 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/11452.jpg)
DEF CON の CTF(Capture The Flag)は知っていても、今年で 5 回目の開催となった SECTF (ソーシャルエンジニアリング CTF)は、日本人に馴染みが薄いだろう。SECTF とは、その名のとおりソーシャルエンジニアリングのスキルを争う競技だ。
