ハッカーたちは「運に任せて大量にばらまく」戦略から、「より静かで、標的を絞りこんだ、独特の手法による攻撃」へと切り替えてきた。その新たな戦略は、以前よりも効果が高いと Websense は見なしている。
彼らは、その作戦がジョージ・ブッシュ大統領の管理下で 1992 年に開始したと説明している。それは4期の大統領政権に渡り、司法省のトップの当局者たちによって迎え入れられ、独立した監督制度をほとんど持たなかったという。
通信監査機関は本日、AT&T がこの問題を示談で解決したと発表した。その罰金(約 30 億円)は、「米国で、消費者のプライバシーの調査を遂行に関する、過去最大の額の罰金だ」と FCC は語った。
その一方で、スノーデンによる内部告発が「ビジネスモデル」を作り上げたあとの各テクノロジー企業は、エンドツーエンドでの暗号化を促進し続けるだろう。それは消費者が「自身の通信の安全化」を求めるようになったからだ。
「それはローカルで、あるいは遠隔コードを実行するエクスプロイトと組み合わせて利用することができる、ローカル権限の root 権限への昇格だ」
身元を隠して捜査を行っている間、ForceはSilk Roadのアカウントを作成している。しかし訴状によると、彼はDEAに知られていない別のIDを秘密裏に取得しており、それを利用することで、密かに多額のBTCを手に入れていた。
このCylance の研究者によって発見された脆弱性は、ANTLabs製のInnGateに存在している。それはインターネットのアクセスを管理し、またそれを販売するため、多くのホテルやカンファレンス会場で利用されているデバイスだ。
「顧客自身がジェイルブレイクをする必要はない。紛失、あるいは盗難に遭った携帯電話は、ブルートフォース攻撃を受け、その後、私の技術を利用してパスコードの検索ができるように、ジェイルブレイクされる可能性がある」と彼は結論づけた。
「その小さなプログラム『Dell Service Tag Detector』は、サービスタグを確認する以外にも数多くのことを行う」「攻撃者が恣意的にファイルをダウンロードし、実行するためのプログラムを遠隔起動できる可能性もある」とForbesは語った。
この結果、すべての Mozilla 製品――FirefoxやThunderbirdなど――は、2015年4月1日以降に発行された、あらゆる CNNIC ベースの証明書を「信頼できない証明書」と見なすよう更新されることになる。
しかし Brandis は、その立ち上げ時のコストについて言及しなかった。システムの作成や、加入者のデータを保持するためのインフラ構築は安価とならないので、それは重要な要素である。
この最新の Vawtrak のサンプルは、ファイル更新を隠すために、ファビコン上でステガノグラフィーを利用しているとKroustekは語った。それはウェブサイトのブックマークとブラウザのタブに色を追加するよう、小さなイメージを用いる方法だ。
研究者たちは、偽の証明書を発行するのが簡単であったこと、そしておそらくそれが現実社会で盗まれ、利用されたことを懸念している。これは、またも現れた「暗号の認証局に関する根本的な問題」の新たな一例だ。
この生体認証システム Iris on the Move(IoM)は、すでに多様な SRI ブランドの製品で提供されている。しかし Samsung との提携によって、その研究企業には、これまでよりもはるかに大きな潜在的市場が届けられることになる。
「一般的なキャリア」として再分類されたことに激怒しているAT&TやVerizonらは、FCC のOpen Internet Orderを「恣意的で気まぐれな裁量の濫用」だと表現し、その見直しを上級裁判官たちに求めた。
そのシステムは安全性が低く、誰でもパスワードを盗める状態であることに気付いた、と少年は地元報道機関に語った。彼自身は、そのサーバから何も盗まず、何のダメージも与えず、また侵入行為には1時間も費やさなかったと話している。
その論文は、国家レベルの攻撃者は――言い換えるなら、トラフィックの分析をプロバイダに要求する NSA は――比較的、少ない数のプロバイダからトラフィックを得るだけでよいと指摘している。
帝国データバンクは19日、防犯・監視カメラ関連業者158社の経営実態調査として、防犯・監視カメラ関連業者の市場拡大が加速しており、売上高規模800億円を突破しているというレポートを発表した。
多くのサービスが WHOIS の情報をアーカイブしているので、その情報は恒久的に入手できるだろう。スパム、スピアフィッシング、その他の悪質な目的のために、この情報を掘り起こして使用することも可能だという。
それらのタイトルには、Call of Duty、World of Warcraft、Assassin's Creed、League of Legends、そして Minecraft が含まれている。さらに Steam のアカウント、また Unity3D や Unreal Engine のような開発ツールもロックアウトする。
「救済を求めてサイトを訪問した犠牲者たちが、それを見た可能性があることを、我々は懸念している。それは本当に痛ましい」とチーフ役員は語った。このハッキングは、国際婦人デー(編集部註:毎年3月8日)と同時期に行われた。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)