強制捜査の最中に、社内で堀江貴文社長とすれちがったのを覚えています。ちょっとうわずった感じではあったものの、堀江さんはいつもどおり「おつかれさまです」と私に声をかけてきました。
グループを離脱しつつ、引き受け企業から社長を派遣してもらうというアクロバットを仕掛けようと思い立った。千載一遇の機会とは、まさにこのことだ。ライブドアには貸しはあっても借りはない。社員の選択肢は、限られている。やるしかない。
オフィスはまだ人もまばらな時間帯でしたが、その朝は少し変わったことが起きていました。ポータルサイトのメディア統括事業部の、部長クラスの人物が、急にその日の朝に、退職届を出したというのです。
誤報じゃないのか? という雰囲気が流れ出した。でも、私はそうは思わなかった。NHKが独自調査であんなニュースを流すわけはない。地検からのリークだ。地検はやりもしない強制捜査の情報を流さない。
高橋 「従来の守り、例えばファイアウォールは、外からの攻撃を遮断します。ところが、標的型攻撃によって社内から外部に対して情報が送信されるような場合、httpやhttpsなどのプロトコルを使われると防ぐことは困難です。」
連載「セキュリティにゃークサイド」に昨年一年間に掲載された山本洋介山先生撮影によるネコたちの人気投票を行う「セキュアキャットオブザイヤー2014」の結果を発表します。
「百度(バイドゥ)」製の日本語入力ソフトBaidu IME、Simejiがユーザーの入力した内容を無断で同社のサーバーに送信していたことが判明したんだにゃー。
しかし、クロスルート証明書を提供しない2048bit証明書に切り替えてしまうと、SSLが使用できない端末が発生してしまう。情報システム部門が危険性を認識していても、ユーザークレームにさらされる営業・ビジネスサイドからの不満が発生する。
総務省から2013年流行したリスト型攻撃の対策方法を示した「リスト型アカウントハッキングによる不正ログインへの対応方策について」が公表されたんだにゃー。
Googleは12月7日、同社が保有する複数のドメイン向けにフランスの認証局ANSSI傘下の証明機関から不正なデジタル証明書が発行されおり、誰でもなりすまし可能だったことを発表したんだにゃー。問題の証明書はすでに失効させる措置を取ったということなんだにゃー。
昨今のサイバー空間の変化には目を見張るものがある。それは従来の延長線上にある変化ではなく、政治、社会、経済の根本を揺るがす変化といえる。
毎年恒例のように開催されていたセキュリティイベント「AVTokyo」が今年は開催されなかったけど、「AVTokyo2013.5」として来年の2月16日に開催されることが発表されたんだにゃー。
Windowsのカーネルにローカルでの権限昇格が可能となる脆弱性が見つかったんだって。この脆弱性はWindows XPとWindows Server 2003に影響があるみたいなんだにゃー。
上野「今後入ってくる人は何を学べば良いんですかね。」 斉藤「たしか、FFRIの鵜飼さんも学生時代に研究室のサーバーに侵入されて、そこから興味を持ったという話を伺った記憶があります。たぶん興味を持ったきっかけから入っていけば良いのかなあって」
日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。
「Officeさんの事件に関してはこちらも思い出深いです。実はACCSの0dayに関してはハッカージャパンにも記事としてはもらっていました。記事にやり方が書いてあったので、ぼく、動作確認してみたんですよ。」
11月13~14日にはセキュリティカンファレンス「PacSec」が開催されたよ。併催されていたモバイル脆弱性発見コンテスト「Mobile Pwn2Own」では日本のMBSDチームが見事にハッキングに成功して賞金4万ドルを獲得したんだにゃー。
Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているんだにゃー。
今回、ScanNetSecurityからお声掛けをいただき、私のブログを転載していただくことになりました。10月末に行われた、オンラインCTF「NotSoSecure CTF」の参戦記です。
php公式サイトのドメインphp.netがマルウェア感染の疑いでGoogle Safe Browsingにアクセスを遮断されていたことが話題になっていたけど、調査の結果、誤検知ではなく本当にマルウェアに感染していたんだにゃー。
10月23日にはセブン&アイグループのネットショッピングサイト、セブンネットショッピングに不正ログイン攻撃が行われ、最大15万165件のカード番号が流出したことが発表されているんだにゃー。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)