2015年6月の脆弱性と脅威ニュース記事一覧 | ScanNetSecurity
2024.03.28(木)

2015年6月の脆弱性と脅威ニュース記事一覧

piyolog Mk-II 第8回「マルウェア感染により国内混迷、慌てて対策をとる前に考えるコト」 画像
特集

piyolog Mk-II 第8回「マルウェア感染により国内混迷、慌てて対策をとる前に考えるコト」

しかし、カスペルスキーが6月4日に発表した標的型攻撃のキャンペーン「Blue Termite」は大変興味深いものでした。外部の指令サーバーへ通信を行っていたIPアドレスが少なくとも300個確認され、内73%が国内のもので、この中には日本年金機構も含まれていたそうです。

不審な「ファイル」と「通信」の確認でウイルス感染の検査を呼びかけ(IPA) 画像
脅威動向

不審な「ファイル」と「通信」の確認でウイルス感染の検査を呼びかけ(IPA)

IPAは、「潜伏しているかもしれないウイルスの感染検査を今すぐ!」という注意喚起を発表した。

米海軍は武器開発のためゼロデイ脆弱性の情報を求める~海軍に入れば 7 つの海に漕ぎ出せる 海軍に入れば気楽に敵をサイバー攻撃できる(The Register) 画像
TheRegister

米海軍は武器開発のためゼロデイ脆弱性の情報を求める~海軍に入れば 7 つの海に漕ぎ出せる 海軍に入れば気楽に敵をサイバー攻撃できる(The Register)

「この業務は、脆弱性のインテリジェンスへのアクセス、エクスプロイトの報告、そして実践的なエクスプロイトのプログラム(広く利用され、また信頼されている商用のソフトウェアに影響を与えるもの)に関与することが要求される」

Apple OS X における XPC Services API を介して認証を回避し権限昇格されてしまう脆弱性 (rootpipe)(Scan Tech Report) 画像
エクスプロイト

Apple OS X における XPC Services API を介して認証を回避し権限昇格されてしまう脆弱性 (rootpipe)(Scan Tech Report)

Apple 社の OS である OS X を構成する一部の API を利用することにより、認証を回避し権限昇格されてしまう脆弱性が報告されています。

リンゴ病の警報基準値超え、過去5年平均を大きく上回る状況(東京都) 画像
脅威動向

リンゴ病の警報基準値超え、過去5年平均を大きく上回る状況(東京都)

 東京都は6月25日、伝染性紅斑が都の警報基準値を超えたことを発表した。伝染性紅斑は「リンゴ病」とも呼ばれ、皮膚の発疹が主症状。年によって発生に差があるが、昨年秋より過去5年平均を大きく上回る状況が続いているという。

PHPライブラリ「namshi/jose」にトークンの署名検証回避の脆弱性(JVN) 画像
セキュリティホール・脆弱性

PHPライブラリ「namshi/jose」にトークンの署名検証回避の脆弱性(JVN)

IPAおよびJPCERT/CCは、Namshiが提供する、JSON Web Token(JWT)を扱うための PHP ライブラリ「namshi/jose」にトークンの署名検証回避の脆弱性が存在すると「JVN」で発表した。

Intel Security が、NSA と関連づけられる「検知不可能のハイブリッドマルウェア」を発見~ Flash を狙ったマルウェアの検出も 4 倍に増加――とにかく絶望的だ(The Register) 画像
TheRegister

Intel Security が、NSA と関連づけられる「検知不可能のハイブリッドマルウェア」を発見~ Flash を狙ったマルウェアの検出も 4 倍に増加――とにかく絶望的だ(The Register)

「HDD や SSD のファームウェアがいったんリプログラムされると、それは起動の度に関連したマルウェアをリロードできる。たとえドライブを再フォーマットしてもOSを再インストールしても、そのマルウェアは残存する」

Adobe Flash Playerの脆弱性について注意を呼びかけ、限定的な標的型攻撃も確認(JPCERT/CC) 画像
セキュリティホール・脆弱性

Adobe Flash Playerの脆弱性について注意を呼びかけ、限定的な標的型攻撃も確認(JPCERT/CC)

 JPCERTコーディネーションセンター(JPCERT/CC)は24日、Adobe Flash Playerの脆弱性について、注意を呼びかけた。アドビが23日に情報を公開するとともに、最新版「Adobe Flash Player 18.0.0.194」を公開している。

「国際的なサイバー戦争は勃発寸前だ」暗号の重鎮が語る~Schneier「Sony のハッキングは『高スキルで、標的を絞り込んだ攻撃』だった」(The Register) 画像
TheRegister

「国際的なサイバー戦争は勃発寸前だ」暗号の重鎮が語る~Schneier「Sony のハッキングは『高スキルで、標的を絞り込んだ攻撃』だった」(The Register)

「スキル、資金、そして動機を充分に持った攻撃者であれば、決して侵入に失敗することはない。基本的に、我々のうちの誰一人として、このタイプの攻撃に耐えることはできないだろう」

Mac OS Xユーザを狙うトロイの木馬を確認、便利なアプリの広告を装う(Dr.WEB) 画像
脅威動向

Mac OS Xユーザを狙うトロイの木馬を確認、便利なアプリの広告を装う(Dr.WEB)

Dr.WEBは、トロイの木馬を拡散するMac OS X向けアドウェアを発見したと発表した。

Webアプリフレームワーク「Symfony」にコードインジェクションの脆弱性(JVN) 画像
セキュリティホール・脆弱性

Webアプリフレームワーク「Symfony」にコードインジェクションの脆弱性(JVN)

IPAおよびJPCERT/CCは、SensioLabsが提供する、オープンソースのWebアプリケーションフレームワーク「Symfony」にコードインジェクションの脆弱性が存在すると「JVN」で発表した。

BBC と Facebook は、脆弱なプラグイン「Unity Web Player」へとユーザーをいざなう~フィンランドのセキュリティ研究者が発した警告は無駄骨に(The Register) 画像
TheRegister

BBC と Facebook は、脆弱なプラグイン「Unity Web Player」へとユーザーをいざなう~フィンランドのセキュリティ研究者が発した警告は無駄骨に(The Register)

Pynnonen は、このプラグインをFacebookが積極的に推奨していることを指摘した。また我々は、BBCのCBeebies(子供向けポータルサイト)でも、それを利用する必要があることを発見した。

口永良部島・新岳の最新の火山状況を発表、噴火警戒レベル5が継続(気象庁) 画像
脅威動向

口永良部島・新岳の最新の火山状況を発表、噴火警戒レベル5が継続(気象庁)

 気象庁は19日、18日12時頃に噴火が発生した鹿児島県屋久島町の口永良部島・新岳に関する最新の火山状況を発表した。

[インタビュー] 見えない脅威を検知する~防衛大学校 中村康弘 教授 画像
特集

[インタビュー] 見えない脅威を検知する~防衛大学校 中村康弘 教授

一田「TCPハンドシェイクの応答時間を分析することで踏み台を経由した攻撃を判別できるわけですね。それは素晴らしい。」
中村「今後さらに長期的なデータを分析し、特徴の抽出や分類を行うとともに精度を上げていきたいと考えています。」

Duqu 2.0:Kaspersky を攻撃した「ターミネーター」はイスラエル発かもしれない~情報セキュリティ界の大物たちの意見は異なっているが――それが国家的な作戦であることは間違いないようだ(その 2)(The Register) 画像
TheRegister

Duqu 2.0:Kaspersky を攻撃した「ターミネーター」はイスラエル発かもしれない~情報セキュリティ界の大物たちの意見は異なっているが――それが国家的な作戦であることは間違いないようだ(その 2)(The Register)

「もしもあなたが Duqu 2.0 スタイルの長期的な活動から身を守れないのならば、『国家的なサイバー攻撃の組織が侵害を考慮しそうなデータやリソース』は何も持たないほうが良い」と Beardsley は語った。

「ProctorCache」に、管理タスクを実行される脆弱性(JVN) 画像
セキュリティホール・脆弱性

「ProctorCache」に、管理タスクを実行される脆弱性(JVN)

IPAおよびJPCERT/CCは、Pearson Education社が提供する、試験や受験者の管理を行うソフトウェア「ProctorCache」にハードコードされたパスワードを使用する脆弱性が存在すると「JVN」で発表した。

Duqu 2.0:Kaspersky を攻撃した「ターミネーター」はイスラエル発かもしれない~情報セキュリティ界の大物たちの意見は異なっているが――それが国家的な作戦であることは間違いないようだ(その 1)(The Register) 画像
TheRegister

Duqu 2.0:Kaspersky を攻撃した「ターミネーター」はイスラエル発かもしれない~情報セキュリティ界の大物たちの意見は異なっているが――それが国家的な作戦であることは間違いないようだ(その 1)(The Register)

彼は、(敵が)自身の強さを自慢するために同社を攻撃した可能性があると示唆している。「彼らは自分自身がクールであり、セキュリティ業界をリードする IT 企業さえ感染させられるということを証明したかったのだ」

「父の日」に便乗する詐欺サイトを検知、若年層が標的か(BBソフトサービス) 画像
脅威動向

「父の日」に便乗する詐欺サイトを検知、若年層が標的か(BBソフトサービス)

BBソフトサービスは、「インターネット詐欺リポート(2015年5月度)」を発表した。

SMSでパスワードの更新を促すフィッシングを確認、注意を呼びかけ(フィッシング対策協議会) 画像
脅威動向

SMSでパスワードの更新を促すフィッシングを確認、注意を呼びかけ(フィッシング対策協議会)

フィッシング対策協議会は、銀行を装って携帯電話のSMSを送り、フィッシングサイトに誘導する手口が確認されたとして、注意喚起を発表した。

ネットワーク対応バックアップソフトに、データにアクセスされる脆弱性(JVN) 画像
セキュリティホール・脆弱性

ネットワーク対応バックアップソフトに、データにアクセスされる脆弱性(JVN)

IPAおよびJPCERT/CCは、Retrospect社が提供する、ネットワーク経由でバックアップを行うためのソフトウェア「Retrospect Backup Client」に強度が不十分なパスワードハッシュを生成する脆弱性が存在すると「JVN」で発表した。

スノーデンによる最新のリーク:NSAは「ハッカーたち」を捕まえるためにインターネットを嗅ぎ回ることができる。令状は不要だ~これは何をハッカーと呼ぶかに全面的にかかっている(The Register) 画像
TheRegister

スノーデンによる最新のリーク:NSAは「ハッカーたち」を捕まえるためにインターネットを嗅ぎ回ることができる。令状は不要だ~これは何をハッカーと呼ぶかに全面的にかかっている(The Register)

外国情報監視法 第702項に基づき、自由の地アメリカの構成員ではない、地球上の61億8千万人の人々のメール、通話、インターネットトラフィックを包括的に収集することを許可するものだ。

  1. 1
  2. 2
  3. 3
Page 1 of 3
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×