2016年4月の脆弱性と脅威ニュース記事一覧

新製品・新サービス 2016.4.28 Thu 8:00

ランサムウェアのROIは1,425％、情報武装のためのマルウェア解析を提供（キヤノンITS）

キヤノンITSは、不審なマルウェアを解析してレポートする有償サービス「マルウェア解析サービス」を7月1日より提供開始すると発表した。

セキュリティホール・脆弱性 2016.4.28 Thu 8:00

「ManageEngine Password Manager Pro」にアクセス制限不備の脆弱性（JVN）

IPAおよびJPCERT/CCは、Zoho Corporationが提供する特権ID管理ソフトウェアである「ManageEngine Password Manager Pro」にアクセス制限不備の脆弱性が存在すると「JVN」で発表した。

セキュリティホール・脆弱性 2016.4.28 Thu 8:00

「Apache Struts2」に任意のコードを実行される脆弱性（JVN）

IPAおよびJPCERT/CCは、Webアプリケーションを構築するためのフレームワークである「Apache Struts2」に任意のコードを実行される脆弱性が存在すると「JVN」で発表した。

TheRegister 2016.4.27 Wed 12:55

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register)

保育士夫婦の息子Wakelamがハイスクールから脱出したのは、3年生の終わりだった。両親は、将来を見据えた決断だとして支持した。バグ発見報奨金は儲かる仕事として、また履歴書の穴を埋めるものとして、中退したWakelamに最適だった。

セキュリティホール・脆弱性 2016.4.27 Wed 8:00

「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性（JPCERT/CC）

JPCERT/CCは、「ケータイキット for Movable Type」の脆弱性（CVE-2016-1204）に関する注意喚起を発表した。

脅威動向 2016.4.26 Tue 12:00

熊本地震発生から10日経過、いまだ警戒が必要

14日に熊本県益城町で震度7の強い揺れを観測して以来、熊本県と大分県にわたる広い地域で地震が続く。発生から10日を経過したが、いまだ警戒が必要だ。気象庁は24日も会見を開き、注意を呼びかけた。

セキュリティホール・脆弱性 2016.4.26 Tue 8:00

バックアップ・リカバリソフト「HP Data Protector」に複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、HPが提供するバックアップ・リカバリソフト「HP Data Protector」に複数の脆弱性が存在すると「JVN」で発表した。

セキュリティホール・脆弱性 2016.4.26 Tue 8:00

サイボウズ「kintone mobile for Android」に複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、サイボウズが提供するAndroid向けアプリ「kintone mobile for Android」に複数の脆弱性が存在すると「JVN」で発表した。

脅威動向 2016.4.26 Tue 8:00

カウントダウンとともに徐々にファイルが削除される暗号化型ランサムウェア「JIGSAW」を確認(トレンドマイクロ)

　「さあ、ゲームをしよう」……不気味な殺人鬼が、登場人物たちを絶望の淵に叩き込むホラー映画「SAW」。7作目まで作られた人気シリーズだが、その恐怖が2016年に甦ることとなった。

セキュリティホール・脆弱性 2016.4.25 Mon 8:01

「Electron」に任意のJavaScriptを実行される脆弱性（JVN）

IPAおよびJPCERT/CCは、Webテクノロジを使ったクロスプラットフォームのデスクトップアプリケーションを開発するためのソフトウェアフレームワーク「Electron」にNodeモジュール読み込みのパスを適切に制限していない脆弱性が存在すると「JVN」で発表した。

[RSA Conference 2016 USA] IOC (Indicator of Compromise) は死んだのか？タニウム社講演レポート画像

セミナー・イベント 2016.4.21 Thu 13:45

[RSA Conference 2016 USA] IOC (Indicator of Compromise) は死んだのか？タニウム社講演レポートPR

講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。

セキュリティホール・脆弱性 2016.4.21 Thu 10:08

OracleがJavaのセキュリティアップデートを公開、至急の適用を（IPA）

IPAは、Oracle社が提供するJavaプログラムを実行するためのソフトウェア実行環境「JRE」の脆弱性対策について発表した。

セキュリティホール・脆弱性 2016.4.20 Wed 8:00

スマホアプリ「Photopt」にSSLサーバ証明書検証不備の脆弱性（JVN）

IPAおよびJPCERT/CCは、エヌ・ティ・ティ・コミュニケーションズが提供するスマートフォンアプリ「Photopt」にSSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。

ソリトンシステムズのサイバーセキュリティ第2回「『ランサムウェア』が試金石？今、企業の多層防御が試される」画像

特集 2016.4.19 Tue 9:15

ソリトンシステムズのサイバーセキュリティ第2回「『ランサムウェア』が試金石？今、企業の多層防御が試される」PR

昨今のランサムウェアは、パターンファイル型の対策が間に合わない。荒木氏は、いくらユーザーに怪しい添付ファイルを開かないよう教育しても限界があるため、できる限りシステム側でリスク軽減し、ビジネスインパクトを低減するべき段階に来ているという。

TheRegister 2016.4.18 Mon 8:45

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする（1）（The Register）

世界最大手のテクノロジー企業や家電メーカーのセキュリティホールを見つけ出して報告するという、バグ発見報奨ブームに乗った世界中に数百人ほどいる有能なハッカーのうちの1人が彼だ。

セキュリティホール・脆弱性 2016.4.18 Mon 8:00

「QuickTime for Windows」に重大な脆弱性、アップルはサポートを終了か（JVN）

IPAおよびJPCERT/CCは、アップルが提供するマルチメディアプレイヤー「QuickTime for Windows」に複数のヒープバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。

脅威動向 2016.4.17 Sun 8:00

Battle.netがDDoS攻撃被害、実行犯は「Lizard Squad」か(Blizzard Entertainment)

Blizzard Entertainmentは、同社のサービスBattle.netに対して、外部からDDoS攻撃が行われていたことを発表しました。

エクスプロイト 2016.4.14 Thu 10:45

OS X および iOS において競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性

Apple 社の OS である OS X および iOS に、競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性が報告されています。

[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは？～タニウム社チーフセキュリティアーキテクトに聞く画像

セミナー・イベント 2016.4.14 Thu 9:45

[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは？～タニウム社チーフセキュリティアーキテクトに聞くPR

タニウムが注力している EDR（Endpoint Detection and Response）は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。

セキュリティホール・脆弱性 2016.4.14 Thu 8:00

「東京スター銀行アプリ」にSSLサーバ証明書検証不備の脆弱性（JVN）

IPAおよびJPCERT/CCは、東京スター銀行が提供するスマートフォンアプリ「東京スター銀行アプリ」にSSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。