脆弱性と脅威ニュース記事一覧(207 ページ目)

セキュリティホール・脆弱性 2016.2.5 Fri 8:00

統合ネットワーク管理ソフト「Netgear NMS300」に未対応の脆弱性（JVN）

IPAおよびJPCERT/CCは、SNMPを使用するネットワーク機器をWebインタフェースで設定、監視、診断するための統合ネットワーク管理ソフトウェアである「Netgear NMS300」に複数の脆弱性が存在すると「JVN」で発表した。

TheRegister 2016.2.4 Thu 8:30

NASA も防総省も商務省も、バックドアが仕掛けられた Juniper キットの利用状況の監査対象に～委員会は、ファイアウォールの更新状況を知りたい（The Register）

監督委員会は（政府の）各部門に対する ScreenOS の利用の監査を 2月4日に行うとし、それまでわずかな猶予を与えた──それはちょっと難しい頼みだと我々は考える。連邦政府の一部の IT 担当者は心臓発作を起こすかもしれない。

セキュリティホール・脆弱性 2016.2.4 Thu 8:00

ホームシアターなどのメディアプレイヤー「OpenELEC」に脆弱性（JVN）

IPAおよびJPCERT/CCは、「OpenELEC」およびその派生製品がハードコードされた root 権限のパスワードを使用しており、デフォルトの設定で root による SSH 接続が有効になっている脆弱性が存在すると「JVN」で発表した。

セキュリティホール・脆弱性 2016.2.4 Thu 8:00

フィッシャープライス「Smart Toy」向けWebサービスに脆弱性（JVN）

IPAおよびJPCERT/CCは、フィッシャープライス「Smart Toy」向けWebサービスに、複数のAPI呼出しにおいて適切な認証を行っていない脆弱性が存在すると「JVN」で発表した。

セキュリティホール・脆弱性 2016.2.3 Wed 8:00

Huawei製のWi-FiルータにDNSレスポンスを偽装される脆弱性（JVN）

IPAおよびJPCERT/CCは、Huaweiが提供するWi-Fiルータ「Huawei E5151」および「Huawei E5186」に、不十分なランダム値を使用している脆弱性が存在すると「JVN」で発表した。

TheRegister 2016.2.2 Tue 8:30

ウクライナの電気事業者が、オープンソースの「バックドア型トロイの木馬」に再び攻撃される～そのマクロのフィッシング攻撃はロシア発か（The Register）

この攻撃の出所は必ずしもロシアだとは言えず、また、いかなる者に対しても完全な確信を持って責任を問うことができないと Lipovsky は語る。現在、多くの研究者たちがスレットインテリジェンスとフォレンジックに協力して取り組んでいる。

脅威動向 2016.2.2 Tue 8:00

遠隔操作ウイルスの指令に、検出が難しいDNSを使用する攻撃を確認（ラック）

ラックは、遠隔操作ウイルスに対する指令の伝達手段としてDNSパケットを悪用する事案を初めて確認し、注意喚起情報として公開した。

脅威動向 2016.2.1 Mon 20:00

正規サイトのデザインをそのまま流用し判別が困難なAmazonのフィッシングサイトを確認(フィッシング対策協議会)

　フィッシング対策協議会は1日、Amazonを騙るフィッシングサイトが見つかったとして注意を呼びかけた。

セキュリティホール・脆弱性 2016.2.1 Mon 8:00

「OpenSSL」に暗号化通信を復号される脆弱性（JVN）

IPAおよびJPCERT/CCは、OpenSSL Projectが提供する「OpenSSL」のDHプロトコルに暗号化に使用する鍵を特定される脆弱性が存在すると「JVN」で発表した。

脅威動向 2016.2.1 Mon 8:00

サイバーセキュリティ月間を受け、マクロ型不正プログラムに注意喚起（トレンドマイクロ）

トレンドマイクロは、サイバーセキュリティ月間が2月1日から始まることを受け、企業に対してメール添付のマクロ型不正プログラムの脅威が急増していると注意喚起している。

脅威動向 2016.1.29 Fri 8:00

特殊詐欺の認知件数、被害額が減少に転じる--年間レポート（警察庁）

警察庁は、2015年の特殊詐欺認知・検挙状況等について発表した。発表によると、2015年における特殊詐欺の認知件数は13,828件で、前年比で436件（3.3％）の増加、被害総額は476.8億円で同88.7億円の減少（-15.7％）となった。

TheRegister 2016.1.28 Thu 8:30

フィッシング攻撃に泥を吐いた 2 要素認証の LastPass がロックダウン～パスワードの金庫室を略奪するフィッシングの餌が、Github で公開される（The Register）

通常ならば、金庫室にアクセスするためのマスターパスワードが公式のウェブサイト以外のあらゆるウェブサイト上で入力された場合、LastPass は警告を発する。攻撃者は、その警告の表示をブロックすることができた。

脅威動向 2016.1.28 Thu 8:00

クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」（シマンテック）

シマンテックは、クリックを必要とせずに、訪問者を勝手にアダルトサイトに「登録」させてしまうWebサイトが登場したと、同社ブログで発表した。

セキュリティホール・脆弱性 2016.1.28 Thu 8:00

auショップなどで提供の無線LANルータ「HOME SPOT CUBE」に複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、KDDIが提供する無線LANルータ「HOME SPOT CUBE」に複数の脆弱性が存在すると「JVN」で発表した。

TheRegister 2016.1.27 Wed 8:30

「KeysForge」で、あなたも錠の写真から鍵の設計図を作れる～印刷可能な CAD 図面を生成するには、スマートフォンで撮影した写真で充分だ（The Register）

これまでにも、高解像度レンズを用いて、かなりの距離を隔てて撮影された（鍵の）写真から、その鍵を複製できることが示されている。このアプリケーションは、そのような的を絞った先進的な攻撃を行う際に有効だ。

セキュリティホール・脆弱性 2016.1.25 Mon 8:00

複数のHarman AMX製品に、管理者権限でアクセスされる脆弱性（JVN）

IPAおよびJPCERT/CCは、Harmanが提供する複数のHarman AMX製品に、デバッグ用のアカウントがハードコードされている脆弱性が存在すると「JVN」で発表した。

セキュリティホール・脆弱性 2016.1.25 Mon 8:00

バッファロー製の複数のネットワーク機器に脆弱性（JVN）

IPAおよびJPCERT/CCは、バッファローが提供する複数のネットワーク機器にXSSおよびCSRFの脆弱性が存在すると「JVN」で発表した。

脅威動向 2016.1.22 Fri 21:30

SMSで偽サイトに誘導、「三井住友銀行」を騙るフィッシングサイトを確認(フィッシング対策協議会)

　フィッシング対策協議会は19日、「三井住友銀行」を騙るフィッシングサイト（偽サイト）が存在しているとして、注意を呼びかけた。

TheRegister 2016.1.22 Fri 8:30

狡猾な罠を仕掛けた「マルウェア付きのインボイス」が、日本の銀行口座を空っぽにする～それをブロックできたアンチウイルス製品は、たった 7 ％（The Register）

Rovnix は広範に知られているものではない。IBM によれば、テストを行った 54 のアンチウイルス製品のうち、このマルウェアの特定の構成を検出したのは、わずか 4 つだった。ただし現在、シグネチャファイルの追加が行われている最中である。

TheRegister 2016.1.21 Thu 8:30

良いニュース：OAuth は「ほぼ」安全～研究者たちが Facebook のログインプロトコルに存在する 2 つの脆弱性に光をあてる（The Register）

OAuth 2.0 は、ほぼ全てのレベルにおいて及第点を得ているものの、そのプロトコルには 2 つの弱い部分がある。リダイレクト処理と、アイデンティティプロバイダ（IdP）の処理法における、いくつかの側面だ。

セキュリティホール・脆弱性 2016.1.21 Thu 8:00

BIND 9.xに、DNSサービスが停止する緊急の脆弱性（JPRS）

JPRSは、BIND 9.xの脆弱性（DNSサービスの停止）について緊急の注意喚起を発表した。