脆弱性と脅威ニュース記事一覧(214 ページ目)

TheRegister 2016.1.28 Thu 8:30

フィッシング攻撃に泥を吐いた 2 要素認証の LastPass がロックダウン～パスワードの金庫室を略奪するフィッシングの餌が、Github で公開される（The Register）

通常ならば、金庫室にアクセスするためのマスターパスワードが公式のウェブサイト以外のあらゆるウェブサイト上で入力された場合、LastPass は警告を発する。攻撃者は、その警告の表示をブロックすることができた。

脅威動向 2016.1.28 Thu 8:00

クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」（シマンテック）

シマンテックは、クリックを必要とせずに、訪問者を勝手にアダルトサイトに「登録」させてしまうWebサイトが登場したと、同社ブログで発表した。

セキュリティホール・脆弱性 2016.1.28 Thu 8:00

auショップなどで提供の無線LANルータ「HOME SPOT CUBE」に複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、KDDIが提供する無線LANルータ「HOME SPOT CUBE」に複数の脆弱性が存在すると「JVN」で発表した。

TheRegister 2016.1.27 Wed 8:30

「KeysForge」で、あなたも錠の写真から鍵の設計図を作れる～印刷可能な CAD 図面を生成するには、スマートフォンで撮影した写真で充分だ（The Register）

これまでにも、高解像度レンズを用いて、かなりの距離を隔てて撮影された（鍵の）写真から、その鍵を複製できることが示されている。このアプリケーションは、そのような的を絞った先進的な攻撃を行う際に有効だ。

セキュリティホール・脆弱性 2016.1.25 Mon 8:00

複数のHarman AMX製品に、管理者権限でアクセスされる脆弱性（JVN）

IPAおよびJPCERT/CCは、Harmanが提供する複数のHarman AMX製品に、デバッグ用のアカウントがハードコードされている脆弱性が存在すると「JVN」で発表した。

セキュリティホール・脆弱性 2016.1.25 Mon 8:00

バッファロー製の複数のネットワーク機器に脆弱性（JVN）

IPAおよびJPCERT/CCは、バッファローが提供する複数のネットワーク機器にXSSおよびCSRFの脆弱性が存在すると「JVN」で発表した。

脅威動向 2016.1.22 Fri 21:30

SMSで偽サイトに誘導、「三井住友銀行」を騙るフィッシングサイトを確認(フィッシング対策協議会)

　フィッシング対策協議会は19日、「三井住友銀行」を騙るフィッシングサイト（偽サイト）が存在しているとして、注意を呼びかけた。

TheRegister 2016.1.22 Fri 8:30

狡猾な罠を仕掛けた「マルウェア付きのインボイス」が、日本の銀行口座を空っぽにする～それをブロックできたアンチウイルス製品は、たった 7 ％（The Register）

Rovnix は広範に知られているものではない。IBM によれば、テストを行った 54 のアンチウイルス製品のうち、このマルウェアの特定の構成を検出したのは、わずか 4 つだった。ただし現在、シグネチャファイルの追加が行われている最中である。

TheRegister 2016.1.21 Thu 8:30

良いニュース：OAuth は「ほぼ」安全～研究者たちが Facebook のログインプロトコルに存在する 2 つの脆弱性に光をあてる（The Register）

OAuth 2.0 は、ほぼ全てのレベルにおいて及第点を得ているものの、そのプロトコルには 2 つの弱い部分がある。リダイレクト処理と、アイデンティティプロバイダ（IdP）の処理法における、いくつかの側面だ。

セキュリティホール・脆弱性 2016.1.21 Thu 8:00

BIND 9.xに、DNSサービスが停止する緊急の脆弱性（JPRS）

JPRSは、BIND 9.xの脆弱性（DNSサービスの停止）について緊急の注意喚起を発表した。

セキュリティホール・脆弱性 2016.1.21 Thu 8:00

Oracleが「Java SE」のアップデートを公開、適用を呼びかけ（JPCERT/CC）

JPCERT/CCは、「Oracle Java SE」のクリティカルパッチアップデートに関する注意喚起を発表した。

TheRegister 2016.1.20 Wed 8:30

スターウォーズ「BB-8」の玩具、ファームウェア更新にリスクあり～英国のセキュリティ研究者たちが指摘（The Register）

PTPはベンダーに連絡し（ベンダーはそれを深刻に受け止めて分析し、更新を行うと約束した）、さらに「このセキュリティの弱点は、いかなる重大なリスクをもたらすこともないものだった」と結論づけるまでの間、その脆弱性を公開しなかった。

脅威動向 2016.1.19 Tue 21:30

DMM.comを騙り有料動画サイトの利用料金を支払わせようとするSMSを確認(消費者庁)

　消費者庁は18日、DMM.comを騙り、有料動画サイトの利用料金を支払わせようとする事業者がいるとして、注意を呼びかけた。未払料金を請求するSMS（ショートメッセージサービス）を、送信してくるという。

脅威動向 2016.1.19 Tue 21:30

「こんにちは！」で始まる不正メールで誘導、「じぶん銀行」を騙るフィッシングサイトを確認(フィッシング対策協議会)

　フィッシング対策協議会は19日、「じぶん銀行」を騙るフィッシングサイト（偽サイト）が存在しているとして、注意を呼びかけた。

脅威動向 2016.1.19 Tue 21:00

比較的自然な日本語メールで誘導、セゾン Net アンサーを騙るフィッシングサイトを確認(フィッシング対策協議会)

　フィッシング対策協議会は19日、セゾン Net アンサーを騙るフィッシングサイトが存在しているとして、注意を呼びかけた。

TheRegister 2016.1.19 Tue 8:30

「脱線を招く欠陥」に苛立たされた列車ハッカーが、SCADA のパスワードのリストを公開～これで彼らも修復するだろう、たぶん（The Register）

これらのバグは（無害そうなアプリケーションのバグでも）、賢い攻撃者により強力なベクトルで悪用される可能性がある。「もし誰かがモデムを攻撃できたら、そのモデムは電車の自動制御システムを攻撃でき、そして彼らは電車の制御を奪うことができる」

脅威動向 2016.1.19 Tue 8:00

安さを求める中高生を狙うスポーツ用品販売の詐欺サイトが増加（BBソフトサービス）

BBソフトサービスは、「インターネット詐欺リポート（2015年12月度）」を発表した。

セキュリティホール・脆弱性 2016.1.19 Tue 8:00

iOSアプリ「ショッぷらっと」にSSLサーバ証明書検証不備の脆弱性（JVN）

IPAおよびJPCERT/CCは、NTTドコモが提供するiOSアプリ「ショッぷらっと」にSSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。

TheRegister 2016.1.18 Mon 8:30

セキュリティ研究者によって確認された「自分のペースメーカーが心拍数のデータを医師に送る流れ」～ええと、これは SMS？ SG？それともメール？（The Register）

これらの医療ハッカーたちは昨年、米議会に対して「ハッカーが医療デバイスを調査することが、また車両にハッキングをすることが許可されるように、DMCA 制限法の例外的な措置を得るための働きかけ」を成功裏に行っている。

セキュリティホール・脆弱性 2016.1.18 Mon 8:00

メール配信システム「acmailer」にOSコマンドインジェクションの脆弱性（JVN）

IPAおよびJPCERT/CCは、シーズが提供する、サーバ向けのCGIタイプのメール配信システム「acmailer」にHTTPヘッダインジェクションの脆弱性が存在すると「JVN」で発表した。