IPAおよびJPCERT/CCは、SSLv2には十分な回数のハンドシェイクの情報を収集できる場合に、暗号通信を解読される可能性があると「JVN」で発表した。
F5は、「ADCベンダーであるF5が語るセキュリティ総SSL通信化時代のセキュリティ死角と、その対策」と題した勉強会を開催した。
IPAおよびJPCERT/CCは、CDNに対する攻撃手法として、Forwarding Loopを発生させDoS状態にする攻撃が指摘されていると「JVN」で発表した。
IPAおよびJPCERT/CCは、鍵交換プロトコルである「IKEv1」および「IKEv2」にDoS攻撃の踏み台として使用される脆弱性が存在すると「JVN」で発表した。
「我々は、アンチウイルス、サンドボックス、次世代ファイアウォールなどの防衛的な技術が、今後も我々の安全を確保するかのようなふりをしている──そうはならないと知っているにも関わらず」
「理解という点では、先進国の中でも日本だけ特徴的なことがあります。それは、セキュリティは情報システム部門のネットワーク担当がやることだという誤解です。(中略)ネットワーク屋のシスコだからこそ、この認識を変えていきたい。」
「マイクロセグメンテーションは、仮想デスクトップや仮想サーバ間でマルウェアの拡散時に発生するネットワーク通信を検知すると、自動でその通信を遮断しマルウェアを感染端末内に封じ込めることができます。」
IPAおよびJPCERT/CCは、QNAPが提供するマルチメディア広告作成、アップロード用ソフトウェア「Signage Station」および「iArtist Lite」に複数の脆弱性が存在すると「JVN」で発表した。
フィッシング対策協議会は26日、「りそな銀行」を騙るフィッシングサイト(偽サイト)が存在しているとして、注意を呼びかけた。りそな銀行もあらためて注意を呼びかけている。
2016年7月30日以降、AdWordsとDoubleClickはFlashの広告のアップロードを認めないとGoogleは広告主たちに告知した。来たる2017年1月2日にはGoogle Display Networkで、あるいはDoubleClickでディスプレイ広告が動作しなくなる。
IPAおよびJPCERT/CCは、複数の開発者が提供している無線接続のキーボードやマウスなどの入力機器に、安全でない独自の無線通信プロトコルを使用している脆弱性が存在すると「JVN」で発表した。
「電子メールのセキュリティ対策が注目を受けています。自治体システム強靱化の要件にも挙げられており、基本対策として取り組んでいます。メール対策といえば、標的型攻撃メール訓練が思い浮かびますが、何度訓練しても感染をゼロにすることはできません。」
「特定の1社が狙われているのではなく、日本が狙われているという印象があります。調査・分析の過程で考えさせられることがありました。それは、攻撃者はまだ『情報を収集している段階』なのではないかということです。」
「我々が言えることは、『その攻撃の背後にいた犯罪者は、専門的なハッカーには程遠い存在だった』ということだ。Adwindの顧客の大半は、そのレベルのコンピュータの教養しか身につけていないと我々は考えている。それは気がかりな傾向だ」
IPAおよびJPCERT/CCは、Flexera Softwareが提供するFlexNet Publisherの「lmgrd」およびベンダ固有のサーバプログラムにバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、Script*が提供する文字チャットシステム「Log-Chat」に格納型のクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。
「日本では、セキュリティ対策というと、個人情報保護法やJ-SOX法など、どちらかというとコンプライアンス面から考えていた傾向があります。しかし、今やサイバー攻撃は現実的な脅威となり、どんな企業や組織も標的となりうるとの認識が高まっています。」
攻撃者は、そのデバイスを「マルウェアのストア」に変化させる能力を持つことになる。それは、このスマート(と呼ばれている)サーモスタットと同じ無線ネットワークを利用している他のデバイスをマルウェアに感染させるために利用できるだろう。
フィッシング対策協議会は22日、「埼玉りそな銀行」を騙るフィッシングサイト(偽サイト)が存在しているとして、注意を呼びかけた。「埼玉りそな銀行」は、りそなグループの都市銀行。
「攻撃側に追いつくには構造そのものを変えていく必要があります。この変化に必要なキーワードは二つです。一つは防御の「自動化」。そしてもう一つは、企業や業界の壁を超えた「情報共有」です。」