2014年5月のScan PREMIUM 倶楽部 | ScanNetSecurity
2024.03.29(金)

2014年5月のScan PREMIUM 倶楽部

チップアンドスキム:危険な暗号化は、いかにして顧客を詐欺に晒すのか~ケンブリッジ大学の第一人者たち、サンノゼで PIN カードに関する研究を発表(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

チップアンドスキム:危険な暗号化は、いかにして顧客を詐欺に晒すのか~ケンブリッジ大学の第一人者たち、サンノゼで PIN カードに関する研究を発表(The Register)

それらの値は、特にランダムではないため、犠牲者をプリプレイ攻撃に晒してしまう。この攻撃は、銀行の記録を見たとき、「物質として完全にコピーしたカードを利用した状態」と区別がつかない。

ついに Silverlight が脚光を浴びる……犯罪者たちの間で~エクスプロイトキット「Angler」は、レドモンドの愛されなかったアプリケーションに照準を定める(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

ついに Silverlight が脚光を浴びる……犯罪者たちの間で~エクスプロイトキット「Angler」は、レドモンドの愛されなかったアプリケーションに照準を定める(The Register)

「脅威をもたらす人物たちが、互いにコードをコピーしあい、アップデートをリリースすることにより、このエクスプロイトが他のエクスプロイトパック一族の間でも近い将来に急増するということを、我々は予期しなければならない」

暗号の第一人者、耐 NSA の技術を一蹴「現代の暗号は充分に強いものである」~覚え書き:数学は問題ない。その実装が糞だ。(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

暗号の第一人者、耐 NSA の技術を一蹴「現代の暗号は充分に強いものである」~覚え書き:数学は問題ない。その実装が糞だ。(The Register)

Gutmann は、Gooogle や Paypal、Twitter を含めた何千もの組織がドメインキー・アイデンティファイド・メール(DKIM)の脆弱なキーを利用していることを指摘し、さらなる「悲惨な暗号の迂回」を強調した。

Adobe Reader for Android における任意の Java のメソッド実行の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Adobe Reader for Android における任意の Java のメソッド実行の脆弱性(Scan Tech Report)

Adobe Reader for Android には、任意の Java メソッドが実行可能な脆弱性が存在します。

IETF、将来のあらゆるプロトコルの「耐 NSA」化を計画中~研究者たちは、プライベートデータの詮索者たちとの血戦を誓う(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

IETF、将来のあらゆるプロトコルの「耐 NSA」化を計画中~研究者たちは、プライベートデータの詮索者たちとの血戦を誓う(The Register)

世界の警察による「メタデータの収集は無害だ」という暢気な声明とは異なり、RFC は、インターネットユーザーに対する脅威のリストの中に、「メタデータの収集」を明確に含めている。

あなたのスマートテレビはマイクを内蔵している? では兄弟、良い盗聴を。~ちょっとした忠告:あなたの最新のテレビは、マルウェアも乗せられるコンピュータだ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

あなたのスマートテレビはマイクを内蔵している? では兄弟、良い盗聴を。~ちょっとした忠告:あなたの最新のテレビは、マルウェアも乗せられるコンピュータだ(The Register)

すなわち Ingram の研究は、「Android のストアに置かれている危険なアプリが、スマートフォンやタブレットを乗っ取る際の方法」とほぼ同様の手口で、スマートテレビが悪用される可能性があるということを見出している。

米国当局、スパイ活動の容疑で 5 名の中国人民解放軍ハッカーを指名手配~31 件の容疑で PLA ハッキングチームに訴追(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

米国当局、スパイ活動の容疑で 5 名の中国人民解放軍ハッカーを指名手配~31 件の容疑で PLA ハッキングチームに訴追(The Register)

だが、その会談の少し前、Edward Snowden が「いかに大規模なスケールで、NSA が複数の米国企業からデータを収集しているのか」を詳細に漏えいし始めた。それ以降、米国は「国営のハッキング」に関して沈黙していた。

IETF の技術者たち、次の SSL のために「耐 NSA」の暗号鍵交換を検討中~「いかに Snowden が我々のプライバシーを改善したかを示す最高の一例」(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

IETF の技術者たち、次の SSL のために「耐 NSA」の暗号鍵交換を検討中~「いかに Snowden が我々のプライバシーを改善したかを示す最高の一例」(The Register)

このオプションを TLS 1.3 から削除することは、セキュリティの分析をより単純にするだろう。RSA 証明書は引き続き許可されるものの、鍵の確立に関しては、DHE または ECDHE を通すことになる。

交通信号の脆弱性が「ミニミニ大作戦」風のハッキングの可能性を広げる~血まみれのドアが吹き飛ぶのは構わないが、ラッシュアワーの大混乱は?(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

交通信号の脆弱性が「ミニミニ大作戦」風のハッキングの可能性を広げる~血まみれのドアが吹き飛ぶのは構わないが、ラッシュアワーの大混乱は?(The Register)

「私が発見した脆弱性は、100 ドル以下の安価なハードウェアでプログラミングしたシンプルなエクスプロイトを開始することで、基本的に誰でもデバイスの完全な制御を得て、虚偽のデータを交通管制システムに送ることができるものだ」

Wireshark の MPEG パーサの実装に起因するバッファオーバーフローの脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Wireshark の MPEG パーサの実装に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

Wireshark の MPEG パーサ (MPEG ファイルフォーマットデコーダ) にバッファオーバーフローを引き起こしてしまう弱性が報告されています。

IETF がプライバシー強化を計画する現在、IPv6 の展開の遅延は喜ばしい~新たな RFC「SLAAC」は、ホストを隠す仕事に注力する(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

IETF がプライバシー強化を計画する現在、IPv6 の展開の遅延は喜ばしい~新たな RFC「SLAAC」は、ホストを隠す仕事に注力する(The Register)

Snowden が現れた後、ますますはっきりと分かってきたこととして、アドレスはユーザーおよびユーザーの活動と結びつけることが可能でもある。もしもインターフェイス識別子が時と共に変化しないなら、ユーザーのプライバシーは危殆化される。

システム管理者の皆さん、「海外から来たホットなスパイ」にご注意を~ 「諜報機関が、アクセス取得を目的に IT ワーカーを狙っている」MI5 の警告(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

システム管理者の皆さん、「海外から来たホットなスパイ」にご注意を~ 「諜報機関が、アクセス取得を目的に IT ワーカーを狙っている」MI5 の警告(The Register)

最も明白な標的となる「防衛産業や航空宇宙産業のシステム管理者」だけではなく、さらに幅広い範囲でのワーカー(契約スタッフから、システムエンジニア、ネットワークのメンテナンスを行う作業員まで)が標的とされる可能性があると Ayers は示唆している。

研究者たちが記す「より効果的なスパム行為の手引き」~広く拡散された、小さなボットネットが効果的(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

研究者たちが記す「より効果的なスパム行為の手引き」~広く拡散された、小さなボットネットが効果的(The Register)

邪悪なスパム行為のトライアングルは、「顧客の信頼」で繋がっている。それは、ホワイトハットがスパム活動を停止させるために狙うことができるかもしれない弱点である、と Stringhini は語っている。

カジノチェーン Affinity のクレジットカードシステムが、またやられる~常に胴元が勝つとは限らない(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

カジノチェーン Affinity のクレジットカードシステムが、またやられる~常に胴元が勝つとは限らない(The Register)

悪玉のハッカーたちは、さらに親会社 Terrible Herbst が経営するガソリンスタンドで利用されている決済システムをも掌握していた。また 2 月には、カジノ「Las Vegas Sands」のいくつかのウェブサイトも改ざんされた。

The Register の爆弾レポート:我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか~あなたのメッセージは、いまも安全ではない(その 3)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

The Register の爆弾レポート:我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか~あなたのメッセージは、いまも安全ではない(その 3)(The Register)

もしも彼らがこれらの技術を使用すれば、あなたが「ボイスメールを得るための長い番号」へ電話するとき、彼らは Vodafone のシステム(それは常にあなたの番号と PIN の入力を求める)に頼る必要もない。

The Register の爆弾レポート:我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか~あなたのメッセージは、いまも安全ではない(その 2)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

The Register の爆弾レポート:我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか~あなたのメッセージは、いまも安全ではない(その 2)(The Register)

我々は、まずは我々が行おうとしていることを説明し、それから彼の携帯電話番号のなりすましを実行した。そして我々は成功した。だが、彼のボイスメールを聞きたくはなかった。そこで我々は、ボイスメールの応答メッセージを変更してみることにした。

Adobe Flash Player の Pixel Bender コンポーネントの実装に起因するバッファオーバーフローの脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Adobe Flash Player の Pixel Bender コンポーネントの実装に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

Adobe Flash Player の Pixel Bender コンポーネントにバッファオーバーフローを引き起こしてしまう脆弱性が報告されています。

The Register の爆弾レポート:我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか~あなたのメッセージは、いまも安全ではない(その 1)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

The Register の爆弾レポート:我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか~あなたのメッセージは、いまも安全ではない(その 1)(The Register)

アカウントにリンクされた携帯電話からボイスメールのサービスを呼び出す場合、PIN を入力しなくともメッセージの受信ボックスに辿り着く。話題は、「あなたがどの携帯電話から電話をしているのかを、携帯電話のネットワークはどんな方法で知るのか?」だ。

Heartbleed ばかりに気をとられるな:FreeBSD にクレデンシャルを漏えいしかねない脆弱性~ OSX、NetApp や Juniper の製品、そしてテレビにさえ FreeBSD が利用されていることを思い出そう(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Heartbleed ばかりに気をとられるな:FreeBSD にクレデンシャルを漏えいしかねない脆弱性~ OSX、NetApp や Juniper の製品、そしてテレビにさえ FreeBSD が利用されていることを思い出そう(The Register)

このOSを基礎とする製品には、OSX や PlayStation、一部の Panasonic の テレビ;そして Blue Coat や Checkpoint、IronPort、Juniper、McAfee、Sophos 製のセキュリティツールが含まれている。

Anonymous、アマチュア無線を利用した安全なデータ通信のスキームを開発~海賊チャネルにおける、自由のための「帯域幅」の取引(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Anonymous、アマチュア無線を利用した安全なデータ通信のスキームを開発~海賊チャネルにおける、自由のための「帯域幅」の取引(The Register)

この匿名性のスキームは興味深い。なぜならインターネット上で、アドレッシングは「常にクリアな」メタデータであり、それは非常に強固な真の匿名性を作り上げる。なおかつ、非常にシンプルでもある。

Viber の暗号化されていないデータを、研究者は容易にスラーピングする~「画像、ビデオ、位置情報などが簡単に危殆化される」と主張(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Viber の暗号化されていないデータを、研究者は容易にスラーピングする~「画像、ビデオ、位置情報などが簡単に危殆化される」と主張(The Register)

このイスラエルベースの(キプロスに拠点を置いている)メッセージサービスは先日、日本の e コマースの巨人・楽天に 9 億ドル(編集部註:約 920 億円)で買収された。それは同社が「違うレベルへと」進むことを目指した買収だった。

  1. 1
  2. 2
Page 1 of 2
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×