2014年9月のScan PREMIUM 倶楽部 | ScanNetSecurity
2021.08.04(水)

2014年9月のScan PREMIUM 倶楽部

情報セキュリティの天才は Canon のプリンタに DOOM をインストールする~「モノのインターネット」のセキュリティの欠陥、再び(The Register) 画像
国際 ScanNetSecurity

情報セキュリティの天才は Canon のプリンタに DOOM をインストールする~「モノのインターネット」のセキュリティの欠陥、再び(The Register)

「我々は、できるかぎり迅速に修正を提供する所存だ。今後、提供されるすべての PIXMA 製品では、『PIXMA ウェブインターフェイス』にユーザーネームとパスワードが追加され、また 2013 年後半以降に販売されたモデルも、このアップデートに対応する」

あくびが出る。Wikileaksよ、我々はすでにFinFisherについて知っている。ただ、このソフトウェアのバイナリは… ~アサンジの最新のリークガスムにはスパイウェアの完全なコピーが含まれる(The Register) 画像
国際 翻訳:Images & Words, Inc.

あくびが出る。Wikileaksよ、我々はすでにFinFisherについて知っている。ただ、このソフトウェアのバイナリは… ~アサンジの最新のリークガスムにはスパイウェアの完全なコピーが含まれる(The Register)

WikiLeaksの最新のリークには、当該ベンダーの請求書とサポートチケットのコピーが含まれている。同社の多数の顧客の名前や、この議論を呼んでいる技術にいくら支払ったのかについて、マスクはかけられていない。WikiLeaksによると、FinFisherの売上は少なくとも…

く書へ左らか右、メールフィルタを回避するスパマーの新たなトリック~Sexe.doc?いやScod.exeだ(The Register) 画像
国際 翻訳: Images & Words, Inc.

く書へ左らか右、メールフィルタを回避するスパマーの新たなトリック~Sexe.doc?いやScod.exeだ(The Register)

スパマーたちはメールフィルタを潜り抜けるトリックを大量に使用しており、ソーシャルメディアを通じて急増させている。Virus Bulletinは、数々のこうしたトリックを挙げたSpammer's Compendium(スパマー一覧)の保守を行っている。

衛星による天気予報:p0wnage しそうな曇り空~極軌道衛星の地上管制で発見された欠陥は「2年」は修復されない (The Register) 画像
国際 翻訳:Images & Words, Inc.

衛星による天気予報:p0wnage しそうな曇り空~極軌道衛星の地上管制で発見された欠陥は「2年」は修復されない (The Register)

米商務省のシステム取得およびITセキュリティ担当の商務次官Allen Crawleyは、NASAとNOAA(National Oceanic and Atmospheric Administration、アメリカ海洋大気庁)の地上管制施設に衝撃的な欠陥があることを発見した。

Googleが発音可能なパスワードを推奨~Super ChromeがMr Mxyzptlkとの戦闘を開始(The Register) 画像
国際 翻訳:Images & Words, Inc.

Googleが発音可能なパスワードを推奨~Super ChromeがMr Mxyzptlkとの戦闘を開始(The Register)

今回の更新は、LastPassや1Passwordが占めているオンラインパスワード管理の分野へのGoogleの最新の侵略である。Googleが一旦はサードパーティによる付加価値サービスとして提示していた機能をChromeが組み込んだので、LastPassや1Passwordはかなり脅威に感じるだろう。

Wireshark の CAPWAP 解析部の実装に起因する DoS の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテストサービス部

Wireshark の CAPWAP 解析部の実装に起因する DoS の脆弱性(Scan Tech Report)

Wireshark の CAPWAP 解析部にサービス運用妨害 (DoS) が発生する脆弱性が報告されています。

Mozillaの証明書が失効:107,000のWebサイトが信頼できない魚雷で撃沈~汝等ここをクリックするもの一切の望みを棄てよ(The Register) 画像
国際 ScanNetSecurity

Mozillaの証明書が失効:107,000のWebサイトが信頼できない魚雷で撃沈~汝等ここをクリックするもの一切の望みを棄てよ(The Register)

Mozillaの動きは、NIST(National Strategy for Trusted Identities in Cyberspace)の科学者によるベストプラクティスの提言に沿ったものだ。NISTは組織に対し2048ビットのキーに移行して、これのみを受け付けるように警告を行っていた。

Comcast は Wi-Fi ホットスポットから JavaScript で広告を注入する~同社の主張「それは広告ではなく『ウォーターマーク』だ」(The Register) 画像
国際 ScanNetSecurity

Comcast は Wi-Fi ホットスポットから JavaScript で広告を注入する~同社の主張「それは広告ではなく『ウォーターマーク』だ」(The Register)

それは「公式の Comcast ホットスポットを利用している」ということを顧客に知らせて、安心させるものだと話している――とはいえ、顧客にダウンロード可能なアプリを薦めることもできるのだが。

Enigmail の PGP プラグインが BCC メールの暗号化を忘れる~ユーザーは現在「悪いやつらから拷問されるのを待っている」状態(The Register) 画像
国際 ScanNetSecurity

Enigmail の PGP プラグインが BCC メールの暗号化を忘れる~ユーザーは現在「悪いやつらから拷問されるのを待っている」状態(The Register)

「Enigmail は、BCCの受信者を非表示としたうえで、誰が送信をしたのかを明かさぬまま、受信者の全員に対して暗号化されたメールを送信するかどうかを尋ねる。しかしBCCの受信者のみに送られるメールは、平文のまま送信される。

決済セキュリティ関係者:iPhone のコンタクトレス決済は、良い決断だ~それに対応しなくとも店の売り上げには影響しないが(The Register) 画像
国際 ScanNetSecurity

決済セキュリティ関係者:iPhone のコンタクトレス決済は、良い決断だ~それに対応しなくとも店の売り上げには影響しないが(The Register)

「Apple が消費者の行動を変化させるほどの影響力を持っていることに疑いの余地はない。しかし、『モバイル決済を受け付けていない小売業者が売り上げを失う』というステージには、まだ到達していない」

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテストサービス部

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性(Scan Tech Report)

Microsoft Internet Explorer (IE) に解放済みメモリを使用してしまう脆弱性が報告されています。

Microsoft「ブルートフォースアタックが怖い? あきらめろ」~パスワードの強度メータは無視しろ、単純なパスワードを使い回せ(The Register) 画像
国際 ScanNetSecurity

Microsoft「ブルートフォースアタックが怖い? あきらめろ」~パスワードの強度メータは無視しろ、単純なパスワードを使い回せ(The Register)

そして彼らは、たとえば暗号化やハッシュ化などのセキュリティのメカニズムが存在しないとき、またはそれらの実装法が悪いときに強いパスワードを要求するのは、時間の無駄であることを見出した。

piyolog Mk-II 第4回「国内中のサイトが模倣されている? ひと夏の模倣サイト誤認騒動」 画像
特集 piyokango

piyolog Mk-II 第4回「国内中のサイトが模倣されている? ひと夏の模倣サイト誤認騒動」

実は「3s3s.org」の管理者に直接依頼することで閲覧対象外に指定することが可能で、国内の組織がいくつか含まれていることが分かります。これは模倣サイト誤認騒動の裏で、事態を正確に把握し、必要に応じて対象外の調整依頼を行っていた組織が存在することを示します。

欧州警察、英国を新たな国際的サイバー犯罪タスクフォースのリーダーに~まずは 6 か月の試験運用(The Register) 画像
国際 ScanNetSecurity

欧州警察、英国を新たな国際的サイバー犯罪タスクフォースのリーダーに~まずは 6 か月の試験運用(The Register)

Archibald は付け加えた:「サイバー犯罪者とサイバー攻撃に関して、法執行機関は多くの困難に直面している。だからこそ、それらの問題に取り組むとき、真に包括的で共同的なアプローチの存在が必要とされている」

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」~それが深刻な攻撃で、攻撃元も判明している限りは(The Register) 画像
国際 ScanNetSecurity

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」~それが深刻な攻撃で、攻撃元も判明している限りは(The Register)

もしも『国の攻撃』があったなら、その後から文脈が広げられるだろう。この発表は主に、『場合によっては抑止効果を有する』ということに焦点を定めた、修辞的な性質のものである」

ここが変だよ日本のセキュリティ 第2回「中長期的に効果の高い対策」 画像
特集 2次元殺法コンビ

ここが変だよ日本のセキュリティ 第2回「中長期的に効果の高い対策」

例を挙げれば、深夜の牛丼チェーンに店員が一人しかいない状態に誰かが最初に気づき、模倣犯が大量に発生しているようなものだ。こうした防犯体制の隙を突く犯罪が発生した場合、組織はすぐに抜本的対応ができない。ならば、そのタイムラグ期間を短くすることが課題となる。

ヌードセルフィのクラウド覗き騒動:Apple の 2 要素認証? 糞みたいなもんだ~しかし公平な立場で言うなら:クラウドは所詮クラウド(その 2)(The Register) 画像
国際 ScanNetSecurity

ヌードセルフィのクラウド覗き騒動:Apple の 2 要素認証? 糞みたいなもんだ~しかし公平な立場で言うなら:クラウドは所詮クラウド(その 2)(The Register)

今回は iCloud が悪評を買っているが、これらの画像のソースは、iCloud だけではなさそうだ。Apple は、このセレブリティ画像のプライバシー騒動で批難される対象として、不当に矛先を向けられたように見える、と Conway は主張している。

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテストサービス部

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性(Scan Tech Report)

Mozilla Firefox にポップアップブロック機能を回避して、chrome 特権で任意の JavaScript が実行可能な脆弱性が報告されています。

ヌードセルフィのクラウド覗き騒動:Apple の 2 要素認証? 糞みたいなもんだ~しかし公平な立場で言うなら:クラウドは所詮クラウド(その 1)(The Register) 画像
国際 ScanNetSecurity

ヌードセルフィのクラウド覗き騒動:Apple の 2 要素認証? 糞みたいなもんだ~しかし公平な立場で言うなら:クラウドは所詮クラウド(その 1)(The Register)

Apple 特有の欠点は、コンピュータフォレンジックのフィールドでは、しばらく前から非常に良く知られていた。ElcomSoft のセキュリティ研究者は昨年、クラウドに保管されているドキュメント」を Apple の 2 要素認証が保護しないということを説明している。

VirusTotal の混沌で、あなたも Comment Crew を追跡できる!~北京とテヘランに支援されたハッカーは、しみったれであるようだ(The Register) 画像
国際 ScanNetSecurity

VirusTotal の混沌で、あなたも Comment Crew を追跡できる!~北京とテヘランに支援されたハッカーは、しみったれであるようだ(The Register)

「ウイルス作者たちは、マルウェアを犠牲者の元へ送りこむ前に、VirusTotal やそれに類似したテストサービスを利用して、マルウェアの効果をテストしている」ということは、セキュリティサークルでは以前から知られていたことだ。

HP:北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ~「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」(The Register) 画像
国際 ScanNetSecurity

HP:北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ~「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」(The Register)

北朝鮮のハッカーは米国の防衛ネットワークへの侵入を成功裏に果たしている。資源の老朽化や不足は、サイバー戦争を行う上での技術的な能力を損ねるものではない。とりわけ、その政府が他国の機関と資源を利用できる場合は。

  1. 1
  2. 2
Page 1 of 2
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×