2014年10月のScan PREMIUM 倶楽部 | ScanNetSecurity
2024.03.29(金)

2014年10月のScan PREMIUM 倶楽部

Tor の出口ノードがダウンロード時にマルウェアを混ぜ込む~Windows Update のハッカーは Microsoft FixIt に守られる(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Tor の出口ノードがダウンロード時にマルウェアを混ぜ込む~Windows Update のハッカーは Microsoft FixIt に守られる(The Register)

Tor プロジェクトのメンバー Roger Dingledine は、ネットワーク上の悪者として、その出口ノードにフラグを立てた。だが、そのことは、100 以上の出口ノードから「模倣した攻撃」が行われるのを実質的に防ぐ措置ではない。

「Edward とは誰だ?」GCHQ のボスは最後のスピーチで Snowden の話題を避ける~英国のスパイは「大規模な監視」をせずに「散歩」をする(その 2)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

「Edward とは誰だ?」GCHQ のボスは最後のスピーチで Snowden の話題を避ける~英国のスパイは「大規模な監視」をせずに「散歩」をする(その 2)(The Register)

「勤務時間外の我々は、『友人、隣人、あるいはお客』と見なされている人々である。急激に魂を失うことはない。私のスタッフたちは、普通とは違った(並外れた)仕事をしている普通の人々だ」と彼は語った。

「Edward とは誰だ?」GCHQ のボスは最後のスピーチで Snowden の話題を避ける~英国のスパイは「大規模な監視」をせずに「散歩」をする(その 1)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

「Edward とは誰だ?」GCHQ のボスは最後のスピーチで Snowden の話題を避ける~英国のスパイは「大規模な監視」をせずに「散歩」をする(その 1)(The Register)

大西洋ファイバーケーブル通信の傍受や、Belgacom のシステムのハッキングに関する Snowden の暴露にも関わらず、その聴衆は、「いかに GCHQ のスタッフが厳格な規制制度の範囲内で活動しているのか」についても話を聞くこととなった。

iOS アプリ「File Manager」におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

iOS アプリ「File Manager」におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report)

LTD DevelSoftware が提供する iOS アプリ「File Manager」には、クロスサイトスクリプティングの脆弱性が存在します。

量子鍵セキュリティ、実用に一歩前進~あなたも「デバイスから切り離された証明」に近づける……もしも物理学の法に従うなら(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

量子鍵セキュリティ、実用に一歩前進~あなたも「デバイスから切り離された証明」に近づける……もしも物理学の法に従うなら(The Register)

その著者は、彼らの研究を「一定のノイズ率に耐え、暗号鍵の量の線形的な抽出を可能とする、『デバイスから切り離された、完全な量子鍵配送のセキュリティ証明』として初の研究」と呼んでいる。

取り散らかった CERT を片付ける FIRST の国際標準~バグ対応の連合体は語る「分かち合いは助け合いだ」(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

取り散らかった CERT を片付ける FIRST の国際標準~バグ対応の連合体は語る「分かち合いは助け合いだ」(The Register)

数多くの異なる種類のデータが収集、共有され、様々な測定基準が用いられる CERT の標準的な業務モデルは、これまで存在していなかった。それが国ごとの CERT 間で、情報共有やデータの分類など数々の問題を生じさせてきた

ロシアの「カード情報の闇販売」のカイザー・ソゼを、ハッカーハンターが示す~報告書は語る:その首謀者は「Rescator」だ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

ロシアの「カード情報の闇販売」のカイザー・ソゼを、ハッカーハンターが示す~報告書は語る:その首謀者は「Rescator」だ(The Register)

金融機関を狙った複数のグループは、そのレポートの期間中、トロイの木馬やフィッシングサイトなどの技術、さらには買収したインサイダーの助けさえも利用し、約 4 千万ドル(編集部註:約 43 億円)を盗んだ。

Kickstarter で 60 万ドルを集めた Tor ルータボックスに批難集中~開発者は主張「それは、ただの既製の回路基板とは違う」(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Kickstarter で 60 万ドルを集めた Tor ルータボックスに批難集中~開発者は主張「それは、ただの既製の回路基板とは違う」(The Register)

そのカリフォルニアの開発者は、Vulture South に対し、Anonabox の設計がオリジナルであり、彼のリクエストに基づいて素材を調達したエンジニアの友人がデザインしたものだ、と語っている。

ここが変だよ日本のセキュリティ 第4回「台湾HITCON突撃レポート 後編」 画像
特集
2次元殺法コンビ
2次元殺法コンビ

ここが変だよ日本のセキュリティ 第4回「台湾HITCON突撃レポート 後編」

筆者は、ついカッとなってしまい、メイン会場とは別に台湾の優秀な学生たちがライトニング・トーク大会をしている会場に飛び入りで講演してしまった。学生達は最初ビックリしたようだけど、直ぐに私と最愛の彼女の講演を受け入れてくれた。

ID データベースのハッキングを受けた韓国、10 億ドルのオーバーホールを検討~アジアのインターネットの父が「手立てなし」と警告(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

ID データベースのハッキングを受けた韓国、10 億ドルのオーバーホールを検討~アジアのインターネットの父が「手立てなし」と警告(The Register)

「この住民の登録番号が『異なる分野を横切って』使用されているため、その番号はハッカーたちにとって、『あらゆるドアを開き、尊大な犠牲者の個人情報を丸ごと盗めるマスターキー』になっている」

Drupal の expandArguments() 関数の実装に起因する SQL インジェクションの脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Drupal の expandArguments() 関数の実装に起因する SQL インジェクションの脆弱性(Scan Tech Report)

Drupal に SQL インジェクションの脆弱性が報告されています。

LulzSec 出身の密告者が英国と豪州への攻撃を導く――レポート~Sabu が連邦に30 か国を狙わせたことが記録で明らかに(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

LulzSec 出身の密告者が英国と豪州への攻撃を導く――レポート~Sabu が連邦に30 か国を狙わせたことが記録で明らかに(The Register)

LulzSec のハッカーたちは、複数の政府のウェブサイトを改竄し、またトルコやブラジル、その他のサーバから機密情報を盗むよう奨励されていた。ここで盗まれたデータは、どうやら FBI に制御されているサーバへアップロードされたようだ。

ペンテスターが「ハッキングを高コストにするための黄金のルール」を概説~シスアド諸君には悪いが、セキュリティのためにルートアクセスは取り上げたよ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

ペンテスターが「ハッキングを高コストにするための黄金のルール」を概説~シスアド諸君には悪いが、セキュリティのためにルートアクセスは取り上げたよ(The Register)

「どのユーザーも決して管理者としてログインするべきではない」と Salous は語った。「テクノロジーの部署では、それぞれのスタッフのために個別の admin アカウントを作成せよ」

いますぐに SSL 3.0 を無効化せよ:邪悪なプードルが HTTPS を攻撃する~とにかく急いで取り除け、それは穴だらけのチーズだ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

いますぐに SSL 3.0 を無効化せよ:邪悪なプードルが HTTPS を攻撃する~とにかく急いで取り除け、それは穴だらけのチーズだ(The Register)

「ハッカーが試みるのは、あなたのセッション Cookie のハッキングである。つまり彼らは、あなたのアカウント用のパスワードを手に入れることはないが、あなたのアカウントに『あなたとして』ログインすることが可能となるだろう」

TripAdvisor のサイトでデータ侵害、80 万人のユーザーのカードデータが漏洩した可能性も~Viator「来た、見た、盗まれた」(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

TripAdvisor のサイトでデータ侵害、80 万人のユーザーのカードデータが漏洩した可能性も~Viator「来た、見た、盗まれた」(The Register)

「PCI DSS のセキュリティ要件が要求しているのは『カードデータの基礎的な保護』だ。しかし企業は、コンプライアンスを遵守するだけで侵害のリスクから身を守ることはできない」

ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」 画像
特集
2次元殺法コンビ
2次元殺法コンビ

ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。

Tim Cook「Apple は、政府にサーバへのアクセスを許可したことがない」~あなたのヌードセルフィを見られるのはハッカーだけ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Tim Cook「Apple は、政府にサーバへのアクセスを許可したことがない」~あなたのヌードセルフィを見られるのはハッカーだけ(The Register)

「我々は、いかなる国の、いかなる政府機関とも、協働してバックドアを仕掛けたことはない(いかなる製品、いかなるサービスにも)。そして我々は、これまで我々のサービスへのアクセスを許可したことがなく、それを許可することは今後もないだろう」

ロシアのボットネット犯罪の容疑者たち、ロマンティックな MMS で逮捕~待て! その「RomanticVK」に手を出すな――そこにモンスターがいる(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

ロシアのボットネット犯罪の容疑者たち、ロマンティックな MMS で逮捕~待て! その「RomanticVK」に手を出すな――そこにモンスターがいる(The Register)

その攻撃者は、『RomanticVK』または『VK_Gift』の名で『ロマンチックな贈り物』を約束するという内容の MMS メッセージを大量に送信することにより、悪意あるソフトウェアを携帯電話に感染させた。

TOR ユーザーは、法的な権力を得た FBI の最高の標的になる~友よ、恐れよ。ならず者たちが我々の通信をスパイしようとしている(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

TOR ユーザーは、法的な権力を得た FBI の最高の標的になる~友よ、恐れよ。ならず者たちが我々の通信をスパイしようとしている(The Register)

この改正は、海外での捜索を認可するための令状を交付する権限を法廷に与えるものではないと DoJ(米司法省)は語っている。しかしGhappourは、その適用が結果として「FBI史上最大の、治外法権における監視権限の幅広い拡大」に繋がるだろうと 主張している。

ケーブル通信業者が反論「『水中銃』プログラムは妄想だ」~ケーブルが切断された場合、我々はそれに気付く、かもしれない(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

ケーブル通信業者が反論「『水中銃』プログラムは妄想だ」~ケーブルが切断された場合、我々はそれに気付く、かもしれない(The Register)

「ケーブル事業者は、彼らのライセンスの条件として、法の執行機関への協力に同意しなければならない」ということは、隠すまでもない話であり――そのような文書は米国の FCC によって公開されている。

「開いてますか?」攻撃者は SNMP のドアをノックする~SANS が新たな、かつ奇妙な攻撃を発見(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

「開いてますか?」攻撃者は SNMP のドアをノックする~SANS が新たな、かつ奇妙な攻撃を発見(The Register)

この攻撃は、パスワードをデフォルトのままにしている SNMP ホスト―― その Read-write コミュニティストリングが「private」のもの――の乗っ取りを企んでいる。

  1. 1
  2. 2
Page 1 of 2
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×