2015年3月のScan PREMIUM 倶楽部

Samsung は指紋認証から、あなたの「目」へと焦点を移す～その虹彩スキャンの技術は、手始めに Galaxy Tab Pro で採用される（The Register）画像

2015.3.31 Tue 8:30

Samsung は指紋認証から、あなたの「目」へと焦点を移す～その虹彩スキャンの技術は、手始めに Galaxy Tab Pro で採用される（The Register）

この生体認証システム Iris on the Move（IoM）は、すでに多様な SRI ブランドの製品で提供されている。しかし Samsung との提携によって、その研究企業には、これまでよりもはるかに大きな潜在的市場が届けられることになる。

AT&T、Verizon、その他の通信企業が「ネットの中立性」を永遠に葬り去るための訴訟を起こす～そして彼らの反発が始まった（The Register）画像

国際

ScanNetSecurity

2015.3.30 Mon 8:30

AT&T、Verizon、その他の通信企業が「ネットの中立性」を永遠に葬り去るための訴訟を起こす～そして彼らの反発が始まった（The Register）

「一般的なキャリア」として再分類されたことに激怒しているAT&TやVerizonらは、FCC のOpen Internet Orderを「恣意的で気まぐれな裁量の濫用」だと表現し、その見直しを上級裁判官たちに求めた。

スウェーデンの都市が 10 代のハッカーに 4 万ポンドの損害賠償を請求～その少年は「セキュリティの欠陥を暴きたかっただけ」と主張（The Register）画像

国際

ScanNetSecurity

2015.3.26 Thu 8:30

スウェーデンの都市が 10 代のハッカーに 4 万ポンドの損害賠償を請求～その少年は「セキュリティの欠陥を暴きたかっただけ」と主張（The Register）

そのシステムは安全性が低く、誰でもパスワードを盗める状態であることに気付いた、と少年は地元報道機関に語った。彼自身は、そのサーバから何も盗まず、何のダメージも与えず、また侵入行為には1時間も費やさなかったと話している。

ここが変だよ日本のセキュリティ第11回「業務継続訓練　効果的に行えていましたか？」画像

特集

2次元殺法コンビ

2015.3.25 Wed 12:22

ここが変だよ日本のセキュリティ第11回「業務継続訓練　効果的に行えていましたか？」

受験勉強に例えるとよく分かると思う。訓練は模擬試験のようなものなんだ。実力をつけるのはもちろん日頃の受験勉強だ。ラッキーで模擬試験の点数が良くても、それは実力じゃないよ。受験で勝つのは実力なんだ。

Princeton の研究者たちは、TCP ACK から Tor ユーザーの ID を嗅ぎまわる～そのタマネギは日に日に透明化している（The Register）画像

国際

ScanNetSecurity

2015.3.25 Wed 8:30

Princeton の研究者たちは、TCP ACK から Tor ユーザーの ID を嗅ぎまわる～そのタマネギは日に日に透明化している（The Register）

その論文は、国家レベルの攻撃者は――言い換えるなら、トラフィックの分析をプロバイダに要求する NSA は――比較的、少ない数のプロバイダからトラフィックを得るだけでよいと指摘している。

ActualAnalyzer Lite における Cookie パラメータが検証されず任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2015.3.25 Wed 8:00

ActualAnalyzer Lite における Cookie パラメータが検証されず任意のコードが実行されてしまう脆弱性（Scan Tech Report）

WordPress のテンプレート作成プラグインである Infusionsoft Gravity Formsに任意のファイルがアップロードされる脆弱性が報告されています。

WHOIS の混乱の後、Google が Apps ユーザーに警告～ドメイン更新後の登録のバグで、WHOIS のプライバシースイッチがオフに（The Register）画像

国際

ScanNetSecurity

2015.3.24 Tue 8:30

WHOIS の混乱の後、Google が Apps ユーザーに警告～ドメイン更新後の登録のバグで、WHOIS のプライバシースイッチがオフに（The Register）

多くのサービスが WHOIS の情報をアーカイブしているので、その情報は恒久的に入手できるだろう。スパム、スピアフィッシング、その他の悪質な目的のために、この情報を掘り起こして使用することも可能だという。

ゲーマー諸君！　1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）画像

国際

ScanNetSecurity

2015.3.23 Mon 8:30

ゲーマー諸君！　1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）

それらのタイトルには、Call of Duty、World of Warcraft、Assassin's Creed、League of Legends、そして Minecraft が含まれている。さらに Steam のアカウント、また Unity3D や Unreal Engine のような開発ツールもロックアウトする。

親 ISIS のスクリプトキディ、性的暴行緊急対策サイトを改ざん～米国の WordPress を狙った低次元の攻撃を FBI が捜査中（The Register）画像

国際

ScanNetSecurity

2015.3.20 Fri 8:30

親 ISIS のスクリプトキディ、性的暴行緊急対策サイトを改ざん～米国の WordPress を狙った低次元の攻撃を FBI が捜査中（The Register）

「救済を求めてサイトを訪問した犠牲者たちが、それを見た可能性があることを、我々は懸念している。それは本当に痛ましい」とチーフ役員は語った。このハッキングは、国際婦人デー（編集部註：毎年3月8日）と同時期に行われた。

米国の航空交通管制システムは「ハッカーに脆弱」～「コンピュータへの不正アクセスの防止と検出における弱点」（The Register）画像

国際

ScanNetSecurity

2015.3.19 Thu 8:30

米国の航空交通管制システムは「ハッカーに脆弱」～「コンピュータへの不正アクセスの防止と検出における弱点」（The Register）

この調査報告の結果における「最も不吉な解釈」としては、テロリストたちが、「サイバー 9/11」を開始する手段に、これらの欠陥を利用するかもしれないとニューヨークの民主党員は警告した。

ここが変だよ日本のセキュリティ第10回「業務継続訓練やりっぱなしは許さない！」画像

特集

2次元殺法コンビ

2015.3.18 Wed 9:32

ここが変だよ日本のセキュリティ第10回「業務継続訓練やりっぱなしは許さない！」

抜き打ち訓練は実際に手が動くかを見るのに効果が高いけれど、日中業務への影響を見計らうのが困難で、想像力が働かずに動けなくなることもある。反応できるかの部分しか見られないため、火災とか不審者の侵入とか、効果があるシナリオは少ない。

「我々に自制心はない」米国最強の男たちがメールを恐れる理由～ヒラリー・クリントンのメール騒動で「テクノロジー嫌いの上院議員」グラハムとマケインが言いたい放題（The Register）画像

国際

ScanNetSecurity

2015.3.18 Wed 8:30

「我々に自制心はない」米国最強の男たちがメールを恐れる理由～ヒラリー・クリントンのメール騒動で「テクノロジー嫌いの上院議員」グラハムとマケインが言いたい放題（The Register）

さらにどうしようもないのは、「ヒラリーは国務長官でありながら（在任中に）個人用のメールサーバを利用した」というニュースを利用し、政治的に優位に立つことを試みるため、彼らが自身のメール習慣について語ったという事実だ。

FreeBSD の SCTP モジュールの実装に起因するメモリ領域破壊の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2015.3.18 Wed 8:00

FreeBSD の SCTP モジュールの実装に起因するメモリ領域破壊の脆弱性（Scan Tech Report）

FreeBSD には、SCTP ソケットを扱う際の SCTP ストリーム ID の処理に起因して、特定のカーネルメモリを読み書き可能な脆弱性が存在します。

piyolog Mk-II 第7回「アドウェア放置していませんか？ Superfish問題から見えてきた問題点」画像

特集

piyokango

2015.3.17 Tue 9:15

piyolog Mk-II 第7回「アドウェア放置していませんか？ Superfish問題から見えてきた問題点」

差し込まれる広告も中間者攻撃と同様の原理でユーザーと接続先の間に介入する方法で行われており、自己署名証明書を用いてHTTPSで行われる通信も広告表示の対象に含まれました。

「思考察知型の DNS セキュリティ」の分析が、APT 攻撃の早期警戒を発する～予知能力の技術でタイプミスの恐怖を予言（The Register）画像

国際

ScanNetSecurity

2015.3.17 Tue 8:30

「思考察知型の DNS セキュリティ」の分析が、APT 攻撃の早期警戒を発する～予知能力の技術でタイプミスの恐怖を予言（The Register）

彼らが何かしらの悪事を働くために「真っ当なドメイン」を模していることは明らかだ。OpenDNS の研究は、インターネットに登録されている無数のサイトから、そのようなドメインを自動的に識別する手法を示している。

10 億のメールアドレスによるスパム詐欺：連邦は 2 人を逮捕、1 人を追跡中～「米国の過去最大のサーバージャック」と検察官は主張（The Register）画像

国際

ScanNetSecurity

2015.3.16 Mon 8:30

10 億のメールアドレスによるスパム詐欺：連邦は 2 人を逮捕、1 人を追跡中～「米国の過去最大のサーバージャック」と検察官は主張（The Register）

そのハッカーたちは、企業の重要データを盗んだ後も、バルクメールを送信するために、その企業独自の配信プラットフォームを乗っ取り、メールトラフィックを特定のウェブサイトへ向けることによって利益を得ていた。

「ドメイン・シャドウイング（Domain shadowing）」は、サイト攻撃のためにレジストラのアカウントを乗っ取る～産業化されたエクスプロイトが躍進中（The Register）画像

国際

ScanNetSecurity

2015.3.13 Fri 8:30

「ドメイン・シャドウイング（Domain shadowing）」は、サイト攻撃のためにレジストラのアカウントを乗っ取る～産業化されたエクスプロイトが躍進中（The Register）

「あるグループがフィッシング詐欺の活動を作り上げるために時間を費やそうとするなら、標的となるのはレジストラだろう。そして Talos が発見したデータは、それが事実だということを示唆している」と Biasini は述べている。

セキュリティの恐怖の中、ICANN はドットワードのポータルをオフラインに～gTLD を巡って争う企業は、互いのプライベートを覗きあっているかもしれない（The Register）画像

国際

ScanNetSecurity

2015.3.12 Thu 8:30

セキュリティの恐怖の中、ICANN はドットワードのポータルをオフラインに～gTLD を巡って争う企業は、互いのプライベートを覗きあっているかもしれない（The Register）

ICANN が多くのシステムにおいて、基礎的な 2 要素認証さえも適用していなかったということが、このインシデントによって明らかとなった。Verisign は、長い論文の中で「ICANN の技術的な能力には懸念がある」と警告していた。

ここが変だよ日本のセキュリティ第9回「業務継続訓練ちゃんとできていますか？」画像

特集

2次元殺法コンビ

2015.3.11 Wed 9:15

ここが変だよ日本のセキュリティ第9回「業務継続訓練ちゃんとできていますか？」

ありがちなNGは、駆けつけの想定だ。交通網の想定が全くできていない会社は多いと思う。夜中でも電車での移動しか想定していないとか、データセンターが被災するほどの地震なのに電車の遅れが考慮に入っていないとか社会インフラのダメージを計算に入れていないなどだ。

Google が語った「Android のデフォルトの暗号化」は、デフォルトで暗号化しない～それでも、さほど驚かないことが悲しい（The Register）画像

国際

ScanNetSecurity

2015.3.11 Wed 8:30

Google が語った「Android のデフォルトの暗号化」は、デフォルトで暗号化しない～それでも、さほど驚かないことが悲しい（The Register）

一部の Android Lollipop の携帯デバイスは、デフォルトで自動的にファイルを暗号化していない。Ars Technica によれば、第二世代の Moto E や Samsung Galaxy S6 も、それらの「一部のデバイス」に含まれている。

Wordpress 用プラグイン InfusionSoft Gravity Forms における任意のファイルがアップロードされる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2015.3.11 Wed 8:00

Wordpress 用プラグイン InfusionSoft Gravity Forms における任意のファイルがアップロードされる脆弱性（Scan Tech Report）

WordPress のテンプレート作成プラグインである Infusionsoft Gravity Formsに任意のファイルがアップロードされる脆弱性が報告されています。

2015年3月のScan PREMIUM 倶楽部

Samsung は指紋認証から、あなたの「目」へと焦点を移す～その虹彩スキャンの技術は、手始めに Galaxy Tab Pro で採用される（The Register）

AT&T、Verizon、その他の通信企業が「ネットの中立性」を永遠に葬り去るための訴訟を起こす～そして彼らの反発が始まった（The Register）

スウェーデンの都市が 10 代のハッカーに 4 万ポンドの損害賠償を請求～その少年は「セキュリティの欠陥を暴きたかっただけ」と主張（The Register）

ここが変だよ日本のセキュリティ 第11回「業務継続訓練 効果的に行えていましたか？」

Princeton の研究者たちは、TCP ACK から Tor ユーザーの ID を嗅ぎまわる～そのタマネギは日に日に透明化している（The Register）

ActualAnalyzer Lite における Cookie パラメータが検証されず任意のコードが実行されてしまう脆弱性（Scan Tech Report）

WHOIS の混乱の後、Google が Apps ユーザーに警告～ドメイン更新後の登録のバグで、WHOIS のプライバシースイッチがオフに（The Register）

ゲーマー諸君！ 1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）

親 ISIS のスクリプトキディ、性的暴行緊急対策サイトを改ざん～米国の WordPress を狙った低次元の攻撃を FBI が捜査中（The Register）

米国の航空交通管制システムは「ハッカーに脆弱」～「コンピュータへの不正アクセスの防止と検出における弱点」（The Register）

ここが変だよ日本のセキュリティ 第10回「業務継続訓練やりっぱなしは許さない！」

「我々に自制心はない」米国最強の男たちがメールを恐れる理由～ヒラリー・クリントンのメール騒動で「テクノロジー嫌いの上院議員」グラハムとマケインが言いたい放題（The Register）

FreeBSD の SCTP モジュールの実装に起因するメモリ領域破壊の脆弱性（Scan Tech Report）

piyolog Mk-II 第7回「アドウェア放置していませんか？ Superfish問題から見えてきた問題点」

「思考察知型の DNS セキュリティ」の分析が、APT 攻撃の早期警戒を発する～予知能力の技術でタイプミスの恐怖を予言（The Register）

10 億のメールアドレスによるスパム詐欺：連邦は 2 人を逮捕、1 人を追跡中～「米国の過去最大のサーバージャック」と検察官は主張（The Register）

「ドメイン・シャドウイング（Domain shadowing）」は、サイト攻撃のためにレジストラのアカウントを乗っ取る～産業化されたエクスプロイトが躍進中（The Register）

セキュリティの恐怖の中、ICANN はドットワードのポータルをオフラインに～gTLD を巡って争う企業は、互いのプライベートを覗きあっているかもしれない（The Register）

ここが変だよ日本のセキュリティ 第9回「業務継続訓練ちゃんとできていますか？」

Google が語った「Android のデフォルトの暗号化」は、デフォルトで暗号化しない～それでも、さほど驚かないことが悲しい（The Register）

Wordpress 用プラグイン InfusionSoft Gravity Forms における任意のファイルがアップロードされる脆弱性（Scan Tech Report）

ここが変だよ日本のセキュリティ第11回「業務継続訓練　効果的に行えていましたか？」

ゲーマー諸君！　1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）

ここが変だよ日本のセキュリティ第10回「業務継続訓練やりっぱなしは許さない！」

ここが変だよ日本のセキュリティ第9回「業務継続訓練ちゃんとできていますか？」