2016年1月のScan PREMIUM 倶楽部

ここが変だよ日本のセキュリティ第19回「気を付けて！日本人が陥りやすい考え方」画像

2016.1.29 Fri 8:45

ここが変だよ日本のセキュリティ第19回「気を付けて！日本人が陥りやすい考え方」

2015年はサイバーセキュリティ元年だったそうだ。2005年が内部セキュリティ元年で、2013年は制御システムセキュリティ元年、2014年はPOS脅威元年だったとさ。営業トークの元年が毎年叫ばれるってことは業界が成長期にあるって意識高い系の解釈をしておこう。

1,500 ドルの賞金をチラつかせなければ、バグ報奨金のハンターは食いつかない～良質な助けを得たいなら、その 10 倍が必要になる（The Register）画像

国際

2016.1.29 Fri 8:30

1,500 ドルの賞金をチラつかせなければ、バグ報奨金のハンターは食いつかない～良質な助けを得たいなら、その 10 倍が必要になる（The Register）

「市場は進化を続けているが、成功の鍵は変化していない。報奨金プログラムを成功させたいなら、あなたは適切な報酬で、正しい研究者を惹きつけなければならない」

2015年に配信したすべての海外翻訳記事のサルベージが完了しました [埋もれた過去記事を救い出せ! Scan バックナンバー・サルベージ・プロジェクト] 画像

おしらせ

ScanNetSecurity

2016.1.28 Thu 12:34

2015年に配信したすべての海外翻訳記事のサルベージが完了しました [埋もれた過去記事を救い出せ! Scan バックナンバー・サルベージ・プロジェクト]

今回は、2015 年に ScanNetSecurity が配信した UK の IT ニュース誌 The Register 誌特約による翻訳記事をすべてサルベージ完了しましたことをお知らせいたします。

フィッシング攻撃に泥を吐いた 2 要素認証の LastPass がロックダウン～パスワードの金庫室を略奪するフィッシングの餌が、Github で公開される（The Register）画像

国際

2016.1.28 Thu 8:30

フィッシング攻撃に泥を吐いた 2 要素認証の LastPass がロックダウン～パスワードの金庫室を略奪するフィッシングの餌が、Github で公開される（The Register）

通常ならば、金庫室にアクセスするためのマスターパスワードが公式のウェブサイト以外のあらゆるウェブサイト上で入力された場合、LastPass は警告を発する。攻撃者は、その警告の表示をブロックすることができた。

「KeysForge」で、あなたも錠の写真から鍵の設計図を作れる～印刷可能な CAD 図面を生成するには、スマートフォンで撮影した写真で充分だ（The Register）画像

国際

2016.1.27 Wed 8:30

「KeysForge」で、あなたも錠の写真から鍵の設計図を作れる～印刷可能な CAD 図面を生成するには、スマートフォンで撮影した写真で充分だ（The Register）

これまでにも、高解像度レンズを用いて、かなりの距離を隔てて撮影された（鍵の）写真から、その鍵を複製できることが示されている。このアプリケーションは、そのような的を絞った先進的な攻撃を行う際に有効だ。

欧州人権裁判所が大規模な監視に「違法」の判決を下す～その判断は、英国政府のスパイ法を抹殺するかもしれない（The Register）画像

国際

2016.1.26 Tue 8:30

欧州人権裁判所が大規模な監視に「違法」の判決を下す～その判断は、英国政府のスパイ法を抹殺するかもしれない（The Register）

それは人権を侵害している、と主張した 2 人の活動家は、2014 年に同法を巡ってハンガリー政府を訴えた。ECHRは、このハンガリーの法律が「侵害とならぬための充分な保証を提供していない」との判決を下した。

OWASP が「安全なコーディングのバイブル」を新たに発表～そのセキュリティアドバイスがあれば、もう The Register のセキュリティ記事は読まなくても良いかもしれない（The Register）画像

国際

2016.1.25 Mon 8:30

OWASP が「安全なコーディングのバイブル」を新たに発表～そのセキュリティアドバイスがあれば、もう The Register のセキュリティ記事は読まなくても良いかもしれない（The Register）

「いまや我々は、10 年前から利用されている Java ライブラリについて語らない。我々が語っているのは、近代的なアプリケーション開発、AngularJS、RESTful 等に関することで──それらの全てが、ここにある」

「いえ、結構ですわ」フランス政府、暗号へのバックドアを却下～大臣が、暗号のスケルトンキーを「意図的な脆弱性」と呼ぶ──米国は聞いているか？（The Register）画像

国際

2016.1.22 Fri 9:30

「いえ、結構ですわ」フランス政府、暗号へのバックドアを却下～大臣が、暗号のスケルトンキーを「意図的な脆弱性」と呼ぶ──米国は聞いているか？（The Register）

「たとえ警察に権限を与える意図が賞賛に値するものだとしても、それは『賞賛に値しない意図を持った人々』にもドアを開くものだ。議論を煽るのはもっともなことだが、それは政府の意見に添った正しい解決ではない」

狡猾な罠を仕掛けた「マルウェア付きのインボイス」が、日本の銀行口座を空っぽにする～それをブロックできたアンチウイルス製品は、たった 7 ％（The Register）画像

国際

2016.1.22 Fri 8:30

狡猾な罠を仕掛けた「マルウェア付きのインボイス」が、日本の銀行口座を空っぽにする～それをブロックできたアンチウイルス製品は、たった 7 ％（The Register）

Rovnix は広範に知られているものではない。IBM によれば、テストを行った 54 のアンチウイルス製品のうち、このマルウェアの特定の構成を検出したのは、わずか 4 つだった。ただし現在、シグネチャファイルの追加が行われている最中である。

良いニュース：OAuth は「ほぼ」安全～研究者たちが Facebook のログインプロトコルに存在する 2 つの脆弱性に光をあてる（The Register）画像

国際

2016.1.21 Thu 8:30

良いニュース：OAuth は「ほぼ」安全～研究者たちが Facebook のログインプロトコルに存在する 2 つの脆弱性に光をあてる（The Register）

OAuth 2.0 は、ほぼ全てのレベルにおいて及第点を得ているものの、そのプロトコルには 2 つの弱い部分がある。リダイレクト処理と、アイデンティティプロバイダ（IdP）の処理法における、いくつかの側面だ。

スターウォーズ「BB-8」の玩具、ファームウェア更新にリスクあり～英国のセキュリティ研究者たちが指摘（The Register）画像

国際

2016.1.20 Wed 8:30

スターウォーズ「BB-8」の玩具、ファームウェア更新にリスクあり～英国のセキュリティ研究者たちが指摘（The Register）

PTPはベンダーに連絡し（ベンダーはそれを深刻に受け止めて分析し、更新を行うと約束した）、さらに「このセキュリティの弱点は、いかなる重大なリスクをもたらすこともないものだった」と結論づけるまでの間、その脆弱性を公開しなかった。

「脱線を招く欠陥」に苛立たされた列車ハッカーが、SCADA のパスワードのリストを公開～これで彼らも修復するだろう、たぶん（The Register）画像

国際

2016.1.19 Tue 8:30

「脱線を招く欠陥」に苛立たされた列車ハッカーが、SCADA のパスワードのリストを公開～これで彼らも修復するだろう、たぶん（The Register）

これらのバグは（無害そうなアプリケーションのバグでも）、賢い攻撃者により強力なベクトルで悪用される可能性がある。「もし誰かがモデムを攻撃できたら、そのモデムは電車の自動制御システムを攻撃でき、そして彼らは電車の制御を奪うことができる」

セキュリティ研究者によって確認された「自分のペースメーカーが心拍数のデータを医師に送る流れ」～ええと、これは SMS？ SG？それともメール？（The Register）画像

国際

2016.1.18 Mon 8:30

セキュリティ研究者によって確認された「自分のペースメーカーが心拍数のデータを医師に送る流れ」～ええと、これは SMS？ SG？それともメール？（The Register）

これらの医療ハッカーたちは昨年、米議会に対して「ハッカーが医療デバイスを調査することが、また車両にハッキングをすることが許可されるように、DMCA 制限法の例外的な措置を得るための働きかけ」を成功裏に行っている。

あなたのパスワードの長さはどれぐらい？　HTTPS Bicycle 攻撃で暴かれるのは、それだけではない～「怠け者よ、2 要素認証を使え」（The Register）画像

国際

2016.1.15 Fri 8:30

あなたのパスワードの長さはどれぐらい？　HTTPS Bicycle 攻撃で暴かれるのは、それだけではない～「怠け者よ、2 要素認証を使え」（The Register）

暗号を利用したウェブサイトと情報交換する際は、自分のパスワードの秘密が保たれていると思いがちだ。HTTPS Bicycle攻撃は、そうでない場合もあるということを示している。ほんの僅かな情報も、のちに『より洗練された攻撃』をもたらす可能性がある。

「SLOTH」（ナマケモノ）が来る！　インターネットプロトコルから MD5 を取り除け、早く！～研究者たちが「まだ残されているハッシュ関数」の問題を指摘（The Register）画像

国際

2016.1.14 Thu 8:30

「SLOTH」（ナマケモノ）が来る！　インターネットプロトコルから MD5 を取り除け、早く！～研究者たちが「まだ残されているハッシュ関数」の問題を指摘（The Register）

それをクラックするには非常に多くの計算力が要求される、という仮定が常にあったが、コードは1時間でクラックでき、エンドユーザーになりすましてシステムに侵入できる可能性があるということを、この論文は主張している。

法執行機関 VS シリコンバレーのアイドル的な問題児たち～そして Ashley Madison から、ハッキング可能な Jeep の話題まで（The Register）画像

国際

2016.1.13 Wed 8:30

法執行機関 VS シリコンバレーのアイドル的な問題児たち～そして Ashley Madison から、ハッキング可能な Jeep の話題まで（The Register）

米国OPM侵害事件の批判は中国に向けられたが、それは公正なスパイ合戦と見なされ、それほど非難はされなかった。そのハッキングの大胆さゆえに、中国に向けられる「苦々しい賞賛」さえ見られたほどだ。

Juniper 社製 NetScreen で動作する ScreenOS の認証回避の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.1.12 Tue 9:15

Juniper 社製 NetScreen で動作する ScreenOS の認証回避の脆弱性（Scan Tech Report）

Juniper 社製 Firewall 製品である NetScreen で動作する ScreenOS には、管理アクセスにおける認証を回避する脆弱性が報告されています。

特集

2次元殺法コンビ

2016.1.12 Tue 8:45

ここが変だよ日本のセキュリティ第18回「ニセモノ注意報発令！」

急激に注目されたサイバーセキュリティ。こうなるとセキュリティの専門家を名乗る人がたくさん登場してくる。不安を煽るばかりの人やひけらかしをしてくる人も出てくる。そこで、こういう奴を信用するな！っていうポイントをまとめてみたよ。

あまりに多忙なセキュリティ業界は「セキュリティを正しく行うためのセキュリティ改善」ができない～PCI SSC が「SSL からの移行の期限日」を延期、クレジットカードの弱い暗号は今後も続く（The Register）画像

国際

2016.1.12 Tue 8:30

あまりに多忙なセキュリティ業界は「セキュリティを正しく行うためのセキュリティ改善」ができない～PCI SSC が「SSL からの移行の期限日」を延期、クレジットカードの弱い暗号は今後も続く（The Register）

したがって世界は、計画されていたよりも 2 年間長く、「不完全であることが分かっている暗号」とともに、何とかやり抜かなければならない。その間、悪者たちは弱い暗号を最大限に利用するだろうと我々は想像している。

IT による不法侵入：「サイクリングアプリが私の住所を流布したせいで、私の自転車は盗まれた」～英国人が GPS の正確さの被害に（The Register）画像

国際

2016.1.8 Fri 8:30

IT による不法侵入：「サイクリングアプリが私の住所を流布したせいで、私の自転車は盗まれた」～英国人が GPS の正確さの被害に（The Register）

このアプリには「ユーザーの自宅の正確な住所を隠す」というプライバシー設定のオプションがあるが、Leigh が自転車走行の詳細情報をシェアしたとき、彼はその切り替えスイッチに気づいていなかった。

欧州個人情報保護監察局「我々が規制すべきはスパイウェアのカウボーイ」──それはプライバシーの問題である（The Register）画像

国際

2016.1.7 Thu 8:30

欧州個人情報保護監察局「我々が規制すべきはスパイウェアのカウボーイ」──それはプライバシーの問題である（The Register）

監視ツールは、法執行機関が利用する合法的な道具になりえる。しかし、それらは企業と消費者の両方における通信やデータ処理のセキュリティ対策を回避するために利用することもできる。