2020年12月のScan PREMIUM 倶楽部 | ScanNetSecurity
2021.08.04(水)

2020年12月のScan PREMIUM 倶楽部

セキュリティインシデントの当事者になったその後 画像
研修・セミナー・カンファレンス 中尾 真二( Shinji Nakao )

セキュリティインシデントの当事者になったその後

株式会社ディアイティの青嶋信仁氏の講演(CODEBLUE2019@TOKYO)をもとに、インシデント対応における情報公開と謝罪会見・記者発表の注意点をまとめてみたい。

Apache Unomi に遠隔から任意のコードの実行が可能となる EL インジェクションの脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテストサービス部

Apache Unomi に遠隔から任意のコードの実行が可能となる EL インジェクションの脆弱性(Scan Tech Report)

2020 年 11 月に Apache 財団のソフトウェア Apache Unomi に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

ドメイン管理事業者 GoDaddy へソーシャルエンジニアリング攻撃、仮想通貨サービス企業はどこまで被害を受けたか 画像
国際 The Register

ドメイン管理事業者 GoDaddy へソーシャルエンジニアリング攻撃、仮想通貨サービス企業はどこまで被害を受けたか

今月(編集部註:2020年11月)、さまざまな暗号通貨関連の Web サイトに向かうトラフィックやメールを悪党がハイジャックしてしまった。GoDaddy の従業員をまんまとひっかけることで。

「GDPR 施行以前に受けたサイバー攻撃なので弊社に責任はない」米チケット販売サイト 堂々と主張 画像
国際 The Register

「GDPR 施行以前に受けたサイバー攻撃なので弊社に責任はない」米チケット販売サイト 堂々と主張

Ticketmaster は、同社ネットワークのカードスキミング・マルウェア感染について、ICO の課したデータ漏えいに対する 1,250,000 ポンドの罰金に関して一切の責任がないと主張している。The Register 誌の入手した往復書簡の内容から明らかになった。

パラサイト 正規プログラムが悪意を持つとき ~ Living Off the Land:環境寄生型攻撃の概要と対策 画像
研修・セミナー・カンファレンス 中尾 真二( Shinji Nakao )

パラサイト 正規プログラムが悪意を持つとき ~ Living Off the Land:環境寄生型攻撃の概要と対策

サイバーセキュリティパラサイト(寄生虫)。攻撃機能の全部または一部を宿主(感染 PC )が持つ機能でまかなうマルウェアだ。一般的なマルウェアはエクスプロイトやダウンローダーなどの攻撃機能を自前で持つが、そうではないマルウェアを研究している研究者たちがいる。

5 億ドルを管理するケイマン諸島の投資ファンド、大金持ちの租税回避の資料を Azure BLOB で大公開 画像
国際 The Register

5 億ドルを管理するケイマン諸島の投資ファンド、大金持ちの租税回避の資料を Azure BLOB で大公開

独占記事

カナダ版「 セキュリティ10大脅威」 / ワーム化可能 iOS 脆弱性 / 認証情報42億件 配布中  ほか [Scan PREMIUM Monthly Executive Summary] 画像
国際 株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

カナダ版「 セキュリティ10大脅威」 / ワーム化可能 iOS 脆弱性 / 認証情報42億件 配布中 ほか [Scan PREMIUM Monthly Executive Summary]

11 月は日本でのインシデント報告も散見され、特定国からのサイバー攻撃が活気付いている印象がありました。特に、IT サービスプロバイダーを介したサイバー攻撃は、諸外国を含め流行しており、組織規模は関係なく警戒が必要です。

GitLab において Issue の値処理の不備によりサーバ内の任意のファイルが読み取り可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック デジタルペンテストサービス部

GitLab において Issue の値処理の不備によりサーバ内の任意のファイルが読み取り可能となる脆弱性(Scan Tech Report)

2020 年 4 月に報告された、GitLab における任意のファイル読み取りの脆弱性に対するエクスプロイトコードが、2020 年 11 月に公開されています。

動画クリエイターに人気の機械学習用データセットに潜んでいたリスク 画像
国際 The Register

動画クリエイターに人気の機械学習用データセットに潜んでいたリスク

 アダルトコンテンツを AI で生成するために必要な機械学習モデルによく使われる訓練用データセットには、性的虐待で告発されているアダルト動画制作会社が撮影したヌード画像がしばしば含まれている。

    Page 1 of 1
    「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
    「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

    ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

    ×