2021年11月のScan PREMIUM 倶楽部

中国データセキュリティ規則新草案～「北京の意図を見極めるまで中国系テック企業には投資しない（シンガポール政府系投資ファンド）」画像

国際

The Register

2021.11.30 Tue 8:15

中国データセキュリティ規則新草案～「北京の意図を見極めるまで中国系テック企業には投資しない（シンガポール政府系投資ファンド）」

中国共産党中央規律検査委員会は、暗号通貨のマイニングの許可や汚職などの違反行為から幹部を除名した。

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.11.26 Fri 8:15

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性（Scan Tech Report）

2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。

国際

The Register

2021.11.24 Wed 8:15

もし我が社が米諜報機関からサイバー攻撃されたら～某旅行予約サイトの対応

アメリカ人とオランダ人が共同オーナーを務める Booking.com に関する新たな情報が、大きな波紋を広げている。2016 年にアメリカのサイバー攻撃者による不正アクセスを受け、同社はその事態を把握していたにも関わらず、その旨を公表しなかったというのだ。

製品・サービス・業界動向

ScanNetSecurity

2021.11.19 Fri 8:15

知られざる暗号評価プロジェクト CRYPTREC 第4回「選定ルール」

セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。

研修・セミナー・カンファレンス

中尾真二（ Shinji Nakao ）

2021.11.17 Wed 8:15

「餅は餅屋」に真っ向勝負、医療 ISAC の役割と支援機能

大災害や大事故はサイバー犯罪者にとって稼ぎ時だ。コロナパンデミックは、世界中でランサムウェアを活性化させている。サイバー空間では企業を狙ったランサムウェアがこの2年ほど猛威をふるっている。

Microsoft Windows において NtGdiResetDC API 関数のコールバック関数の検証不備により管理者権限の奪取が可能となる Use-After-Free の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2021.11.16 Tue 8:15

Microsoft Windows において NtGdiResetDC API 関数のコールバック関数の検証不備により管理者権限の奪取が可能となる Use-After-Free の脆弱性（Scan Tech Report）

2021 年 10 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。

知られざる暗号評価プロジェクト CRYPTREC 第3回「リスト入りの基準」画像

製品・サービス・業界動向

ScanNetSecurity

2021.11.11 Thu 8:15

知られざる暗号評価プロジェクト CRYPTREC 第3回「リスト入りの基準」

セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。

ソーシャルエンジニアリングに屈したフィンテック企業～人気の投資アプリで顧客データ大規模漏えい画像

国際

The Register

2021.11.10 Wed 8:15

ソーシャルエンジニアリングに屈したフィンテック企業～人気の投資アプリで顧客データ大規模漏えい

バークシャー・ハサウェイのウォーレン・バフェットCEOは、ロビンフッドを「富の蓄積ではなくギャンブルに対する人々の欲望を利用する組織である」と指摘した。

朝日新聞で書ききれなかった「あの話」第1回：日本年金機構へのサイバー攻撃（2015年）（5）続報の狙い画像

特集

朝日新聞須藤龍也

2021.11.8 Mon 8:20

朝日新聞で書ききれなかった「あの話」第1回：日本年金機構へのサイバー攻撃（2015年）（5）続報の狙い

　私は年金機構の内部資料にあった「不審な通信一覧」に着目した。ウイルス感染した複数のパソコンが外部のサーバーに接続したうち、不審と判断されたドメインの一覧だった。おそらくハッカーが設けた指令（C&C, C2）サーバーだろう。

「当たり前」を疑ってみる／米サイバー技術輸出規制強化／MS IBM Googleに偽するカメレオンほか [Scan PREMIUM Monthly Executive Summary] 画像

脆弱性と脅威

株式会社サイント代表取締役兼脅威分析統括責任者岩井博樹

2021.11.5 Fri 8:15

「当たり前」を疑ってみる／米サイバー技術輸出規制強化／MS IBM Googleに偽するカメレオンほか [Scan PREMIUM Monthly Executive Summary]

米国商務省産業安全保障局（ BIS ）は、悪意のあるサイバー活動に使用される可能性のある特定の品目の輸出、再輸出、または（国内での）移転に関する規制を定めた規則（暫定版）を発表しました。

国際

The Register

2021.11.2 Tue 8:15

白髪が増えそう「セキュリティデュオ」の 2022 脅威予測

今日、世界は大混乱に陥っている。一息入れたいと思っても、そんな余裕は当分訪れそうにないようだ。

研修・セミナー・カンファレンス

中尾真二（ Shinji Nakao ）

2021.11.1 Mon 8:10

そのパッチ本当に必要？リスクベース脆弱性管理とは

脆弱性ハンドリングにおいてもっとも効果的な対応策は「公開されたセキュリティパッチを当てること」だろう。これはゆるぎない事実であり、いまも将来も変わらない対策の基本中の基本といえる。

2021年11月のScan PREMIUM 倶楽部

中国データセキュリティ規則新草案～「北京の意図を見極めるまで中国系テック企業には投資しない（シンガポール政府系投資ファンド）」

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性（Scan Tech Report）

もし我が社が米諜報機関からサイバー攻撃されたら ～ 某旅行予約サイトの対応

知られざる暗号評価プロジェクト CRYPTREC 第4回「選定ルール」

「餅は餅屋」に真っ向勝負、医療 ISAC の役割と支援機能

Microsoft Windows において NtGdiResetDC API 関数のコールバック関数の検証不備により管理者権限の奪取が可能となる Use-After-Free の脆弱性（Scan Tech Report）

知られざる暗号評価プロジェクト CRYPTREC 第3回「リスト入りの基準」

ソーシャルエンジニアリングに屈したフィンテック企業 ～ 人気の投資アプリで顧客データ大規模漏えい

朝日新聞で書ききれなかった「あの話」 第1回：日本年金機構へのサイバー攻撃（2015年）（5）続報の狙い

「当たり前」を疑ってみる／米 サイバー技術輸出規制強化／MS IBM Googleに偽するカメレオン ほか [Scan PREMIUM Monthly Executive Summary]

白髪が増えそう「セキュリティデュオ」の 2022 脅威予測

そのパッチ本当に必要？ リスクベース脆弱性管理とは

もし我が社が米諜報機関からサイバー攻撃されたら～某旅行予約サイトの対応

ソーシャルエンジニアリングに屈したフィンテック企業～人気の投資アプリで顧客データ大規模漏えい

朝日新聞で書ききれなかった「あの話」第1回：日本年金機構へのサイバー攻撃（2015年）（5）続報の狙い

「当たり前」を疑ってみる／米サイバー技術輸出規制強化／MS IBM Googleに偽するカメレオンほか [Scan PREMIUM Monthly Executive Summary]

そのパッチ本当に必要？リスクベース脆弱性管理とは