Scan PREMIUM 倶楽部(28 ページ目) | ScanNetSecurity
2026.07.14(火)

Scan PREMIUM 倶楽部(28 ページ目)

白髪が増えそう「セキュリティデュオ」の 2022 脅威予測 画像
国際
The Register誌特約記事
The Register誌特約記事

白髪が増えそう「セキュリティデュオ」の 2022 脅威予測

今日、世界は大混乱に陥っている。一息入れたいと思っても、そんな余裕は当分訪れそうにないようだ。

そのパッチ本当に必要? リスクベース脆弱性管理とは 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

そのパッチ本当に必要? リスクベース脆弱性管理とは

脆弱性ハンドリングにおいてもっとも効果的な対応策は「公開されたセキュリティパッチを当てること」だろう。これはゆるぎない事実であり、いまも将来も変わらない対策の基本中の基本といえる。

サイバー時代に開花、ロシアの選挙妨害戦術の長い歴史 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

サイバー時代に開花、ロシアの選挙妨害戦術の長い歴史

ブーズ・アレン・ハミルトン氏が、ロシアがこれまでにどんな国に選挙介入を行ってきたかの分析結果を発表した。

BCCメール誤送信、罰金150万円 画像
国際
The Register誌特約記事
The Register誌特約記事

BCCメール誤送信、罰金150万円

2020 年の 2 月 3 日、HIV Scotland は Microsoft Outlook を使って、開催予定のイベントに関するメールを送信し、CAN に登録されている 105 名に信書を送った。その際、BCC 機能ではなく CC を使った。

知られざる暗号評価プロジェクト CRYPTREC 第2回「三つの暗号リスト」 画像
製品・サービス・業界動向
ScanNetSecurity
ScanNetSecurity

知られざる暗号評価プロジェクト CRYPTREC 第2回「三つの暗号リスト」

セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。

発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」

APT において実際の攻撃活動を支えるのは「横展開」(ラテラルムーブメント)と「検知のバイパス」機能だ。多くの APT アクターは、この 2 つを実現するため Windows の認証機能と Mimikatz というエクスプロイトツールを活用している。

「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム 画像
国際
The Register誌特約記事
The Register誌特約記事

「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム

Amazon から借りた何千冊もの教科書を返却する代わりに売却したとして、ミシガン州ポーテージ市に住む 36 歳の男が 14 日(編集部註:2021年10月14日)に逮捕された。

中台サイバー攻防:中国政府の情報戦に抗う台湾 TEAM T5 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

中台サイバー攻防:中国政府の情報戦に抗う台湾 TEAM T5

台湾は中国との経済的つながりが深い。しかし、2016年民主派の蔡総統就任前後から中国の干渉や圧力にも晒されている。台湾の民間セキュリティ研究機関TEAM T5は、そのころから中国によるサイバー活動、とくに情報操作・世論操作について分析を続けている。

知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」 画像
製品・サービス・業界動向
ScanNetSecurity
ScanNetSecurity

知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」

セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。

漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

サイバーセキュリティや個人情報保護について、国境を超えた議論が必要なのはいうまでもない。その理由のひとつが、データ漏えいなどインシデント発生時の報告や対応について、被害企業が負っている義務や罰則規定が国によって異なることだ。

中国ロシア北朝鮮につづく、新鋭APT国家 画像
国際
The Register誌特約記事
The Register誌特約記事

中国ロシア北朝鮮につづく、新鋭APT国家

イラン以外の国家は標的のシステムを破壊する攻撃をほとんど行わなかった。こうして脅かされているシステムは、仮に国家間の緊張が高まって政府がサイバー空間での戦いをエスカレートさせる戦略に出た場合、格好の標的となって破壊される。

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report)

2021 年 5 月に、Linux カーネルに権限昇格の脆弱性が報告されています。

クラウドの AI インフラの危険性 ~ Shodan の AI プラットフォーム版 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

クラウドの AI インフラの危険性 ~ Shodan の AI プラットフォーム版

機械学習では高性能プロセッサやGPUが大量に必要とされるので、クラウド上のプラットフォームを活用することが少なくない。しかし、AI・機械学習の性能とセキュリティは必ずしも一致しないことは知っておくべきだろう。

Apple 社へ不満持つ研究者 iOSの脆弱性開示/北朝鮮のSNS介したサイバー攻撃 ほか [Scan PREMIUM Monthly Executive Summary] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

Apple 社へ不満持つ研究者 iOSの脆弱性開示/北朝鮮のSNS介したサイバー攻撃 ほか [Scan PREMIUM Monthly Executive Summary]

隣国の中国では、9月より複数のセキュリティに関連した法律が施行されています。注目されるのは、「ネットワーク製品のセキュリティ脆弱性管理に関する規定」や「重要情報インフラセキュリティ保護条例」でしょう。

朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(4)実名原則 画像
特集
朝日新聞 須藤龍也
朝日新聞 須藤龍也

朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(4)実名原則

サイバー事件の調査報道で日本を代表するジャーナリスト、朝日新聞 須藤 龍也 記者の寄稿を受けた特別連載「朝日新聞で書ききれなかった『あの話』」は、毎月の月初に配信します。

コロナ禍なのにあえてドイツに行ってみた<実施編> 画像
特集
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

コロナ禍なのにあえてドイツに行ってみた<実施編>

<実施編>では体験レポ風に実際の手順は遭遇した問題、その対処方法などを紹介する。

Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report)

2021 年 4 月に、Google Chrome に任意のコード実行が可能となる脆弱性が報告されています。

ドメイン名ハイジャック対応、日本企業のベストプラクティス事例 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

ドメイン名ハイジャック対応、日本企業のベストプラクティス事例

2020年6月、コインチェックはドメイン名ハイジャックの被害を受けた。しかし、発見と初動が早かったため、仮想通貨や資金の流出(窃盗)はなく、情報漏えいの可能性も数百件程度と大事には至らなかった。

コロナ禍なのにあえてドイツに行ってみた <計画編> 画像
特集
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

コロナ禍なのにあえてドイツに行ってみた <計画編>

ことの発端は、ひょっとすると秋ごろには海外取材が再開できるのでは? と思ったことだ。

Atlassian Confluence において遠隔からの任意のコード実行が可能となる OGNL Injection の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Atlassian Confluence において遠隔からの任意のコード実行が可能となる OGNL Injection の脆弱性(Scan Tech Report)

2021 年 8 月に、Atlassian 社の Confluence に遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

  1. 先頭
  2. 10
  3. 23
  4. 24
  5. 25
  6. 26
  7. 27
  8. 28
  9. 29
  10. 30
  11. 31
  12. 32
  13. 33
  14. 40
  15. 50
  16. 最後
Page 28 of 110
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)

×