Scan PREMIUM 倶楽部(38 ページ目) | ScanNetSecurity
2024.03.29(金)

Scan PREMIUM 倶楽部(38 ページ目)

Microsoft Windows OS における sdclt.exe を用いて UAC による制限を回避する手法(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Microsoft Windows OS における sdclt.exe を用いて UAC による制限を回避する手法(Scan Tech Report)

Microsoft 社の OS である Windows に、「バックアップと復元」の機能を担う sdclt.exe の設計を悪用して、ユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。

貴国に割り当てる IP アドレスは無い ~ 市民のネットを遮断する反民主的政府への懲罰措置案(The Register) 画像
国際
The Register
The Register

貴国に割り当てる IP アドレスは無い ~ 市民のネットを遮断する反民主的政府への懲罰措置案(The Register)

議案によれば「政府が10年間に3回以上インターネットの遮断を行った場合 ‐‐ 上記の組織のすべてのIP資源を取り消し、5年間にわたって割り当てを行わない」という。

「Mirai」の亜種は強力なアプリケーションレイヤの攻撃が可能(The Register) 画像
国際
The Register
The Register

「Mirai」の亜種は強力なアプリケーションレイヤの攻撃が可能(The Register)

「Mirai」のソースコードが公開された結果、ここ数カ月というものハッカーたちはそのマルウェアのさまざまな亜種を実験しているのだ。

CIA謹製ツール、マルウェア難読化や出所を中国に偽装する機能(The Register) 画像
国際
The Register
The Register

CIA謹製ツール、マルウェア難読化や出所を中国に偽装する機能(The Register)

このテクノロジーを使うと、ウィルス対策ソフトのメーカーやセキュリティ研究者がCIA製マルウェアを解析しにくくなる。つまりこのツールは、マルウェアの出所を分かりにくくすることを目的としている。

侵入した Linux から平文の認証情報を抽出するスクリプト mimipenguin.sh(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

侵入した Linux から平文の認証情報を抽出するスクリプト mimipenguin.sh(Scan Tech Report)

Linux 機上にて管理者権限で実行することで、メモリ上から平文の認証情報を抽出することが可能となるスクリプトが公開されています。

ISP が最高額入札者にユーザー履歴販売、米議会採決(The Register) 画像
国際
The Register
The Register

ISP が最高額入札者にユーザー履歴販売、米議会採決(The Register)

繰り返しになるが、ISPは常にこれを行うことはできていた。だが今回の議会の採決により、FTCが数百万ドルの罰金を科すのを恐れる必要がなくなった。ISPは、これをやっていることを誰にも開示する必要がない。

ここが変だよ日本のセキュリティ 第27回 「結果にコミットする!セキュリティ対策とダイエットの共通点!」 画像
特集
2次元殺法コンビ
2次元殺法コンビ

ここが変だよ日本のセキュリティ 第27回 「結果にコミットする!セキュリティ対策とダイエットの共通点!」

ちゃんと運用すれば効果はそれなりにあるはずなんだ。でも、なんで効果が出てこないか、その辺りの理由も、ダイエットとセキュリティはよく似ている。

専門家の批判を呼んだ eBay のログイン方法変更 ~ SMS による二要素認証(The Register) 画像
国際
The Register
The Register

専門家の批判を呼んだ eBay のログイン方法変更 ~ SMS による二要素認証(The Register)

インターネットの露天商ことeBayが、サービスへのログインに際し、安全性に欠けることで知られる方法を利用者に提案しているらしい。

W3C による DRM の Web 標準化が完了間近(The Register) 画像
国際
The Register
The Register

W3C による DRM の Web 標準化が完了間近(The Register)

World Wide Web Consortium(ワールド・ワイド・ウェブ・コンソーシアム、W3C)が、議論百出のデジタル・ライツ・マネジメント(デジタル著作権管理、DRM)を新たなWeb標準に採用することを正式に打ち出した。

Apache Struts 2.x においてパーサの値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Apache Struts 2.x においてパーサの値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)

Apache ソフトウェア財団による Web アプリケーション開発フレームワークである Struts のバージョン 2 系に、リクエストの処理に用いているパーサにおける処理の不備を悪用して、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

沈みゆく船から撤退せよ、史上初SHA-1ハッシュ衝突の成功と今後の排除の流れ(The Register) 画像
国際
The Register
The Register

沈みゆく船から撤退せよ、史上初SHA-1ハッシュ衝突の成功と今後の排除の流れ(The Register)

本日公表された研究の結果、いまだにそのアルゴリズムに依存しているセキュリティ対策や防衛は今や事実上、喉元にナイフを突きつけられている状況だ。

ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」 画像
特集
株式会社キーコネクト 代表取締役 利根川義英
株式会社キーコネクト 代表取締役 利根川義英

ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

そんな中、転職活動の中でエージェントからサイバーディフェンス研究所というとっても香ばしい社名の会社の紹介を受ける。

勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register) 画像
国際
The Register
The Register

勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

レポートの著者3名は、会社員など内部情報に通じた者を買収する動きは「活発化している」と述べている。

[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像
おしらせ
ScanNetSecurity
ScanNetSecurity

[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ

3月末から、現役ペネトレーションテスターによるコラム「ペネトレーションテスターは見た!(仮題)」の連載開始を予定しております。ご執筆いただくのは、株式会社キーコネクト 代表取締役 利根川 義英 氏。

Linux システムの ntfs-3g において scrub の不備により管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Linux システムの ntfs-3g において scrub の不備により管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

Linux 系システム及び Unix 系システムで、NTFS ファイルシステムを利用するためのソフトウェアである ntfs-3g に、端末内部にて管理者権限で任意のコードが実行可能となる脆弱性が報告されています。

Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register) 画像
国際
The Register
The Register

Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register)

Googleはいつから排他的になったのだろうか。現在受信している膨大なアクセス量をサイバー攻撃と勘違いしたGoogleは、NHSの全ネットワークへのアクセスをブロックしている。

Microsoft Windows の Win32k.sys に Bitmap オブジェクトにおける整数オーバーフローにより権限が昇格可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Microsoft Windows の Win32k.sys に Bitmap オブジェクトにおける整数オーバーフローにより権限が昇格可能となる脆弱性(Scan Tech Report)

Microsoft 社の OS である Microsoft Windows に、権限昇格して SYSTEM 権限で任意のコードが実行可能となる脆弱性が報告されています

トランプ氏の大統領令で混乱生じるさなか、EU・米国間のデータ保護法発効(The Register) 画像
国際
The Register
The Register

トランプ氏の大統領令で混乱生じるさなか、EU・米国間のデータ保護法発効(The Register)

自身が経営する法律事務所のブログでブリル氏は、近ごろトランプ氏が発した大統領令は、プライバシー保護の対象を米国市民に限定することを謳っているが、EUと米国間の重要な取り決めであるプライバシーシールドには影響を及ぼさないと論じた。

トランプの非アメリカ人のプライバシー権否定の大統領令、大手ネット企業の海外取引への影響(The Register) 画像
国際
The Register
The Register

トランプの非アメリカ人のプライバシー権否定の大統領令、大手ネット企業の海外取引への影響(The Register)

ドナルド・トランプ大統領がアメリカとヨーロッパの間の重要データの共有に関する協定を危機に晒している可能性がある。これはインターネットの大手企業が海外と取引する場合に大きな影響をもたらすかもしれない。

中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register) 画像
国際
The Register
The Register

中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

中国がVPN市場の規制強化に乗り出したのは今回が初めてではない。2015年にも同様の規制強化が発表されたが、成果は限られていた。しかし、今回の発表では正式な行政措置が定められていることから、政府はより本腰で取り組んでいるとみられる。

米海兵隊、サイバー戦争に向け兵士 3,000 名増員(The Register) 画像
国際
The Register
The Register

米海兵隊、サイバー戦争に向け兵士 3,000 名増員(The Register)

優秀なハッカーやセキュリティの専門家を軍に呼び込むのは容易ではない。ハッキング大会では、民間のハッカーチームが軍の専従チームに圧勝するのが常だ。

  1. 先頭
  2. 10
  3. 20
  4. 33
  5. 34
  6. 35
  7. 36
  8. 37
  9. 38
  10. 39
  11. 40
  12. 41
  13. 42
  14. 43
  15. 50
  16. 60
  17. 最後
Page 38 of 99
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×