「銀行取り引きの認証情報は、その口座残高の1~5%で手に入る」 「プラスチックカードの認証情報の値段は7ドルから始まって、売りに出されたカードの種類や、関連データの量によって上がる。AMEXのカードは上限付近の30ドルで売れる」
Apache Struts 2 の Dynamic Method Invocation (DMI) 機能に、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。
Anonymousによる攻撃示唆の投稿は合計すると100以上にも及び、障害も似たような件数が発生していたものと考えられますが、それらすべてが報道されていたわけではありません。
インド、エジプト、アフリカのハッカーたちがグーグル社のバグ発見報奨金の支払いで貧困から脱出している。ムンバイの親たちは息子が弁護士になることを夢見てきたが、経済的解放がバグハンターとしての成功によってもたらされることに気付いた。
保育士夫婦の息子Wakelamがハイスクールから脱出したのは、3年生の終わりだった。両親は、将来を見据えた決断だとして支持した。バグ発見報奨金は儲かる仕事として、また履歴書の穴を埋めるものとして、中退したWakelamに最適だった。
世界最大手のテクノロジー企業や家電メーカーのセキュリティホールを見つけ出して報告するという、バグ発見報奨ブームに乗った世界中に数百人ほどいる有能なハッカーのうちの1人が彼だ。
今活躍しているセキュリティの有名人たちは、長い目で見ると専門分野を渡り歩いている人が結構いる。考え方が変わるたびに自分を合わせて成長してきている。ポイントは、今軸足を置いている分野の周辺を将来のために学んでみることにある。それは分野だけではない。
多くのWebサイトではTorネットワークからのアクセスをブロックしているが、その理由は意図的な場合と、Torネットワークからの不正なトラフィックに警戒している場合が挙げられる。
ハッカー集団がASUSルータのIPアドレスを走査する無料のツールを用いて、脆弱なキットの一部として12,937件を見つけ、3,131件のAiCloudのアカウントのログイン情報を盗み出してから、これをネット上に投稿した。
日本を代表するIT企業の本体とかで、セキュリティ事業部門から社長が出たらビックリだろうね。いや、マジでそんなことは起きませんよ、絶対に。だって、セキュリティは会社の利益に大きく貢献することは無い。法務部門が長くて社長になったなんて聞かないのと同じだ。
Operation Blockbusterは、Lazarus Groupから自衛できるよう、複数のセキュリティベンダーが各社のインテリジェンスやリソースを共有する。共同オペレーションはセキュリティ業界では珍しくもないが、特定グループをターゲットとしたコラボレーションは非常にまれと言える。
ドメイン名システムのための複雑なセキュリティプロトコル、DNSSECが分散型サービス攻撃に利用できるという汚点が新たに指摘された。
「この点において、当社は法律の認める範囲内で、当社の総力を挙げて対応を行った。しかしながらここで、作成するには危険すぎると当社が考えるものを米国政府が我々に求めている。政府はiPhoneにバックドアを設けるように当社に依頼してきた。」
glibc ライブラリにおいてバッファオーバーフロー脆弱性が公開されました。
カリフォルニア州の中央地方裁判所が Apple に対して「暗号解読」を命じなかった──そのかわりにロック解除のメカニズムを効果的に迂回できるツールを提供することを Apple に求めた──のは、注目すべき重要な点だ。
「Ev4cuati0nSquad」を名乗るグループは先月、英国、米国、オーストラリアなど複数の国の学校に対し、数十件の虚偽の爆破予告を電話で行った。それは学校の閉鎖や、広範囲に渡るパニックを引き起こした。
2016年7月30日以降、AdWordsとDoubleClickはFlashの広告のアップロードを認めないとGoogleは広告主たちに告知した。来たる2017年1月2日にはGoogle Display Networkで、あるいはDoubleClickでディスプレイ広告が動作しなくなる。
「Gophishは、現実社会で行われるフィッシング攻撃を、極めて分かりやすくシミュレーションさせる『フィッシングのフレームワーク』だ」と語る Wright は、このプラットフォームを「誰にでも利用できる、産業グレードのフィッシング訓練」と表現している。
「我々が言えることは、『その攻撃の背後にいた犯罪者は、専門的なハッカーには程遠い存在だった』ということだ。Adwindの顧客の大半は、そのレベルのコンピュータの教養しか身につけていないと我々は考えている。それは気がかりな傾向だ」
攻撃者は、そのデバイスを「マルウェアのストア」に変化させる能力を持つことになる。それは、このスマート(と呼ばれている)サーモスタットと同じ無線ネットワークを利用している他のデバイスをマルウェアに感染させるために利用できるだろう。
その悪党は「司法省のメールアカウントが侵害されたおかげで、数百ギガバイトのデータを手に入れた」と主張している。ただし、受信ボックスが乗っ取られたという確かな証拠は何もない。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)