Scan PREMIUM 倶楽部(48 ページ目)

PHPMailer において送信元情報の検証不備により任意のファイルが書き込まれてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2017.1.17 Tue 8:15

PHPMailer において送信元情報の検証不備により任意のファイルが書き込まれてしまう脆弱性（Scan Tech Report）

WordPress をはじめとした様々な CMS ソフトウェアにも組み込まれているライブラリソフトウェアである PHPMailer に、値検証の不備により遠隔から任意のコードが書き込まれてしまう脆弱性が報告されています。

ワッセナー・アレンジメントに関する交渉決裂、exploit の輸出問題は未解決～多少の進展あれど歩みは遅く（The Register）画像

国際

The Register誌特約記事

2017.1.13 Fri 8:22

ワッセナー・アレンジメントに関する交渉決裂、exploit の輸出問題は未解決～多少の進展あれど歩みは遅く（The Register）

共同で交渉にあたったケイティ・ムスリ氏は、Microsoft社にバグ・バウンティ制度を開始するよう促し、現在Luta Security社を経営する女性だが、この状況を「ガッカリだ」と表現し、アメリカの次期政権が取り組むべき問題になったと述べた。

2017年のDDoS攻撃: 深刻な状況に備えて用心を～最悪の2016年、残念ながら2017年も好転しない（The Register）画像

国際

The Register誌特約記事

2017.1.6 Fri 8:15

2017年のDDoS攻撃: 深刻な状況に備えて用心を～最悪の2016年、残念ながら2017年も好転しない（The Register）

DDoS攻撃は遅くとも2000年頃には確認されており、現在もとどまる気配はない。大規模DDoS攻撃の実行とその防止とが同時に展開されてきた。そして2017年もやはり、この闘争はきわめて激しいものになると見られている。これから今後12か月で起きることの予想をあげていこう。

英国の新しいスパイ法案、暗号化バックドア法のバックドアを突き承認へ（The Register）画像

国際

The Register誌特約記事

2016.12.28 Wed 8:15

英国の新しいスパイ法案、暗号化バックドア法のバックドアを突き承認へ（The Register）

法案が可決される際に、複数の組織がその第217節に対する不安を表明した。ISPをはじめとする通信業者は新製品やサービスをリリースする前に政府へ通知しなければならない、また政府はそれらのソフトウェアやシステムに「技術的な」変更を求めることができる、というものだ。

ここが変だよ日本のセキュリティ第26回「最近よく聞くサイバー保険は誰を救う？」画像

特集

2次元殺法コンビ

2016.12.27 Tue 8:15

ここが変だよ日本のセキュリティ第26回「最近よく聞くサイバー保険は誰を救う？」

経営者はITに詳しくない、新しい技術に疎い、なんてことを心配している次元では無くなってきた。経営者にそこまで広い知見はあるかというと、さすがに偉くなってきた、勝ち残ってきただけの優秀さは持っている。ただの50代、60代のおっさんとかとは、桁違いに切れる。

音楽認識アプリ Shazam 、終了しても録音継続～開発元：「仕様です」「重大なリスクはない」（The Register）画像

国際

The Register誌特約記事

2016.12.21 Wed 8:15

音楽認識アプリ Shazam 、終了しても録音継続～開発元：「仕様です」「重大なリスクはない」（The Register）

NSA元職員で、現在セキュリティ企業Synackで研究を統括するパトリック・ワードル氏は、Shazamが常に録音可能な状態になっていることを確認した。「Shazamの問題点は、アプリを「オフ」にしたら、ふつう録音が止まると考えるということだ」とワードル氏は憤慨する。

Microsoft Windows OS における eventvwr.exe を用いて UAC による制限を回避する手法（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.12.19 Mon 8:15

Microsoft Windows OS における eventvwr.exe を用いて UAC による制限を回避する手法（Scan Tech Report）

Microsoft 社の OS である Windows に、イベントビューアー (eventvwr.exe) の仕組みを利用して、ユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。

勝手に実家（中国）と連絡をとる Android 端末、あらゆるプライバシーを送信する完璧な

国際

The Register誌特約記事

2016.12.13 Tue 7:35

勝手に実家（中国）と連絡をとる Android 端末、あらゆるプライバシーを送信する完璧な "ファームウェア" （The Register）

問題となったファームウェアは携帯電話会社、半導体ベンダー、電子機器メーカーなど400社以上で採用されているそうだ。同ファームウェアが使われている製品はスマートファンからウェアラブル端末、車やテレビに至るまで多岐にわたる。

OS X の IOSurface におけるタスク処理の不備により権限が昇格可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.12.7 Wed 8:00

OS X の IOSurface におけるタスク処理の不備により権限が昇格可能となる脆弱性（Scan Tech Report）

Apple 社の OS X において、管理者権限で任意のコードが実行可能となる脆弱性が報告されています。端末に攻撃者が侵入してしまった場合、当該脆弱性を悪用されてしまうことにより、全権を掌握されてしまう可能性があります。

Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register) 画像

国際

The Register

2016.11.30 Wed 14:15

Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register)

研究者たちは概念実証のため、スマート照明「Philips Hue」の電球に侵入し、安全性に欠けるインターネットに接続された電球のスイッチを入れたり切ったりできるワームを開発した。

恐ろしい…SCADA！シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）画像

国際

The Register

2016.11.30 Wed 13:00

恐ろしい…SCADA！シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）

最新の欠陥は、先日公開されたUnityシミュレータに影響を与えるバグとは「まったく別のものです」と彼は付け加えた。ザ・レジスターの問い合わせに応じて、シュナイダー・エレクトリックは潜在的なDDoSリスクとして何が起きうるのかを正式に発表した。

Joomla において register 関数の不備により特権を持つ任意のアカウントが作成可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.11.21 Mon 8:15

Joomla において register 関数の不備により特権を持つ任意のアカウントが作成可能となる脆弱性（Scan Tech Report）

世界的に利用されている CMS ソフトウェアである Joomla に、ユーザ登録の際の値検証不備により、Joomla における特権を持つ任意のユーザが作成可能となる脆弱性が報告されています。

インドの支払システムへの攻撃で300万のデビットカードが危険に～「私達のせいではありません！」日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）画像

国際

ScanNetSecurity

2016.11.15 Tue 8:15

インドの支払システムへの攻撃で300万のデビットカードが危険に～「私達のせいではありません！」日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）

セキュリティ侵害の疑いから、インド国内の銀行が325万人の顧客に対してデビットカードの交換またはPINコードの変更をするよう警告した。

Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow) （Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.11.8 Tue 8:15

Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow) （Scan Tech Report）

バージョン 2.x 系および 3.x 系に、Linux カーネルのサブシステムに含まれる競合状態制御の不備を悪用して、権限昇格が可能となる脆弱性が報告されています。脆弱性を悪用することにより、攻撃者はシステムの全権限を掌握することが可能となります。

ペースメーカーと除細動器の脆弱性公表前、投機目的で株を空売り（The Register）画像

国際

The Register

2016.11.7 Mon 8:15

ペースメーカーと除細動器の脆弱性公表前、投機目的で株を空売り（The Register）

セキュリティ専門のスタートアップ企業と、その後ろ盾となる金融会社は、セント・ジュード・メディカル製造のペースメーカと除細動器に新しいセキュリティ上の欠陥を発見したとの主張を公表し、またも、公表を利用して型破りな方法で利益を上げようとしているようだ。

Linux カーネルの Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.10.24 Mon 8:15

Linux カーネルの Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）

Linux カーネルにおいてパケットを処理する機能を提供するサブシステムである Netfilter に、実装不備を悪用して権限昇格が可能となる脆弱性が報告されています。

英デスクトップ仮想化企業、ランサムウェアによる攻撃に230万円支払う（The Register）画像

国際

The Register誌特約記事

2016.10.18 Tue 8:15

英デスクトップ仮想化企業、ランサムウェアによる攻撃に230万円支払う（The Register）

FBI特別捜査官補佐のJoseph Bonavolontaは以前、身代金要求ランサムウェア感染の犠牲となった企業は、単純にその代償を支払うべきだと話していた。ランサムウェアによる攻撃はますます広がりを見せており、トレンドマイクロはこれを企業に対する本年最大の脅威であるとした。

サイバーセキュリティ分野での起業とベンチャーキャピタルからの資金調達方法（The Register）画像

国際

高橋潤哉（ Junya Takahashi ）

2016.10.12 Wed 8:15

サイバーセキュリティ分野での起業とベンチャーキャピタルからの資金調達方法（The Register）

過去1年間、ベンチャーキャピタリストたちの財布の紐は固かった。だが、セキュリティスタートアップにはまだ愛と資金が溢れている。「私は過去20年間これを手がけてきましたが、(セキュリティの) ビジネスをするのに今以上の時期はありません」とチャンドゥナは述べている。

BIND 9 の message.c における値検証不備により遠隔からサービス不能にされてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.10.11 Tue 8:15

BIND 9 の message.c における値検証不備により遠隔からサービス不能にされてしまう脆弱性（Scan Tech Report）

DNS のサーバソフトウェアとして世界的に大きなシェアを誇るソフトウェアである BIND のバージョン 9.x 系に、値検証不備によりサービス不能攻撃が可能となる脆弱性が報告されています。

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」画像

特集

2次元殺法コンビ

2016.10.7 Fri 8:15

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」

佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）画像

国際

The Register誌特約記事

2016.10.3 Mon 8:15

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）

マーティン氏は「最も攻撃的な脅威と闘い、これを抑止できる、合法的かつ慎重な管理が行われた攻撃型サイバー機能の開発」の必要性を訴えた。積極的サイバー防衛とは、アメリカの言葉を借りるならば、攻撃を妨害するために攻撃者に対してハッキングし返すことを意味する。

Scan PREMIUM 倶楽部(48 ページ目)

PHPMailer において送信元情報の検証不備により任意のファイルが書き込まれてしまう脆弱性（Scan Tech Report）

ワッセナー・アレンジメントに関する交渉決裂、exploit の輸出問題は未解決～多少の進展あれど歩みは遅く （The Register）

2017年のDDoS攻撃: 深刻な状況に備えて用心を～最悪の2016年、残念ながら2017年も好転しない（The Register）

英国の新しいスパイ法案、暗号化バックドア法のバックドアを突き承認へ（The Register）

ここが変だよ日本のセキュリティ 第26回 「最近よく聞くサイバー保険は誰を救う？」

音楽認識アプリ Shazam 、終了しても録音継続 ～ 開発元：「仕様です」 「重大なリスクはない」 （The Register）

Microsoft Windows OS における eventvwr.exe を用いて UAC による制限を回避する手法（Scan Tech Report）

勝手に実家（中国）と連絡をとる Android 端末、あらゆるプライバシーを送信する完璧な "ファームウェア" （The Register）

OS X の IOSurface におけるタスク処理の不備により権限が昇格可能となる脆弱性（Scan Tech Report）

Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register)

恐ろしい…SCADA！ シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）

Joomla において register 関数の不備により特権を持つ任意のアカウントが作成可能となる脆弱性（Scan Tech Report）

インドの支払システムへの攻撃で300万のデビット カードが危険に～「私達のせいではありません！」 日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）

Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow) （Scan Tech Report）

ペースメーカーと除細動器の脆弱性公表前、投機目的で株を空売り（The Register）

Linux カーネル の Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）

英デスクトップ仮想化企業、ランサムウェアによる攻撃に230万円支払う（The Register）

サイバーセキュリティ分野での起業とベンチャーキャピタルからの資金調達方法（The Register）

BIND 9 の message.c における値検証不備により遠隔からサービス不能にされてしまう脆弱性（Scan Tech Report）

ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ？」

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る （The Register）

ワッセナー・アレンジメントに関する交渉決裂、exploit の輸出問題は未解決～多少の進展あれど歩みは遅く（The Register）

ここが変だよ日本のセキュリティ第26回「最近よく聞くサイバー保険は誰を救う？」

音楽認識アプリ Shazam 、終了しても録音継続～開発元：「仕様です」「重大なリスクはない」（The Register）

恐ろしい…SCADA！シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）

インドの支払システムへの攻撃で300万のデビットカードが危険に～「私達のせいではありません！」日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）

Linux カーネルの Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）