Scan PREMIUM 倶楽部(50 ページ目)

PHP の multipart_buffer_headers 関数における実装上の問題により遠隔からサービス運用妨害 (DoS) が可能な脆弱性（Scan Tech Report）画像

2015.12.21 Mon 8:00

PHP の multipart_buffer_headers 関数における実装上の問題により遠隔からサービス運用妨害 (DoS) が可能な脆弱性（Scan Tech Report）

PHP において multipart/form-data ヘッダをパースする main/rfc1867.c のmultipart_buffer_headers 関数には、細工された multipart/form-data リクエストを処理する際に CPU リソースを過度に消費してしまう脆弱性が存在します。

すべての人に無料の HTTPS 証明書を──Let's Encrypt が世界に扉を開く～コマンドラインを利用した、極めて容易なインストール（The Register）画像

国際

2015.12.18 Fri 8:30

すべての人に無料の HTTPS 証明書を──Let's Encrypt が世界に扉を開く～コマンドラインを利用した、極めて容易なインストール（The Register）

「セキュリティとプライバシーの面で、ウェブが大きな前進をする時が来た。我々は HTTPS がデフォルトとなることに期待している。Let's Encrypt は、できるだけ証明書の取得と管理を簡易化することによって、それを可能とするために設計された」

支配的構造：犯罪者が管理者のログイン情報を盗み、サイトを感染させ、Cryptowall 4 を送り込む～世界最悪のパスワード泥棒＋世界最悪のエクスプロイトキット＋世界最悪のランサムウェア（The Register）画像

国際

2015.12.17 Thu 8:30

支配的構造：犯罪者が管理者のログイン情報を盗み、サイトを感染させ、Cryptowall 4 を送り込む～世界最悪のパスワード泥棒＋世界最悪のエクスプロイトキット＋世界最悪のランサムウェア（The Register）

これは、まだリリースから 1 か月に満たない最新種の Cryptowall と、世界で最も効果的で人気のあるエクスプロイトキット Angler を活用した、現在のところ最も複雑な、また最も効果的と思われるランサムウェア攻撃の一つだ。

Wi-Fi や Tor の制限に、テロ攻撃後のフランスが「Non」を示す～卑劣な連中が、フランスの自由・平等・博愛を殺すことはない（The Register）画像

国際

2015.12.16 Wed 8:30

Wi-Fi や Tor の制限に、テロ攻撃後のフランスが「Non」を示す～卑劣な連中が、フランスの自由・平等・博愛を殺すことはない（The Register）

「警察は、より良い『テロとの戦い』のあらゆる側面に目を向けている、それは言うまでもない。しかし我々は、効果的な対策を取らなければならない」と彼は語った。

「新しい Windows 10」がセキュリティの悪夢を現実に変える～ Windows 10 IoT Core Pro が、「モノ」の製造業者にセキュリティのアップデートを敬遠させる（The Register）画像

国際

2015.12.15 Tue 8:30

「新しい Windows 10」がセキュリティの悪夢を現実に変える～ Windows 10 IoT Core Pro が、「モノ」の製造業者にセキュリティのアップデートを敬遠させる（The Register）

もしも「モノ」のメーカーがアップデートを遅らせることを決意し、その結果「モノ」が修復されないのであれば、それは良いことではない。そして「モノ」がオンラインの状態だということを考えると……もうお分かりだろう。

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として～いずれにせよ、それは訓練演習だったように見える（その 2）（The Register）画像

国際

2015.12.14 Mon 9:30

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として～いずれにせよ、それは訓練演習だったように見える（その 2）（The Register）

我々は皆、標的となりえる。たとえ我々が魅力的な標的とならない場合でも、より実りの多いゲームを求めている何者かにとって、我々のネットワークサーバを侵害する唯一の目的は「射撃訓練」であるかもしれない。

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として～いずれにせよ、それは訓練演習だったように見える（その 1）（The Register）画像

国際

2015.12.14 Mon 8:30

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として～いずれにせよ、それは訓練演習だったように見える（その 1）（The Register）

フルタイムの研究チームと、2 人のまともな開発者を雇用する資金さえ持っていれば、誰でも信頼性の高い攻撃的なハッキングの能力を構築できる。国に支援されたハッキングチームが主に有利となる点は、スパイや工作員の数だ。

ビデオ・マルバタイジングの活動は 12 時間だけ？　2 か月お試しください～研究者「ビデオのクラップウェア問題は想像以上に悪質」（The Register）画像

国際

2015.12.11 Fri 8:30

ビデオ・マルバタイジングの活動は 12 時間だけ？　2 か月お試しください～研究者「ビデオのクラップウェア問題は想像以上に悪質」（The Register）

しかしビデオの XML、つまりVASTは、「広告でコードを実行できる拡張を求める広告主」にとっては不十分であることが判明した。そしてVPAIDがもたらされた。それこそが、ビデオのマルバタイジング活動を可能にしたものだ。

Tor Project「匿名性はタダじゃないんだ。みんな、払うもんを払おう」～プライバシーネットワークから寄付のお願い（The Register）画像

国際

2015.12.10 Thu 8:30

Tor Project「匿名性はタダじゃないんだ。みんな、払うもんを払おう」～プライバシーネットワークから寄付のお願い（The Register）

この基金集めの運動が成功したなら、Tor が大学の補助金や、政府の助成金に依存するのも終わりになるはずだ。このキャンペーンをさらに支援するため、Tor は Citizen Four ディレクター Laura Poitras の協力を得た。

ハッカーは Reader's Digest の臭い足にエクスプロイトキットでスプレーを吹き付ける～民間療法ファン、Bedep にバックドアを仕掛けられる（The Register）画像

国際

2015.12.9 Wed 15:30

ハッカーは Reader's Digest の臭い足にエクスプロイトキットでスプレーを吹き付ける～民間療法ファン、Bedep にバックドアを仕掛けられる（The Register）

攻撃者たちは「足の臭いに、驚くほど効果的な 9 つのホームレメディ」という記事を感染させたが、月あたり 300 万人の読者たちが訪問した他のページも標的となった可能性がある。

マルバタイジング：ネット広告のモデルが、いかに犯罪者を儲けさせるのか～そして……すべての金銭的な損害の責任は、誰が負うのか？（その 3）（The Register）画像

国際

2015.12.8 Tue 10:30

マルバタイジング：ネット広告のモデルが、いかに犯罪者を儲けさせるのか～そして……すべての金銭的な損害の責任は、誰が負うのか？（その 3）（The Register）

「トップクラスのアダルトサイトの多くは、実はメインストリームのサイトよりマルバタイジングの攻撃を受けにくい」と Segura は我々に語った。「実際のところ、彼らは応答性が高く、この問題についても我々と共に取り組むことを望んでいる」

マルバタイジング：ネット広告のモデルが、いかに犯罪者を儲けさせるのか～そして……すべての金銭的な損害の責任は、誰が負うのか？（その 2）（The Register）画像

国際

2015.12.8 Tue 9:30

マルバタイジング：ネット広告のモデルが、いかに犯罪者を儲けさせるのか～そして……すべての金銭的な損害の責任は、誰が負うのか？（その 2）（The Register）

しかし、そのような規則を介してマルバタイジングへの対処が行われるという考えは疑わしい、と Taylor は The Register に語った。それに対処するのはむしろ「広告ブロッカーの利用を始めるユーザーの拡大」などを含めた市場的な要因だろう。

マルバタイジング：ネット広告のモデルが、いかに犯罪者を儲けさせるのか～そして……すべての金銭的な損害の責任は、誰が負うのか？（その 1）（The Register）画像

国際

2015.12.8 Tue 8:30

マルバタイジング：ネット広告のモデルが、いかに犯罪者を儲けさせるのか～そして……すべての金銭的な損害の責任は、誰が負うのか？（その 1）（The Register）

マルバタイジングは、攻撃に対して脆弱な相手だけを効果的に狙うことができるため、非常に費用対効果が優れている。Kleczynski は「『インプレッション数の従量課金』は、基本的に『感染数の従量課金』だ」と表現した。

VirusTotal が、最新の「Mac マルウェアの砂場あそび」に Apple ファンを招待～「でも Mac ならウイルスに感染しないのでは……」いや感染する、その頻度も上がっている、と Google は語る（The Register）画像

国際

2015.12.7 Mon 8:30

VirusTotal が、最新の「Mac マルウェアの砂場あそび」に Apple ファンを招待～「でも Mac ならウイルスに感染しないのでは……」いや感染する、その頻度も上がっている、と Google は語る（The Register）

サンドボックスの実行は、Macのマルウェアの行動に対する優れた洞察を提供し、サービスの「真のウイルス対策の精度」を示すようになる。スキャンだけでは、より顕著な活動をするマルウェアをキャッチできないからだ。

Elasticsearch において Snapshot API を介して任意のファイルが閲覧されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2015.12.7 Mon 8:00

Elasticsearch において Snapshot API を介して任意のファイルが閲覧されてしまう脆弱性（Scan Tech Report）

オープンソースの検索エンジンソフトウェアである Elasticsearch に、Snapshot API を介して任意のファイルが閲覧されてしまう脆弱性が報告されています。

「中国にハッキングされた？　やり返せ！」米議会の激怒レポート～「我々が彼らに要求したとおりのことを、よくも彼らは我々に要求できたものだ！」（The Register）画像

国際

2015.12.4 Fri 8:30

「中国にハッキングされた？　やり返せ！」米議会の激怒レポート～「我々が彼らに要求したとおりのことを、よくも彼らは我々に要求できたものだ！」（The Register）

「報復的なアプローチ」を提唱する中、さらに同委員会は議会に対し「中国にいる米国の投資家たちに公平な競争の場を提供するため、米国にいる中国の投資家たちの市場参入を調整する法」を考慮するよう奨励した。

レポート：多くの英国の e コマースサイトは、ログインのパスワード設定で「password」を許している～まさかとはお思いでしょうが、同様に「abc123」や「123456」も（The Register）画像

国際

2015.12.3 Thu 8:30

レポート：多くの英国の e コマースサイトは、ログインのパスワード設定で「password」を許している～まさかとはお思いでしょうが、同様に「abc123」や「123456」も（The Register）

「最も基礎的なウェブサイトにとってさえ『強力なパスワードを要求すること』は極めて容易であるにもかかわらず、英国最大のオンライン小売業者の一部は、ユーザーを『弱いパスワード要求』の危険に晒したままにしている」

Google が「暗号化されていないメッセージ」の警告を行う機能を Gmail に加える意向～そして悪い国々は名指しで辱められる（The Register）画像

国際

2015.12.2 Wed 8:30

Google が「暗号化されていないメッセージ」の警告を行う機能を Gmail に加える意向～そして悪い国々は名指しで辱められる（The Register）

それでも、この研究には良いニュースもあった。「Gmail が Gmail 以外のアドレスから受信した、暗号化済みのメール」の割合は、2013年12月から2015年10月までの間にほぼ倍増（33％から61％に増加）している。

元「駐車違反のチケット男」、サイバーセキュリティの天才であることが判明～情報セキュリティの指導者コースで、Newcastle 市会に勤務していた男性が目覚ましいスコアを叩き出す（The Register）画像

国際

2015.12.1 Tue 8:30

元「駐車違反のチケット男」、サイバーセキュリティの天才であることが判明～情報セキュリティの指導者コースで、Newcastle 市会に勤務していた男性が目覚ましいスコアを叩き出す（The Register）

別の勝者 Kate Booth は、そのコースについて「素晴らしいものだった。それは『すでに持っているスキル』だけを見るのではなく、能力や可能性も見るものだ」と語った。

「ネットワークのセキュリティ上の脆弱性」の主張にゲノム研究者が反撃～「ハッカーは、あなたがどんな病気を持っているのかを特定できる──しかし、まずはあなたの唾液が必要だ」（The Register）画像

国際

2015.11.30 Mon 8:30

「ネットワークのセキュリティ上の脆弱性」の主張にゲノム研究者が反撃～「ハッカーは、あなたがどんな病気を持っているのかを特定できる──しかし、まずはあなたの唾液が必要だ」（The Register）

「実在するひとつの Beacon で、たった1,000 の SNP クエリを用いて、我々は Personal Genome Project から『一人の個人のゲノム』の存在を検出することができた」

Tim Cook「英国の『暗号バックドア』は『悲惨な結果』につながるだろう」～暗号の弱体化が傷つけるのは「善良な人々」だけだ（The Register）画像

国際

2015.11.27 Fri 8:30

Tim Cook「英国の『暗号バックドア』は『悲惨な結果』につながるだろう」～暗号の弱体化が傷つけるのは「善良な人々」だけだ（The Register）

Apple のボスは、彼の企業がバックドアに反対していると話し、彼が以前に語った「エンドツーエンドの暗号化に関するコメント」を繰り返した。「人々が我々に自分のメッセージを読んでほしがっている、と我々は思わない」