Scan PREMIUM 倶楽部(50 ページ目)

勝手に実家（中国）と連絡をとる Android 端末、あらゆるプライバシーを送信する完璧な

国際

The Register誌特約記事

2016.12.13 Tue 7:35

勝手に実家（中国）と連絡をとる Android 端末、あらゆるプライバシーを送信する完璧な "ファームウェア" （The Register）

問題となったファームウェアは携帯電話会社、半導体ベンダー、電子機器メーカーなど400社以上で採用されているそうだ。同ファームウェアが使われている製品はスマートファンからウェアラブル端末、車やテレビに至るまで多岐にわたる。

OS X の IOSurface におけるタスク処理の不備により権限が昇格可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.12.7 Wed 8:00

OS X の IOSurface におけるタスク処理の不備により権限が昇格可能となる脆弱性（Scan Tech Report）

Apple 社の OS X において、管理者権限で任意のコードが実行可能となる脆弱性が報告されています。端末に攻撃者が侵入してしまった場合、当該脆弱性を悪用されてしまうことにより、全権を掌握されてしまう可能性があります。

Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register) 画像

国際

The Register

2016.11.30 Wed 14:15

Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register)

研究者たちは概念実証のため、スマート照明「Philips Hue」の電球に侵入し、安全性に欠けるインターネットに接続された電球のスイッチを入れたり切ったりできるワームを開発した。

恐ろしい…SCADA！シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）画像

国際

The Register

2016.11.30 Wed 13:00

恐ろしい…SCADA！シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）

最新の欠陥は、先日公開されたUnityシミュレータに影響を与えるバグとは「まったく別のものです」と彼は付け加えた。ザ・レジスターの問い合わせに応じて、シュナイダー・エレクトリックは潜在的なDDoSリスクとして何が起きうるのかを正式に発表した。

Joomla において register 関数の不備により特権を持つ任意のアカウントが作成可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.11.21 Mon 8:15

Joomla において register 関数の不備により特権を持つ任意のアカウントが作成可能となる脆弱性（Scan Tech Report）

世界的に利用されている CMS ソフトウェアである Joomla に、ユーザ登録の際の値検証不備により、Joomla における特権を持つ任意のユーザが作成可能となる脆弱性が報告されています。

インドの支払システムへの攻撃で300万のデビットカードが危険に～「私達のせいではありません！」日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）画像

国際

ScanNetSecurity

2016.11.15 Tue 8:15

インドの支払システムへの攻撃で300万のデビットカードが危険に～「私達のせいではありません！」日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）

セキュリティ侵害の疑いから、インド国内の銀行が325万人の顧客に対してデビットカードの交換またはPINコードの変更をするよう警告した。

Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow) （Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.11.8 Tue 8:15

Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow) （Scan Tech Report）

バージョン 2.x 系および 3.x 系に、Linux カーネルのサブシステムに含まれる競合状態制御の不備を悪用して、権限昇格が可能となる脆弱性が報告されています。脆弱性を悪用することにより、攻撃者はシステムの全権限を掌握することが可能となります。

ペースメーカーと除細動器の脆弱性公表前、投機目的で株を空売り（The Register）画像

国際

The Register

2016.11.7 Mon 8:15

ペースメーカーと除細動器の脆弱性公表前、投機目的で株を空売り（The Register）

セキュリティ専門のスタートアップ企業と、その後ろ盾となる金融会社は、セント・ジュード・メディカル製造のペースメーカと除細動器に新しいセキュリティ上の欠陥を発見したとの主張を公表し、またも、公表を利用して型破りな方法で利益を上げようとしているようだ。

Linux カーネルの Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.10.24 Mon 8:15

Linux カーネルの Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）

Linux カーネルにおいてパケットを処理する機能を提供するサブシステムである Netfilter に、実装不備を悪用して権限昇格が可能となる脆弱性が報告されています。

英デスクトップ仮想化企業、ランサムウェアによる攻撃に230万円支払う（The Register）画像

国際

The Register誌特約記事

2016.10.18 Tue 8:15

英デスクトップ仮想化企業、ランサムウェアによる攻撃に230万円支払う（The Register）

FBI特別捜査官補佐のJoseph Bonavolontaは以前、身代金要求ランサムウェア感染の犠牲となった企業は、単純にその代償を支払うべきだと話していた。ランサムウェアによる攻撃はますます広がりを見せており、トレンドマイクロはこれを企業に対する本年最大の脅威であるとした。

サイバーセキュリティ分野での起業とベンチャーキャピタルからの資金調達方法（The Register）画像

国際

高橋潤哉（ Junya Takahashi ）

2016.10.12 Wed 8:15

サイバーセキュリティ分野での起業とベンチャーキャピタルからの資金調達方法（The Register）

過去1年間、ベンチャーキャピタリストたちの財布の紐は固かった。だが、セキュリティスタートアップにはまだ愛と資金が溢れている。「私は過去20年間これを手がけてきましたが、(セキュリティの) ビジネスをするのに今以上の時期はありません」とチャンドゥナは述べている。

BIND 9 の message.c における値検証不備により遠隔からサービス不能にされてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.10.11 Tue 8:15

BIND 9 の message.c における値検証不備により遠隔からサービス不能にされてしまう脆弱性（Scan Tech Report）

DNS のサーバソフトウェアとして世界的に大きなシェアを誇るソフトウェアである BIND のバージョン 9.x 系に、値検証不備によりサービス不能攻撃が可能となる脆弱性が報告されています。

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」画像

特集

2次元殺法コンビ

2016.10.7 Fri 8:15

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」

佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）画像

国際

The Register誌特約記事

2016.10.3 Mon 8:15

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）

マーティン氏は「最も攻撃的な脅威と闘い、これを抑止できる、合法的かつ慎重な管理が行われた攻撃型サイバー機能の開発」の必要性を訴えた。積極的サイバー防衛とは、アメリカの言葉を借りるならば、攻撃を妨害するために攻撃者に対してハッキングし返すことを意味する。

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.9.28 Wed 10:02

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

世界的に大きなシェアを誇る CMS である Drupal において、作成したソースコードが Drupal で定められた標準と整合性が取れているかを確認するためのモジュールである Coder に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

ここが変だよ日本のセキュリティ第24回「毎年恒例、台湾HITCON突撃レポート」画像

特集

2次元殺法コンビ

2016.9.12 Mon 8:15

ここが変だよ日本のセキュリティ第24回「毎年恒例、台湾HITCON突撃レポート」

医療セキュリティ分野では昨年と同様にインドのPhilips社から、Swaroop Yermalkar氏の講演があった。さすがに医療分野でセンシティブな内容のため、撮影、スライドともに非公開だ。しかしその内容から日本の医療も同様の課題を抱えていることが分かった。

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report) 画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.9.11 Sun 18:15

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report)

Microsoft の Web ブラウザである Internet Explorer に用いられているスクリプトエンジンに、オブジェクト処理の不備に起因する、メモリ破壊と遠隔からの任意のコード実行の脆弱性が報告されています。

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.8.29 Mon 9:45

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

MySQL を Web コンソールから管理するためのツールである phpMyAdmin に、遠隔から任意のコードが実行となる脆弱性が報告されています。

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.8.18 Thu 8:15

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

世界的に大きなシェアを誇る CMS である Drupal で REST API を用いるために広く利用されているモジュールである RESTWS モジュールに、値検証不備に起因する、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑～上司の叱責が発端（The Register）画像

国際

The Register誌特約記事

2016.8.17 Wed 10:36

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑～上司の叱責が発端（The Register）

「個人的な恨みはないが、上級管理職の者たちは、部下を虐待し続けたらどういう目にあうか知る必要がある。私はチームのためにやったのだ。同僚の皆まで悪く見られてしまうことになったら申し訳ない」

[インタビュー] 鵜飼裕司今年の Black Hat USA 2016 注目 Briefings 画像

研修・セミナー・カンファレンス

高橋潤哉（ Junya Takahashi ）

2016.8.3 Wed 8:15

[インタビュー] 鵜飼裕司今年の Black Hat USA 2016 注目 Briefings

「それよりも、地に足の着いた投稿の方がよっぽど信頼できて面白いと思います。『Network Defense』と『Malware』のカテゴリは、いずれも、ただ「解析してみました」、ただ「作ってみました」ぐらいのレベルでは基本的に通りません。」

Scan PREMIUM 倶楽部(50 ページ目)

勝手に実家（中国）と連絡をとる Android 端末、あらゆるプライバシーを送信する完璧な "ファームウェア" （The Register）

OS X の IOSurface におけるタスク処理の不備により権限が昇格可能となる脆弱性（Scan Tech Report）

Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register)

恐ろしい…SCADA！ シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）

Joomla において register 関数の不備により特権を持つ任意のアカウントが作成可能となる脆弱性（Scan Tech Report）

インドの支払システムへの攻撃で300万のデビット カードが危険に～「私達のせいではありません！」 日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）

Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow) （Scan Tech Report）

ペースメーカーと除細動器の脆弱性公表前、投機目的で株を空売り（The Register）

Linux カーネル の Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）

英デスクトップ仮想化企業、ランサムウェアによる攻撃に230万円支払う（The Register）

サイバーセキュリティ分野での起業とベンチャーキャピタルからの資金調達方法（The Register）

BIND 9 の message.c における値検証不備により遠隔からサービス不能にされてしまう脆弱性（Scan Tech Report）

ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ？」

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る （The Register）

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

ここが変だよ日本のセキュリティ 第24回「毎年恒例、台湾HITCON突撃レポート」

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report)

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑 ～ 上司の叱責が発端（The Register）

[インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

恐ろしい…SCADA！シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに（The Register）

インドの支払システムへの攻撃で300万のデビットカードが危険に～「私達のせいではありません！」日立ペイメントサービス社は ATM 情報漏えいを否定（The Register）

Linux カーネルの Netfilter サブシステムにおける実装不備により権限昇格されてしまう脆弱性（Scan Tech Report）

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）

ここが変だよ日本のセキュリティ第24回「毎年恒例、台湾HITCON突撃レポート」

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑～上司の叱責が発端（The Register）

[インタビュー] 鵜飼裕司今年の Black Hat USA 2016 注目 Briefings