Scan PREMIUM 倶楽部(53 ページ目) | ScanNetSecurity
2026.04.04(土)
コンテンツ
注目検索ワード
ホーム Scan PREMIUM 倶楽部

Scan PREMIUM 倶楽部(53 ページ目)

Fedora、CentOS において ABRT に含まれるシンボリックリンク攻撃の脆弱性を利用して権限昇格されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Fedora、CentOS において ABRT に含まれるシンボリックリンク攻撃の脆弱性を利用して権限昇格されてしまう脆弱性(Scan Tech Report)

Red Hat Enterprise Linux、CentOS、Fedora などに実装されている自動バグ報告ツール ABRT (Automatic Bug Reporting Tool) において、2 つの脆弱性を利用して権限昇格が可能であることが報告されています。
米国のスパイのボス「我々はあなたの歯ブラシで、あなたをスパイする」~James Clapper 曰く「IoT は我々にとって良いものだ」(The Register) 画像
国際

米国のスパイのボス「我々はあなたの歯ブラシで、あなたをスパイする」~James Clapper 曰く「IoT は我々にとって良いものだ」(The Register)

IoT 製品から得られるデータは非常に貴重なものとなりえる。それらの製品の多くがマイクや動作センサーを搭載している。たとえば新しいスマートテレビや子供の玩具、あるいは Amazon の「Echo」のような音声制御の製品などだ。
徹底的に賢明な「IoT のセキュリティルール」を GSMA が概説~デバイスの設計ルール、そしてメーカーが完全に止めるべき粗雑な態度(The Register) 画像
国際

徹底的に賢明な「IoT のセキュリティルール」を GSMA が概説~デバイスの設計ルール、そしてメーカーが完全に止めるべき粗雑な態度(The Register)

そこには「これまでメーカーがあまりにも頻繁に無視してきたこと」のリストが与えられている。良い暗号、API セキュリティモデル、前方秘匿性、アプリケーションのロールバック、署名されたアプリケーションイメージを、GSMA は必要条件として述べている。
ハッカーツールを規制する Wassenaar Arrangement の改正案を、次の戦いで引き裂くために準備せよ~再起草案の公開協議が行われることに(The Register) 画像
国際

ハッカーツールを規制する Wassenaar Arrangement の改正案を、次の戦いで引き裂くために準備せよ~再起草案の公開協議が行われることに(The Register)

ネットワークマッピングツールやファジングツールなど、ハッカーが利用するユーティリティは様々だが、それらはサイバーセキュリティ業界にとっても不可欠だ。先の「調整された提案」の下では、これらを海外へ持ち出すことが禁止されていただろう。
Linode の SSH キーの大失態で、バーチャルサーバが数か月間 MITM 攻撃の危険に晒される~いますぐにキーの再生成を(The Register) 画像
国際

Linode の SSH キーの大失態で、バーチャルサーバが数か月間 MITM 攻撃の危険に晒される~いますぐにキーの再生成を(The Register)

この失敗は、ニュージャージーに拠点を置く Linux サーバホスティング業者がクリスマス後、データセンターに 10 日間の DDoS 攻撃を受け、ハッキングの恐怖に襲われたことにより、同社のユーザーアカウントのパスワードを 1 月にリセットしたあとに起きたものだ。
期限ぎりぎりの米欧間の取引で、Privacy Shield が Safe Harbor に置き換わる~米国は「欧州人をまとめてスパイしない」と約束(The Register) 画像
国際

期限ぎりぎりの米欧間の取引で、Privacy Shield が Safe Harbor に置き換わる~米国は「欧州人をまとめてスパイしない」と約束(The Register)

たしかに、その表現は少なからず大雑把に見える。NSA の解釈によれば、彼らが大量のオンライン情報を収集し保管することは監視に該当せず、「それを分析者が実際に見た場合」のみが監視行為となるため、この点は明確化する必要がある。
英国内務省がスタッフのセキュリティ審査フォームを紛失~テレサの内務省のセキュリティ、最悪な失態を見咎められる(The Register) 画像
国際

英国内務省がスタッフのセキュリティ審査フォームを紛失~テレサの内務省のセキュリティ、最悪な失態を見咎められる(The Register)

「不正な情報開示」によるデータ侵害事件の大半は、国境と移民に焦点を当てたものだった。そこには事業の提携相手によるミス(約 150 人分の詳細情報が失われた)が含まれているが、それ以上の情報は何も提供されていない。
イスラエルのドローンと飛行機の信号は、米・英のシギントチームに傍受されていた~スノーデンの文書が「Anarchist」作戦を暴く(The Register) 画像
国際

イスラエルのドローンと飛行機の信号は、米・英のシギントチームに傍受されていた~スノーデンの文書が「Anarchist」作戦を暴く(The Register)

「それらのイメージを、ほぼリアルタイムで解読するために必要となる演算能力は膨大だったが、それでもイメージの内容を見極めるには、それほど多くの労力を費やさずに個々のフレームを解読することが可能だ」とある。
あなたのサイトの HTTP ヘッダが安全かどうか、簡単に確認できるサービス開始~サイトに緊張感を与える格付けのサイト(The Register) 画像
国際

あなたのサイトの HTTP ヘッダが安全かどうか、簡単に確認できるサービス開始~サイトに緊張感を与える格付けのサイト(The Register)

HTTP のレスポンスヘッダを適切に設定することは、ただ単に「理想とされる任務」ではなく、ウェブのセキュリティに重要な利益をもたらすもので、また独立したセキュリティ専門家によって確認される任務だ、と開発者の Scott Helme は語る。
500Gbps の DDoS 攻撃が世界記録を平坦化する~犯罪者による DDoS 攻撃の有料サービスの波が企業を打つ(The Register) 画像
国際

500Gbps の DDoS 攻撃が世界記録を平坦化する~犯罪者による DDoS 攻撃の有料サービスの波が企業を打つ(The Register)

Network Time Protocol の脆弱性を悪用した反射攻撃(Reflection attack)や増幅攻撃(AMP、Amplification attack)の人気は衰えていない。それらの攻撃に対抗するため、サーバには継続的にパッチが適用されている。
Linux kernel のファイルシステム Overlayfs における権限の検証不備により権限昇格されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Linux kernel のファイルシステム Overlayfs における権限の検証不備により権限昇格されてしまう脆弱性(Scan Tech Report)

Linux kernel 4.3.3 までの Overlayfs に、アクセス制限の回避と任意のOverlayfs ファイルの属性変更により、権限昇格が可能となる脆弱性が報告されています。
Word に気をつけろ:SCADA ハッカーの BlackEnergy が戦略を変えている~最新の標的はテレビ局(The Register) 画像
国際

Word に気をつけろ:SCADA ハッカーの BlackEnergy が戦略を変えている~最新の標的はテレビ局(The Register)

「彼らが Word 文書を利用することは事前に予想していたので、これは我々の疑いを確証するものだった。一般的に言えば、『マクロを含んだ Word 文書』は、APT 攻撃を行う人々の間でますます人気が高くなっている」
NASA も防総省も商務省も、バックドアが仕掛けられた Juniper キットの利用状況の監査対象に~委員会は、ファイアウォールの更新状況を知りたい(The Register) 画像
国際

NASA も防総省も商務省も、バックドアが仕掛けられた Juniper キットの利用状況の監査対象に~委員会は、ファイアウォールの更新状況を知りたい(The Register)

監督委員会は(政府の)各部門に対する ScreenOS の利用の監査を 2月4日 に行うとし、それまでわずかな猶予を与えた──それはちょっと難しい頼みだと我々は考える。連邦政府の一部の IT 担当者は心臓発作を起こすかもしれない。
ニューヨークにいるあなたが偽造品を購入できないのなら、これが理由かもしれない~サイバー界のシャーロック・ホームズの研究が偽造品の業界を暴く(The Register) 画像
国際

ニューヨークにいるあなたが偽造品を購入できないのなら、これが理由かもしれない~サイバー界のシャーロック・ホームズの研究が偽造品の業界を暴く(The Register)

スパマーたちは「くそったれの VISA が、俺らをナパーム弾で焼きやがった」と会話していた。「ボットネットがテイクダウンされたときであれば、このような種類の愚痴は聞かれない。それは、我々が彼らを痛めつけたということを示している」
ウクライナの電気事業者が、オープンソースの「バックドア型トロイの木馬」に再び攻撃される~そのマクロのフィッシング攻撃はロシア発か(The Register) 画像
国際

ウクライナの電気事業者が、オープンソースの「バックドア型トロイの木馬」に再び攻撃される~そのマクロのフィッシング攻撃はロシア発か(The Register)

この攻撃の出所は必ずしもロシアだとは言えず、また、いかなる者に対しても完全な確信を持って責任を問うことができないと Lipovsky は語る。現在、多くの研究者たちがスレットインテリジェンスとフォレンジックに協力して取り組んでいる。
その怪しいトリックは失敗に終わる:Google が昨年 7 億 8,000 万の広告を廃棄~「我々は危険なダウンロード、代替療法、フィッシングに厳しい処分を与えている」と広告の巨人が主張(The Register) 画像
国際

その怪しいトリックは失敗に終わる:Google が昨年 7 億 8,000 万の広告を廃棄~「我々は危険なダウンロード、代替療法、フィッシングに厳しい処分を与えている」と広告の巨人が主張(The Register)

ブロックされたサイトやアカウントの総数は、昨年と比較して上昇している。悪意ある広告と戦うために、Google は 1,000 人以上のスタッフを雇っていると、広告とコマース部門のボス Sridhar Ramaswamy は語る。
ここが変だよ日本のセキュリティ 第19回「気を付けて!日本人が陥りやすい考え方」 画像
特集
2次元殺法コンビ
2次元殺法コンビ

ここが変だよ日本のセキュリティ 第19回「気を付けて!日本人が陥りやすい考え方」

2015年はサイバーセキュリティ元年だったそうだ。2005年が内部セキュリティ元年で、2013年は制御システムセキュリティ元年、2014年はPOS脅威元年だったとさ。営業トークの元年が毎年叫ばれるってことは業界が成長期にあるって意識高い系の解釈をしておこう。
1,500 ドルの賞金をチラつかせなければ、バグ報奨金のハンターは食いつかない~良質な助けを得たいなら、その 10 倍が必要になる(The Register) 画像
国際

1,500 ドルの賞金をチラつかせなければ、バグ報奨金のハンターは食いつかない~良質な助けを得たいなら、その 10 倍が必要になる(The Register)

「市場は進化を続けているが、成功の鍵は変化していない。報奨金プログラムを成功させたいなら、あなたは適切な報酬で、正しい研究者を惹きつけなければならない」
2015年に配信したすべての海外翻訳記事のサルベージが完了しました [埋もれた過去記事を救い出せ! Scan バックナンバー・サルベージ・プロジェクト] 画像
おしらせ
ScanNetSecurity
ScanNetSecurity

2015年に配信したすべての海外翻訳記事のサルベージが完了しました [埋もれた過去記事を救い出せ! Scan バックナンバー・サルベージ・プロジェクト]

今回は、2015 年に ScanNetSecurity が配信した UK の IT ニュース誌 The Register 誌特約による翻訳記事をすべてサルベージ完了しましたことをお知らせいたします。
フィッシング攻撃に泥を吐いた 2 要素認証の LastPass がロックダウン~パスワードの金庫室を略奪するフィッシングの餌が、Github で公開される(The Register) 画像
国際

フィッシング攻撃に泥を吐いた 2 要素認証の LastPass がロックダウン~パスワードの金庫室を略奪するフィッシングの餌が、Github で公開される(The Register)

通常ならば、金庫室にアクセスするためのマスターパスワードが公式のウェブサイト以外のあらゆるウェブサイト上で入力された場合、LastPass は警告を発する。攻撃者は、その警告の表示をブロックすることができた。
「KeysForge」で、あなたも錠の写真から鍵の設計図を作れる~印刷可能な CAD 図面を生成するには、スマートフォンで撮影した写真で充分だ(The Register) 画像
国際

「KeysForge」で、あなたも錠の写真から鍵の設計図を作れる~印刷可能な CAD 図面を生成するには、スマートフォンで撮影した写真で充分だ(The Register)

これまでにも、高解像度レンズを用いて、かなりの距離を隔てて撮影された(鍵の)写真から、その鍵を複製できることが示されている。このアプリケーションは、そのような的を絞った先進的な攻撃を行う際に有効だ。
  1. 先頭
  3. 10
  4. 20
  5. 30
  6. 40
  7. 48
  8. 49
  9. 50
  10. 51
  11. 52
  12. 53
  13. 54
  14. 55
  15. 56
  16. 57
  17. 58
  18. 60
  19. 70
  21. 最後
Page 53 of 109
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×