Scan PREMIUM 倶楽部(63 ページ目)

PC にバックドアを仕掛ける「危険な自動更新アプリ」の疑惑を Dell が否定～同社曰く「政府による埋め込み？　我々は決して協力しない」（The Register）画像

2015.4.7 Tue 8:30

PC にバックドアを仕掛ける「危険な自動更新アプリ」の疑惑を Dell が否定～同社曰く「政府による埋め込み？　我々は決して協力しない」（The Register）

「その小さなプログラム『Dell Service Tag Detector』は、サービスタグを確認する以外にも数多くのことを行う」「攻撃者が恣意的にファイルをダウンロードし、実行するためのプログラムを遠隔起動できる可能性もある」とForbesは語った。

Mozilla、中国の SSL 証明書の君主に責任追及「我々は君たちのことも信用しない」～Google に続き、中国のルート認証局 CNNIC を拒否（The Register）画像

国際

ScanNetSecurity

2015.4.6 Mon 9:30

Mozilla、中国の SSL 証明書の君主に責任追及「我々は君たちのことも信用しない」～Google に続き、中国のルート認証局 CNNIC を拒否（The Register）

この結果、すべての Mozilla 製品――FirefoxやThunderbirdなど――は、2015年4月1日以降に発行された、あらゆる CNNIC ベースの証明書を「信頼できない証明書」と見なすよう更新されることになる。

豪州でメタデータの保持にかかるコストは、一人あたり年間で 3.98 豪ドル～豪州の司法長官 George Brandis は、その予算が「データ保持のコストに対する政府の貢献」を明らかにすると主張（The Register）画像

国際

ScanNetSecurity

2015.4.3 Fri 8:30

豪州でメタデータの保持にかかるコストは、一人あたり年間で 3.98 豪ドル～豪州の司法長官 George Brandis は、その予算が「データ保持のコストに対する政府の貢献」を明らかにすると主張（The Register）

しかし Brandis は、その立ち上げ時のコストについて言及しなかった。システムの作成や、加入者のデータを保持するためのインフラ構築は安価とならないので、それは重要な要素である。

世界で「最も危険な」マルウェアの更新にファビコンが用いられる～あなたは最悪の事態に陥ってから、初めて感染に気付くだろう（The Register）画像

国際

ScanNetSecurity

2015.4.2 Thu 8:30

世界で「最も危険な」マルウェアの更新にファビコンが用いられる～あなたは最悪の事態に陥ってから、初めて感染に気付くだろう（The Register）

この最新の Vawtrak のサンプルは、ファイル更新を隠すために、ファビコン上でステガノグラフィーを利用しているとKroustekは語った。それはウェブサイトのブックマークとブラウザのタブに色を追加するよう、小さなイメージを用いる方法だ。

エジプト発の偽 SSL 証明書に Google が激怒～「いかに認証局の世界が崩壊しているのか」が、またしても示される（The Register）画像

国際

ScanNetSecurity

2015.4.1 Wed 8:30

エジプト発の偽 SSL 証明書に Google が激怒～「いかに認証局の世界が崩壊しているのか」が、またしても示される（The Register）

研究者たちは、偽の証明書を発行するのが簡単であったこと、そしておそらくそれが現実社会で盗まれ、利用されたことを懸念している。これは、またも現れた「暗号の認証局に関する根本的な問題」の新たな一例だ。

Adobe Flash Player の PCRE エンジンにおける任意のコードが実行される脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2015.4.1 Wed 8:00

Adobe Flash Player の PCRE エンジンにおける任意のコードが実行される脆弱性（Scan Tech Report）

Adobe Systems 社の Adobe Flash Player に、任意のコードが実行される脆弱性が報告されています。

Samsung は指紋認証から、あなたの「目」へと焦点を移す～その虹彩スキャンの技術は、手始めに Galaxy Tab Pro で採用される（The Register）画像

国際

ScanNetSecurity

2015.3.31 Tue 8:30

Samsung は指紋認証から、あなたの「目」へと焦点を移す～その虹彩スキャンの技術は、手始めに Galaxy Tab Pro で採用される（The Register）

この生体認証システム Iris on the Move（IoM）は、すでに多様な SRI ブランドの製品で提供されている。しかし Samsung との提携によって、その研究企業には、これまでよりもはるかに大きな潜在的市場が届けられることになる。

AT&T、Verizon、その他の通信企業が「ネットの中立性」を永遠に葬り去るための訴訟を起こす～そして彼らの反発が始まった（The Register）画像

国際

ScanNetSecurity

2015.3.30 Mon 8:30

AT&T、Verizon、その他の通信企業が「ネットの中立性」を永遠に葬り去るための訴訟を起こす～そして彼らの反発が始まった（The Register）

「一般的なキャリア」として再分類されたことに激怒しているAT&TやVerizonらは、FCC のOpen Internet Orderを「恣意的で気まぐれな裁量の濫用」だと表現し、その見直しを上級裁判官たちに求めた。

スウェーデンの都市が 10 代のハッカーに 4 万ポンドの損害賠償を請求～その少年は「セキュリティの欠陥を暴きたかっただけ」と主張（The Register）画像

国際

ScanNetSecurity

2015.3.26 Thu 8:30

スウェーデンの都市が 10 代のハッカーに 4 万ポンドの損害賠償を請求～その少年は「セキュリティの欠陥を暴きたかっただけ」と主張（The Register）

そのシステムは安全性が低く、誰でもパスワードを盗める状態であることに気付いた、と少年は地元報道機関に語った。彼自身は、そのサーバから何も盗まず、何のダメージも与えず、また侵入行為には1時間も費やさなかったと話している。

ここが変だよ日本のセキュリティ第11回「業務継続訓練　効果的に行えていましたか？」画像

特集

2次元殺法コンビ

2015.3.25 Wed 12:22

ここが変だよ日本のセキュリティ第11回「業務継続訓練　効果的に行えていましたか？」

受験勉強に例えるとよく分かると思う。訓練は模擬試験のようなものなんだ。実力をつけるのはもちろん日頃の受験勉強だ。ラッキーで模擬試験の点数が良くても、それは実力じゃないよ。受験で勝つのは実力なんだ。

Princeton の研究者たちは、TCP ACK から Tor ユーザーの ID を嗅ぎまわる～そのタマネギは日に日に透明化している（The Register）画像

国際

ScanNetSecurity

2015.3.25 Wed 8:30

Princeton の研究者たちは、TCP ACK から Tor ユーザーの ID を嗅ぎまわる～そのタマネギは日に日に透明化している（The Register）

その論文は、国家レベルの攻撃者は――言い換えるなら、トラフィックの分析をプロバイダに要求する NSA は――比較的、少ない数のプロバイダからトラフィックを得るだけでよいと指摘している。

ActualAnalyzer Lite における Cookie パラメータが検証されず任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2015.3.25 Wed 8:00

ActualAnalyzer Lite における Cookie パラメータが検証されず任意のコードが実行されてしまう脆弱性（Scan Tech Report）

WordPress のテンプレート作成プラグインである Infusionsoft Gravity Formsに任意のファイルがアップロードされる脆弱性が報告されています。

WHOIS の混乱の後、Google が Apps ユーザーに警告～ドメイン更新後の登録のバグで、WHOIS のプライバシースイッチがオフに（The Register）画像

国際

ScanNetSecurity

2015.3.24 Tue 8:30

WHOIS の混乱の後、Google が Apps ユーザーに警告～ドメイン更新後の登録のバグで、WHOIS のプライバシースイッチがオフに（The Register）

多くのサービスが WHOIS の情報をアーカイブしているので、その情報は恒久的に入手できるだろう。スパム、スピアフィッシング、その他の悪質な目的のために、この情報を掘り起こして使用することも可能だという。

ゲーマー諸君！　1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）画像

国際

ScanNetSecurity

2015.3.23 Mon 8:30

ゲーマー諸君！　1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）

それらのタイトルには、Call of Duty、World of Warcraft、Assassin's Creed、League of Legends、そして Minecraft が含まれている。さらに Steam のアカウント、また Unity3D や Unreal Engine のような開発ツールもロックアウトする。

親 ISIS のスクリプトキディ、性的暴行緊急対策サイトを改ざん～米国の WordPress を狙った低次元の攻撃を FBI が捜査中（The Register）画像

国際

ScanNetSecurity

2015.3.20 Fri 8:30

親 ISIS のスクリプトキディ、性的暴行緊急対策サイトを改ざん～米国の WordPress を狙った低次元の攻撃を FBI が捜査中（The Register）

「救済を求めてサイトを訪問した犠牲者たちが、それを見た可能性があることを、我々は懸念している。それは本当に痛ましい」とチーフ役員は語った。このハッキングは、国際婦人デー（編集部註：毎年3月8日）と同時期に行われた。

米国の航空交通管制システムは「ハッカーに脆弱」～「コンピュータへの不正アクセスの防止と検出における弱点」（The Register）画像

国際

ScanNetSecurity

2015.3.19 Thu 8:30

米国の航空交通管制システムは「ハッカーに脆弱」～「コンピュータへの不正アクセスの防止と検出における弱点」（The Register）

この調査報告の結果における「最も不吉な解釈」としては、テロリストたちが、「サイバー 9/11」を開始する手段に、これらの欠陥を利用するかもしれないとニューヨークの民主党員は警告した。

ここが変だよ日本のセキュリティ第10回「業務継続訓練やりっぱなしは許さない！」画像

特集

2次元殺法コンビ

2015.3.18 Wed 9:32

ここが変だよ日本のセキュリティ第10回「業務継続訓練やりっぱなしは許さない！」

抜き打ち訓練は実際に手が動くかを見るのに効果が高いけれど、日中業務への影響を見計らうのが困難で、想像力が働かずに動けなくなることもある。反応できるかの部分しか見られないため、火災とか不審者の侵入とか、効果があるシナリオは少ない。

「我々に自制心はない」米国最強の男たちがメールを恐れる理由～ヒラリー・クリントンのメール騒動で「テクノロジー嫌いの上院議員」グラハムとマケインが言いたい放題（The Register）画像

国際

ScanNetSecurity

2015.3.18 Wed 8:30

「我々に自制心はない」米国最強の男たちがメールを恐れる理由～ヒラリー・クリントンのメール騒動で「テクノロジー嫌いの上院議員」グラハムとマケインが言いたい放題（The Register）

さらにどうしようもないのは、「ヒラリーは国務長官でありながら（在任中に）個人用のメールサーバを利用した」というニュースを利用し、政治的に優位に立つことを試みるため、彼らが自身のメール習慣について語ったという事実だ。

FreeBSD の SCTP モジュールの実装に起因するメモリ領域破壊の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2015.3.18 Wed 8:00

FreeBSD の SCTP モジュールの実装に起因するメモリ領域破壊の脆弱性（Scan Tech Report）

FreeBSD には、SCTP ソケットを扱う際の SCTP ストリーム ID の処理に起因して、特定のカーネルメモリを読み書き可能な脆弱性が存在します。

piyolog Mk-II 第7回「アドウェア放置していませんか？ Superfish問題から見えてきた問題点」画像

特集

piyokango

2015.3.17 Tue 9:15

piyolog Mk-II 第7回「アドウェア放置していませんか？ Superfish問題から見えてきた問題点」

差し込まれる広告も中間者攻撃と同様の原理でユーザーと接続先の間に介入する方法で行われており、自己署名証明書を用いてHTTPSで行われる通信も広告表示の対象に含まれました。

「思考察知型の DNS セキュリティ」の分析が、APT 攻撃の早期警戒を発する～予知能力の技術でタイプミスの恐怖を予言（The Register）画像

国際

ScanNetSecurity

2015.3.17 Tue 8:30

「思考察知型の DNS セキュリティ」の分析が、APT 攻撃の早期警戒を発する～予知能力の技術でタイプミスの恐怖を予言（The Register）

彼らが何かしらの悪事を働くために「真っ当なドメイン」を模していることは明らかだ。OpenDNS の研究は、インターネットに登録されている無数のサイトから、そのようなドメインを自動的に識別する手法を示している。

Scan PREMIUM 倶楽部(63 ページ目)

PC にバックドアを仕掛ける「危険な自動更新アプリ」の疑惑を Dell が否定～同社曰く「政府による埋め込み？ 我々は決して協力しない」（The Register）

Mozilla、中国の SSL 証明書の君主に責任追及「我々は君たちのことも信用しない」～Google に続き、中国のルート認証局 CNNIC を拒否（The Register）

豪州でメタデータの保持にかかるコストは、一人あたり年間で 3.98 豪ドル～豪州の司法長官 George Brandis は、その予算が「データ保持のコストに対する政府の貢献」を明らかにすると主張（The Register）

世界で「最も危険な」マルウェアの更新にファビコンが用いられる～あなたは最悪の事態に陥ってから、初めて感染に気付くだろう（The Register）

エジプト発の偽 SSL 証明書に Google が激怒～「いかに認証局の世界が崩壊しているのか」が、またしても示される（The Register）

Adobe Flash Player の PCRE エンジンにおける任意のコードが実行される脆弱性（Scan Tech Report）

Samsung は指紋認証から、あなたの「目」へと焦点を移す～その虹彩スキャンの技術は、手始めに Galaxy Tab Pro で採用される（The Register）

AT&T、Verizon、その他の通信企業が「ネットの中立性」を永遠に葬り去るための訴訟を起こす～そして彼らの反発が始まった（The Register）

スウェーデンの都市が 10 代のハッカーに 4 万ポンドの損害賠償を請求～その少年は「セキュリティの欠陥を暴きたかっただけ」と主張（The Register）

ここが変だよ日本のセキュリティ 第11回「業務継続訓練 効果的に行えていましたか？」

Princeton の研究者たちは、TCP ACK から Tor ユーザーの ID を嗅ぎまわる～そのタマネギは日に日に透明化している（The Register）

ActualAnalyzer Lite における Cookie パラメータが検証されず任意のコードが実行されてしまう脆弱性（Scan Tech Report）

WHOIS の混乱の後、Google が Apps ユーザーに警告～ドメイン更新後の登録のバグで、WHOIS のプライバシースイッチがオフに（The Register）

ゲーマー諸君！ 1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）

親 ISIS のスクリプトキディ、性的暴行緊急対策サイトを改ざん～米国の WordPress を狙った低次元の攻撃を FBI が捜査中（The Register）

米国の航空交通管制システムは「ハッカーに脆弱」～「コンピュータへの不正アクセスの防止と検出における弱点」（The Register）

ここが変だよ日本のセキュリティ 第10回「業務継続訓練やりっぱなしは許さない！」

「我々に自制心はない」米国最強の男たちがメールを恐れる理由～ヒラリー・クリントンのメール騒動で「テクノロジー嫌いの上院議員」グラハムとマケインが言いたい放題（The Register）

FreeBSD の SCTP モジュールの実装に起因するメモリ領域破壊の脆弱性（Scan Tech Report）

piyolog Mk-II 第7回「アドウェア放置していませんか？ Superfish問題から見えてきた問題点」

「思考察知型の DNS セキュリティ」の分析が、APT 攻撃の早期警戒を発する～予知能力の技術でタイプミスの恐怖を予言（The Register）

PC にバックドアを仕掛ける「危険な自動更新アプリ」の疑惑を Dell が否定～同社曰く「政府による埋め込み？　我々は決して協力しない」（The Register）

ここが変だよ日本のセキュリティ第11回「業務継続訓練　効果的に行えていましたか？」

ゲーマー諸君！　1,000 ドルを支払わなければ、君のセーブファイルは暗号化される～ランサムウェアは新たなニッチを狙う（The Register）

ここが変だよ日本のセキュリティ第10回「業務継続訓練やりっぱなしは許さない！」