Scan PREMIUM 倶楽部(72 ページ目)

eBay の新たな XSS の脆弱性と、役立たずな passw0rd へのこだわり～同社が掲げるパスワード規定は、ユーザーが設定する新たな文字列に適用されない（The Register）画像

国際

ScanNetSecurity

2014.6.5 Thu 8:30

eBay の新たな XSS の脆弱性と、役立たずな passw0rd へのこだわり～同社が掲げるパスワード規定は、ユーザーが設定する新たな文字列に適用されない（The Register）

eBay の滅茶苦茶なパスワードシステムは、LastPass で生成されたランダム性の高いパスワードに対して「弱い」というフラグ付けをし、よりリスクの高い、ありがちなパスワードを「より強力」なオプションとして昇降している。

eBayよ、まだ「暗号化」という言葉を使うか――それはあなたが考えているようなものではない～安物オンラインビジネスのハッシング（The Register）画像

国際

ScanNetSecurity

2014.6.4 Wed 8:30

eBayよ、まだ「暗号化」という言葉を使うか――それはあなたが考えているようなものではない～安物オンラインビジネスのハッシング（The Register）

彼女は、そのウェブサイトが「パスワードを保護するため、洗練された独自のハッシュとソルトの技術」を使用していたと強く主張した。そしてユーザーは、念のためログインの認証情報を変更するようにと伝えられた。

Adobe Flash Player の AVM2 命令の取り扱いに起因する整数アンダーフローの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.6.4 Wed 8:00

Adobe Flash Player の AVM2 命令の取り扱いに起因する整数アンダーフローの脆弱性（Scan Tech Report）

Adobe Flash Player に整数アンダーフローを引き起こしてしまう脆弱性が報告されています。

サービスとしてのマルウェアが Android を蝕む～加入済みの顧客には犯罪ツールのロードマップが提供される（The Register）画像

国際

ScanNetSecurity

2014.6.3 Tue 8:30

サービスとしてのマルウェアが Android を蝕む～加入済みの顧客には犯罪ツールのロードマップが提供される（The Register）

「しかし我々は、より多くの専門的なサイバー犯罪グループが、この製品への支払いを続け、アップデートや技術的サポート、新たな機能のサービスを受けるようになるだろうと確信している」

TrueCrypt は有害と考えられる――ダウンロードファイルとウェブサイトに警告「それは安全ではない」～SourceForge のディスク暗号化の寵児に起きた予期せぬ事態の謎（The Register）画像

国際

ScanNetSecurity

2014.6.2 Mon 8:30

TrueCrypt は有害と考えられる――ダウンロードファイルとウェブサイトに警告「それは安全ではない」～SourceForge のディスク暗号化の寵児に起きた予期せぬ事態の謎（The Register）

TrueCrypt のコード監査プロジェクトに携わっている Kenn White は、その改ざんについて何も説明を受けていないと説明し、「我々は、いくつかの『大きな』アナウンスを今週中に発表したいと考えているので、乞うご期待」とツイートした。

チップアンドスキム：危険な暗号化は、いかにして顧客を詐欺に晒すのか～ケンブリッジ大学の第一人者たち、サンノゼで PIN カードに関する研究を発表（The Register）画像

国際

ScanNetSecurity

2014.5.30 Fri 8:30

チップアンドスキム：危険な暗号化は、いかにして顧客を詐欺に晒すのか～ケンブリッジ大学の第一人者たち、サンノゼで PIN カードに関する研究を発表（The Register）

それらの値は、特にランダムではないため、犠牲者をプリプレイ攻撃に晒してしまう。この攻撃は、銀行の記録を見たとき、「物質として完全にコピーしたカードを利用した状態」と区別がつかない。

ついに Silverlight が脚光を浴びる……犯罪者たちの間で～エクスプロイトキット「Angler」は、レドモンドの愛されなかったアプリケーションに照準を定める（The Register）画像

国際

ScanNetSecurity

2014.5.29 Thu 8:30

ついに Silverlight が脚光を浴びる……犯罪者たちの間で～エクスプロイトキット「Angler」は、レドモンドの愛されなかったアプリケーションに照準を定める（The Register）

「脅威をもたらす人物たちが、互いにコードをコピーしあい、アップデートをリリースすることにより、このエクスプロイトが他のエクスプロイトパック一族の間でも近い将来に急増するということを、我々は予期しなければならない」

暗号の第一人者、耐 NSA の技術を一蹴「現代の暗号は充分に強いものである」～覚え書き：数学は問題ない。その実装が糞だ。（The Register）画像

国際

ScanNetSecurity

2014.5.28 Wed 8:30

暗号の第一人者、耐 NSA の技術を一蹴「現代の暗号は充分に強いものである」～覚え書き：数学は問題ない。その実装が糞だ。（The Register）

Gutmann は、Gooogle や Paypal、Twitter を含めた何千もの組織がドメインキー・アイデンティファイド・メール（DKIM）の脆弱なキーを利用していることを指摘し、さらなる「悲惨な暗号の迂回」を強調した。

Adobe Reader for Android における任意の Java のメソッド実行の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.5.28 Wed 8:00

Adobe Reader for Android における任意の Java のメソッド実行の脆弱性（Scan Tech Report）

Adobe Reader for Android には、任意の Java メソッドが実行可能な脆弱性が存在します。

IETF、将来のあらゆるプロトコルの「耐 NSA」化を計画中～研究者たちは、プライベートデータの詮索者たちとの血戦を誓う（The Register）画像

国際

ScanNetSecurity

2014.5.27 Tue 8:30

IETF、将来のあらゆるプロトコルの「耐 NSA」化を計画中～研究者たちは、プライベートデータの詮索者たちとの血戦を誓う（The Register）

世界の警察による「メタデータの収集は無害だ」という暢気な声明とは異なり、RFC は、インターネットユーザーに対する脅威のリストの中に、「メタデータの収集」を明確に含めている。

あなたのスマートテレビはマイクを内蔵している？　では兄弟、良い盗聴を。～ちょっとした忠告：あなたの最新のテレビは、マルウェアも乗せられるコンピュータだ（The Register）画像

国際

ScanNetSecurity

2014.5.26 Mon 8:30

あなたのスマートテレビはマイクを内蔵している？　では兄弟、良い盗聴を。～ちょっとした忠告：あなたの最新のテレビは、マルウェアも乗せられるコンピュータだ（The Register）

すなわち Ingram の研究は、「Android のストアに置かれている危険なアプリが、スマートフォンやタブレットを乗っ取る際の方法」とほぼ同様の手口で、スマートテレビが悪用される可能性があるということを見出している。

米国当局、スパイ活動の容疑で 5 名の中国人民解放軍ハッカーを指名手配～31 件の容疑で PLA ハッキングチームに訴追（The Register）画像

国際

ScanNetSecurity

2014.5.23 Fri 8:30

米国当局、スパイ活動の容疑で 5 名の中国人民解放軍ハッカーを指名手配～31 件の容疑で PLA ハッキングチームに訴追（The Register）

だが、その会談の少し前、Edward Snowden が「いかに大規模なスケールで、NSA が複数の米国企業からデータを収集しているのか」を詳細に漏えいし始めた。それ以降、米国は「国営のハッキング」に関して沈黙していた。

IETF の技術者たち、次の SSL のために「耐 NSA」の暗号鍵交換を検討中～「いかに Snowden が我々のプライバシーを改善したかを示す最高の一例」（The Register）画像

国際

ScanNetSecurity

2014.5.22 Thu 8:30

IETF の技術者たち、次の SSL のために「耐 NSA」の暗号鍵交換を検討中～「いかに Snowden が我々のプライバシーを改善したかを示す最高の一例」（The Register）

このオプションを TLS 1.3 から削除することは、セキュリティの分析をより単純にするだろう。RSA 証明書は引き続き許可されるものの、鍵の確立に関しては、DHE または ECDHE を通すことになる。

交通信号の脆弱性が「ミニミニ大作戦」風のハッキングの可能性を広げる～血まみれのドアが吹き飛ぶのは構わないが、ラッシュアワーの大混乱は？（The Register）画像

国際

ScanNetSecurity

2014.5.21 Wed 8:30

交通信号の脆弱性が「ミニミニ大作戦」風のハッキングの可能性を広げる～血まみれのドアが吹き飛ぶのは構わないが、ラッシュアワーの大混乱は？（The Register）

「私が発見した脆弱性は、100 ドル以下の安価なハードウェアでプログラミングしたシンプルなエクスプロイトを開始することで、基本的に誰でもデバイスの完全な制御を得て、虚偽のデータを交通管制システムに送ることができるものだ」

Wireshark の MPEG パーサの実装に起因するバッファオーバーフローの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.5.21 Wed 8:00

Wireshark の MPEG パーサの実装に起因するバッファオーバーフローの脆弱性（Scan Tech Report）

Wireshark の MPEG パーサ (MPEG ファイルフォーマットデコーダ) にバッファオーバーフローを引き起こしてしまう弱性が報告されています。

IETF がプライバシー強化を計画する現在、IPv6 の展開の遅延は喜ばしい～新たな RFC「SLAAC」は、ホストを隠す仕事に注力する（The Register）画像

国際

ScanNetSecurity

2014.5.20 Tue 8:30

IETF がプライバシー強化を計画する現在、IPv6 の展開の遅延は喜ばしい～新たな RFC「SLAAC」は、ホストを隠す仕事に注力する（The Register）

Snowden が現れた後、ますますはっきりと分かってきたこととして、アドレスはユーザーおよびユーザーの活動と結びつけることが可能でもある。もしもインターフェイス識別子が時と共に変化しないなら、ユーザーのプライバシーは危殆化される。

システム管理者の皆さん、「海外から来たホットなスパイ」にご注意を～「諜報機関が、アクセス取得を目的に IT ワーカーを狙っている」MI5 の警告（The Register）画像

国際

ScanNetSecurity

2014.5.19 Mon 8:30

システム管理者の皆さん、「海外から来たホットなスパイ」にご注意を～「諜報機関が、アクセス取得を目的に IT ワーカーを狙っている」MI5 の警告（The Register）

最も明白な標的となる「防衛産業や航空宇宙産業のシステム管理者」だけではなく、さらに幅広い範囲でのワーカー（契約スタッフから、システムエンジニア、ネットワークのメンテナンスを行う作業員まで）が標的とされる可能性があると Ayers は示唆している。

研究者たちが記す「より効果的なスパム行為の手引き」～広く拡散された、小さなボットネットが効果的（The Register）画像

国際

ScanNetSecurity

2014.5.16 Fri 8:30

研究者たちが記す「より効果的なスパム行為の手引き」～広く拡散された、小さなボットネットが効果的（The Register）

邪悪なスパム行為のトライアングルは、「顧客の信頼」で繋がっている。それは、ホワイトハットがスパム活動を停止させるために狙うことができるかもしれない弱点である、と Stringhini は語っている。

カジノチェーン Affinity のクレジットカードシステムが、またやられる～常に胴元が勝つとは限らない（The Register）画像

国際

ScanNetSecurity

2014.5.15 Thu 8:30

カジノチェーン Affinity のクレジットカードシステムが、またやられる～常に胴元が勝つとは限らない（The Register）

悪玉のハッカーたちは、さらに親会社 Terrible Herbst が経営するガソリンスタンドで利用されている決済システムをも掌握していた。また 2 月には、カジノ「Las Vegas Sands」のいくつかのウェブサイトも改ざんされた。

The Register の爆弾レポート：我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか～あなたのメッセージは、いまも安全ではない（その 3）（The Register）画像

国際

ScanNetSecurity

2014.5.14 Wed 9:30

The Register の爆弾レポート：我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか～あなたのメッセージは、いまも安全ではない（その 3）（The Register）

もしも彼らがこれらの技術を使用すれば、あなたが「ボイスメールを得るための長い番号」へ電話するとき、彼らは Vodafone のシステム（それは常にあなたの番号と PIN の入力を求める）に頼る必要もない。

The Register の爆弾レポート：我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか～あなたのメッセージは、いまも安全ではない（その 2）（The Register）画像

国際

ScanNetSecurity

2014.5.14 Wed 8:30

The Register の爆弾レポート：我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか～あなたのメッセージは、いまも安全ではない（その 2）（The Register）

我々は、まずは我々が行おうとしていることを説明し、それから彼の携帯電話番号のなりすましを実行した。そして我々は成功した。だが、彼のボイスメールを聞きたくはなかった。そこで我々は、ボイスメールの応答メッセージを変更してみることにした。

Scan PREMIUM 倶楽部(72 ページ目)

eBay の新たな XSS の脆弱性と、役立たずな passw0rd へのこだわり～同社が掲げるパスワード規定は、ユーザーが設定する新たな文字列に適用されない（The Register）

eBayよ、まだ「暗号化」という言葉を使うか――それはあなたが考えているようなものではない～安物オンラインビジネスのハッシング（The Register）

Adobe Flash Player の AVM2 命令の取り扱いに起因する整数アンダーフローの脆弱性（Scan Tech Report）

サービスとしてのマルウェアが Android を蝕む～加入済みの顧客には犯罪ツールのロードマップが提供される（The Register）

TrueCrypt は有害と考えられる――ダウンロードファイルとウェブサイトに警告「それは安全ではない」～SourceForge のディスク暗号化の寵児に起きた予期せぬ事態の謎（The Register）

チップアンドスキム：危険な暗号化は、いかにして顧客を詐欺に晒すのか～ケンブリッジ大学の第一人者たち、サンノゼで PIN カードに関する研究を発表（The Register）

ついに Silverlight が脚光を浴びる……犯罪者たちの間で～エクスプロイトキット「Angler」は、レドモンドの愛されなかったアプリケーションに照準を定める（The Register）

暗号の第一人者、耐 NSA の技術を一蹴「現代の暗号は充分に強いものである」～覚え書き：数学は問題ない。その実装が糞だ。（The Register）

Adobe Reader for Android における任意の Java のメソッド実行の脆弱性（Scan Tech Report）

IETF、将来のあらゆるプロトコルの「耐 NSA」化を計画中～研究者たちは、プライベートデータの詮索者たちとの血戦を誓う（The Register）

あなたのスマートテレビはマイクを内蔵している？ では兄弟、良い盗聴を。～ちょっとした忠告：あなたの最新のテレビは、マルウェアも乗せられるコンピュータだ（The Register）

米国当局、スパイ活動の容疑で 5 名の中国人民解放軍ハッカーを指名手配～31 件の容疑で PLA ハッキングチームに訴追（The Register）

IETF の技術者たち、次の SSL のために「耐 NSA」の暗号鍵交換を検討中～「いかに Snowden が我々のプライバシーを改善したかを示す最高の一例」（The Register）

交通信号の脆弱性が「ミニミニ大作戦」風のハッキングの可能性を広げる～血まみれのドアが吹き飛ぶのは構わないが、ラッシュアワーの大混乱は？（The Register）

Wireshark の MPEG パーサの実装に起因するバッファオーバーフローの脆弱性（Scan Tech Report）

IETF がプライバシー強化を計画する現在、IPv6 の展開の遅延は喜ばしい～新たな RFC「SLAAC」は、ホストを隠す仕事に注力する（The Register）

システム管理者の皆さん、「海外から来たホットなスパイ」にご注意を～ 「諜報機関が、アクセス取得を目的に IT ワーカーを狙っている」MI5 の警告（The Register）

研究者たちが記す「より効果的なスパム行為の手引き」～広く拡散された、小さなボットネットが効果的（The Register）

カジノチェーン Affinity のクレジットカードシステムが、またやられる～常に胴元が勝つとは限らない（The Register）

The Register の爆弾レポート：我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか～あなたのメッセージは、いまも安全ではない（その 3）（The Register）

The Register の爆弾レポート：我々は如何にして、PIN コードを使わずに携帯のボイスメールをハッキングしたか～あなたのメッセージは、いまも安全ではない（その 2）（The Register）

あなたのスマートテレビはマイクを内蔵している？　では兄弟、良い盗聴を。～ちょっとした忠告：あなたの最新のテレビは、マルウェアも乗せられるコンピュータだ（The Register）

システム管理者の皆さん、「海外から来たホットなスパイ」にご注意を～「諜報機関が、アクセス取得を目的に IT ワーカーを狙っている」MI5 の警告（The Register）