Scan PREMIUM 倶楽部(72 ページ目)

Googleが発音可能なパスワードを推奨～Super ChromeがMr Mxyzptlkとの戦闘を開始（The Register）画像

2014.9.24 Wed 8:30

Googleが発音可能なパスワードを推奨～Super ChromeがMr Mxyzptlkとの戦闘を開始（The Register）

今回の更新は、LastPassや1Passwordが占めているオンラインパスワード管理の分野へのGoogleの最新の侵略である。Googleが一旦はサードパーティによる付加価値サービスとして提示していた機能をChromeが組み込んだので、LastPassや1Passwordはかなり脅威に感じるだろう。

Wireshark の CAPWAP 解析部の実装に起因する DoS の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.9.24 Wed 8:00

Wireshark の CAPWAP 解析部の実装に起因する DoS の脆弱性（Scan Tech Report）

Wireshark の CAPWAP 解析部にサービス運用妨害 (DoS) が発生する脆弱性が報告されています。

Mozillaの証明書が失効：107,000のWebサイトが信頼できない魚雷で撃沈～汝等ここをクリックするもの一切の望みを棄てよ（The Register）画像

国際

ScanNetSecurity

2014.9.22 Mon 8:30

Mozillaの証明書が失効：107,000のWebサイトが信頼できない魚雷で撃沈～汝等ここをクリックするもの一切の望みを棄てよ（The Register）

Mozillaの動きは、NIST（National Strategy for Trusted Identities in Cyberspace）の科学者によるベストプラクティスの提言に沿ったものだ。NISTは組織に対し2048ビットのキーに移行して、これのみを受け付けるように警告を行っていた。

Comcast は Wi-Fi ホットスポットから JavaScript で広告を注入する～同社の主張「それは広告ではなく『ウォーターマーク』だ」（The Register）画像

国際

ScanNetSecurity

2014.9.19 Fri 8:30

Comcast は Wi-Fi ホットスポットから JavaScript で広告を注入する～同社の主張「それは広告ではなく『ウォーターマーク』だ」（The Register）

それは「公式の Comcast ホットスポットを利用している」ということを顧客に知らせて、安心させるものだと話している――とはいえ、顧客にダウンロード可能なアプリを薦めることもできるのだが。

Enigmail の PGP プラグインが BCC メールの暗号化を忘れる～ユーザーは現在「悪いやつらから拷問されるのを待っている」状態（The Register）画像

国際

ScanNetSecurity

2014.9.18 Thu 8:30

Enigmail の PGP プラグインが BCC メールの暗号化を忘れる～ユーザーは現在「悪いやつらから拷問されるのを待っている」状態（The Register）

「Enigmail は、BCCの受信者を非表示としたうえで、誰が送信をしたのかを明かさぬまま、受信者の全員に対して暗号化されたメールを送信するかどうかを尋ねる。しかしBCCの受信者のみに送られるメールは、平文のまま送信される。

決済セキュリティ関係者：iPhone のコンタクトレス決済は、良い決断だ～それに対応しなくとも店の売り上げには影響しないが（The Register）画像

国際

ScanNetSecurity

2014.9.17 Wed 8:30

決済セキュリティ関係者：iPhone のコンタクトレス決済は、良い決断だ～それに対応しなくとも店の売り上げには影響しないが（The Register）

「Apple が消費者の行動を変化させるほどの影響力を持っていることに疑いの余地はない。しかし、『モバイル決済を受け付けていない小売業者が売り上げを失う』というステージには、まだ到達していない」

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.9.17 Wed 8:00

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性（Scan Tech Report）

Microsoft Internet Explorer (IE) に解放済みメモリを使用してしまう脆弱性が報告されています。

Microsoft「ブルートフォースアタックが怖い？　あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）画像

国際

ScanNetSecurity

2014.9.16 Tue 8:30

Microsoft「ブルートフォースアタックが怖い？　あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）

そして彼らは、たとえば暗号化やハッシュ化などのセキュリティのメカニズムが存在しないとき、またはそれらの実装法が悪いときに強いパスワードを要求するのは、時間の無駄であることを見出した。

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ひと夏の模倣サイト誤認騒動」画像

特集

piyokango

2014.9.13 Sat 21:25

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ひと夏の模倣サイト誤認騒動」

実は「3s3s.org」の管理者に直接依頼することで閲覧対象外に指定することが可能で、国内の組織がいくつか含まれていることが分かります。これは模倣サイト誤認騒動の裏で、事態を正確に把握し、必要に応じて対象外の調整依頼を行っていた組織が存在することを示します。

国際

ScanNetSecurity

2014.9.12 Fri 8:30

欧州警察、英国を新たな国際的サイバー犯罪タスクフォースのリーダーに～まずは 6 か月の試験運用（The Register）

Archibald は付け加えた：「サイバー犯罪者とサイバー攻撃に関して、法執行機関は多くの困難に直面している。だからこそ、それらの問題に取り組むとき、真に包括的で共同的なアプローチの存在が必要とされている」

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」～それが深刻な攻撃で、攻撃元も判明している限りは（The Register）画像

国際

ScanNetSecurity

2014.9.11 Thu 11:30

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」～それが深刻な攻撃で、攻撃元も判明している限りは（The Register）

もしも『国の攻撃』があったなら、その後から文脈が広げられるだろう。この発表は主に、『場合によっては抑止効果を有する』ということに焦点を定めた、修辞的な性質のものである」

特集

2次元殺法コンビ

2014.9.11 Thu 8:45

ここが変だよ日本のセキュリティ第2回「中長期的に効果の高い対策」

例を挙げれば、深夜の牛丼チェーンに店員が一人しかいない状態に誰かが最初に気づき、模倣犯が大量に発生しているようなものだ。こうした防犯体制の隙を突く犯罪が発生した場合、組織はすぐに抜本的対応ができない。ならば、そのタイムラグ期間を短くすることが課題となる。

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）画像

国際

ScanNetSecurity

2014.9.10 Wed 9:30

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）

今回は iCloud が悪評を買っているが、これらの画像のソースは、iCloud だけではなさそうだ。Apple は、このセレブリティ画像のプライバシー騒動で批難される対象として、不当に矛先を向けられたように見える、と Conway は主張している。

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.9.10 Wed 8:32

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性（Scan Tech Report）

Mozilla Firefox にポップアップブロック機能を回避して、chrome 特権で任意の JavaScript が実行可能な脆弱性が報告されています。

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）画像

国際

ScanNetSecurity

2014.9.10 Wed 8:30

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）

Apple 特有の欠点は、コンピュータフォレンジックのフィールドでは、しばらく前から非常に良く知られていた。ElcomSoft のセキュリティ研究者は昨年、クラウドに保管されているドキュメント」を Apple の 2 要素認証が保護しないということを説明している。

VirusTotal の混沌で、あなたも Comment Crew を追跡できる！～北京とテヘランに支援されたハッカーは、しみったれであるようだ（The Register）画像

国際

ScanNetSecurity

2014.9.9 Tue 8:30

VirusTotal の混沌で、あなたも Comment Crew を追跡できる！～北京とテヘランに支援されたハッカーは、しみったれであるようだ（The Register）

「ウイルス作者たちは、マルウェアを犠牲者の元へ送りこむ前に、VirusTotal やそれに類似したテストサービスを利用して、マルウェアの効果をテストしている」ということは、セキュリティサークルでは以前から知られていたことだ。

HP：北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ～「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」（The Register）画像

国際

ScanNetSecurity

2014.9.8 Mon 8:30

HP：北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ～「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」（The Register）

北朝鮮のハッカーは米国の防衛ネットワークへの侵入を成功裏に果たしている。資源の老朽化や不足は、サイバー戦争を行う上での技術的な能力を損ねるものではない。とりわけ、その政府が他国の機関と資源を利用できる場合は。

100 人のセレブ女性がオンラインでヌードを晒される～Apple の iCloud アカウントハッキングの犠牲となったセレブリティたち（The Register）画像

国際

ScanNetSecurity

2014.9.5 Fri 8:30

100 人のセレブ女性がオンラインでヌードを晒される～Apple の iCloud アカウントハッキングの犠牲となったセレブリティたち（The Register）

こうしたハッキングの事件は、「重要なパスワードを複数のウェブサイトやサービスで使い回さないこと」「それらが単純な1単語や、ありがちなフレーズで構成されていないこと」を（我々に）適切な頻度で確認させるリマインダーとなっている。

連邦政府、勇敢な人間のロボ・ファイターに敬礼～DEF CON の「ロボコール撲滅競技」の勝者たちが賞金の祝福を浴びる（The Register）画像

国際

ScanNetSecurity

2014.9.4 Thu 8:30

連邦政府、勇敢な人間のロボ・ファイターに敬礼～DEF CON の「ロボコール撲滅競技」の勝者たちが賞金の祝福を浴びる（The Register）

「通話チャンネルは、詐欺や不法行為から個人や企業を保護するうえで、最も弱いリンクとなってきた。DEF CON に FTC が現れたことは非常に高い評価を受けている」

PCI Council は何をすべきか、あなたの意見が求められている～PCI DSS の導入について、どうお考えでしょう？（The Register）画像

国際

ScanNetSecurity

2014.9.3 Wed 11:30

PCI Council は何をすべきか、あなたの意見が求められている～PCI DSS の導入について、どうお考えでしょう？（The Register）

「様々なバックグラウンドを持ったオピニオンリーダーたちをまとめることで、我々は小売業者や銀行、クレジットカード処理業者、その他あらゆるペイメントカードデータを扱う組織の、現実社会での資源を培うことができる」

Adobe Acrobat/Reader の Javascript API の実装に起因する情報漏えいの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.9.3 Wed 8:00

Adobe Acrobat/Reader の Javascript API の実装に起因する情報漏えいの脆弱性（Scan Tech Report）

Adobe Acrobat/Reader には、Javascript API のセキュリティ制限の実装に起因して、情報漏えいが発生する脆弱性が存在します。

Scan PREMIUM 倶楽部(72 ページ目)

Googleが発音可能なパスワードを推奨～Super ChromeがMr Mxyzptlkとの戦闘を開始（The Register）

Wireshark の CAPWAP 解析部の実装に起因する DoS の脆弱性（Scan Tech Report）

Mozillaの証明書が失効：107,000のWebサイトが信頼できない魚雷で撃沈～汝等ここをクリックするもの一切の望みを棄てよ（The Register）

Comcast は Wi-Fi ホットスポットから JavaScript で広告を注入する～同社の主張「それは広告ではなく『ウォーターマーク』だ」（The Register）

Enigmail の PGP プラグインが BCC メールの暗号化を忘れる～ユーザーは現在「悪いやつらから拷問されるのを待っている」状態（The Register）

決済セキュリティ関係者：iPhone のコンタクトレス決済は、良い決断だ～それに対応しなくとも店の売り上げには影響しないが（The Register）

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性（Scan Tech Report）

Microsoft「ブルートフォースアタックが怖い？ あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ ひと夏の模倣サイト誤認騒動」

欧州警察、英国を新たな国際的サイバー犯罪タスクフォースのリーダーに～まずは 6 か月の試験運用（The Register）

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」～それが深刻な攻撃で、攻撃元も判明している限りは（The Register）

ここが変だよ日本のセキュリティ 第2回「中長期的に効果の高い対策」

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？ 糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性（Scan Tech Report）

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？ 糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）

VirusTotal の混沌で、あなたも Comment Crew を追跡できる！～北京とテヘランに支援されたハッカーは、しみったれであるようだ（The Register）

HP：北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ～「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」（The Register）

100 人のセレブ女性がオンラインでヌードを晒される～Apple の iCloud アカウントハッキングの犠牲となったセレブリティたち（The Register）

連邦政府、勇敢な人間のロボ・ファイターに敬礼～DEF CON の「ロボコール撲滅競技」の勝者たちが賞金の祝福を浴びる（The Register）

PCI Council は何をすべきか、あなたの意見が求められている～PCI DSS の導入について、どうお考えでしょう？（The Register）

Adobe Acrobat/Reader の Javascript API の実装に起因する情報漏えいの脆弱性（Scan Tech Report）

Microsoft「ブルートフォースアタックが怖い？　あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ひと夏の模倣サイト誤認騒動」

ここが変だよ日本のセキュリティ第2回「中長期的に効果の高い対策」

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）