Scan PREMIUM 倶楽部(73 ページ目)

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.9.17 Wed 8:00

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性（Scan Tech Report）

Microsoft Internet Explorer (IE) に解放済みメモリを使用してしまう脆弱性が報告されています。

Microsoft「ブルートフォースアタックが怖い？　あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）画像

国際

ScanNetSecurity

2014.9.16 Tue 8:30

Microsoft「ブルートフォースアタックが怖い？　あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）

そして彼らは、たとえば暗号化やハッシュ化などのセキュリティのメカニズムが存在しないとき、またはそれらの実装法が悪いときに強いパスワードを要求するのは、時間の無駄であることを見出した。

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ひと夏の模倣サイト誤認騒動」画像

特集

piyokango

2014.9.13 Sat 21:25

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ひと夏の模倣サイト誤認騒動」

実は「3s3s.org」の管理者に直接依頼することで閲覧対象外に指定することが可能で、国内の組織がいくつか含まれていることが分かります。これは模倣サイト誤認騒動の裏で、事態を正確に把握し、必要に応じて対象外の調整依頼を行っていた組織が存在することを示します。

国際

ScanNetSecurity

2014.9.12 Fri 8:30

欧州警察、英国を新たな国際的サイバー犯罪タスクフォースのリーダーに～まずは 6 か月の試験運用（The Register）

Archibald は付け加えた：「サイバー犯罪者とサイバー攻撃に関して、法執行機関は多くの困難に直面している。だからこそ、それらの問題に取り組むとき、真に包括的で共同的なアプローチの存在が必要とされている」

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」～それが深刻な攻撃で、攻撃元も判明している限りは（The Register）画像

国際

ScanNetSecurity

2014.9.11 Thu 11:30

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」～それが深刻な攻撃で、攻撃元も判明している限りは（The Register）

もしも『国の攻撃』があったなら、その後から文脈が広げられるだろう。この発表は主に、『場合によっては抑止効果を有する』ということに焦点を定めた、修辞的な性質のものである」

特集

2次元殺法コンビ

2014.9.11 Thu 8:45

ここが変だよ日本のセキュリティ第2回「中長期的に効果の高い対策」

例を挙げれば、深夜の牛丼チェーンに店員が一人しかいない状態に誰かが最初に気づき、模倣犯が大量に発生しているようなものだ。こうした防犯体制の隙を突く犯罪が発生した場合、組織はすぐに抜本的対応ができない。ならば、そのタイムラグ期間を短くすることが課題となる。

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）画像

国際

ScanNetSecurity

2014.9.10 Wed 9:30

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）

今回は iCloud が悪評を買っているが、これらの画像のソースは、iCloud だけではなさそうだ。Apple は、このセレブリティ画像のプライバシー騒動で批難される対象として、不当に矛先を向けられたように見える、と Conway は主張している。

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.9.10 Wed 8:32

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性（Scan Tech Report）

Mozilla Firefox にポップアップブロック機能を回避して、chrome 特権で任意の JavaScript が実行可能な脆弱性が報告されています。

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）画像

国際

ScanNetSecurity

2014.9.10 Wed 8:30

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）

Apple 特有の欠点は、コンピュータフォレンジックのフィールドでは、しばらく前から非常に良く知られていた。ElcomSoft のセキュリティ研究者は昨年、クラウドに保管されているドキュメント」を Apple の 2 要素認証が保護しないということを説明している。

VirusTotal の混沌で、あなたも Comment Crew を追跡できる！～北京とテヘランに支援されたハッカーは、しみったれであるようだ（The Register）画像

国際

ScanNetSecurity

2014.9.9 Tue 8:30

VirusTotal の混沌で、あなたも Comment Crew を追跡できる！～北京とテヘランに支援されたハッカーは、しみったれであるようだ（The Register）

「ウイルス作者たちは、マルウェアを犠牲者の元へ送りこむ前に、VirusTotal やそれに類似したテストサービスを利用して、マルウェアの効果をテストしている」ということは、セキュリティサークルでは以前から知られていたことだ。

HP：北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ～「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」（The Register）画像

国際

ScanNetSecurity

2014.9.8 Mon 8:30

HP：北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ～「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」（The Register）

北朝鮮のハッカーは米国の防衛ネットワークへの侵入を成功裏に果たしている。資源の老朽化や不足は、サイバー戦争を行う上での技術的な能力を損ねるものではない。とりわけ、その政府が他国の機関と資源を利用できる場合は。

100 人のセレブ女性がオンラインでヌードを晒される～Apple の iCloud アカウントハッキングの犠牲となったセレブリティたち（The Register）画像

国際

ScanNetSecurity

2014.9.5 Fri 8:30

100 人のセレブ女性がオンラインでヌードを晒される～Apple の iCloud アカウントハッキングの犠牲となったセレブリティたち（The Register）

こうしたハッキングの事件は、「重要なパスワードを複数のウェブサイトやサービスで使い回さないこと」「それらが単純な1単語や、ありがちなフレーズで構成されていないこと」を（我々に）適切な頻度で確認させるリマインダーとなっている。

連邦政府、勇敢な人間のロボ・ファイターに敬礼～DEF CON の「ロボコール撲滅競技」の勝者たちが賞金の祝福を浴びる（The Register）画像

国際

ScanNetSecurity

2014.9.4 Thu 8:30

連邦政府、勇敢な人間のロボ・ファイターに敬礼～DEF CON の「ロボコール撲滅競技」の勝者たちが賞金の祝福を浴びる（The Register）

「通話チャンネルは、詐欺や不法行為から個人や企業を保護するうえで、最も弱いリンクとなってきた。DEF CON に FTC が現れたことは非常に高い評価を受けている」

PCI Council は何をすべきか、あなたの意見が求められている～PCI DSS の導入について、どうお考えでしょう？（The Register）画像

国際

ScanNetSecurity

2014.9.3 Wed 11:30

PCI Council は何をすべきか、あなたの意見が求められている～PCI DSS の導入について、どうお考えでしょう？（The Register）

「様々なバックグラウンドを持ったオピニオンリーダーたちをまとめることで、我々は小売業者や銀行、クレジットカード処理業者、その他あらゆるペイメントカードデータを扱う組織の、現実社会での資源を培うことができる」

Adobe Acrobat/Reader の Javascript API の実装に起因する情報漏えいの脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2014.9.3 Wed 8:00

Adobe Acrobat/Reader の Javascript API の実装に起因する情報漏えいの脆弱性（Scan Tech Report）

Adobe Acrobat/Reader には、Javascript API のセキュリティ制限の実装に起因して、情報漏えいが発生する脆弱性が存在します。

マルウェアがアンチウイルスから逃れる手法を研究者が詳述～「奴らが来るぞ、席に戻れ！」（The Register）画像

国際

ScanNetSecurity

2014.9.2 Tue 8:30

マルウェアがアンチウイルスから逃れる手法を研究者が詳述～「奴らが来るぞ、席に戻れ！」（The Register）

Sophos の研究者 Wyke は、「Andromeda downloader」が研究者の目から C&C を隠していたこと、そして「Ponmocup」は盗んだデータの転送先のサーバを隠し、さらなる犠牲者をハッキングするためのアップデートを受け取っていたことを発見した。

レポート：中国のハッカーが MH370 便の調査に探りを入れていた～航空機の消失に関する機密データが盗まれる（The Register）画像

国際

ScanNetSecurity

2014.9.1 Mon 8:30

レポート：中国のハッカーが MH370 便の調査に探りを入れていた～航空機の消失に関する機密データが盗まれる（The Register）

「それは当局のコンピュータから、議事録や機密文書などの秘密のデータを盗んでいた。アンチウイルスプログラムでは検出することのできない、良く出来たマルウェアで、非常に洗練された攻撃だった」と Wahab は加えて述べた。

Twitter からブロックされた狂信的テロ集団 ISIS が、Diaspora を侵略～分散型ネットワークには、彼らを止める手立てがない（The Register）画像

国際

ScanNetSecurity

2014.8.29 Fri 8:30

Twitter からブロックされた狂信的テロ集団 ISIS が、Diaspora を侵略～分散型ネットワークには、彼らを止める手立てがない（The Register）

Twitter は、そのグループとのモグラ叩きを続けてきた。他のソーシャルメディアも、同グループのプロパガンダの根絶に最善を尽くしてきた。その取り組みは、彼らがJames Foley を斬首し、その極悪な映像を公開して以降、ますます強化されていた。

特集

2次元殺法コンビ

2014.8.28 Thu 8:30

ここが変だよ日本のセキュリティ第1回「被害総額14億円という規模」

みずほ銀行の統合費用は4,000億円と言われている。構築費の10%を保守費と考えるなら、100億円単位になることは容易に想像できる。主要行であれば自行専用データセンターが災対サイトも含め2系統あるので、たった1行の保守費だけでフィッシング詐欺の被害総額を超えてしまう。

政府のセキュリティゲームで AWS がレベルアップ――機密データへのアクセスまであと一歩～クラウドの巨人は、まだ政府の秘密に触れられない（The Register）画像

国際

ScanNetSecurity

2014.8.28 Thu 8:30

政府のセキュリティゲームで AWS がレベルアップ――機密データへのアクセスまであと一歩～クラウドの巨人は、まだ政府の秘密に触れられない（The Register）

彼らが将来的に、レベル 6（サプライヤーが国防総省の機密扱いの仕事を取り扱うことができる）を獲得できるかどうかは分からない。はっきりしているのは、「Amazon が明らかにワシントンでうまくやっている」ということだ。

「中国の犯罪者たち」が米国の病院から 450 万件の患者ファイルを盗む～CHS「ご心配なく、我々は保険に加入していますから」（The Register）画像

国際

ScanNetSecurity

2014.8.27 Wed 8:30

「中国の犯罪者たち」が米国の病院から 450 万件の患者ファイルを盗む～CHS「ご心配なく、我々は保険に加入していますから」（The Register）

国家対情報局は昨年、「中国のハッカーたちが、米国の医療系企業を標的として新しい薬や医療機器に関する知的財産を奪おうとしている」と議会に警告した。それらの警告は、当初に考えられていたよりも正確であったように思われる。

Scan PREMIUM 倶楽部(73 ページ目)

Microsoft Internet Explorer の CInput オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性（Scan Tech Report）

Microsoft「ブルートフォースアタックが怖い？ あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ ひと夏の模倣サイト誤認騒動」

欧州警察、英国を新たな国際的サイバー犯罪タスクフォースのリーダーに～まずは 6 か月の試験運用（The Register）

NATO 加盟国は「一国へのサイバー攻撃を、全体への攻撃として対処する」～それが深刻な攻撃で、攻撃元も判明している限りは（The Register）

ここが変だよ日本のセキュリティ 第2回「中長期的に効果の高い対策」

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？ 糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）

Mozilla Firefox の WebIDL の実装に起因する任意コード実行の脆弱性（Scan Tech Report）

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？ 糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）

VirusTotal の混沌で、あなたも Comment Crew を追跡できる！～北京とテヘランに支援されたハッカーは、しみったれであるようだ（The Register）

HP：北朝鮮のサイバースパイ活動は実際のところ、確かなサイバー脅威だ～「洗練された」スパイと自家製の技術、そして「荒らし屋部隊」（The Register）

100 人のセレブ女性がオンラインでヌードを晒される～Apple の iCloud アカウントハッキングの犠牲となったセレブリティたち（The Register）

連邦政府、勇敢な人間のロボ・ファイターに敬礼～DEF CON の「ロボコール撲滅競技」の勝者たちが賞金の祝福を浴びる（The Register）

PCI Council は何をすべきか、あなたの意見が求められている～PCI DSS の導入について、どうお考えでしょう？（The Register）

Adobe Acrobat/Reader の Javascript API の実装に起因する情報漏えいの脆弱性（Scan Tech Report）

マルウェアがアンチウイルスから逃れる手法を研究者が詳述～「奴らが来るぞ、席に戻れ！」（The Register）

レポート：中国のハッカーが MH370 便の調査に探りを入れていた～航空機の消失に関する機密データが盗まれる（The Register）

Twitter からブロックされた狂信的テロ集団 ISIS が、Diaspora を侵略～分散型ネットワークには、彼らを止める手立てがない（The Register）

ここが変だよ日本のセキュリティ 第1回「被害総額14億円という規模」

政府のセキュリティゲームで AWS がレベルアップ――機密データへのアクセスまであと一歩～クラウドの巨人は、まだ政府の秘密に触れられない（The Register）

「中国の犯罪者たち」が米国の病院から 450 万件の患者ファイルを盗む～CHS「ご心配なく、我々は保険に加入していますから」（The Register）

Microsoft「ブルートフォースアタックが怖い？　あきらめろ」～パスワードの強度メータは無視しろ、単純なパスワードを使い回せ（The Register）

piyolog Mk-II 第4回「国内中のサイトが模倣されている？ひと夏の模倣サイト誤認騒動」

ここが変だよ日本のセキュリティ第2回「中長期的に効果の高い対策」

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 2）（The Register）

ヌードセルフィのクラウド覗き騒動：Apple の 2 要素認証？　糞みたいなもんだ～しかし公平な立場で言うなら：クラウドは所詮クラウド（その 1）（The Register）

ここが変だよ日本のセキュリティ第1回「被害総額14億円という規模」