2024.04.24(水)
攻撃者は、そのデバイスを「マルウェアのストア」に変化させる能力を持つことになる。それは、このスマート(と呼ばれている)サーモスタットと同じ無線ネットワークを利用している他のデバイスをマルウェアに感染させるために利用できるだろう。
その悪党は「司法省のメールアカウントが侵害されたおかげで、数百ギガバイトのデータを手に入れた」と主張している。ただし、受信ボックスが乗っ取られたという確かな証拠は何もない。
IoT 製品から得られるデータは非常に貴重なものとなりえる。それらの製品の多くがマイクや動作センサーを搭載している。たとえば新しいスマートテレビや子供の玩具、あるいは Amazon の「Echo」のような音声制御の製品などだ。
そこには「これまでメーカーがあまりにも頻繁に無視してきたこと」のリストが与えられている。良い暗号、API セキュリティモデル、前方秘匿性、アプリケーションのロールバック、署名されたアプリケーションイメージを、GSMA は必要条件として述べている。
ネットワークマッピングツールやファジングツールなど、ハッカーが利用するユーティリティは様々だが、それらはサイバーセキュリティ業界にとっても不可欠だ。先の「調整された提案」の下では、これらを海外へ持ち出すことが禁止されていただろう。
この失敗は、ニュージャージーに拠点を置く Linux サーバホスティング業者がクリスマス後、データセンターに 10 日間の DDoS 攻撃を受け、ハッキングの恐怖に襲われたことにより、同社のユーザーアカウントのパスワードを 1 月にリセットしたあとに起きたものだ。
たしかに、その表現は少なからず大雑把に見える。NSA の解釈によれば、彼らが大量のオンライン情報を収集し保管することは監視に該当せず、「それを分析者が実際に見た場合」のみが監視行為となるため、この点は明確化する必要がある。
「不正な情報開示」によるデータ侵害事件の大半は、国境と移民に焦点を当てたものだった。そこには事業の提携相手によるミス(約 150 人分の詳細情報が失われた)が含まれているが、それ以上の情報は何も提供されていない。
「それらのイメージを、ほぼリアルタイムで解読するために必要となる演算能力は膨大だったが、それでもイメージの内容を見極めるには、それほど多くの労力を費やさずに個々のフレームを解読することが可能だ」とある。
HTTP のレスポンスヘッダを適切に設定することは、ただ単に「理想とされる任務」ではなく、ウェブのセキュリティに重要な利益をもたらすもので、また独立したセキュリティ専門家によって確認される任務だ、と開発者の Scott Helme は語る。
Network Time Protocol の脆弱性を悪用した反射攻撃(Reflection attack)や増幅攻撃(AMP、Amplification attack)の人気は衰えていない。それらの攻撃に対抗するため、サーバには継続的にパッチが適用されている。
「彼らが Word 文書を利用することは事前に予想していたので、これは我々の疑いを確証するものだった。一般的に言えば、『マクロを含んだ Word 文書』は、APT 攻撃を行う人々の間でますます人気が高くなっている」
監督委員会は(政府の)各部門に対する ScreenOS の利用の監査を 2月4日 に行うとし、それまでわずかな猶予を与えた──それはちょっと難しい頼みだと我々は考える。連邦政府の一部の IT 担当者は心臓発作を起こすかもしれない。
スパマーたちは「くそったれの VISA が、俺らをナパーム弾で焼きやがった」と会話していた。「ボットネットがテイクダウンされたときであれば、このような種類の愚痴は聞かれない。それは、我々が彼らを痛めつけたということを示している」
この攻撃の出所は必ずしもロシアだとは言えず、また、いかなる者に対しても完全な確信を持って責任を問うことができないと Lipovsky は語る。現在、多くの研究者たちがスレットインテリジェンスとフォレンジックに協力して取り組んでいる。
ブロックされたサイトやアカウントの総数は、昨年と比較して上昇している。悪意ある広告と戦うために、Google は 1,000 人以上のスタッフを雇っていると、広告とコマース部門のボス Sridhar Ramaswamy は語る。
「市場は進化を続けているが、成功の鍵は変化していない。報奨金プログラムを成功させたいなら、あなたは適切な報酬で、正しい研究者を惹きつけなければならない」
通常ならば、金庫室にアクセスするためのマスターパスワードが公式のウェブサイト以外のあらゆるウェブサイト上で入力された場合、LastPass は警告を発する。攻撃者は、その警告の表示をブロックすることができた。
これまでにも、高解像度レンズを用いて、かなりの距離を隔てて撮影された(鍵の)写真から、その鍵を複製できることが示されている。このアプリケーションは、そのような的を絞った先進的な攻撃を行う際に有効だ。
それは人権を侵害している、と主張した 2 人の活動家は、2014 年に同法を巡ってハンガリー政府を訴えた。ECHRは、このハンガリーの法律が「侵害とならぬための充分な保証を提供していない」との判決を下した。
「いまや我々は、10 年前から利用されている Java ライブラリについて語らない。我々が語っているのは、近代的なアプリケーション開発、AngularJS、RESTful 等に関することで──それらの全てが、ここにある」
