2015年9月のScan PREMIUM 会員限定記事 | ScanNetSecurity
2024.03.28(木)

2015年9月のScan PREMIUM 会員限定記事

米図書館員が警察と連邦を無視して Tor の出口ノードを再起動~パイロットプログラムをねじ伏せる「恐怖、不安、疑念」作戦が失敗(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

米図書館員が警察と連邦を無視して Tor の出口ノードを再起動~パイロットプログラムをねじ伏せる「恐怖、不安、疑念」作戦が失敗(The Register)

「もしも Tor がシャットダウンされたなら、犯罪者たちは他の方法を見つけて活動するだろう。しかしオンラインのプライバシーを求める人々は、そのようにいかない」と彼女は主張した。

オバマが暗号化の全面支持へと歩み寄る──だが彼は、その意味をわかっているのか?~「ノー・バックドア」を語る漏洩メモは、暗号の基本を把握していない(その 2)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

オバマが暗号化の全面支持へと歩み寄る──だが彼は、その意味をわかっているのか?~「ノー・バックドア」を語る漏洩メモは、暗号の基本を把握していない(その 2)(The Register)

大統領は「自発的な協力」という言葉を使うことで、大手テクノロジー企業から「政府は退却した」と言われることを望んでいるのだろう。そうでないなら、全てはライバシーを愛するオタクたちを黙らせておくための政治工作だ。

オバマが暗号化の全面支持へと歩み寄る──だが彼は、その意味をわかっているのか?~「ノー・バックドア」を語る漏洩メモは、暗号の基本を把握していない(その 1)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

オバマが暗号化の全面支持へと歩み寄る──だが彼は、その意味をわかっているのか?~「ノー・バックドア」を語る漏洩メモは、暗号の基本を把握していない(その 1)(The Register)

このような動きは業界のさらなる協力を奨励し、それは社会の安全と国家の安全保障を改善するだろう。たとえば米政府は先日、ソフトウェアのセキュリティホールに関する詳細情報を共有する取り組みを発表したばかりだ。

Symantec、GeoTrust が「.pw」の SSL 証明書を一部取り消し~「Spammy」なトップレベルドメインが翼を折られる(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Symantec、GeoTrust が「.pw」の SSL 証明書を一部取り消し~「Spammy」なトップレベルドメインが翼を折られる(The Register)

.pw は、Pacific island nation of Palauの国コードのTLDとして誕生したのち、そのブランドを「Professional Web」に変更した。そしてSymantecは .pwのサイトを「ジャンクメールの重要なソース」と評価した。

Lookout 「iOS の感染アプリリストは増加の一途を辿っている」~あなたの i 端末に憑依する「XcodeGhost」の退治法とは(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Lookout 「iOS の感染アプリリストは増加の一途を辿っている」~あなたの i 端末に憑依する「XcodeGhost」の退治法とは(The Register)

XcodeGhost を利用すれば、あなたの i デバイスからデバイス名、国名、一意的な識別子などのデータをキャプチャできると考えられている。それはデバイスのスクリーンにダイアログボックスを表示できる可能性もある。

Yokogawa、大きく開いた SCADA の脆弱性にパッチを適用~パケットの送付でネットワーキングのプロセスが砕かれる(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Yokogawa、大きく開いた SCADA の脆弱性にパッチを適用~パケットの送付でネットワーキングのプロセスが砕かれる(The Register)

さらに深刻なのは、攻撃者が任意のコードを実行するために作り出すパケットによって、そのネットワーク通信のプロセスがクラッシュさせられる可能性もあるということだ。

オート認証局「Let's Encrypt」、証明書に初めての署名~すべてのウェブを暗号化する活動が、新たな実績を築く(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

オート認証局「Let's Encrypt」、証明書に初めての署名~すべてのウェブを暗号化する活動が、新たな実績を築く(The Register)

Ristic は、Let's Encrypt が無料でありながら自動的に更新されることも称賛した。「私は『完全なるウェブの暗号化』を長年に渡って支持した。これは大きな前進である」

韓国で愛用されているワープロソフトのゼロデイ脆弱性を、北朝鮮が狙う~攻撃ネットワーク「Macktruck」と「Hangman」の関連性(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

韓国で愛用されているワープロソフトのゼロデイ脆弱性を、北朝鮮が狙う~攻撃ネットワーク「Macktruck」と「Hangman」の関連性(The Register)

韓国は攻撃される面が大きいのに対し、北朝鮮はインターネットのインフラが非常に小さいので、多くの観察者は北朝鮮が有利だと語る。また北朝鮮政府は「Bureau 121」部隊のハッカーに多額の報酬を与えていると示唆されている。

TSA ロックを解錠するマスターキーの、3D プリンター用の青写真が流出~その鍵をつけている? いまや誰でも簡単に開けられますよ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

TSA ロックを解錠するマスターキーの、3D プリンター用の青写真が流出~その鍵をつけている? いまや誰でも簡単に開けられますよ(The Register)

それらの鍵がシンプルであり、また3Dファイルや3Dプリンターが入手しやすくなったため、これまでの小さな努力は吹き飛ばされ、一般市民が利用する 3億のロックにアクセスできるようになった。

クラクティビストたちが 1,100 万件の Ashley Madison のパスワードを復号~MD5 と bcrypt に繋がりがあるなら、Cheater Castle の暗号は評判どおりのものにならない(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

クラクティビストたちが 1,100 万件の Ashley Madison のパスワードを復号~MD5 と bcrypt に繋がりがあるなら、Cheater Castle の暗号は評判どおりのものにならない(The Register)

bcrypt のインストールは、Cheater Capital のセキュリティ研究者たちにより運営されている。そこにはクラッキングのプロセスを失敗させる 12 の要素がある。CynoSure Primeは、このパスワードを現実的に破るプロセスを作った初期の数人目となる。

もし「deuszu」が、Ashley Madison のハッカーでなかった場合はどうなる?~責任の帰属は、音楽の好みより厄介だ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

もし「deuszu」が、Ashley Madison のハッカーでなかった場合はどうなる?~責任の帰属は、音楽の好みより厄介だ(The Register)

Ashley Madison のハッキングは市民の莫大な関心を集めており、また同社が、ハッカーの起訴に繋がる情報提供に 50 万ドルの報酬を申し出たことも、その勢いに拍車をかけている。

RC4 の心臓に、ようやく杭が打ち込まれる~ Google、Mozilla、そしてMicrosoft が語る「本当にもう、たくさんだ」(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

RC4 の心臓に、ようやく杭が打ち込まれる~ Google、Mozilla、そしてMicrosoft が語る「本当にもう、たくさんだ」(The Register)

その決断が下されたのは「RC4で暗号化した cookie を52 時間以内に復号できる RC4攻撃」が、また新たに発見された2か月後のことだ。3社で異なる点は、そのリリースのサイクルだけになる予定だと Mozilla は語った。

「スパイウェアのインストールを試みる偽装サイト」で、AP 通信が FBI を告訴~EEF「一方、ロシアでは政府が市民をマルウェアで攻撃する」(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

「スパイウェアのインストールを試みる偽装サイト」で、AP 通信が FBI を告訴~EEF「一方、ロシアでは政府が市民をマルウェアで攻撃する」(The Register)

FBIが政府の機関としてAP のブランドを偽装するという行為は、同通信社の報道機関としての信憑性を蝕むものだと彼らは主張している。政府の監視行為と関連付けられることで同社の事業が傷つけられているとAPは訴えた。

セキュリティ対策をしたい? 古い慣習がどれほど無力なのかを、次世代のスタートアップが示す~「卵の殻」の周辺でハッカーを妨げる努力は、終わりにしよう(その 2)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

セキュリティ対策をしたい? 古い慣習がどれほど無力なのかを、次世代のスタートアップが示す~「卵の殻」の周辺でハッカーを妨げる努力は、終わりにしよう(その 2)(The Register)

このハニーポットは、攻撃者を侵入させて、彼らが起こす行動の一つ一つを記録する。それにより管理者やセキュリティ研究者は、新たな脅威がどのように機能するのかを理解することができる。

セキュリティ対策をしたい? 古い慣習がどれほど無力なのかを、次世代のスタートアップが示す~「卵の殻」の周辺でハッカーを妨げる努力は、終わりにしよう(その 1)(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

セキュリティ対策をしたい? 古い慣習がどれほど無力なのかを、次世代のスタートアップが示す~「卵の殻」の周辺でハッカーを妨げる努力は、終わりにしよう(その 1)(The Register)

Eggshell型の運用は素晴らしく間抜けだが、我々はそれにに没頭し、「悪者」に焦点を当てている。そして組織の内部で悪意を持って行動する人々や、操作ミスでデリートキーを押す人々の脅威を無視している。

元警察署長曰く、身体装着型のカメラは「パンドラの箱」だ~そのカメラは市民の間に「信頼の欠如」をもたらす(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

元警察署長曰く、身体装着型のカメラは「パンドラの箱」だ~そのカメラは市民の間に「信頼の欠如」をもたらす(The Register)

しかし「警察が映像を改ざんしたと非難される先例」、あるいは「警官がデバイスを身につけていなかった、電源をオフにしていたという理由で批判される先例」が、そのカメラによって生まれるかもしれないと彼女は語っている。

ハッカーが、大きく開かれた Portmap を DDoS AMP 攻撃に利用する~不注意なネット管理者は、平文のシステムを放置する(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

ハッカーが、大きく開かれた Portmap を DDoS AMP 攻撃に利用する~不注意なネット管理者は、平文のシステムを放置する(The Register)

ファイアウォールを利用して、インターネットに接続されている Portmap サービスを無効にする、あるいはブロックすることは簡単だが、多くのネット管理者がその慣行を見過ごし、ハッカーが悪用できるリソースを作り上げている。

DNS ルートゾーンを巡るドラマ:最も重要で退屈な式典のライブ中継を追う~アカデミー賞とは異なるが、キーへの署名は不可欠だ(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

DNS ルートゾーンを巡るドラマ:最も重要で退屈な式典のライブ中継を追う~アカデミー賞とは異なるが、キーへの署名は不可欠だ(The Register)

DNSSEC は新しい基準となったので、(いまでは)そのキーや祭典で起こるいかなる些細なミスも、「システム全体が自分自身を信用しなくなる」という事態を生み、広範囲に渡る甚大な影響を世界中に与えることになる。

Hacking Team がエチオピアとの取引を中止したのは、その政府の役人たちが間抜けだったから~人権は少しも考慮されていなかった、と活動家たちの分析結果は語る(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

Hacking Team がエチオピアとの取引を中止したのは、その政府の役人たちが間抜けだったから~人権は少しも考慮されていなかった、と活動家たちの分析結果は語る(The Register)

「2011 年、すでに同社は Ethiopian Information Network Security Agency に監視システム、トレーニング、サポートを販売しており、その契約には100 万ドルの値がついていた」ということが、漏洩したメールによって確認された。

混ぜ合わせのマルウェアが、日本のオンラインバンクのユーザーを脅かす~彼らが発見した「資源の有効な活用法」とは……(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

混ぜ合わせのマルウェアが、日本のオンラインバンクのユーザーを脅かす~彼らが発見した「資源の有効な活用法」とは……(The Register)

「Shifu の内部構造は、『他のバンキングマルウェアに詳しい、非常に知識の豊富な開発者たち』に組み立てられている。彼らは、それら(のマルウェア)から選り抜いた、より邪悪な機能を Shifu に搭載した」

IETF 曰く「DNS レコードのメールアドレス? 我々はハッシュ化するよ」~コンタクト情報の詳細は、DANE によって非可逆暗号化される(The Register) 画像
国際
ScanNetSecurity
ScanNetSecurity

IETF 曰く「DNS レコードのメールアドレス? 我々はハッシュ化するよ」~コンタクト情報の詳細は、DANE によって非可逆暗号化される(The Register)

しかし小規模な認証局を狙ったハッキングが、メールやその他の機密データの傍受をもたらしてきた。あなたのデータが、あなたの認証局のセキュリティよりも安全化されることはなかった。

  1. 1
  2. 2
Page 1 of 2
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×