2015年12月のScan PREMIUM 会員限定記事 | ScanNetSecurity
2024.03.29(金)

2015年12月のScan PREMIUM 会員限定記事

Windows の「認証の欠陥」が詳細情報を晒す~研究者は竪琴を奏でてケルベロス(Kerberos)を眠らせる(The Register) 画像
国際

Windows の「認証の欠陥」が詳細情報を晒す~研究者は竪琴を奏でてケルベロス(Kerberos)を眠らせる(The Register)

これらの攻撃のほとんどは、緩和をすることができない。なぜならこれは単純に『Windows 環境で、Kerberos がどのように働くのか』の問題だからだ……多くの場合、あなたは『特権アカウントの保護』に全力で集中する必要がある。

Joomla! における、PHP の既知の脆弱性および MySQL の仕様に起因する任意のコード実行の脆弱性 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Joomla! における、PHP の既知の脆弱性および MySQL の仕様に起因する任意のコード実行の脆弱性

2015 年 12 月 14 日に、世界的に利用されている CMS である Joomla! において、セッション値処理の不備を利用して遠隔から任意のコードが実行されてしまうゼロデイ脆弱性が報告されました。

FireEye が炎に包まれる:たった一通のメールで、ネットワーク全体へのアクセスが可能に~Google Project Zero が欠陥を発見、情報の胃袋に空いた穴を埋めるパッチはすでに到着(The Register) 画像
国際

FireEye が炎に包まれる:たった一通のメールで、ネットワーク全体へのアクセスが可能に~Google Project Zero が欠陥を発見、情報の胃袋に空いた穴を埋めるパッチはすでに到着(The Register)

これらの全キットはデフォルトの状態で脆弱なので、このエクスプロイトは非常に危険だ。伝えられるところによると、FireEye は、すでに契約期間が終了している顧客にもサポートを提供している。

Shodan で、入門レベルの手軽なアクセス! MacKeeper のユーザーデータベースの扉は、大きく開け放たれていた~研究者曰く「認証は必要なかった」(The Register) 画像
国際

Shodan で、入門レベルの手軽なアクセス! MacKeeper のユーザーデータベースの扉は、大きく開け放たれていた~研究者曰く「認証は必要なかった」(The Register)

MacKeeperユーザーのメールアドレス、電話番号、IP アドレス、そして弱いハッシュ化を施されたパスワードが危険に晒されていた。Chris Vickery は、検索エンジン Shodan を利用中に、その 20GB のデータをたまたま発堀した。

セキュリティポリシー専門家「Wassenaar をオーバーホールしなければ、次の Heartbleed の修復ができなくなる」~それは緊急時に 100 か国の協働を妨害する(The Register) 画像
国際

セキュリティポリシー専門家「Wassenaar をオーバーホールしなければ、次の Heartbleed の修復ができなくなる」~それは緊急時に 100 か国の協働を妨害する(The Register)

そのようなたち研究者は起訴されることを恐れ、もはや脆弱性を開示しなくなる。実際、一部のハッカーは先日のPacSecWestのPwn2Ownに参加しなかった。参加するためには、エクスプロイトに関わるものを東京のイベントへ運ぶことになるからだ。

数十万台のエンジンイモビライザーがネット経由でハッキング可能~ニュージーランドのハッカーが、ガジェットの深刻な欠陥を発見(The Register) 画像
国際

数十万台のエンジンイモビライザーがネット経由でハッキング可能~ニュージーランドのハッカーが、ガジェットの深刻な欠陥を発見(The Register)

その欠陥により、いずれかのアカウント(ユニバーサルデモアカウントを含め)にログインした攻撃者は、36万台のあらゆるThinkRaceへのログインが可能になると彼は語った。「全アカウントにブルートフォースを仕掛ければ、それぞれにインクリメントが可能だ」

なぜ銀行マンだけがサイバー・レジリエンス・テストを行っているのか?~そして電力供給網は?(The Register) 画像
国際

なぜ銀行マンだけがサイバー・レジリエンス・テストを行っているのか?~そして電力供給網は?(The Register)

「我々が追跡している様々な国のサイバープログラムは5つの主要なセクターを選び出している。金融、メディア、エネルギー、通信、輸送だ。多くが焦点を当てているのは、いまも『金融』だが、他のセクターも攻撃をうけており、また危険にさらされている

すべての人に無料の HTTPS 証明書を──Let's Encrypt が世界に扉を開く~コマンドラインを利用した、極めて容易なインストール(The Register) 画像
国際

すべての人に無料の HTTPS 証明書を──Let's Encrypt が世界に扉を開く~コマンドラインを利用した、極めて容易なインストール(The Register)

「セキュリティとプライバシーの面で、ウェブが大きな前進をする時が来た。我々は HTTPS がデフォルトとなることに期待している。Let's Encrypt は、できるだけ証明書の取得と管理を簡易化することによって、それを可能とするために設計された」

支配的構造:犯罪者が管理者のログイン情報を盗み、サイトを感染させ、Cryptowall 4 を送り込む~世界最悪のパスワード泥棒+世界最悪のエクスプロイトキット+世界最悪のランサムウェア(The Register) 画像
国際

支配的構造:犯罪者が管理者のログイン情報を盗み、サイトを感染させ、Cryptowall 4 を送り込む~世界最悪のパスワード泥棒+世界最悪のエクスプロイトキット+世界最悪のランサムウェア(The Register)

これは、まだリリースから 1 か月に満たない最新種の Cryptowall と、世界で最も効果的で人気のあるエクスプロイトキット Angler を活用した、現在のところ最も複雑な、また最も効果的と思われるランサムウェア攻撃の一つだ。

Wi-Fi や Tor の制限に、テロ攻撃後のフランスが「Non」を示す~卑劣な連中が、フランスの自由・平等・博愛を殺すことはない(The Register) 画像
国際

Wi-Fi や Tor の制限に、テロ攻撃後のフランスが「Non」を示す~卑劣な連中が、フランスの自由・平等・博愛を殺すことはない(The Register)

「警察は、より良い『テロとの戦い』のあらゆる側面に目を向けている、それは言うまでもない。しかし我々は、効果的な対策を取らなければならない」と彼は語った。

「新しい Windows 10」がセキュリティの悪夢を現実に変える~ Windows 10 IoT Core Pro が、「モノ」の製造業者にセキュリティのアップデートを敬遠させる(The Register) 画像
国際

「新しい Windows 10」がセキュリティの悪夢を現実に変える~ Windows 10 IoT Core Pro が、「モノ」の製造業者にセキュリティのアップデートを敬遠させる(The Register)

もしも「モノ」のメーカーがアップデートを遅らせることを決意し、その結果「モノ」が修復されないのであれば、それは良いことではない。そして「モノ」がオンラインの状態だということを考えると……もうお分かりだろう。

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として~いずれにせよ、それは訓練演習だったように見える(その 2)(The Register) 画像
国際

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として~いずれにせよ、それは訓練演習だったように見える(その 2)(The Register)

我々は皆、標的となりえる。たとえ我々が魅力的な標的とならない場合でも、より実りの多いゲームを求めている何者かにとって、我々のネットワークサーバを侵害する唯一の目的は「射撃訓練」であるかもしれない。

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として~いずれにせよ、それは訓練演習だったように見える(その 1)(The Register) 画像
国際

北朝鮮は Sony を打ちのめすことができる。本当にやったのかどうかは別の問題として~いずれにせよ、それは訓練演習だったように見える(その 1)(The Register)

フルタイムの研究チームと、2 人のまともな開発者を雇用する資金さえ持っていれば、誰でも信頼性の高い攻撃的なハッキングの能力を構築できる。国に支援されたハッキングチームが主に有利となる点は、スパイや工作員の数だ。

ビデオ・マルバタイジングの活動は 12 時間だけ? 2 か月お試しください~研究者「ビデオのクラップウェア問題は想像以上に悪質」(The Register) 画像
国際

ビデオ・マルバタイジングの活動は 12 時間だけ? 2 か月お試しください~研究者「ビデオのクラップウェア問題は想像以上に悪質」(The Register)

しかしビデオの XML、つまりVASTは、「広告でコードを実行できる拡張を求める広告主」にとっては不十分であることが判明した。そしてVPAIDがもたらされた。それこそが、ビデオのマルバタイジング活動を可能にしたものだ。

Tor Project「匿名性はタダじゃないんだ。みんな、払うもんを払おう」~プライバシーネットワークから寄付のお願い(The Register) 画像
国際

Tor Project「匿名性はタダじゃないんだ。みんな、払うもんを払おう」~プライバシーネットワークから寄付のお願い(The Register)

この基金集めの運動が成功したなら、Tor が大学の補助金や、政府の助成金に依存するのも終わりになるはずだ。このキャンペーンをさらに支援するため、Tor は Citizen Four ディレクター Laura Poitras の協力を得た。

ハッカーは Reader's Digest の臭い足にエクスプロイトキットでスプレーを吹き付ける~民間療法ファン、Bedep にバックドアを仕掛けられる(The Register) 画像
国際

ハッカーは Reader's Digest の臭い足にエクスプロイトキットでスプレーを吹き付ける~民間療法ファン、Bedep にバックドアを仕掛けられる(The Register)

攻撃者たちは「足の臭いに、驚くほど効果的な 9 つのホームレメディ」という記事を感染させたが、月あたり 300 万人の読者たちが訪問した他のページも標的となった可能性がある。

マルバタイジング:ネット広告のモデルが、いかに犯罪者を儲けさせるのか~そして……すべての金銭的な損害の責任は、誰が負うのか?(その 3)(The Register) 画像
国際

マルバタイジング:ネット広告のモデルが、いかに犯罪者を儲けさせるのか~そして……すべての金銭的な損害の責任は、誰が負うのか?(その 3)(The Register)

「トップクラスのアダルトサイトの多くは、実はメインストリームのサイトよりマルバタイジングの攻撃を受けにくい」と Segura は我々に語った。「実際のところ、彼らは応答性が高く、この問題についても我々と共に取り組むことを望んでいる」

マルバタイジング:ネット広告のモデルが、いかに犯罪者を儲けさせるのか~そして……すべての金銭的な損害の責任は、誰が負うのか?(その 2)(The Register) 画像
国際

マルバタイジング:ネット広告のモデルが、いかに犯罪者を儲けさせるのか~そして……すべての金銭的な損害の責任は、誰が負うのか?(その 2)(The Register)

しかし、そのような規則を介してマルバタイジングへの対処が行われるという考えは疑わしい、と Taylor は The Register に語った。それに対処するのはむしろ「広告ブロッカーの利用を始めるユーザーの拡大」などを含めた市場的な要因だろう。

マルバタイジング:ネット広告のモデルが、いかに犯罪者を儲けさせるのか~そして……すべての金銭的な損害の責任は、誰が負うのか?(その 1)(The Register) 画像
国際

マルバタイジング:ネット広告のモデルが、いかに犯罪者を儲けさせるのか~そして……すべての金銭的な損害の責任は、誰が負うのか?(その 1)(The Register)

マルバタイジングは、攻撃に対して脆弱な相手だけを効果的に狙うことができるため、非常に費用対効果が優れている。Kleczynski は「『インプレッション数の従量課金』は、基本的に『感染数の従量課金』だ」と表現した。

VirusTotal が、最新の「Mac マルウェアの砂場あそび」に Apple ファンを招待~「でも Mac ならウイルスに感染しないのでは……」いや感染する、その頻度も上がっている、と Google は語る(The Register) 画像
国際

VirusTotal が、最新の「Mac マルウェアの砂場あそび」に Apple ファンを招待~「でも Mac ならウイルスに感染しないのでは……」いや感染する、その頻度も上がっている、と Google は語る(The Register)

サンドボックスの実行は、Macのマルウェアの行動に対する優れた洞察を提供し、サービスの「真のウイルス対策の精度」を示すようになる。スキャンだけでは、より顕著な活動をするマルウェアをキャッチできないからだ。

「中国にハッキングされた? やり返せ!」米議会の激怒レポート~「我々が彼らに要求したとおりのことを、よくも彼らは我々に要求できたものだ!」(The Register) 画像
国際

「中国にハッキングされた? やり返せ!」米議会の激怒レポート~「我々が彼らに要求したとおりのことを、よくも彼らは我々に要求できたものだ!」(The Register)

「報復的なアプローチ」を提唱する中、さらに同委員会は議会に対し「中国にいる米国の投資家たちに公平な競争の場を提供するため、米国にいる中国の投資家たちの市場参入を調整する法」を考慮するよう奨励した。

  1. 1
  2. 2
Page 1 of 2
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×