Scan PREMIUM 会員限定記事(20 ページ目) | ScanNetSecurity
2020.04.02(木)

Scan PREMIUM 会員限定記事(20 ページ目)

ここが変だよ日本のセキュリティ 第23回「セキュリティ対策の弱点探しキーワード 後篇」 画像
国際 2次元殺法コンビ

ここが変だよ日本のセキュリティ 第23回「セキュリティ対策の弱点探しキーワード 後篇」

何度も書いているけど、日本のシンポジウムは温泉地での開催が大事。海外のカンファレンスでも、敢えてあちこちの観光地で開催しているケースはたくさんある。簡単に会社に呼び戻せない場所で泊まりで開催すれば、終電も気にしないで安心してガンガン飲みまくれるからね。

Wi-Fiハッキングで三菱アウトランダーの盗難警報器が無効に ~ 善意のハッカーによる(The Register) 画像
国際 ScanNetSecurity

Wi-Fiハッキングで三菱アウトランダーの盗難警報器が無効に ~ 善意のハッカーによる(The Register)

ペンテスト・パートナーズはその調査結果を三菱UKに伝えた。いつか? 公表する前にであった。三菱はセキュリティ研究者たちに対して、「それを問題だとは認めていない」し、PTP社が発見した問題を解決する計画はないと語った。Munro氏はこの返答に対して失望を表した。

サイバー犯罪者、Facebook でカード情報販売 ~ 中国・ロシア・ブラジル 国別特徴を視覚化(EMCジャパン) 画像
脆弱性と脅威 吉澤 亨史( Kouji Yoshizawa )

サイバー犯罪者、Facebook でカード情報販売 ~ 中国・ロシア・ブラジル 国別特徴を視覚化(EMCジャパン)

不正に盗み出されたクレジットカード情報などは、これまでDeep WebやDark Webと呼ばれるアンダーグラウンドの市場で販売されてきた。しかし2015年後半から、FacebookなどメジャーなSNSを利用するサイバー犯罪者が増えている。

WordPress の Ninja Forms プラグインにおいて投稿内容の検証不備により任意のファイルがアップロードされてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック サイバー・グリッド研究所

WordPress の Ninja Forms プラグインにおいて投稿内容の検証不備により任意のファイルがアップロードされてしまう脆弱性(Scan Tech Report)

WordPress のプラグインである Ninja Forms において、POST パラメータ処理の不備により、遠隔から任意のファイルがアップロードされてしまう脆弱性が報告されています。

ここが変だよ日本のセキュリティ 第22回「セキュリティ対策の弱点探しキーワード 前篇」 画像
特集 2次元殺法コンビ

ここが変だよ日本のセキュリティ 第22回「セキュリティ対策の弱点探しキーワード 前篇」

弱点や事故のケースを探すには、ある程度整理した分類を元に自社に当て嵌るものはないか探していくといい。以下は筆者の経験上の区分なので、少々乱暴だったり、あっちはこっちだろ的な突っ込みも多々あると思う。区分はあくまで考えるためのヒントだ。

物理的に隔離された SCADA システムでさえも安全ではない~これからの Stuxnet 型攻撃を専門家が警鐘 (The Register) 画像
国際 The Register

物理的に隔離された SCADA システムでさえも安全ではない~これからの Stuxnet 型攻撃を専門家が警鐘 (The Register)

「それまで電力管理システムがセキュリティを念頭に設計されたことはありませんでした。」ラクハーニが語る。「もともとレギュレーターや電圧電流をコントロールするために設計されたもので、それは今も変わっていません。」

パース市の公共交通カード SmartRider が学生研究者達に割られる~大学サークルHack the Planetが「ホワイトハット」的にMiFareを調査して法廷闘争に(The Register) 画像
国際 株式会社ラック サイバー・グリッド研究所

パース市の公共交通カード SmartRider が学生研究者達に割られる~大学サークルHack the Planetが「ホワイトハット」的にMiFareを調査して法廷闘争に(The Register)

オーストラリアの都市パースの大学生達が窮地に陥っている。1人は警察に告発された。この都市の公共交通のスマートカードであるSmartRiderの使用により発生した運賃を巻き戻すため、深刻なセキュリティホールを発見して悪用しようとしたことによる。

Microsoft Windows の Secondary Logon サービスにおいて要求ハンドルの取り扱い不備により高い権限で任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック サイバー・グリッド研究所

Microsoft Windows の Secondary Logon サービスにおいて要求ハンドルの取り扱い不備により高い権限で任意のコードが実行されてしまう脆弱性(Scan Tech Report)

Microsoft Windows の Secondary Logon サービスに含まれる不備により、高い権限で任意のコードが実行可能となる脆弱性が報告されています。

国家機密漏えいにより中国人暗号技術者に対し死刑宣告 ~ 他に31人がスパイ行為で収監(The Register) 画像
国際

国家機密漏えいにより中国人暗号技術者に対し死刑宣告 ~ 他に31人がスパイ行為で収監(The Register)

国営メディアによると、Yuは自身の仕事に不満を抱くようになった後、国名は明かされていないが外国の情報機関に文書の売買を持ちかけた。

サイバー地下世界の価格表が白日の下に。企業のメールボックスは500ドル、パスポートは1,200ドルなど~DDoS攻撃 1時間5ドル、Gmailアカウント 123ドル、他(The Register) 画像
国際

サイバー地下世界の価格表が白日の下に。企業のメールボックスは500ドル、パスポートは1,200ドルなど~DDoS攻撃 1時間5ドル、Gmailアカウント 123ドル、他(The Register)

「銀行取り引きの認証情報は、その口座残高の1~5%で手に入る」 「プラスチックカードの認証情報の値段は7ドルから始まって、売りに出されたカードの種類や、関連データの量によって上がる。AMEXのカードは上限付近の30ドルで売れる」

Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威 株式会社ラック サイバー・グリッド研究所

Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

Apache Struts 2 の Dynamic Method Invocation (DMI) 機能に、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」 画像
特集 piyokango

piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

Anonymousによる攻撃示唆の投稿は合計すると100以上にも及び、障害も似たような件数が発生していたものと考えられますが、それらすべてが報道されていたわけではありません。

サイバー演習によって露呈した大手重要インフラ企業の「弱点」(PwCサイバーサービス) 画像
研修・セミナー・カンファレンス 吉澤 亨史( Kouji Yoshizawa )

サイバー演習によって露呈した大手重要インフラ企業の「弱点」(PwCサイバーサービス)

PwCサイバーサービスは、メディアセミナー「レッドチーム演習が浮き彫りにするセキュリティの盲点」を開催した。

OS X において IOUSBFamily の不備によりサービス不能および高い権限で任意のコードが実行されてしまう脆弱性 画像
脆弱性と脅威 株式会社ラック サイバー・グリッド研究所

OS X において IOUSBFamily の不備によりサービス不能および高い権限で任意のコードが実行されてしまう脆弱性

Apple 社の OS である OS X において、USB 機器との接続機能を担うカーネルモジュールである IOUSBFamily に、メモリ処理の不備に起因する脆弱性が報告されています。脆弱性の利用により、メモリ破壊や高い権限でのコード実行が行われる可能性があります。

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(3) (The Register) 画像
国際 The Register

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(3) (The Register)

インド、エジプト、アフリカのハッカーたちがグーグル社のバグ発見報奨金の支払いで貧困から脱出している。ムンバイの親たちは息子が弁護士になることを夢見てきたが、経済的解放がバグハンターとしての成功によってもたらされることに気付いた。

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register) 画像
国際 The Register

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register)

保育士夫婦の息子Wakelamがハイスクールから脱出したのは、3年生の終わりだった。両親は、将来を見据えた決断だとして支持した。バグ発見報奨金は儲かる仕事として、また履歴書の穴を埋めるものとして、中退したWakelamに最適だった。

デロイト流「なんちゃってCSIRT」再生3つのアプローチ 画像
研修・セミナー・カンファレンス 吉澤 亨史( Kouji Yoshizawa )

デロイト流「なんちゃってCSIRT」再生3つのアプローチ

デロイト トーマツ リスクサービスは、サイバーセキュリティセミナー「名ばかりCSIRT処方箋~実効性のあるCSIRT構築手法~」を開催した。

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(1)(The Register) 画像
国際 The Register

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(1)(The Register)

世界最大手のテクノロジー企業や家電メーカーのセキュリティホールを見つけ出して報告するという、バグ発見報奨ブームに乗った世界中に数百人ほどいる有能なハッカーのうちの1人が彼だ。

OS X および iOS において競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性 画像
脆弱性と脅威 株式会社ラック サイバー・グリッド研究所

OS X および iOS において競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性

Apple 社の OS である OS X および iOS に、競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性が報告されています。

ここが変だよ日本のセキュリティ 第21回「セキュリティ人材は生き残ることができるか?」 画像
特集 2次元殺法コンビ

ここが変だよ日本のセキュリティ 第21回「セキュリティ人材は生き残ることができるか?」

今活躍しているセキュリティの有名人たちは、長い目で見ると専門分野を渡り歩いている人が結構いる。考え方が変わるたびに自分を合わせて成長してきている。ポイントは、今軸足を置いている分野の周辺を将来のために学んでみることにある。それは分野だけではない。

Torユーザー、Webサイト運用者による積極的な迫害の対象に~反プライバシーに拍車をかけた責任をCDNに押し付けるべきではないとの調査報告が発表(The Register) 画像
国際 ScanNetSecurity

Torユーザー、Webサイト運用者による積極的な迫害の対象に~反プライバシーに拍車をかけた責任をCDNに押し付けるべきではないとの調査報告が発表(The Register)

多くのWebサイトではTorネットワークからのアクセスをブロックしているが、その理由は意図的な場合と、Torネットワークからの不正なトラフィックに警戒している場合が挙げられる。

  1. 先頭
  2. 10
  3. 15
  4. 16
  5. 17
  6. 18
  7. 19
  8. 20
  9. 21
  10. 22
  11. 23
  12. 24
  13. 25
  14. 30
  15. 最後
Page 20 of 38
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×