Scan PREMIUM 会員限定記事(23 ページ目) | ScanNetSecurity
2025.04.04(金)
コンテンツ
注目検索ワード
ホーム Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事(23 ページ目)

そのパッチ本当に必要? リスクベース脆弱性管理とは 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

そのパッチ本当に必要? リスクベース脆弱性管理とは

脆弱性ハンドリングにおいてもっとも効果的な対応策は「公開されたセキュリティパッチを当てること」だろう。これはゆるぎない事実であり、いまも将来も変わらない対策の基本中の基本といえる。
サイバー時代に開花、ロシアの選挙妨害戦術の長い歴史 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

サイバー時代に開花、ロシアの選挙妨害戦術の長い歴史

ブーズ・アレン・ハミルトン氏が、ロシアがこれまでにどんな国に選挙介入を行ってきたかの分析結果を発表した。
BCCメール誤送信、罰金150万円 画像
国際
The Register
The Register

BCCメール誤送信、罰金150万円

2020 年の 2 月 3 日、HIV Scotland は Microsoft Outlook を使って、開催予定のイベントに関するメールを送信し、CAN に登録されている 105 名に信書を送った。その際、BCC 機能ではなく CC を使った。
知られざる暗号評価プロジェクト CRYPTREC 第2回「三つの暗号リスト」 画像
製品・サービス・業界動向
ScanNetSecurity
ScanNetSecurity

知られざる暗号評価プロジェクト CRYPTREC 第2回「三つの暗号リスト」

セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。
GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像
おしらせ
ScanNetSecurity
ScanNetSecurity

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催

通常の取材は密室でプライバシーを確保して行われますが、本公開インタビューはScan PREMIUM会員限定でZoomカンファレンスとして参加者に公開され「会員限定の衆人環視」のもと実施されます。
発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」

APT において実際の攻撃活動を支えるのは「横展開」(ラテラルムーブメント)と「検知のバイパス」機能だ。多くの APT アクターは、この 2 つを実現するため Windows の認証機能と Mimikatz というエクスプロイトツールを活用している。
「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム 画像
国際
The Register
The Register

「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム

Amazon から借りた何千冊もの教科書を返却する代わりに売却したとして、ミシガン州ポーテージ市に住む 36 歳の男が 14 日(編集部註:2021年10月14日)に逮捕された。
中台サイバー攻防:中国政府の情報戦に抗う台湾 TEAM T5 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

中台サイバー攻防:中国政府の情報戦に抗う台湾 TEAM T5

台湾は中国との経済的つながりが深い。しかし、2016年民主派の蔡総統就任前後から中国の干渉や圧力にも晒されている。台湾の民間セキュリティ研究機関TEAM T5は、そのころから中国によるサイバー活動、とくに情報操作・世論操作について分析を続けている。
知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」 画像
製品・サービス・業界動向
ScanNetSecurity
ScanNetSecurity

知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」

セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。
漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

サイバーセキュリティや個人情報保護について、国境を超えた議論が必要なのはいうまでもない。その理由のひとつが、データ漏えいなどインシデント発生時の報告や対応について、被害企業が負っている義務や罰則規定が国によって異なることだ。
中国ロシア北朝鮮につづく、新鋭APT国家 画像
国際
The Register
The Register

中国ロシア北朝鮮につづく、新鋭APT国家

イラン以外の国家は標的のシステムを破壊する攻撃をほとんど行わなかった。こうして脅かされているシステムは、仮に国家間の緊張が高まって政府がサイバー空間での戦いをエスカレートさせる戦略に出た場合、格好の標的となって破壊される。
Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report)

2021 年 5 月に、Linux カーネルに権限昇格の脆弱性が報告されています。
最も大きなサイバー脅威は犯罪者ではなく国家 画像
国際
The Register
The Register

最も大きなサイバー脅威は犯罪者ではなく国家

サイバースペースの安定性に関するグローバル委員会(GCSC)は、インターネットおよびインターネット接続型のすべての端末が戦争にて攻撃対象になる事態をいかに防ぐか、ガイダンスを公開している。
クラウドの AI インフラの危険性 ~ Shodan の AI プラットフォーム版 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

クラウドの AI インフラの危険性 ~ Shodan の AI プラットフォーム版

機械学習では高性能プロセッサやGPUが大量に必要とされるので、クラウド上のプラットフォームを活用することが少なくない。しかし、AI・機械学習の性能とセキュリティは必ずしも一致しないことは知っておくべきだろう。
Apple 社へ不満持つ研究者 iOSの脆弱性開示/北朝鮮のSNS介したサイバー攻撃 ほか [Scan PREMIUM Monthly Executive Summary] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

Apple 社へ不満持つ研究者 iOSの脆弱性開示/北朝鮮のSNS介したサイバー攻撃 ほか [Scan PREMIUM Monthly Executive Summary]

隣国の中国では、9月より複数のセキュリティに関連した法律が施行されています。注目されるのは、「ネットワーク製品のセキュリティ脆弱性管理に関する規定」や「重要情報インフラセキュリティ保護条例」でしょう。
朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(4)実名原則 画像
特集
朝日新聞 須藤龍也
朝日新聞 須藤龍也

朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(4)実名原則

サイバー事件の調査報道で日本を代表するジャーナリスト、朝日新聞 須藤 龍也 記者の寄稿を受けた特別連載「朝日新聞で書ききれなかった『あの話』」は、毎月の月初に配信します。
非識別化と再識別化:後編「企業のデータスキャンダルの新しい火種」 画像
国際
The Register
The Register

非識別化と再識別化:後編「企業のデータスキャンダルの新しい火種」

この込み入った状況を打開する理論的な方法はのひとつは、個人の身元を明らかにするようなデータをひたすら取り除き続けることだ。しかし、データを削除するたびに、データセットの価値が下がってしまうとイールケ・ボイテン教授は警告する。
非識別化と再識別化:前編「研究者間でスポーツ競技化する再識別化」 画像
国際
The Register
The Register

非識別化と再識別化:前編「研究者間でスポーツ競技化する再識別化」

データを匿名化することを「非識別化」というが、これを適切に行うことは見かけ以上に難しいと、UCLA のコンピュータサイエンス教授でスケーラブル・アナィティクス・インスティチュートのディレクターであるウェイ・ワン氏は言う。
コロナ禍なのにあえてドイツに行ってみた<実施編> 画像
特集
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

コロナ禍なのにあえてドイツに行ってみた<実施編>

<実施編>では体験レポ風に実際の手順は遭遇した問題、その対処方法などを紹介する。
Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性(Scan Tech Report)

2021 年 4 月に、Google Chrome に任意のコード実行が可能となる脆弱性が報告されています。
  1. 先頭
  3. 10
  4. 18
  5. 19
  6. 20
  7. 21
  8. 22
  9. 23
  10. 24
  11. 25
  12. 26
  13. 27
  14. 28
  15. 30
  16. 40
  17. 50
  19. 最後
Page 23 of 68
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×