Scan PREMIUM 会員限定記事(4 ページ目) | ScanNetSecurity
2024.06.25(火)

Scan PREMIUM 会員限定記事(4 ページ目)

オープンソース開発者をパニックに陥れた EUサイバーレジリエンス法 最終決定 画像
国際
The Register
The Register

オープンソース開発者をパニックに陥れた EUサイバーレジリエンス法 最終決定

 サイバーレジリエンス法に対する懸念は、10 月にも表明化していた。サイバーレジリエンス法をまとめる際に欧州委員会がオープンソースコミュニティをほとんど無視していたことが明らかになったからだ。幸いなことに最新バージョンはこれらの懸念に対処しているようだ。

オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

 宇宙航空研究開発機構(JAXA)が今年夏頃に、サイバー攻撃を受け、Active Directory(AD)への侵害を通じて宇宙開発に関する機微情報が漏洩した可能性があることが報じられました。米中をはじめ、日本においても宇宙事業は国家安全保障戦略に含まれていることを勘案しますと、組織としてもう少し考えて行動すべきだったように思います。

Microsoft バグ報奨金プログラム 10 周年 バグバウンティは安全性を高めているか? 画像
国際
The Register
The Register

Microsoft バグ報奨金プログラム 10 周年 バグバウンティは安全性を高めているか?

 さらにケイティ・ムーサリス氏を称えた。Microsoft 経営陣はバグに関して、リサーチャーに報酬を支払うことは「絶対ない」と言っていたのだが、ムーサリス氏が中心となって、Microsoft にはバグ報奨金プログラムが必要であると Redmond 上層部を説得した。最終的に Microsoft に転機をもたらしたのは、独自ブラウザで Internet Explorer の市場優位性に挑んできた新興企業Google を打倒したいという思いだった。

Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性(Scan Tech Report)

2023 年 7 月に、Linux OS で高いシェアを誇る Ubuntu のファイルシステムに、権限昇格につながる脆弱性が報告されています。

今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人” 画像
特集
リーク・東郷
リーク・東郷

今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

10 月に最も件数換算の被害規模が大きかったのは、株式会社NTTマーケティングアクトProCX と NTTビジネスソリューションズ株式会社による「NTTマーケティングアクトProCX 元派遣社員 約900万件の顧客情報を不正に持ち出し、一部カード情報も含む」の 約 900 万件だった。

医療機関向けセキュリティベンダCOO「事業拡大」のため病院をサイバー攻撃した罪を認める 画像
国際
The Register
The Register

医療機関向けセキュリティベンダCOO「事業拡大」のため病院をサイバー攻撃した罪を認める

 アトランタを拠点とするハイテク企業の元最高執行責任者(COO)が、2018 年に 2 つの病院に意図的にオンライン攻撃を仕掛け、後にその事件を引き合いに出して売り込みを行った事件の裁判で、有罪を認めた。

ManageEngine ADManager Plus の installServiceWithCredentials 関数における OS コマンドインジェクションの脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

ManageEngine ADManager Plus の installServiceWithCredentials 関数における OS コマンドインジェクションの脆弱性(Scan Tech Report)

2023 年 6 月に修正された、Zoho 社の ManageEngine ADManager Plus の脆弱性を悪用して遠隔コード実行を試行するエクスプロイトコードが公開されています。

AWSスタッフ、刑務所みたいなオフィスをTikTokで自慢 画像
国際
The Register
The Register

AWSスタッフ、刑務所みたいなオフィスをTikTokで自慢

ローマのパンテオンにも似たドーム構造を持つ、オランダのハールレムにあるケペルゲバンゲニスは、パノプティコンの原理(編集部註:看守からは囚人を監視することができるのに対して、囚人は自分が監視されているかどうかわからない円形構造の監獄)に基づいて監獄として設計された。

殺し屋のレンタルサービス 来たのはFBI 画像
国際
The Register
The Register

殺し屋のレンタルサービス 来たのはFBI

 殺人請負業者に金を払って気に食わないライバルを消そうと Rentahitman.com を利用したことにより、34 歳の女性が 1 年半の禁固刑に処された。予想できる展開ではあるが、彼女が雇った殺し屋は、FBI 捜査官だった。

ネットワーク分断「スプリンターネット」は独裁国家の専売特許か? 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

ネットワーク分断「スプリンターネット」は独裁国家の専売特許か?

国際政治の場でインターネット(サイバー空間)抜きにした議論が成立しなくなっている。市民の生活レベルでもネットはすでに社会秩序の一部である。この状況から「スプリンターネット」の議論はむしろ必然として生まれた。

ボーイング、部品流通事業へのサイバー攻撃発生を認める 画像
国際
The Register
The Register

ボーイング、部品流通事業へのサイバー攻撃発生を認める

 ボーイングは、ランサムウェアのギャング集団「ロックビット(LockBit)」が同航空宇宙・防衛請負業者から機密データを流出させたと報じられた数日後、サイバー事件の発生を認めた。

反社と会社 ランサム共謀/ENISA 年次報告/東大教員 講演依頼 ほか [Scan PREMIUM Monthly Executive Summary 2023年10月度] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

反社と会社 ランサム共謀/ENISA 年次報告/東大教員 講演依頼 ほか [Scan PREMIUM Monthly Executive Summary 2023年10月度]

韓国警察庁は、韓国のデータ復旧会社の 5 人が、北朝鮮の Lazarus グループと共謀してランサムウェアを流布し、被害者 778 人から復旧費用として 34 億ウォン(約 3.7 億円)を奪ったとして拘束したことを発表しました。ランサムギャングと交渉し、高額費用を被害企業にふっかけるといった業者がいることはたびたび噂になっていましたが、本件は当初より共謀していており、興味深い事案といえます。

Windows Error Reporting サービスにおけるシンボリックリンク検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Windows Error Reporting サービスにおけるシンボリックリンク検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)

2023 年 7 月に修正された、Microsoft Windows OS での権限昇格が可能となる脆弱性のエクスプロイトコードが公開されています。

弁護士視点で見た REvil 解体の論点 ~ ユーロポール・FBI・FSB 連携は快挙なのか? 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

弁護士視点で見た REvil 解体の論点 ~ ユーロポール・FBI・FSB 連携は快挙なのか?

REvilプラットフォームのテイクダウン、グループの解体は、FBIやユーロポール、ロシアFSB、さらに米露政府も異例の国際連携の成果だが、捜査プロセスを細かに調べると不明な部分もあり、課題も残している。

君は怒れるユニコーンを見たか? OSS の脆弱性を一掃しようとした研究者の記録 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

君は怒れるユニコーンを見たか? OSS の脆弱性を一掃しようとした研究者の記録

 彼が考えたのは「体質改善」だ。セキュアでないコード断片をレポジトリから取り除けば、ソフトウェア全体の強化につながる。だが、どうやって? 手作業ではとうてい不可能だ。

データベースに不正アクセス、ダークウェブで売却した IT 管理者 5 年半の実刑判決 画像
国際
The Register
The Register

データベースに不正アクセス、ダークウェブで売却した IT 管理者 5 年半の実刑判決

 裁判記録によると、フーパーは 2018 年 8 月、データベースを運営する匿名の会社にアカウントを開設し、後にそのアカウントから窃盗に及んだという。

今日もどこかで情報漏えい 第17回「2023年9月の情報漏えい」忘れ去られたキャンペーンページ 画像
特集
リーク・東郷
リーク・東郷

今日もどこかで情報漏えい 第17回「2023年9月の情報漏えい」忘れ去られたキャンペーンページ

 筆者の勝手な推測だが、恐らくこれらのページはすでに更新が終わり、誰が管理しているのかもよく分からないまま、長年放置された結果、被害に遭ったのであろう。2020 年に「撤去予定サーバ」からNTTコミュニケーションズ株式会社に不正アクセスが行われた件も想起させる。

サイバーセキュリティ版「賽の河原」? CVE フィード自動化への Airbnb の挑戦 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

サイバーセキュリティ版「賽の河原」? CVE フィード自動化への Airbnb の挑戦

賽の河原とシシュフォスの岩は、背景やメッセージが異なるものの、終わらない作業(戦い)という点は一致している。セキュリティ対策も「いたちごっこ」などと言われ続け、我々は日々終わりのない戦いに挑み続けている。

CISA がソーシャルメディアとの連携を裁判所から禁じられる 画像
国際
The Register
The Register

CISA がソーシャルメディアとの連携を裁判所から禁じられる

 合衆国第 5 巡回区控訴裁判所は、誤報の拡散を抑制する目的でソーシャルメディアと連携してはならない米政府機関のリストに、サイバーセキュリティーインフラセキュリティ庁(CISA)を追加した。

WordPress のプラグイン WooCommerce Payments において検証処理の不備により任意の管理者アカウントの追加が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

WordPress のプラグイン WooCommerce Payments において検証処理の不備により任意の管理者アカウントの追加が可能となる脆弱性(Scan Tech Report)

2023 年 3 月に修正された、WordPress のプラグイン WooCommerce Payments の脆弱性に対するエクスプロイトコードが公開されています。

「民間人サイバー交戦ルール」の指針となるか? 赤十字がハクティビズム法制定 画像
国際
The Register
The Register

「民間人サイバー交戦ルール」の指針となるか? 赤十字がハクティビズム法制定

民間のオンライン攻撃者に適用される全規則は次のとおりである。

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 20
  12. 30
  13. 40
  14. 50
  15. 最後
Page 4 of 63
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×