Scan PREMIUM 会員限定記事(45 ページ目) | ScanNetSecurity
2024.07.24(水)

Scan PREMIUM 会員限定記事(45 ページ目)

ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」 画像
特集
2次元殺法コンビ
2次元殺法コンビ

ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」

佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る (The Register) 画像
国際
The Register
The Register

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る (The Register)

マーティン氏は「最も攻撃的な脅威と闘い、これを抑止できる、合法的かつ慎重な管理が行われた攻撃型サイバー機能の開発」の必要性を訴えた。積極的サイバー防衛とは、アメリカの言葉を借りるならば、攻撃を妨害するために攻撃者に対してハッキングし返すことを意味する。

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

世界的に大きなシェアを誇る CMS である Drupal において、作成したソースコードが Drupal で定められた標準と整合性が取れているかを確認するためのモジュールである Coder に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合 画像
研修・セミナー・カンファレンス
中尾 真二
中尾 真二

企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

 「ガートナーセキュリティ&リスク・マネジメントサミット 2016」でリクルートテクノロジース 鴨志田明輝氏が行ったセミナーで、リクルートグループでCSIRTを構築した経緯や手順、運営方法などが紹介された。

KPMG のサイバーセキュリティ経営 (2) 情報システム部門が社長の疑問に答えるためには 画像
特集
KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリーサービス ディレクター 小川 真毅
KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリーサービス ディレクター 小川 真毅

KPMG のサイバーセキュリティ経営 (2) 情報システム部門が社長の疑問に答えるためには

後藤信二 氏(仮名)は精密機器製造・販売企業のセキュリティ責任者だ。先日CEOから経営会議直後に突然呼び出され、矢継ぎ早に質問を投げかけられた。後藤氏は勢いに押されて即答できず、少し時間をもらうよう乞うて、セキュリティ部門のメンバーを集めた。

ここが変だよ日本のセキュリティ 第24回「毎年恒例、台湾HITCON突撃レポート」 画像
特集
2次元殺法コンビ
2次元殺法コンビ

ここが変だよ日本のセキュリティ 第24回「毎年恒例、台湾HITCON突撃レポート」

医療セキュリティ分野では昨年と同様にインドのPhilips社から、Swaroop Yermalkar氏の講演があった。さすがに医療分野でセンシティブな内容のため、撮影、スライドともに非公開だ。しかしその内容から日本の医療も同様の課題を抱えていることが分かった。

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report)

Microsoft の Web ブラウザである Internet Explorer に用いられているスクリプトエンジンに、オブジェクト処理の不備に起因する、メモリ破壊と遠隔からの任意のコード実行の脆弱性が報告されています。

「サイバー戦争論 : ナショナルセキュリティの現在」 伊東 寛 (ブックレビュー) 画像
調査・レポート・白書・ガイドライン
一田 和樹
一田 和樹

「サイバー戦争論 : ナショナルセキュリティの現在」 伊東 寛 (ブックレビュー)

もうひとつ書いておかなければならないことがある。書評からは離れるが、本書にはひとつ致命的な問題がある。

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

MySQL を Web コンソールから管理するためのツールである phpMyAdmin に、遠隔から任意のコードが実行となる脆弱性が報告されています。

KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは 画像
特集
KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリーサービス ディレクター 小川 真毅
KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリーサービス ディレクター 小川 真毅

KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

「中村悠一氏は港区に本社を構える精密機器製造・販売企業のCEOだ。従業員は8,000名、国内だけでなく海外にも多数の販売・生産拠点を持ち、東証に上場して以来黒字経営を続けている。先日のグループ経営会議で頭を悩ませる報告を受けた」

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

世界的に大きなシェアを誇る CMS である Drupal で REST API を用いるために広く利用されているモジュールである RESTWS モジュールに、値検証不備に起因する、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑 ~ 上司の叱責が発端(The Register) 画像
国際
The Register
The Register

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑 ~ 上司の叱責が発端(The Register)

「個人的な恨みはないが、上級管理職の者たちは、部下を虐待し続けたらどういう目にあうか知る必要がある。私はチームのためにやったのだ。同僚の皆まで悪く見られてしまうことになったら申し訳ない」

Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法 画像
研修・セミナー・カンファレンス
上野 宣
上野 宣

Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

カンファレンスというイメージを持っているかもしれないが、実はそれだけではない。会場の半分以上はイベント会場になっているのだ。さまざまなワークショップや CTF、物販やカラオケなんかもある。ワークショップはその場で飛び入りで参加できるものがほとんどだ。

[インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings 画像
研修・セミナー・カンファレンス
高橋 潤哉( Junya Takahashi )
高橋 潤哉( Junya Takahashi )

[インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

「それよりも、地に足の着いた投稿の方がよっぽど信頼できて面白いと思います。『Network Defense』と『Malware』のカテゴリは、いずれも、ただ「解析してみました」、ただ「作ってみました」ぐらいのレベルでは基本的に通りません。」

サイバー犯罪は経営に直結するリスク、全社横断で対応…発想の転換 画像
研修・セミナー・カンファレンス
中尾 真二
中尾 真二

サイバー犯罪は経営に直結するリスク、全社横断で対応…発想の転換

 新日本有限責任監査法人 杉山一郎氏は、ガートナー セキュリティ&リスク・マネジメントサミット2016において、サイバー犯罪に対する企業の考え方、発想を転換すべきと訴える。

Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

Web アプリケーションフレームワークである Ruby on Rails において、動的なコンテンツ呼び出しに利用される Render メソッドの値検証不備に起因する遠隔コード実行の脆弱性が報告されています

サンドボックスのログ監視、自社でするか外部にまかせるか? ~西鉄情報システムの事例から 画像
研修・セミナー・カンファレンス
中尾 真二
中尾 真二

サンドボックスのログ監視、自社でするか外部にまかせるか? ~西鉄情報システムの事例から

2011年あたりから標的型攻撃による大企業の被害が問題化した。2012年に社内ネットワークを調査したところ、未知のマルウェアが検出されるなど「やはり」という結果になった。そして2013年7月にはついにWebサイトが改ざんされるというインシデントが発生。

GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性(Scan Tech Report)

ファイルのダウンロードなどを行うために利用されるコマンドである Wget において、ファイル名検証不備により意図していないファイルをダウンロードさせられてしまう脆弱性が報告されています。

欧州連合(EU)がサイバー セキュリティに1.8億ユーロ投資する ~ 英国はこの投資を欲しがる?貰える?おそらく…(2)(The Register) 画像
国際
The Register
The Register

欧州連合(EU)がサイバー セキュリティに1.8億ユーロ投資する ~ 英国はこの投資を欲しがる?貰える?おそらく…(2)(The Register)

ヨーロッパの官僚は、サイバーセキュリティ分野の中小企業への融資を緩和したいと考えている。おそらく、政府と民間企業の密接な協力が一般となっているイスラエルでの、サイバーセキュリティ新企業の成功を模倣することを眼中に入れているのであろう。

欧州連合(EU)がサイバー セキュリティに1.8億ユーロ投資する ~ 英国はこの投資を欲しがる?貰える?おそらく…(1)(The Register) 画像
国際
The Register
The Register

欧州連合(EU)がサイバー セキュリティに1.8億ユーロ投資する ~ 英国はこの投資を欲しがる?貰える?おそらく…(1)(The Register)

欧州委員会はサイバー セキュリティに2020年までに1.8億ユーロ(2億ドル)を投資することを目的に官民パートナーシップを開始した。EU自体はサイバー セキュリティの革新を目指して4.5億ユーロ(5.02億ドル)の投資を約束し、残りは民間から投資されるという。

Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

Apache ソフトウェア財団による Web アプリケーション開発フレームワークで
ある Struts のバージョン 2 系に、REST プラグインに含まれる実装不備を利
用して任意のコードが実行可能となる脆弱性が報告されています。

  1. 先頭
  2. 10
  3. 20
  4. 30
  5. 40
  6. 41
  7. 42
  8. 43
  9. 44
  10. 45
  11. 46
  12. 47
  13. 48
  14. 49
  15. 50
  16. 60
  17. 最後
Page 45 of 64
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×