Scan PREMIUM 会員限定記事(5 ページ目) | ScanNetSecurity
2024.06.25(火)

Scan PREMIUM 会員限定記事(5 ページ目)

OSINT でサプライチェーンを守る 5 つのポイント ~ 日本ハッカー協会 杉浦氏 講演 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

OSINT でサプライチェーンを守る 5 つのポイント ~ 日本ハッカー協会 杉浦氏 講演

 では、具体的に何を OSINT で発見すればいいのか。杉浦氏は次の 5 項目を挙げた。どれも攻撃者視点で考えられていることに注目してほしい。攻撃者は何を考えているのか。どこを狙ってくるのか。そのうえで攻撃に必要な情報はなにか。彼らはその情報を調べるはずだ。

脅威アクターインタビュー/「五毒」を標的に/ネットワーク機器も監視対象に ほか [Scan PREMIUM Monthly Executive Summary 2023年9月度] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

脅威アクターインタビュー/「五毒」を標的に/ネットワーク機器も監視対象に ほか [Scan PREMIUM Monthly Executive Summary 2023年9月度]

Volexity 社が EvilBamboo として追跡する脅威アクターが、モバイルデバイスを標的としたマルウェアを悪用し、中国が国内の脅威とする「五毒」を標的としている可能性を指摘しています。

Ghostscript においてパイプ処理の検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Ghostscript においてパイプ処理の検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)

2023 年 6 月に修正された Ghostscript の脆弱性を悪用するエクスプロイトコードが公開されています。

Active Directory のリスク数値化モデル 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

Active Directory のリスク数値化モデル

 2022 年開催の CODE BLUE にて Active Directory のリスクを数値化する講演が行われた。考案し発表したのは台湾の txOne Network の Mars Cheng 氏と Dexter Chen 氏。

コナンドイルにあやまれ ~ 合法な広告インフラ活用し感染 最凶スパイウェア「Sherlock」 画像
国際
The Register
The Register

コナンドイルにあやまれ ~ 合法な広告インフラ活用し感染 最凶スパイウェア「Sherlock」

 Sherlock はオンラインメディア等が愛用する合法的データ収集およびデジタル広告技術を使って、標的にするよう設計されている。NSOグループの「Pegasus」、あるいは Cytrox の「Predator」や「Alien」など、他社のスパイウェアは標的がもっと絞られている傾向がある。

今日もどこかで情報漏えい 第16回「2023年8月の情報漏えい」クレディセゾン 誰一人取り残さない対応 画像
特集
高杉 世界(Sekai Takasugi)
高杉 世界(Sekai Takasugi)

今日もどこかで情報漏えい 第16回「2023年8月の情報漏えい」クレディセゾン 誰一人取り残さない対応

 今日もどこかで情報漏えいは起きている。

豪規制当局が警告「サイバーセキュリティは完全に経営陣の責務」 画像
国際
The Register
The Register

豪規制当局が警告「サイバーセキュリティは完全に経営陣の責務」

 これは重大な宣告である。オーストラリアでは、経営陣が職務を遂行しなかった場合、取締会メンバーが損失の責任を負ったり、民事罰や刑事罰の対象となる可能性があるのだ。

systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report)

2023 年 8 月に、Linux OS で標準のサービス管理ツールである systemd において、権限昇格が可能となる脆弱性が公開されています。

国連サイバー犯罪条約が「グローバル監視協定」になる危険性 画像
国際
The Register
The Register

国連サイバー犯罪条約が「グローバル監視協定」になる危険性

 人権派弁護士キャリー・シェンクマン氏によれば、草案のあいまいな文言により、国家がサイバー犯罪関連法を利用して LGBTQ+ の人々、特にトランスジェンダーの若者を犯罪者に仕立てることが容易になっているという。

デロイト直伝:バグバウンティハンターのなり方 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

デロイト直伝:バグバウンティハンターのなり方

バグバウンティ。業界では知らない人は少ないほど認知されている言葉だが、高度化するソフトウェア開発において、市井の力、多数の目を活用する「ソーシャルデバッグ」は、今後ニーズは高まることはあっても廃れることはないだろう。

ゲームハッキングでバンされた青年がバグハンターに、そしてセキュリティ研究者へ ~ キャメロン・ヴィンセント 画像
国際
谷崎 朋子
谷崎 朋子

ゲームハッキングでバンされた青年がバグハンターに、そしてセキュリティ研究者へ ~ キャメロン・ヴィンセント

 2018 年、ヴィンセントは伝説級の脆弱性を発見する。G Suiteの組織部門のスーパー管理者権限を奪取できる脆弱性だ。詳細は Google が主催するバグ報奨金プログラムにて報告。ヴィンセントにセキュリティ業界の目が一気に注がれた。

「オプトアウト方法がわかりづらい」メール送信 罰金 65 万ドル 画像
国際
The Register
The Register

「オプトアウト方法がわかりづらい」メール送信 罰金 65 万ドル

 Experian は、人々にオプトアウトの選択肢を提供せずにスパムを送信したとして告発された後、65 万ドルを支払うことに同意した。

ホームラン級情報流出 請負業者から/Github 共同作業通じ標的端末侵害/米 CISA セキュリティ戦略 2024-2026 公表 ほか [Scan PREMIUM Monthly Executive Summary 2023年8月度] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

ホームラン級情報流出 請負業者から/Github 共同作業通じ標的端末侵害/米 CISA セキュリティ戦略 2024-2026 公表 ほか [Scan PREMIUM Monthly Executive Summary 2023年8月度]

今月は、社会情勢に紐付いた攻撃が多く見られました。これは、米韓や米台の軍事演習のタイミングにおいても観測されており、その標的には日本も含まれているとみられます。

RocketMQ において権限の検証不備によりネームサーバに任意のファイルが作成可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

RocketMQ において権限の検証不備によりネームサーバに任意のファイルが作成可能となる脆弱性(Scan Tech Report)

2023 年 7 月に、データ処理ソフトウェアである RocketMQ に、ネームサーバ上に任意のファイルが作成可能となる脆弱性が報告されています。

香港政府 SEO に尽力「民主化運動の歌の検索順位を下げろ」要求が Google に却下され 画像
国際
The Register
The Register

香港政府 SEO に尽力「民主化運動の歌の検索順位を下げろ」要求が Google に却下され

 問題の曲「香港に栄光あれ」は、2019 年、香港住民の中国への身柄引き渡しを認める法律に反対して抗議デモが繰り広げられていた時期に生まれたもので、香港の解放、自由を求める闘いに対する団結を訴える曲である。

今日もどこかで情報漏えい 第15回「2023年7月の情報漏えい」全件調査 新潟県品質 画像
特集
高杉 世界(Sekai Takasugi)
高杉 世界(Sekai Takasugi)

今日もどこかで情報漏えい 第15回「2023年7月の情報漏えい」全件調査 新潟県品質

 今日もどこかで情報漏えいは起きている。

CISO必読 ランサムウェア対応「七戒」~ ガートナー講演 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

CISO必読 ランサムウェア対応「七戒」~ ガートナー講演

ランサムウェア攻撃への対策ポイントは何か? ガートナー シニアディレクター ウェイン・ハンキンス氏は「期待している話と少し違うかもしれないが、これから話すポイントは世界中の企業が実践している項目でもある」と前置きし、必要な7つのポイントについて講演を始めた。

Oferlayfs ファイルシステムにおいて異なるマウント間でのファイルマッピング不備により権限昇格が可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Oferlayfs ファイルシステムにおいて異なるマウント間でのファイルマッピング不備により権限昇格が可能となる脆弱性(Scan Tech Report)

2023 年 1 月に修正された、Linux OS に広く採用されているファイルシステムの脆弱性を悪用するエクスプロイトコードが公開されています。

福島第一原発の処理水海洋放出 抗議のサイバー攻撃 画像
国際
The Register
The Register

福島第一原発の処理水海洋放出 抗議のサイバー攻撃

 水で原子炉を冷却すると、その水には 64 種類の放射性元素が混入する。これらの放射性元素の半減期は、一瞬のものから、炭素 14 など 5,000 年にのぼるものまでさまざまだ。

今日もどこかで情報漏えい 第14回「野球場予約システムハッキング」 画像
特集
高杉 世界(Sekai Takasugi)
高杉 世界(Sekai Takasugi)

今日もどこかで情報漏えい 第14回「野球場予約システムハッキング」

 今日もどこかで情報漏えいは起きている。

監視カメラのハイクビジョン、「ウイグル族識別技術」で中国政府と契約 ~  NVIDIA 「中古製品の二次販売規制は不可能」 画像
国際
The Register
The Register

監視カメラのハイクビジョン、「ウイグル族識別技術」で中国政府と契約 ~ NVIDIA 「中古製品の二次販売規制は不可能」

 広報担当者は取材に対し「当社はこのプロジェクトに参加しておらず、当社顧客による製品供与も把握していません」と述べ「中古 GPU の二次販売を規制するのは当社では対応できません」と付け加えた。

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 20
  12. 30
  13. 40
  14. 50
  15. 最後
Page 5 of 63
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×