Scan PREMIUM 会員限定記事(51 ページ目)

Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.5.26 Thu 8:15

Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Apache Struts 2 の Dynamic Method Invocation (DMI) 機能に、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

piyolog Mk-II 第10回「DoS攻撃対策、必要とする人本位で考えて欲しいコト」画像

特集

piyokango

2016.5.24 Tue 8:15

piyolog Mk-II 第10回「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

Anonymousによる攻撃示唆の投稿は合計すると100以上にも及び、障害も似たような件数が発生していたものと考えられますが、それらすべてが報道されていたわけではありません。

サイバー演習によって露呈した大手重要インフラ企業の「弱点」（PwCサイバーサービス）画像

研修・セミナー・カンファレンス

吉澤亨史（ Kouji Yoshizawa ）

2016.5.13 Fri 9:45

サイバー演習によって露呈した大手重要インフラ企業の「弱点」（PwCサイバーサービス）

PwCサイバーサービスは、メディアセミナー「レッドチーム演習が浮き彫りにするセキュリティの盲点」を開催した。

OS X において IOUSBFamily の不備によりサービス不能および高い権限で任意のコードが実行されてしまう脆弱性画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.5.13 Fri 9:15

OS X において IOUSBFamily の不備によりサービス不能および高い権限で任意のコードが実行されてしまう脆弱性

Apple 社の OS である OS X において、USB 機器との接続機能を担うカーネルモジュールである IOUSBFamily に、メモリ処理の不備に起因する脆弱性が報告されています。脆弱性の利用により、メモリ破壊や高い権限でのコード実行が行われる可能性があります。

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(3) （The Register）画像

国際

The Register

2016.5.10 Tue 10:30

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(3) （The Register）

インド、エジプト、アフリカのハッカーたちがグーグル社のバグ発見報奨金の支払いで貧困から脱出している。ムンバイの親たちは息子が弁護士になることを夢見てきたが、経済的解放がバグハンターとしての成功によってもたらされることに気付いた。

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register) 画像

国際

The Register

2016.4.27 Wed 12:55

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register)

保育士夫婦の息子Wakelamがハイスクールから脱出したのは、3年生の終わりだった。両親は、将来を見据えた決断だとして支持した。バグ発見報奨金は儲かる仕事として、また履歴書の穴を埋めるものとして、中退したWakelamに最適だった。

研修・セミナー・カンファレンス

吉澤亨史（ Kouji Yoshizawa ）

2016.4.20 Wed 9:15

デロイト流「なんちゃってCSIRT」再生3つのアプローチ

デロイトトーマツリスクサービスは、サイバーセキュリティセミナー「名ばかりCSIRT処方箋～実効性のあるCSIRT構築手法～」を開催した。

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする（1）（The Register）画像

国際

The Register

2016.4.18 Mon 8:45

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする（1）（The Register）

世界最大手のテクノロジー企業や家電メーカーのセキュリティホールを見つけ出して報告するという、バグ発見報奨ブームに乗った世界中に数百人ほどいる有能なハッカーのうちの1人が彼だ。

OS X および iOS において競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.4.14 Thu 10:45

OS X および iOS において競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性

Apple 社の OS である OS X および iOS に、競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性が報告されています。

ここが変だよ日本のセキュリティ第21回「セキュリティ人材は生き残ることができるか？」画像

特集

2次元殺法コンビ

2016.4.8 Fri 9:58

ここが変だよ日本のセキュリティ第21回「セキュリティ人材は生き残ることができるか？」

今活躍しているセキュリティの有名人たちは、長い目で見ると専門分野を渡り歩いている人が結構いる。考え方が変わるたびに自分を合わせて成長してきている。ポイントは、今軸足を置いている分野の周辺を将来のために学んでみることにある。それは分野だけではない。

Torユーザー、Webサイト運用者による積極的な迫害の対象に～反プライバシーに拍車をかけた責任をCDNに押し付けるべきではないとの調査報告が発表（The Register）画像

国際

ScanNetSecurity

2016.4.5 Tue 8:15

Torユーザー、Webサイト運用者による積極的な迫害の対象に～反プライバシーに拍車をかけた責任をCDNに押し付けるべきではないとの調査報告が発表（The Register）

多くのWebサイトではTorネットワークからのアクセスをブロックしているが、その理由は意図的な場合と、Torネットワークからの不正なトラフィックに警戒している場合が挙げられる。

ルータにおけるセキュリティの失態に対し、連邦機関がASUSに20年間の監査でお仕置き～悪質なベンダーが1社ダウン。次はどこ？（The Register）画像

国際

2016.4.4 Mon 8:15

ルータにおけるセキュリティの失態に対し、連邦機関がASUSに20年間の監査でお仕置き～悪質なベンダーが1社ダウン。次はどこ？（The Register）

ハッカー集団がASUSルータのIPアドレスを走査する無料のツールを用いて、脆弱なキットの一部として12,937件を見つけ、3,131件のAiCloudのアカウントのログイン情報を盗み出してから、これをネット上に投稿した。

特集

2次元殺法コンビ

2016.4.1 Fri 8:27

ここが変だよ日本のセキュリティ第20回「セキュリティ人材の老後問題」

日本を代表するIT企業の本体とかで、セキュリティ事業部門から社長が出たらビックリだろうね。いや、マジでそんなことは起きませんよ、絶対に。だって、セキュリティは会社の利益に大きく貢献することは無い。法務部門が長くて社長になったなんて聞かないのと同じだ。

Microsoft Windows の WebDAV においてメモリ検証不備により権限昇格または DoS 攻撃されてしまう脆弱性画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.3.28 Mon 9:45

Microsoft Windows の WebDAV においてメモリ検証不備により権限昇格または DoS 攻撃されてしまう脆弱性

Microsoft Windows の WebDAV (Web Distributed Authoring and Versioning)
に含まれる脆弱性により、権限昇格や DoS 攻撃が実行可能であることが報告
されています。

セキュリティ犯罪と戦うOperation Blockbuster：Sonyを攻撃したハッカー集団に宣戦布告～解散ならずとも無力化を視野に（The Register）画像

国際

翻訳：ScanNetSecurity

2016.3.22 Tue 8:30

セキュリティ犯罪と戦うOperation Blockbuster：Sonyを攻撃したハッカー集団に宣戦布告～解散ならずとも無力化を視野に（The Register）

Operation Blockbusterは、Lazarus Groupから自衛できるよう、複数のセキュリティベンダーが各社のインテリジェンスやリソースを共有する。共同オペレーションはセキュリティ業界では珍しくもないが、特定グループをターゲットとしたコラボレーションは非常にまれと言える。

CTF開催、SOCオペレータとしてRSA製品を用いインシデントに迫る（EMCジャパン）画像

研修・セミナー・カンファレンス

吉澤亨史（ Kouji Yoshizawa ）

2016.3.16 Wed 8:15

CTF開催、SOCオペレータとしてRSA製品を用いインシデントに迫る（EMCジャパン）

回答者は1人に1台のPCが用意され、仮想の製薬会社のSOCチームとして問題を解いていく。ツールとして、「RSA Security Analytics」や「RSA ECAT」を利用できる。制限時間は2時間。

DNSSECは問題解決よりもトラブルメーカーの名がふさわしい？～セキュリティプロトコルがDDoS攻撃ベクターになると示唆する論文が登場（The Register）画像

国際

ScanNetSecurity

2016.3.15 Tue 10:15

DNSSECは問題解決よりもトラブルメーカーの名がふさわしい？～セキュリティプロトコルがDDoS攻撃ベクターになると示唆する論文が登場（The Register）

ドメイン名システムのための複雑なセキュリティプロトコル、DNSSECが分散型サービス攻撃に利用できるという汚点が新たに指摘された。

米国政府によるiOSの「バックドア」の要求に、アメリカを代表してアップルが異議を申し立てる：我思う（iThink）、故に我暗号化する（iEncrypt）（The Register）画像

国際

2016.3.14 Mon 8:30

米国政府によるiOSの「バックドア」の要求に、アメリカを代表してアップルが異議を申し立てる：我思う（iThink）、故に我暗号化する（iEncrypt）（The Register）

「この点において、当社は法律の認める範囲内で、当社の総力を挙げて対応を行った。しかしながらここで、作成するには危険すぎると当社が考えるものを米国政府が我々に求めている。政府はiPhoneにバックドアを設けるように当社に依頼してきた。」

セキュリティガバナンスとマネジメント、双方を正しく理解した整備が必要（デロイトトーマツ）画像

研修・セミナー・カンファレンス

吉澤亨史（ Kouji Yoshizawa ）

2016.3.11 Fri 8:45

セキュリティガバナンスとマネジメント、双方を正しく理解した整備が必要（デロイトトーマツ）

デロイトトーマツサイバーセキュリティ先端研究所（DT-ARLCS）は、「失敗しないためのセキュリティガバナンス整備」と題した記者向け勉強会を開催した。

判事「Apple は、FBI がサンバーナーディーノ銃乱射事件の犯人の iPhone にアクセスできるように支援せよ」～連邦捜査局は、デバイスを壊すことなくブルートフォースを行いたい（The Register）画像

国際

The Register

2016.3.1 Tue 8:30

判事「Apple は、FBI がサンバーナーディーノ銃乱射事件の犯人の iPhone にアクセスできるように支援せよ」～連邦捜査局は、デバイスを壊すことなくブルートフォースを行いたい（The Register）

カリフォルニア州の中央地方裁判所が Apple に対して「暗号解読」を命じなかった──そのかわりにロック解除のメカニズムを効果的に迂回できるツールを提供することを Apple に求めた──のは、注目すべき重要な点だ。

爆破予告犯が利用していたサーバの運営者、フランスで逮捕されたとの報告～世界的な連続爆破予告事件を受けて捜査の標的となったのは「ログを残さないネットワークサービス」（The Register）画像

国際

2016.2.29 Mon 8:30

爆破予告犯が利用していたサーバの運営者、フランスで逮捕されたとの報告～世界的な連続爆破予告事件を受けて捜査の標的となったのは「ログを残さないネットワークサービス」（The Register）

「Ev4cuati0nSquad」を名乗るグループは先月、英国、米国、オーストラリアなど複数の国の学校に対し、数十件の虚偽の爆破予告を電話で行った。それは学校の閉鎖や、広範囲に渡るパニックを引き起こした。

Scan PREMIUM 会員限定記事(51 ページ目)

Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

サイバー演習によって露呈した大手重要インフラ企業の「弱点」（PwCサイバーサービス）

OS X において IOUSBFamily の不備によりサービス不能および高い権限で任意のコードが実行されてしまう脆弱性

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(3) （The Register）

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register)

デロイト流「なんちゃってCSIRT」再生3つのアプローチ

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり 本誌記者Darren Pauliが幸福な雇われハッカーと親しくする（1）（The Register）

OS X および iOS において競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性

ここが変だよ日本のセキュリティ 第21回「セキュリティ人材は生き残ることができるか？」

Torユーザー、Webサイト運用者による積極的な迫害の対象に～反プライバシーに拍車をかけた責任をCDNに押し付けるべきではないとの調査報告が発表（The Register）

ルータにおけるセキュリティの失態に対し、連邦機関がASUSに20年間の監査でお仕置き～悪質なベンダーが1社ダウン。次はどこ？（The Register）

ここが変だよ日本のセキュリティ 第20回「セキュリティ人材の老後問題」

Microsoft Windows の WebDAV においてメモリ検証不備により権限昇格または DoS 攻撃されてしまう脆弱性

セキュリティ犯罪と戦うOperation Blockbuster：Sonyを攻撃したハッカー 集団に宣戦布告～解散ならずとも無力化を視野に（The Register）

CTF開催、SOCオペレータとしてRSA製品を用いインシデントに迫る（EMCジャパン）

DNSSECは問題解決よりもトラブルメーカーの名がふさわしい？ ～ セキュリティプロトコルがDDoS攻撃ベクターになると示唆する論文が登場（The Register）

米国政府によるiOSの「バックドア」の要求に、アメリカを代表してアップルが異議を申し立てる：我思う（iThink）、故に我暗号化する（iEncrypt） （The Register）

セキュリティガバナンスとマネジメント、双方を正しく理解した整備が必要（デロイト トーマツ）

判事「Apple は、FBI がサンバーナーディーノ銃乱射事件の犯人の iPhone にアクセスできるように支援せよ」～連邦捜査局は、デバイスを壊すことなくブルートフォースを行いたい（The Register）

爆破予告犯が利用していたサーバの運営者、フランスで逮捕されたとの報告～世界的な連続爆破予告事件を受けて捜査の標的となったのは「ログを残さないネットワークサービス」（The Register）

piyolog Mk-II 第10回「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(3) （The Register）

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register)

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする（1）（The Register）

ここが変だよ日本のセキュリティ第21回「セキュリティ人材は生き残ることができるか？」

ここが変だよ日本のセキュリティ第20回「セキュリティ人材の老後問題」

セキュリティ犯罪と戦うOperation Blockbuster：Sonyを攻撃したハッカー集団に宣戦布告～解散ならずとも無力化を視野に（The Register）

DNSSECは問題解決よりもトラブルメーカーの名がふさわしい？～セキュリティプロトコルがDDoS攻撃ベクターになると示唆する論文が登場（The Register）

米国政府によるiOSの「バックドア」の要求に、アメリカを代表してアップルが異議を申し立てる：我思う（iThink）、故に我暗号化する（iEncrypt）（The Register）

セキュリティガバナンスとマネジメント、双方を正しく理解した整備が必要（デロイトトーマツ）