ScanNetSecurity 会員限定記事(54 ページ目)

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」画像

特集

2次元殺法コンビ

2016.10.7 Fri 8:15

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」

佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）画像

国際

The Register誌特約記事

2016.10.3 Mon 8:15

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）

マーティン氏は「最も攻撃的な脅威と闘い、これを抑止できる、合法的かつ慎重な管理が行われた攻撃型サイバー機能の開発」の必要性を訴えた。積極的サイバー防衛とは、アメリカの言葉を借りるならば、攻撃を妨害するために攻撃者に対してハッキングし返すことを意味する。

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.9.28 Wed 10:02

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

世界的に大きなシェアを誇る CMS である Drupal において、作成したソースコードが Drupal で定められた標準と整合性が取れているかを確認するためのモジュールである Coder に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

企業内 CSIRT 構築の勘所、内製？ or 外製？…RECRUIT-CSIRTの場合画像

研修・セミナー・カンファレンス

中尾真二

2016.9.16 Fri 8:15

企業内 CSIRT 構築の勘所、内製？ or 外製？…RECRUIT-CSIRTの場合

　「ガートナーセキュリティ＆リスク・マネジメントサミット 2016」でリクルートテクノロジース鴨志田明輝氏が行ったセミナーで、リクルートグループでCSIRTを構築した経緯や手順、運営方法などが紹介された。

KPMG のサイバーセキュリティ経営 (2) 情報システム部門が社長の疑問に答えるためには画像

特集

KPMGコンサルティング株式会社サイバーセキュリティアドバイザリーサービスディレクター小川真毅

2016.9.15 Thu 8:15

KPMG のサイバーセキュリティ経営 (2) 情報システム部門が社長の疑問に答えるためには

後藤信二氏（仮名）は精密機器製造・販売企業のセキュリティ責任者だ。先日CEOから経営会議直後に突然呼び出され、矢継ぎ早に質問を投げかけられた。後藤氏は勢いに押されて即答できず、少し時間をもらうよう乞うて、セキュリティ部門のメンバーを集めた。

ここが変だよ日本のセキュリティ第24回「毎年恒例、台湾HITCON突撃レポート」画像

特集

2次元殺法コンビ

2016.9.12 Mon 8:15

ここが変だよ日本のセキュリティ第24回「毎年恒例、台湾HITCON突撃レポート」

医療セキュリティ分野では昨年と同様にインドのPhilips社から、Swaroop Yermalkar氏の講演があった。さすがに医療分野でセンシティブな内容のため、撮影、スライドともに非公開だ。しかしその内容から日本の医療も同様の課題を抱えていることが分かった。

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report) 画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.9.11 Sun 18:15

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report)

Microsoft の Web ブラウザである Internet Explorer に用いられているスクリプトエンジンに、オブジェクト処理の不備に起因する、メモリ破壊と遠隔からの任意のコード実行の脆弱性が報告されています。

「サイバー戦争論 : ナショナルセキュリティの現在」伊東寛 (ブックレビュー) 画像

調査・レポート・白書・ガイドライン

一田和樹

2016.9.9 Fri 8:15

「サイバー戦争論 : ナショナルセキュリティの現在」伊東寛 (ブックレビュー)

もうひとつ書いておかなければならないことがある。書評からは離れるが、本書にはひとつ致命的な問題がある。

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.8.29 Mon 9:45

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

MySQL を Web コンソールから管理するためのツールである phpMyAdmin に、遠隔から任意のコードが実行となる脆弱性が報告されています。

特集

KPMGコンサルティング株式会社サイバーセキュリティアドバイザリーサービスディレクター小川真毅

2016.8.22 Mon 8:15

KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

「中村悠一氏は港区に本社を構える精密機器製造・販売企業のCEOだ。従業員は8,000名、国内だけでなく海外にも多数の販売・生産拠点を持ち、東証に上場して以来黒字経営を続けている。先日のグループ経営会議で頭を悩ませる報告を受けた」

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.8.18 Thu 8:15

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

世界的に大きなシェアを誇る CMS である Drupal で REST API を用いるために広く利用されているモジュールである RESTWS モジュールに、値検証不備に起因する、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑～上司の叱責が発端（The Register）画像

国際

The Register誌特約記事

2016.8.17 Wed 10:36

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑～上司の叱責が発端（The Register）

「個人的な恨みはないが、上級管理職の者たちは、部下を虐待し続けたらどういう目にあうか知る必要がある。私はチームのためにやったのだ。同僚の皆まで悪く見られてしまうことになったら申し訳ない」

Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法画像

研修・セミナー・カンファレンス

上野宣

2016.8.10 Wed 18:45

Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

カンファレンスというイメージを持っているかもしれないが、実はそれだけではない。会場の半分以上はイベント会場になっているのだ。さまざまなワークショップや CTF、物販やカラオケなんかもある。ワークショップはその場で飛び入りで参加できるものがほとんどだ。

[インタビュー] 鵜飼裕司今年の Black Hat USA 2016 注目 Briefings 画像

研修・セミナー・カンファレンス

高橋潤哉（ Junya Takahashi ）

2016.8.3 Wed 8:15

[インタビュー] 鵜飼裕司今年の Black Hat USA 2016 注目 Briefings

「それよりも、地に足の着いた投稿の方がよっぽど信頼できて面白いと思います。『Network Defense』と『Malware』のカテゴリは、いずれも、ただ「解析してみました」、ただ「作ってみました」ぐらいのレベルでは基本的に通りません。」

研修・セミナー・カンファレンス

中尾真二

2016.7.28 Thu 8:15

サイバー犯罪は経営に直結するリスク、全社横断で対応…発想の転換

　新日本有限責任監査法人杉山一郎氏は、ガートナーセキュリティ＆リスク・マネジメントサミット2016において、サイバー犯罪に対する企業の考え方、発想を転換すべきと訴える。

Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.7.26 Tue 7:18

Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Web アプリケーションフレームワークである Ruby on Rails において、動的なコンテンツ呼び出しに利用される Render メソッドの値検証不備に起因する遠隔コード実行の脆弱性が報告されています

サンドボックスのログ監視、自社でするか外部にまかせるか？～西鉄情報システムの事例から画像

研修・セミナー・カンファレンス

中尾真二

2016.7.22 Fri 8:15

サンドボックスのログ監視、自社でするか外部にまかせるか？～西鉄情報システムの事例から

2011年あたりから標的型攻撃による大企業の被害が問題化した。2012年に社内ネットワークを調査したところ、未知のマルウェアが検出されるなど「やはり」という結果になった。そして2013年7月にはついにWebサイトが改ざんされるというインシデントが発生。

GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.7.13 Wed 8:45

GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性（Scan Tech Report）

ファイルのダウンロードなどを行うために利用されるコマンドである Wget において、ファイル名検証不備により意図していないファイルをダウンロードさせられてしまう脆弱性が報告されています。

欧州連合（EU）がサイバーセキュリティに1.8億ユーロ投資する～英国はこの投資を欲しがる？貰える？おそらく…（2）（The Register）画像

国際

The Register

2016.7.7 Thu 16:22

欧州連合（EU）がサイバーセキュリティに1.8億ユーロ投資する～英国はこの投資を欲しがる？貰える？おそらく…（2）（The Register）

ヨーロッパの官僚は、サイバーセキュリティ分野の中小企業への融資を緩和したいと考えている。おそらく、政府と民間企業の密接な協力が一般となっているイスラエルでの、サイバーセキュリティ新企業の成功を模倣することを眼中に入れているのであろう。

欧州連合（EU）がサイバーセキュリティに1.8億ユーロ投資する～英国はこの投資を欲しがる？貰える？おそらく…（1）（The Register）画像

国際

The Register

2016.7.7 Thu 10:45

欧州連合（EU）がサイバーセキュリティに1.8億ユーロ投資する～英国はこの投資を欲しがる？貰える？おそらく…（1）（The Register）

欧州委員会はサイバーセキュリティに2020年までに1.8億ユーロ（2億ドル）を投資することを目的に官民パートナーシップを開始した。EU自体はサイバーセキュリティの革新を目指して4.5億ユーロ（5.02億ドル）の投資を約束し、残りは民間から投資されるという。

Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2016.6.23 Thu 10:37

Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Apache ソフトウェア財団による Web アプリケーション開発フレームワークで
ある Struts のバージョン 2 系に、REST プラグインに含まれる実装不備を利
用して任意のコードが実行可能となる脆弱性が報告されています。

ScanNetSecurity 会員限定記事(54 ページ目)

ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ？」

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る （The Register）

Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

企業内 CSIRT 構築の勘所、内製？ or 外製？…RECRUIT-CSIRTの場合

KPMG のサイバーセキュリティ経営 (2) 情報システム部門が社長の疑問に答えるためには

ここが変だよ日本のセキュリティ 第24回「毎年恒例、台湾HITCON突撃レポート」

Microsoft Internet Explorer の JScript および VBScript エンジンにおけるオブジェクト処理の不備に起因する遠隔コード実行の脆弱性(Scan Tech Report)

「サイバー戦争論 : ナショナルセキュリティの現在」 伊東 寛 (ブックレビュー)

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑 ～ 上司の叱責が発端（The Register）

Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

[インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

サイバー犯罪は経営に直結するリスク、全社横断で対応…発想の転換

Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

サンドボックスのログ監視、自社でするか外部にまかせるか？ ～西鉄情報システムの事例から

GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性（Scan Tech Report）

欧州連合（EU）がサイバー セキュリティに1.8億ユーロ投資する ～ 英国はこの投資を欲しがる？貰える？おそらく…（2）（The Register）

欧州連合（EU）がサイバー セキュリティに1.8億ユーロ投資する ～ 英国はこの投資を欲しがる？貰える？おそらく…（1）（The Register）

Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report）

ここが変だよ日本のセキュリティ第25回「天才少年ハッカーって言い方はどうよ？」

英国立サイバーセキュリティセンター「積極的」防衛路線に舵を切る（The Register）

ここが変だよ日本のセキュリティ第24回「毎年恒例、台湾HITCON突撃レポート」

「サイバー戦争論 : ナショナルセキュリティの現在」伊東寛 (ブックレビュー)

Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑～上司の叱責が発端（The Register）

[インタビュー] 鵜飼裕司今年の Black Hat USA 2016 注目 Briefings

サンドボックスのログ監視、自社でするか外部にまかせるか？～西鉄情報システムの事例から

欧州連合（EU）がサイバーセキュリティに1.8億ユーロ投資する～英国はこの投資を欲しがる？貰える？おそらく…（2）（The Register）

欧州連合（EU）がサイバーセキュリティに1.8億ユーロ投資する～英国はこの投資を欲しがる？貰える？おそらく…（1）（The Register）