iOS/Android機器に影響、Broadcom製Wi-Fiチップの脆弱性「Broadpwn」
Exodus Intelligenceの研究員Nitay Artenstein氏は、広く普及しているBroadcomのWi-Fiチップセットに脆弱性があることを発見し、ラスベガスで開催された「Black Hat」カンファレンスで米国時間7月27日、調査結果を発表した。 この脆弱性を利用すると、ハッカーはWi-Fiを通じてリモートで携帯電話を乗っ取り、クラッシュさせることができる。ハッカーが無線を通じて攻撃するためには、ユーザーの携帯電話のWi-Fi到達範囲内に入りさえすればいい。Artenstein氏によると、ユーザー側がWi-Fiに接続している必要はなく、Wi-Fiを有効にしているだけで攻撃を受けるという。 この脆弱性に対するパッチは多くの端末に適用されているが、特に古い機種では、まだ多くの端末が脆弱なままに置かれている。 脆弱性が見つかったのは「BCM4354」「BCM4358」「BC
またもStruts2で漏洩、ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害
ぴあは2017年4月25日、同社が運営を受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトから最大約15万5000件の個人情報が流出した可能性があると発表した。原因は同サイトに使っている「Apache Struts2」の脆弱性。約3万2000件のクレジットカード情報も含まれるという。 不正アクセスを受けたのはB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。B.LEAGUEチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトが、ぴあの発注を受けて構築したという。情報流出の原因になったのはJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性。これらのサイトがStruts2を使用していた。 同年3月10日、Struts2の脆弱性を情報処理推進機構(IPA)が公表した。ただぴあは当初、B.LEAG
無線LAN機器、出荷停止 サイバー攻撃に悪用の恐れ:朝日新聞デジタル
ネットにつながる家電など「IoT」機器を経由した新手のサイバー攻撃に悪用される恐れがあるとして、パソコン周辺機器メーカーのプリンストン(東京)は20日までに、同社の無線LAN製品の出荷を停止した。21日午後にも発表する。 出荷を停止したのは「ワイヤレスモバイルストレージ デジ蔵」。有線LANを無線で使えるようにしたり、スマホのデータを保存できたりする機能がある。2014年4月に発売され、国内全体で約1万5千台出荷されているという。出荷済み製品の利用者に対しては、感染を防ぐ修正プログラムを配布するまでネットに直接つながないよう呼びかける。 サイバーセキュリティーに詳しい横浜国立大大学院の吉岡克成准教授らの調査で判明し、朝日新聞社を通じて同社に調査結果を伝えたところ、同社でも感染リスクを確認したという。 新手の攻撃は、パソコンなどに…
Netgearのルータに脆弱性、米CERT/CCが当面の使用停止を勧告【更新】
Netgearのルータに攻撃者が任意のコマンドを挿入できてしまう深刻な脆弱性が見つかった。この問題を突くコードも公開されているといい、米カーネギーメロン大学のCERT/CCでは、できればパッチが公開されるまで使用を停止するよう呼び掛けている。 CERT/CCが12月9日に公開したセキュリティ情報によると、脆弱性は「Netgear R7000」と「R6400」で確認されていて、他のモデルも影響を受ける可能性がある。 悪用された場合、細工を施したWebサイトをユーザーに閲覧させることにより、リモートの攻撃者が脆弱性のあるルータ上で任意のコマンドをroot権限で実行できてしまう恐れがある。LANベースでも直接的なリクエスト使って同様の攻撃が可能とされる。 危険度は共通脆弱性評価システム(CVSS)のベーススコアで9.3(最大値は10.0)。12月9日の時点でこの問題を解決する現実的な方法は存在し
Kaspersky製品に脆弱性、セキュリティソフト利用のサイバー攻撃に警鐘
今回見つかったような脆弱性についてTalosでは、「ウイルス対策ソフトウェアは低いレベルの特権で実行されていることから攻撃者にとっては非常に興味深い。セキュリティシステムは攻撃の一部に利用される可能性があることを認識し、常にパッチを当てておく必要がある」と指摘している。 関連記事 ネット売り出しの攻撃ツールにCisco製品の脆弱性、悪用を確認 NSAの関与が噂される「Equation Group」から流出させたというハッキングツールが売りに出された問題で、Ciscoのファイアウォールの脆弱性を突くコードが含まれていたことを同社が確認した。 米政府関与説の攻撃ツール、Juniperのファイアウォールも標的に NSAの関与が指摘される「Equation Group」からハッキングツールが流出したとされる問題で、Juniper Networksのファイアウォールも標的にされていたことが判明した。
8社のワイヤレスキーボードに「KeySniffer」脆弱性、入力内容が筒抜けに
大手を含む8社の低価格ワイヤレスキーボードに、入力した内容を攻撃者が全て平文で傍受できてしまう脆弱性が見つかった。 モノのインターネット(IoT)のセキュリティ対策を手掛ける新興企業Bastilleは7月26日、大手メーカーの低価格なワイヤレスキーボードに、入力した内容を攻撃者が全て平文で傍受できてしまう脆弱性が見つかったと発表した。 Bastilleはこの脆弱性を「KeySniffer」と命名。メーカー12社のキーボードをテストした結果、Hewlett-Packard(HP)や東芝などを含む8社のキーボードにこの脆弱性が見つかったとしている。影響を受ける製品の一覧も公開した。 攻撃者がこの問題を悪用すれば、キーボードに入力された内容を最大で70メートルほど離れた距離から平文で傍受できてしまうという。クレジットカード番号や銀行口座のユーザー名とパスワード、ネットワークアクセス用のパスワード
ThinkPadのファームウェアに深刻な脆弱性、HPにも影響か
この問題に関連して別の研究者は、HPのノートPC「Pavilion」のファームウェアにもLenovoと同じ問題が存在すると報告。原因は台湾のGigabyte Technologyが製造したマザーボードのファームウェアにあるという情報も伝えられている。 関連記事 Lenovoのプリインストールアプリに重大な脆弱性、アンインストール呼び掛け セキュリティ企業に重大な脆弱性を指摘されたことを受け、プリインストールアプリのアンインストールを促した。 主要PCメーカーの更新ツール全てに深刻な脆弱性 Duo Securityによると、主要OEM各社がPCにプリインストールしている更新ツール全てに危険度の高い脆弱性が見つかった。 Lenovoのファイル共有アプリに脆弱性、「12345678」のパスワードをハードコード Windows版のSHAREitでは、Wi-Fiホットスポットに「12345678」と
Symantecのウイルス対策基幹部分に深刻な脆弱性、法人・個人全てに影響
脆弱性は「Symantec Endpoint Protection」など法人向け製品と、「Norton」シリーズなどコンシューマー向けの製品すべてが影響を受け、ユーザーが何も操作しなくても悪用される恐れがある。 米Googleの研究者が6月28日、Symantecのセキュリティ製品に多数の深刻な脆弱性を発見したとして、ブログで詳細を公表した。Symantecは同日、この問題を修正するため各製品向けのアップデートを公開し、できるだけ早く適用するようユーザーに呼びかけている。 Googleの「Project Zero」のブログによると、脆弱性はSymantecのウイルス対策製品に共通するコアエンジンに存在することから、全プラットフォーム向けの「Symantec Endpoint Protection」など法人向け製品と、「Norton」シリーズなどコンシューマー向けの製品すべてが影響を受ける。
WordPressプラグインの脆弱性を突く攻撃横行、更新版で対処
Webサイトのポルノスパム感染被害が5月末ごろから急増している。WordPressのモバイル対応プラグイン「WP Mobile Detector」の未解決の脆弱性が悪用されていたことが分かった。 Webサイトのモバイル対応に使われるWordPress向けプラグイン「WP Mobile Detector」の脆弱性を突く攻撃が横行していたことが分かり、この問題を修正する更新版が6月2日に公開された。 セキュリティ企業Sucuriの2日付ブログによると、Webサイトのポルノスパムの感染被害が5月末ごろから急増し、原因を調べたところ、被害に遭ったWebサイトはいずれもWP Mobile Detectorを使っていたことが判明した。同プラグインに任意のファイルをアップロードできてしまう脆弱性があることが分かった。 脆弱性は、信頼できないソースからの入力内容を検証できていなかったことに起因する。「al
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開
米カーネギーメロン大学のCERT/CCは12月10日、BuffaloやNetgearなど大手の製品を含むルータの脆弱性に関する情報を公開した。 CERT/CCによると、BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。Buffaloのルータは「AirStation Extreme N600 Router WZR-600DHP2」(ファームウェアバージョン2.09, 2.13, 2.16)、Netgearは「G54/N150 Wireless Router WNR1000v3」(ファームウェアバージョン1.0.2.68)で、それぞれ脆弱性が確認された。他のモデルやバージョンも影響を受ける可能性がある。 脆弱性は、LANからの全DNSクエリについて静的なソースポートが使われていることに起因する。悪用された場合、DNSレスポンスが偽装され、LANクライアントが攻撃者の制御す
SAP HANAに脆弱性情報、世界中の企業に影響か
米セキュリティ企業のOnapsisは9月11日、SAP HANAベースの全アプリケーションに影響する脆弱性21件についてのセキュリティ情報を公開した。 Onapsisの発表によると、脆弱性は21件中の8件が「critical」に分類され、うち6件はHANAの設計に起因することから、回避のためにはシステム設定を変更する必要がある。 脆弱性を修正しなければ、SAP HANAのシステムが認証を受けない攻撃者に完全に制御され、企業情報の盗難や削除や改ざんの被害に遭ったり、プラットフォームが停止させられてビジネスプロセスに障害が発生したりする恐れがあるとしている。 深刻な脆弱性の多くはサーバ間通信を担うHANA TrexNetインタフェースに存在するという。HANAの技術はSAP S/4HANAやSAP HANA Cloud Platformを含むSAPの全アプリケーションに使われていて、サードパー
Windowsに脆弱性、悪用でパスワードが盗まれる恐れ
この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。 ソフトウェアの更新版チェックなどの機能に使われているHTTPリクエストを利用してユーザーを不正なSMBサーバに誘導し、パスワードなどの情報を入手できてしまう攻撃手法が発見された。セキュリティ企業Cylanceが4月13日のブログで伝えた。カーネギーメロン大学CERTも同日、セキュリティ情報を公開して対策を呼び掛けている。 この問題はWindows 10までのWindows全バージョンに存在していて、AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。 Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURL
「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり - THE ZERO/ONE
全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。 この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップ
世界初の資格化を目指す、「脆弱性診断士」の取り組みが始まる
近年、広く使われているソフトウエアやWebサイトなどに相次いで脆弱性が見つかり、サイバー攻撃に悪用されている。このため、脆弱性の有無を診断して適切に対応できる技術者のニーズは高まる一方だ。 そこで、セキュリティ専門家の有志が、脆弱性診断を実施する技術者を「脆弱性診断士」と名付け、必要なスキルを明文化する取り組みを開始した。将来的には、脆弱性診断士の資格化も目指す。取り組みの第一弾が、2014年12月末に公開した「脆弱性診断士(Webアプリケーション)スキルマップ」である(図1)。 一般的に、脆弱性を診断する技術者には多岐にわたるスキルが要求される。ソフトウエアやネットワークに関する基本的な知識を備えているのはもちろん、脆弱性診断ツールの使用方法や、最新の攻撃手法などにも精通している必要がある。 だが、脆弱性診断に携わる技術者が保有すべきスキルについて、ベンダーなどの関係者の間でコンセンサス
Flash Playerに未解決の脆弱性、攻撃ツールで悪用可能も
Flash Playerの未解決の脆弱性が脆弱性悪用ツールの「Angler」に利用されているという。脆弱性はFlash最新バージョンも影響を受ける。 Flash Playerの未解決の脆弱性が脆弱性悪用ツールの「Angler」に利用されているのが見つかったとして、セキュリティ研究者が自身のブログで報告した。米セキュリティ機関のSANS Internet Storm Centerも1月21日、同ブログを引用して注意を呼び掛けた。 研究者によると、Flashの脆弱性はAdobeが1月13日に公開したばかりの最新バージョン16.0.0.257も影響を受ける。同バージョンとWindows XP/7/8、Internet Explorer(IE) 6~10の組み合わせが攻撃の標的になっているという。一方、完全にアップデートされたWindows 8.1と、Google Chromeは安全だとしている。
企業におけるサーバ脆弱性対策、更新プログラムを適用している企業は約半数 | RBB TODAY
トレンドマイクロは24日、「企業におけるサーバ脆弱性対策に関する実態調査2014」の結果を発表した。調査時期は2014年12月で、企業のサーバ運用に関わるIT管理者515名から回答を得た。 それによると、「脆弱性のあるサーバに対して、メーカーよりその脆弱性に対する更新プログラムが提供された際に、必ず更新プログラムを適用しているか」という質問に対し、「更新プログラムを適用できていないサーバもある」との回答が27.0%、「対応できているのか把握できていない」との回答が14.2%になった。「すべてのサーバに対して更新プログラムを適用していない」との回答も8.5%存在する。逆に、「更新プログラムを適用している」のは残る50.3%のみとなる現状が明らかとなった。 更新プログラムの適用について「時間がかかる」と感じているのは69.9%。その理由としては、「計画的にサーバを停止させる必要があるため」31
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 
J-WAVE、コマンドインジェクション攻撃による不正アクセス、個人情報64万件が流出した恐れ 「ケータイキット for Movable Type」の脆弱性を突かれる
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
