日々増える「脆弱性」を何とかしたい企業に贈る、脆弱性管理を導入する前に検討すべき5ステップ
企業がスムーズに脆弱(ぜいじゃく)性管理に取り組めることを目指して、脆弱性スキャナーの種類や脆弱性管理のステップについて解説する本連載「脆弱性管理の実践ポイント」。 本連載の第1回では脆弱性スキャナーの種類と役割について、第2回では脆弱性管理の成熟度を向上させるための考え方について解説した。最終回となる今回は、脆弱性管理を導入する際に検討すべきステップについて説明する。連載の初めにも述べたが、いざ「脆弱性管理を実施しよう」とすると、意外と簡単にはいかない。そこで、脆弱性管理の導入という最初の1歩を踏み出すときに必要となる検討事項を下図にまとめた。 ここからは各ステップについて、詳細に解説する。 設計 脆弱性管理を導入する際の最初のステップは、管理対象を特定することになる。連載の第2回で述べたように、初めから全ての資産を対象にすることはハードルが高い。管理対象とする資産の選定に当たっては、サ
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
ランサムウェアが見せつけたWindowsの脆弱性「Zerologon」の威力
Microsoftによれば、9月にはこの脆弱性を突くコンセプト実証コードが公開され、9月13日ごろから攻撃が急増。10月に入ると国家が関与する攻撃にZeroLogonが利用され、ソフトウェアアップデートに見せかけて不正なスクリプトを実行させる手口が発見されるなど、攻撃はエスカレートしていった。 Ryukのランサムウェアを操る集団がZerologonを利用したケースは、10月18日のDFIR Reportで報告された。発端となるフィッシング詐欺メールが送り付けられてから、被害者のネットワーク全体が暗号化されるまでの時間はわずか5時間。攻撃者がZerologonの脆弱性を突いて特権を獲得したことで、攻撃を展開するスピードは急加速していた。 Ryukは世界各地で企業や自治体などの被害が多発しており、猛威を振るうマルウェア「Emotet」を通じて感染することもある。米国や英国で多数の病院を経営する
TLBleed : Trasnlation Leak-aside Buffer の論文を読む - FPGA開発日記
TLBleedの論文がやっと発表された。The Registerで記事が出てから論文が出てくるまでずっと監視していたのだが、随分と時間がかかったね。 www.vusec.net このTLBleedの論文非常に長いので読むのがつかれるし、あまりセキュリティの知識とか無いので大変なのだが、要点だけつかもうと時間を作ってざっくりと読み進んでいった。 まだまだ分からないところが多いが、まとめていこう。 なんか難しげなアルゴリズムとかサクッと英語で説明してあるのでその辺りはまだよく理解できていないが、一通り読んで概要は何となくわかった。 この手法、スレッドが特権を持っていなくても同時に実行されているスレッド内の命令を読み取ることができるというものなのだが、当然ターゲットとなるサーバ内で攻撃スレッドが実行できている必要がある。 これはAWSなどのクラウド上で、意図していなくても何らなの別スレッドとリソ
暗号化メールが読み取られる? 平文を抽出する脆弱性「EFAIL」をESETが解説
暗号化メールが読み取られる? 平文を抽出する脆弱性「EFAIL」をESETが解説:脅威の現実性に疑問も 電子メール暗号化プロトコル「OpenPGP」と「S/MIME」には脆弱性があり、攻撃者がこれを悪用して、暗号化されたメッセージの平文を抽出して入手する恐れがある。 電子メール暗号化プロトコル「OpenPGP」と「S/MIME」の脆弱(ぜいじゃく)性が発覚したことを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載した。以下、内容を抄訳する。 ドイツとベルギーの大学研究者8人のチームが、「広く使われている電子メール暗号化プロトコルある『OpenPGP』と『S/MIME』には脆弱性がある。攻撃者がこれを悪用し、暗号化されたメッセージの平文を入手する恐れがある」ことを発見し、特設サイト「efail.de」でこの問題について報告している。同チームはこの脆弱性を「EFAIL」と
NULL文字を含むコマンドを実行すると無視するバグがAMSIに存在。Microsoft社は月例パッチで修正済み。 - 忙しい人のためのサイバーセキュリティニュース
standa-note.blogspot.jp Windows 10に標準搭載されているAMSIという機能にバグがあり、NULL文字を先頭に含んだコマンドを実行すると、セキュリティソフトによる検知をバイパスして任意のコマンドを実行してしまう。 このバグは、カナダ・バンクーバーで活動するSatoshiTanda氏のブログで公開された。 既にMicrosoftは今月の月例パッチでパッチをリリースしているが、ここで一度AMSIに見つかったバグと、そのエクスプロイト手法について見ていこう。 AMSIとは何か AMSIとは、Antimalware Scan Interfaceの略。 Windows 10から搭載されたセキュリティ機能の1つであり、任意のアプリと、エンドポイントセキュリティソフトの”中間点”に立つ機能である。 AMSIはPowerShell、VBScript等のコマンドスクリプトを実行
ゼロから考える脆弱性対応 - Qiita
もちろん、脆弱性の内容に大きく依存するのでこれが全てではありませんが、「 対策が確立されていないのに攻撃コードが出回っていて、攻撃事例も報告されているのが最もヤバイ 」っていう認識は持っておくべきでしょう。 脆弱性の影響有無 世間を騒がせる脆弱性があったとしても、該当機器がなければ騒ぐ必要も当然ないですし、攻撃しようがない仕組みになっていたとしたらそれも気にする必要はありません。 そういう意味で、対象の脆弱性が自システムに影響があるのかどうかを調べる必要があります。観点としては以下となります。 該当バージョンの有無 攻撃条件の成立可否 該当バージョンの有無 脆弱性は影響範囲をもちます。最たるものがソフトウェアバージョンで、「 バージョンX以降 」であったり「 バージョンYからZの間 」などと表現されたりします。 ソフトウェアによっては、バージョンの前後関係が読みづらかったりすると思うので、
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ ライター:米田 聡 一般メディアにもニュースとして取り上げられたので,2017年末からにわかに騒がれだした「CPUの脆弱性」については,4Gamer読者も多くが聞き及んでいることだろう。海外では,「Spectre」(スペクター)や「Meltdown」(メルトダウン)といったおどろおどろしい名前が付いているので,そちらを目にしたという読者もいると思う。 「Intel製のCPUだけが持つ脆弱性で,AMD製のCPUなら問題ない」から始まって,「いやいやAMD製のCPUも同様の脆弱性を抱えている」,さらには「メモリページング方式の仮想記憶を使うCPUのすべてが持つ脆弱性である」などと,情報が錯綜しているので,何を信じたらいいのか分からないという人も多いのではなかろうか。そもそも,メモリページング方式
一部のHP製ノートPCにキー入力を記録するバグ、緊急パッチで対応
ドライバレベルのキーロガーが何百機種ものHP製ノートPCで発見されたことを受けて、同社は緊急パッチをリリースした。 このバグは、「ZwClose」としても知られるセキュリティ研究者のMichael Myng氏によって発見された。Myng氏はSynapticsの「SynTP.sys」というシステムキーボードドライバと、ノートPCのキーボードのバックライトが点灯する仕組みを調べていたとき、キーロガーのように見える怪しいコードに遭遇した。 ZwClose氏がブログの記事で述べたところによると、スキャンコードをWPPトレースに保存するキーロガーはそのドライバ内に存在するという。さらに、このキーロガーはデフォルトで無効になっているが、レジストリ値を変更して(ユーザーアカウント制御が必要)、有効にすることが可能だという。 「私はキーロガーを発見したことについて、HPにメッセージを送った。同社は極めて迅
OS停止時でも攻撃可能?Intel マネジメント・エンジンの脆弱性への対策 |
特に企業のサーバやPCが、たとえスタンドバイ状態やシャットダウン状態であっても、攻撃を受ける可能性のある脆弱性が確認されました。2017 年 11 月 20 日、Intel は、同社の「Management Engine(マネジメント・エンジン、ME)」で確認されたいくつかの脆弱性に関するセキュリティ情報を公開しました。Intel ME はコンピュータのマザーボードに搭載されたシステムであり、コンピュータの OS が動いていない状態でも常にバックグラウンドで動作しています。このセキュリティ情報の中で、「Common Vulnerabilities Scoring System(共通脆弱性評価システム、CVSS)」のスコアが 6.7(中程度)から 8.2(高)にわたる、ME、Trusted Execution Engine(TXE)および Server Platform Services(S
Intel,第6〜第8世代Coreプロセッサ搭載システムに関する重要な脆弱性情報を公開。脆弱性の有無を調べる検出ツールもリリース
Intel,第6〜第8世代Coreプロセッサ搭載システムに関する重要な脆弱性情報を公開。脆弱性の有無を調べる検出ツールもリリース 編集部:小西利明 北米時間2017年11月20日,Intelは,第6世代から第8世代までのCoreプロセッサおよびXeon,Pentium,Celeronプロセッサが備えるシステム管理機能「Intel Management Engine」(以下,Intel ME)の重要な脆弱性に関わる情報と,PCに脆弱性が存在するかをチェックする検出ツールを公開した(関連リンク)。 企業向けPCやサーバーシステムに関わる話題で語られることの多いIntel MEだが,それ自体は,該当するIntel製CPUを使ったゲーマー向けPCや自作PCにも含まれるものなので,ゲーマーにも無縁ではない,ということで,簡単に説明しておきたい。 そもそもIntel MEとは,CPUから独立したマイク
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
電子書籍を開くだけでKindleが乗っ取られる脆弱性が発覚、利用者はアップデートの確認を【やじうまWatch】
「Microsoftの印刷スプーラ脆弱性対策は不十分」と複数セキュリティ研究者が指摘
【セキュリティ ニュース】Bluetoothに複数の脆弱性、なりすましや中間者攻撃のおそれ(1ページ目 / 全2ページ):Security NEXT
「LibreOffice」に1件の脆弱性、ODF文書に埋め込まれたSMBリンクを介して情報が漏洩/v5.4.7/6.0.4で新設されたオプションを有効化することで防止可能
“Spectre”脆弱性の新しい亜種、各ベンダーが一斉に製品への影響と回避策を案内/“Variant 3a”と“Variant 4”の2件、Microsoftは緩和策を準備中
暗号化メールの内容が平文で漏洩する“EFAIL”脆弱性、欧州の研究者グループが発表/メールクライアントや「OpenPGP」「S/MIME」仕様の欠陥をついた攻撃
ComputerworldとCIO Magazineは閉鎖しました
アイ・オー・データのNASやWi-Fi-ルーターなどに脆弱性、同社製品用の設定ツール「Magical Finder」対応の機器で 
Mirai亜種が国内の最大2万4000ホストに感染、ロジテック製Wi-Fiルーターの脆弱性を悪用 2014年提供のファームウェア適用で回避可能
