第2回 車載ソフトへの攻撃例が続々
第1回で、車載ソフトが悪意ある攻撃者の対象になりつつある自動車技術の大きなトレンドを示した。現在、情報セキュリティの研究者らは自動車への攻撃手法を検討し始めている。情報セキュリティの世界では防御の手法を練るのと同時に、どんな攻撃を受ける可能性があるのか研究することが大切である。第2回は現時点で公開されている研究のうち、代表的な4例を紹介する。 【事例1】発端となった米国の研究論文 2010年、実証実験に基づく論文「Experimental Security Analysis of a Modern Automobile」が公開された(図1)。論文では、自動車の保守点検用ポートに特別な機械を設置し、並走する車両から車載システムの脆弱性をついた攻撃することで、ブレーキやワイパーの制御に影響を与えられることを明らかにした。 この論文では、対象車両の通信を盗聴して解析し、認証すること、および発信元
Google入居のビル管理システムにハッキング、産業制御システムの現実露呈
セキュリティ企業がGoogleオフィスのあるビルの管理に使われているTridiumデバイスをネット上で発見。管理者パスワードを入手して、ビル管理機能にアクセスした。 米セキュリティ企業のCylanceは、オーストラリアのシドニーにあるGoogleオフィスのビル管理システムがインターネット経由でハッキング可能な状態になっていたと報告した。さまざまなインフラ管理に使われる産業制御システム(ICS)の脆弱性を突いて外部からアクセスし、制御できてしまう現実を見せつけた形だ。 Cylanceはネット接続されている産業用制御システムの脆弱性について調べるプロジェクトを実施しており、調査の過程で偶然に、Googleのシドニーオフィスが使っている米Tridium社のNiagaraデバイスをネット上で発見した。 Tridium Niagaraはビルの電気、ガス、水道や空調、照明といった設備管理に使われるシス
ソーシャルアプリ「Path」を削除後に電話帳の相手に招待メールが届く不具合発生
家族や友達のような親しい人間とだけ写真やメッセージを共有できるソーシャルネットワークサービス「Path」で、スマートフォンからPathのアプリを削除しているにもかかわらず、アドレス帳に載っていた全員宛に招待メールが送られていたという不具合が発生しています。ユーザー本人は招待の送信を許可した覚えもなかったため、Pathがアドレス帳のデータを盗み出したのではないかと疑いを抱いています。 The antisocial network: Path texts my entire phonebook at 6am | Branded3 http://www.branded3.com/blogs/the-antisocial-network-path-texts-my-entire-phonebook-at-6am/ Path is spamming address books with unwant
【続報あり】NTTドコモがハッキングされ契約者のクレジットカードの情報が漏えい中
とりあえず緊急性が高そうなので、速報です。もし、該当のリストに名前があるようでしたらご注意を。 【15:37追加】 寄せられた情報から、漏えいした情報は実在する顧客に関する情報だと思われます。末尾に情報を追加しているのでご確認ください。 【21:50】 ついにNTTドコモが認めました。 「CYBER WAR NEWS」が日本のNTTドコモがハッキングされ、クレジットカードを含む個人情報が漏洩していることを報じています。 Japanese Mobile Operator NTT DoCoMo Hacked, Credit Card Information Leaked for #StopCISPA 同記事内には、ハッキングを行ったとみられるLulzSecによるツイートが示されており、そのリンク先にはハッキングされたサーバの管理者アカウント、パスワードとともに、名前、クレジットカード等を含む4
ワンタイムパスワードを盗むウイルスによるネット銀行被害
昨日、こんなニュースが飛び込んできました。 パスワード盗む新手口=ネット銀の不正送金-被害、最悪ペース・警察庁 インターネットバンキング利用者の口座から無断で現金を送金する事件で、パスワードを盗む新しい手口による被害が多発していることが24日、警察庁への取材で分かった。不正送金を防ぐため内容を毎回変えている「ワンタイムパスワード」を、犯人がコンピューターウイルスで入手したとみられる。 今年確認された不正送金の被害は9000万円を超えた。昨年の約4800万円を上回り、過去最悪だった2011年の約3億800万円と同じペースとなっている。(2013/04/24-21:38) 時事ドットコム:パスワード盗む新手口=ネット銀の不正送金-被害、最悪ペース・警察庁より引用 『「ワンタイムパスワード」を、犯人がコンピューターウイルスで入手』だと? 最初は、いよいよ本格的なMITB(Man in the B
第2回 10大脅威---1位から5位
情報セキュリティーの研究者、実務担当者など約100名の意見を集約して選んだ、情報システムを取り巻く「2013年版10大脅威」。今回は1位から5位について紹介する。 1位:クライアント・ソフトの脆弱性を突いた攻撃 OSに依存しないクライアント・ソフトの脆弱性を悪用されることにより、ウイルスに感染したり、システム内の情報が窃取されたりするなどの被害が発生する可能性がある。ユーザーにおいては、クライアント・ソフトを最新に保つ対応が求められる。 <脅威と影響> 近年発生しているウイルスを用いた攻撃の大半は、クライアント・ソフトの脆弱性が悪用されている。クライアント・ソフトの脆弱性を狙った攻撃傾向は、主流な攻撃手法になって久しい。しかし、昨今のインターネット・バンキングを狙ったウイルスや政府機関を狙った攻撃を見ても分かるように、ユーザーに対策が浸透しておらず被害を食い止められていないのが実情である。
Japan Vulnerability Notes
JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性 [2024/03/21 11:00] JVNVU#99690199: 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性 [2024/03/18 18:00] JVNVU#96145466: 複数の三菱電機製FA製品
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【インタビュー】過去最大300Gbps超のDDoS攻撃に悪用されたDNSの「オープンリゾルバー」とは 
JINSのECサイトに不正アクセス、1万2036件のカード情報流出の可能性 
驚きの顛末、グーグルの脆弱性が採用メールから悪戯されるまで