そして彼は自由に、マネーフォワード木村直樹が見るセキュリティの夢 | ScanNetSecurity
新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2020年2月17日(現地時間)、2019年の新しいWebハッキング技術のトップ10を発表した。 同社は、2006年からほぼ毎年、トップ10を発表している。今回はまず、Redditコミュニティー「Web Security Research」のメンバーが51件の候補を推薦し、メンバーの投票で最終選考対象を15件に絞り込んだ。最後にPortSwiggerのリサーチディレクターを務めるジェームズ・ケトル氏を含む4人の専門家パネルが協議、投票を行ってトップ10を選出した。 なぜトップ10を発表するのだろうか。「重要な」攻撃とそうでないものの見分けが付かなくなっているからだ。 毎年、研究者やベテランのペネトレーションテスター(ペンテスター)、賞金獲得を目指してチャレンジする技術者、学者が、サイバー攻撃手法についてBl
VPN・IoT・スイッチは脆弱性だらけ、米イベント「Black Hat」で明かされた真実
出典:日経コンピュータ、2019年9月19日号 pp.33-36 「VPN・IoT・スイッチ 工場に潜む脆さ」を改題 (記事は執筆時の情報に基づいており、現在では異なる場合があります) セキュリティーの専門家が集う国際イベントで数々の新たな脆弱性が発表された。VPN(仮想私設網)、IoT(インターネット・オブ・シングズ)、通信制御装置、産業用スイッチ…。工場を脅威から守るには、最新の手口を知ることが欠かせない。 2019年8月上旬に米国ラスベガスで開催されたサイバーセキュリティーのイベント「Black Hat(ブラックハット)」。ここに世界中のセキュリティー専門家が集い、最新の研究内容やハッキングの手法について情報交換した。 攻撃の手口を学ぶことはセキュリティーへの感度を磨き、ひいては自社のシステムや生産設備を守ることにつながる。最新事例などを得るために、記者は米ラスベガスに飛んだ。 VP
Googleの対応の是非は? 4年前に発見されたAndroidの脆弱性で被害発生
Androidに、マルウェアが正規アプリになりすませるという脆弱(ぜいじゃく)性が新たに発見されたという。サイバー犯罪者がこれを悪用すれば、テキストメッセージ、写真、ログイン資格情報、位置情報にアクセスできるだけでなく、電話の通話や通話記録の作成、端末のカメラやマイクのアクティブ化なども可能になる。 関連記事 問題だらけのAndroidセキュリティ、そもそも何がダメなのか? 「Androidユーザーはセキュリティ対策しない」ことが明らかに モバイルアプリの大半は脆弱性まみれ、それでもデータを守る方法は? 「iOSはAndroidより安全」神話の崩壊――Apple Payでカード番号が盗まれる 10万個の業務端末を調べて判明──狙われるのはiPhone? Android? この脆弱性は「StrandHogg」と呼ばれている。バイキングの奇襲攻撃戦術を表す古ノルド語だ。この脆弱性を指摘したのは
Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性
関連キーワード Android | セキュリティ | モバイル端末 | 脆弱性 Armのセキュリティ技術「TrustZone」をベースにしたQualcommのセキュリティ機構「Qualcomm Secure Execution Environment」(QSEE)に脆弱(ぜいじゃく)性が見つかった。セキュリティ研究者が2019年11月に明らかにした。攻撃者がこの脆弱性を悪用すると、モバイルデバイスに保存した機密性の高いデータを盗むことができる恐れがある。 併せて読みたいお薦め記事 ハードウェアの脆弱性 Intel製CPUを攻撃する「ZombieLoad」の脅威 見えないはずのデータが見える? Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場 現行のパッチも無効 CPU脆弱性「Meltdown」「Spectre」がセキュリティに及ぼす決定的な影響 モバイルデバイスの脆弱性 i
VPNに注意、マルウェアの侵入経路になっている
zscalerは1月7日(米国時間)、「Remote Access VPNs Have Ransomware on Their Hands|blog」において、VPNがサイバー攻撃の標的になっており、VPNを経由してネットワーク内部へマルウェア感染などが行われていると指摘した。パッチの適用されていないVPNサーバが攻撃の入り口になっていると説明しており、注意を呼びかけている。 zscalerは「どこからでもリモートアクセスができるVPNは、導入された30年前は先見の明のある革新的なものだった」と説明。当時は、ほとんどのアプリがデータセンターで実行されており、複数のネットワークアプライアンスでVPNアクセスを制御でき、保護機能も現実的なものだったとしている。 Remote Access VPNs Have Ransomware on Their Hands|blog しかし現在、サイバー攻撃
あるスマートロックの脆弱性から考える、IoTのセキュリティ課題
フィンランドのセキュリティ会社F-Secure(エフセキュア)は2019年12月11日、韓国KeyWe(キーウィー)社が開発/販売するスマートロック「KeyWe Smart Lock」に脆弱性があることを発表した。この脆弱性を悪用することで、第三者がスマホアプリとスマートロック間のBLE(Bluetooth Low Energy)通信を傍受して鍵を取得し、ドアの解錠/施錠などができてしまうという。 F-Secureでは8月にKeyWeへの脆弱性報告を行い、これまでソフトウェアパッチの検証などで協力してきたという。調査に当たったF-Secureの担当者は、「KeyWeは決してセキュリティをおろそかにしていたわけではない」と説明する。脆弱性が生じた背景を、メールインタビューで詳しく聞いてみた。 クラウドファンディングで人気を集めたが…… KeyWe Smart Lockは、KeyWe社が「Ki
【セキュリティ ニュース】「Docker」の既知脆弱性にPoC - 影響大きく更新状態の確認を(1ページ目 / 全1ページ):Security NEXT
7月に修正された「Docker」の脆弱性「CVE-2019-14271」に関する実証コードが公開された。これまで注目を集めることが少なかった脆弱性だが、ホストのルート権限を取得されるおそれがあり、分析したPalo Alto Networksは、同ソフトにおいて「これまででもっとも深刻な脆弱性」と表現している。 「CVE-2019-14271」は、「同19.03.1」より以前のバージョンに存在する「コードインジェクション」の脆弱性。コンテナ間でファイルのコピーに用いるコマンド「docker cp」に起因し、コンテナより脆弱性が悪用されると、ホストのルート権限を取得されるおそれがあるという。 同脆弱性について調査を行ったPalo Alto Networksは、2月に判明したコンテナのランタイム「runc」における脆弱性「CVE-2019-5736」と同様に危険で、「Docker」においてこれま
GitHub、コミュニティ全体でセキュリティ脆弱性に対応する「GitHub Security Lab」を発表
「GitHubはセキュリティに真剣に取り組んでいる。これは機会ではなく、責任だと思っている」と話すのはGitHub Universe 2日目のKeynoteに登壇したJamie Cool氏。 GitHubは現地時間の11月14日、セキュリティリサーチャー、メンテナー、そして企業をオープンソース的に直接つなぐ「GitHub Security Lab」を発表した。すでに100以上のCVE(共通脆弱性識別子)を発見している。 GitHub Security Lab発足の背景には、多くのプロジェクトがオープンソースパッケージに依存していること、セキュリティの専門家の不足、すでに世界中で多くの企業を受け持つ専門家のコーディネートが難しいといった課題がある。 以下の企業がパートナーとして参加している。 F5 Google HackerOne IOActive J.P. Morgan LinkedIn
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Symantec社のエンドポイント製品に複数の脆弱性、修正プログラムが公開/深刻度の最高で“CVSS v3”の基本値は“7.8”
金融機関向けポータルアプリ「MyPallete」のAndroid版に脆弱性、通信内容を盗聴されたり改ざんされる恐れ 
Macを襲うマルウェアが猛威、その特徴は「偽のアップデート」という単純な手法にあり
トレンドマイクロの「パスワードマネージャー」に情報漏えいの脆弱性など、JVNが注意喚起 
【セキュリティ ニュース】脆弱な「Docker」の探索行為、11月ごろより増加(1ページ目 / 全2ページ):Security NEXT
“バグハンター”たちが競い合うオフラインの「合宿」、報奨金も出るサイボウズの脆弱性発見コンテストで見えたこと 
KasperskyがWindowsのゼロデイ脆弱性を警告 ~2019年12月の月例パッチで対策済み/「Google Chrome 78」のゼロデイ脆弱性を悪用した“WizardOpium”攻撃の調査で判明
ホワイトハッカーの高額報酬広がる Googleは1.6億円 - 日本経済新聞
複数のトレンドマイクロ製品に、情報漏えいやファイル削除の脆弱性(トレンドマイクロ、JVN) | ScanNetSecurity
GitHubがセキュリティ関連の新機能を一挙に発表、専任のセキュリティチームも発足
https://jp.techcrunch.com/2019/11/16/2019-11-15-those-crappy-pre-installed-android-apps-can-be-full-of-security-holes/
