セキュリティ・キャンプ全国大会2016 集中講義
「Black Hat USA 2016」レポートの第1回記事では、NetBIOSの「BadTunnel」脆弱性を悪用する攻撃例として「WPAD(Web Proxy Auto-Discovery)」を組み合わせた手法が登場した。だが実は、このWPAD自体にも、未だ修正されていない別の脆弱性が存在する。 8月5日、Black Hatの講演で登壇した元トレンドマイクロのマキシム・ゴンチャロフ氏が、「badWPAD」と名付けられたこの脆弱性の実態調査結果を発表した。これを悪用すれば、ターゲットを攻撃者のプロキシサーバーに接続させることができ、フィッシングサイトへの誘導、偽の認証画面を使ったログイン情報詐取(中間者攻撃)、通信内容の監視など、幅広い攻撃が可能になる。 しかもゴンチャロフ氏の調査では、東京都が使っている多数のクライアントPCが、現在進行形でそのリスクを抱えていることも具体的に明らかにさ
20年以上も前から使われてきた、Microsoft Windowsの標準プロトコル。8月4日、米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2016」では、そんな“いにしえの技術”の一部に脆弱性が存在することが発表された。 この脆弱性はWindows 95からWindows 10までの全OS、さらにInternet ExplorerやMicrosoft Officeの全バージョンに影響を与えるもので、悪用すれば、Windowsのあらゆるネットワーク通信を乗っ取ることも可能だという。 NetBIOSに起因する「BadTunnel」脆弱性はなぜ生じたのか 「BadTunnel」と命名されたこの脆弱性は、NetBIOSの名前解決サービス「NBNS(NetBIOS Name Service)」の仕様に起因する。NBNSは、Windowsネットワーク内の名前解決(
HOME ニュース 観光庁、旅行業の情報流出でセキュリティ対策の全容発表、專門の対応部署(CSIRT)の設置から実施訓練まで 観光庁は2016年7月28日、旅行業者を対象とした第2回「情報共有会議」を開催し、「旅行業界情報流出事案検討会」の中間とりまとめ「~旅行業情報セキュリティ向上のため早急に講ずべき対策~」を発表した。JTBや札幌通運の情報流出事案を受け、旅行業界における再発防止策の方向性を示したもの。この考え方と概要は7月22日の第2回検討会後に説明されたが、今回はその全容を発表した。このポイントをまとめてみた。 1.「旅行業者が早急にとるべき対応」「中堅・小規模旅行業者がとるべき対策」 前回の中間とりまとめ案でも発表されたが、業界全体の再発防止策を検討するベースの考えが、自前でセキュリティ対策ができる大手と投資資金や人材的な制約のある中小旅行業者と分けて考える必要があるとしている点
なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
佐賀県の県立高校で導入されているネットワークなどが不正にアクセスされ、生徒の個人情報が大量に漏えいした事件で、佐賀県教育委員会は、ネットワークに対する内部監査を少なくとも過去3年間は行っておらず、規定に違反した状態だったことが分かりました。 事件を受けて、佐賀県教育委員会が調べたところ、県立の学校45校で導入されているネットワークで、少なくとも過去3年間は1度も内部監査が行われておらず、今後も行われる予定がなかったことが分かりました。 佐賀県では、情報セキュリティーを守るため、県が導入したシステムやネットワークについて、定期的に内部監査を受けるよう「佐賀県情報セキュリティ基本方針」で定めていて、この規定に違反した状態が続いていたということです。 佐賀県教育委員会は「規定に違反していたのは間違いない。今後は監査を行うよう効果的な方法から検討していきたい」とコメントしています。
Duo Securityによると、主要OEM各社がPCにプリインストールしている更新ツール全てに危険度の高い脆弱性が見つかった。 セキュリティ企業のDuo Securityは5月31日、主要OEM各社がPCにプリインストールしている更新ツールなどの実態に関する調査報告書を公表し、全社の更新ツールに危険度の高い脆弱性が少なくとも1件見つかったと発表した。 こうしたプリインストールソフトは「クラップ(ゴミ)ウェア」や「ブロート(膨張)ウェア」と呼ばれ、以前から危険性が指摘されていた。Lenovoの「Superfish」やDellの「eDell Root」などの深刻な脆弱性も相次いで発覚している。 Duo Securityの実態調査では、Acer、Asus、Dell、Hewlett-Packard(HP)、LenovoのPCにプリインストールされているソフトウェアについて調べた。 その結果、調査
住民票を有するすべての人に固有の番号を付与して、社会保障や税に関する行政情報を管理(分散管理)して、行政効率や国民の利便性を高める仕組みのいわゆる「マイナンバー(個人番号カード)」制度が2016年1月から運用開始されています。しかし、高度に情報化された社会ではデータ流出の危険がつきもので、大手PCメーカーはそろって「マイナンバー情報が記憶装置に入っている場合、修理対応不可」という見解を明らかにしています。 富士通の場合はこんな感じ。 富士通パーソナルコンピュータ修理規定 - FMVサポート : 富士通 https://azby.fmworld.net/support/repair/syurikitei/ 「富士通パーソナルコンピュータ修理規定」の「第11条(修理ご依頼時の注意事項)(2)」に、「対象機器の記憶装置(ハードディスク等)にマイナンバー(個人番号)が記憶されたデータがある場合には
ロールアップ更新プログラムでWindows 7の新規インストールが楽になる:山市良のうぃんどうず日記(66)(1/3 ページ) Windows 7を新規インストールする必要がある人に朗報です。Windows 7 SP1から2016年4月までの更新プログラムをまとめた「ロールアップ更新プログラム」が利用可能になりました。Windows 10にアップグレードしたけどWindows 7に戻したい人は、これで新規/再インストールが楽になります。 連載目次 Windows 7の「ロールアップ更新プログラム」とは? マイクロソフトは2016年5月17日(米国時間)、Windows 7 Service Pack(SP)1およびWindows Server 2008 R2 SP1向けに、ロールアップ更新プログラム「KB3125574」(以下、ロールアップ更新プログラム)を公開しました。 このロールアップ更
画像処理ソフトImageMagickに複数の脆弱性が存在するとして2016年5月3日頃、CVE-2016-3714他の脆弱性情報が公開されました。ここでは関連情報をまとめます。 ImageMagick 開発チームの情報 2016年5月3日 ImageMagick Security Issue 脆弱性情報 対象 ImageMagick CVE CVE-2016-3714 CVE-2016-3715 CVE-2016-3716 CVE-2016-3717 CVE-2016-3718 影響 RCE 重要度 CVE-2016-3714:Important(Redhat)/緊急(JPCERT/CC) PoC PoC公開あり。 in the wildとの情報もあり。 CVSS(v2) CVE-2016-3714:6.8(Redhat)/9.3(CERT/CC) 発見者 Nikolay Ermishki
~eLTAXをお使いの皆様へ~ Java実行環境が不要になります (中略) ※電子署名を付与する場合に、ActiveXコントロールのインストールが必要です 地方税電子化協議会が運営する地方税電子申告システム「eLTAX(エルタックス)」のWebサイト上で2016年3月3日に掲載された案内(PDF)が、IT技術者の間で波紋を呼んでいる。 eLTAXではこれまで、Web上で利用届出や申請などを行う際の電子署名を、Javaアプレットで実行していた。だが、Java実行環境(JRE)の更新に伴うJavaアプレットの動作確認が間に合わず、旧バージョンのJREのインストールを利用者に求めることがたびたびあった。 eLTAXでは、2016年3月14日からJREに代わり、動作確認が不要なActiveXを採用。このとき掲載した利用案内では、Internet Explorer(IE)設定で「署名済みActive
警察庁は3月17日、サイバー攻撃者がHTTPステータスコードを偽装してマルウェアに指令する手口を確認したとして、特徴や対策情報を公開した。ネットワーク監視などの際に注意するよう呼び掛けている。 それによると、見つかった手口ではマルウェアが感染先の端末から攻撃者のC2(コマンド&コントロール)サーバへ接続した際に、サーバがHTTPステータスコード「404」を返す中に、別のC2サーバへ接続する命令を埋め込む。「404」は端末がリクエストしたファイルなどが接続先サーバに見つからない場合にサーバが返すコードであるため、ネットワーク監視時に接続が失敗したと誤認して、攻撃者の命令を見逃してしまう可能性がある。 警察庁は、ファイアウォールやプロキシサーバのログからマルウェアによる外部への通信を検出しようとする場合に、HTTPステータスコードが404などあっても接続の失敗と決め付けず、慎重に調べる必要があ
「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法:川口洋のセキュリティ・プライベート・アイズ(58)(1/2 ページ) 2016年2月1日にラックがDNSプロトコルを悪用した攻撃に関する注意喚起を行いました。本稿ではこれを受け、万一の事態に備えたDNSのクエリログの取得方法について解説します。 連載目次 DNS通信を悪用したマルウェアの存在 2016年2月1日~3月18日は「サイバーセキュリティ月間」ということで、「コラムの1本でも」と思っていたのですが、何とか間に合わせることができました。もう終了してしまいましたが、2月から3月にかけて、「@IT セキュリティセミナー」が開催されました。筆者も、毎年恒例となっている辻伸弘氏、根岸征史氏とのトークセッションに登壇しました。読者の皆さんは、ご参加いただけたでしょうか? 参加できなかったという方はレポート記事を楽しみに
米カーネギーメロン大学のセキュリティ機関CERT/CCは2月29日、暗号化通信に広く使われているプロトコル「Internet Key Exchange」(IKE)の脆弱性に関する情報を公開した。サービス妨害(DoS)攻撃の増幅に利用される恐れがあるとされ、主要ベンダーやオープンソース製品が影響を受ける可能性が指摘されている。 IKEおよびIKEv2は暗号化通信における鍵交換に使われるプロトコルで、主要ベンダーやオープンソースプロジェクトの製品に幅広く使われている。その実装に関する脆弱性が米Akamaiの研究チームに発見され、分散型サービス妨害(DDoS)攻撃の規模を増幅させるリフレクションDDoS攻撃に利用される可能性があることが分かった。 この脆弱性は、認証を受けないリモートの攻撃者に利用される恐れがあり、場合によっては攻撃の規模が10倍にも増幅される可能性がある。共通脆弱性評価システム
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く