脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
日本年金機構の情報漏えい事例から、我々が学ぶべきこと | トレンドマイクロ セキュリティブログ
先日のブログ記事でもお伝えしたように、6月1日に公表された日本年金機構からの情報漏えいは、125万件の年金に関連する個人情報が漏えいしたという被害の大きさと同時に、典型的な標的型サイバー攻撃の事例として大きな注目を集めています。すでに公表から 10日が経過しようとしていますが、この間さまざまな発表や報道がなされています。これまでの発表や報道の中から、セキュリティ対策の観点で我々が学べることは何でしょうか。同様の標的型サイバー攻撃に対し、我々が対策を考える上での、4つのポイントをまとめてみました。 防げない標的型メール、侵入を前提とした対策が必要: この事例では、標的型メールが攻撃の侵入口であったことが確認されています。報道によれば、業務に関連する件名を含む複数種類の標的型メールが届いており、最終的に複数の職員が開封、感染したとのことです。 標的型メールは、繰り返し似たようなレベルの内容が届
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
