最近メディアさんの報道ですっかり有名になったWOOYUNですが、中国の脆弱性公開プラットフォームはなにも WOOYUNだけではありません。同じく有名なところは360の補天、Freebufの脆弱性ボックス=VULBOXがあります。 某読*さんの報道では、ホワイトハッカー達は有名な企業に迎え入れられるために、せっせと脆弱性発掘を行って嬉々と暴露掲載しているように受け取られますが、実態はちょっと異なります。 中国ハッカー、穴のあるサイト公表…日本関連も : 社会 : 読売新聞(YOMIURI ONLINE) サードパーティによる脆弱性公開の仕組みは少々複雑に見えますが、目的は凄くシンプルで、ホワイトハッカーの脆弱性探索力を、脆弱性公開予告によって、ベンダーの問題修正へと向かわせる「圧力団体」です。 根底の考えは、「脆弱性はさっさと直すに限る。ベンダーの牛歩に合わせて脆弱性を隠蔽していると、そのう
ブラウザとメール:マルウェア配信における最大の攻撃経路 2016年04月28日00:00 ツイート fsecure_corporation ヘルシンキ発 by:パトリシア エフセキュアラボでは、顧客が一般的に遭遇するような普及している脅威について継続的に監視している。脅威の大勢を観察する際、我々はサイバー犯罪者が用いる感染経路を調査する。また、こうした攻撃から顧客を保護する効果的な方法を探る。 以下は、当社の顧客を保護した検知の上位10件である。なお、上位2つはエクスプロイトとスパムメールに関連している。 まず、最上位にランクされた検知について見ていこう。 ブラウザ経由での攻撃:Angler EK(エクスプロイトキット) 当社における検出でExploit:JS/AnglerEK.DとなるAngler EK(現在もっとも活動的なエクスプロイトキット)は、当社の世界地図上の統計で最上位の1つ
インターネットの現状についてのデータマイニング 2016年04月26日00:00 ツイート fsecure_corporation ヘルシンキ発 当地ヘルシンキにあるアールト大学では、毎年ソフトウェア・プロジェクトの演習を2〜3年生に向けて開催している。この演習の考えは、リアルな目的、リアルな顧客、リアルな締め切りがあるリアルなソフトウェア・プロジェクトの作業を学生が味わえるようにすることだ。演習は初秋に始まる。学生がチームを組み、地元企業から提示される一連のプロジェクトの中から選択する。プロジェクトの作業は10月下旬に始まり、翌年の4月中旬まで続く。演習の最後には、最良のプロジェクトが3つ選定され、この3つのチームが最終決戦のデモで戦う。そして1チームが勝者となる。今年はエフセキュアが後援するチームが、優勝トロフィーを4月19日に授与されて、持ち帰った。 アールト大からの当社チームが勝利
MIT 情報工学人工知能ラボ(CSAIL)の研究者たちがサイバー攻撃の脅威に対して大きな前進があったと発表した。これまで人がサイバー攻撃の証拠を洗い出すのにかけていたよりもはるかに短時間で攻撃を検知できるという。ITアナリストはこれまでシステムが危険に晒されたという証拠を山のようなデータから見つけるために計り知れないくらいの時間をかけてきた。 MITはここに目を付けた。ほとんどの企業がサイバー攻撃の脅威にさらされている世の中で、休息を必要としないシステムがあれば素晴らしい事だ。AI Squared(AI2)はCSAILが作り出した人工知能で、85%という驚異的な確率でサイバー攻撃を検知できる。 この高確率は一朝一夕に達成されたものではない。チームはAI2に検知が必要なもの、スルーしていいものを教え込むのに多くの人月を費やしている。単に検知すべきデータを投入するだけでは十分ではなく、実際に読
PDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。 Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。
Congratulations to the MSRC 2023 Most Valuable Security Researchers! Tuesday, August 08, 2023 The Microsoft Researcher Recognition Program offers public thanks and recognition to security researchers who help protect our customers through discovering and sharing security vulnerabilities under Coordinated Vulnerability Disclosure. Today, we are excited to recognize this year’s top 100 Most Valuable
※ WOOYUN 公開情報より転載引用 チャイナ・リソース社が某市(毛主席の故郷に限りなく近い)に提供したガス燃料 SCADA システムがインターネットから接続可能な上、 Struts2 の脆弱性で中身が丸見えな状態に。 かなりよろしくない状態ですが、WOOYUNがベンダ通知(3/24)したにもかかわらずベンダは「無視」=対応しないことを決め込んだ模様なので、WOOYUNは3/29に内容公開に踏み切りました。 チャイナ・リソース=华润(集团)有限公司(China Resources (Holdings) Co.,Ltd.)の設立は1938年迄たどり着き、はかつて共産党中央事務局・中央貿易部(いまの商務部)に所属していた国営企業であり、不動産/電力/セメント/天然ガス/医療/金融/公共事業などの分野に展開しています。 今回の华润燃气(HK1193)は香港で上場している5関連企業の一つであり、
モバイルアプリで脆弱性をつくらないために PC ソフトウェアの提供者や Web サイト・Web サービスの運営者の間では、脆弱性対策が必要であるという認識は常識となっており、対策も進んでいます。一方で、モバイルアプリ開発においては、Android アプリで脆弱性が発見される事例が年々増えているにもかかわらず、まだ脆弱性に対する意識や対策が追いついていないケースが見受けられます。 自社が開発、あるいは開発委託したアプリの脆弱性が原因でトラブルが発生した場合、金銭的に大きな被害が出たり、ユーザーの信頼を失ったりといった、ビジネス上好ましくない事態に陥る場合もあります。 このような事態を避け、安全なアプリをユーザーに提供するためには、アプリの開発段階で「セキュアコーディング」を実施することが必要です。 そのために必要なチェックリストをご紹介します。 セキュアなAndroidアプリ開発のためのチェ
「Volatility Frameworkを使ったメモリフォレンジック」と言うハンズオンに参加させて頂きました。 1 はじめに 本日は、「第23回北海道情報セキュリティ勉強会」に参加させて頂きました。 https://secpolo.doorkeeper.jp/events/39013 セッションの内容は次の通りです。 Session.1 フリーツールを用いた x86 プログラム解析 トレンドマイクロ株式会社 花岡 弥生 さん Session.2 Volatility Framework を使ったメモリフォレンジックス (ハンズオン) トレンドマイクロ株式会社 平原 伸昭 さん Session.3 北大キャンパスネットワークと私 北海道大学 情報基盤センター 南 弘征 先生 今回は、この2つ目のセッションであった、ハンズオンに参加させて頂いて手を動かした内容を紹介させて頂きます。 講師を務
Kaggle: Bag-of-words と Ensemble 学習でマルウェア分類 (Microsoft Malware Classification Challenge)機械学習MachineLearningKaggle Kaggle の Microsoft Malware Classification Challenge に参加してました。最終結果は 383 チーム中 26 位。初の Achievement (top 10%) が貰えました。 以下、構築したモデルについてのラフな説明です。 タスク マルウェアのクラス分類 入力:hexdump ファイル (.bytes) と assembly ファイル (.asm) 出力:マルウェアのクラス確率 (9種類) データ数 訓練データ:10,868 評価データ:10,873 詳細 https://www.kaggle.com/c/malwa
暗号化したままデータを分類できる解析技術を開発した、と14日情報通信研究機構が発表した。個人情報などの機微な情報を安全に効率よく分類することが可能になる、と期待されている。 大量のデータを解析して価値ある情報を引き出し、新しいサービスなどをつくり出すビッグデータが、内外の関心を集めている。この際、データに含まれるプライバシー情報の漏れを防ぐ対策が不可欠となり、暗号化したまま簡単に解析できる技術開発が待たれている。 情報通信研究機構は、既に100年以上もの長期間、安全にデータを扱うことを可能とする準同型(じゅんどうけい)暗号技術を開発している。この技術を用いてデータをあらかじめ暗号化しておき、膨大なデータからコンピュータを用いた分析により有用な情報を引き出すデータマイニングが、理論的には可能だ。しかし、膨大な時間を要するため、現実的には大量のデータを処理することは困難だった。
1つとして同じCSIRTはない! CSIRTを構築するのが難しいとされる理由の1つとして「CSIRTに標準規格のようなものがないから」と言われることがよくあります。しかし、規格がないということは逆に企業や組織ごとに自由に実装してよいという意味であり、実際にCSIRTの実装の仕方は企業や組織によって大きく異なります。 私がCSIRT研究家として数々のCSIRTを調査した経験から言えば、1つとして同じCSIRTは存在しないと言っても過言ではありません。また、同業他社を真似すればよいとの声も耳にしますが、必ずしも有効とは言えません。 同業であれば、似たようなシステムを使っていたり、規制などの法的な面で同じような縛りがあったりするなど、確かに互いに参考になる部分はあるかもしれません。それでも、具体的なCSIRTの実装は同業であっても大きく異なり、むしろ異業種の方が参考になるケースも珍しくないのです
2015-08-21 なぜセキュリティ・キャンプ全国大会2015に参加できたのか 8月11日-8月15日に開催されたセキュリティ・キャンプ全国大会2015に参加したので感想を書きます。 応募用紙に「セキュリティキャンプの参加記をことこまかに書いて、情報を共有したい」と述べたので、約束は守れたと思います。 1つ1つの講義の中の細かい順番とかは少し間違ってるかもしれません許してください。また、文章が拙い+語彙力がないので読みにくいと思います。ごめんなさい。この感想になにか問題があったらTwitter:sakura@818uuuまでご連絡ください。 今年はクラス制ではなくトラック制でした。以下公式サイトより引用です。 本年のセキュリティ・キャンプ全国大会では、専門講義(全体で25時間程度)の枠組みを大幅に変更します。従来の専門講義では、クラス制を採用し、参加者は4つの分野に分かれたクラスに所属し
NSRLJPはNSRL(http://www.nsrl.nist.gov/)を補完することを目的としたハッシュデータセット(ハッシュライブラリ)です。 ダウンロード NSRLJP_202104.7z (SHA-256: ccf8cba3b4dbfd7c1252dbaaccbb661861794b205ad3a1d7884e785e12ca5d4d) (ハッシュ数: 4,142,267, ファイルサイズ: 253,337,631バイト) 免責およびライセンス 個人、商用を問わず自由に利用することができます。ただし、本データセットの利用により生じた問題については責任を負いかねます。 説明 NSRLは数千万規模のハッシュが提供されていて定期的にアップデートされていますが、日本語環境には最適といえません。NSRLJPは、NSRLのフォーマット(RDS)準拠の日本語関連のソフトウェアを中心とするハッ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く