先週&今週のセキュリティニュースを流し読み

投稿日と更新日

【セキュリティ ニュース】和歌山県国際交流センターのサイトが改ざん ? 不具合で1度停止するも改ざん気づけず:Security NEXT:http://mcaf.ee/5jmkb

和歌山県国際交流センターのウェブサイトが改ざんされ、閲覧者にウイルス感染のおそれ
があることがわかった。
5月19日15時半過ぎからウェブサイトを閉鎖した5月21日17時ごろにかけて、同センターの
サーバ設定ファイルやトップページが改ざんされた状態となったもの。期間中にサイトを
閲覧した場合、マルウェアへ感染している可能性がある。

同件によれば、21日に同センター職員がデータを更新できない不具合が発生したことから
サイトを閉鎖。当時改ざんについて気が付いておらず、翌22日に委託先が安全性を確認し
たとしてバックアップより復旧、再開していた。しかし、その後23日になって閲覧者よる
指摘で改ざんされたことに気が付き、再度サイトを閉鎖したという。

具体的な閲覧件数はわかっていないが、これまでの推計で約50件のアクセスがあったと同
県では見ており、すでに感染に関する相談1件が寄せられている。同県では、心当たりが
ある利用者に対し、マルウェアへ感染していないか確認するよう呼びかけている。
企業の情報漏洩は平均2億円のコスト–40%は従業員の不注意 – ZDNet Japan:http://mcaf.ee/rpije
事業面での損失コストは平均で7505万7636円になるという。これらのコストは、業界や
企業の平均よりも高い異常な顧客離れ、顧客獲得活動の増加、評判の失墜、業務上の信用
低下に関連していると説明する。
【セキュリティ ニュース】委託先に不正アクセスがあり顧客情報が流出 ? 世田谷パブリックシアター:Security NEXT:http://mcaf.ee/yfiak
世田谷パブリックシアターは、委託先に不正アクセスがあり、顧客情報の一部が外部へ流
出したことを明らかにした。

流出したのは同シアターに登録している顧客の情報。5月18日に委託先であるチケットシ
ステム運営会社から、不正アクセスにより情報漏洩が発生したとの報告を受けたという。

同シアターでは、委託先とともに不正アクセスの原因について特定し、対策を実施したと
説明しているが、具体的な被害の規模や内容については公表していない。対象となる顧客
に対しては、漏洩内容の報告などを順次行うとしている。
委託先に不正アクセスが、というのが怖いですね。お客様が一生懸命情報漏えい対策をしていても、
eAが行なっていなければ全く意味のないことになってしまいます。そういう意味ではeAの社内環境を
チェックするお客様・代理店様が増えているのもうなずけます。

PHPの脆弱性を突くコードが相次ぎ出現、SANSが注意喚起 – ITmedia ニュース:http://mcaf.ee/jc5zf

PoCコードの出現はSANSが5月19日付で伝えた。脆弱性はPHP 5.4.3の「com_print_typei
nfo」機能に存在し、Windows版が影響を受ける。
【セキュリティ ニュース】外部から個人情報流出の指摘、流出経路を調査 ? 総合メディカル:Security NEXT:http://mcaf.ee/yft30
医業機関の経営コンサルティングや調剤薬局など展開する総合メディカルは、外部から個
人情報漏洩の指摘があり、同社が作成した資料と同一内容だったことから漏洩経路などを
調べている。

同社によれば、5月8日に同社が作成した書類や個人情報をごみ袋から発見、手元に所有し
ているとの電話があり、2日後に資料の一部としてファックスが届いたという。

受信ファックスの一部が、同社従業員が営業活動の際に持ち歩いていた数年前の資料と一
致。氏名や専門、職場など顧客である医師24人分の個人情報が記載されていた。流出経路
はわかっていない。

同社では関係者への聞き取りなど流出経路の特定を急ぐとともに、関連する医師に対して
事情を説明し、謝罪した。特別な要求などはなく事件性はないとしているが、警察へ相談
している。

個人ユーザーのPCセキュリティ導入、日本は下から4番目 – ITmedia エンタープライズ:http://mcaf.ee/61zs4
パスワードの保存(HashとSaltとStretching)|セキュリティ|ブログ|Computerworld:http://mcaf.ee/kel21
あくまで基本ということで。ベターな方法は→ http://mcaf.ee/gnri9
Maker’s Voice:ITセキュリティの基本はやはり脆弱性対策??HP担当者 – ITmedia エンタープライズ:http://mcaf.ee/qgifh
国内のWebサイトで改ざん被害続く~閲覧者にウイルス感染のおそれ:セキュリティ通信:So-netブログ:http://mcaf.ee/bw12n
ニュース – PowerPointファイルにも危険が潜む、開くだけでウイルス感染の恐れ:ITpro:http://mcaf.ee/yaie6
埋め込まれているFlashファイルが悪用する脆弱性は、2011年4月に公開されたFlash Pl
ayer 10.2.159.1で修正済み。これよりも新しいバージョンをインストールしているパソ
コンでは影響を受けない。
【セキュリティ ニュース】神奈川県観光協会のサイトが不正アクセスで改ざん ? 閲覧でウイルス感染の可能性:Security NEXT:http://mcaf.ee/o4xtg
神奈川県観光協会が運営するウェブサイト「観光かながわNOW」が改ざんされ、閲覧者に
ウイルス感染のおそれがあることがわかった。

同協会によれば、外部から不正アクセスがあり、6月1日6時半過ぎから11時ごろにかけて
ウェブサイトが改ざんされた状態となった。改ざんされたページを閲覧した場合、外部サ
イトへ誘導され、ウイルスに感染する可能性があったという。

同協会では、ウェブサイトの復旧に向けて作業を進めるとともに、心当たりがある利用者
に対し、ウイルスへ感染していないか確認するようアナウンスを行っている。
LinkedInのパスワード650万件が流出か、会員はパスワード変更を – ITmedia エンタープライズ:http://mcaf.ee/08bzn
LinkedIn、パスワードの盗難被害を認める – CNET Japan:http://mcaf.ee/6ktgc
LinkedInはSHA-1アルゴリズムを使ってパスワードを暗号化していたが、解読を難しくす
るための暗号化技術を適切に用いていなかったと、Cryptography Researchのプレジデン
ト兼チーフサイエンティストPaul Kocher氏は指摘する。パスワードはハッシュ暗号化機
能を用いて解読できないようになっていたが、「ソルティング」と呼ばれる手法でそれぞ
れのパスワードに使われていたハッシュをパスワードごとに固有にしていなかったという。
LinkedIn騒動に便乗の詐欺メールが流通、パスワード保存に問題も – ITmedia エンタープライズ:http://mcaf.ee/09pxz
LinkedInモバイルアプリ、プライバシー上の懸念に応えてアップデート – CNET Japan:http://mcaf.ee/kw3xe
モバイルセキュリティ研究家Yair Amit氏とAdi Sharabani氏は、ユーザーが「iOS」版Lin
kedInアプリでカレンダーのオプトイン機能をいったん有効にすると、パスワードや会議
メモといったユーザーのカレンダー入力情報がLinkedInサーバに自動的に送信されること
を発見した。ユーザーに開示されていないこうしたデータ送信は、ユーザーから明示的な
許可を得ずにユーザーのデータを収集および送信することを禁じるAppleのプライバシー
ガイドラインに違反する可能性がある。

LinkedInの関係者は米国時間6月5日夜、同社は「会議データからの情報を使用して、ユー
ザーが会う人物のLinkedInプロフィール情報を照会し、その人物についてより多くの情報
を得られるようにする」と説明した。
LinkeInネタ連投です。

BIND、サーバに障害が生じる緊急度「重大」な脆弱性に対応 | エンタープライズ | マイナビニュース:http://mcaf.ee/287gm
あまり管理されていることはないと思いますが。

ニュース – 「国家があなたを狙ってますよ」、Googleのサービスに警告機能:ITpro:http://mcaf.ee/3x72s
Microsoft Updateと最悪のシナリオ – ITmedia エンタープライズ:http://mcaf.ee/61rb7
良いニュースは、これが経済的な利益に興味を抱くサイバー犯罪者によってなされたこと
ではない、ということだと思う。彼らは、何百万ものコンピュータを感染させることがで
きただろう。しかしこのテクニックは、おそらくは西側の諜報機関が開始した、標的型攻
撃で用いられた。
MSが提供したんではないかと妄想してしまいました。

エフセキュアブログ : 開いたことを後悔するであろうパンドラの箱:http://mcaf.ee/qovpy
米国当局がStuxnetは米国とイスラエルの共同作戦だったことを認める?ああ、そうですか、でもどうして私たちに言うんですか大統領閣下?(The Register) | ScanNetSecurity (国際、TheRegisterのニュース):http://mcaf.ee/6i978
このへん見てると、もうインターネットは牧歌的な世界ではないなと感じます

めんどうくさいWebセキュリティ – 翔泳社の本:http://mcaf.ee/ldqh1
“Web セキュリティ”と聞くと、どうにも腰を上げるのが億劫になってしまいがち。けれ
ども、Web の原動力を支えるには必要不可欠な技術要件。その現状を、深い洞察とともに
コンパクトにまとめました。本書はWeb アプリケーションセキュリティの世界で何が起き
ているか、その現状をシステマチックかつ徹底的な分析をした初めての本です。
紹介ページに説明がないってどうなんでしょうと思います。
販売のページには説明があります→http://www.seshop.com/product/detail/14478/

6月のMicrosoft月例セキュリティ情報は7件、WindowsやIEの脆弱性に対処 – ITmedia ニュース:http://mcaf.ee/le64p
6月の月例セキュリティ情報はWindows、IE、Visual Basic for Applications、Dynamics
AX、.NET Frameworkの各製品が対象となる。このうちWindowsとIE、.NET Frameworkを対
象とする3件が、Microsoftの4段階評価で深刻度が最も高い「緊急」と分類され、残る4件
は上から2番目に高い「重要」と分類されている。
来週水曜になります。

日本企業はセキュリティを“見ない、聞かない、言わない”の三猿 – ZDNet Japan:http://mcaf.ee/ongj0
企業はセキュリティ対策に継続的に投資しているが、自社のセキュリティ状況を可視化し
て正しく認識している企業は極めて少ないと分析。情報セキュリティ対策管理体制も整備
されていない状況であるとも説明する。こうしたことから、今回のホワイトペーパーでは、
日本企業の多くは、自社の現状を“見ない”、外部の専門家の意見や情報を“聞かない”、
現場ユーザーが社外のクラウドサービスやソーシャルメディアなどの利用をIT部門に“言
わない”という「三猿」の状況に陥っていると警告している。
まあ、やってもお金にならず、それどころか費用ばかりかかりますから。でもニュースをまとめてみて思うのは、
トラブルが起こる前に予防しておいたほうが、トータルのコストは下がるんだろうなということです。

モジラ、複数の深刻な脆弱性を修正した「Firefox 13.0」公開:セキュリティ通信:So-netブログ:http://mcaf.ee/7vu0k
修正された脆弱性は、重要度が4段階評価で最も高い「最高」4件と、上から2番目の
「高」2件、3番目の「中」1件。解放したメモリーの使用やメモリー破壊の問題、特権昇
格の脆弱性など、悪用されるとコード実行につながるおそれのある深刻な問題が修正され
ている。

ESR版とAndroid版の「10.0.5」では、「13.0」と共通の重要度「最高」の脆弱性4件と、
「中」2件、「低」1件の計7件が修正された。

最新版は、自動更新機能を通じて配布されているほか、[ヘルプ]メニューの[Firefoxにつ
いて]を選択し、[ソフトウェアの更新を確認]ボタンを押せば、今すぐ更新できる。
こちらもお忘れなく。

狙われ続ける「Facebook」ユーザ、パスワード取得目的のハッキングツールを確認 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog):http://mcaf.ee/fnse5
この手の物は減りませんね


体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践


体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

AMAZONで購入

ATTRIP Search

  1. ホーム
  2. ぼくのこと
  3. 先週&今週のセキュリティニュースを流し読み