2014年8月11日月曜日

2014年7月のセキュリティニュース

海外


エネルギー業界を狙う攻撃、電力供給網に妨害工作の恐れも
ハッカー「活動的な熊」、欧米の電力・石油会社を攻撃-調査

ハッカーにより音楽機関のウェブサイトにアクセスするとファイル共有サイトが表示されるように

中国のハッカー集団、イラク問題の米専門家を標的に=米企業

Microsoft、Outlook.comとOneDriveもTLS/PFSでサービス暗号化
Microsoft、Outlook.comとOneDriveで暗号化を強化

マイクロソフト、インドの認証局で不適切に発行されたSSL証明書を無効化
Microsoftが証明書信頼リストを更新、不正な証明書使った攻撃の恐れ

Google、不正なデジタル証明書に失効措置

Microsoftが不正利用のドメイン制御、正規のユーザーにも影響か
ダイナミックDNSがマルウェアの温床になっているとしてMicrosoftがNo-IPのドメイン差し止め

Facebookの感情伝染実験に非難の声、研究者が謝罪
FacebookのサンドバーグCOO、無断情動感染実験について部分的に謝罪
FacebookのCOO、感情伝染の実験について「伝え方が不十分だった」
Facebookの無断実験についてプライバシー擁護団体がFTCに申し立て
Facebookの感情伝染実験、米プライバシー団体がFTCに苦情申請
Facebookでは研究し放題だった」と元サイエンティスト──Wall Street Journal報道
「Facebookはユーザーの行動を常に操作しようとしている」--元従業員が暴露

ネットで購入可能な中古スマホは個人情報が抜き出し放題であることが判明

オーストラリアの少年、Webサイトの脆弱性発見で警察から注意処分に

「Dailymotion」で改ざん被害か、閲覧者がマルウェアサイトにリダイレクト

Facebook、ボットネット「Lecpetex」撃退の経緯を公開

中国人ハッカー、3月に米人事局のネットワークに侵入=NYT紙

中国政府と関連のあるハッカー集団が米国の中東問題専門家を攻撃

Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ
US-CERT、Ciscoプロダクトのアップデート推奨

Androidに脆弱性、許可なく通話発信される恐れ

Netgearのスイッチにパスワード埋め込みの脆弱性

プライバシー特化スマートフォン「Blackphone」、629ドルで出荷開始

Google、Goldman Sachsの依頼を受け誤送信メールをブロック──Reuters報道
米ゴールドマンがメール誤送信、アクセス遮断で「情報流出ない」

大手ホテルの公共PCにマルウェア、客情報が大量流出
ホテルのPCにキーロガーが仕込まれていて個人情報や財務データを盗まれる可能性がある

Facebook経由でビットコインを盗むウイルスが拡散中、キヤノンITが注意喚起

Apple、古いバージョンのFlashプラグインを遮断

Java 7のWindows XP対応は当面継続、Oracleが表明

Dropboxが企業ユーザを安心させるためにフォルダのパーミッション設定を社員一人々々の粒度に

Google、脆弱性調査に専従する「Project Zero」発足
Google、ゼロデイ攻撃撲滅に取り組む「Project Zero」チームを発足へ
Googleの超優秀バグハンターやハッカーの神童が集結したドリームチーム「Project Zero」とは

安易なパスワードの使い回しもOK? Microsoftなどが提案
簡単なパスワードの再利用がセキュリティ管理上有効であることが数学的に判明

OpenSSLの代替目指す「LibreSSL 2.0」、ポータブル版公開

「iOS」全デバイスにバックドアが存在--専門家が指摘
iOSにユーザー監視の「隠し機能」? 科学捜査の専門家が発表
iOSで指摘の「政府機関のためバックドア」、Appleが存在否定
Apple、iOSの“診断機能”に関する技術文書を掲載 研究者も自説を主張

Mozilla、Firefoxにダウンロードファイルの安全性チェック機構導入

無線LANルータのハッキングコンテスト、DEFCONで開催

AndroidにID偽装の脆弱性が存在、アプリ特権を悪用可能に

Android版Outlook.comにSSL関連の脆弱性が発覚、盗聴など受ける危険性
Android版「Outlook.com」アプリに脆弱性、中間者攻撃による盗聴の可能性

中国企業が米社と共同買い取りで動く 破産のマウントゴックス

Torでユーザーの匿名解除を試みる攻撃が発覚

「モノのインターネット(IoT)」製品の70%にセキュリティ問題

政府機関におけるサイバー脅威、2013年度は508万件検知、約6秒に1回

日本も盗聴対象? 驚がくのNSA監視リストが判明

NSA収集情報の9割が対象外? 米紙報道
NSA、一般人の写真やメールも監視 米紙報道
NSAが盗聴する9割は一般のネットユーザー、米紙の報道
すぐパスワード変更を…CIAもNSAも知ってる?

NSA、Linux Journalを反社会的勢力として監視--ソースコード流出で明らかに

NSA職員、一般人のヌード写真などを日常的に回覧
NSA職員も下世話な話好き。ネットユーザの恥ずかしい写真も見ているらしい

「保管データはいかなる国や政府にも一切アクセスさせない」、米MSのCOOがWPC 2014で宣言

独諜報員の二重スパイ疑惑、米CIAが関与

米司法当局、サイバー犯罪に組織犯罪法を適用―潜入捜査も

英、通話記録傍受へ法案 テロ対策、成立の見通し

NSAなどの大規模盗聴「危険な習慣に」 国連が報告書

英諜報機関がネットで民意操作するために使っているツール類

中国国営テレビ、iPhoneを安全保障上の懸念と批判
Apple、中国の公式サイトでiPhoneの位置情報追跡機能の安全性を説明
中国紙、iPhone禁止呼び掛け 党・政府職員に 

中国規制当局、独禁法違反で米マイクロソフトを調査
不正送金を狙う「ネバークエスト」、国内の地方銀行も標的に

Microsoft vs. 中国――Windows 8スパイ疑惑は泥沼化

Google+が実名主義を撤廃、今後はハンドルネームなどでの利用がOKに

米がハッカー攻撃で中国人訴追 軍用機情報盗んだ疑い
ボーイングから軍事情報盗む=司法省、中国人実業家を訴追-米報道

ロシアのハッカー集団、米CNETの読者情報を盗み出す
CNETがロシアのハッカーからサイバー攻撃を受けてユーザー名・パスワードを盗み出される

Wall Street Journal紙に不正侵入、データベースの脆弱性を悪用
アクセス認証情報の闇市場:ハッキングされた『The Wall Street Journal』

ECBのサイトにハッキング、相場に影響する情報は流出せず
欧州中銀、ハッキング被害=メールアドレス2万件流出
欧州中央銀行のWebサイトから情報流出、データベースが破られる

北朝鮮 サイバー戦要員を2倍増=約5900人と推定

米国、中国にサイバーセキュリティー問題での協力再開を要求へ

米ナスダックに「デジタル爆弾」、ロシア関与の報道

カナダ政府研究機関にサイバー攻撃 外相、「中国」名指しで抗議
カナダ、中国からサイバー攻撃受けたと異例の批判

POSシステムを狙うブルートフォース攻撃発生、日本からの攻撃も

グーグルに7万件の削除要請--「忘れられる権利」判決で
Googleの法務責任者、“忘れられる権利”について欧主要メディアに寄稿

マイクロソフトも「忘れられる権利」に対応、欧州で個人情報削除

Googleドライブで第三者にデータ流出のセキュリティホールが発覚、対処法も

Oracle、JavaのWindows XPのサポートについて説明。『XPでJavaが動かなくなる』は誤解
Java 7のWindows XP対応は当面継続、Oracleが表明

Google Playの人気アプリ、8割で偽アプリも存在

AndroidにID偽装の脆弱性が存在、アプリ特権を悪用可能に

OpenSSL代替の「LibreSSL」、初のメジャーリリース
OpenSSLの代替目指す「LibreSSL 2.0」、ポータブル版公開

Mozilla、Firefoxにダウンロードファイルの安全性チェック機構導入


国内


日本IBM、セキュリティ人材育成支援の研修サービスをスタート
企業のセキュリティ人材育成を支援、日本IBMがCSIRT研修サービスを提供開始

東京電力、「XP搭載PCを4万8000台使用継続」報道にコメント

脆弱性報奨金制度にも取り組む、サイボウズCSIRTの日々の活動
4カ月で280万円支払い、サイボウズが脆弱性報奨金制度の成果を説明
サイボウズ、社内CSIRT「「Cy-SIRT」の活動や脆弱性報奨金制度を説明
サイボウズのセキュリティその後―Cy-SIRT活動報告など

三菱東京UFJ銀行をかたるフィッシング詐欺に注意

ODNをかたり、パスワードを記入してメールで返信するよう促すフィッシング

「eo光」のDNSサーバーがDDoS攻撃被害、ほぼ復旧するも正式発表はまだ
ケイ・オプティコム、DDoS攻撃によるDNSサーバー障害が復旧したと発表
eo光のDNSサーバーへのDoS攻撃をまとめてみた

バッファローのファイル改竄問題の経緯と実態を追う
ダウンロードファイルが改ざん!バッファローに事故の裏側を聞く

ベネッセの情報漏えいをまとめてみた。

内部情報漏えいは“不正のトライアングル”で起こる、まずは現状確認を
内部関係者による情報漏えいを繰り返さないためにできること

ビル管理システムを対象とした探索行為を検知、警察庁が注意喚起

有名企業の広告料、違法サイトに流入 警察庁、対策強化

「Baidu IME」の自動アップデート機能で別ソフトがインストールされる障害が発生

アンケートサイト「あんぱら」で約1万5000件の不正ログイン - ポイントの不正利用も

JSSECがAndroidアプリ開発者向けガイド改訂、利用者情報の扱い方など追加

韓国によるLINE盗聴疑惑、日本のユーザーはどう対処すべきか

LINE乗っ取り、警視庁が捜査開始、100件650万円の被害確認
LINEが不正ログイン防止施策、パスワード変更した人に特製スタンプをプレゼント
PC版「LINE」に本人確認機能 「認証番号」で乗っ取り被害防止
「LINE」アカウント乗っ取り防止、スマホ版に4桁のPINコード入力機能を提供
LINE乗っ取り、「WebMoneyを購入してほしい」友人からのメッセージに注意
LINE詐欺、東京で100件=被害額は650万円-警視庁
LINE詐欺:なりすまし被害650万円 都内で100件
LINEが乗っ取り対策を強化、スマホ版で「PINコード」による本人確認

LINE、中国でアクセス困難に--遮断が原因か
LINE だけではない、中国でのアクセス不能、カカオトーク、OneDrive、Flickr も

NTTコムのサービス、個人情報最大378人分がWeb閲覧可能だったことが判明
NTT Com「思い出あんしん保管」、顧客情報378人分が閲覧可能だったことが判明

OCN IDでなりすましによる不正利用が発覚、景品交換などに悪用される
NTTコムのメールサービス「OCN」に不正ログイン=最大60万円のポイント換金
「gooポイント」でなりすましによる不正利用 568IDで最大60万円の被害
移行期間中に狙われたポイントークとgooポイントの不正利用についてまとめてみた

メールソフトの不具合でメールアドレスが流出 - グローバルテクノ

2012年の個人情報漏えいは初の2000件超、原因の9割は人為ミス

サポート切れ近づくWindows Server 2003、IPAが早期移行を呼びかけ
マイクロソフト、新たなWindows Server 2003移行支援策を提供――あらためて早期移行を呼び掛け

dit、マルウェアの特定と社内感染の追跡を実現する「CAPLogger」

NTP悪用したDoS「NTPリフレクター攻撃」が1月から増加--ラック調査

IPA、標的型サイバー攻撃対策の新部隊を正式発足 国家防衛の一翼に
IPAが「サイバーレスキュー隊」を発足、標的型攻撃対策を支援する専門部隊
標的型攻撃の連鎖を絶つ――IPAが「サイバーレスキュー隊」発足
標的型サイバー攻撃に立ち向かう、IPAのサイバーレスキュー隊が正式発足

サイバー攻撃5倍に急増 日本の政府機関を標的

危険な攻撃が横行、2014年4~6月期の脆弱性状況

アダルトサイトよく見るIEユーザーは注意、銀行情報盗むマルウェアの標的に

サイバー攻撃防止システム、耐久度を公的認証 

不正送金マルウェア、今度は国内カード20社のユーザー狙う
不正送金ウイルスがアップデート、国内カード会社20社を標的に

不正送金マルウェアが標的拡大、地方銀行も狙い出す
不正送金を狙う「ネバークエスト」、国内の地方銀行も標的に
日本のオンラインバンキング利用者を狙う「Snifula」、地方銀行12行も標的に

不正送金マルウェア感染者にISPから通知、FBIのシステムで感染端末を特定

全銀協、法人向けインターネットバンキングにおける補償の考え方を公表

オンラインバンキングの不正送金被害、法人向け対策も加速へ

「個人情報削除」詐欺が急増、被害額は平均218万円
「漏洩した個人情報を削除します」詐欺が急増、1000万円以上の被害も
個人情報:「公的機関が削除しますよ」詐欺手口が増加
「漏洩した個人情報を削除します」、ベネッセ事件便乗の怪しい電話に注意

「スカパー!」顧客システムが12日ぶりに全面復旧、Web手続きも再開

【速報】内閣府防災公式アカウントがスパム拡散
お粗末!AKBのスパムばらまいた内閣府防災担当ツイッター
内閣府防災アカウントがつぶやいたスパムツイートを少し調べてみた

オムロン、4駅の利用客映像を無断で流用 2.5億円受け取る 

サイバー対策で次官級ポスト

アイ・オーのネットワークカメラ「Qwatch」に脆弱性、覗き見される危険も

DNSサーバーを狙ったDDoS攻撃、オープンリゾルバーを踏み台に

NTTドコモ利用者狙う偽サイトが出現、見た目もドメイン名も偽装
各社から模倣サイトの注意喚起~ゲートウェイサービス誤認の可能性
NTTグループや楽天が発表した模倣サイトについて調べてみた

ビットコインに不正アクセス 警視庁が捜査開始

【PC遠隔操作事件】「なぜこのような事件を起こしたか自分でも分からない」(第12回公判傍聴メモ)
【PC遠隔操作事件】誤認逮捕に、警察の能力を上回った満足感(第13回公判傍聴メモ)
【PC遠隔操作事件】「事件は『ツリ』でした」(第14回公判傍聴メモより)

単純所持禁止する改正児童ポルノ法、7月15日施行 1年間は罰則適用なし

「個人情報」は同意なしに使ってもいいのか

2chの過去ログを閲覧できた「unkar」閉鎖

実はこんなにいた! セキュリティ女子

沖縄の暑さに負けない熱戦を繰り広げた「Hardening 10 APAC」