2014年11月10日月曜日

2014年9月のセキュリティニュース

海外


Windows 9に便乗するサイバー詐欺出現、増加予想も

IEで古いActiveXコントロールをブロック、IT管理者は対応準備を

iCloud問題が影響? 有名人の写真が匿名掲示板に大量流出
「iCloud」にハッキング攻撃か、セレブのプライベート画像が多数流出
アップル、著名人画像流出と「iCloud」脆弱性の関連を「積極的に調査」
アップル、「Find My iPhone」の脆弱性に対応
アップル、著名人写真流出で調査結果を明らかに--ターゲット攻撃によるもの
Apple、有名人の写真流出について調査結果を公表、システムの欠陥は否定
Apple、アカウントハッキングは確認するもiCloudシステムの侵害は否定
セレブの画像が流出した「iCloud」、Appleがセキュリティ強化へ
ジェニファー・ローレンスのヌード写真はなぜ流出したのか―ハッカーから身を守るには?
Apple、セレブのヌード写真流出に関してiCloudへの不正アクセスを認める―システムのハッキングは否定
Appleはセキュリティー問題への対処で透明性、対話性を改善する必要がある

セレブのヌード画像の偽リンク、ニュージーランドで大規模ネット障害
流出ヌード写真うたう偽リンク、NZで大規模ネット障害招く
ヌード見たさにクリック=全土でネットに障害-NZ

「セレブ画像に釣られるな!」――流出事件に便乗する詐欺に注意
有名人のヌード写真流出事件に関連する詐欺にご注意

大量のプライベート写真を流出させたハッカーが今度はFlappy Birdを利用しようとしていたことが判明

Chrome拡張機能のセキュリティを回避するマルウェア登場

PCの最多脅威は6年前のマルウェア、XP終了でも効果なし――エフセキュア

Windows XPのOS市場シェア、8月もまだ20%以上

イスラム過激派とのツイッター戦争に挑む米サイバー戦闘員

北朝鮮は国外からサイバー攻撃を遂行、HPがレポートを公開

中国が独自OSで米国支配に挑戦状、国内での普及を受け新興国へ

米ホームセンター大手The Home Depot、決済システムへの不正侵入を確認
米小売大手の2200店舗からカード情報流出か、被害規模は数千万件
米ホームセンターの大規模情報流出、マルウェアが判明

ホーム・デポ襲ったハッカー、ターゲット攻撃と別グループか

マルウェアがSalesforceを標的に、顧客に注意呼び掛け

Gmailアドレスとパスワード約500万件が流出か
約500万件のGmailアカウントとするリストが公開、Googleはシステム侵害を否定
Gmailのログイン情報流出、通用可能は「ごくわずか」――Google説明
約500万件のGmailアドレスとパスワードが漏えい、流出元は別サイトか

Apple、「どんなアプリの申請を却下するか」の説明ページを開設

Apple、iCloudに2段階認証を導入

Appleはユーザーを商品扱いしない──クックCEOが公開書簡でプライバシーについて説明
Apple、プライバシーに関するCEOの公開書簡「あなたの信頼がすべて」

GoogleやDropbox、使いやすいセキュリティツールを開発へ
「セキュリティは簡単であるべき」を目指す団体、GoogleやDropboxらが設立

Google、「SHA-1」サポート中止のスケジュールを発表

AppleとGoogleのスマホデータ暗号化にFBIが懸念

iPhone 6のTouchIDも「ハッキング可能」、セキュリティ企業が検証

「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も
「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も
UNIXとLinuxの「Bash」シェルに重大なセキュリティホール
「Bash」のバグを利用する攻撃、早くも見つかる
bashの脆弱性、追加の修正パッチも一部リリース
bashの脆弱性でAppleがコメント、「デフォルトのOS Xは安全」
Bashの脆弱性、「Mac」ユーザーの圧倒的大多数に影響なし--アップルがコメント
重大な脆弱性Shellshock、「ほとんどのOS Xユーザーは安全」とApple
Apple、「bash」脆弱性対応のOS Xアップデートをリリース
bashの脆弱性を突く攻撃がさらに増大、重大性はHeartbleed以上
bashにコードインジェクションの脆弱性「Shellshock」、管理者に大きなショック
「Shellshock」脆弱性、セキュリティ企業が事例など報告
bashの脆弱性を狙う攻撃が発生、サーバー管理者は対策の実施を
「ShellShock」は公式パッチでは不十分、JPCERT/CCが追加の注意喚起
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

AndroidのAOSPブラウザに脆弱性、情報盗聴の恐れ

キヤノン製プリンタのファームウェアを改ざん、セキュリティ企業が披露

米政府の保険登録サイトにハッカー攻撃

中国サイバー攻撃、年20回=米軍と輸送契約の企業標的
米軍契約業者に中国ハッカーが不正侵入、1年間に20回以上

自動車や交通システム、米でサイバー防御に隙 

jQueryにWebサイトにインジェクション攻撃、不正コード挿入の報告も

MozillaのNSSライブラリに脆弱性、FirefoxやGoogle Chromeのアップデート公開

Microsoft月例パッチの一部にまた不具合、配信停止

米Microsoft、Office 365など対象にバグ発見報奨金プログラム開始
Microsoft、オンラインサービスの脆弱性情報に賞金制度を導入

Twitter、HackerOneを通じてバグ探し懸賞プログラムを開始

米GM、初のサイバーセキュリティ責任者を任命

Googleの広告サーバ「DoubleClick」がマルウェアを配信していた

米AmazonのKindle管理サイトに脆弱性、不正な電子書籍で悪用可能に

「Appleはメディア操作用に匿名のSNSアカウントを持っている」など、Appleの広告戦略のこれまでと今後

中国企業がIPO前に書類改ざんか、国際ハッカー集団が指摘

オバマケアサイトはセキュリティおよびプライバシーが脆弱、米当局が報告

マルウェアの氾濫ぶり続く――McAfee調べ

Heartbleedの脆弱性で盗まれたデータが今もブラックマーケットで取引(マカフィー)

世界中の諜報機関御用達で推定約69億円を売り上げるスパイウェアが誰でも自由にダウンロード可能に

FBIがニュースサーバを支配して裏から操作していたことが内部告発される

AppleとGoogleのスマホデータ暗号化にFBIが懸念

「Instagram」、中国でアクセス不能か--香港民主化デモ受け


国内

危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化

CSIRT・SOCの組織体制づくり、ノウハウ不足が足かせに
従業員1,000名以上の法人の4分の1がCSIRT/SOCを設立予定--トレンドマイクロ調査
大手企業の1割以上が「CSIRT/SOCを設立済み」、「設立予定」は4分の1

相次いだ“模倣サイト”は「プロキシ回避システム」 危険性はなかった トレンドマイクロが解説
NTTや大阪府警はなぜ、不正ではない「模倣サイト」に関する注意喚起を発表したのか?

政府、ホワイトハッカー採用へ サイバー攻撃対応で 

サイバー防衛の模擬攻撃訓練 ウイルス投入、28年度にも

陸・海・空・宇宙に続くサイバー空間を日本は守れるのか

DEF CON 22の頂上決戦!CTFでの日本チームを追う

パロアルトネットワークス合同会社 弊社日本語サイト に関する重要なお知らせ
パロアルトネットワークスのWebサイト改ざんについてまとめてみた

データベース管理者の1割は「情報を売るかもしれない」

キングジムの名刺スキャナ&保管箱「ビズレージ」で個人情報流出、実在する人物の名刺で試験したため

Apple IDを狙うフィッシングサイト構築キットの存在を確認、トレンドマイクロ

非公認アプリでアカウント乗っ取り被害、IPAが注意喚起
非公認アプリへのIDやパスワードの登録は危険、IPAが注意喚起
大手企業をかたる「非公認アプリ」に注意、アカウントを乗っ取られる恐れ

「個人情報が漏洩しました!」、三菱東京UFJ銀行をかたるフィッシング

ネットバンキングを狙うマルウェア、「ヤフオク!」ユーザーも標的に

多数のAndroidアプリにSSL関連の脆弱性、日米機関が注意喚起
多数のAndroidアプリにSSLサーバー証明書の検証不備、IPAが開発者に確認呼び掛け

ネット不正送金被害は半年で18.5億円に、法人被害が急増
ネットバンキング不正送金、2014年上半期の被害は18億円以上、法人被害が急増

不正送金マルウェアが猛威、2段階認証突破を試す機能も
高度化する不正送金マルウェア、二要素認証の仕組みも突破して自動送金

国産セキュリティソフトを邪魔するマルウェア出現

2014年上半期、サイバー犯罪の検挙件数は3697件、手口の悪質・巧妙化が進む
日本で見つかった最新の標的型メール攻撃、就活なりすましやモバイル狙いも
標的型メール、準備周到=交流サイトで事前接触も-上半期7%増・警察庁
担当者の警戒を緩め侵入を狙う、情報共有で見えた攻撃の全貌
ショートカット悪用の標的型攻撃が急増、Androidスマホも狙われる

日本を狙うサイバー攻撃で注意喚起、不審なメールや対策状況の確認を
ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明

セキュアブレインが警視庁にセキュリティ協力、ネット犯罪関連情報を提供

4割が勤務先のデータを社外に持ち出し、デジタルアーツの調査

進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応

JR東で2万1000件の不正ログイン、パスワード設定で注意喚起
JR東日本、ID・パスワード共有サービス「My JR-EAST」に不正ログイン2万1000件
JR東の「My JR-EAST」サイトに2万件の不正ログイン、サービス停止
2014年9月にMy JR-EASTへ行われた不正ログインについてまとめてみたAdd Star

クロネコメンバーズにパスワードリスト攻撃、不正ログイン多発
ヤマト運輸の「クロネコメンバーズ」で不正アクセス--1万件の個人情報閲覧か
「クロネコメンバーズ」に不正ログイン、約1万件の個人情報が閲覧された可能性
クロネコWebサイトに不正ログイン、メールアドレスや住所が流出の可能性
2014年9月にクロネコメンバーズへ行われた不正ログインについてまとめてみた

佐川急便でも不正ログイン、運輸・物流業界でパスワードリスト攻撃相次ぐ
2014年9月に佐川急便のWebサービスへ行われた不正ログインについてまとめてみた

「docomo ID」に不正ログイン、6072ユーザーの個人情報が閲覧された可能性
NTTドコモの「docomo ID」への不正ログインが発覚、リスト型攻撃で
2014年9月にdocomo IDへ行われた不正ログインについてまとめてみた

リクルート、通販サイト「ポンパレモール」で9,749件の不正ログインが発生
2014年9月にポンパレモールへ行われた不正ログインとじゃらんnetへ行われた第三者による会員登録行為についてまとめてみた

楽天、パスワードリスト攻撃による不正ログインについて注意喚起を強化

IPA、不正ログインを防ぐためにIDとパスワードの使い回しをやめるよう呼び掛け
面倒だけど避けては通れない、いまこそ考える「パスワード使い回し対策」
プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ

JALで情報流出、マイレージ会員情報など最大75万件の可能性も
JALの情報流出、約2万1000件が外部サーバに送信
JAL、不正アクセスで大量の顧客情報を流出--抜き取りコマンドを確認
JALの顧客情報システムに不正アクセス、最大75万件の情報が漏えいの可能性
日本航空の顧客管理システムへの不正アクセスについてまとめてみた

法務省に不正アクセス 情報流出の可能性
法務省サーバーに不正アクセス 情報流出の可能性
法務省民事局及び法務局のサーバ等への不正アクセスを確認した件について
2014年9月に法務省で発生した不正アクセスをまとめてみた

NTTドコモが法人顧客情報流出で謝罪、作業用システムで詳細ログを取らず
ドコモで千人分の情報流出 社内関係者が持ち出しか
ドコモ、法人顧客の情報流出--「犯人の意図分からない」と吉澤副社長
NTTドコモで発生した法人ユーザーの情報流出についてまとめてみた

ブログでソフト試用解除ツール提供 容疑で少年逮捕、MSオフィス被害

オンラインゲームにDDos攻撃 「面白いので何度もやった」 熊本の高1男子を書類送検
ゲーム会社にサイバー攻撃容疑 高1男子生徒を書類送検
2014年3月にゲームオンのオンラインゲームへ行われたDDoS攻撃をまとめてみた

毎年恒例、9月18日に日本を狙うサイバー攻撃は起きるのか?
「9月18日」恒例のサイバー攻撃は下火? 週末も要注意

研修案内メール誤送信で関係機関のアドレス流出 - 大阪府

ラック自身が「モルモット」に、どんな攻撃を受けたか情報公開
ラック、検知した自社へのサイバー攻撃情報を「脅威分析情報」として公開

WAFで見つけたWebサイトへの攻撃状況は?
シマンテックがWeb攻撃の傾向を解説、最多の攻撃はSQLインジェクション

IIJがImperva製WAFの導入サービスを開始、運用はNRIセキュアと連携

サイボウズが実施した「バグハンター合宿」、2日で53件の成果
脆弱性見つける報奨金制度、予想超える成果もリスク覚悟

セキュリティ・キャンプ 全国大会 2014レポート:
成長し、超えてゆけ――若者たちと過ごしたセキュリティの熱い夏

セキュリティ対策を安く的確に実施する方法

偽の緊急地震速報に気象庁が注意喚起
緊急地震速報を装った迷惑メール--気象庁が発表
気象庁、緊急地震速報を装った迷惑メールに注意を呼び掛け
緊急地震速報を装った迷惑メールが出回る、気象庁が注意を呼びかけ

スタバの店内Wi-Fi、事前登録不要で利用可能に、SNSアカウント認証に対応

「FC2」国内会社捜索=米社ダミーか、創業者ら立件視野-わいせつ中継ほう助容疑
「FC2」ついに実質的な運営者が判明か 大阪の会社を捜索 性行為ライブ配信手助けの容疑で

LINEがPINコードを強制化、推測可能文字列に注意
LINE、PINコードの設定を全ユーザーに強制化、9月22日より
LINE、今日からPINコード義務付け、スマホ版アプリ起動時に設定画面を強制表示
スマホ版LINEのPINコード設定が義務化、不正ログインの被害拡大防止

普通の対策では防げない「内部不正」を見つけるポイントは?

危険ドラッグ販売サイト、ISPに削除依頼へ、通報窓口のガイドライン改定

AWSのセキュリティ、ユーザー企業はどう考えている?

防衛隊も納得? 日本のインフラを守るセキュリティ技術の現場に行ってみた(前編)
マルウェアでブラックアウトの衝撃 インフラを狙うサイバー攻撃を体験してみた(後編)
重要インフラのセキュリティ対策、その最前線を見てきた
「体験こそ最高の学習」制御システムへのサイバー攻撃を疑似体験

ベネッセとラックが合弁会社設立へ、事件受け「世界有数の体制目指す」

ベネッセ漏洩対象は国内総人口4割の4800万人、各世帯に500円金券を配布

「セキュリティに過信があった」、ベネッセが情報漏えいの再発防止策を発表
ベネッセ、顧客情報漏えいに関する事故調査委員会の調査結果を公表
ベネッセHD、情報漏洩の事故調査委報告書を公開

ベネッセ、情報漏えい被害者へのお詫びは500円分の金券
ベネッセ顧客情報漏えい問題、お詫びの品として500円分の金券を提供

ベネッセ、高セキュリティのDB保守・運用会社を新設、ラックと合弁で

ベネッセの情報漏えいはなぜ起きた? 調査報告で問題詳細が明らかに 

“ログ取得・分析”という抑止力―ベネッセ事件に寄せて

2012~13年度のセキュリティ被害額、日本は83%増も米国では50%減に