2014年1月1日水曜日

2013年12月のセキュリティニュース


海外

米アカマイ 、サイバーセキュリティ会社プロレクシックを約3.7億ドルで買収へ
http://jp.reuters.com/article/marketsNews/idJPL4N0JH32L20131202

Webブラウザの4割に深刻な脆弱性、原因はプラグインに
Secure Your Browser Before Shopping Online

D-Link製ルータにバックドアの脆弱性、ファームウェアの更新を
D-Link routers authenticate administrative access using specific User-Agent string

20年間「00000000」のままだった核ミサイル発射コード

Facebookのログイン情報など200万件が流出、米セキュリティ会社が確認
200万件の盗難パスワードがマルウェアサーバに、大手サイトのアカウントも発見
盗まれた約200万件の認証情報DB、研究者が発見--FacebookやTwitterなど
Look What I Found: Moar Pony!

Microsoft、今年3度目のボットネット撲滅作戦展開
Microsoft、ZeroAccessボットネットの一部閉鎖に成功
Microsoft, the FBI, Europol and industry partners disrupt the notorious ZeroAccess botnet

「スパム/フィッシングメール対策規格に成果」、Googleが調査結果を発表
電子メール認証技術のDKIMとSPF、フィッシング防止に貢献--グーグルが公表
Internet-wide efforts to fight email phishing are working

欧州5カ国の外務省に中国からハッキング攻撃、海外メディアが報道
欧州外相らに中国からハッカー攻撃、9月のG20会議前=調査
Chinese hackers spied on Europeans before G20 meeting: researcher

Googleドメイン用の不正証明書が発行される、各社が失効措置へ
Microsoft、不正な証明書失効の更新プログラムをWindows XP向けにも提供
Further improving digital certificate security

Facebook友達からのメッセージで不正サイトに、米機関が注意喚起
Facebook Phishing and Malware via Tumblr Redirects

盗んだ証明書を使うマルウェアが増加、Microsoftが注意呼び掛け
Be a real security pro - Keep your private keys private

不正なIISモジュール見つかる、インストールにColdFusionの脆弱性を使用
The Curious Case of the Malicious IIS Module: Prologue (Method of Entry Analysis)

米小売大手で100万件超のカード情報流出か、過去最大規模になる恐れ
米Target、約4000万枚のクレジットカード情報流出を確認
Targetから流出のカード情報、闇市場で大量流通
Targetのカード情報流出でフィッシング詐欺発生
Targetのカード情報流出、米主要州の検事総長らが調査
大手量販店のTargetで史上最大級のハッキング被害―4000万人分のクレジットカード情報がまるごと流出
Sources: Target Investigating Data Breach

Poor Patching, Communication Facilitated July Dept. of Energy Breach

中国の人民銀サイト:一時不具合、ビットコイン業者のハッカー行為か
China's central bank hit by DDoS after Bitcoin blitzhttp://www.theregister.co.uk/2013/12/19/bitcoin_ddos_pbos_china_bank/

PCの発する音を利用して暗号を解読する新手のハッキング手法が登場
New attack steals e-mail decryption keys by capturing computer sounds

Googleが透明性レポートを更新、政府による削除要請が急増
Transparency Report: Government removal requests continue to rise

米紙Washington Postに不正アクセス、過去3年で3度目
Hackers break into Washington Post servers

「iOS 7」の脱獄ツールが公開される
iOS 7対応の脱獄ツール、アプリストアを巡り問題発覚

Adobeライセンスキー送付を装う詐欺を確認、添付は開かず削除を
Alert: Adobe License Key Email Scam

vCenterのユーザーが任意のファイルを読み書き、VMware ESX/ESXiに脆弱性
http://www.atmarkit.co.jp/ait/articles/1312/24/news136.html

Samsungの「Galaxy S4」に重大な脆弱性、イスラエルの大学が発表
「GALAXY S4」のセキュリティ機能に脆弱性か--イスラエルの研究者が報告
BGU Security Researchers discover Vulnerability in Samsung'€?s Secure Software on the Company'€?s Flagship Device Galaxy S4

電話番号から個人を特定するのは非常に簡単──スタンフォード大学
SPY ON YOUR METADATA

特定言語を狙うマルウェア、トルコの遭遇率が突出して高い背景は
Turkey: Understanding high malware encounter rates in SIRv15

英BBCのサーバーがハッキング被害、露ハッカーの犯行か
BBC computer server 'was controlled' by Russian hacker

OpenSSL Website Defaced; Code Repositories Untouched


国家による大規模監視(NSA、Snowden関連)

How the NSA Could Be Breaking SSL

NSAは携帯電話の位置情報も追跡している(ワシントンポスト報道)
NSA、携帯電話の位置情報を世界的規模で収集か
NSAは1日で全世界50億台の携帯電話の現在地を追跡していることが判明
NSA tracking cellphone locations worldwide, Snowden documents show

Microsoft、政府の盗聴行為への対抗策としてサービス暗号化を強化
Protecting customer data from government snooping

GoogleやMicrosoftなど米IT大手、政府による個人情報収集対抗で団結
Reform Government Surveillance

NSAとGCHQ、オンラインゲーム上のユーザー活動を監視か
英米の諜報機関、オンラインゲームや仮想世界を監視
Xbox Live among game services targeted by US and UK spy agencies

NSA、監視対象の追跡にブラウザのクッキーを利用か
NSA uses Google cookies to pinpoint targets for hacking

FBI、任意のパソコンのWebカメラをこっそりアクティベートできていた
FBI’s search for ‘Mo,’ suspect in bomb threats, highlights use of malware for surveillance

政府はスノーデンが何を持ち出したのか、よくわかっていない

NSA Officials Say Snowden Used Legitimate Access to Steal Data

NSAの通話記録収集を地裁が「違憲」と判断---米メディアが報道
NSAの通話記録メタデータ収集、違憲の可能性--米連邦地裁
Judge Questions Legality of N.S.A. Phone Records

米技術企業の最高幹部ら、オバマケアサイトやNSAの問題などで米大統領と会談
米IT企業幹部がオバマ大統領と会談、政府の情報監視活動の見直し求める
米特別委員会、NSAによる通話記録一括収集の廃止など提言
LIBERTY AND SECURITY IN A CHANGING WORLD

オバマ米大統領、NSAによる監視プログラムの見直しを明言

通信傍受懸念決議、本会議で採択=国連総会
UN votes to protect privacy in digital age

http://bigstory.ap.org/article/un-votes-protect-privacy-digital-age

RSA、NSAとの秘密契約の疑惑を否定--バックドア含む暗号アルゴリズム採用との報道

NSAは、セキュリティー会社に金を払って欠陥暗号化アルゴリズムを使わせていた
http://jp.techcrunch.com/2013/12/21/20131220nsa-reportedly-paid-a-security-firm-millions-to-ship-deliberately-flawed-encryption-technology/
「NSAとRSAに密約」とロイターが報道、RSAは否定
Exclusive: Secret contract tied NSA and security industry pioneer

ユニセフやEU、国際医療団体まで監視 米英の情報機関、英紙報道
米英機関 60カ国超通信傍受か イスラエル首相など1000件 欧米紙誌報道
http://www.jcp.or.jp/akahata/aik13/2013-12-23/2013122307_01_1.html
イスラエル、首相らに対する米監視活動を非難
http://www.cnn.co.jp/tech/35041772.html
GCHQ and NSA targeted charities, Germans, Israeli PM and EU chief
米政府、NSAの情報収集について憲法判断しないよう裁判所に要求

Snowden容疑者、米紙のインタビューに応え「任務は完了した」

Snowden容疑者、英TV局のメッセージビデオで「大規模監視活動に終止符を」
スノーデン氏、クリスマスメッセージを発信--「プライバシーは重要」
Alternative Christmas Message 2013
http://www.channel4.com/programmes/alternative-christmas-message/4od

NSA情報収集は合法=割れる司法判断-米連邦裁
NSA mass collection of phone data is legal, federal judge rules
http://www.theguardian.com/world/2013/dec/27/judge-rules-nsa-phone-data-collection-legal

米NSA、欧州アジア間の海底ケーブルの情報を収集か
Inside TAO: Documents Reveal Top NSA Hacking Unit
Unencrypted Windows Error Crash Reports a Treasure for NSA, Hackers Alike
Why NSA spied on inexplicably unencrypted Windows crash reports
http://arstechnica.com/business/2013/12/why-nsa-spied-on-inexplicably-unencrypted-windows-crash-reports/
Your USB cable, the spy: Inside the NSA’s catalog of surveillance magic
http://arstechnica.com/information-technology/2013/12/inside-the-nsas-leaked-catalog-of-surveillance-magic/
NSA Surveillance Has No Boundaries, Expert Says

The Year in NSA


国内

信州大:個人情報7822人分流出 不正アクセス受け

NTTデータMSEがWebサイト改ざん被害 - 訪問者がウイルス感染の恐れ

神奈川工科大のウェブサイトが改ざん - 閲覧でウイルス感染のおそれ

一太郎の脆弱性を突くマルウェア、人事情報装うメールで日本に「着弾」

楽天ポイントを電子マネーに…中国人が不正接続

日本でも約3,000台の感染が確認された脅威 「ビットコイン発掘不正プログラム」 とは

1位賞金は180万円、サイボウズの脆弱性コンテストで19件の脆弱性見つかる

KDDIとラックが提携強化、KDDIが約31.1%を保有する事実上の筆頭株主に

ドン・キホーテのWebサイトが改ざん被害 - 訪問者はウイルス感染の恐れ

ウイルス送り付け中学生送検

三菱重サイバー攻撃立件断念=容疑者不詳で書類送検-プログラムに中国語・警視庁
「年賀状」ファイルにウイルス=グループメールで情報収集か-三菱重サイバー攻撃

IPA、OSSの脆弱性検査ツールの使い方をまとめたレポート公開
http://www.atmarkit.co.jp/ait/articles/1312/12/news131.html

日本語入力ソフトのオンライン機能に注意、企業の重要情報が外部に送信される恐れ
入力内容がそのまま外部に? オンラインIMEの利用にIIJ-SECTが注意喚起
http://www.atmarkit.co.jp/ait/articles/1312/19/news025.html

Android OSに深刻な脆弱性、任意のコード実行やパスワード読み取りの恐れも
http://www.atmarkit.co.jp/ait/articles/1312/18/news133.html

不正侵入:筑波大や京都大などのスパコンに 被害確認なし

「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表

「経営層から技術の先端まで一気通貫」、トーマツがサイバーセキュリティ研究所を設立

NEC、三菱商事からセキュリティサービスのインフォセックの株式60%を取得

ドスパラ通販サイトに不正アクセス 2926件のパスワードなど流出の恐れ

サイバー攻撃を受けたら2時間以内に緊急対応、NECやNRIセキュアなどが提供開始

ネットエージェント、Baidu IMEが入力内容を無断送信との調査結果を公表
バイドゥ、「Baidu IME」「Simeji」でユーザーの入力内容を無断送信 ネットエージェントが解析
「Simeji」の入力ログ無断送信は「実装バグ」 バイドゥ、IMEログ収集の意図を説明


投稿者 時刻:
登録: 投稿 (Atom)