security-journal

Microsoft、8月2日にWindowsのショートカットハグに関する修正パッチをリリース

Felic — Sat, 31 Jul 2010 08:50:32 +0000

Security Response (msftsecresponse) on Twitter(2010年7月31日) Microsoftのsecurity response teamがWindowsのコンポーネントであWindows Shellの脆弱性に対応する緊急セキュリティ更新プログラムを8月2日にリリースすると発表した。この脆弱性は、ベラルーシのウイルス対策企業VirusBlokAdaによって最初に発見されたもので最新版や最近サポートが終了したばかりのWindows XP SP2とWindows 2000を含むすべてのWindowsが影響を受けるもの。この問題はWindowsがショートカットを正確に解析しないことに起因し、特別な細工がされたショートカットのアイコンが表示された際に、悪意のあるコードが実行される可能性がある。また、悪質なUSBドライブを介してローカルで悪用されるか、ネットワーク共有、WebDAV を介してリモートで悪用される可能性、埋め込みショートカットをサポートする特定のドキュメントの種類に、エクスプロイトが含まれている可能性もありうる。

住友信託銀行が総幹事として管理する企業年金基金の加入者の個人情報が漏洩

Felic — Sat, 31 Jul 2010 08:12:20 +0000

住友信託銀行株式会社は同銀行が総幹事として企業年金の制度管理を行っている企業年金基金の加入者および退職者の個人情報(データファイル)約14,000 名分を、誤って他の企業年金基金とそのコンサルティング会社である大手金融機関1社に漏えいしたと公表した。 -漏洩日- 2010年6月30日 -漏えいした個人情報- 加入者番号、氏名、生年月日、性別、入社年月日等。 -対応- 誤ったデータを提供した企業年金基金とそのコンサルティング会社に対し、データファイルを削除したこと、二次的な漏えいがないことについて確認し、該当の顧客(企業年金基金、加入者）に文書にて事態報告と謝罪。お客様個人情報の漏えいについて(pdfファイル)-住友信託銀行

総務省電子政府の総合窓口(e-Gov)での社会保険関係等の申請手続の際に障害発生

Felic — Sat, 31 Jul 2010 07:56:02 +0000

総務省は7月29日、平成22年7月5日に電子政府の総合窓口(e-Gov)を通じて行われた社会保険関係等の申請手続の際、誤って、他者の情報がダウンロードされたことが判明したと公表した。e-Govのプログラムミスが原因であることが判明したため、プログラムを修正済とのこと。誤ってダウンロードされた情報は｢手続の返戻通知書1件｣、｢健康保険・厚生年金保険被保険者標準報酬決定通知書1件｣、｢健康保険・厚生年金保険被保険者標準報酬決定通知書1件｣、｢情報公開に係る開示決定通知書等1件｣。総務省電子政府の総合窓口(e-Gov)の障害発生について

WordPress最新版、2011年からPHP5.2以上、MySQL 5.0.15以上が必須に

Felic — Sat, 31 Jul 2010 07:35:18 +0000

ブログプラットフォームWordPressがPHP4とMySQL4のサポートを停止すると公式ブログで発表。 2010年後半リリース予定のWordPress 3.1は、PHP4とMySQL4をサポートする最後のWordPressのバージョンになり、2011年上半期リリース予定のWordPress3.2では、動作要件がPHP5.2以上、MySQL 5.0.15以上に引き上げるとのこと。ユーザーのホスティング環境がこれらの要件を満たしていない場合、WordPress を3.2にアップグレードすることができなくなる。 The WordPress.org communityによりリリースされているプラグイン｢ヘルスチェック｣を使用するとユーザーのホスティングがどのバージョンを提供しているのか、WordPress3.2 が動作するかを判定することができる。

ロシアでハイジャックが発生するも乗員乗客105名は無事解放

Felic — Fri, 30 Jul 2010 07:29:56 +0000

Aljazeera.netによると、7月29日にロシア南部コーカサス地方のミネラリヌイエボドイ(Mineralniye Vody)発、モスクワ(Moscow)行きの民間旅客機がモスクワ・ドモデドボ(Domodedovo)空港で、ウラジミール・プーチン(Vladimir Putin)首相らとの会見を要求する30歳の男にハイジャックされた。しかし、医師を装って接近したロシア保安機関FSBの特殊部隊隊員に拘束された。ハイジャックされたあと機内に約2時間半閉じ込められたが105名の乗客乗員に死傷者はなかった。

内部情報のリークサイトWikiLeaks(ウィキリークス)とは？

Felic — Fri, 30 Jul 2010 05:12:24 +0000

内部告発サイト、ウィキリークスが7月25日、米軍がアフガニスタンに進出した2004年以降の米軍の行動、死傷者数、脅威レポートなどの機密文書を｢Afghan War Diary」と題し公開し、米国務省のラパン局長らが大慌てしている模様。 Wikileaksは米New York Times、英The Guardian、独Der Spiegelなどの有力紙に情報を提供しリーク情報の内容の信憑性を担保したうえで公開し、情報提供者の氏名は基本的に伏せているとWikiLeaks創設者は説明していたが、実際には米軍の活動に協力したアフガニスタン人の氏名が一部掲載されているため、掲載者が生命の危険にさらされると批判も寄せられている。 Wikileaksの公式サイトによるとWikileaksはWikipediaサイトと同様に表現の自由を保護しながら、事実に基づいたより正確なドキュメントを提供するサイトでWikipediaと同じwikiインターフェースと技術を採用し、どちらも、誰もが執筆者や編集者となれるシステムだWikipediaとは正式には一切の関係を持っていないとのこと。 Afghan War Diary, 2004-2010 Defense.gov News Article: Pentagon Assesses Leaked Documents Wikileaksはオーストラリア人の10代の頃はハッカーとして活動していたコンピューター・プログラマージュリアン・アサンジ(Julian Assange)氏により設立された。

Adobe Systems、MicrosoftのMAPPを通じ脆弱性情報をセキュリティ企業に提供

Felic — Thu, 29 Jul 2010 22:15:08 +0000

Twitter / Security Response 2010年で18回目となる国際セキュリティ会議「DEFCON 18」が、米国ネバダ州ラスベガスで開催中だが、カンファレンスの1つ「Black Hat USA 2010」でMicrosoftは2010年秋からAdobe SystemsがMicrosoftのセキュリティプログラムMAPP(Microsoft Active Protections Program)に参加し、MAPPを通じてFlash PlayerなどのAdobe製品の脆弱性、セキュリティ問題に関する諸情報をウイルス対策企業、研究所などに提供する予定であると発表した。MAPPには現時点でセキュリティ関連企業65社が参加し情報をシェアしている。 2009年から2010年にかけて日本で猛威を振るったガンブラーなどAdobe製品の脆弱性を悪用する攻撃が多いが、対策としてAdobeは単独でMAPPと同様のプログラムをスタートするとの噂もあったが、コスト面などを鑑み、すでに一定の成果を挙げているMicrosoftのMAPPに参加することに決めた模様。

ラスベガスのセキュリティ会議で参加者がATMから遠隔操作で現金を引き出すパフォーマンスを披露

Felic — Thu, 29 Jul 2010 21:02:12 +0000

2010年で18回目となる国際セキュリティ会議「DEFCON 18」が、米国ネバダ州ラスベガスで開催中だが、カンファレンスの1つ「Black Hat USA 2010」でシアトルを拠点とするセキュリティファームIOActive, Incのディレクターのバーナビー・ジャック(Barnaby Jack)という参加者が2個の異なった現金自動預け払い機のセキュリティホールを利用してATMをハックし、現金を盗み取るパフォーマンスを披露した。ジャックはこの攻撃コードをリリースしていないが、マルウェアを仕込んだUSBを利用することで、直接ATMをこじ開ける必要のないリモートスタイルの攻撃でATMの完全なコントロールを獲得できるばかりか、ATMを使用する客からアカウント・データを盗み取ることもできるというパフォーマンスを披露し聴衆の拍手喝さいを浴びた。彼がマシンからお金を吐き出させたあと、拍手とともに乱入した聴衆により、マシンの1つがTranax Technologies Incという企業によって作られたものであると確認された。また、デモで使用されたもう一方のATMはミシッシッピ州をベースとするTriton Systemsの製品であることも確認された。これに関しては、ジャックが問題を会社に警告し、Tritonは権限のないソフトウェアによりATMが遠隔操作されるのを防ぐセキュリティアップデートを実施したという。

FirefoxのFlashアップデートを装い偽セキュリティソフトをダウンロードさせる手法が出現

Felic — Thu, 29 Jul 2010 20:07:33 +0000

Mozilla Foundation提供のwebブラウザFirefoxにおいてFlashアップデートを装い偽セキュリティソフトをダウンロードさせる手法が出現したとフィンランドのセキュリティ企業エフセキュアが報告した。 Firefoxブラウザをアップデートすると、すぐに表示される「Just Updated」ページでFirefoxがアップデートされていても、Adobe Flash Playerはアップデートされていないと、ユーザに告げるメッセージが出現し何もクリックせずともページがロードされるとすぐに、ダウンロードダイアログボックスが現れるといいファイルを実行するとガンブラーウイルスに感染した際にダウンロードされるケースが多い、御馴染みの偽セキュリティソフトがダウンロードされる。 (fsecureでは自社のソフトウェアにこのトリックをデータベースに入れ、ブロックする設定にしていると主張している。)

IPA、ソフトウェアの古い脆弱性を狙った標的型攻撃例を報告

Felic — Thu, 29 Jul 2010 19:42:12 +0000

IPA(独立行政法人情報処理推進機構)は7月29日、特定の組織を対象として、メールの送付元を知人や取引先企業等に詐称してウイルスを送付する「標的型攻撃」の実態把握と対策促進のための調査レポート「脆弱性を狙った脅威の分析と対策について　Vol.4」、「2009年度脆弱性を利用した新たなる脅威の分析による調査　最終報告書」を公開した。 IPAは標的型攻撃の例として、攻撃時点撃ではまだソフトウェアのパッチ(修正プログラム)が発行されていないゼロデイ攻撃と約4年前に発見された脆弱性が利用された、対照的な2件をあげた。後者は一定数存在する定期的なバージョンアップを実施していないユーザを狙った攻撃でパソコンの利用者は、基本的なセキュリティ対策であるバージョンアップを確実に実施する必要があることが必須とわかる。 IPAではAdobe Reader等9つの製品のバージョンチェックには、MyJVNバージョンチェッカを推奨している。導入ソフトウェアが最新版かチェック可能なプラグインとしてQualys BrowserCheckも存在する。 IPA(2010年7月29日)-情報セキュリティ：標的型攻撃に関する調査結果(pdfファイル)