JVN】せん茶SNSにおけるセッション固定の脆弱性

遠隔の第三者によって、登録ユーザになりすまされる可能性があります。結果として、情報の漏えいや改ざんなどの可能性があります。

http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000030.html

セッション固定の脆弱性の図解あり(^^)

日本経済新聞】ＩＰｖ６への世界一斉対応、ＮＴＴは乗り遅れ フレッツ加入者のｖ６接続は遮断

世界の主要なインターネット・ＩＴ（情報技 術）企業が、次世代インターネット規格「ＩＰ ｖ６」への対応を６月６日に一斉に始める 「ワールドＩＰｖ６ローンチ」が２カ月後に迫ってきた。米グーグル、米フェイスブック、 米ヤフーなど主要なウェブサービス企業や、米 シスコシステムズなどのネットワーク機器メー カー、米ＡＴ＆Ｔや日本のＫＤＤＩなどの通信 会社が一斉にｖ６による通信に標準で対応するようになる。

http://www.nikkei.com/tech/ssbiz/article/g=96958A88889DE6E2E3E7EBE6E4E2E2E6E2E6E0E2E3E0E2E2E2E2E2E2;p=9694E3EAE3E0E0E2E2EBE0E4E2EA

早い話が6月6日以降、表示できない(DNSで名前解決できない、出来ても通信できない)サイトが有るかもねってこと？(-.-)y-~

その前に会社のルータやスイッチ、全てがIPv6対応してますか!?

ITmedia】ハッカー集団の「Anonymous China」、中国のWebサイト攻撃を宣言

ハッカー集団の「Anonymous China」を名乗る一派が、中国の当局や企業のWebサイト多数を改ざんし、パスワードや電話番号などの情報を流出させたと宣言した。

http://www.itmedia.co.jp/enterprise/articles/1204/05/news021.html

ITpro】Facebookアカウントを不正利用した詐欺が増加

攻撃者は、乗っ取ったFacebookアカウント を使って、その友達に不正リンクをクリックさせ、送金させようとする。盗んだアカウントや偽アカウントを使用する手法は以前から確認さ れているものだが、今はそれがFacebookで広く行われるようになっている。実際、偽アカウ ントを複数登録し、他のサイバー犯罪者に販売する業者まで登場している。アカウントの友達登録数が多いほど、より高額で売買される。

http://itpro.nikkeibp.co.jp/article/COLUMN/20120331/388381/

エフセキュア】不可解なJavaエクスプロイト

第1のエクスプロイトは、最新のJava脆弱性で、 イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は（ Windows版では）Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。

http://blog.f-secure.jp/archives/50659910.html

参議院】不正アクセス行為の禁止等に関する法律の一部を改正する法律案

不正アクセス行為の禁止等に関する法律の一部を改 正する法律案（閣法第三七号）（衆議院送 付）要旨
本法律案は、近年における不正アクセス行為の手口の変化に対応し、その禁止の実効性を確保するための措置を講じようとするものであり、その主な内容は次のとおりである。

http://www.sangiin.go.jp/japanese/joho1/kousei/gian/180/meisai/m18003180037.htm

ざっと斜め読みして気になるのが「識別符号」というキーワードです
改正法案なので元法案に定義はあると思うのですが追いきれていません
通常、個人を識別するのは「アカウント」とか「ユーザID」と言われるものであり、パスワードは認証符号だと考えます。
法案の趣旨から考えると両方を指し示すと考えるのが妥当でしょう!!

とするならば、ここでリスクが一つ！
ネット上でサービスを提供している業者のなかでアカウントを不用意に表示させているものが散見されます。
こういった低品質なサービスは幇助として行政指導できないものでしょうか？
使い回しを未だ行っている利用者の方も多々いらっしゃいますので(^-^;

Securitynext】改正不正アクセス禁止法が成立 - フィッシング攻撃が罰則対象に

改正不正アクセス禁止法は、1月に警察庁が改正案をまとめ、2月に閣議決定。国会を提出されていたが、3月23日に衆議院を通過、さらに参議院で同月30日に可決、成立した。今回の改正により、不正アクセスのために他人のIDやパスワードを取得する行為が刑事罰の対象となる。

http://www.security-next.com/029276

総務省】コネクトフリー株式会社に対する「通信の秘密」の保護に係る措置 （指導）

無線LANサービス提供に伴い、犯罪等に利用された場合における当該利用者の特定に資する等の目的のために、利用者に無断でその端末のMACアドレスや、特定のSNSサービスのサイトに接続する通信に係る情報を記録・保存する等していた事実が判明しました。

http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000071.html

保存したデータの機密保持は充分に確保されているのだろうか？
持つリスクを検討する事も考えよう!!

＠IT】セキュリティソリューションLive! in Tokyo レポート

標的型攻撃のターゲットは、何も政府機関や軍事開発に携わる企業などの特殊分野のみとは限らない。ITや業務を通じて有機的につながっている一般企業も、直接の攻撃対象にならなくても、真のターゲットへ接触するための踏み台として情報を荒らされる可能性がある。

http://www.atmarkit.co.jp/fsecurity/special/171ssl2012/01.html

これからは間接/迂回攻撃が想定されます。
中小企業の皆さんも他人事とは考えないようにしましょう、会社の将来がかかっています!!

adobe】バックグラウンドアップ データーの導入について （Windows 版 Flash Player）

Windows 版Adobe Flash Player 11.2 において、バックグ ラウンドアップデーターの技術が導入されました。この新 しいメカニズムにより、Windows コンピューターにイン ストールされたFlash Player に、最新のパッチとアップ データーがバックグラウンドで適用されます。そのため、 ユーザーはアップデートの操作を行う必要がありません。

http://kb2.adobe.com/jp/cps/933/cpsid_93387.html