ITmedia】ハッカー集団、米国土安全保障省やシャープへの不正アクセスを公言

英セキュリティ企業Sophosのブログによれば、DHSに対する攻撃では留学希望者向けの「studyinthestates.dhs.gov」に存在する、ディレクトリトラバーサルの脆弱性を悪用された可能性があるという。
NullCrewは、DHS以外にシャープの英国法人や航空管制システム関連メーカーFlight Calibration Servicesのサイトにも不正アクセスし、これらサイトのデータベース情報と称する内容をネットに公開した。

http://www.itmedia.co.jp/enterprise/articles/1301/07/news111.html

ITmedia】グリー、未成年に上限超え課金 733人で計2811万円

GREEは昨年4月26日から、未成年ユーザーの利用金額制限を導入。15歳以下は月間5000円、16～19歳は月間1万円までしか利用できないようにしたが、フィーチャーフォン向け「GREE」で、未成年ユーザーがクレジットカード決済を選んだ場合、利用金額の上限を超えて決済できる障害が、4月26日～9月7日まで起きていたという。

http://www.itmedia.co.jp/news/articles/1301/07/news078.html

Microsoft】2013 年1 月9 日のセキュリティリリース予定(月例)

2013 年 1 月の月例セキュリティ リリースの事前通知を公 開しました。2013 年 1 月 9 日に公開を予定している新規 月例セキュリティ情報は、合計 7 件 (緊急 2 件、重要 5 件 ) です。また、毎月リリース同日に公開している最新のセ キュリティ情報の概要を動画と音声でお伝えするストリー ミングビデオ (Web キャスト) の今月のマイクロソフト ワ ンポイント セキュリティも、当日午後に公開予定です。

http://blogs.technet.com/b/jpsecurity/archive/2013/01/04/3543990.aspx

読売新聞】農水機密、サイバー流出か…ＴＰＰなど２０点

公用パソコンが遠隔操作され、海外のサー バーと通信している痕跡が見つかった。２０１２年４月の日米首脳会談と１１年１１月のアジア太平洋経済協力会議（ＡＰＥＣ）首脳会議の直前に作成された文書が狙われたとみられる。日本の外交方針が筒抜けになっていた可能性が高い。
関係者によると、流出の疑いが生じているのは、１１年１０月から１２年４月に作成された内部文書。

http://www.yomiuri.co.jp/net/news/20130102-OYT8T00219.htm

CNET】トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに

グーグルとマイクロソフトが米国時間1月3日にそ れぞれ明らかにしたところによると、トルコに拠 点を置くある認証局がセキュリティ証明書を 「誤って」発行したことで、さまざまなGoogleサ イトへのなりすましが可能な偽の証明書が作成さ れてしまったという。

http://japan.cnet.com/news/service/35026500/

@IT】Cでポピュラーな脆弱性とバッファオーバーフロー（前編）

これまでに多くのアプリケーションにおいて、攻撃されたり発見されたりしている、しかもいまだになくならないバッファオーバーフロー問題ですが、その仕組みや原理を理解していなければ、具体的な対策も難しいと思います。そこで、この連載では、あらためてこの問題について掘り下げます。
今回のバッファオーバーフロー前編では、バッファオーバーフローの基礎知識と対策の考え方を復習します。次回、バッファオーバーフロー後編では、過去に発見され、修正された脆弱性の実例を紹介します。

http://www.atmarkit.co.jp/ait/articles/1212/26/news006.html

ITpro】KDDIで連日障害発生、年末から年明けにかけLTE通信などが不能に

まず2012年12月31日午前0時から同4時23分 まで、4G LTE対応端末でパケット通信を利用しづらい事態が発生、最大約180万人の利用者に影響が出た。
続いて翌日の2013年1月1日午前0時12分から 同2時29分までの間と、同日午前9時30分ごろから午後8時7分までの間、auスマートパスなど auIDを使った全サービス（au IDの新規登録、設定変更、サービス利用）をはじめ、auかんたん決済、iPadの電子メール設定、SNSサイトにおける年齢確認サービスを利用しづらい状況が続いた。
さらに翌日の1月2日午前0時5分から同1時53分までの間、再び4G LTE対応端末でパケット通信障害が発生、Web閲覧やメール送受信ができなくなった。

http://itpro.nikkeibp.co.jp/article/NEWS/20130103/447501/

IPA】Internet Explorer の脆弱性の回避策について (KB2794220)(CVE-2012-4792)

この脆弱性は、Internet Explorer のメモリ管理の処理に存 在します。攻撃者は、この脆弱性を悪用した攻撃コードを 埋め込んだウェブサイトを作成し、利用者を誘導します。 利用者がInternet Explorer でそのウェブサイトを閲覧し た場合、コンピュータを攻撃者により制御される恐れがあ ります。 現在、修正プログラムは公開されていませんが、回避策が 提供されています。この脆弱性を悪用した攻撃が確認さ れたとの情報があるため、対象となる利用者は、修正プロ グラムの公開までの回避措置として回避策を実施してくだ さい。

http://www.ipa.go.jp/security/ciadr/vul/20130104-ms.html

ITmedia】Microsoft、IE 6～8の脆弱性に対処する「Fixit」ツールをリリース

セキュリティアドバイザリによると、この脆弱性はIEが削除されたり適切に割り当てられていないメモリに存在するオブジェクトにアクセスすることで、任意のリモートコードを実行してしまうというものだ。この問題を攻撃者に悪用されると、細工を施したWebサイトをユーザーが閲覧した場合に、攻撃者が任意のコードを実行できてしまう可能性がある。標的型攻撃の発生も確認されているが、発生状況は「ごくわずか」だという。

http://www.itmedia.co.jp/news/articles/1301/02/news005.html

マカフィー】お年玉で買ったばかりのゲームやタブレットを守るには

今年のホリデーシーズンでは、ライフスタイルニーズの変化に合 わせてデバイスを3台以上持つという傾向が加速すると思われます。 一人当たり、一世帯当たりのデバイスの台数が増えれば、サイバー 犯罪者にアクセスされ、個人情報やデータが盗み出される可能性も 高くなります。本来、どのデバイスでも、攻撃や詐欺の危険なく情 報を共有し、安心してデジタルライフを送ることができるべきで す。このための最善の方法は、プレゼントなどで新しいデバイスを 手にした際、すぐに個人情報を守るための時間を割くことです

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1348

JSSEC】スマートフォン法人利用のためのセキュリティの考え方とBYODの考察

「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン［第一版］」をもとに、スマート フォンおよびタブレットを法人が利用する際に必要なセキュリティのポイントを解説する。 また、BYODが市場で注目されているが、その捉え方や社内環境整備の事情は大きく異なっている。 客観的に現状を考察した結果と、BYOD導入の際に意識しておきたい基本的な考え方について解説する。

http://www.jssec.org/event/20121121video.html

JNSA】2012セキュリティ十大ニュース

第1位】 10/21 遠隔操作ウイルス誤認逮捕 ～サイバー犯罪捜査の難しさ浮き彫り～
【第2位】 10/30 スマートフォンに迫る脅威 ～不正アプリを どうフセイでいくのか・・・～
【第3位】 6/20 ファーストサーバの障害とデータ消失 ～クラウド・レンタルサーバ業者には更なる対策を期待～

http://www.jnsa.org/active/news10/

Internetwatch】不正ポップアップだけではない、銀行を悩ます近ごろのフィッシング4つの傾向

フィッシング対策協議会の主催で12月14日に行われ た「フィッシング対策セミナー2012」では、株式会社 みずほ銀行参事役の谷合通宏氏が講演し、フィッシン グの最近の傾向について同行の実例を紹介しながら解 説した。みずほ銀行といえば、この不正ポップアップ 画面の攻撃でターゲットになった金融機関の1つだ。 しかし谷合氏によれば、不正ポップアップ画面に限ら ず、フィッシングの手口は巧妙化しているという。

http://internet.watch.impress.co.jp/docs/news/20121227_580441.html

Microsoft】長期休暇の前に～セキュリティ対策をお忘れなく～

･自動更新を有効にして、ソフトウェアを最新の状態にする
ソフトウェアを常に最新の状態にしておくことで、ウイルス感染を防ぐことができます。
･ウイルス対策ソフトウェアを最新の状態にする
ウイルス対策ソフトウェアがインストールされていても、最新の状態になっていないとウイルスを検知することができませ ん。ウイルス対策ソフトが期限切れになっているもしくは定義 ファイルが最新ではないという方は、更新を検討してくださ い。または、無料のウイルス対策ソフトウェア Microsoft Security Essentials のインストールを検討してく ださい。(※1)
･ファイアウォールを有効にする
インターネットを介してコンピューターに侵入しようとする ハッカー、ウイルス、ワームの排除に役立ちます。

http://blogs.technet.com/b/jpsecurity/archive/2012/12/27/3542708.aspx

コープかながわ】お詫びとご報告 車上荒らしによる個人情報の盗難について

12月21日(金)21：00ごろ、コープかながわ 横浜新山下センターの職員が有料駐車場に車を止めて業務を遂行して戻ると車上荒らしにあっており､個人情報（14件）が入った袋を持ち去られていました。すぐに警察に盗難届けを出ましたが、現在発見にいたっておりません。
該当する皆さまには、この件についてのお詫びとご報告を電話および文書にて12月22日にさせていただきました

http://www.kanagawa-coop.or.jp/info/2012/info_15834.html

ITpro】Gmailの乗っ取りが国内で相次ぐ、パスワードの強化や2段階認証の利用を

被害に遭ったユーザーによるネットへの書き 込みなどによると、Gmailのパスワードが推測 や総当たり攻撃により破られて、不正にログイ ンされているようだ。不正にログインした攻撃 者はそのユーザーになりすまし、アドレス帳に 登録されているメールアドレスに対して、迷惑 メール（スパム）を送信している

http://itpro.nikkeibp.co.jp/article/NEWS/20121227/447164/

トレンドマイクロ】2012年度インターネット脅威年間レポート―速報版

2010年8月に初めてAndroid端末向けの不正アプリを確認 し、2011年12月には約1,000個でしたが、2012年11月時点では 314,000個と約1年で300倍以上に増加しました。2012年の上半 期までゲームやアダルト、動画コンテンツの再生などユーザの 興味を引くアプリに偽装するものが主でしたが、スマホの普及 を背景に、下半期には電池を長持ちさせるアプリやセキュリ ティソフトを偽装するなどユーザのスマホに対する不満や不安 につけ込む騙しの手口が広がり、ソーシャルエンジニアリング の手法に変化が見られました。また、不正アプリの配布サイト 上での騙しの手段として、偽の口コミ情報を記載する事例も確 認されており、不正アプリや不正なWebサイトへの対策が重要 となっているといえます。

http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20121218094256.html

トレンドマイクロ】スマホアプリ、「アクセス権限をよく読む」は3割未満

このようにスマートフォンが生活に密着している 様子が明らかになる一方で、セキュリティ対策は 必ずしも十分でない実態が調査から見えていま す。“アプリのインストール時の注意点”とし て、多くのユーザが「アプリの説明を読む」 （70.3％）、「レビューを見る」（70.3％）など は行っていますが、「アプリに許可するアクセス 権限をよく読む」という人は26.9％、「セキュリ ティソフトで安全性をチェックする」という人は 44.6％に留まりました。今回の調査結果から、ト レンドマイクロでは、スマートフォンユーザにセ キュリティ対策を改めて見直してみることを勧め ています。

http://is702.jp/news/1263/partner/101_g/

調査母体数が若干、少ないようですが(^^;

JPCERT/CC】冬期の長期休暇を控えて 2012/12

冬期の長期休暇期間におけるコンピュータセキュリティインシデント発生の予防および緊急時の対応に関して、要点をまとめましたので、以下を参考に対策をご検討ください。

http://www.jpcert.or.jp/pr/2012/pr120005.html

IPA】「安全なウェブサイトの作り方」に別冊「ウェブ健康診断仕様」を追加

今回、新たな別冊として「ウェブ健康診断仕様」を加え ました。この別冊では、ウェブサイトで基本的な脆弱性対 策ができているかを確認する方法を解説しています。現在 運用しているウェブサイトを診断することにより、対策が 行われているのかどうかという現状を知り、それに基づい て対策を検討・実施することで、ウェブサイトの安全性の 向上を図ることができます。

http://www.ipa.go.jp/about/press/20121226.html