「IE8のゼロデイ脆弱性が発見されたんだにゃーの巻」(5月13日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.04.24(水)

「IE8のゼロデイ脆弱性が発見されたんだにゃーの巻」(5月13日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

IE8に外部からコードを実行される新たな脆弱性が見つかって、5月3日にMicrosoftからセキュリティアドバイザリーが公開されているよ。すでにアメリカの労働省のWebサイトなどに、この脆弱性を狙った攻撃コードが仕掛けられているんだにゃー。

特集 コラム
facebookLINE
なんとか中に入り込めないものかにゃー
なんとか中に入り込めないものかにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●IE8に新たなゼロデイ脆弱性が発見される

IE8に外部からコードを実行される新たな脆弱性が見つかって、5月3日にMicrosoftからセキュリティアドバイザリーが公開されているよ。すでにアメリカの労働省のWebサイトなどに、この脆弱性を狙った攻撃コードが仕掛けられているんだにゃー。

この脆弱性はIE8だけのもので、他のIE 6、7、9、10は影響を受けないんだって。もうあまりIE8を使っている人はいないと思うけど、使っている人はすでに公開されているFix Itを適用するか、IE9か10にアップデートした方がいいと思うんだにゃー。
http://technet.microsoft.com/ja-jp/security/advisory/2847140

●情報セキュリティExpo開催される

毎年おなじみとなっているセキュリティ系展示会「第10回情報セキュリティEXPO春」が、5月8日から10日までの間、東京ビッグサイトで開催されていたんだにゃー。各社最近の新しい攻撃手法に対応した新製品がたくさん展示されていて、とても興味深かったんだにゃー。

その中でも特に多く見られたのは標的型攻撃対策の製品やスマートフォンのセキュリティ対策製品だったんだにゃー。それぞれの会社が独自のやり方で防御方法を提案してて、どの会社もすごいと思うにゃー。

●サイバー犯罪対策国際カンファレンス APWG CeCOS VIIが開催される

ブエノスアイレスでは4月23日~25日の間サイバー犯罪対策国際カンファレンスが開催されていたんだにゃー。日本からは8名が参加したんだって。3日にわたってたくさんの講演が行われていたみたいだけど、日本でも話題のTorネットワークの".onion"ドメインの匿名サーバーに隠れて違法サイトを運営している人を特定する手法が興味深いにゃー。

通常のインターネットのGoogle検索を使い".onion"ドメインを探したり、".onion"ドメインのサイト上に載っている連絡先のメールアドレスや、画像のEXIFデータなどから地道に少しずつ犯人に近づいていくんだって。そして、Torのエンドポイントを運営してその出口をスニッフィングすることもあるんだにゃー。
http://scan.netsecurity.ne.jp/article/2013/04/25/31513.html
http://scan.netsecurity.ne.jp/article/2013/05/09/31579.html

●米国の下院を通過したサイバーセキュリティ法案により攻撃が増加する可能性

米国の新しいサイバーセキュリティ法(CISPA)により新しく設立される情報ハブによって脅威データの収集が行われるそうだけど、セキュリティツール会社Impervaの研究によると、集められるデータによる利益より、そこに対して行われるハッカー攻撃の潜在的なリスクの方が大きいんだそうだにゃー。

情報が1つに集まると、研究者も対策する側もとても便利なんだろうけど、そこが攻撃されてデータが全部奪われてしまったらとても危険だし、攻撃者する側としてもその1ヵ所だけ集中して狙えばいいんだから楽になるんだろうにゃー。

・CISPA 論争:情報セキュリティ社のボス「スラーピングされた市民のデータは巨大なハッキングのターゲットだ」~米国によるサイバースパイの宝庫が、悪党への究極のトロフィに(The Register)
http://scan.netsecurity.ne.jp/article/2013/05/07/31561.html

●NSAが開催したハッキング大会、米国空軍士官学校が2連覇

国家安全保障局(NSA)が開催して、米国陸軍士官学校、米国海軍兵学校、米国空軍士官学校などが参加したハッキング大会で、米国空軍士官学校から出場したチームが2年連続で優勝したんだにゃー。この大会ではそれぞれのチームが独自に構築したネットワークをハッキングチームによる攻撃から84時間守るんだって。すごいスキルを持ってるんだろうにゃー。

日本でもCTFチャレンジジャパンやHardening Oneのような民間のセキュリティイベントが開催されているけど、そこに自衛隊や警察なども参加したり、イベントを開催したりしないのかにゃー。

米国空軍、NSA のハッキング大会で連勝~それは防御のための、そして攻撃のためのトレーニング(The Register)
http://scan.netsecurity.ne.jp/article/2013/05/08/31570.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  5. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  6. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  7. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  8. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  9. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  10. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP