「Web改ざんがまだまだ収まらなくて再度注意喚起されているんだにゃーの巻」(7月8日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.04.25(木)

「Web改ざんがまだまだ収まらなくて再度注意喚起されているんだにゃーの巻」(7月8日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

マルウェア感染などを狙ったWebサイトの攻撃が7月になっても収まらないようで、新たにさまざまなサイトが改ざんされているよ。だからIPAが2度目の改ざんに対する注意を呼び掛けているんだにゃー。

特集 コラム
facebookLINE
見つからずにうまく忍び込んでやったにゃー
見つからずにうまく忍び込んでやったにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●Web改ざんに対しIPAが再び注意喚起

マルウェア感染などを狙ったWebサイトの攻撃が7月になっても収まらないようで、新たにさまざまなサイトが改ざんされているよ。だからIPAが2度目の改ざんに対する注意を呼び掛けているんだにゃー。

改ざんされると自社だけでなく閲覧した人をウイルスに感染させて、改ざんを広げることになってしまうから、システム管理者の人は自分が管理するサイトに対してもう一度、脆弱性が残っていないか、簡単なパスワードが設定されていないかをチェックした方がいいと思うんだにゃー。
http://www.ipa.go.jp/security/txt/2013/07outline.html

●接続したPCの情報を盗むAndroidのハッキングツールを確認

エフセキュアのブログによると、USB経由でAndroidデバイスがWindowsマシンに接続されたときに、PCから情報を盗むツールが発見されたんだって。盗む情報はブラウザのパスワー
ド(Firefox、Chrome、IE)、PCのWi-Fiのパスワード、PCのネットワーク情報なんだにゃー。

とはいえautorun.infが無効になっていれば感染することはないようで(Windows7ではデフォルトで無効)今のところはあまり怖くはないみたいだけど、これからどんな進化を遂げるかわからないから注意するに越したことはないと思うんだにゃー。
http://blog.f-secure.jp/archives/50705830.html

●トヨタのWebサイト、10日間にわたって改ざんと修復が繰り返されていたことが判明

6月18日に改ざんのお詫びがでていたトヨタのWebサイトだけど、7月2日に調査の続報が公開されているよ。結果によると6月5日から14日にかけて第三者による改ざんと修復が繰り返されていたんだにゃー。

たくさんのアクセスがありそうなWebサイトなのに、10日間も誰にも気づかれなかったのも気になるけど、誰が何のために修復していたのか気になるんだにゃー。
http://www.toyota.co.jp/announcement/130702.pdf

●英国で犯罪容疑者と情報提供者のデータを知らずに公開していたことが発覚

イギリスのFacewatchという警察と企業が犯罪者のデータを共有するサービスがあるんだけど、Webサーバーの設定ミスによって、犯罪の容疑者たちの写真や、彼らのことを報告した英国市民たちの詳細情報が漏えいしてたんだにゃー。報告した人はとんだ災難だよにゃー。

Webサイトに置かれているデータは認証をかけなかったり、閲覧できる人やIPアドレスの設定をちゃんとしていないと、誰でも普通に見られるんだよにゃー。外部から見られるようになっていないかチェックするのは大切なことだと思うにゃー。

・Webセキュリティの不手際で、数千人の容疑者と情報提供者の個人情報が漏えい~英国のプライバシー監視屋、サーバ構成で失態(The Register)
http://scan.netsecurity.ne.jp/article/2013/06/28/31961.html

●NSAのスパイやハッカーから身を守るフォントは意味がない!?

NSA のスパイやハッカーから身を守るための「mixed-upフォント」が開発されているんだって。このフォント、CAPCHAで使われる文字のように、コンピュータには読み取りが困難だが人間には分かりやすいフォントなんだにゃー。

でも諜報機関は文字をスキャンする場面は少なくて、データ通信を盗聴したり、データベースのデータを盗むことがほとんどだから、あんまり意味はないんだって。がんばって開発した割には無駄になりそうなんだにゃー。

・プライバシーの専門家、PRISM に対抗するフォントを『アートプロジェクト』と評価~メッセージの強固なセキュリティを本気で望むなら、伝書鳩を買え(The Register)
http://scan.netsecurity.ne.jp/article/2013/07/04/31998.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  3. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  4. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  9. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  10. LINE client for iOS にサーバ証明書の検証不備の脆弱性

    LINE client for iOS にサーバ証明書の検証不備の脆弱性

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP