「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.04.28(日)

「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

特集 コラム
facebookLINE
べ、べつに何も悪いことなんてしてないんだにゃー
べ、べつに何も悪いことなんてしてないんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●Facebook、他人のウォールに許可なく投稿できた脆弱性

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

過激な方法で、Facebookとしてはいつも脆弱性報告者に支払われることになっている報奨金の対象からも外されたようなんだにゃー。でも、脆弱性の指摘が無視されて修正されないときにはどうすればいいか考えさせられるにゃー。

●ブロードバンドルーターの脆弱性によりOCNのアカウントが盗まれる

NTTコニュニケーションズの運営するISPのOCNでは、接続に利用されているロジテック社のブロードバンドルーターの脆弱性を突かれて、認証IDとパスワードが盗まれる問題があるんだにゃー。それを解決するためにOCNの方で脆弱性検査を行うんだってにゃー。

勝手にユーザーの機器をチェックするのはどうかという意見もあるかもしれないけど、ユーザーを守るためなんだろうからしょうがないと思うんだにゃー。またこのルーターを使っているのはOCNのユーザーだけじゃないはずだから、今一度自分や会社で使ってるルーターの機種をチェックしてファームをアップデートした方がいいと思うんだにゃー。
http://www.ntt.com/release/monthNEWS/detail/20130820.html

●第二四半期はサーバーのミドルウェアとアカウントリスト攻撃が増えている傾向

トレンドマイクロ株式会社から、この4月から6月のセキュリティ動向を分析した報告書「2013年第2四半期セキュリティラウンドアップ」が公開されているんだにゃー。これによると、サーバーのミドルウェアを突いた攻撃や、すでに漏れているIDとパスワードのリストを使った攻撃が増えているんだってにゃー。

確かに他者から漏れたリストが使われて攻撃を受けているってプレスリリースをよく見かけるようになった気がするにゃー。パスワードの使い回しは止めてってお願いもよく見るけど、みんな変更しないから攻撃が続いているんだろうにゃー。
http://jp.trendmicro.com/jp/about/news/pr/article/20130815031323.html

●携帯電話のフェムトセルが侵入されてクローン携帯が作成される

携帯電話の電波の届きづらい場所で電波信号の領域を広げるために使うフェムトセルのエクスプロイトが公開され、システムの管理者権限を奪われることがわかったんだにゃー。
これによって音声とSMSを傍受するだけでなく、クローン携帯が作成できたんだにゃー。

現在はパッチが適用され、侵入はできなくなっているみたいだけど、いったん侵入できたら携帯電話のクローンが簡単に作成できるなんて驚きなんだにゃー。

・ハッカーはフェムトセルへの侵入で携帯電話を傍受し、さらにクローン携帯を作る~「あなたはフェムトセルを完全に見捨てるべきだ」(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/09/32254.html

●HTML5の時間計測機能によってブラウザで開いたページの盗み見が可能に

HTML5ではrequestAnimationFrameというアニメーションに関するメソッドがサポートされているんだけど、このメソッドを使いページのデータや履歴の盗み見が可能になるんだにゃー。

ブラウザがレンダリングする時間や再描画のタイミングを計ることによって、ブラウザの履歴を知ることができるんだって。また、フィルタする時間の違いによってインラインフレーム内のWebサイトに書かれているデータを解読することができるそう。時間の違いでデータを推測するなんてびっくりだけど、防げないのは困るんだにゃー。

・バッドタイミング:HTML 5 の新しい策略でハッカーはブラウザの覗き見が可能に~あなたのレンダリングエンジンは誤差 1,000 分の 1 秒以下の精度。それでどんな問題が起こるというのか?(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/19/32286.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. 研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

    研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

  7. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  8. 2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

    2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

  9. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  10. 脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

    脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP