「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.04.20(土)

「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

特集 コラム
facebookLINE
べ、べつに何も悪いことなんてしてないんだにゃー
べ、べつに何も悪いことなんてしてないんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●Facebook、他人のウォールに許可なく投稿できた脆弱性

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

過激な方法で、Facebookとしてはいつも脆弱性報告者に支払われることになっている報奨金の対象からも外されたようなんだにゃー。でも、脆弱性の指摘が無視されて修正されないときにはどうすればいいか考えさせられるにゃー。

●ブロードバンドルーターの脆弱性によりOCNのアカウントが盗まれる

NTTコニュニケーションズの運営するISPのOCNでは、接続に利用されているロジテック社のブロードバンドルーターの脆弱性を突かれて、認証IDとパスワードが盗まれる問題があるんだにゃー。それを解決するためにOCNの方で脆弱性検査を行うんだってにゃー。

勝手にユーザーの機器をチェックするのはどうかという意見もあるかもしれないけど、ユーザーを守るためなんだろうからしょうがないと思うんだにゃー。またこのルーターを使っているのはOCNのユーザーだけじゃないはずだから、今一度自分や会社で使ってるルーターの機種をチェックしてファームをアップデートした方がいいと思うんだにゃー。
http://www.ntt.com/release/monthNEWS/detail/20130820.html

●第二四半期はサーバーのミドルウェアとアカウントリスト攻撃が増えている傾向

トレンドマイクロ株式会社から、この4月から6月のセキュリティ動向を分析した報告書「2013年第2四半期セキュリティラウンドアップ」が公開されているんだにゃー。これによると、サーバーのミドルウェアを突いた攻撃や、すでに漏れているIDとパスワードのリストを使った攻撃が増えているんだってにゃー。

確かに他者から漏れたリストが使われて攻撃を受けているってプレスリリースをよく見かけるようになった気がするにゃー。パスワードの使い回しは止めてってお願いもよく見るけど、みんな変更しないから攻撃が続いているんだろうにゃー。
http://jp.trendmicro.com/jp/about/news/pr/article/20130815031323.html

●携帯電話のフェムトセルが侵入されてクローン携帯が作成される

携帯電話の電波の届きづらい場所で電波信号の領域を広げるために使うフェムトセルのエクスプロイトが公開され、システムの管理者権限を奪われることがわかったんだにゃー。
これによって音声とSMSを傍受するだけでなく、クローン携帯が作成できたんだにゃー。

現在はパッチが適用され、侵入はできなくなっているみたいだけど、いったん侵入できたら携帯電話のクローンが簡単に作成できるなんて驚きなんだにゃー。

・ハッカーはフェムトセルへの侵入で携帯電話を傍受し、さらにクローン携帯を作る~「あなたはフェムトセルを完全に見捨てるべきだ」(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/09/32254.html

●HTML5の時間計測機能によってブラウザで開いたページの盗み見が可能に

HTML5ではrequestAnimationFrameというアニメーションに関するメソッドがサポートされているんだけど、このメソッドを使いページのデータや履歴の盗み見が可能になるんだにゃー。

ブラウザがレンダリングする時間や再描画のタイミングを計ることによって、ブラウザの履歴を知ることができるんだって。また、フィルタする時間の違いによってインラインフレーム内のWebサイトに書かれているデータを解読することができるそう。時間の違いでデータを推測するなんてびっくりだけど、防げないのは困るんだにゃー。

・バッドタイミング:HTML 5 の新しい策略でハッカーはブラウザの覗き見が可能に~あなたのレンダリングエンジンは誤差 1,000 分の 1 秒以下の精度。それでどんな問題が起こるというのか?(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/19/32286.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  3. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  4. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  5. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  6. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  7. セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

    セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

  8. 東京高速道路のメールアカウントを不正利用、大量のメールを送信

    東京高速道路のメールアカウントを不正利用、大量のメールを送信

  9. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  10. フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

    フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP