「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.05.15(水)

「Facebookのザッカーバーグのウォールに知らない誰かが勝手に書き込んでたんだにゃーの巻」(8月26日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

特集 コラム
べ、べつに何も悪いことなんてしてないんだにゃー
べ、べつに何も悪いことなんてしてないんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●Facebook、他人のウォールに許可なく投稿できた脆弱性

Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。

過激な方法で、Facebookとしてはいつも脆弱性報告者に支払われることになっている報奨金の対象からも外されたようなんだにゃー。でも、脆弱性の指摘が無視されて修正されないときにはどうすればいいか考えさせられるにゃー。

●ブロードバンドルーターの脆弱性によりOCNのアカウントが盗まれる

NTTコニュニケーションズの運営するISPのOCNでは、接続に利用されているロジテック社のブロードバンドルーターの脆弱性を突かれて、認証IDとパスワードが盗まれる問題があるんだにゃー。それを解決するためにOCNの方で脆弱性検査を行うんだってにゃー。

勝手にユーザーの機器をチェックするのはどうかという意見もあるかもしれないけど、ユーザーを守るためなんだろうからしょうがないと思うんだにゃー。またこのルーターを使っているのはOCNのユーザーだけじゃないはずだから、今一度自分や会社で使ってるルーターの機種をチェックしてファームをアップデートした方がいいと思うんだにゃー。
http://www.ntt.com/release/monthNEWS/detail/20130820.html

●第二四半期はサーバーのミドルウェアとアカウントリスト攻撃が増えている傾向

トレンドマイクロ株式会社から、この4月から6月のセキュリティ動向を分析した報告書「2013年第2四半期セキュリティラウンドアップ」が公開されているんだにゃー。これによると、サーバーのミドルウェアを突いた攻撃や、すでに漏れているIDとパスワードのリストを使った攻撃が増えているんだってにゃー。

確かに他者から漏れたリストが使われて攻撃を受けているってプレスリリースをよく見かけるようになった気がするにゃー。パスワードの使い回しは止めてってお願いもよく見るけど、みんな変更しないから攻撃が続いているんだろうにゃー。
http://jp.trendmicro.com/jp/about/news/pr/article/20130815031323.html

●携帯電話のフェムトセルが侵入されてクローン携帯が作成される

携帯電話の電波の届きづらい場所で電波信号の領域を広げるために使うフェムトセルのエクスプロイトが公開され、システムの管理者権限を奪われることがわかったんだにゃー。
これによって音声とSMSを傍受するだけでなく、クローン携帯が作成できたんだにゃー。

現在はパッチが適用され、侵入はできなくなっているみたいだけど、いったん侵入できたら携帯電話のクローンが簡単に作成できるなんて驚きなんだにゃー。

・ハッカーはフェムトセルへの侵入で携帯電話を傍受し、さらにクローン携帯を作る~「あなたはフェムトセルを完全に見捨てるべきだ」(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/09/32254.html

●HTML5の時間計測機能によってブラウザで開いたページの盗み見が可能に

HTML5ではrequestAnimationFrameというアニメーションに関するメソッドがサポートされているんだけど、このメソッドを使いページのデータや履歴の盗み見が可能になるんだにゃー。

ブラウザがレンダリングする時間や再描画のタイミングを計ることによって、ブラウザの履歴を知ることができるんだって。また、フィルタする時間の違いによってインラインフレーム内のWebサイトに書かれているデータを解読することができるそう。時間の違いでデータを推測するなんてびっくりだけど、防げないのは困るんだにゃー。

・バッドタイミング:HTML 5 の新しい策略でハッカーはブラウザの覗き見が可能に~あなたのレンダリングエンジンは誤差 1,000 分の 1 秒以下の精度。それでどんな問題が起こるというのか?(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/19/32286.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  3. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  4. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  5. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  6. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  7. テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

    テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

  8. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  9. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  10. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

ランキングをもっと見る