「省庁などを標的にした水飲み場型攻撃が行われていたんだにゃーの巻」（10月14日版）Scan名誉編集長りく君のセキュリティにゃークサイド

管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長（※自称です）のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●省庁などを標的にした水飲み場型攻撃が行われる

IEのゼロデイ脆弱性を悪用した、新たな手口のサイバー攻撃が起こっていたそう。特定のユーザー層が集まるWebサイトに不正プログラムが埋め込まれた、水飲み場型攻撃といわれるものなんだにゃー。

WindowsXPでIEを使って攻撃サイトを見てしまった人は正しいセキュリティ対策をしててもほぼ確実にウイルスに感染したんだにゃー。しかも国の省庁など特定の組織からの閲覧者だけがウイルスに感染するよう仕組まれていたんだって。国などの機密情報を狙った攻撃は、これまで以上に巧妙になってきたんだにゃー。
http://www.lac.co.jp/security/alert/2013/10/09_alert_01.html

●アドビのネットワークにサイバー攻撃、290万名分の顧客情報が漏えい

アドビシステムズ株式会社は10月3日に同社のネットワークが高度なサイバー攻撃を受け、顧客情報に不正アクセスされたと発表したんだにゃー。そして、AcrobatやColdFusionのソースコードも盗まれたそうなんだにゃー。

流出した情報にはクレジットカード情報と有効期限が含まれてるんだって。AdobeIDを持っている人や会社の担当者の人はすぐにパスワードを変更した方がいいと思うにゃー。
http://blogs.adobe.com/japan-conversations/

●「e+」に不正ログイン、第三者によるサービスの不正利用が行われる

9月27日から30日にかけて大手チケット予約サイトの「e+」に不正アクセスが行われ、実際に第三者によるサービスの不正利用も行われていたんだにゃー。個人情報の流出はないというけれど、心配だにゃー。

不正アクセスの手口は他のサービスから流出したと思われるIDとパスワードが使われているんだって。いろんなところで使われている流出したIDとパスワードって、いったいどこから流出したんだろうにゃー。
http://eplus.jp/info_1004

●PacSec 2013カンファレンスにおいて、第2回 Mobile Pwn2Own ハッキングコンテストの開催決定

11月11日から13日にかけて日本で行われる PacSec 2013カンファレンスにおいて、スマートフォンやタブレットの脆弱性を攻撃する大会、第2回 Mobile Pwn2Own ハッキングコンテストが開催されるんだにゃー。

Bluetooth や Wi-Fi、USB、NFC の欠陥を悪用し、ユーザとのやりとりをほとんど、あるいは全く必要とせずに侵入できる攻撃方法を発見したら5万ドル、Webブラウザーのエクスプロイトでは4万ドルもらえるんだって。どうにかして見つけてみたいものだにゃー。

・なあ……電波で携帯をハッキングする方法を知らないか？　 7 万ドル払うよ～今年の Mobile Pwn2Own、賞金の準備は万端（The Register）
http://scan.netsecurity.ne.jp/article/2013/10/07/32637.html

●Yahoo! 脆弱性報告に報奨金を支払う新しい脆弱性報告システム始める
スイスを本拠地とするセキュリティ企業のHigh-Tech Bridgeによると、Yahoo!のメールアカウントを乗っ取れる可能性があるXSS脆弱性を発見して報告したんだけど、バグは既知のものだから支払い対象とならないと返事がきたんだって。そして別に3つ同じような脆弱性を報告したらようやくギフト券がもらえたんだにゃー。

このことについてHigh-Tech Bridgeが記事にすると、Yahoo!は脆弱性に対して150ドルから15000ドルの報奨金が支払われる新しい脆弱性報告システムを始めたんだにゃー。脆弱性を探している人には朗報なんだにゃー。

・Yahoo! 厄介な! メールの! バグに! 払った! 報奨は! たった! 12.50 ドル!～そのうえ Yahoo! のロゴ入りグッズしか買えない（The Register）
http://scan.netsecurity.ne.jp/article/2013/10/10/32670.html
https://www.htbridge.com/news/what_s_your_email_security_worth_12_dollars_and_50_cents_according_to_yahoo.html
http://yahoodevelopers.tumblr.com/post/62953984019/so-im-the-guy-who-sent-the-t-shirt-out-as-a-thank-you

●Scan創刊15周年メルマガ半額キャンペーン実施中

ありがたいことにScanは今年の10月8日に創刊15周年を迎えるんだにゃー！パチバチー。
そこで15周年記念キャンペーンが行われるんだにゃー。
なんとScanのメルマガが全て半額で、しかも契約してくれた人全員に専門情報を収録したデジタルブック・調査レポートが贈呈されるんだにゃー。
先着150人には秘密の15周年記念ノベルティがもらえるんだって。僕のノベルティを作ってくれているみたいなんだにゃー。
これは申し込まずにはいられないんだにゃー。
http://goo.gl/pqgBdR

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

（りく）

筆者略歴：猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター吉澤亨史の指導にあたる

（翻訳・写真：山本洋介山）

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/