「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.04.19(金)

「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているんだにゃー。

特集 コラム
facebookLINE
手分けして監視してるんだにゃー
手分けして監視してるんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●すでに標的型攻撃に利用されているOfficeのゼロデイ脆弱性が報告される

Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているよ。すでにこの脆弱性が標的型攻撃に悪用されていることがわかっているんだにゃー。

残念なことにまだ修正プログラムは公開されていないんだけど、軽減策となるFix Itが公開されているので、心配な管理者の皆さんはそれを適用してもらうようにすればいいと思うにゃー。TIFF画像が見られなくなるようだけど、あまり見る人はいないだろうから我慢してもらうんだにゃー。
http://technet.microsoft.com/ja-jp/security/advisory/2896666

●OWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開される

11月1日にはOWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開されたんだって。この文書にはWebシステムおよびWebアプリケーションに関して一般的に盛り込むべきと考えられるセキュリティ要件が記載されているんだにゃー。

開発会社にWebアプリを発注するときに、どのようにセキュリティ的な要求仕様や瑕疵担保契約の責任分解点を定めるか悩んでいる発注側の人は多いと思うけど、その助けになる文書だと思うんだにゃー。
https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf

●東京外国語大学生、フィッシングサイトを使い大学サイトに不正侵入

東京外国語大学生が他の生徒のIDとパスワードを盗み取り、学務情報サーバーに不正アクセスしていたんだって。学務情報サーバーに似たフィッシングサイトを作成し、メールで誘導してIDとパスワードを入力させていたんだにゃー。

詐取したパスワードを使って他の生徒の成績などを見ていたということなんだけど、わざわざそれだけのことのために大がかりなサイトを作ったなんて不思議なんだにゃー。努力するところを間違っているんだにゃー。
http://www.tufs.ac.jp/topics/post_406.html

●米国防総省国防高等研究計画局、優勝賞金200万ドルの防御システムコンペティションを開催

米国防総省国防高等研究計画局(DARPA)は、新しい防御システムや脆弱性検出システムののコンペ「Cyber Grand Challenge」の開催を発表したんだにゃー。自動的にコードを分析して脆弱性を発見し、修正を適用するようなシステムの中で最高のパフォーマンスを見せたものに賞金200万ドルが支払われるんだにゃー。

今主流となっているパターンファイルによる検出を行う攻撃防御システムや脆弱性スキャナには難しい自動検出自動修復ということなので、これまでとは全く違う画期的なシステムが作られるかもしれないにゃー。楽しみだにゃー。

・DARPA、究極のセキュリティバグ殺害者を求めて 200 万ドルを用意~それはアンチウイルス業界の一部にとって、とてつもない恐怖の瞬間(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/01/32840.html

●中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインで漏えい

中国の新聞報道によると、中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインに漏えいしていたんだって。これらのデータは、中国のホテルチェーンへWi-Fi接続を提供している浙江ベースの企業CNWisdomから盗まれた可能性があると疑われているんだにゃー。

中国では個人データの盗難が横行してて、それは内部犯行であることも多いみたい。中国のネットワークサービスを使うときはなるべく個人情報を登録しない方がいいみたいなんだにゃー。

・中国のホテル宿泊客の個人データがインターネットに放たれる~次に中国へ行く際は、たぶん Wi-Fi サービスに登録しないほうがいい(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/06/32865.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  3. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  6. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  7. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  8. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  9. セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

    セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

  10. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP