「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.05.05(日)

「Officeの新たなゼロデイ脆弱性が報告されたんだにゃーの巻」(11月11日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているんだにゃー。

特集 コラム
facebookLINE
手分けして監視してるんだにゃー
手分けして監視してるんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●すでに標的型攻撃に利用されているOfficeのゼロデイ脆弱性が報告される

Microsoft Officeで利用されるMicrosoft Graphics ComponentのTIFF画像処理にゼロデイ脆弱性があることが発表されているよ。すでにこの脆弱性が標的型攻撃に悪用されていることがわかっているんだにゃー。

残念なことにまだ修正プログラムは公開されていないんだけど、軽減策となるFix Itが公開されているので、心配な管理者の皆さんはそれを適用してもらうようにすればいいと思うにゃー。TIFF画像が見られなくなるようだけど、あまり見る人はいないだろうから我慢してもらうんだにゃー。
http://technet.microsoft.com/ja-jp/security/advisory/2896666

●OWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開される

11月1日にはOWASPから「Webシステム/Webアプリケーションセキュリティ要件書」が公開されたんだって。この文書にはWebシステムおよびWebアプリケーションに関して一般的に盛り込むべきと考えられるセキュリティ要件が記載されているんだにゃー。

開発会社にWebアプリを発注するときに、どのようにセキュリティ的な要求仕様や瑕疵担保契約の責任分解点を定めるか悩んでいる発注側の人は多いと思うけど、その助けになる文書だと思うんだにゃー。
https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf

●東京外国語大学生、フィッシングサイトを使い大学サイトに不正侵入

東京外国語大学生が他の生徒のIDとパスワードを盗み取り、学務情報サーバーに不正アクセスしていたんだって。学務情報サーバーに似たフィッシングサイトを作成し、メールで誘導してIDとパスワードを入力させていたんだにゃー。

詐取したパスワードを使って他の生徒の成績などを見ていたということなんだけど、わざわざそれだけのことのために大がかりなサイトを作ったなんて不思議なんだにゃー。努力するところを間違っているんだにゃー。
http://www.tufs.ac.jp/topics/post_406.html

●米国防総省国防高等研究計画局、優勝賞金200万ドルの防御システムコンペティションを開催

米国防総省国防高等研究計画局(DARPA)は、新しい防御システムや脆弱性検出システムののコンペ「Cyber Grand Challenge」の開催を発表したんだにゃー。自動的にコードを分析して脆弱性を発見し、修正を適用するようなシステムの中で最高のパフォーマンスを見せたものに賞金200万ドルが支払われるんだにゃー。

今主流となっているパターンファイルによる検出を行う攻撃防御システムや脆弱性スキャナには難しい自動検出自動修復ということなので、これまでとは全く違う画期的なシステムが作られるかもしれないにゃー。楽しみだにゃー。

・DARPA、究極のセキュリティバグ殺害者を求めて 200 万ドルを用意~それはアンチウイルス業界の一部にとって、とてつもない恐怖の瞬間(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/01/32840.html

●中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインで漏えい

中国の新聞報道によると、中国の大手ホテルチェーンを利用した宿泊客の個人情報がオンラインに漏えいしていたんだって。これらのデータは、中国のホテルチェーンへWi-Fi接続を提供している浙江ベースの企業CNWisdomから盗まれた可能性があると疑われているんだにゃー。

中国では個人データの盗難が横行してて、それは内部犯行であることも多いみたい。中国のネットワークサービスを使うときはなるべく個人情報を登録しない方がいいみたいなんだにゃー。

・中国のホテル宿泊客の個人データがインターネットに放たれる~次に中国へ行く際は、たぶん Wi-Fi サービスに登録しないほうがいい(The Register)
http://scan.netsecurity.ne.jp/article/2013/11/06/32865.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP