ブログ

データベースサーバーを狙うハッキングキャンペーン

2019.06.11

セキュリティベンダーGuardicoreのリサーチチームが、Windows MS-SQLとPHPMyAdminサーバーを狙うハッキングキャンペーンについて報告しています。

XSS、Cookie設定の脆弱性を利用した攻撃手法

2018.11.15

XSSやCookie設定の不備といった脆弱性がどのように利用され得るか、具体的に解説しています。

ネット通販を狙ったサプライチェーン攻撃 Magecart

2018.10.11

オンライン上でクレジットカード情報をスキミングするマルウェアキャンペーンMagecartが再度動きを見せています。セキュリティベンダーRiskIQが同社のブログで報告しています。Magecartは、今年発生したブリティッシュ・エアウェイズと...

■加盟店調査で非保持化の証明を求められるようになる？

2018.10.11

”実行計画”が定める、通販加盟店がカード情報の非保持化またはPCI DSS準拠の達成期限である今年の3月末を迎えたあと、多くのカード会社やPSPは通販加盟店に対して、実行計画対応状況についてアンケート調査を行いました。

Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

2018.08.16

DefCon(セキュリティカンファレンス)でハッカーたちが、スマートスピーカーの新たなセキュリティ問題を公表しました。方法はとても難しいのですが、ハックしたEchoから悪用して、ターゲットのスピーカーの完全なコントロールを取得できます。

Bluetooth 実装において公開鍵の検証が不十分な可能性

2018.07.31

Bluetooth は、機器間での暗号化された通信をするのに、楕円曲線ディフィー・ヘルマン鍵共有に基づいたペアリング機構を利用しています。ECDH 鍵のペアは秘密鍵と公開鍵の2つより成り立っており、公開鍵が共有のペアリングの鍵として交換され...

CPUとGPUがメモリを共有する機器にサイドチャネル・Rowhammerの脆弱性

2018.05.08

GPU と CPU が同じメモリを共有するプラットフォーム（典型的にはスマートフォン）において、WebGL を利用したサイドチャネル攻撃及びRowhammer 攻撃を実行される可能性があります。

水槽の温度計から顧客データが漏洩

2018.04.18

水槽の温度計がハッキングされ、カジノの上顧客のデータが漏洩しています。

VPN製品の脆弱性

2018.03.19

広く使われているVPN製品に脆弱性が発見されています。 VPN Leaks Found on 3 Major VPNs out of ... 3 that We Tested | vpnMentor

スキャンPDFを委託先へ送信すれば非保持にならない!?

2018.03.13

3/1に公表された「実行計画2018」において、クレジットカード情報が記載された紙を画像スキャンしたPDFデータを保存するのは「カード情報非保持としてよい」とされました。

Cisco Adaptive Security Appliance に脆弱性

2018.02.16

Cisco の Adaptive Security Appliance のSSL VPN 機能に脆弱性があり、許可されていないリモートのユーザが対象のシステムをリロードしたり、遠隔でコードを実行することが出来る可能性があります。

TLS 実装で Bleichenbacher 攻撃対策が不十分な可能性

2017.12.20

Bleichenbacher 方式の攻撃に脆弱である可能性があります。この脆弱性は「ROBOT 攻撃」と呼ばれています。

バンキングアプリの脆弱性

2017.12.08

英国バーミンガム大学のセキュリティリサーチチームが、大手銀行のバンキングアプリから脆弱性を発見しています。

設定によりWindows8以降のASLRが不適切に行われる可能性

2017.11.29

Microsoft Windows 8 でのシステム全体への ASLR 強制方法の実装変更を受け、十分なエントロピーを持って ASLR 強制の動作を行わせるためには system-wide bottom-up ASLR を有効にする必要があ...

コード署名証明書付きのマルウェア

2017.11.10

ダークウェブの闇市場で、クレジットカード情報や偽造の身分証明書、銃などよりも高額で取引されるものがあります。コード署名証明書です。コード署名証明書は、ソフトウェアを頒布させる際に、その発行元の身元を証明するために使われる証明書です。

IEEE P1735に脆弱性

2017.11.07

IEEE P1735 は電子回路設計に関する知的財産を暗号化する方法、及び、そのような知的財産に対するアクセス権限の統制に関するメソッドを記したもので、複数の知的財産所有者が絡んだ複雑な電子回路開発に於いて、デザインフロー内の不正なエンティ...

心臓ペースメーカーの深刻な脆弱性

2017.09.08

ワイヤレスデバイスに付き物の脆弱性は広くセキュリティ上の課題として認識されていますが、直接生命に関わるようなデバイスも例外ではありませんでした。

紙情報はPCI DSSの対象から除外してよいか

2017.08.23

「実行計画2017」には、「紙媒体のまま保存する場合は非保持となる。(P14)」と書かれています。通販の申込みはがきやFAXに、クレジットカード番号が記入されていても、紙のままで保存するのであれば、カード情報非保持と認められます。とこ...

自動車会社が本物のソフトウェア会社になるためには

2017.06.15

ペンタセキュリティ社特別寄稿自動車会社の技術者と自動車セキュリティ関連の会議をするとき、前に比べて雰囲気が相当変わったことを直感する。何だか重工業系にはハードルの高さがあり、高い壁のように感じられたが、このごろは結構ソフトになった気がする...

Linux sudoコマンドに権限昇格の脆弱性が見つかる

2017.06.02

Linux のコマンドsudo に特権権限への脆弱性が報告されています。脆弱性の影響を受ける対象は、sudoのバージョンが1.8.6p7 から 1.8.20 で、SELinuxが有効の場合に脆弱性の影響を受けます。