セキュリティ クラウド環境特有のリスク 金融大手Capital One情報漏洩事件 2019.08.20 2019年7月29日に、米国の金融大手Capital Oneがサイバー攻撃による被害を公表しています。今年3月に、1億人を超えるユーザー情報が漏洩しています。
セキュリティ FATF に準拠した仮想通貨が出現する可能性? 2019.07.05 マネーロンダリングの可能性が高いとして一般的には敬遠されがちな仮想通貨ですが、FATF に準拠したものが今後登場する可能性があるようです。
セキュリティ オンライン上でのマネーロンダリングの検知 2019.06.13 マネー・ロンダリングの手法は多々ありますが、そのうち比較的に手軽に行うことが出来るクレジットカードを利用した「トランザクション・ロンダリング」を挙げることが出来ます。
セキュリティ 悪用されたすべての脆弱性の半分弱は、CVSSスコアが9以上 2019.06.12 バージニア工科大学の研究者らによる調査では、2009~2018年の間に発見された合計7万6000件の脆弱性のうち、実際に悪用されたのはわずか4183件だったことが分かった。 「悪用されたすべての脆弱性の半分弱は、CVSSスコアが9以上だ」と...
セキュリティ データベースサーバーを狙うハッキングキャンペーン 2019.06.11 セキュリティベンダーGuardicoreのリサーチチームが、Windows MS-SQLとPHPMyAdminサーバーを狙うハッキングキャンペーンについて報告しています。
セキュリティ ネット通販を狙ったサプライチェーン攻撃 Magecart 2018.10.11 オンライン上でクレジットカード情報をスキミングするマルウェアキャンペーンMagecartが再度動きを見せています。セキュリティベンダーRiskIQが同社のブログで報告しています。Magecartは、今年発生したブリティッシュ・エアウェイズと...
セキュリティ ■加盟店調査で非保持化の証明を求められるようになる? 2018.10.11 ”実行計画”が定める、通販加盟店がカード情報の非保持化またはPCI DSS準拠の達成期限である今年の3月末を迎えたあと、多くのカード会社やPSPは通販加盟店に対して、実行計画対応状況についてアンケート調査を行いました。
セキュリティ Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見 2018.08.16 DefCon(セキュリティカンファレンス)でハッカーたちが、スマートスピーカーの新たなセキュリティ問題を公表しました。 方法はとても難しいのですが、ハックしたEchoから悪用して、ターゲットのスピーカーの完全なコントロールを取得できます。
セキュリティ Bluetooth 実装において公開鍵の検証が不十分な可能性 2018.07.31 Bluetooth は、機器間での暗号化された通信をするのに、楕円曲線ディフィー・ヘルマン鍵共有に基づいたペアリング機構を利用しています。ECDH 鍵のペアは秘密鍵と公開鍵の2つより成り立っており、公開鍵が共有のペアリングの鍵として交換され...
セキュリティ CPUとGPUがメモリを共有する機器にサイドチャネル・Rowhammerの脆弱性 2018.05.08 GPU と CPU が同じメモリを共有するプラットフォーム(典型的にはスマートフォン)において、WebGL を利用したサイドチャネル攻撃及びRowhammer 攻撃を実行される可能性があります。
セキュリティ VPN製品の脆弱性 2018.03.19 広く使われているVPN製品に脆弱性が発見されています。 VPN Leaks Found on 3 Major VPNs out of ... 3 that We Tested | vpnMentor
セキュリティ スキャンPDFを委託先へ送信すれば非保持にならない!? 2018.03.13 3/1に公表された「実行計画2018」において、クレジットカード情報が記載された紙を画像スキャンしたPDFデータを保存するのは「カード情報非保持としてよい」とされました。
セキュリティ Cisco Adaptive Security Appliance に脆弱性 2018.02.16 Cisco の Adaptive Security Appliance のSSL VPN 機能に脆弱性があり、許可されていないリモートのユーザが対象のシステムをリロードしたり、遠隔でコードを実行することが出来る可能性があります。
セキュリティ TLS 実装で Bleichenbacher 攻撃対策が不十分な可能性 2017.12.20 Bleichenbacher 方式の攻撃に脆弱である可能性があります。 この脆弱性は 「ROBOT 攻撃」と呼ばれています。
セキュリティ 設定によりWindows8以降のASLRが不適切に行われる可能性 2017.11.29 Microsoft Windows 8 でのシステム全体への ASLR 強制方法の実装変更を受け、十分なエントロピーを持って ASLR 強制の動作を行わせるためには system-wide bottom-up ASLR を有効にする必要があ...
セキュリティ コード署名証明書付きのマルウェア 2017.11.10 ダークウェブの闇市場で、クレジットカード情報や偽造の身分証明書、銃などよりも高額で取引されるものがあります。コード署名証明書です。 コード署名証明書は、ソフトウェアを頒布させる際に、その発行元の身元を証明するために使われる証明書です。
セキュリティ IEEE P1735に脆弱性 2017.11.07 IEEE P1735 は電子回路設計に関する知的財産を暗号化する方法、及び、そのような知的財産に対するアクセス権限の統制に関するメソッドを記したもので、複数の知的財産所有者が絡んだ複雑な電子回路開発に於いて、デザインフロー内の不正なエンティ...