[過去ログ] セキュリティに関するニュースを淡々と伝えるスレ9 [無断転載禁止]©2ch.net (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
481: 2020/01/28(火)18:51 AAS
Intel製CPUに投機的実行機能にまたサイドチャネル脆弱性、機密データを外部から推測されてしまう可能性
外部リンク[html]:forest.watch.impress.co.jp
米Intelは1月27日(現地時間)、同社製CPUの投機的実行機能に情報漏洩の脆弱性が
存在することを明らかにした。脆弱性ポータルサイト“JVN”もセキュリティアドバイザリを
公開し、注意を呼び掛けている。
この脆弱性は“Vector Register Sampling(CVE-2020-0548)”または“L1D Eviction Sampling
(CVE-2020-0549)”と呼ばれており、すでに同社製CPUの投機的実行機能で指摘されている
サイドチャネル攻撃の亜種のようだ。本来アクセスできるはずのないプロセスから、ベクトル
レジスタ値やL1データキャッシュの値を推測されてしまう可能性がある。
脆弱性の深刻度は“CVE-2020-0548”が“Low”、“CVE-2020-0549”が“Medium”と評価されて
省2
482: 2020/01/29(水)00:55 AAS
ソフトバンクの機密情報、ロシアに譲渡か 元社員逮捕
外部リンク:r.nikkei.com
483: 2020/01/29(水)00:57 AAS
Avast、セキュリティソフトで集めたユーザーデータを匿名化して企業に販売──米報道 2020年1月28日
外部リンク[html]:www.itmedia.co.jp
484: 2020/01/29(水)18:02 AAS
AVAST社が声明を発表 〜無料ウイルス対策で収集した閲覧データを第三者に販売との報道を受け
外部リンク[html]:forest.watch.impress.co.jp
「アバスト」で収集されたユーザーデータが第三者に販売されていると米PCMagが
報道したことに対し、チェコのAVAST Softwareは1月28日(現地時間)、公式の声明を
発表した。
AVAST社に関しては昨年末、Webブラウザー拡張機能による個人情報の取集が疑われ、
ポリシー違反を理由に拡張機能ストアから一時的に排除された事件もあった(この件は
すでに解決し、拡張機能は再公開されている)。
AVAST社は公式の声明で、2019年12月に拡張機能ストアの基準を満たすために迅速な
対応を行い、子会社Jumpshotとのデータ共有を含め、セキュリティ製品で利用する
省4
485: 2020/01/31(金)11:29 AAS
AVAST、子会社Jumpshotを終了へ 〜ユーザーの閲覧データを第三者に販売した問題をうけ
外部リンク[html]:forest.watch.impress.co.jp
チェコのAVAST Softwareは1月30日(現地時間)、子会社Jumpshotへのデータ提供を
終了し、事業の撤退を開始したことを明らかにした。Jumpshot社は、「アバスト」製品で
収集した閲覧情報をユーザーの同意なく第三者に販売しているとして、問題になっていた。
AVAST社は、ユーザー情報の収集はあくまでもセキュリティ製品の向上に役立てるためで
あり、EU一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)
に準拠したプライバシーポリシーに基づいていると主張。個人を特定できる情報を第三者に
販売した事実は一切なく、ユーザー側で情報の収集を拒否する機能も提供しているとしていた。
その一方で、同社に対する信頼が大きく傷つけたことを認め、反省の意を表明。取締役会の
省3
486: 2020/02/01(土)15:59 AAS
「三井住友カード」を装ったフィッシング…詐欺メールに注意!
外部リンク:report.hot-cafe.net
フィッシング対策協議会では、「三井住友カードをかたるフィッシング(2020/01/31)」が
発生として注意を促しています。
2020/01/31 18:00 現在において、フィッシングサイトは稼働中であり、JPCERT/CC に
サイト閉鎖のための調査を依頼中とのことです。
487: 2020/02/03(月)17:22 AAS
Avastが売っていたユーザーデータは「個人を特定できない」としているが、それは何の意味もない言い訳 _ ギズモード・ジャパン
外部リンク[html]:www.gizmodo.jp
Avast Softwareの分析部門・Jumpshotが、アンチウィルスソフトウェア「Avast」の無料
ブラウザアドオンをインストールしている何百万人のユーザーデータを売っていたことが
判明した件で、AvastはJumpshotの閉鎖を決定しました。
ユーザーのプライバシーとパーソナルセキュリティを第一に掲げ、自称「サイバーセキュリティ
のグローバルリーダー」なAvastにとって、ユーザーのデータを使って利益を得るというのは
イメージ的にちょっと問題があったようです。
AvastのCEOであるOndrej Vlcek氏は、プレスリリースにこう記しています。
488: 2020/02/04(火)00:29 AAS
フィッシング詐欺・こんな感じで引っかかる…事前に見て予防!
外部リンク:report.hot-cafe.net
フィッシング詐欺は、技術レベルが多少低くても行え、人の心理に
つけこんでいるため同じやり方でも通用することから、増えていると思われます。
もちろん、新しい手法を取り入れている詐欺も発生しており、メール送信元や従来の
URLを見て判断ができづらい状況も発生しています。
手口を見ておくと気がつくかも
被害にあう瞬間をみておくと、同じような状況で気づく可能性が高まりますので、
動画などで確認しておきましょう。
被害を受けやすい人は反射的に動く人
省5
489(1): 2020/02/04(火)18:02 AAS
感染拡大中のマルウェア「Emotet」、JPCERT/CCは無償の検出ツールをオープンソースで公開
外部リンク[html]:forest.watch.impress.co.jp
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月3日、システムが
「Emotet」に感染しているかどうかを確認できるWindows向けツール「EmoCheck」を
リリースした。バイナリに加えソースコードも公開されており、“GitHub”のプロジェクト
ページから無償でダウンロードできる。
「Emotet」は昨年10月以降、感染事例が急増しているマルウェア。実在の組織や人物に
なりすましたメールに「Microsoft Word」文書ファイルを添付し、ユーザーを巧妙に唆して
ファイルのコンテンツ(マクロ)を実行させることで、パスワードなどの機密情報を詐取したり、
他のPCへ「Emotet」の感染を広げる事例が確認されている。
省7
490: 2020/02/05(水)08:27 AAS
>>489
通常のセキュリティソフトでは検出しないのかよ?
マイクロソフトの月例悪意検出も企業さんではやらなかったりするんかな?
そんな所ならば勝手に感染しておれ
491: 2020/02/06(木)13:34 AAS
「Windows 7」を使用するIoTデバイスを狙ったマルウェア攻撃が活発に
外部リンク:japan.cnet.com
いまだにWindows 7を使っているIoTデバイスを狙ったマルウェアによる攻撃キャンペーンが発生していると
TrapX Securityの新しいレポートが警告している。
Windows 7のサポート終了は、製造業のような業界で特に影響が大きい。
製造業は同OSを搭載した組み込みデバイスに依存しており、これらのデバイスは容易にアップデートできないため
今回指摘されているような攻撃にネットワークが無防備なのだ。
レポートによると、今回の攻撃キャンペーンのマルウェアはIoTデバイスの誤動作を引き起こし
製造現場で働く労働者の負傷や、製造の中断、機密情報の漏えいといった実害を招くおそれがある。
492: 2020/02/06(木)13:37 AAS
Chromeブラウザ、不快な動画広告ブロックを8月5日から開始
外部リンク[html]:www.itmedia.co.jp
米Googleは2月5日(現地時間)、Chromeブラウザで3種類の動画広告をブロックすると予告した。
8月5日に開始する計画。
493: 2020/02/07(金)19:24 AAS
ソフトバンク宮内社長、ロシアと関係のあった元社員が持ち出したのは「基地局設置の手順書」
外部リンク[html]:k-tai.watch.impress.co.jp
ソフトバンクの宮内謙代表取締役社長は、1月下旬、同社元社員が警視庁に
不正競争防止法違反の容疑で逮捕されたことを受けてコメントした。
宮内氏
「大変ご心配をおかけし恐縮です。ロシアの諜報機関とコンタクトがあった社員だが、警察庁、
公安の捜査に協力してきた。ただひとつ申し上げたいのは、少なくとも、彼(逮捕された元社員)
のポジションでは個人情報など通信の秘密や、機密性の高い情報へタッチできる部隊では
なかった。ご安心いただければ」
逮捕された元社員が流出させたという情報について「(ロシアに流出したとされる情報は)
省8
494: 2020/02/08(土)21:22 AAS
3つのメジャーなオンライン詐欺の手口とその対抗策
外部リンク[html]:www.gizmodo.jp
SIMスワップ
あなたになりすました詐欺師が、あなたの契約している携帯電話会社に連絡し、なんだかんだと
理由をつけて、自分のSIMカードにあなたの電話番号を紐づけるように仕向け、あなた宛ての
メールや電話を自分のスマホで受けとれるようにする...それがSIMスワップ詐欺です。
フィッシングメッセージ
フィッシングといえば、間髪入れず「メール」と言ってしまいそうですが、今やこの手口は
SMSやインスタントメッセージにも広まっています。電子コミュニケーションの方法が何であれ
、スマホ経由であなたを巧みに誘導して情報を引き出し、第三者があなたのスマホを利用
省8
495: 2020/02/13(木)22:44 AAS
Intel、ルネサスUSB 3.0ドライバに脆弱性があるとし「使用停止」を勧告
外部リンク[html]:pc.watch.impress.co.jp
米Intelは11日、同社製品に関する6件の脆弱性を報告。
このなかで、Intelのルネサス エレクトロニクスUSB 3.0ドライバに権限昇格の脆弱性があると報告し(INTEL-SA-00273)
ユーザーに使用停止を求めている。脆弱性共通識別子はCVE-2020-0560。
影響があるのは、Intelが提供しているルネサス エレクトロニクス製USB 3.0コントローラのドライバで
すべてのバージョンが該当している。認証されたユーザーが、ローカルアクセスを介して特権の昇格の可能性があるとしている。
ルネサスに確認したところ、この脆弱性はWindows 7以前のドライバを対象としているもののため
Microsoftよりリリースされたドライバを使用できるWindows 8/10以降では問題は発生しない。
496(1): 2020/02/25(火)10:17 AAS
[このSSIDに要注意! スマホでフリーWi-Fiを安全に使うための方法とは] - ケータイ Watch
外部リンク[html]:k-tai.watch.impress.co.jp
スマートフォンの通信容量を節約するために、カフェやコンビニのフリーWi-Fiを使っている
人も多いのではないでしょうか? しかし、街中で提供されている公衆無線LANの中には、
データが暗号化されない状態で接続されてしまう場所も少なくありません。おりしも2月1日
〜3月18日は「サイバーセキュリティ月間」として、セキュリティ関連の考え方について、
理解を深めようという時期でもあります。大切な情報が盗まれることがないように、しっかりと
対策しておきましょう。
497(1): 2020/02/26(水)11:04 AAS
PCやプリンターからも中国が情報窃取か
外部リンク[html]:vpoint.jp
米国内で使用されている大手電子機器メーカーの製品が、中国政府による情報収集に
利用される可能性があると情報サイト「チャイナ・テック・スレット」が警告。共和党の
ルビオ上院議員は、これらの機器によって米国の技術が中国に盗まれる可能性があると警告した。
同サイトによると、大手プリンターメーカー、レックスマークと中国のパソコンメーカー、
レノボが結んだ契約は、中国政府の情報機関への協力をすべての企業に求める2017年の
法律に基づき、米国内での製品から入手したデータ、情報を中国に送信することが認められている。
ルビオ氏は24日、この報告書の公表に合わせて行ったテレビ会議で、「州、地方レベルで
システムに使用されており、知的財産の窃取のような事態が起こり得る」と指摘、両社の
省1
498: 2020/02/27(木)03:35 AAS
>>496
オリンピックが始まったら外国から多数の人々が訪れる事になるが
以前から問題視になっているのがその人達への公衆無線Wi-Fi提供です
日本のインフラ事情って果たして本当にまともに整備されているでしょうかね?
499: 2020/02/27(木)10:24 AAS
>>497
こえー
こんなんばっかだな
500: 2020/03/09(月)11:40 AAS
AMD製CPUが2つの新しい攻撃に対して脆弱 〜グラーツ工科大学などのセキュリティ研究者が指摘
外部リンク[html]:forest.watch.impress.co.jp
2011年から2019年の間に製造されたAMD製CPUが2つの新しい攻撃に対して脆弱で
あることが、グラーツ工科大学などに所属するセキュリティ研究者らによって明らかにされた。
これに対し米AMDは3月7日(現地時間)、新しい攻撃ではないとの声明を発表している。
セキュリティ研究者によると、CPUの電力消費とパフォーマンスを最適化するため、AMDは
L1Dキャッシュに“way predictor”と呼ばれる機能を追加し、目的のアドレスがどのキャッシュ
ウェイに存在するかを予測している。しかし、この機能をリバースエンジニアリングした結果、
2つの攻撃方法が見つかったという。1つ目の“Collide + Probe”は論理コアをタイムシェアリング
する際、物理アドレスや共有メモリを知らなくても対象のメモリアクセスを監視できる。
省3
上下前次1-新書関写板覧索設栞歴
あと 502 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.015s