読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

20140514-15 セキュリティ情報まとめ

本日のまとめ

昨日まとめ忘れました。

ONLINE ADVERTISING AND HIDDEN HAZARDS TO CONSUMER SECURITY AND DATA PRIVACY

またなんか出てるぅ。今度はSenate Committee on Homeland Security and Governmental Affairs(上院国土安全保障・政府問題委員会)から。

広告を装ってマルウェアをダウンロードさせるようなものの脅威について、かな。前回載せたTrutInAd.orgはこれを受けて発足したっぽい。

[続報] 三井住友銀行、取引用の暗証番号入力と同時に不正送金するウイルスに対する注意を呼びかけ

DRAFT Systems Security Engineering: An Integrated Approach to Building Trustworthy Resilient Systems

NIST has launched a four-stage process to develop detailed guidelines for “systems security engineering,” adapting a set of widely used international standards for systems and software engineering* to the specific needs of security engineering.

パブコメ募集中。2014年7月11日まで。

「Operation Saffron Rose」イランのハッカー集団Ajax Security Teamについてのレポート

This group, which has its roots in popular Iranian hacker forums such as Ashiyane and Shabgard, has engaged in website defacements since 2010. However, by 2014, this group had transitioned to malware-based espionage, using a methodology consistent with other advanced persistent threats in this region.

システム運用管理の委託先の日立社員、国立国会図書館のシステムに不正アクセス

平成26年3月27日(木)、国立国会図書館内ネットワークシステム運用管理者である日立製作所社員が、国立国会図書館の業務用サーバ内に置かれた職員専用フォルダに不正にアクセスし、国立国会図書館の内部情報を閲覧していた事実を国立国会図書館職員が発見しました。

最低だな。絶対やっちゃいけないことですよこういうのは。

CMSはちゃんとメンテナンスしましょう

Movable Type の既知の脆弱性を使用した攻撃により、不正なファイルが Web サイトに設置されたり、Web サイトの既存のコンテンツ内に、攻撃サイトへと誘導する iframe や難読化された JavaScript が埋め込まれたりする事例を確認しています。

日常的にデータベースを含めたバックアップをとりながら、コアとプラグインを最新に保っておかないと、悪質な第3者に脆弱性をつかれた攻撃を受けてしまう可能性があります。

これね、やっぱちゃんとメンテナンスし続ける気力がないのであればフリーのブログサービス使うほうが楽でいいよなって思うんですよね。