ONLINE ADVERTISING AND HIDDEN HAZARDS TO CONSUMER SECURITY AND DATA PRIVACY

またなんか出てるぅ。今度はSenate Committee on Homeland Security and Governmental Affairs（上院国土安全保障・政府問題委員会）から。

• Majority Media| Homeland Security & Governmental Affairs Committee| Homeland Security & Governmental Affairs Committee
• TrustInAds.org Blog: The Fight Against Malware in Advertising

広告を装ってマルウェアをダウンロードさせるようなものの脅威について、かな。前回載せたTrutInAd.orgはこれを受けて発足したっぽい。

[続報] セガ、不正アクセスにより複数のサーバを停止

• セガのWebサーバーへ行われた不正アクセスをまとめてみた - piyolog

[続報] 三井住友銀行、取引用の暗証番号入力と同時に不正送金するウイルスに対する注意を呼びかけ

• ニュース - 三井住友銀行の不正送金は「MITB攻撃」、ワンタイムパスワード利用者も被害に：ITpro

[続報] Gunosy経由でアクセスすると、リファラーでユーザ名が分かってしまう問題

• Gunosyの漏洩問題修正による謎のアクセスログ（compute.amazonaws.com、Go 1.1 package http）
• Gunosy社サーバが外部サイト画像取得の際にユーザーエージェントをちゃんと名乗るようになった（GunosyImageProxy v0.0.1）

修正されたそうです。

DRAFT Systems Security Engineering: An Integrated Approach to Building Trustworthy Resilient Systems

• NIST guidelines help developers build security in from the start

NIST has launched a four-stage process to develop detailed guidelines for “systems security engineering,” adapting a set of widely used international standards for systems and software engineering* to the specific needs of security engineering.

パブコメ募集中。2014年7月11日まで。

「Operation Saffron Rose」イランのハッカー集団Ajax Security Teamについてのレポート

• Operation Saffron Rose | FireEye Blog
• The evolution of an Iranian hacker group

This group, which has its roots in popular Iranian hacker forums such as Ashiyane and Shabgard, has engaged in website defacements since 2010. However, by 2014, this group had transitioned to malware-based espionage, using a methodology consistent with other advanced persistent threats in this region.

システム運用管理の委託先の日立社員、国立国会図書館のシステムに不正アクセス

• 株式会社日立製作所社員による国立国会図書館情報の不正取得行為について｜国立国会図書館―National Diet Library

平成26年3月27日（木）、国立国会図書館内ネットワークシステム運用管理者である日立製作所社員が、国立国会図書館の業務用サーバ内に置かれた職員専用フォルダに不正にアクセスし、国立国会図書館の内部情報を閲覧していた事実を国立国会図書館職員が発見しました。

最低だな。絶対やっちゃいけないことですよこういうのは。

CMSはちゃんとメンテナンスしましょう

• 旧バージョンの Movable Type の利用に関する注意喚起

Movable Type の既知の脆弱性を使用した攻撃により、不正なファイルが Web サイトに設置されたり、Web サイトの既存のコンテンツ内に、攻撃サイトへと誘導する iframe や難読化された JavaScript が埋め込まれたりする事例を確認しています。

• WordPressはメンテナンスが大事！改ざんされたサイトを復旧させるまでの道のり – WP-E（仮）Web Professional Education

日常的にデータベースを含めたバックアップをとりながら、コアとプラグインを最新に保っておかないと、悪質な第３者に脆弱性をつかれた攻撃を受けてしまう可能性があります。

これね、やっぱちゃんとメンテナンスし続ける気力がないのであればフリーのブログサービス使うほうが楽でいいよなって思うんですよね。

ビットコイン規制見送り

• ビットコイン規制見送り｜佐賀新聞 電子版
• ビットコイン規制見送り 不正は監視 | 沖縄タイムス＋プラス

なぜか地方紙ばかり。

スノーデンの暴露本「No Place To Hide」

著書販売記念？にいろいろリークしているようです。

• エフセキュアブログ : #Snowden のNSA暴露1周年を前に発売されたグレン・グリーンウォルド著「No Place To Hide」と #FiveEyes の歴史
• 『暴露 スノーデンが私に託したファイル』世界24カ国同時発売−世界最速レビュー - HONZ
• スノーデンの最新文書、Facebookの脆弱性を暴露 | TechCrunch Japan
• NSA allegedly puts backdoors on American-made network devices

台湾の機関を狙う標的型攻撃

• 台湾の機関を狙う標的型攻撃を確認。Microsoft Wordに存在したゼロデイ脆弱性「CVE-2014-1761」を利用 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）
• Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word Zero-Day | Security Intelligence Blog | Trend Micro
• Microsoft Word に存在するゼロデイ脆弱性「CVE-2014-1761」が確認される | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

APSB14-14: Security updates available for Adobe Flash Player

• Adobe Security Bulletin
• Adobe Flash Player の脆弱性対策についてAPSB14-14)(CVE-2014-0510等)：IPA 独立行政法人 情報処理推進機構
• Adobe Flash Player の脆弱性 (APSB14-14) に関する注意喚起

APSB14-15: Security Updates available for Adobe Reader and Acrobat

• Adobe Security Bulletin
• Adobe Reader および Acrobat の脆弱性対策について(APSB14-15)(CVE-2014-0511等)：IPA 独立行政法人 情報処理推進機構
• Adobe Reader および Acrobat の脆弱性 (APSB14-15) に関する注意喚起

Chrome 34 Stable Channel Update

• Chrome Releases: Stable Channel Update
• Google、「Chrome 34」の脆弱性を修正 - ITmedia エンタープライズ

Flash Playerの脆弱性の修正もこちらに含まれている。

Microsoftの2014年5月の更新プログラム

• Microsoft 製品の脆弱性対策について(2014年5月)：IPA 独立行政法人 情報処理推進機構
• 2014年5月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
• マイクロソフト セキュリティ情報 MS14-021 - 緊急
• マイクロソフト セキュリティ情報 MS14-029 - 緊急
• マイクロソフト セキュリティ情報 MS14-022 - 緊急

その他

• Good news for privacy: Fewer servers sending e-mail naked, Facebook finds | Ars Technica
• New browser hijacker/click fraud malware threatens Windows users
• Arrests in international voice-phishing case
• 【セキュリティ ニュース】巧妙化するネットバンキングの不正送金問題 - 法人には倒産リスクも：Security NEXT

• Moscow to suspend American GPS sites on Russian territory from June — RT News
• あなたの行動データを利用しているのは誰？「Ghostery」で「パーソナルデータ」を考える：ITpro

• 時事ドットコム：数百人の個人情報流出か＝ネットで閲覧可能に−大阪府松原市
• 【衝撃事件の核心】生徒に破られた高校サーバー、流出したクラス替え案・９８０人分の成績…脆すぎる「学校のＩＴセキュリティ」と「生徒のモラル」（1/4ページ） - MSN産経west

• ももクロ、コンサート等で「顔認証入場」導入へ | RBB TODAY
• 逮捕の日産元社員、持ち出し情報５千件 いすゞ転職前：朝日新聞デジタル

完璧に防ぐのは難しいよね。