分類で分けてみる。なんか量が多いな今日は。
Heartbleed関連
- アップル、「AirPort」製品のHeartbleed問題に対処 - CNET Japan
- If an Android Has a Heart, Does It Bleed? | FireEye Blog
- ニュースサイト - OpenSSLの脆弱性に伴う弊社製品への影響について
- Cryptographic Services Guide: Encrypting and Hashing Data
Although OpenSSL is commonly used in the open source community, OpenSSL does not provide a stable API from version to version. For this reason, although OS X provides OpenSSL libraries, the OpenSSL libraries in OS X are deprecated, and OpenSSL has never been provided as part of iOS. Use of the OS X OpenSSL libraries by apps is strongly discouraged.
iOSはOpenSSLを使っていない。
時系列で誰が何をしたかが書かれてる。
NIST ABANDONS CRYPTOGRAPHY ALGORITHM IN WAKE OF NSA BACKDOOR CONCERNS
- NIST Removes Cryptography Algorithm from Random Number Generator Recommendations
- NIST Abandons Cryptography Algorithm in Wake of NSA Backdoor Concerns - The State of Security
- Kill dodgy RNG says NIST • The Register
嫌われるNSA。
フィッシング詐欺に対する東京三菱UFJ銀行からの警告
- 三菱東京UFJ銀行、ネットバンキングのパスワード盗む偽メールに注意呼びかけ | マイナビニュース
- 【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!(平成26年4月18日更新)| 三菱東京UFJ銀行
- 【インターネットバンキング】パスワードを入力させる偽メールの例 | 三菱東京UFJ銀行
とても参考になることが書いてあるけど、読むべき人には届かないよなあ。もういっそ銀行から偽の偽メール出して、偽リンクをクリックした人に直接警告するとかした方がよさそう。
Google is working on end-to-end encryption for Gmail
Well, According to Unknown Sources from Google confirmed that company is finally planning to take another step to ensure its users Privacy by implementing more complex encryption tools such as the secure PGP (Pretty Good Privacy).
VERIZON 2014 DBIR
- Verizon Data Breach Investigations Report | Verizon Enterprise Solutions
- Verizon 2014 DBIR: Hide Your Servers and Call the Cops - The State of Security
- Verizon: Espionage attacks grew threefold in 2013, greater visibility diverts China focus - SC Magazine
- Infosecurity - DBIR: POS Attacks Wane, Cyber-espionage is Up
- Dissecting Advanced Attacks: FireEye Labs and the 2014 DBIR | FireEye Blog
- 情報流出の背景にスパイ攻撃やWebアプリ攻撃の増加 - ITmedia エンタープライズ
- Nine patterns make up 92 percent of security incidents
[続報] Crucial military satellite systems are vulnerable to hacking
不正アクセス・情報漏洩事件
The next day after Bihar BJP's official website get hacked by hacker claimed to be from Pakistan, the official website of Senior BJP Leader LK Advani (www.lkadvani.in) also got defaced by the same hacker.
合計460万件を超える不正ログイン試行が確認されており、78,361件のアカウントにおいて、不正ログインされた可能性があります。
The problems started three days ago when large volumes of email, apparently from AOL Mail's servers, started popping up in inboxes. The spoofed emails included links to the usual spam sites selling diet fads and nostrums, and have been found in very large volumes, so AOL has moved to try and stem the tide.
15歳の少年、サンホセ国際空港で飛行機の車輪格納部に入りそのままハワイへ
A 15-year-old stowaway who survived a flight over the Pacific in a jet's wheel well spent seven hours undetected in what is supposed to be a highly secure area of San Jose International Airport before the flight departed, according to an official briefed on the investigation.
- Teen flies on plane's landing gear -- what happened with security? - CNN.com
- Teenage plane stowaway snuck aboard despite being caught on camera | World news | theguardian.com
ネットセキュリティじゃないけど、物理的な不正アクセスということで。これは驚き。
プライバシー
- Facebook Knows Everything About You, And If You Don't Believe Us Here's Proof
- Brazilian Congress passes Internet bill of rights | Reuters
Brazil's Senate unanimously approved groundbreaking legislation on Tuesday that guarantees equal access to the Internet and protects the privacy of Brazilian users in the wake of U.S. spying revelations.
脆弱性・アップデート情報
[続報] secret backdoor ‘TCP 32764’
Apache Struts 2
- Apache Struts 2 の Parameters インターセプタの実装に起因するClassLoader を操作可能な脆弱性(Scan Tech Report) | ScanNetSecurity (脅威、エクスプロイトのニュース)
- セキュリティnews | 三井物産セキュアディレクション株式会社
この2つは同じもの?違うもの?CVE-2014-0094?
↓これ読むと深刻な脆弱性を連発するソフトみたいですね。
読み物
Verizon's data breach report: Point-of-sale, Web app attacks take center stage | ZDNet
Hotels, retailers, and restaurants really need to lock down their point-of-sale systems, but don't have to sweat Web app attacks as much as financial services companies do.
SEC to Examine Wall Street Cyber Security Policies - The State of Security
The Security and Exchange Commission’s (SEC) Office of Compliance Inspections and Examinations (OCIE) has launched an initiative designed to examine the cybersecurity policies in place at as many as fifty Wall Street firms to determine if adequate governance and controls are in place.
脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/)」は、システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し、迅速に脆弱性対策に活かせるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳し、2007年4月25日から公開しています。
Defensive Cyberspace Operations and Intelligence - The State of Security
The objective of the DCOI, which is now an annual, high-level US-Israel cyber conference, is to contribute to an informed public discussion on cybersecurity and to promote international collaboration in the technological, legal, and policy-making domains – and the conference achieved those objectives.
韓国の旅客船沈没事故ニュース、スパムメール検出回避に利用される | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
大惨事となった今回の事故に世界が動揺している間にも、サイバー犯罪者はすでに活動を始めていました。トレンドマイクロは、このニュースが世界的に報道されてから数時間も経たないうちに、この事故に便乗したスパムメールを確認しています。
ひどい話。
その他
- Small business guide: How to collect, analyze and protect your company’s data - The Washington Post
- BBC News - Big risks for small businesses who ignore data security
- JPCERT/CCセキュリティインシデント年表
- Akamai Press Releases
- Hackers are getting better at offense. Companies aren’t getting better at defense.
- Dissecting Advanced Attacks: FireEye Labs and the 2014 DBIR | FireEye Blog
- How do you know if your child's ID has been stolen?
- Brazil Conference to Sound Off on Future of Internet, NSA Spying - NBC News
- その時に動けるか:日本IBMの経験者が語る「情報漏えいの現場で何をすべきか」――後編 (1/2) - ITmedia エンタープライズ
- Lack of cyber risk insurance could lead to “global financial shock”
- MS、「Windows」アップデートのペースをさらに加速か - CNET Japan
- Techniques for Identifying Vulnerabilities in Target Applications - The State of Security
- クラウド環境を狙ったセキュリティ脅威、オンプレミス環境に近づく - ZDNet Japan
- Free guide: WordPress Security Checklist
- Rapid7 announces security certifications for Metasploit and Nexpose
- Dissecting the unpredictable DDoS landscape