[続報] Apache Struts脆弱性

• Vulnerability Note VU#719225 - Apache Struts2 ClassLoader allows access to class properties via request parameters
• Apache Struts2の脆弱性 “完全修正版”は近日リリース - ITmedia エンタープライズ
• ニュース - 「Strutsの脆弱性を突く攻撃を検知、早急な対策を」、ラック西本専務：ITpro
• S2-020類似攻撃のStruts1での対策方法 - Qiita
• StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを blog
• JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを blog
• ニュース - 国税庁がStruts脆弱性で確定申告書作成サービス停止、「再開までは手書きで」：ITpro

年度末じゃなくてよかった・・・。

Facebookサーバを利用したDDoS攻撃

• Vulnerability Allows Anyone to DDoS Websites Using Facebook Servers
• Using Facebook Notes to DDoS any website | A Programmer's Blog

アンドロイドのビットコイン採掘マルウェア

• Bitcoin-mining malware reportedly found on Google Play - CNET
• Bitcoin-Mining android malware found on Google Play Store - E Hacker News

ビットコインを狙ったChrome拡張

• Malicious Chrome Extension Hijacks CryptoCurrencies and Wallets
• Google Chrome Extension "Live Ticker" steals your Doge/BTC/LTC/etc : dogecoin

病院の機器はありえないほど簡単にハックできる

• It’s Insanely Easy to Hack Hospital Equipment | Threat Level | WIRED

“They all have a web interface that allow you to set the temperature range,” he says. Although he says the systems include email alerts and wireless pagers that notify lab and hospital staff if the temperature falls outside certain boundaries, the systems are only protected by hardcoded passwords, and once in the system, an attacker can turn off the email pager notification features or alter the settings to change when an alert is sent.

これは怖い。

銀行から1250万ポンドを盗んだ手口とは

• How bank hackers stole £1.25 million with a simple piece of hardware

The device, an innocuous-looking black box, was attached to a 3G router, and allowed hackers holed-up in a nearby hotel to record staff passwords and screen activity, enabling them to make 128 financial transfers worth £1,252,490.

Neustar Annual DDoS Attacks and Impact Report 2014

• DDoS Attacks and Impacts Report Released - The State of Security
• https://www.neustar.biz/resources/whitepapers/ddos-protection/2014-annual-ddos-attacks-and-impact-report.pdf

サイバー情報共有イニシアティブ（J-CSIP（ジェイシップ））：IPA 独立行政法人 情報処理推進機構

IPAは、サイバー攻撃による被害拡大防止のため、2011年10月25日、経済産業省の協力のもと、重工、重電等、重要インフラで利用される機器の製造業者を中心に、情報共有と早期対応の場として、サイバー情報共有イニシアティブ（J-CSIP：Initiative for Cyber Security Information sharing Partnership of Japan ）を発足させました。

その他読み物

• Inside the secret digital arms race: Facing the threat of a global cyberwar - Feature - TechRepublic
• Continuous Security Monitoring: The Change Control Use Case - The State of Security
• Passwords: Real-world issues, tips and alternatives
• Carry on leaking: when corporate security goes really, really wrong | Technology | theguardian.com
• Bad business: ALL major companies are hosting malware - Cisco
• Internet is a CIA project, be careful before making Google searches: Putin | HackRead – Latest Cyber Crime – Information Security – Hacking News

• Write Up：解は細部に宿る――2nd NotSoSecure CTF参戦記 (1/2) - ＠IT
• セキュリティに「完璧」はない だから、投資判断が難しい ――経営者はどうやって判断材料を得るべきか｜経営のためのＩＴ｜ダイヤモンド・オンライン
• AWSのセキュリティについて
• OWASP ZAPの「Cross Site Scripting (Persistent)」(格納型クロスサイト・スクリプティング)診断は何をしているのか？ - Webアプリケーションセキュリティのメモ
• 産業制御システムのセキュリティ：制御システムセキュリティを世界で主導、世界初のCSMS国際標準認証が始動 (1/2) - MONOist（モノイスト）