昨日まとめ忘れました。
ONLINE ADVERTISING AND HIDDEN HAZARDS TO CONSUMER SECURITY AND DATA PRIVACY
またなんか出てるぅ。今度はSenate Committee on Homeland Security and Governmental Affairs(上院国土安全保障・政府問題委員会)から。
- Majority Media| Homeland Security & Governmental Affairs Committee| Homeland Security & Governmental Affairs Committee
- TrustInAds.org Blog: The Fight Against Malware in Advertising
広告を装ってマルウェアをダウンロードさせるようなものの脅威について、かな。前回載せたTrutInAd.orgはこれを受けて発足したっぽい。
[続報] 三井住友銀行、取引用の暗証番号入力と同時に不正送金するウイルスに対する注意を呼びかけ
[続報] Gunosy経由でアクセスすると、リファラーでユーザ名が分かってしまう問題
- Gunosyの漏洩問題修正による謎のアクセスログ(compute.amazonaws.com、Go 1.1 package http)
- Gunosy社サーバが外部サイト画像取得の際にユーザーエージェントをちゃんと名乗るようになった(GunosyImageProxy v0.0.1)
修正されたそうです。
DRAFT Systems Security Engineering: An Integrated Approach to Building Trustworthy Resilient Systems
NIST has launched a four-stage process to develop detailed guidelines for “systems security engineering,” adapting a set of widely used international standards for systems and software engineering* to the specific needs of security engineering.
パブコメ募集中。2014年7月11日まで。
「Operation Saffron Rose」イランのハッカー集団Ajax Security Teamについてのレポート
This group, which has its roots in popular Iranian hacker forums such as Ashiyane and Shabgard, has engaged in website defacements since 2010. However, by 2014, this group had transitioned to malware-based espionage, using a methodology consistent with other advanced persistent threats in this region.
システム運用管理の委託先の日立社員、国立国会図書館のシステムに不正アクセス
平成26年3月27日(木)、国立国会図書館内ネットワークシステム運用管理者である日立製作所社員が、国立国会図書館の業務用サーバ内に置かれた職員専用フォルダに不正にアクセスし、国立国会図書館の内部情報を閲覧していた事実を国立国会図書館職員が発見しました。
最低だな。絶対やっちゃいけないことですよこういうのは。
CMSはちゃんとメンテナンスしましょう
Movable Type の既知の脆弱性を使用した攻撃により、不正なファイルが Web サイトに設置されたり、Web サイトの既存のコンテンツ内に、攻撃サイトへと誘導する iframe や難読化された JavaScript が埋め込まれたりする事例を確認しています。
日常的にデータベースを含めたバックアップをとりながら、コアとプラグインを最新に保っておかないと、悪質な第3者に脆弱性をつかれた攻撃を受けてしまう可能性があります。
これね、やっぱちゃんとメンテナンスし続ける気力がないのであればフリーのブログサービス使うほうが楽でいいよなって思うんですよね。
スノーデンの暴露本「No Place To Hide」
著書販売記念?にいろいろリークしているようです。
台湾の機関を狙う標的型攻撃
- 台湾の機関を狙う標的型攻撃を確認。Microsoft Wordに存在したゼロデイ脆弱性「CVE-2014-1761」を利用 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
- Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word Zero-Day | Security Intelligence Blog | Trend Micro
- Microsoft Word に存在するゼロデイ脆弱性「CVE-2014-1761」が確認される | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
APSB14-15: Security Updates available for Adobe Reader and Acrobat
Chrome 34 Stable Channel Update
Microsoftの2014年5月の更新プログラム
その他
- Good news for privacy: Fewer servers sending e-mail naked, Facebook finds | Ars Technica
- New browser hijacker/click fraud malware threatens Windows users
- Arrests in international voice-phishing case
- 【セキュリティ ニュース】巧妙化するネットバンキングの不正送金問題 - 法人には倒産リスクも:Security NEXT
- Moscow to suspend American GPS sites on Russian territory from June — RT News
- あなたの行動データを利用しているのは誰?「Ghostery」で「パーソナルデータ」を考える:ITpro
- 時事ドットコム:数百人の個人情報流出か=ネットで閲覧可能に−大阪府松原市
- 【衝撃事件の核心】生徒に破られた高校サーバー、流出したクラス替え案・980人分の成績…脆すぎる「学校のITセキュリティ」と「生徒のモラル」(1/4ページ) - MSN産経west
完璧に防ぐのは難しいよね。