2014年3月24日(米国時間)、Microsoft Word に存在するゼロデイ脆弱性「マイクロソフト セキュリティ アドバイザリ (2953095)」(「CVE-2014-1761」)が Microsoft により公開されました。また、Microsoft Word 2010 を狙う、限定的な標的型攻撃を確認していることも言及しています。
続きを読むInternet Explorer(IE)に存在する脆弱性は、どれも深刻な問題ですが、2014年2月17日のブログで報告したゼロデイ脆弱性「CVE-2014-0322」は、とりわけ注視すべきものです。今回のゼロデイ攻撃では、異なる技術を使用した複数のコンポーネントに分割された不正なエクスプロイトコードを利用しています。今回の事例では、エクスプロイトコードは、JavaScript および Adobe Flash 間で分割されていました。このようにエクスプロイトコードを分割させることで、攻撃者は、脆弱性を利用した不正コードの実行を困難にさせるための機能「Address Space Layout Randomization(アドレス空間レイアウトのランダム化、ASLR)」やセキュリティ機能「Data Execution Prevention(データ実行防止、DEP)」といった OS レベルの防御システムを回避できるようになります。
続きを読むセキュリティに関する 2014年の最大のニュースは、これまでのところ、米大手小売業の大規模な情報流出でしょう。同社においては、クリスマス商戦の始まるブラックフライデー(11月の第4金曜日)を含め、2013年末の数週間に渡って、自社のネットワークに攻撃者が侵入し、POS(販売時点情報管理)システムに不正プログラムをインストールして、約4,000万人の顧客のクレジットカード情報を収集しました。また、氏名や住所、電話番号といった 7,000万人の個人情報も収集されています。トレンドマイクロは「脅威予測-2014年とその後」で、大規模な情報漏えいの発生頻度が上がると予想していました。
続きを読むトレンドマイクロでは、2013年第3四半期に日本および世界で確認した脅威の概要を、「2013年第3四半期セキュリティラウンドアップ:止まらないオンライン銀行詐欺ツールの猛威」としてまとめました。
・ダウンロードはこちら:
2013年第2四半期セキュリティラウンドアップ:『止まらないオンライン詐欺の猛威』
本レポートでは、Web改ざん、不正アクセスなど、以前の脅威傾向を引き継ぎながらも、特にオンライン詐欺に分類される攻撃が顕著だったことを主要トピックとしています。
続きを読むトレンドマイクロでは、2013年第 2四半期に日本および世界で確認した脅威の概要を、「2013年第 2四半期セキュリティラウンドアップ:『攻撃者の狙いは、「サーバ」、「モバイル」、「人」の脆弱性』」としてまとめました。
続きを読む