脆弱性、特にゼロデイ脆弱性は、攻撃者により頻繁に標的型攻撃の開始点として利用されます。Microsoft Word に存在したゼロデイ脆弱性「CVE-2014-1761」がまさにこの事例に該当します。Microsoft は、2014年3月に公開された「マイクロソフト セキュリティ アドバイザリ (2953095)」で、この脆弱性が「限定的な標的型攻撃」に利用されたことを認めています。その後 Microsoft は、4月の月例セキュリティ情報で、この脆弱性の更新プログラムを公開しました。
続きを読む「Cryptography(暗号技術)」は、2014年に入ってから狙われ続けているように見受けられますが、実際のところ、暗号技術は常に攻撃にさらされており、そのために日々進化し続けていると言えるかもしれません。暗号技術に対して常に注意を払う必要があると認識を持つことは良いことです。なぜなら、暗号技術への脅威は、今年 4月に発覚した脆弱性「Heartbleed」のように非常に破壊力があり、RC4 や MD5、SHA1、Dual_EC_DRBG といったさまざまな暗号アルゴリズムは、以前から「問題」を抱えています。個人的には、このようなアルゴリズムはもはや利用すべきでないと考えています。
続きを読む金銭の窃取がサイバー犯罪の主要な動機であることはもはや強調するまでもないでしょう。このとき、攻撃者が狙っているのは金銭につながる「情報」です。具体的には、インターネットバンキングの利用に必要な ID ・パスワード等の口座情報を窃取します。そして窃取した情報を利用してその銀行口座から不正に送金することで金銭を盗み取るのです。日本においては、ネットバンキングに係る不正送金事案の被害額が、2013年に 14億円、2014年に入っても 1月から 2月までで既に 6億円と過去最大の多額の被害が発生していることが警察庁から発表されています。このような被害を防ぐにはどのような対策を打つ必要があるのでしょうか?
続きを読むMicrosoft は、2014年4月26日(米国時間)、「セキュリティアドバイザリ 2963983」を公開しました。このセキュリティアドバイザリは、Internet Explorer(IE)で確認された新たなゼロデイ脆弱性「CVE-2014-1776」について記述しています。
続きを読む