トレンドマイクロでは、2014年4月10日、Webサイト解析ツールなどを提供する「Alexa」が公開しているトップ 100万ドメインを調査し、OpenSSL に存在する脆弱性「Heartbleed」を抱えている Webサイトの件数を報告しました。今回は、4月23日現在の状況を報告します。
続きを読むApache Struts 2 の脆弱性「CVE-2014-0094」を狙う「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」が、インターネット上で公開されていることをトレンドマイクロでは確認しここに注意喚起いたします。
続きを読む社会生活においてサイバー空間がなくてはならないものになっている現代、我々は日々様々な脅威にさらされています。今回明らかになった OpenSSL の HeartBleed脆弱性への攻撃もその 1つです。情報漏えいやプライバシー情報の開示に関連する話題は後を絶たず、また昨今のサイバー犯罪者の目的が金銭搾取に集中していることはよく知られています。
続きを読む2014年4月7日(米国時間)、「OpenSSL」の拡張機能「Heartbeat」に重大な脆弱性「Heartbleed」が存在することが発覚し、多くの Webサイトやサーバ管理者は迅速な対応を求められました。これには説得力のある根拠があります。ソフトウェア開発プロジェクトのための共有Webサービスを提供する「Github」の調査で、1万サイトのうち 600以上のサイトが、この脆弱性の影響を受けることが分かりました。これは、Webサイト解析ツールなどを提供している「Alexa」によるランキングで上位 1万サイトを対象にスキャンニングを行ったものです。スキャニング調査時、影響を受けた Webサイトには、「Yahoo!」や写真共有サイト「Flickr」、出会い系ソーシャルネル・ネットワーキング・サービス「OKCupid」、音楽情報誌「Rolling Stone」、ITやテクノロジー情報サイト「Ars Technica」が含まれていました。
続きを読むトレンドマイクロは、OpenSSL に存在する脆弱性「Heartbleed」の影響を測定するため、Webサイト解析ツールなどを提供する「Alexa」が公開しているトップ 100万ドメインから、特定の国々のトップレベルドメイン(TLD)名を抽出しスキャニング調査しました。弊社は、SSL を使用する Webサイトを区別し、また「脆弱」もしくは「安全」に分類しました。このスキャニング調査により得られた情報から、いくつかの興味深い事実が明らかになりました。
続きを読む2014年3月24日(米国時間)、Microsoft Word に存在するゼロデイ脆弱性「マイクロソフト セキュリティ アドバイザリ (2953095)」(「CVE-2014-1761」)が Microsoft により公開されました。また、Microsoft Word 2010 を狙う、限定的な標的型攻撃を確認していることも言及しています。
続きを読むInternet Explorer(IE)に存在する脆弱性は、どれも深刻な問題ですが、2014年2月17日のブログで報告したゼロデイ脆弱性「CVE-2014-0322」は、とりわけ注視すべきものです。今回のゼロデイ攻撃では、異なる技術を使用した複数のコンポーネントに分割された不正なエクスプロイトコードを利用しています。今回の事例では、エクスプロイトコードは、JavaScript および Adobe Flash 間で分割されていました。このようにエクスプロイトコードを分割させることで、攻撃者は、脆弱性を利用した不正コードの実行を困難にさせるための機能「Address Space Layout Randomization(アドレス空間レイアウトのランダム化、ASLR)」やセキュリティ機能「Data Execution Prevention(データ実行防止、DEP)」といった OS レベルの防御システムを回避できるようになります。
続きを読む