ITmedia総合  >  キーワード一覧  > 

「エクスプロイト」関連の最新 ニュース・レビュー・解説 記事 まとめ

WannaCryの悪夢再来はあるのか――「BlueKeep」に危機感強める業界 コンセプト実証映像公開で米国家安全保障局も警告
「WannaCry」の悪夢再来も予想される「BlueKeep」の脆弱性。危険すぎるMetasploitのモジュールの開発が伝えられ、米国家安全保障局(NSA)も対応を急ぐよう強く勧告した。(2019/6/6)

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開
コンセプト実証の悪用コードをGitHubで公開した人物は、さらに複数の未解決の脆弱性情報を公開すると予告している。(2019/5/23)

Google Chrome安定版に脆弱性の恐れ、実証コードを研究者が公開――オープンソース開発で生じる空白期間に警鐘
研究者は、オープンソース開発の過程で行われた脆弱性の修正が、安定版に反映されるまでの時間差を突いて攻撃される可能性を指摘している。(2019/4/5)

Adobe FlashやAcrobat/Readerのアップデート公開 事前に公表の脆弱性も
AcrobatとReaderの脆弱性のうち1件については、外部の研究者によって事前に公表され、コンセプト実証コードも公開されていた。(2019/2/13)

「キーチェーン」の全パスワード盗まれる恐れ macOS Mojaveの未解決の脆弱性、研究者が報告
コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録された全パスワードを盗む様子を示した動画が公開された。(2019/2/7)

コンセプト実証ツールも公開:
Microsoft Exchangeに未解決の脆弱性、管理者特権獲得される恐れ
Exchangeのデフォルトの設定と組み合わせて悪用すれば、攻撃者がドメイン管理者特権を獲得できてしまう恐れがある。コンセプト実証ツールも公開されている。(2019/1/30)

エクスプロイトのエコシステムを解説
データ漏えいの攻撃者はどのようにツールを用意し、データを換金するのか
データ漏えいが起きる仕組みを理解すると、ソフトウェアパッチを迅速に適用させることの重要性が分かる。そうすれば、かつてないほどの早さで発展するエクスプロイト業界に対する被害を最小限に抑えることができる。(2018/11/26)

Adobe、Flash Playerなどの更新版公開 Acrobat/Readerは優先度高
Windows版のAcrobatとReaderに存在する脆弱性は、既にコンセプト実証コードが公開されているという。(2018/11/14)

「Skylake」「Kaby Lake」で確認:
IntelのCPUに新たな脆弱性、研究チームが実証コード公開
脆弱性はIntelのCPU「Skylake」「Kaby Lake」で確認され、研究チームはこの問題を突いて、TLSサーバからOpenSSL秘密鍵を盗むことに成功したという。(2018/11/6)

Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る
この脆弱性を突くコンセプト実証コードのソースコードも公開されていて、誰でもこれに手を加え、自分のコードに取り込むことができてしまう状態にあるという。(2018/9/6)

メモリベースの攻撃を防ぐ
Windows 10のエクスプロイト対策、3つの重要機能とは
MicrosoftはWindows 10の「Windows Defender Exploit Guard」で、「アドレス空間レイアウトのランダム化(ASLR)」など、メモリベースの攻撃を防ぐ3つの重要な機能を提供している。(2018/7/6)

NVIDIAのTegraプロセッサに脆弱性の情報、Nintendo Switchなどに影響
Nintendo Switchでこの脆弱性を実証するためのコンセプト実証コードも公開された。ユーザーが手持ちのデバイスの脆弱性を修正することは不可能とされる。(2018/4/25)

Ciscoのスイッチを狙う攻撃が急増、Smart Install機能の脆弱性を悪用
脆弱性を突くコンセプト実証コードが既に出回っていて、Smart Install機能が使用するTCP 4786番ポートに対するスキャンが急増しているという。(2018/4/10)

「SMBv2」「SMBv3」の無効化は得策ではない
「Windows 10 Fall Creators Update」リリース日までにやっておきたいSMBプロトコル脆弱性対策
「Windows 10」の次期大型アップデート「Fall Creators Update」では、「EternalBlue」というエクスプロイト(脆弱性攻撃プログラム)の悪用を可能にしていた弱点が修正される。アップデート適用日までにできる対策とは。(2017/8/31)

「WannaCry」大規模攻撃発端のShadow Brokers、新たな流出情報の提供を予告
WannaCryに利用されたNSAのハッキングツールを暴露した集団が、Windows 10の新しいエクスプロイトなどの情報を、会員向けに毎月有料で公開すると発表した。(2017/5/17)

IBM、Shadow Brokersの流出情報で発覚したDominoの脆弱性に対処
米NSAのハッキングツール流出にかかわったとされる集団「Shadow Brokers」が公開した情報の中に、Lotus Dominoの脆弱(ぜいじゃく)性を突くエクスプロイトが含まれると報じられていた。(2017/4/27)

Lotus Dominoに未解決の脆弱性、Shadow Brokersの流出情報で発覚
影響を受けるのはDominoサーバの9.0.1FP8までのバージョン。危険度は極めて高い。この脆弱(ぜいじゃく)性を突くエクスプロイトは、「EMPHASISISMINE」のコード名で公開されていたという。(2017/4/19)

“見た目”で判断:
Facebookの広告投稿も見破る「Perceptual Ad Blocker」登場
Facebookと「AdBlock Plus」の広告ブロックをめぐるいたちごっこが続く中、プリンストン大学の研究者がマークアップではなく、人間向けの表示を“知覚”して広告を判断するブロッカーのコンセプト実証用Chrome拡張機能を公開した。(2017/4/17)

Microsoftの更新プログラム公開延期で相次ぐ未解決の脆弱性、今度はEdgeとIEにも
米Googleの研究者が、EdgeとIEの未解決の脆弱性を突くコンセプト実証コードを公開した。(2017/2/27)

コンセプト実証コードも公開:
Windowsに未解決の脆弱性、クラッシュ誘発の恐れ
コンセプト実証コードも公開されており、不正なSMBサーバにクライアントが接続すると、Windowsがクラッシュしてブルースクリーン状態に陥るという。(2017/2/3)

セキュリティのアレ(35):
脆弱性情報を読み解く際の必須用語、exploit(エクスプロイト)とは
セキュリティ専門家が時事ネタを語る本連載。第35回はセキュリティ用語としての「exploit(エクスプロイト)」について解説します。(2016/10/11)

「BIND 9」の攻撃コード公開、IPAが緊急更新を呼び掛け
DNSサーバソフト「BIND 9」の脆弱性を突く攻撃実証コードの存在が確認された。(2016/10/3)

Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。(2016/6/20)

Apache Struts2の脆弱性対策はGW前に、攻撃活発化で「緊急事態」
攻撃実証コードの有効性が確認され、国内で脆弱性の悪用を狙う攻撃が活発化している。(2016/4/28)

(更新)Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開
悪用された場合に任意のコードを実行される恐れがある。(2016/4/27)

Javaライブラリに脆弱性、主要ミドルウェア全てに影響
WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。(2015/11/10)

Androidの重大な脆弱性「Stagefright」、研究者が実証コードを公開
コンセプト実証コードではStagefrightの脆弱性を突いて、ユーザーが何も操作しなくても攻撃者がリモートでコードを実行できる。(2015/9/10)

IEに脆弱性、MSは放置? HPが公開
ZDIは、Microsoftにこの脆弱性を修正する意向がないことが確認されたため、詳しい情報とコンセプト実証コードの公開に踏み切ったとしている。(2015/6/23)

Android版ChromeとAppleのSafariにアドレスバー偽装の脆弱性
Chromeの脆弱性は修正されたが、Safariではまだ未解決のまま。コンセプト実証ページも公開されている。(2015/5/20)

パロアルトネットワークスがPC/サーバ向け対策製品、ウイルス対策の置き換え狙う
定義ファイルを使わずエクスプロイトの実行やマルウェアダウンロードを阻止するという。(2015/5/19)

パスワード使い回し防止のChrome拡張機能、簡単に回避可能?
Google Chromeの拡張機能「Password Alert」が簡単に回避できてしまうことを示すコンセプト実証ビデオが公開された。(2015/5/7)

「Minecraft」に放置された脆弱性? 発見者が攻撃実証コードを公開
発見者は2年近く前にMinecraftに報告したにもかかわらず、一向に脆弱性が修正されなかったとして、コンセプト実証コードの公開に踏み切った。(2015/4/17)

Windowsへの攻撃コードが公開、「パッチ適用を急いで」とIPA
「HTTP.sys」の脆弱性を悪用する実証コードが公開され、攻撃発生の可能性が高まった。IPAなどが修正パッチの迅速な適用を呼び掛けた。(2015/4/16)

bashの脆弱性を突く攻撃がさらに増大、重大性はHeartbleed以上
Metasploitのモジュールを含むコンセプト実証スクリプトが複数公開され、不正なトラフィックが大量に発生しているという。(2014/9/30)

ユーザーができる対策とは?
iPhoneも危険、タッチ操作を外部送信する“モバイルキーロガー”の恐怖
“モバイルキーロガー”の登場を予想させる実証コードが脚光を浴びている。タッチスクリーン端末を攻撃から守るための対策について、専門家が解説する。(2014/9/23)

修正パッチの適用は数カ月後!?
AndroidのVPNバイパス脆弱性で見直しを迫られるモバイルVPN対策
Androidの脆弱性を突いて、VPNの通信内容を攻撃者のサーバに平文で送信してしまうエクスプロイトが発見された。IT管理者が取るべき対策とは?(2014/5/28)

Oracle Java Cloudサービスに脆弱性情報、セキュリティ企業が公開
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、Oracleの「Java Cloud Service」に存在する脆弱性についての技術的詳細とコンセプト実証コードを公開した。(2014/4/3)

不正な充電器でiOS端末がマルウェアに感染 Black Hatで実証
コンセプト実証のためのUSB充電器「Mactans」にiPhoneを接続すると、1分足らずで任意のソフトウェアを挿入できてしまうことをジョージア工科大学の研究チームが実証した。(2013/8/2)

Linuxに権限昇格の脆弱性、エクスプロイトも出回る
悪用された場合、ローカルユーザーが細工を施したシステムコールを使って権限を取得できてしまう恐れがある。(2013/5/16)

Apple、FacebookにJavaエクスプロイト攻撃 企業用Macを狙った過去最大のサイバー攻撃
米国IT企業が多数狙われたサイバー攻撃。一連の事象から読み取れることとは?(2013/2/28)

Java最新版に新たな脆弱性か? 臨時パッチ公開の翌日に発覚
Java最新版の「Java 7 Update 7」が公開された翌日、この最新版に深刻な脆弱性が見つかったとして、セキュリティ企業がコンセプト実証コードを添えてOracleに通報したという。(2012/9/3)

PHPの脆弱性を突くコードが相次ぎ出現、SANSが注意喚起
PHPの未解決の脆弱性を突いたコンセプト実証コードが出回っているという。(2012/5/29)

実環境でCVE-2012-0158のエクスプロイトを確認
Microsoftが4月の月例パッチで対処した脆弱性を突く攻撃が発生している。(2012/5/2)

Windowsの脆弱性を突く実証コード出現、SANSが警戒レベル引き上げ
米Microsoftが月例更新プログラム「MS12-020」で対処したばかりの脆弱性を突くコンセプト実証コードが公開された。これを悪用しようとする動きも加速する見通しで、管理者は対策を急ぐ必要がある。(2012/3/19)

Linuxカーネルに権限昇格の脆弱性、Androidにも影響か
この脆弱性を突いたコンセプト実証コードが公開され、それを使ったAndroidのエクスプロイトも報告されている。(2012/1/25)

Windows 7に未解決の脆弱性発覚、Twitterで実証コードが公開に
脆弱性はWindowsカーネルモードの「win32k.sys」に存在するとされ、コード実行の攻撃を受ければフル権限を取得される恐れもあることから、影響は極めて深刻だとSANSは解説する。(2011/12/22)

米研究者がHPプリンタの脆弱性を実証――乗っ取られ、制御される恐れも
研究チームはプリンタを乗っ取って命令を出し、フューザーを過熱させて用紙を焦がすコンセプト実証デモを実施した。(2011/11/30)

スマートフォンの振動からタッチ画面の入力内容を推測、米研究者が実証アプリを開発
コンセプト実証用のAndroidアプリ「TouchLogger」では、70%以上の確率でどのキーが使われたかを正確に言い当てることができたという。(2011/8/18)

iPhoneのSSL通信が傍受される恐れ、アップデートの早期適用を
セキュリティ研究者が公開したコンセプト実証用の攻撃ツールの更新版に、脆弱性が解決されていないiOS搭載端末を見つけ出してSSL通信を傍受できる機能が加わった。(2011/7/28)

考慮すべきHyper-Vの構造
Hyper-V仮想化環境のセキュリティ対策のポイント
仮想環境でのセキュリティ上の問題の多くはハイパーバイザー自体ではなく、過大な権限の取得や、アプリケーションへのエクスプロイト攻撃に起因する。Hyper-V環境における脅威を回避するポイントを紹介する。(2011/4/26)



2013年のα7発売から5年経ち、キヤノン、ニコン、パナソニック、シグマがフルサイズミラーレスを相次いで発表した。デジタルだからこそのミラーレス方式は、技術改良を積み重ねて一眼レフ方式に劣っていた点を克服してきており、高級カメラとしても勢いは明らかだ。

言葉としてもはや真新しいものではないが、半導体、デバイス、ネットワーク等のインフラが成熟し、過去の夢想であったクラウドのコンセプトが真に現実化する段階に来ている。
【こちらもご覧ください】
Cloud USER by ITmedia NEWS
クラウドサービスのレビューサイト:ITreview

これからの世の中を大きく変えるであろうテクノロジーのひとつが自動運転だろう。現状のトップランナーにはIT企業が目立ち、自動車市場/交通・輸送サービス市場を中心に激変は避けられない。日本の産業構造にも大きな影響を持つ、まさに破壊的イノベーションとなりそうだ。