読者です 読者をやめる 読者になる 読者になる

5月10日の気になるセキュリティニュース

米政府、スマートフォン脆弱性放置問題に取り組む?

連邦通信委員会(FCC)と連邦取引委員会(FTC)、携帯セキュリティパッチの提供に関して企業に調査
http://www.theverge.com/2016/5/9/11641124/fcc-ftc-inquiry-mobile-security-patches-google-android
連邦取引委員会AppleGoogleMicrosoftその他に携帯セキュリティ対応状況の報告を要請
http://news.softpedia.com/news/ftc-orders-apple-google-microsoft-others-to-reveal-mobile-security-practices-503872.shtml

調査対象はOSメーカー(googleAppleなど)、ハードメーカー(サムスン、LGなど)、通信キャリア(AT&Tベライゾンなど)と主要領域をカバーしています。特にAndroidはNexusなど一部以外、脆弱性は放置される場合が少なからずあるわけで、少しでもいい方向に向けば……と思わずにはいられません。

SCADA向けのBlaster登場

研究者、SCADA装置を狙う自己拡散するワームを作成
http://news.softpedia.com/news/researchers-create-self-propagating-worm-that-targets-scada-equipment-503860.shtml

ドイツOpenSource Securityの研究者がSCADA(産業制御システム)のコントローラ(PLC)を標的とするワームのPoC(実証用プログラム)を作ったとか。少ないメモリでも動作するようになっているようです。

ニックネーム「PLC-Blaster」はたぶん2003年に全世界で大パニックを起こしたBlaster(MSBlast)ワームにちなんでますよね。

MSBlastとは|MSブラスト|Blaster|ブラスター
http://e-words.jp/w/MSBlast.html

脆弱性を発見した研究者、逮捕される

研究者、選挙サイトのSQLインジェクション脆弱性を発見、報告した後に逮捕
http://news.softpedia.com/news/researcher-arrested-after-finding-and-reporting-sql-injection-on-elections-site-503844.shtml

ヴァンガード・サイバーセキュリティ社のオーナーでセキュリティ研究者のデイヴィッド・レヴィン氏は、フロリダ州リー(Lee)郡の選挙関係のwebサイトにあるSQLインジェクション脆弱性を見つけて、そこに侵入、選挙監督官のアカウントを取得して他のパスワードを取得したとして逮捕されました(保釈済み)。

しかし記事後半では、関係者からのコメントがあり、州の言い分には間違いがあるとしています。ログインできることだけ確認してすぐ抜けたとか。

動画(https://www.youtube.com/watch?v=38rsseDeFYQ)を見る限りでは、SQLインジェクション自動化ツールを使ってデータベースの項目、そしてログインアカウントの内容を抜き出してログインし、2つ(ログイン情報一覧など)のリンクを見る様子だけが出ていますね。ただ、動画の3:55あたりで「選挙部門に連絡する……(We are going to report this to the division of elections...)」と言ってるので、報告前に侵入しちゃっていると思われます(アメリカの関連法は知りませんが)。