5月10日の気になるセキュリティニュース
米政府、スマートフォンの脆弱性放置問題に取り組む?
連邦通信委員会(FCC)と連邦取引委員会(FTC)、携帯セキュリティパッチの提供に関して企業に調査
http://www.theverge.com/2016/5/9/11641124/fcc-ftc-inquiry-mobile-security-patches-google-android
連邦取引委員会、AppleやGoogle、Microsoftその他に携帯セキュリティ対応状況の報告を要請
http://news.softpedia.com/news/ftc-orders-apple-google-microsoft-others-to-reveal-mobile-security-practices-503872.shtml
調査対象はOSメーカー(google、Appleなど)、ハードメーカー(サムスン、LGなど)、通信キャリア(AT&T、ベライゾンなど)と主要領域をカバーしています。特にAndroidはNexusなど一部以外、脆弱性は放置される場合が少なからずあるわけで、少しでもいい方向に向けば……と思わずにはいられません。
SCADA向けのBlaster登場
研究者、SCADA装置を狙う自己拡散するワームを作成
http://news.softpedia.com/news/researchers-create-self-propagating-worm-that-targets-scada-equipment-503860.shtml
ドイツOpenSource Securityの研究者がSCADA(産業制御システム)のコントローラ(PLC)を標的とするワームのPoC(実証用プログラム)を作ったとか。少ないメモリでも動作するようになっているようです。
ニックネーム「PLC-Blaster」はたぶん2003年に全世界で大パニックを起こしたBlaster(MSBlast)ワームにちなんでますよね。
MSBlastとは|MSブラスト|Blaster|ブラスター
http://e-words.jp/w/MSBlast.html
脆弱性を発見した研究者、逮捕される
研究者、選挙サイトのSQLインジェクション脆弱性を発見、報告した後に逮捕
http://news.softpedia.com/news/researcher-arrested-after-finding-and-reporting-sql-injection-on-elections-site-503844.shtml
ヴァンガード・サイバーセキュリティ社のオーナーでセキュリティ研究者のデイヴィッド・レヴィン氏は、フロリダ州リー(Lee)郡の選挙関係のwebサイトにあるSQLインジェクション脆弱性を見つけて、そこに侵入、選挙監督官のアカウントを取得して他のパスワードを取得したとして逮捕されました(保釈済み)。
しかし記事後半では、関係者からのコメントがあり、州の言い分には間違いがあるとしています。ログインできることだけ確認してすぐ抜けたとか。
動画(https://www.youtube.com/watch?v=38rsseDeFYQ)を見る限りでは、SQLインジェクション自動化ツールを使ってデータベースの項目、そしてログインアカウントの内容を抜き出してログインし、2つ(ログイン情報一覧など)のリンクを見る様子だけが出ていますね。ただ、動画の3:55あたりで「選挙部門に連絡する……(We are going to report this to the division of elections...)」と言ってるので、報告前に侵入しちゃっていると思われます(アメリカの関連法は知りませんが)。