名前はなくても危険、IISの脆弱性が注目を集める:セキュリティクラスター まとめのまとめ 2015年4月版(3/3 ページ)
2015年4月もまたパスワードの話……と思いきや、想定外の角度からパスワードに関するキャンペーンが開催され、セキュリティクラスターならずとも騒然としました。
WindowsのIISサーバーに簡単にブルースクリーンが出せる脆弱性が発見されて大騒ぎ
2015年4月15日には、Microsoft定例アップデートのタイミングで、Windowsで使用されるサーバーソフト「IIS」(Internet Information Services)の脆弱性が明らかになりました。しばらくの間大きな脆弱性が報告されなかったIISですが、久しぶりに大きな被害が見込まれる脆弱性で話題になりました。
ここ最近の流れでは珍しく(?)名前のない「MS15-034」脆弱性ですが、Windowsの「HTTP.sys」というプログラムに脆弱性があり、Windows2008 R2、2012 R2やWindows7/8で動いているIISサーバーに対して、攻撃コードを含むHTTPリクエストを実行すると、リクエストを受け付けたIISサーバーはOSごとハングアップしてしまいます。
マイクロソフトから発表があったその日のうちに攻撃コードが公表されたことと、HTTPリクエストを発行するだけというお手軽さから、セキュリティクラスターでもたくさんの人が試しており、その結果を報告していました。
その週末にはコード実行できるエクスプロイトがいくつか売りに出されていましたが、100万円以上していたため結局「買った」というツイートは見られず、本当にコード実行できるかは分からないまま話題から消えていきました。
この脆弱性が報告される数日前にはWindowsのファイル共有に関する攻撃手法が報告されましたが、この騒ぎによってすっかり話題から消えてしまっていました。
この他にも、2015年4月のセキュリティクラスターはこのような話題で盛り上がっていました。5月はどのようなことが起きるのでしょうね。
- GoogleMapの建物に変な名称が加えられているのが見つかったけど、これって書き換え?(参考:ねとらぼ:皇居内に突如「オウム真理教道場」「恒心教 総本山」が出現 Googleマップでイタズラ)
- TV放送にパスワードが映ってTV局がハッキングされた?(参考:ITmedia エンタープライズ:YouTubeパスワードを張り紙で共有していた様子が映る サイバー攻撃受けた仏テレビ局)
- 無断で脆弱性検査していた会社が不正アクセス禁止法のグレーゾーンの解消を求めいてるけどどうなの?
- マイクロソフト、SpartanやAzureなどの脆弱性にも報奨金を出すことに
- 中国向けプロキシを提供していた人が逮捕されたけど何していたの?
- WordPressのゼロデイ脆弱性が公開される(参考:@IT:WordPress 4.2以前にXSSの脆弱性、速やかなアップデートを呼び掛け)
- 民主党代表のツイッターアカウントが乗っ取られる(参考:ITmediaニュース:民主党・岡田代表のTwitterが乗っ取り被害、サングラスの宣伝スパムを大量投稿)
- サンリオの株主の個人情報が漏れていた(参考:ITmedia エンタープライズ:株主情報の漏えいは5社1万4667人に拡大 損害賠償請求の検討も)
- オワスプナイト、毎度のごとく大量のツイート
- 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る
- 「4万人のボランティアが守る東京オリンピック」?――セキュリティクラスターの反応は
- サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
- 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
- 技術ある17歳が牙をむく――私たちに何ができたのか
- 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない?
- 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
- 名前はなくても危険、IISの脆弱性が注目を集める
- 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
- SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
- 「GHOST」の正体見たり枯れ尾花? 名前には踊らされなかったセキュリティクラスター
- CODE BLUEにSECCONに、リアルが忙しかった12月
- まるでCTFみたい? 鮮やかに暴かれた「自称小学4年生」のサイト
- ちっともかわいくなかった、セキュリティ界の「POODLE」
- ShellShockに管理者はショック! パスワード定期変更の議論どころではない?
- 「www.atmarkit.co.jp.3s3s.org」は安全? 危険?
- ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
- LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
- 急転直下の結末を迎えた遠隔操作ウイルス事件
- HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
- 遠隔操作ウイルス事件でフォレンジックを考えた
- 終わらないパスワード議論と、広告に求められる誠実さと
- 安全なオンラインアップデートってどうすべきだろう?
著者プロフィール
山本洋介山
■embeddedTweets:http://bogus.jp/□bogus.jp■
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。
Copyright © ITmedia, Inc. All Rights Reserved.