名前はなくても危険、IISの脆弱性が注目を集める：セキュリティクラスターまとめのまとめ 2015年4月版（3/3 ページ）

2015年4月もまたパスワードの話……と思いきや、想定外の角度からパスワードに関するキャンペーンが開催され、セキュリティクラスターならずとも騒然としました。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT] PC用表示関連情報

LINE

Hatena

WindowsのIISサーバーに簡単にブルースクリーンが出せる脆弱性が発見されて大騒ぎ

　2015年4月15日には、Microsoft定例アップデートのタイミングで、Windowsで使用されるサーバーソフト「IIS」（Internet Information Services）の脆弱性が明らかになりました。しばらくの間大きな脆弱性が報告されなかったIISですが、久しぶりに大きな被害が見込まれる脆弱性で話題になりました。

　ここ最近の流れでは珍しく（？）名前のない「MS15-034」脆弱性ですが、Windowsの「HTTP.sys」というプログラムに脆弱性があり、Windows2008 R2、2012 R2やWindows7／8で動いているIISサーバーに対して、攻撃コードを含むHTTPリクエストを実行すると、リクエストを受け付けたIISサーバーはOSごとハングアップしてしまいます。

　マイクロソフトから発表があったその日のうちに攻撃コードが公表されたことと、HTTPリクエストを発行するだけというお手軽さから、セキュリティクラスターでもたくさんの人が試しており、その結果を報告していました。

　その週末にはコード実行できるエクスプロイトがいくつか売りに出されていましたが、100万円以上していたため結局「買った」というツイートは見られず、本当にコード実行できるかは分からないまま話題から消えていきました。

　この脆弱性が報告される数日前にはWindowsのファイル共有に関する攻撃手法が報告されましたが、この騒ぎによってすっかり話題から消えてしまっていました。

　この他にも、2015年4月のセキュリティクラスターはこのような話題で盛り上がっていました。5月はどのようなことが起きるのでしょうね。

GoogleMapの建物に変な名称が加えられているのが見つかったけど、これって書き換え？（参考：ねとらぼ：皇居内に突如「オウム真理教道場」「恒心教総本山」が出現　Googleマップでイタズラ）
TV放送にパスワードが映ってTV局がハッキングされた？（参考：ITmedia エンタープライズ：YouTubeパスワードを張り紙で共有していた様子が映る　サイバー攻撃受けた仏テレビ局）
無断で脆弱性検査していた会社が不正アクセス禁止法のグレーゾーンの解消を求めいてるけどどうなの？
マイクロソフト、SpartanやAzureなどの脆弱性にも報奨金を出すことに
中国向けプロキシを提供していた人が逮捕されたけど何していたの？
WordPressのゼロデイ脆弱性が公開される（参考：＠IT:WordPress 4.2以前にXSSの脆弱性、速やかなアップデートを呼び掛け）
民主党代表のツイッターアカウントが乗っ取られる（参考：ITmediaニュース：民主党・岡田代表のTwitterが乗っ取り被害、サングラスの宣伝スパムを大量投稿）
サンリオの株主の個人情報が漏れていた（参考：ITmedia エンタープライズ：株主情報の漏えいは5社1万4667人に拡大　損害賠償請求の検討も）
オワスプナイト、毎度のごとく大量のツイート

「セキュリティクラスターまとめのまとめ」バックナンバー

著者プロフィール

山本洋介山

■embeddedTweets:http://bogus.jp/□bogus.jp■

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

名前はなくても危険、IISの脆弱性が注目を集める：セキュリティクラスター まとめのまとめ 2015年4月版（3/3 ページ）

WindowsのIISサーバーに簡単にブルースクリーンが出せる脆弱性が発見されて大騒ぎ

著者プロフィール

Security & Trust 記事ランキング

名前はなくても危険、IISの脆弱性が注目を集める：セキュリティクラスターまとめのまとめ 2015年4月版（3/3 ページ）