2015年4月24日　COREY NACHREINER 著

今週は RSA Conference が開催され、情報セキュリティ（InfoSec）の新しいニュースがたくさん紹介されました。全部のニュースに目を通す時間がない方は、毎週お届けしているビデオでセキュリティ関連の最新ニュースをご確認ください。

今週は RSA Conference で忙しく、毎日お届けするビデオを投稿する時間がありませんでしたが、今日のエピソードをご覧になれば、1 週間のニュースをまとめてチェックできます。このビデオでは、ホワイトハウスのシステム侵入の最新情報、RSA の PoS セキュリティに関するプレゼンテーションで紹介された役に立つヒント、ほとんどの Web ブラウザに影響があるサイドチャネル攻撃に関する新しい調査結果の概要をお話します。ビデオで詳細をご覧いただき、参考情報に記載した記事もぜひお読みください。

ところで、来週もセキュリティ分野の別のカンファレンスに参加する予定ですので、デイリーセキュリティバイトを毎日投稿するのは難しそうですが、1 週間のまとめのビデオだけは必ずお届けしたいと思います。再来週から通常通り、デイリーセキュリティバイトをお届けできる予定です。セキュリティの備えを怠ることなく、良い週末をお過ごしください。

（エピソードビデオの長さ: 7:20）

YouTube へのダイレクトリンク：https://www.youtube.com/watch?v=gGqDplwMJA4

エピソードの参照情報

• ホワイトハウスと国務省のシステム侵入に関する最新情報

  • RussianDoll 攻撃でのゼロデイの悪用と APT28 との関連性 – FireEye
  • Kaspersky の研究者が CozyDuke マルウェアの特長を解説 – Securelist
  • Trend Micro が Pawn Storm 攻撃を調査して詳細を公開 – Trend Micro
  • FireEye がロシアのサイバー攻撃に関する APT28 のレポートを公開 – FireEye
  • RussianDoll のゼロデイに関する Reuters の記事 – Reuters

• PoS ベンダーは 1990 年代からデフォルトのパスワードを使用

  • プレゼンテーション：「Point of Sale is a PoS」 [PDF] – RSA Conference
  • 世界最大手のベンダーの無人 PoS システムが同じパスワードを使用（RSA） – The Register
  • Google 検索で問題の PoS ベンダーが Verifone であると特定される – Computer World

• サンドボックスに潜むスパイ

  • サンドボックスに潜むスパイ：ブラウザを使ったサイドチャネル攻撃 – Cornell
  • 論文：「The Spy in the Sandbox」 [PDF] – Cornell
  • ブラウザを使ったこのサイドチャネル攻撃に関する Forbes の記事 – Forbes

その他

• Brute Logic がGroupon の 32 件の XSS 脆弱性の発見に対する賞金の支払を拒否される – BetaNews
• Verizon が最新のデータ流出レポートでほとんどの攻撃でフィッシングが利用されていると指摘 – echDirt
• Verizon の 2015 年版データ流出レポート – Verizon
• NASA の科学者による HTTPS の標準化に対する反対意見 – Github
  • HTTPS への一本化の提案書 – CIO.gov
• 悪意のある WiFi ネットワークで iOS デバイスがロックされる可能性も（RSA） – SkyCure
• RSA の CEO がセキュリティ業界は脅威を十分に把握できていないと指摘（RSA） – Tech Radar
• 飛行中のツイートが問題になった事件を受けて FBI が航空会社に警告 – BBC
  • 航空会社がこのツイートを非難するのではなく感謝すべきである理由 – Slate
• SANS Institute がデータ流出を防ぐ 3 つのテクノロジーを提供（RSA） – Search Security
• 米国土安全保障省が引き続き暗号化に反対する姿勢を示す（RSA） – Digital Trends
• 「アーロン法」がまた上院で審議される – Naked Security
  • 一部の上院議員は「反アーロン法」を提出 – TechDirt
• 「サイバーセキュリティ」の 2 つの法案が下院を通過 – Network World
  • 下院を通過した情報共有に関する 2 つの法案の意味 – The Register
• FireEye の研究者がサムソンの電話から指紋が盗まれる危険性を指摘 – Forbes
• ソニーのデータ流出には Apple ID のフィッシングメールを使用か – Computer World
• パッチの公開後も OS X での「rootpipe」脆弱性の悪用が続く – Tech Spot
• 1500 近くの iOS アプリで HTTPS の対応が不十分 – Ars Technica
• Fox IT が「Quantum Insert」攻撃の検出に役立つシグニチャを開発 – Fox-IT
• Corey Nachreiner, CISSP
• @SecAdept