Tag Archives: Enterprise

Product Coverage and Mitigation for CVE-2013-3893

      No Comments on Product Coverage and Mitigation for CVE-2013-3893

Microsoft Security Advisory (2887505) On September 17th, 2013, Microsoft published Security Advisory 2887505, which coverers a remote code execution vulnerability in all supported versions of Microsoft Internet Explorer.   The flaw resides in the handling of objects in memory which have been deleted or improperly allocated.  Specifically, a use-after-free flaw in the HTML rendering engine (aka Read more…

???????????????????????????

      No Comments on ???????????????????????????
クラウドベースのオンラインサービスは、チーム間の協力、情報の共有、グループ内のディスカッションなどに利用でき、多くの企業にとって便利なツールとなっています。しかし、ビジネス上の重要な内容を話し合ったり機密データをアップロードしたりする前に、オンラインサービスのプライバシー設定をどのように管理するかについて明確に意識しておく必要があります。
 
日本の多くの官公庁や企業は、このことを苦い経験から学んだようです。各紙の報道によると、Google グループをデフォルトのプライバシー設定で使っていたために、官公庁や民間企業で内部情報が公開されていた事例が 6,000 件以上も確認されたと言います。デフォルト設定のままにしておくと、事前に承認したメンバーだけでなく、誰でも自由にディスカッションのスレッドを閲覧できてしまいます。病院や学校で患者や生徒の情報が公開されていたケースのほか、支持者の一覧表が公開されていた政党が少なくとも 1 つあったと報じられました。それどころか、自社の記者が同じ失敗を犯したと認めている新聞社もあり、報道記事の下書きやインタビュー原稿が漏えいした可能性も否定できないと指摘しています。
 
日本政府は、職員が誤って内部メモを一般に公開したことを認めており、これは Google グループのオンラインディスカッションでプライバシー設定を誤ったことが原因だとしています。公開された内容には、水銀の輸出入に関する国際条約についての協議予定や、その問題をめぐってスイスとノルウェーの環境相間で交わされた議論なども含まれていました。環境省の担当者は、この内部メモは極秘のものではなかったが、同様の漏えいを防ぐ対策をすでに講じたと述べています。
 
クラウドサービスプロバイダがデフォルト設定を「非公開」にしている場合でも、誤って「公開」に設定してデータを公開してしまうという類似の事例がこれまでにも発生しています。このときも、12,000 以上のデータバケットが漏えいし、そのうち 2,000 近くが一般ユーザーの目に触れる結果になりました。これらのバケットは 1,260 億ファイルに相当し、その中にはソーシャルネットワークのデータや売上記録、ビデオゲームのソースコード、暗号化されていてないデータベースのバックアップデータまで含まれていました。
 
こうした事例は、悪質な攻撃がなくても人的エラーだけで機密データがいとも簡単に漏えいしてしまうことを如実に示しています。このようなエラーが至るところに見られたというのは、憂慮すべき事実であり、多くのユーザーが、コミュニケーションが非公開になっていると疑わず、自分自身では設定を確認していないことが示唆されます。コミュニケーションツールを使う際には、あらゆる情報が保護されるようにプライバシー設定を必ず確認してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Operation Troy: OpenIOC Release

      No Comments on Operation Troy: OpenIOC Release

  In conjunction with our investigation into Operation Troy, we will be releasing IOC data in the open and highly flexible OpenIOC Framework format. The McAfee Operation Troy IOC can be downloaded here.       In addition to various open/free tools, OpenIOC data can be consumed by:             McAfee Read more…

User Ignorance of Cloud Services Poses a Data Leak Challenge

Cloud-based online services are useful tools for many enterprises, allowing them to coordinate their teams, share information and enable discussions within groups. However, companies should be sharply aware of how they manage their privacy settings for…

Preventing Modern Attacks with Modern Defense and Testing Methodologies

The Problem  Cybercriminals are targeting organizations successfully in spite of traditional security measures as noted recently by the NY Times and a front page article in the Wall Street Journal on cyber espionage.  This issue is driven by the cybercriminal gangs’ ability to compromise vulnerable systems using sophisticated reconnaissance and penetration tactics.  So, how do Read more…