今週のセキュリティニュース(9月第2週)

今週、起こったセキュリティ関連のニュースや話題について紹介致します!

Google Chrome、HTTPのサイトに対し警告表示を行う方針

 いよいよHTTPが「安全でない」とまで言われる時代がやってきそうです。来年1月リリースのバージョンから、下記の画像のように「not secure」と表示され、閲覧者に警告を促すようになるそうです。

 Chromeの開発元であるGoogleはウェブサイトを常時SSL/TLS化することを推奨してまして、最近では検索順位もHTTPSのサイトを優遇するというようになっているようです。(ソース)
このse-cure.infoもLet’s encryptを使って無料でSSL/TLS化しています。このムーヴメントはウェブサイトの常時HTTPS化という新たな時代へと拍車をかけるでしょう。

多くのiOSユーザーがサードパーティ製のアドウェアをインストールしている

iOS10が発表されて、今か今かと待ちわびている人も多いと思います。しかしながら、そんなiOSユーザーの方々には注意して欲しいのが、このサードパーティ製のアドウェアをインストールしているそうです。アドウェアとは、広告を主体にしたソフトウェアの事で、いわゆる偽物アプリのことです。

確認方法はリンク先に(英語ですが)書いてありますので、気になる人は確認しておきましょう。

「MySQL」にゼロデイ脆弱性 – CVE-2016-6662

大変なことになっているようです。ゼロデイ脆弱性とは、「対処法が存在しない」脆弱性のことです。しかも今回のCVEの対象は2016 09 13日現在の全てのバージョンとのことなので、MySQLを使われている方は要注意です。MySQLのcloneのMariaDBやPerconaDBにも影響があるそう。

追記:MariaDB、PerconaDBについては限定的ですがパッチが配布されたそうです。
「MySQL」にゼロデイ脆弱性 – 限定的なPoCが公開

se-cure.infomでも関連情報をまとめています。
(CVE-2016-6662)MySQLでリモートからconfファイルを書き換えられるゼロデイ脆弱性まとめ

下記のサイトなどでよくまとめられていましたので、紹介します
MySQL脆弱性 CVE-2016-6662 について (2016 09 13現在)
CVE-2016-6662 MySQL Remote Root Code Execution / Privilege Escalationについて
MySQLMySQL2669

MySQLでリモートからroot権限でファイルを実行できる脆弱性(CVE-2016-6662)

サイバー攻撃対策の専門家養成機関 国が設立へ

受講者は25歳以下の若者を対象に大学や高等専門学校などから募集

とのことなので、私は範囲外ですが…。

金融庁、初の大規模サイバー訓練 地銀含む80社参加

その昔、「ウイルスだー!!」って叫んでみんなで一斉にLANケーブルを抜く、というセキュリティ訓練がどこぞの会社で行われていたらしいが、もちろんそ
んなレベルではないです。

今週の一言

MySQLとMariaDBの”My”と”Maria”は開発者の娘の名前らしい。

  • このエントリーをはてなブックマークに追加
  • Pocket