【セキュリティ ニュース】米当局、「Chrome」のゼロデイ脆弱性に注意喚起 - 各社がブラウザを更新(1ページ目 / 全1ページ):Security NEXT
複数のブラウザが実装している画像処理ライブラリに脆弱性「CVE-2023-5217」が明らかとなった問題で、脆弱性の悪用が確認されていることから米政府が注意喚起を行った。 ライブラリ「libvpx」において動画コーデック「vp8」の処理に脆弱性「CVE-2023-5217」が明らかとなったもの。 「Chrome」を標的としたゼロデイ攻撃が確認されており、Googleでは同ブラウザのアップデートをリリースした。「CVE-2023-5217」の判明を受けて、「Microsoft Edge」や「Firefox」なども更新を実施している。 脆弱性の悪用が発生していることから、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、「悪用が確認された脆弱性カタログ(KEV)」に同脆弱性を追加し、関係者に対応を促した。 同リストに追加された脆弱性は、米行政機関において一定期間内に対応
WS_FTPの脆弱性、悪用の試み始まった可能性 PoCも公開済み | Codebook|Security News
WS_FTPの脆弱性、悪用の試み始まった可能性 PoCも公開済みMOVEitの提供元としても知られるプログレス・ソフトウェアは9月27日、ファイル転送ツール「WS_FTP Server」の脆弱性8件のパッチをリリースしたが、研究者は早くも9月30日に「大量悪用の可能性がある活動」を観測したという。研究者は8件のうちどの脆弱性が悪用の対象となった恐れがあるのかを明言していないが、CVE-20233-40044に関しては開示から2日後にPoCコードが出回り始めていたとされる。 WS_FTPの脆弱性、2件は「Critical」:CVE-2023-40044、CVE-2023-426579月27日にセキュリティアドバイザリの公開とともにパッチがリリースされた脆弱性8件のうち、CVE-2023-40044とCVE-2023-42657はCVSSスコアがそれぞれ10、9.9と高く、深刻度は「Criti
パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
「EDRとXDRの違いが分からない」「約9割が人材不足」 企業セキュリティの厳しい実態
66%の組織には専任部門がない。48%の組織ではSOC(セキュリティオペレーションセンター)やCSIRT(Computer Security Incident Response Team)、セキュリティ専任者、専任部門の全てが存在しない 58%の組織でセキュリティインシデント発生時の対応計画とインシデント対応計画に対応する体制が確立できていない。88%の組織はセキュリティ人材を十分に確保できていない 92%の組織はセキュリティインシデント対応の体制面について「不安だ」と回答し、92%の組織が「組織内のセキュリティ教育が不安だ」と回答している。96%の組織は社内のセキュリティ人材を十分に確保できていないことに不安や悩みを抱えている 90%の回答者はXDRを「知っている」と回答したが、EDR(Endpoint Detection and Response)との違いを「説明できる」と回答した人は
日本のサイバーセキュリティの結節点“CYNEXアライアンス”を発足|2023年|NICT-情報通信研究機構
国立研究開発法人情報通信研究機構(NICT(エヌアイシーティー)、理事長: 徳田 英幸)サイバーセキュリティネクサスは、日本のサイバーセキュリティ分野における産学官の結節点となることを目指して2021年4月に設立され、各種活動の準備を進めてきました。この度、国内の産学官の組織が参画する“CYNEXアライアンス”を発足し、CYNEXの活動を本格始動しました。これにより、国内にサイバーセキュリティの産学官連携拠点を形成し、日本のサイバー攻撃対処能力とセキュリティ自給率の向上を目指します。 本アライアンスの発足を記念して、2023年10月12日(木)に、CYNEXアライアンス発足シンポジウムを東京日本橋のNICTイノベーションセンターで開催します。 日本のサイバーセキュリティ分野は、海外のセキュリティ技術への依存度が高く、コア技術に係るノウハウ・知見を蓄積できないことで研究開発が停滞し、セキュリ
【セキュリティ ニュース】PDFを処理する「Ghostscript」にRCE脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT
「PDF」を処理するため広く利用されているインタプリタ「Ghostscript」「GhostPDL」に脆弱性が明らかとなった。アップデートにて修正されている。 細工されたドキュメントを処理すると、IJSデバイスによってリモートよりコードを実行されるおそれがある脆弱性「CVE-2023-43115」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 CVE番号の割り当ては9月18日に行われたが、同脆弱性については9月13日に公開された「同10.02.0」にて修正済みだという。 (Security NEXT - 2023/10/02 ) ツイート PR
前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog
2023年9月28日、警視庁は双日の元従業員の男が前職の兼松から営業機密を不正に持ち出したとして不正競争防止法違反の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 元同僚から認証情報を聞き出し不正入手か 不正競争防止法違反’(管理侵害行為)の容疑で逮捕されたのは双日元従業員の男。2022年7月16日21時から17日1時5分頃、自宅のPCから男の前職である兼松のデータベースに元同僚の認証情報を使用してログインし、一部の社員しかアクセスのできない3点の営業秘密情報(海外の自動車メーカーとの取引台帳、自動車新製品開発に関連する提案書、採算表)をダウンロードしPCに保存した疑い。男は容疑を否認している。*1 *2 *3 男は前職の兼松で自動車部品の取引部門に所属。転職先の双日でも自動車関連の担当をしていたが、完成車の担当となる取引が多かったことから前職との業務内容は重複していなか
「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
パスワードマネージャの1Passwordがパスキーに正式対応を開始。パスキーの保存、管理、サインインに対応
1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始。1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になる。 代表的なパスワードマネージャの1つである1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始しました。 1Passwordによって、これまで可能だったパスワードの保存や管理、パスワードによるサインインだけでなく、1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になります。 Ready to unlock the web without passwords? Create, save, and sign in with passkeys using 1Password in the browser a
多要素認証を私物スマホでやっていいのか問題
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について | 二本松 哲也
概要 注意喚起レポートによれば、BlackTechは、日米の軍を支援する事業体を含む、政府、産業、テクノロジー、メディア、エレクトロニクス、テレコミュニケーションの各セクターを標的としています。多国籍企業がすべての子会社との接続を見直し、アクセスを検証し、アタックサーフェスを限定するためにゼロ・トラスト・モデルの導入を検討する必要性を強調しています。 ステルス・ルーターのバックドアによるアクセス維持 BlackTechは、カスタマイズされたファームウェアのバックドアを使用して、複数の Ciscoルータに侵害しました。バックドア機能は、特別に細工された TCP または UDP パケットによって有効化および無効化されます。この TTP は Cisco ルーターだけに限定されるものではなく、他のネットワーク機器でもバックドアを有効にするために同様の技術が使用される可能性があります。 特定の Ci
ハッキング疑惑を受けソニーが「調査を開始した」との声明を発表、「実は自分がやった」という別のハッカーが現れ状況は混迷
2023年9月25日、RansomedVCと呼ばれるランサムウェア集団がソニーのデータを盗んだと主張していることが確認されました。RansomedVCは「ソニーのあらゆるシステムをハッキングした」と強調してデータを販売すると述べていますが、この件に関してソニーが調査に乗り出したことが明らかになりました。 Sony investigates cyberattack as hackers fight over who's responsible https://www.bleepingcomputer.com/news/security/sony-investigates-cyberattack-as-hackers-fight-over-whos-responsible/ Sony Investigating After Hackers Offer to Sell Stolen Data -
日本の大企業を相次ぎ恐喝:「Ransomed[.]vc」とは? | Codebook|Security News
9月24日、「Ransomed」(Ransomed.vc / RansomedVC)と名乗る脅威グループが自らのリークサイトにSonyを掲載し、同社の全システムを侵害したと主張。同社のデータとされるものを売りに出すと宣言した。そしてその翌日、RansomedはNTTドコモをリークサイトに追加。同社を侵害してあらゆるデータを盗み取ったと主張して、「盗んだ」と主張するデータと引き換えに身代金101万5,000ドルを支払うよう要求している。※なお、同グループの主張の真偽は不明。 この「Ransomed」とは何者なのか?本記事では、弊社のパートナーである脅威インテリジェンス企業Flashpointのブログ記事をもとに、概要を紹介する。 Ransomed.vcの概要Ransomedは、今年8月半ばに登場したばかりの新しいランサムウェアリークサイト/グループ。リークサイト上には、現時点で上記2社を含む
![日本の大企業を相次ぎ恐喝:「Ransomed[.]vc」とは? | Codebook|Security News](https://cdn-ak-scissors.b.st-hatena.com/image/square/53532e7ff3ed2dccb0f3707d6ff202434a67bf76/height=288;version=1;width=512/https%3A%2F%2Fcodebook.machinarecord.com%2Fwp-content%2Fuploads%2F2023%2F09%2Fhacker-3342696_1280.jpg)
【セキュリティ ニュース】米政府、Appleやトレンドの脆弱性について注意喚起(1ページ目 / 全1ページ):Security NEXT
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、悪用が確認されている脆弱性4件について注意喚起を行った。 ベンダーより悪用が確認されているとの報告がある4件の脆弱性について、「悪用が確認された脆弱性カタログ(KEV)」に追加したもの。一定期間内に行政機関へ対応を求めるとともに、広く注意を呼びかけている。 具体的には、「Trend Micro Apex One」「ウイルスバスタービジネスセキュリティ」に判明している脆弱性「CVE-2023-41179」を現地時間9月21日に同リストへ登録。 悪用には管理コンソールへログインする必要があるが、エージェントがインストールされた端末上で任意のコードをシステム権限で実行されるおそれがある。 さらに9月25日には、Appleの「iOS」や「iPadOS」に判明した「CVE-2023-41992」「CVE-2023-41991」「
ICYMI:Emotetが再び出現
要旨 Emotetは2014年に初めて登場し、2021年初頭に法執行機関が駆除を試みたにもかかわらず、危険で回復力のあるマルウェアであり続けています。Europolによる大規模な駆除活動の後でも、Emotetは時を経ても容赦なく、今年、Microsoft WordとMicrosoft OneNoteにそれぞれマクロと埋め込みスクリプトを活用したepoch4とepoch5のバージョンで復活しました。 昨年の復活以来、TrellixはEmotetを監視し続け、新たな感染経路や活動および手法の変化を特定してきました。このブログでは、Emotetの世界的な流行状況、感染ベクター、新たなTTPを紹介し、このマルウェアから組織を守るための検知の機会について説明します。また、Trellix製品がどのようにこれらのTTPに対する防御を提供するかについても説明します。 序章 Emotet(GeodoおよびH
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スマホのパスワード、Wi-Fiで盗聴 数字6桁は精度85% - 日本経済新聞
「えきねっと」など交通系でフィッシング詐欺が増加~8月ネット詐欺 | 通販通信ECMO
徳島のホワイトハッカー もうひとつの四半世紀 ~ ティエスエスリンク | ScanNetSecurity
広告からサポート詐欺へ遷移、手口分析レポート公開 | ScanNetSecurity
ISR、パスワード認証の課題とパスキー認証導入の障壁について説明 B2C市場で広がるパスキーの導入事例も紹介
