リモートデスクトップソフトウェア「AnyDesk」を開発するAnyDeskは、一部システムが侵害されたことを明らかにした。 開発システムが侵害された痕跡が明らかとなったもので、CrowdStrikeの協力のもと対応を進めたとしており、コード証明書をはじめとする関連する証明書の無効化や差し替え、システムの修正、交換など、必要に応じて対策を講じたとしている。 今回の侵害はランサムウェアによる被害ではないと説明。同社のシステムでは、エンドユーザーのデバイスに接続するため悪用されるおそれがある秘密鍵、セキュリティトークン、パスワードについては保存しないように設計しているとした上で、予防的な措置としてウェブポータルにおけるパスワードをリセットした。 エンドユーザーのデバイスが影響を受けたといった報告もないとしている。同じアカウント情報を他所で使いまわしている場合は、パスワードを変更するよう求めた。
とりみカフェ@教育=鳥育🐥✨ @torimicafe 全国で鳥好き様を増やす為#鳥 #インコ #bird に関係する事に積極的に絡み中🐥日本初!鳥モチーフカフェを神戸で運営🐥鳥好き様 #相互フォロー/インコアイスは西武渋谷店と当店✨マツコの知らない世界など出演 →愛玩動物飼養管理士.ペット共生住宅管理士.保育士、調理師等々鳥と人を繋ぐお仕事資格多数保有🐤👫 birdcafe.jp とりみカフェ@教育=鳥育🐥✨ @torimicafe うわうわ! ホテルのフリーWiFiに接続したら、秒でFacebookの個人アカウントとInstagramに不正アクセスがあって、私のメールアドレスとパスワードが書き換えられました!😭 2024-02-04 07:00:16
2023年10月18日: Oktaのシステム侵害によって脅威アクターが一連の認証情報にアクセスした。これら資格情報は全てローテーションされる予定だったが、Cloudflareは侵害中に漏えいした認証情報のうち1つのサービストークンと3つのサービスアカウントをローテーションできなかった 2023年11月14日: 脅威アクターがCloudflareシステムの調査と偵察を開始した 2023年11月15日: 脅威アクターがCloudflareのAtlassianサーバへのアクセスを取得し、さまざまなリソースにアクセスしている 2023年11月16日: 脅威アクターが「Smartsheet」認証情報を使用してCloudflareユーザーのように見えるAtlassianアカウントを作成した。Smartsheetサービスアカウントが削除された場合でもAtlassian環境に永続的にアクセスできるようにし
『パルワールド(Palworld)』の公式Xは1月31日、「パルワールドのスマートフォンアプリは配信しておりません」と注意喚起した。 投稿では、「App StoreならびにGoogle Playにて『パルワールド』『Palworld』等の名称や製品画像を使ったアプリが配信されていますが、弊社とは全く関係がありません」と指摘。 偽のゲームアプリが販売されている状況については、ストアを運営するAppleおよびGoogleに報告済みだという。 社会現象を巻き起こす『パルワールド』 『パルワールド』は、株式会社ポケットペアが開発・販売する、モンスター育成オープンワールドサバイバルクラフトゲーム。 対応プラットフォームはSteam、Xbox Game Pass、Xbox Series X|S、Xbox Oneで、iOSやAndroid版は展開されていない。 1月19日にアーリーアクセス版がリリースさ
Varonisは1月29日(米国時間)、「Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes」において、Microsoftの認証プロトコル「NTLM v2」のハッシュ化されたパスワードにアクセスする3つの方法を発見したと伝えた。発見されたアクセス方法は、Outlookの新しい脆弱性、Windowsパフォーマンスアナライザー(WPA: Windows Performance Analyzer)、Windowsのファイルエクスプローラーを使用する3種類で、それぞれの窃取方法、攻撃シナリオを解説している。 Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes Outlookの新しい脆弱性 新しく発見されたOutlookの脆弱性は、「CVE-20
Midnight Blizzardは、米国政府や英国政府によってロシア対外情報庁(SVR)として認定されている脅威アクターである。この脅威アクターは主に米国や欧州の政府、外交機関、非政府組織(NGO)、ITサービスプロバイダーを標的にすることで知られている。2018年初頭から活動が観測されており、長期にわたって諜報活動に従事することが判明している。 この脅威アクターはロシアの外交政策の利益を支援するという目的に対して一貫性と粘り強さがあり、目的が変わることはほとんどない。パスワードスプレーなどによる認証情報の窃取やOAuthアプリケーションの悪用、サプライチェーン攻撃、オンプレミスを悪用したクラウドへの水平移動、サービスプロバイダーのサプライチェーンを悪用などにも長けている。 MicrosoftはMidnight Blizzardの攻撃によるリスクを軽減するために以下の対策を推奨している。
半導体設計ソフトを手掛けるシノプシスは1月30日、Webおよびソフトウェア・アプリケーションによく見られる10の脆弱性に関する3年間の分析レポートを発表した。これによると、脆弱性は減少傾向にあることが明らかになった。 同レポートには、同社が、顧客企業のWebアプリケーション、モバイル・アプリケーション、ネットワーク・システム、ソース・コードを対象に実施したテストから得られた3年分(2020~22年)のデータが詳細に掲載されている。 テストは、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)、ネットワーク・セキュリティ・テストなど、複数のセキュリティ・テスト手法を駆使して、実際の攻撃者と同じように実行中のアプリケーションに対して実施したという。 脆弱性の検出は減少傾向、セキュリティ問題のトップは?
【読売新聞】 コンピューターウイルスや詐欺メール、爆発物の作成など犯罪に悪用できる情報を無制限に回答する生成AI(人工知能)がインターネット上に複数公開されている。既存の生成AIに、不正行為に関わる情報を学習させたものとみられる。誰
2024年1月24日、Jenkins セキュリティチームは、CI/CDツール Jenkinsのセキュリティ情報を公開しました。修正された脆弱性の内 任意のファイル読み取りの脆弱性 CVE-2024-23897 は深刻度をCriticalと評価されており、既に実証コードも公開されています。ここでは関連する情報をまとめます。 脆弱性の概要 Jenkins Security Advisory 2024-01-24 Jenkinsにはスクリプトまたはシェル環境からJenkinsへアクセスするコマンドラインインターフェースの機能 (Jenkins CLI)が組み込まれており、脆弱性 CVE-2024-23897はこのCLIを介して任意のファイル読み取りが行えるというもの。さらに特定の条件下においてリモートコード実行が可能となる恐れがある。Jenkins セキュリティチームはこの脆弱性を深刻度をCri
講談社のヤングマガジン編集部は1月29日、「攻殻機動隊」公式X(旧Twitter)アカウント(@thegitsofficial)が28日朝から不正アクセスを受けて乗っ取られたため、利用を中止していると発表した。再開についてX社と調整しているという。 不正アクセスによる被害報告はないが、引き続き他の公式SNSを含めて調査し、セキュリティ強化を進めていくという。復旧予定が決まれば公式サイトなどで告知する。 関連記事 ドトール公式Twitterアカウントが乗っ取り被害に NFT関連サイトに誘導する投稿も ドトールコーヒーの公式Twitterアカウントが不正アクセスにより乗っ取られた。アイコンやヘッダ画像が削除され、アカウント名も「.」に変更されており、ドトールコーヒーとは関係のないツイートも見つかった。 公式Twitterアカウント狙うフィッシング増加 青バッジの騒乱に乗じなりすまし画策か 米セ
CSIRT(Computer Security Incident Response Team)▼などのセキュリティーチームは有事に適切に対応する必要がある。その能力を鍛えるには定期的なサイバー演習が欠かせない。 国内CSIRTの集まりである日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)▼は年に1回、内閣サイバーセキュリティセンター(NISC)▼と合同でサイバー演習の「NISC/NCA連携分野横断的演習▼」を開催している。直近の2023年12月7日開催回には、NCAの会員企業・団体から前回比2割増の120チーム(813人)が参加。演習の重要性への意識が高まっていることがうかがえた。 情報流出や脅迫にどう対応するか 今回の演習では、企業・団体ごとに15人までのインシデント対応チームを構成した。うち1人が「サブコントローラー」として演習の司令塔となり、N
セキュリティ研究者らは、すでに展開されているソフトウェアやウェブサービスに存在する脆弱(ぜいじゃく)性を見つけるため、あの手この手を尽くして調査やテストを行っています。ところが、クライアントに代わってソフトウェアを調査して脆弱性を発見したITコンサルタントに対し、ドイツの裁判所が罰金を科したことがわかりました。 Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an | heise online https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html IT consultant in Germany fined for exposing shoddy securi
Breaches you were pwned in A "breach" is an incident where data has been unintentionally exposed to the public. Using the 1Password password manager helps you ensure all your passwords are strong and unique such that a breach of one service doesn't put your other services at risk. Pastes you were found in A paste is information that has been published to a publicly facing website designed to share
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
ハッカーが集うフォーラムで1511万5516件のTrelloユーザーのデータが売りに出されました。データを流出させた人物は電子メールやユーザー名が含まれていると主張。実際に自分のデータが流出したのかどうかが、「Have I been pwned?」でわかるようになっています。 Have I Been Pwned: Pwned websites https://haveibeenpwned.com/PwnedWebsites#Trello Trello Data Breach: 15 Mn User Records Allegedly On Sale https://thecyberexpress.com/alleged-trello-data-breach-raises-concerns/ Trello Allegedly Breached: Database of 15,115,516
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く