PayPalアカウントは、十分に注意をしないと簡単に乗っ取られ、金銭的な被害につながる場合がある。こうした攻撃から、シンプルで効果的な防御方法について解説する。 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 筆者は1990年代に、銀行強盗がテーマの映画に魅了されて以来、銀行に侵入するということに一種の憧れのような感情を抱いていたのだが、ついにその方法を発見してしまったかもしれない。一般的な銀行アプリにおけるセキュリティに興味をもっていたが、備わっている強固な防御策をすり抜ける方法については思いついていなかった。これらのアプリは、顧客の預金を守るために堅牢なセキュリティ対策が練られているからだ。しかし、銀行がそれほど堅牢であるならば、預金へアクセスできる最も有名なサードパーティの1つであるPayPalを

いわゆる“3大クラウド”（AWS、Azure、GCP）が提供するサービスのうち、設定ミスが起きやすいのは？──トレンドマイクロは4月6日、定期的に公開しているセキュリティレポート内で、こんな調査の結果を発表した。 調査はトレンドマイクロが提供する、クラウド環境の設定不備を検知する企業向けサービス「Trend Micro Cloud One-Conformity」が、2021年に全世界で実施した検査の結果を基に実施。設定ミスの発生率などをクラウドサービスごとに算出した。 AWSで最も設定ミスが多かったのは、AWSの各種サービスの設定や管理を支援する「AWS CloudFormation」。約582万回の検査で、約257万件（発生率44％）の設定ミスが見つかったという。2位はストレージサービス「Amazon S3」（約753万回で約267万件、発生率35％）、3位はEC2インスタンス向けのスト

2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連する情報をまとめます。 １．何が起きたの？ JDK9以上で実行されるSpringMVC、SpringWebFluxでリモートコード実行が可能な脆弱性（CVE-2022-22965）が確認された。脆弱性の通称にSpring4shellまたはSpringShellが用いられている。 Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。 2022年3月31日時点で脆弱性のExploitコードが出回っており、関連するインターネット上の活動が既に報告されている。 ２．脆弱性を悪用されると何が起きるの？ 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の

2022年1月4日、東京コンピュータサービス（to-kon.co.jp）はサイバー攻撃を受け、ランサムウェアに感染したことを公表しました。ここでは関連する情報をまとめます。 大みそかにランサムウェア感染 侵入が行われたのは2021年10月初旬から開始。その約2か月後の2021年12月31日早朝にランサムウェア感染が引き起こされた。 社内では社員向けのActive Directoryのパスワード変更、リセット機能を提供するWebサービスを使用していたが、このWebサービスの脆弱性を悪用されADサーバーへの侵入を許した。また接続する際はリバースプロキシサーバーを介して行われていた。 攻撃者はWebサービスの脆弱性を悪用して、侵入用の実行コードの埋め込み及びその実行とバックドアの作成、ウィルス対策ソフトを回避するマルウェアの配置を行っていた。 さらにADのドメインで管理される機器に対して、グルー

はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ

前から思ってたことをちょっと書かずにいられなくなったのでポエムを書きました。 背景 問題 検知している方が正しいように見えがち 条件を揃えるのが難しい 環境の再現が難しい 検知数が多い方が良さそうに見える 正解かどうかの判断が難しい カバー範囲の正確な見極めが難しい 検知されないほうが嬉しい まとめ 背景 お前誰だよってなるかもしれないので書いておくと、Trivyという脆弱性スキャナーのメンテナをやっています。 github.com とある有名な方による以下のツイートがありました。 I just discovered, during @cloudflare #SecurityWeek no less, that Trivy (the vuln scanner) doesn't detect known issues in Alpine images. Including a critica

サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお知らせを掲載しています。 はじめに家人がテレビを見ていて欲しい商品があるというので、あまり気は進まなかったのですが、その商品を検索で探して購入することにしました。「気が進まない」というのは、利用実績のないサイトはセキュリティが不安だからという理由ですが、この不安は的中してしまいました。 最初の「えっ?」はパスワード登録のところでして、パスワードを再入力する箇所で「確認のためもう一度、コピーせず直接入力してください」とあるのですよ。私は乱数で長く複雑なパスワードを入力しかけていたのですが、コピ

クレジットカード決済基盤を提供するメタップスペイメント（東京都港区）で、セキュリティコードを含むカード情報が流出した可能性のある問題に関して、ネットで「保存してはいけないはずのデータを保存していたのか？」との疑問が挙がっている。流出の経緯についてメタップスペイメントに聞いた。 クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。 メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という。攻撃者は、システム侵入時の直前に決済で使われた暗号化されたセキュリティコードを取得できる状態にあったとみられる。メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。 今回の不正アクセ

ロシアを拠点とするランサムウェア攻撃グループ「Conti」の親ロシアな方針を受けて憤った親ウクライナ派のセキュリティ研究者が内部チャットのログ1年分を入手し、「ウクライナに栄光あれ」というメッセージとともにジャーナリストやサイバーセキュリティ研究者に送りつけました。 Conti ransomware gang chats leaked by pro-Ukraine member - The Record by Recorded Future https://therecord.media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/ Conti ransomware's internal chats leaked after siding with Russia https://www.bleepingcomputer.

ランサムウェア「Lockbit 2.0」を開発する犯罪グループは2月28日、ロシアによるウクライナ侵攻について、サイバー攻撃や国際紛争に関与しない方針を発表した。 同グループは国際情勢について「私たちは非政治的で（ランサムウェアは）単なるビジネス。無害で有益な仕事から生まれる金銭にしか興味がない。自分たちの仕事は、世界中のシステム管理者に、企業ネットワークの適切な設定方法について有償でトレーニングを提供すること」などと書いたテキストデータをダークウェブに公開。 「グループはロシア人やウクライナ人が多数を占めるが、米国や中国、カナダ、スイスなどにもメンバーがいる。私たちは皆、単純で平和な地球人」などとして、どんな状況においても国際紛争には加担しない方針を示した。 Lockbit 2.0は、感染することでファイルを暗号化したり、感染した端末の壁紙を「認証情報などを提供する内通者にならないか」な

複雑＝強力ではない？　Impervaが提言する“いい”パスワードの作り方 Impervaによれば、文字や数字、非連続な音節といった複雑な文字列で構成されるパスワードをユーザーに強要した場合、ユーザーはこれを覚えるために「パスワードを付箋紙に書き留める」「会社のノートの裏に書き留める」「スマートフォンにメモする」「適当な紙切れに書く」といった行動を取るという。同社は「従業員は覚えることが無理だと判断すれば、何らかの方法でパスワードを記録するようになる。これがインサイダー事件の根本原因の1つになっている」と指摘する。 関連記事 Adobeの複数製品に特権昇格などの脆弱性　該当バージョンの確認を Adobe PhotoshopをはじめとしたAdobe製品に複数の脆弱性が発見された。深刻度が「緊急」（Critical）に分類されるものも含まれているため、該当製品を使用している場合には迅速なアップデ

米司法省（DoJ）は2月8日（現地時間）、2016年8月に起きた香港の暗号資産（仮想通貨）取引所、Bitfinexのハッキングで盗まれたビットコイン、約36億ドル（約4160億円）相当を押収したと発表した。また、このビットコインをロンダリングしようとしたニューヨーク在住の夫婦を逮捕したことも発表した。 この夫婦は、11万9754ビットコインをロンダリングしようとした。このビットコインは、2016年に攻撃者がBitfinexのシステムに侵入し、2000以上の不正取引を行うことで奪ったビットコインの一部。盗まれたビットコインの合計は現在約45億ドル相当と評価されている。DoJは逮捕した夫婦が攻撃者だったとは明示していない。 逮捕された夫婦は、マネーロンダリングの罪で最長20年の懲役、陰謀罪で最長5年の懲役を科される可能性がある。 DoJは「連邦法執行機関がブロックチェーンを通じて暗号資産を追跡

スマートフォン悪用の「カンニング大作戦」登場　次はどんなITガジェットが狙われる？：ヤマーとマツの、ねえこれ知ってる？（1/3 ページ） 経歴だけは長いベテラン記者・編集者の松尾（マツ）と、幾つものテック系編集部を渡り歩いてきた山川（ヤマー）が、ネット用語、テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。交代で執筆します。 ヤマー　共通テストのカンニングが発覚した件、かなり大事になってますね。 共通テスト不正に加担しそうになった──当事者のnoteが話題　「手口は初見殺し」 マツ　ああ、今は共通テストっていうのね。僕らの頃は共通一次って言ってて、それがセンター試験になって、今は共通テスト、正式には大学入学共通テストね。 ヤマー　私はセンター試験世代ですねw マツ　僕の大学受験は共通一次になる直前、国公立大学は一期校、二期校の時代で……。国公立大学を2

VPNのサービスプロバイダーであるNordVPNは2022年1月25日、ダークウェブ上で売買されている日本人のクレジットカード情報の分析結果を発表した。それによると、日本人のクレジットカード情報は世界で最も高く、平均価格は4905.89円だった。 NordVPNによると、ダークウェブ上で売買されているクレジットカード情報は約448万件で、そのうち日本人のクレジットカード情報は7049件。その7049件を分析したところ、日本人のクレジットカード情報の価格には幅があり、114.25円から8568.64円までだったという。最多価格は8568.64円（2089件）で、平均価格は4905.89円だった。これは、世界平均の1102.09円の4倍以上だった。 なぜ日本のクレジットカード情報が盗まれるのか？ NordVPNで最高技術責任者を務めるマリユス・ブリエディス氏は、日本人のクレジットカードが高価で

2022年1月14日、ラックはフリーマーケットで販売されていたハードディスクに過去使われていた社内文書が含まれていたとして関係者へ謝罪しました。ここでは関連する情報をまとめます。 中古ハードディスクに社内情報 メルカリで購入した外付けのハードディスクにラックの社内文書が含まれていたとして、報告者からメールが届いたことが発端。*1 ラックは報告者との接触を希望するも断られたため内容把握の提示を要求。報告者からは一部文書のスクリーンキャプチャされた画像が送られた。提出された画像を元に社内調査が行われ、問題のハードディスクドライブはラックの元社員が私物として自宅PCのバックアップに使っていたものと判明した。 元社員は業務PC入れ替えの際、規則に反しながらDropboxを使って業務PCから自宅PCにデータ転送を行っていたと説明している。なお現在ラックではアクセス制限が行われておりストレージサービス