トロイの木馬化された「jQuery」がnpmやGitHubで拡散
海外のセキュリティ企業「Phylum」はトロイの木馬化された「jQuery」がnpmやGitHub、jsDelivr のCDNホストで拡散している事を指摘しました。 「jQuery」を悪用したサプライチェーン攻撃の概要 Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視しており、最初に npm でこのjQuery を悪用する亜種を発見しました。 そこでは、1 か月にわたって数十のパッケージで侵害されたバージョンが公開されていました。 調査の結果、GitHubや、jsDelivr の CDN ホスト リソースでも、トロイの木馬化された jQuery のインスタンスを発見しました。 なお、今回解説されている内容は正規の「jQuery」へ今回のトロイの木馬が紛れ込んでいるのではなく、 悪意のあるユーザ
脱「ネイバー依存」要求 LINEヤフーに行政指導―総務省:時事ドットコム
脱「ネイバー依存」要求 LINEヤフーに行政指導―総務省 2024年03月05日19時17分配信 総務省から行政指導を受けるLINEヤフーの出沢剛社長(右)=5日午前、東京・霞が関 無料通信アプリ「LINE」利用者の個人情報が不正アクセスを受けて流出した問題で、総務省は5日、LINEヤフーに再発防止の徹底を求める行政指導を行った。LINEのITインフラの保守・運用で依存する韓国IT大手ネイバーに対する監督の強化と、ネイバーとの間で共通化している従業員情報を扱うシステム基盤の分離を要求。ネイバーとの資本関係見直しも促す異例の要請を行った。 ヤフーに行政指導 位置情報取り扱いで―総務省 LINEヤフーは、旧ヤフーと旧LINEの経営統合を経て発足した企業。2023年11月、LINE利用者らの個人情報約44万件が流出した恐れがあると発表した。その後の調査で流出件数は約52万件に増えた。 LINEヤ
Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]
国内の主要なSaaS企業やSIerに脆弱性診断サービスなどを提供しているFlatt Security社は、Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」のトライアルとしてコンテンツの一部を無料で公開中です。 メールアドレスを登録するだけで利用を開始でき、期間も無制限。 KENROでは「SQLインジェクション」「XSS(クロスサイトスクリプティング)」「ディレクトリトラバーサル」などを始めとする10種類の一般的な脆弱性についてテキストで学び、その学びを基に攻撃者として脆弱性に対する攻撃を「ハッキング演習」で試し、その脆弱性があるコードを自分で修正する「堅牢化演習」まで、オンラインで実践できるユニークな教材です。 演習の結果もKENROが自動判定してくれるため、24時間365日、いつでも学習できます。 無料トライアルでは、一般的な10種類の脆弱性の学習コンテンツ
![Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/9ea2c3f33e8bf01c1ac53e8880e27f9425b22a34/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fkenro_trial10.png)
「ニフクラ」の負荷分散装置に不正侵入、多層防御も設定ミスで効かず
国産クラウドの一角である「ニフクラ」が不正アクセスを受けた。対象となったのは負荷分散装置で、既知の脆弱性を悪用された。負荷分散装置を通過する通信パケットが窃取された恐れがある。脆弱性の公開からパッチ適用まで1週間かかった隙を突かれた。ネットワーク防御装置にも設定不備があり、攻撃を許した。 富士通子会社の富士通クラウドテクノロジーズは2022年5月16日、運営するパブリッククラウドサービス「ニフクラ」と「FJcloud-V」の通信インフラがサイバー攻撃を受けたと発表した。ニフクラは自社で販売展開するサービスで、FJcloud-Vは富士通を販路とした際のブランド名だ。 富士通クラウドテクノロジーズによると、インターネットからニフクラのクラウド基盤へのアクセスを中継するロードバランサー(負荷分散装置)が、第三者により外部から不正アクセスされていた。原因は、ロードバランサーのベンダーが5月4日に把
市民3万人分の個人情報流出 釜石市職員2人が懲戒免職|NHK 岩手県のニュース
釜石市は、市民全員にあたるおよそ3万人分の氏名や住所などの個人情報のデータを自宅のパソコンにメールで送るなどして持ち出したとして、職員2人を懲戒免職にしました。 これは、釜石市の野田武則市長が記者会見して明らかにしたものです。 それによりますと、総務企画部の40代の女性の係長と建設部の40代の男性の主査が、氏名や住所、生年月日などが記載された住民基本台帳や業務上作成した表計算ソフトのデータを、少なくとも7年前から21回にわたって、自宅のパソコンのメールアドレスに送ったり、お互いに送り合っていたということです。 データが持ち出されたのは、市の人口全体にあたるおよそ3万人分にも上るということです。 このうち、おととし分のデータ持ち出しについて、女性係長は住民基本台帳システムの閲覧権限がありませんでしたが、権限のあった男性主査に頼み、データをメールで送信させていたということで、市は2人を住民基本
Sky脆弱性報奨金制度|セキュリティ・脆弱性について|Sky株式会社
Sky株式会社(以下、Skyまたは弊社)では、弊社が提供する対象製品・サービスの脆弱性を発見しご報告いただいた方への謝礼として、報奨金をお支払いする「Sky脆弱性報奨金制度(以下、本制度)」を実施しています。 目的 本制度は、弊社が提供する製品・サービスに存在するゼロデイ脆弱性の早期発見と改修を目的とした制度です。 参加条件 以下の条件を満たした方にご参加いただけます。 報告時点でSkyまたはSkyのグループ会社の従業員ではないこと 報告時点で業務委託契約、出向契約、派遣契約等の契約形態により、SkyまたはSkyのグループ会社の業務に従事していないこと 過去にSkyまたはSkyグループ会社の正社員として雇用されていないこと 過去にSkyまたはSkyグループ会社で、製品開発およびクラウドサービス運用関連の業務に従事していないこと 日本語または英語で、Sky-SIRTとコミュニケーションができ
"security.txt" についてまとめみた
CISSPの継続学習で知ったので忘却録としてまとめました。 security.txtとは security.txtとは、IETFが提唱している、ウェブサイトにセキュリティポリシーやサイトの脆弱性を発見したときの連絡先を記載するための標準で、robots.txt、ads.txt、humans.txtと同じようにテキスト形式で記載します。 投稿当時(2021/10/22)では、第12版のドラフトまで完成していますが、近くRFC化される見込みです。 (2023/11/1:更新) RFC 9116としてRFC化されました。 設定の効果 独自開発したWebサイトなどの脆弱性(XSSやSQLインジェクション等)の報告先を独自に設定することができます。したがって、いままでJPCERT/CCなどに報告する必要がある情報を作り手に直接連絡できるため、スピード感がある対応できると見込まれています。 ただし、表
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
