https://jp.techcrunch.com/2022/01/25/2022-01-24-teslamate-bug-teslas-exposed-remote/
FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は?
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 Akamai Technologiesでセキュリティ戦略部門の最高技術責任者(CTO)を務めるパトリック・サリバン氏は、API(アプリケーションプログラミングインタフェース)セキュリティの最大の課題は「認証プロセスの構成要素」にあるという。重要なデータへのAPIを使ったアクセスが増加するにつれ、その重要性は高まる。 最近ではAPIが重要なデータにアクセスすることが珍しくなくなった。企業はアジャイル型(小規模な変更を短期間で繰り返す手法)開発を実施する上で、頻繁にAPIを変更するようになった。こうした変化により、APIは攻撃者にとって魅力的な攻撃対象になってきた。「攻撃対象に関する知識を身に付けることがAPIセキュリティの第一歩だ」と、APIセキュリティベンダーSalt Se
「危ない『API』」はこうして生まれる
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 アプリケーションやモノのインターネット(IoT)デバイスの裏側で、API(アプリケーションプログラミングインタフェース)がクラウドサービスとデータをやりとりすることは一般的になった。それに伴って、企業がAPI起因の攻撃を受けるリスクも高まっている。 APIセキュリティベンダーNoname Gate(Noname Securityの名称で事業展開)の最高情報セキュリティ責任者(CISO)カール・マトソン氏は、「クラウドサービスが使うAPIが多様化し、APIの利用機会が急増している」ことがセキュリティ面での最重要課題だと言う。「IT部門にとっても、セキュリティ部門にとっても、こうしたAPIの多様化や増加に付いていくのは極めて難しい」(マトソン氏) マトソン氏は「複雑に絡み合うA
AWS、「Glue」と「CloudFormation」の脆弱性に対処
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Amazon Web Services(AWS)は米国時間1月13日、「AWS Glue」と「AWS CloudFormation」で発見されたそれぞれの脆弱性に対処したと発表した。 これらの脆弱性をAWSに報告したOrca Securityによると、攻撃者はGlueの脆弱性を悪用することで、同サービスの他の顧客のデータにアクセスできるようにするリソースの作成が可能になっていたという。 Orcaのリサーチャーらは、この問題がGlue内部の誤設定に起因するものだったとしており、AWSは同日、当該設定を修正したと認めた。 2017年にサービスが開始されたGlueは、大規模データベースを接続するマネージド型のサーバーレスデータ統合サービスであ
中国当局、アリババのクラウド子会社との情報共有提携停止
12月22日、中国の規制当局は、電子商取引(EC)大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止した。写真はアリババのオフィス。2021年1月に北京で撮影(2021年 ロイター/Thomas Peter) [北京/香港 22日 ロイター] - 中国の規制当局は22日、電子商取引(EC)大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止した。サイバーセキュリティー上の脆弱性を迅速に報告・対処しなかったことを非難している。政府系メディアが伝えた。 21世紀経済報道が工業情報省による最近の通知を基に伝えたところによると、阿里雲は人気の高いオープンソースのロギングフレームワーク「Apache Log4j2」の脆弱性を中国当局に直ちに
独自技術でIoT製品の脆弱性診断を高速化、台湾セキュリティ企業のツール提供
シーイーシーは2021年12月16日、IoT製品のセキュリティ品質向上を支援する、Onward Securityの「HERCULES SecDevice」を提供開始すると発表した。IoT製品のセキュリティチェックを簡易化、省力化することでセキュリティ品質確保を支援する。 シーイーシーは2021年12月16日、IoT(モノのインターネット)製品のセキュリティ品質向上を支援する、Onward Securityの「HERCULES SecDevice(以下 SecDevice)」を提供開始すると発表した。IoT製品のセキュリティチェックを簡易化、省力化することでセキュリティ品質確保を支援する。 Onward Securityは機械学習で自動化したセキュリティ評価製品などを開発する、2014年に設立した台湾のサイバーセキュリティ専門企業である。主にコネクテッド製品のセキュリティコンプライアンスソリ
Log4j脆弱性を突く攻撃が高度化 WAF回避、認証情報の窃取など JPCERTが確認
Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性について、JPCERT/CCは17日、脆弱性を突いた攻撃が高度化していると報告した。「WAF(Web Application Firewall)などによる回避には限界があることを認識する必要がある」と注意喚起している。 Log4jの機能「JNDI Lookup」が悪用されると、任意のプログラムを外部から送り込まれ、実行される可能性がある。単純な攻撃はWAFで防御できる場合もあるが、JPCERT/CCの調査で、WAFの防御をくぐり抜けようとする攻撃が見つかった。 JPCERT/CCは、意図的に脆弱性を残したまま放置したサーバ(ハニーポット)でLog4jの脆弱性を突いた攻撃を観察。10日から16日の間にハニーポットが受けた攻撃は延べ393件。「LDAP」「IIOP」などさまざまな通信規格での攻
AWSや主要クラウドサービスで利用されるSDKに27件の脆弱性が発見される
by Web Summit インターネットまたはLAN経由でUSBデバイスを共有したりアクセスしたりするためのアプリケーションである「USB over Ethernet」のソフトウェア開発キット(SDK)に、27もの脆弱性が存在することが指摘されました。脆弱性を抱えるSDKは、Amazon Web Services(AWS)を含む複数のクラウドサービスに利用されています。 USB Over Ethernet | Multiple Vulnerabilities in AWS and Other Major Cloud Services - SentinelOne https://www.sentinelone.com/labs/usb-over-ethernet-multiple-privilege-escalation-vulnerabilities-in-aws-and-other-m
グーグルによるランサムウェア調査、サンプル8000万件の分析で分かったこと
Googleがランサムウェアに関する新たなレポート(PDF)「Ransomware in a Global Context」(ランサムウェアの世界的状況)を公開した。それによると、2020年以降の調査期間中にランサムウェアの報告が突出して多かったのはイスラエルだったという。 Googleの依頼に基づくこの調査で、サイバーセキュリティ企業VirusTotalは140を超える国々から収集した8000万件を上回るランサムウェアのサンプルを分析した。 このレポートによると、VirusTotalにランサムウェアを報告した地域のうちの上位10地域は、イスラエルと韓国、ベトナム、中国、シンガポール、インド、カザフスタン、フィリピン、イラン、英国だったという。 イスラエルは突出して報告数が多く、ベースライン(何らかのキャンペーンが実行されていない時にも発生しているランサムウェア攻撃の数)との比較では600
ランサムウェアで悪用され続けている古い脆弱性--対策に課題も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバー犯罪者がランサムウェアの配布で悪用している脆弱性の一部は、何年も前に発覚したものだ。しかし、セキュリティアップデートが適用されていないために、攻撃者は依然としてその脆弱性を悪用し続けることができている。 Qualysのサイバーセキュリティリサーチャーらは、共通脆弱性識別子(CVE)が割り当てられた脆弱性のうち、最近のランサムウェア攻撃で最も多く悪用されているものを洗い出した。その結果、いくつかの脆弱性はほぼ10年前に報告されており、ベンダーからのパッチも公開されているものだと明らかになった。しかし、多くの組織は利用可能であるにもかかわらずセキュリティアップデートを適用していないが故に、ランサムウェア攻撃の格好の標的となったままに
米サイバー軍がAtlassian「Confluence」の脆弱性悪用について警告--「すぐにパッチを」
米サイバー軍は、Atlassianの「Confluence」に存在する脆弱性「CVE-2021-26084」が活発に悪用されていると警告を発した。 米国の祝日「レイバーデー」を目前に控えた米国時間9月3日、米サイバー軍は「Atlassian Confluenceの脆弱性CVE-2021-26084が大規模に悪用されており、その勢いは加速している。まだパッチを適用していない場合はただちに適用すべきであり、週明けまで延期すべきではない」とツイートした。 すでに多くのITリーダーが、ソーシャルメディアでこの脆弱性が実際に悪用されていることを認めている。 Atlassianは8月25日にこの脆弱性に関するアドバイザリーを公開し、「Confluence Server」および「Confluence Data Center」のバージョン6.13.23以前、バージョン6.14.0以降かつ7.4.11以前、
現状では解決策なし IoTデバイスのハードウェア乱数ジェネレータに脆弱性
セキュリティ企業のBishop Foxは2021年8月5日(米国時間)、同社のブログでIoTデバイスが使用するハードウェア乱数ジェネレータ(RNG:Random Number Generator)に深刻な脆弱(ぜいじゃく)性が存在すると伝えた。 同社によれば、RNGを備えたIoTデバイスは乱数を適切に生成できておらず、十分なセキュリティを実現できていないという。影響を受けるデバイスは350億台に上ると推測されている。 Bishop Foxが指摘した脆弱性は特定のデバイスに存在するわけではなく、IoTデバイスとOS、SDKが抱える普遍的な問題だ。今すぐに全てが修正されるという類の問題ではないため、多くのIoTデバイスが脆弱なRNGを使用する状況が続くものとみられる。
ブラジル警察、iPhoneのロック解除に特化した犯罪者集団の幹部を確保 - iPhone Mania
ブラジルでは、iPhoneのロックが解除され、銀行口座へとアクセスされることにより金銭が盗まれる事件が数件報告されていましたが、ブラジル警察は犯罪者集団を束ねていた男たちを確保することに成功した、と地元メディアが伝えています。 Face IDやTouch IDの迂回にも成功 ブラジル紙Folha de S.Pauloによれば、ブラジル警察は現地時間7月16日、iPhoneのロック解除を行いユーザーの銀行口座から金銭を盗むことに特化していた犯罪者集団の幹部4人を逮捕したとのことです。 御用となったのは、サンパウロで最も悪名高い犯罪者集団の一つです。彼らはスマートフォンのセキュリティ上の脆弱性につけ込み、特殊なソフトウェアを使ってFace IDやTouch ID、英数字のパスワードを迂回していたようです。 80名の警官と38台の車両で行われた犯罪者集団の確保 警察本部長のロベルト・モンテイロ氏
Windowsのゼロデイ脆弱性を突くマルウェア「DevilsTongue」をイスラエルの民間企業が開発した可能性があるとMicrosoftが発表
Microsoftが、「Sourgum」と呼ばれるグループが開発・販売する、Windows 10のゼロデイ脆弱性を攻撃するマルウェア「DevilsTongue」の対策を行ったと発表しました。DevilsTongueによる被害者は政治家や人権活動家など100人以上で、Microsoftとトロント大学のセキュリティ研究組織・シチズンラボは「Sourgumの正体はイスラエルの民間セキュリティ企業だ」と指摘しています。 Fighting cyberweapons built by private businesses - Microsoft On the Issues https://blogs.microsoft.com/on-the-issues/2021/07/15/cyberweapons-cybersecurity-sourgum-malware/ Protecting customer
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Safari 15、Web行動履歴の漏洩につながる脆弱性。特にiPhone/iPadに大きな影響
「Log4j」の脆弱性2件に対応 ~「Docker Desktop」コンテナーのセキュリティスキャンが強化/「docker scan」で毎月10回の無償スキャンが可能
Engadget | Technology News & Reviews
「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる
MicrosoftがmacOSの脆弱性を発見 ~セキュリティ機能「SIP」を無効化可能/Shrootless脆弱性、「macOS Monterey 12.0.1」「macOS Big Sur 11.6.1」などで対策済み
https://jp.techcrunch.com/2021/10/22/2021-10-21-google-launches-a-bug-bounty-program-for-android-enterprise/