ロシアの侵攻により2月24日に始まったウクライナ危機に先立ち、15日と16日にあったウクライナの銀行などへのDDoS(分散サービス拒否)攻撃について、日本でも兆候が観測できていた。情報セキュリティリサーチャーであるIIJの根岸征史さんが、自身のTwitterアカウントで2月25日に明らかにした。 根岸征史さんによると、IIJのハニーポット(おとりサーバ)で、15日には銀行「PrivatBank」から、16日には金融基盤を手掛ける「Ukrainian Processing Center」(UPC)から、「Backscatter」(バックスキャッター)と呼ばれるパケットを多く受信していたという。 なぜ、被害を受けているサーバからのパケットでDDoS攻撃を観測できるのか。同社の堂前清隆副部長(広報部 技術広報担当)がYouTubeで解説動画を公開している。 「DDoS攻撃では、大量のアクセスを複
豪Atlassianは6月2日(米西海岸時間)、同社のコラボレーションツール「Confluence」に関する一部製品で、遠隔地から任意のコードを認証不要で実行できてしまう脆弱性が見つかったと発表した。深刻度は同社基準の最高値である「Critical」で、修正プログラムは未公開。 CVE識別番号はCVE-2022-26134。Atlassianによると、ユーザー企業側のサーバで同サービスをホストする「Confluence Server」のバージョン 7.18.0で脆弱性の悪用を確認した他、IaaS上で管理するための「Confluence Data Center」バージョン7.4.0以降にも影響があるとしている。 修正プログラムは未公開だが、ユーザー側でできる一時的な対応として同社は、(1)Confluence ServerやConfluence Data Centerのインスタンスをインター
個人情報保護委員会への報告は済ませた。積水ハウスは今後「委託先の情報セキュリティに関する監督強化を行うとともに、個人情報の取り扱いの一層の厳格化に取り組む」としている。 事態が発覚したのは6日。外部からの不審なアクセスを検知したため、サーバを停止し、詳細を調べたところ、10日に漏えいの可能性と原因が分かったという。 関連記事 カプコン、最大35万件の個人情報が流出した恐れ 11月2日の不正アクセスで カプコンが、第三者からの不正アクセスで最大35万件の個人情報が流出した可能性があると発表。国内外の顧客情報や株主名簿などの情報が含まれるという。 沖縄のスーパーで個人情報など計6000件以上が流出した可能性 商品の予約情報も 沖縄県でスーパーマーケットを展開するリウボウストアは、オンラインストアを管理するサーバに不正アクセスを受け、個人情報が一部流出した可能性があると発表。うなぎやワインの店頭
by Focal Foto Samsungの半導体事業の従業員が、社外秘機密となっているプログラムのソースコードをChatGPTに入力した「社内情報流出事故」が発生したと報じられています。Samsung側は従業員に対してChatGPTの使用を許可しており、社内情報セキュリティに注意するよう呼びかけていました。 [단독] 우려가 현실로…삼성전자, 챗GPT 빗장 풀자마자 ‘오남용’ 속출 https://economist.co.kr/article/view/ecn202303300057 Samsung Software Engineers Busted for Pasting Proprietary Code Into ChatGPT | PCMag https://www.pcmag.com/news/samsung-software-engineers-busted-for-p
スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。 個人情報をだまし取る 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールか
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
リトアニアのセキュリティ企業であるNord Securityは11月15日(日本時間)、2022年に最も使われたパスワードのランキングを発表した。米国やオーストラリアなど世界30カ国の1位は「password」(使用回数約500万回)。日本の1位は「123456」(同1210回)だった。 日本のランキングは2位が「password」(926回)、3位が「1234」(921回)、4位が「12345678」(562回)、5位が「akubisa2020」(438回)、6位が「xxxxxx」(406回)、7位が「sakura」(355回)、8位が「303030」(295回)、9位が「12345」(270回)、10位が「123456789」(247回)だった。 上位には「Garba3060」(14位、193回)、「ilove12345@」(19位、143回)、「diskunion」(20位、140回
大規模データベースのリーク情報やハッキングツールなどを提供する場として人気のサイバー犯罪フォーラムBreachForums上で、borderline2023というユーザーがYandexの40GB超のGitリポジトリをリークしたと主張しています。 yandex git sources | BreachForums https://breached.vc/Thread-yandex-git-sources?pid=1200126 YandexのGitリポジトリをリークしたのはborderline2023というユーザーで、「リポジトリのみ、データなし、44.71GB。スパム対策ルールを除いてほぼ完全にコピーしました。2022年7月に私がダウンロードしたものです」と投稿しています。この投稿に対して、BreachForumsユーザーからは「かなり素敵に見える」「多くの興味深いツールがある」などのコメ
エーザイは5月19日、同社グループの取引先情報約1万1000件が漏えいした可能性があると発表した。何者かが海外法人に勤める社員のアカウントに不正ログインし、グループ横断で使っていたクラウドサービス上の情報にアクセスしたという。 エーザイやその子会社であるEAファーマ(東京都中央区)、カン研究所(神戸市)、サンプラネット(東京都文京区)の取引先情報が対象。2018年5月から23年4月にかけて、(1)4社が管理する「Microsoft Teams」のプロジェクト管理機能に招待された人、(2)4社が管理するファイル共有サービス「Sharepoint」へのアクセス権を付与された人、(3)オフィススイート「Microsoft 365」で作成したメーリングリストに登録された人、(4)4社が管理するID管理システムに登録された人──の氏名やメールアドレスが漏えいした可能性がある。 約1万1000件のうち
こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より広くインジェクションの考え方を自身のプロダクト開発に適用していくかについて扱っていきます。 SQLインジェクションやコマンドインジェクション、XSSのようなインジェクションに関わる有名な手法について横断的に解説をしながら、インジェクションの概念を説明していきます。初めてインジェクションに触れる方にとっては、インジェクションの実例や基本的な考え方に触れることができ、その全体像を把握する助けになるかと思います。 また、既にいくつかのインジェクション手法を知っている方にと
シンガポールを拠点とするサイバーセキュリティ企業のGroup-IBが、「10万件を超えるChatGPTのアカウントがマルウェアによって盗まれ、ダークウェブで取引されている」と報告しました。ChatGPTはデフォルトでユーザーのクエリとAIの応答履歴を保存しているため、ChatGPTアカウントへの不正アクセスは企業の機密情報や個人情報の漏えいにつながる危険性があるとのことです。 Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list | Group-IB https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ Tr
はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回の記事ではその脆弱性に関して解説を行います。 なお、本記事で解説している脆弱性はGitHub Bug Bountyプログラムのセーフハーバーに則り行われた脆弱性調査の結果発見され、公開を行う許可を得たものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 GitHubが開発するプロダクトやサービスに脆弱性を発見した場合は、GitHub Bug Bountyへ報告してください。 GitHub Enterprise Im
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 韓国のKAISTとS2W Inc.に所属する研究者らが発表した論文「DarkBERT: A Language Model for the Dark Side of the Internet」は、ダークウェブに特化した大規模言語モデルを提案した研究報告である。 ダークウェブは、Googleなどの一般的なWeb検索エンジンにはインデックスされず、通常のWebブラウザではアクセスできないインターネットの一部である。ダークウェブにアクセスするためには、Tor(The Onion Router)などの特別なソフトウェアが必要で、匿名性の高い利点から違法な取引、例
Intelは2023年8月8日に、同社が2015年から2020年に販売したCPUに新たな脆弱(ぜいじゃく)性が見つかったことを報告しました。「Downfall」と呼ばれるこの脆弱性は、攻撃者に悪用されるとデータや機密情報が抜き取られる恐れがあるとされています。 INTEL-SA-00828 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html Downfall https://downfall.page/ ‘Downfall’ vulnerability leaves billions of Intel CPUs at risk | CyberScoop https://cyberscoop.com/downfall-intel-cpu-vulnerability/ Int
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 ドイツの研究機関CISPA Helmholtz Center for Information Securityに所属する研究者らが発表した論文「Prompt Stealing Attacks Against Text-to-Image Generation Models」は、テキストから画像を生成するモデルで生成した画像からテキストプロンプトを盗用する攻撃を提案した研究報告である。 Stable Diffusion、DALL-E 2、Midjourneyなどのテキストから画像を生成するモデルの登場以来、プロのアーティストに頼るのではなく、プロンプトと呼
ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができる攻撃手法を発見した」と発表しました。「PDFex」と名付けられたこの攻撃手法はPDFの仕組みそのものを悪用しているため、Adobe Acrobat Reader DCやPDF-XChange Viewerといった特定のPDFビューワーソフトだけでなく、ChromeやFirefoxなどのブラウザで閲覧した場合でもPDFの暗号化を突破されてしまうとのことです。 PDF Insecurity Website https://pdf-insecurity.org/encryption/encryption.html Researchers Find New Hack to Read Content Of Password Protected
2023年6月1日、ホテルグランヴィア大阪は同社が利用している宿泊予約管理システムが不正アクセスを受け、さらに一部の宿泊予約をした人へフィッシングサイトへ誘導するメッセージが送信されていたことを公表しました。ここでは関連する情報をまとめます。 管理システムのチャット機能を不正利用 不正アクセス被害にあったのはホテルグランヴィア大阪が利用していたBooking.comの宿泊予約管理システム。不正アクセス後、当該システムのチャット機能を通じて宿泊予約者に対しフィッシングサイトへ誘導するメッセージ送信が行われた。 ホテルグランヴィア大阪はBooking.comから連絡を受け不正アクセスの事実が判明。初報時点では第三者が当該システムを通じて宿泊予約者の情報が流出した可能性があるとしていたが、その後のBooking.comの調査を通じて流出の痕跡はないとして外部への情報流出は否定した。 宿泊予約管理
インターネットを利用中に、「Cookieを許可してください」というポップアップが表示されたり、許可するCookieの種類を選ばされたりしたことがある人は多いはず。こうした表示はGDPRといった規制を順守する上で必要なものですが、Cookieの使用を許可するつもりのない人や関心がない人にとってはわずらわしいものです。広告とトラッキングをブロックする機能を搭載しているブラウザのBraveが、このCookieの許可を促すバナーのブロックを開始しました。 Blocking annoying and privacy-harming cookie consent banners | Brave Browser https://brave.com/privacy-updates/21-blocking-cookie-notices/ Braveは2022年9月28日に公式ブログを更新し、10月にリリース
中古車販売などを手がけるビッグモーター(東京都多摩市)は10月30日、自社Webサイトが第三者による不正アクセスを受け、「お問い合わせフォーム」から同社に連絡していた顧客の個人情報の一部が漏えいした可能性があると発表した。クレジットカード情報などは含まれていない。 同社によると、今年8月18日にWebサイトへの不正アクセスの痕跡を確認。該当するサーバーには、2016年11月から23年8月までにお問い合わせフォームを利用した人の住所、氏名、電話番号、メールアドレスなどの情報が含まれていた。クレカ情報やマイナンバー情報は収集していなかった。 ビッグモーターは不正アクセスを確認後、フォームを含むWebサイトの一部を停止。外部の専門家を交え、保管していた全ての個人情報を削除した。また個人情報保護委員会への報告や警察への相談も行ったという。 ビッグモーターは、「事態を重く受け止め、外部専門家の助言も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 30万台以上のAndroidスマートフォンが、「Google Play」ストアの審査済みアプリからマルウェアに感染していることが明らかになった。これらのアプリは、ダウンロードする時には安全であるにもかかわらず、その後のアップデートでバンキング型のトロイの木馬に変わってしまう。 セキュリティ企業のThreatFabricによれば、同社が調べた4種類のマルウェアは、一般的にダウンロードされているアプリの形で被害者に届けられているという。その中には、ドキュメントスキャナーアプリやQRコードリーダー、フィットネスモニター、仮想通貨関連アプリなどが含まれている。これらのアプリには、ユーザーに不審感を与えないために、宣伝されている通りの機能が搭載さ
岩手県釜石市は5月26日、住民基本台帳に記載された市民の個人情報を違法に取得・漏えいしたとして、40代の職員2人を懲戒免職処分にし、住民基本台帳法違反で岩手県警に告訴したと発表した。 2人は2015年以降約7年間にわたり、市民の住所や氏名などのデータ入りExcelファイルをメールに添付し、私有アドレスに送信するといった手口で、数万件の情報を繰り返し流出させていたという。流出情報の一部には、市民の収入額や被災住所、マイナンバーも含まれていた。 2021年9月に内部告発があり、調査したことろ判明した。 処分を受けたのは、総務企画部の40代の女性係長と、建設部の40代の男性主査。 一例として女性係長は、15年2月に、市民1万9600人分の住所、氏名、生年月日、収入額などのデータ入りExcelファイルを、メールに添付して私有アドレスに送信。17年8月には、市民3200人分の住所、氏名、生年月日など
米Intelは8月8日(現地時間)、同社製CPUに脆弱性(CVE-2022-40982)が見つかったと発表した。同社のメモリ最適化機能を悪用することで、CPU内部のレジスタファイルを意図せずソフトウェア側に提供できてしまうという。すでにIntelがアップデートを提供しているが、修正の適用により一部処理のパフォーマンス低下を招く可能性がある。 メモリ内に散在するデータへのアクセスを高速化する命令「Gather」が引き起こす問題という。この脆弱性により、信頼できないソフトウェアが、通常はアクセスできないはずのデータにアクセスする可能性がある。脆弱性の影響を受けるのは第6世代Skylakeから第11世代Tiger LakeまでのCPU。 脆弱性を発見した米Googleの研究者ダニエル・モギミ氏は、脆弱性を悪用することで、同じコンピュータを共有する他ユーザーのパスワード、電子メールのメッセージ、銀
中国政府が関与するハッカー集団が最近の一連の攻撃において、2要素認証(2FA)をかいくぐっていたことを発見したと、セキュリティ研究者らが発表した。 一連の攻撃は、サイバーセキュリティ業界が「APT20」と名付けて追跡している集団によるものだと、オランダのサイバーセキュリティ企業Fox-ITは先週公開したレポートで述べた。この集団は中国政府の指示で活動しているとみられている。 この集団の主な標的は、政府機関とマネージドサービスプロバイダー(MSP)だった。政府機関とMSPは、航空、医療、金融、保険、エネルギーのほか、賭博や物理的な錠といったニッチな分野にも取り組んでいた。 APT20による最近の活動 Fox-ITのレポートにより、この集団のこれまでの活動において不明だった部分が明らかになった。APT20は2011年からハッキング活動に従事しているが、2016~2017年に活動形態の変更があり
2022年6月8日、愛知県警はWebサイト制作会社が管理する多数の企業サイトを閲覧させなくしたとして男二人を電子計算機損壊等業務妨害の容疑で逮捕しました。ここでは関連する情報をまとめます。 業務請負していた男による犯行 愛知県警が摘発したのは派遣会社所属の男と自営業の男の二人。二人は共謀し2021年11月23日19時20分から翌24日6時15分頃の約11時間にかけ、愛知県あま市のインターネットカフェのPCを使って名古屋市中村区のWebサイト制作会社のサーバーにアクセスし、同社が管理する4件(旅館、美容院、整体、薬局)のサイト表示に必要なファイルを削除し業務妨害した疑い。*1 二人の内、派遣会社所属の男は容疑を認めており、もう一人はもう一方の被疑者に騙されてやったと供述(一部否認との報道もあり)している。警察は派遣会社所属の男が主導的立場で指示していたとみている。 復旧費用4500万円超 派
AmazonやAliExpressでも販売されているAndroid TV搭載のセットトップボックス「T95」にマルウェアがプリインストールされていたという報告がGitHubに上げられています。マルウェアの正体は、Android端末を対象に感染を広げた「CopyCat」に似ているとのことです。 GitHub - DesktopECHO/T95-H616-Malware: "Pre-Owned" malware in ROM on T95 Android TV Box (AllWinner H616) https://github.com/DesktopECHO/T95-H616-Malware 問題となったセットトップボックスはAmazon.comでも販売されているもので、記事作成時点では32.99ドル(約4300円)で購入可能。Android 10.0搭載でSoCはAllwinner H6
一度感染すると検出が非常に困難になるという Linux のマルウェア「Symbiote」について、Intezer と BlackBerry Threat Research & Intelligence Team が共同で調査結果を発表している (Intezer のブログ記事[1]、 [2]、 Ars Technica の記事、 The Register の記事)。 Symbiote はスタンドアロンの実行ファイルではなく共有ライブラリであり、LD_PRELOAD 環境変数を用いてすべてのプロセスの実行時に読み込ませる仕組みだ。すべてのプロセスに感染後は、ルートキットとしてマルウェア関連ファイルをすべて隠ぺい可能になるほか、Barkeley Packet Filter (BPF) をフックしてパケットキャプチャツールから自身のネットワークトラフィックを隠ぺいする。マルウェアとしての機能は認証
自然言語処理(NLP)アルゴリズムが意図的な攻撃に対して脆弱であることはすでに実証されている。しかし、これらの脆弱性がソフトウェアのセキュリティリスクとしてどのように影響するかについては、十分に調査されていない。 この問題を解決するために、データベースと自然言語インタフェースを結び付けるためのText-to-SQLシステムの脆弱性テストを実施した。Text-to-SQLシステムとは、自然言語での質問や命令をSQL(Structured Query Language)クエリに変換する技術やアルゴリズムのことを指す。 ユーザーが「過去1年間で最も売れた商品は?」という質問をすると、Text-to-SQLシステムはクエリに変換してデータベースに問い合わせ、適切な結果をユーザーに返してくれる。目的は、Text-to-SQLアルゴリズムの悪用によるデータベース攻撃の可能性を評価することである。 具体
はじめに 近年、BoxやGoogle Drive等のようなオンラインストレージサービスを利用するケースが増えています。 それに伴い、オンラインストレージサービス特有の機能による情報漏えい事件も増加しています。 下記のような「個人情報漏えいのお詫び」を皆さんも目にされたことがあるのではないでしょうか。 個人情報漏えいのお詫びクラウドサービス上で作成したファイルで個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の個人情報がインターネット上において閲覧できる状態でありました。 対応状況個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。 このようなオンラインストレージサービス特有の情報漏えいが生じる要因は様々ありますが、
田舎の母のスマホにいつの間にか、謎の“空白アプリ”がインストールされていた──そんなツイートが話題になっている。投稿者のオロゴン(@orogongon)さんによると、母から「スマートフォンへの警告が頻繁に出る」と連絡を受け、調べたところアイコンとアプリ名が空白のアプリが見つかったという。 オロゴンさんに話を聞くと「『スマホがウイルスに汚染された』などの警告が頻繁に表示されると田舎の母から相談があった」と経緯を説明。リモートアクセスツールを使い、母のスマートフォンを遠隔操作したところ、アイコンと名称が空白のアプリを発見したという。このアプリをアンインストールしたところ、状況は落ち着いたとしている。 母のスマートフォンは「Galaxy」シリーズ(型番は不明)。空白のアプリの入手先については「YouTubeの広告経由でインストールしたのではないか」と予想している。アプリのデベロッパーなどの詳細は
WindowsあるいはLinuxを実行するデバイスの起動に関わるUEFIに発見された24個の脆弱(ぜいじゃく)性を攻撃するエクスプロイト「LogoFAIL」を、セキュリティ企業のBinarlyが発表しました。 Finding LogoFAIL: The Dangers of Image Parsing During System Boot | Binarly – AI -Powered Firmware Supply Chain Security Platform https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html Just about every Windows and Linux device vulnerable to new Logo
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く