Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中 | Gadget Gate
テクノロジー ソースコードには中国語 Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中 Image:Jozsef Bagota-Shutterstock ネットワーク企業Lumen Technologiesのサイバーセキュリティ部門Black Lotus Labsが、WindowsやLinux、FreeBSDなどのエンタープライズサーバーから、SOHO向けのネットワーク機器まで、広範なデバイスを標的にするマルウェア「Chaos」を発見したと発表した。 この悪質なソフトウェアはLinuxボットネット「Kaiji」をベースとした機能を含んでおり、その亜種とも見られている。またGo言語で書かれたソースコードには中国語が含まれており、中国のC2(C&C:Command & Control)インフラによって操作されているとのこと。 Chaosは、遅くとも4月16
Amazon Web Services ブログ AWS 環境への一時的な昇格アクセスの管理 本記事は Managing temporary elevated access to your AWS environment を翻訳したものです。 この投稿では、一時的な昇格アクセスを実装することによって、AWS 環境へ人がアクセスすることに伴うリスクをどのように軽減できるのかについて学びます。また、最小限のリファレンス実装をダウンロードすることができ、それを出発点として、あなたの組織に合わせた一時的な昇格アクセスソリューションを構築することができます。 概要 最新のクラウドアーキテクチャの多くは、人によるアクセスを排除することを目指していますが、少なくとも人によるアクセスが必要なケースが残っていることはよくあることです。例えば、予期せぬ問題が発生した場合、診断や修正に人の手が必要になることがあり
2要素認証によるGitHubアカウントの保護
GitHubの継続的な取り組みとして、GitHubの開発者コミュニティが最新のテクノロジーを活用して、悪意のある攻撃者によるセキュリティ侵害からアカウントを確実に保護できるよう、多額の投資を行ってきました。その一環として、デバイスの検証、不正アクセスを受けたパスワードの使用防止、WebAuthnのサポート、SSH Git操作時のセキュリティキーのサポートなどを実現しました。こうしたセキュリティ機能によって、プラットフォーム上での強力なアカウント認証が可能になっています。そして本日、この分野に関する最新情報を皆さまにお伝えできることを嬉しく思っています。 Git操作に対するパスワードベースの認証を廃止 2020年12月の発表で、2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナル
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)および米国家安全保障局(NSA)は2023年10月5日(現地時間)、大規模組織でやりがちなセキュリティの誤設定について、その詳細と対策をまとめたサイバーセキュリティアドバイザリを共同で公開した。 このアドバイザリは、組織における10のセキュリティ誤設定に焦点を当て、それぞれの誤設定がどのように悪用されるか、またそれにどう対処すべきかについて詳細に解説している。 デフォルト設定の誤り: ソフトウェアやアプリケーションのデフォルト設定は必ずしも安全とは限らず、しばしばセキュリティリスクを抱えている。それにはデフォルト認証情報やサービス権限、設定などが含まれる ユーザーおよび管理者権限の不適切な分離: 1つのアカウントに複数の役割が割り当てられている。その結果、権限が過剰になっている 内部ネットワーク監視の不足:
PPAPはセキュリティ対策としての効果が薄いばかりか、生産性の低下を引き起こすと指摘されている。約9割のメール通信サービスが対応している機能を使えば、PPAPの矛盾を解消し、安全かつ楽に添付ファイルを送信できるという。 脱PPAP論の上原 哲太郎教授と問題解決の方向性を議論 セキュリティ効果が薄く業務効率を下げるといわれる「PPAP」(暗号化ZIP添付メール)だが、「周りが続けているからやめられない」という本音も漏れ聞こえる──メール誤送信防止サービスを提供するクオリティアは2022年8月、脱PPAP論で知られる立命館大学教授の上原 哲太郎氏を招いてオンラインセミナー「上原哲太郎氏×老舗メールセキュリティベンダーのガチンコ対談 ~『脱PPAP』対策:コスト・慣習の壁を打ち破る現実的な進め方~」を開催した。PPAPの弊害とともに、メールサーバの多くが対応する機能を生かした脱PPAPアプローチ
水道等インフラへのサイバー攻撃、まだ海外でしか発生した報道を見ませんが、今後警戒すべき攻撃です。 www.reuters.com (ロイター)-ハッカーはフロリダ州タンパ近郊の約15,000人の水を処理する施設のコンピューターシステムに侵入し、危険なレベルの添加剤を給水に追加しようとしたと、ピネラス郡保安官は月曜日に述べた。 (中略) 金曜日の試みは阻止されました。ボブ・グァルティエリ保安官はインタビューで、ハッカーはオールズマーの町の施設にいる従業員のコンピューター上で、TeamViewerという名前のソフトウェアプログラムにリモートでアクセスして、他のシステムを制御できるようになったと語った。 「男はそこに座ってコンピューターを監視していましたが、突然、コンピューターにアクセスしたことを示すウィンドウがポップアップ表示されました」とGualtieri氏は述べています。「次に誰かが知って
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
SlackやZoomは学生や教職員間のコミュニケーションに活用。学生が、一般企業でよく使われるITツールに慣れやすいようにするという。今回導入したシステムは大学の学生・教職員に加え、中学部や高等部の教員も利用する。各ツールの導入は日商エレクトロニクスや三井情報といったシステム開発事業者が支援した。 関連記事 新入生にiPad配布へ 名古屋文理大情報メディア学科 名古屋文理大学は、情報メディア学科に来春入学する新入生全員にiPadを無償配布すると発表した。iPadを学生に無償配布する大学は国内初という。 近畿大、全学生に「Slack」導入へ 絵文字もOK、教職員と気軽にやりとり目指す 近畿大学が、全学生に「Slack」を導入する計画を発表。2020年4月に830人の学生へ導入。対象範囲を順次広げていく。 近畿大、全教員が「Slack」利用へ “お堅い”やりとりなくす 近畿大学が、全教員向けに
Microsoft Authenticator の MFA 疲労攻撃対策 - 数値の一致による MFA が 有効化されます
こんにちは。Azure Identity サポート チームの栗井です。 Microsoft Identity Security のディレクター Alex Weinert によって、昨今脅威が指摘されている MFA 疲労攻撃と、対策としての Microsoft Authenticator の強化機能についての下記ブログ記事が公開されました。 Defend your users from MFA fatigue attacks - Microsoft Tech Community 上記記事に記載の一部内容と、私共日本側のサポート チーム宛にお客様からお問い合わせいただく内容等をふまえ、本記事を執筆しました。 Note 下記でご紹介する機能のうち「プッシュ通知に番号の一致が必要」の機能は、2023 年の 5 月 8 日以降、すべてのユーザーに自動で有効化することを予定しています。(元々 2023
こんなセキュリティの間違いをしていませんか?認証システム開発で得た教訓 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 1日目の記事です。 はじめに こんにちは、イノベーションセンターの平木と申します。 11月1日にNA4Secプロジェクト1のチームにセキュリティエンジニアとしてjoinしまして、急遽、エンジニアブログに投稿させていただくことになりました。 今日ご紹介したいのは、前職(NTT Comの他部門)のセキュリティ機器の導入プロジェクトの話で、その中で私が遭遇した「嘘のような本当の話!?」をご紹介し、そこで得た学びをお伝えしたいと思います。 開発プロジェクトの概要 とある事件をきっかけに全社的にセキュリティ意識が今まで以上に高まって、より適切に権限をコントロールすべく、認可認証の仕組みが導入されることが決まりました。我々のチームでは、サーバネットワーク基盤を用意し、認証アプリを導入し、運用を確立することがミ
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 OktaのCEO兼共同設立者であるトッド・マッキノン氏は、2023年11月29日(現地時間、以下同)に実施された同社の第3四半期の決算説明会で、すぐに要点に入り、以下のように述べた。 「同年9月下旬に発生したサイバー攻撃は、誰にとっても最大の関心事だ。リスクは高いが、現在および将来の顧客を守るために必要なことは何でもする」 一連のサイバー攻撃による情報漏えい 決算説明会でOktaが示した4つの要点 今回のサイバー攻撃は、2023年に発生した一連のセキュリティインシデントの最新の例だ。夏には著名な顧客の環境に対する攻撃が相次ぎ(注1)(注2)、第三者のベンダーに対する攻撃では、Oktaの現従業員および元従業員約5000人分の健
請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF
「@spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』」に付け加えたかったこと。仮説(169) - Qiita
「@spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』」に付け加えたかったこと。仮説(169)改善無駄小川メソッドDoCAPCountdownCalendar2022 @spaces 平成のうちにやめたかった『ITの7つの無意味な習慣』 拝見して、いろいろ調べないといけないことを思いつきました。それよりもっと仕事で無駄なこといっぱいあるような気もして書き始めました。 私は通信が専門のはずです。穴(tunnel)を掘る方が専門です。穴を埋める技術(security)については詳しくありません。間違っていたらごめんなさい。 お正月休みにIEEE Ethernet規格(英文:個人利用無料)を読もう。1日1000ページ目標。:英語(48) 『ITの7つの無意味な習慣』は、よく理解していないかもしれません。掘り下げる努力をし始めます。 【7位】 2要素認証でない「2段階認証」 『「二
Amplify Flutter の一般提供が開始されました。美しいクロスプラットフォームアプリを構築しましょう | Amazon Web Services
Amazon Web Services ブログ Amplify Flutter の一般提供が開始されました。美しいクロスプラットフォームアプリを構築しましょう AWS Amplify は、セキュアでスケーラブルなモバイルアプリケーションとウェブアプリケーションを構築するためのツールとサービスのセットです。現在 iOS、Android、JavaScript (ウェブおよび React Native) をサポートしている Amplify は、アマゾン ウェブ サービス (AWS) を活用するアプリケーションを構築するための最も高速で簡単な方法です。 Flutter は、ネイティブにコンパイルされたモバイル、ウェブ、およびデスクトップアプリケーションを単一のコードベースから構築するための Google の UI ツールキットで、最も急速に成長しているモバイルフレームワークの 1 つです。 AWS
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
English お知らせ 2021年12月9日 富士通株式会社 プロジェクト情報共有ツールへの不正アクセスについて(第四報) 当社プロジェクト情報共有ツールProjectWEBへの不正アクセス(以下、本事案)および、ProjectWEBを停止したことにより、お客様をはじめ関係者の皆様には多大なるご心配、ご迷惑をお掛けし、また、本事案の調査過程において被害範囲の把握に時間がかかり、それを踏まえた対策の実施に時間を要していることを、深くお詫び申しあげます。 当社では、本事案の調査において判明した「不正アクセス防止対策」、「ログの収集、管理方法」、「情報管理」等の問題を受け、本年10月1日付にて専任のCISOを任命し、新たな情報セキュリティ体制の下で再発防止策を策定しております。今般、当社が検討を進めておりました、ゼロトラストに沿った情報セキュリティ対策が実装される等、本事案の課題も踏まえた新た
パスワードレス認証を採用するコンシューマー向けサービスが増えてきたが、まだパスワードから離れられないのが現状だ。ある調査から、最近の「パスワード破り」の手口が見えてきた。 ネットサービスのログイン時に求められるパスワードの入力。パスワードの設定は適度な長さと推測されにくいものを、というのが定石だ。 サービスごとにいちいちパスワードを変更するのも面倒なため、同じパスワードを使い回している人も少なくないだろう(セキュリティ対策上は避けるよう勧告されている)。ただ、1つのサービスでパスワードが流出すると、一気に他のサービスのアカウントも乗っ取られる恐れがある。 悪意あるハッカーたちは、いつでもユーザーのパスワードを手ぐすね引いて狙っている。あるものを活用することで、ハッシュ値化されたパスワードでも容易に解析されてしまう恐れがあるという。 サイバーセキュリティ企業であるHive Systemは20
Firebase Summit 2022 まとめ
Firebase Summitとは Firebase Summitとは、Googleがモバイル(スマホアプリ、ゲームやWebサービス)開発者向けに提供している「Firebase」と呼ぶサービスの新機能やアップデート内容の発表のために年に一度開催される大きな発表会です。2022年はニューヨークからの生放送です。 当記事では、Summitの内容を翻訳し、関連する情報とともに提供するものです。筆者による雑翻訳ですので正確では無い部分も含まれております点を予めご了承ください。 参照元 この記事の大まかな内容はYoutubeのFirebase公式チャンネルにアップロードされている「Firebase Summit 2022 | Livestream」のアーカイブ、Firebase公式ブログ「What’s new at Firebase Summit 2022」を元にしています。 Firebase Ho
Microsoftのソースコードがハッカー集団「LAPSUS$」に盗まれ37GB分がネット上へ流出、Microsoftもハッキング被害を認める
2022年3月初旬に大手半導体メーカーのNVIDIAと家電メーカーのSamsungをハッキングし、機密情報を盗み出したことで一躍有名になったハッキンググループが「LAPSUS$」です。そのLAPSUS$が新たにMicrosoftをハッキングしたと主張していたのですが、これに続く形でMicrosoftが独自の調査結果を発表し、LAPSUS$によるハッキングの詳細を明かしました。 DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations
「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 米マサチューセッツ大学アマースト校などに所属する研究者らが発表した論文「In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping」は、他人のクレジットカードを用いてデジタルウォレットを介して商品を購入する攻撃を示した研究報告である。 この脆弱性は、米国の主要銀行(Chase Bank、AMEX、Bank of Americaなど)やApple Pay、Google Pay、PayPalなどの主要なデジタルウォレットに影響を及ぼすものである。
米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。 複数の認証要素で安全性を高めたはずが 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。 そこでメールなどのクラウドサービスを利用する企業の一部は、多
YouTubeの非公開動画をGoogle従業員が閲覧 任天堂のゲームがリークされた経緯、海外メディアが報じる
YouTubeに非公開でアップした情報がリークされる――2017年に発生した任天堂「ヨッシークラフトワールド」の米Redditへのリーク投稿に関して、YouTubeで働いていたGoogleのTVC従業員(TVC:臨時・出向・契約社員を指す略称)が関与していたことが、Googleの社内文書から判明したという。米404 Mediaが報じた。 このリークは、ゲーム展示会「E3」で、任天堂が2017年に発表予定だった「ヨッシークラフトワールド」(2019年公開)の情報が、E3よりも前にRedditに投稿されたというもの。リーク画像には「Yoshi for Nintendo Switch - Official Game Trailer - Nintendo E3 2017」という動画のサムネイルがMacBookの画面に写っており、アドレスバーにはYouTubeの管理用URLが表示されていたという。
ChatGPTのセキュリティへの影響 | Cloud Security Alliance Japan
© Copyright 2023, Cloud Security Alliance.All rights reserved. 1 Acknowledgements Authors: Kurt Seifried Sean Heide Bogdan Filip Vishwa Manral Lars Ruddigkeit Walter Dula Eric E. Cohen Billy Toney Supro Ghose Marina Bregkou Additional Staff: Stephen Lumpe (Cover illustration, with assistance from Midjourney) This is a Release Candidate version and is subject to change. © 2023 Cloud Security Allian
こんにちは、freee CSIRT専属engineerのEiji Sugiuraです。早いものでfreeeにjoinしてから、2年が経ちました。忘年会シーズンを前にしてγGTPが20を切ったので、これは酒を飲めと言う神様の思し召しだと感謝しています。 今回は、Zero Trust Networkを、既存のシステムにどうやって適用していくかを考えてみたいと思います。 この記事は freee Developers Advent Calendar 2019 の 5日目の記事です。 adventar.org Zero Trust Networkは、Forrester Research社が提唱したシステムのセキュリティを考える上での概念です。「境界防御を超えて」といった修飾子が付いてたりしますね。 Forrester 2011−08のreport、Zero Trustという言葉がtitleに初めて入
こんにちは、Azure Identity サポート チームの 五十嵐 です。 本記事は、2023 年 4 月 3 日に米国の Azure Active Directory Identity Blog で公開された Quick Wins to Strengthen Your Azure AD Security を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 どの組織も、インフラの安全性と信頼性を高めるために、攻撃の対象範囲を縮小するべく取り組んでいらっしゃると存じます。 Microsoft Global Compromise Recovery Security Practice (CRSP) のチーム メンバーとして、セキュリティの態勢を改善し、侵入を平均よりも難しくすることで、低スキルの攻撃者がすぐに攻撃を諦めて次のターゲットに移る事例をこれま
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
公開日 : 2022年10月17日 カテゴリー : アクセシビリティ / ユーザビリティ 各種サービスへのログイン、インターネットバンキングなどの取引実行前の本人確認、といったシチュエーションで、多要素認証としてワンタイムパスワード (†) の入力が求められることが珍しくなくなってきました。従来の認証方法であるユーザー ID とパスワードの組み合わせに加えて、都度、動的に生成される一定の桁数の数字の並びをユーザーに入力させることで、セキュリティをより強固なものにしています。 † ワンタイムパスコード、確認コード、認証コード、などと呼ばれることもあります。 ところで、このワンタイムパスワードの入力欄の実装には、<input type="password"> が用いられているケースを時折見かけます (個人的な感覚としては、インターネットバンキングでこのような実装が比較的多く見られる印象です)。
「Azure AD」がオンプレミスのActive Directory(AD)より魅力的な3つの理由
関連キーワード Microsoft Azure | Office 365 | Active Directory 前編「『Active Directory』(AD)と『Azure AD』の違い クラウド版だけの機能とは」に続き、MicrosoftのID・アクセス管理システムである「Active Directory」(AD)と、ADのクラウドサービス版である「Azure Active Directory」(Azure AD)の違いを紹介する。今回は特に、Azure ADのメリットが際立つ3つのポイントを紹介しよう。 ポイント1.シングルサインオン(SSO)の実装 併せて読みたいお薦め記事 「Microsoft 365」のセキュリティ対策 「Microsoft 365」で多要素認証(MFA)を利用するMicrosoft推奨の方法とは? 「Microsoft 365」のパスワード同期に潜む“意外な
ゼロトラスト移⾏のすゝめ
i ゼロトラスト移⾏のすゝめ 2022 年 6 ⽉ 独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター 中核⼈材育成プログラム 5期⽣ ゼロトラストプロジェクト ICSCoE TLP:WHITE i まえがき ゼロトラストは、これまでの「境界内部は信頼できる領域で、境界外部は信⽤できな い領域である」という考え⽅ではなく、 「たとえ境界内部であっても無条件に信⽤せず 全てにおいて確認し認証・認可を⾏う」という考え⽅に基づいて社内の情報資産を守 る概念である。この概念は 2010 年ごろから提唱されていたが、近年の新型コロナウ ィルス感染症(COVID-19)の蔓延によるテレワークの普及や、DX 推進に伴うクラウド サービス利⽤の急増などにより、社内の情報資産が境界の内側に留まらず、境界の外 側の資産も守らなければならない現状から更に注⽬が⾼まっている。 ゼロトラストの概念につい
富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。 日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。 ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、
米マイクロソフトは7月中旬、大規模なフィッシング攻撃が展開されているとして注意を呼びかけた。対象は業務用クラウドソフト「Microsoft 365(旧称Office 365)」を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。この攻撃の特徴は、大規模なことに加えて多要素認証(MFA)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウ
Google、「パスワードマネージャー」でWindows、macOSでも「パスキー」同期可能に iOSも間もなく
新たな端末でパスキーを使うには、GoogleパスワードマネージャーのPINかAndroid端末の画面ロック解除のいずれかで開始できるようになる。 このPINは、同期されたデータをエンドツーエンドで暗号化し、Googleでさえアクセスできない。 なお、パスキーにはWindows Helloも利用可能だ。 関連記事 Google、「パスキー」を個人ユーザーのデフォルトに Googleは、パスワード不要のサインイン「パスキー」を、Googleアカウントのデフォルト(初期設定)にすると発表した。アカウントにサインインしようとすると、パスキー作成を求めるプロンプトが表示されるようになる。 「iOS 18」の新機能一覧 カスタマイズの自由度アップ、特定のアプリをFace IDでロックできる機能など 米Appleが、iPhone用の新OS「iOS 18」の配布を開始した。外観をより自由にカスタマイズでき
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの桐下です。 今回のブログでは、Pass-The-Cookieという攻撃手法について紹介します。Pass-The-Cookieは、多要素認証をバイパスすることが可能な強力な攻撃です。Office365(Microsoft365)を対象にデモを交えながら攻撃手法を紹介します。 Pass-The-Cookieとは、WebアプリケーションのセッションCookieを攻撃者が何らかの手段で入手し、セッションCookieを悪用して認証をバイパスする攻撃手法です。有効なセッションCookieをブラウザに投入するだけでWebアプリケーションにログインすることが可能です。セッションCookieは、ログイン成功状態を保持しています。そのため、セッションCookieを入手し、ブラウザに投入することでID/Password認証及び多要素認証要求をバイパ
昨今YouTubeにおいて、Adobe製品などの有償ソフトウェアのクラック版やゲームのチートツールに偽装して、情報窃取型のマルウェアに感染させるキャンペーンが観測されています。この攻撃者グループは、ITリテラシーの低いユーザを主に狙っており、Lumma Stealer等の情報窃取型マルウェアに感染させて認証情報などを窃取しようとします。 また、攻撃者グループは、YouTubeアカウントを大量に侵害していると考えられ、マルウェア感染へ誘導するための動画を日々投稿しています。これまでに日本企業のチャンネルや外国の国営放送のチャンネルが乗っ取り被害を受けており、チャンネルを運用する組織の立場からも、レピュテーションリスクなどの観点で見過ごせない脅威といえます。 本稿では、上記の攻撃内容や被害事例を紹介し、当該脅威に対処するための対策事項を示します。 攻撃の概要 YouTubeの動画から誘導されて
NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外
Cisco Talos Intelligence Groupは8月10日(米国時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber attack on Cisco」において、2022年5月24日に同社がサイバー攻撃を受けたと伝えた。調査の結果、従業員の個人的なGoogleアカウントがサイバー犯罪者に悪用されたことから、攻撃が始まったことがわかったと報告している。 Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber
Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中(PHILE WEB) - Yahoo!ニュース
ネットワーク企業Lumen Technologiesのサイバーセキュリティ部門Black Lotus Labsが、WindowsやLinux、FreeBSDなどのエンタープライズサーバーから、SOHO向けのネットワーク機器まで、広範なデバイスを標的にするマルウェア「Chaos」を発見したと発表した。 画像:マルウェア「Chaos」が広がっている国々 この悪質なソフトウェアはLinuxボットネット「Kaiji」をベースとした機能を含んでおり、その亜種とも見られている。またGo言語で書かれたソースコードには中国語が含まれており、中国のC2(C&C:Command & Control)インフラによって操作されているとのこと。 Chaosは、遅くとも4月16日ごろには出現し、当初はコントロール・サーバーの最初のクラスタが野放し状態で活動していたようだ。その後、6月から7月中旬になると、研究者らはこ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS 環境への一時的な昇格アクセスの管理 | Amazon Web Services
やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表
添付ファイルの暗号化はもはや必要ない 脱PPAPの真実と代替案
TeamViewerがインフラを脅かす - Fox on Security
多要素認証を回避する中間者攻撃フィッシングが急増
Slack、Box、Zoom、Oktaを全学導入 脱PPAPや多要素認証を実現 関西学院大学
Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
プロジェクト情報共有ツールへの不正アクセスについて(第四報) : 富士通
恐るべし、今どきの「パスワード破り」の手口:780th Lap
「多要素認証」を破る大規模フィッシング、1万社以上のMicrosoft 365利用企業を襲う
Zero Trust Networkでの運用を考える - freee Developers Hub
Azure AD のセキュリティを強化するために今すぐできること (Quick Win)
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
多要素認証におけるワンタイムパスワードの入力欄 | Accessible & Usable
情報流出を招いた富士通「ProjectWEB」は多要素認証なし、難航する原因特定
「多要素認証」破る攻撃 Microsoft 365利用企業襲う - 日本経済新聞
「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
多要素認証のバイパスが可能な攻撃「Pass-The-Cookie」について
YouTubeで拡散される不正ソフトウェアの罠 - Mal-Eats
NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた
シスコがサイバー攻撃受け不正侵入、きっかけは従業員の個人Googleアカウント悪用