サイバーセキュリティインシデントはここ数年、増加し続けており、毎日のように被害が公表されている。 本稿では、IIJがこれまでに調査・支援してきたインシデントのなかから留意すべきポイントや有益な知見を抽出して紹介する。 ここ数年、ニュースでも大きく取り上げられており、経営上の大きな問題になっているのがランサムウェア被害です。 IIJへの被害相談でも(暗号化まで行なわれた)ランサムウェア被害、もしくは(ネットワーク内に侵入されたものの)ランサムウェア展開前に気付いて暗号化は免れたというケースが多くを占めています。以前は前者のケースがほとんどでしたが、最近では後者のケースも増えています。これはセキュリティ監視を強化した効果と見られます。 警察庁が公開している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、感染経路の81パーセントはVPN機器とリモートデスクトップが占めており
Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中 | Gadget Gate
テクノロジー ソースコードには中国語 Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中 Image:Jozsef Bagota-Shutterstock ネットワーク企業Lumen Technologiesのサイバーセキュリティ部門Black Lotus Labsが、WindowsやLinux、FreeBSDなどのエンタープライズサーバーから、SOHO向けのネットワーク機器まで、広範なデバイスを標的にするマルウェア「Chaos」を発見したと発表した。 この悪質なソフトウェアはLinuxボットネット「Kaiji」をベースとした機能を含んでおり、その亜種とも見られている。またGo言語で書かれたソースコードには中国語が含まれており、中国のC2(C&C:Command & Control)インフラによって操作されているとのこと。 Chaosは、遅くとも4月16
PPAPはセキュリティ対策としての効果が薄いばかりか、生産性の低下を引き起こすと指摘されている。約9割のメール通信サービスが対応している機能を使えば、PPAPの矛盾を解消し、安全かつ楽に添付ファイルを送信できるという。 脱PPAP論の上原 哲太郎教授と問題解決の方向性を議論 セキュリティ効果が薄く業務効率を下げるといわれる「PPAP」(暗号化ZIP添付メール)だが、「周りが続けているからやめられない」という本音も漏れ聞こえる──メール誤送信防止サービスを提供するクオリティアは2022年8月、脱PPAP論で知られる立命館大学教授の上原 哲太郎氏を招いてオンラインセミナー「上原哲太郎氏×老舗メールセキュリティベンダーのガチンコ対談 ~『脱PPAP』対策:コスト・慣習の壁を打ち破る現実的な進め方~」を開催した。PPAPの弊害とともに、メールサーバの多くが対応する機能を生かした脱PPAPアプローチ
水道等インフラへのサイバー攻撃、まだ海外でしか発生した報道を見ませんが、今後警戒すべき攻撃です。 www.reuters.com (ロイター)-ハッカーはフロリダ州タンパ近郊の約15,000人の水を処理する施設のコンピューターシステムに侵入し、危険なレベルの添加剤を給水に追加しようとしたと、ピネラス郡保安官は月曜日に述べた。 (中略) 金曜日の試みは阻止されました。ボブ・グァルティエリ保安官はインタビューで、ハッカーはオールズマーの町の施設にいる従業員のコンピューター上で、TeamViewerという名前のソフトウェアプログラムにリモートでアクセスして、他のシステムを制御できるようになったと語った。 「男はそこに座ってコンピューターを監視していましたが、突然、コンピューターにアクセスしたことを示すウィンドウがポップアップ表示されました」とGualtieri氏は述べています。「次に誰かが知って
SlackやZoomは学生や教職員間のコミュニケーションに活用。学生が、一般企業でよく使われるITツールに慣れやすいようにするという。今回導入したシステムは大学の学生・教職員に加え、中学部や高等部の教員も利用する。各ツールの導入は日商エレクトロニクスや三井情報といったシステム開発事業者が支援した。 関連記事 新入生にiPad配布へ 名古屋文理大情報メディア学科 名古屋文理大学は、情報メディア学科に来春入学する新入生全員にiPadを無償配布すると発表した。iPadを学生に無償配布する大学は国内初という。 近畿大、全学生に「Slack」導入へ 絵文字もOK、教職員と気軽にやりとり目指す 近畿大学が、全学生に「Slack」を導入する計画を発表。2020年4月に830人の学生へ導入。対象範囲を順次広げていく。 近畿大、全教員が「Slack」利用へ “お堅い”やりとりなくす 近畿大学が、全教員向けに
Microsoft Authenticator の MFA 疲労攻撃対策 - 数値の一致による MFA が 有効化されます
こんにちは。Azure Identity サポート チームの栗井です。 Microsoft Identity Security のディレクター Alex Weinert によって、昨今脅威が指摘されている MFA 疲労攻撃と、対策としての Microsoft Authenticator の強化機能についての下記ブログ記事が公開されました。 Defend your users from MFA fatigue attacks - Microsoft Tech Community 上記記事に記載の一部内容と、私共日本側のサポート チーム宛にお客様からお問い合わせいただく内容等をふまえ、本記事を執筆しました。 Note 下記でご紹介する機能のうち「プッシュ通知に番号の一致が必要」の機能は、2023 年の 5 月 8 日以降、すべてのユーザーに自動で有効化することを予定しています。(元々 2023
こんなセキュリティの間違いをしていませんか?認証システム開発で得た教訓 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 1日目の記事です。 はじめに こんにちは、イノベーションセンターの平木と申します。 11月1日にNA4Secプロジェクト1のチームにセキュリティエンジニアとしてjoinしまして、急遽、エンジニアブログに投稿させていただくことになりました。 今日ご紹介したいのは、前職(NTT Comの他部門)のセキュリティ機器の導入プロジェクトの話で、その中で私が遭遇した「嘘のような本当の話!?」をご紹介し、そこで得た学びをお伝えしたいと思います。 開発プロジェクトの概要 とある事件をきっかけに全社的にセキュリティ意識が今まで以上に高まって、より適切に権限をコントロールすべく、認可認証の仕組みが導入されることが決まりました。我々のチームでは、サーバネットワーク基盤を用意し、認証アプリを導入し、運用を確立することがミ
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 OktaのCEO兼共同設立者であるトッド・マッキノン氏は、2023年11月29日(現地時間、以下同)に実施された同社の第3四半期の決算説明会で、すぐに要点に入り、以下のように述べた。 「同年9月下旬に発生したサイバー攻撃は、誰にとっても最大の関心事だ。リスクは高いが、現在および将来の顧客を守るために必要なことは何でもする」 一連のサイバー攻撃による情報漏えい 決算説明会でOktaが示した4つの要点 今回のサイバー攻撃は、2023年に発生した一連のセキュリティインシデントの最新の例だ。夏には著名な顧客の環境に対する攻撃が相次ぎ(注1)(注2)、第三者のベンダーに対する攻撃では、Oktaの現従業員および元従業員約5000人分の健
請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF
English お知らせ 2021年12月9日 富士通株式会社 プロジェクト情報共有ツールへの不正アクセスについて(第四報) 当社プロジェクト情報共有ツールProjectWEBへの不正アクセス(以下、本事案)および、ProjectWEBを停止したことにより、お客様をはじめ関係者の皆様には多大なるご心配、ご迷惑をお掛けし、また、本事案の調査過程において被害範囲の把握に時間がかかり、それを踏まえた対策の実施に時間を要していることを、深くお詫び申しあげます。 当社では、本事案の調査において判明した「不正アクセス防止対策」、「ログの収集、管理方法」、「情報管理」等の問題を受け、本年10月1日付にて専任のCISOを任命し、新たな情報セキュリティ体制の下で再発防止策を策定しております。今般、当社が検討を進めておりました、ゼロトラストに沿った情報セキュリティ対策が実装される等、本事案の課題も踏まえた新た
こんにちは。ナレッジワークの torii です。 ここ最近は E2E テスト基盤の改善に力を入れており、この記事ではその中でも特に成果の出た改善を一つ紹介します。各社それぞれテスト事情は異なると思いますが、何かの参考になればと思います! 前提 ナレッジワークでは Playwright を使って E2E テストを書いています。テストは開発環境で実行しており、毎朝 CI で実行した結果を Slack に通知する仕組みが構築されています。また、テストはフロントエンドエンジニアと QA エンジニアが協力して書いています。 同時に複数の人がテストを実行できない問題 会社とプロダクトが成長するにしたがって E2E テストの書き手は増えていきましたが、徐々に問題が起こるようになりました。複数の人が同時にテストを実行すると、テスト同士が干渉しあってテストが落ちてしまう問題です。 (製品としての)ナレッジワ
Amplify Flutter の一般提供が開始されました。美しいクロスプラットフォームアプリを構築しましょう | Amazon Web Services
Amazon Web Services ブログ Amplify Flutter の一般提供が開始されました。美しいクロスプラットフォームアプリを構築しましょう AWS Amplify は、セキュアでスケーラブルなモバイルアプリケーションとウェブアプリケーションを構築するためのツールとサービスのセットです。現在 iOS、Android、JavaScript (ウェブおよび React Native) をサポートしている Amplify は、アマゾン ウェブ サービス (AWS) を活用するアプリケーションを構築するための最も高速で簡単な方法です。 Flutter は、ネイティブにコンパイルされたモバイル、ウェブ、およびデスクトップアプリケーションを単一のコードベースから構築するための Google の UI ツールキットで、最も急速に成長しているモバイルフレームワークの 1 つです。 AWS
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
強力なパスワードの作り方教えます 新しいWebサービスを使おうとすると、アカウントの作成が要求されることがある。そのたびに作成しなければならないパスワードに苦労していないだろうか。同じパスワードでは、漏えいした際に危険だし、Webサイトごとに異なるパスワードを作ると忘れてしまう。そこで本Tech TIPSでは、セキュリティベンダーやサイバーセキュリティの専門家が推奨する「強力なパスワード」の作り方を解説しよう。 オンラインサービス(Webサービス)を使う上で切っても切り離せないのが、「パスワード」だろう。最近では、「パスキー」と呼ばれるパスワードを使わない安全なログイン(サインイン)方法に対応したサービスもあるが、まだまだ主流はIDとパスワードの組み合わせだ(パスキーについては、Tech Basics/Keyword「最近よく聞く『パスキー』の仕組みと設定方法」参照のこと)。 パスワードは
Firebase Summit 2022 まとめ
Firebase Summitとは Firebase Summitとは、Googleがモバイル(スマホアプリ、ゲームやWebサービス)開発者向けに提供している「Firebase」と呼ぶサービスの新機能やアップデート内容の発表のために年に一度開催される大きな発表会です。2022年はニューヨークからの生放送です。 当記事では、Summitの内容を翻訳し、関連する情報とともに提供するものです。筆者による雑翻訳ですので正確では無い部分も含まれております点を予めご了承ください。 参照元 この記事の大まかな内容はYoutubeのFirebase公式チャンネルにアップロードされている「Firebase Summit 2022 | Livestream」のアーカイブ、Firebase公式ブログ「What’s new at Firebase Summit 2022」を元にしています。 Firebase Ho
Microsoftのソースコードがハッカー集団「LAPSUS$」に盗まれ37GB分がネット上へ流出、Microsoftもハッキング被害を認める
2022年3月初旬に大手半導体メーカーのNVIDIAと家電メーカーのSamsungをハッキングし、機密情報を盗み出したことで一躍有名になったハッキンググループが「LAPSUS$」です。そのLAPSUS$が新たにMicrosoftをハッキングしたと主張していたのですが、これに続く形でMicrosoftが独自の調査結果を発表し、LAPSUS$によるハッキングの詳細を明かしました。 DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations
米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。 複数の認証要素で安全性を高めたはずが 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。 そこでメールなどのクラウドサービスを利用する企業の一部は、多
YouTubeの非公開動画をGoogle従業員が閲覧 任天堂のゲームがリークされた経緯、海外メディアが報じる
YouTubeに非公開でアップした情報がリークされる――2017年に発生した任天堂「ヨッシークラフトワールド」の米Redditへのリーク投稿に関して、YouTubeで働いていたGoogleのTVC従業員(TVC:臨時・出向・契約社員を指す略称)が関与していたことが、Googleの社内文書から判明したという。米404 Mediaが報じた。 このリークは、ゲーム展示会「E3」で、任天堂が2017年に発表予定だった「ヨッシークラフトワールド」(2019年公開)の情報が、E3よりも前にRedditに投稿されたというもの。リーク画像には「Yoshi for Nintendo Switch - Official Game Trailer - Nintendo E3 2017」という動画のサムネイルがMacBookの画面に写っており、アドレスバーにはYouTubeの管理用URLが表示されていたという。
公開日 : 2022年10月17日 カテゴリー : アクセシビリティ / ユーザビリティ 各種サービスへのログイン、インターネットバンキングなどの取引実行前の本人確認、といったシチュエーションで、多要素認証としてワンタイムパスワード (†) の入力が求められることが珍しくなくなってきました。従来の認証方法であるユーザー ID とパスワードの組み合わせに加えて、都度、動的に生成される一定の桁数の数字の並びをユーザーに入力させることで、セキュリティをより強固なものにしています。 † ワンタイムパスコード、確認コード、認証コード、などと呼ばれることもあります。 ところで、このワンタイムパスワードの入力欄の実装には、<input type="password"> が用いられているケースを時折見かけます (個人的な感覚としては、インターネットバンキングでこのような実装が比較的多く見られる印象です)。
パスワードレス認証を採用するコンシューマー向けサービスが増えてきたが、まだパスワードから離れられないのが現状だ。ある調査から、最近の「パスワード破り」の手口が見えてきた。 ネットサービスのログイン時に求められるパスワードの入力。パスワードの設定は適度な長さと推測されにくいものを、というのが定石だ。 サービスごとにいちいちパスワードを変更するのも面倒なため、同じパスワードを使い回している人も少なくないだろう(セキュリティ対策上は避けるよう勧告されている)。ただ、1つのサービスでパスワードが流出すると、一気に他のサービスのアカウントも乗っ取られる恐れがある。 悪意あるハッカーたちは、いつでもユーザーのパスワードを手ぐすね引いて狙っている。あるものを活用することで、ハッシュ値化されたパスワードでも容易に解析されてしまう恐れがあるという。 サイバーセキュリティ企業であるHive Systemは20
ChatGPTのセキュリティへの影響 | Cloud Security Alliance Japan
© Copyright 2023, Cloud Security Alliance.All rights reserved. 1 Acknowledgements Authors: Kurt Seifried Sean Heide Bogdan Filip Vishwa Manral Lars Ruddigkeit Walter Dula Eric E. Cohen Billy Toney Supro Ghose Marina Bregkou Additional Staff: Stephen Lumpe (Cover illustration, with assistance from Midjourney) This is a Release Candidate version and is subject to change. © 2023 Cloud Security Allian
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
「Azure AD」がオンプレミスのActive Directory(AD)より魅力的な3つの理由
関連キーワード Microsoft Azure | Office 365 | Active Directory 前編「『Active Directory』(AD)と『Azure AD』の違い クラウド版だけの機能とは」に続き、MicrosoftのID・アクセス管理システムである「Active Directory」(AD)と、ADのクラウドサービス版である「Azure Active Directory」(Azure AD)の違いを紹介する。今回は特に、Azure ADのメリットが際立つ3つのポイントを紹介しよう。 ポイント1.シングルサインオン(SSO)の実装 併せて読みたいお薦め記事 「Microsoft 365」のセキュリティ対策 「Microsoft 365」で多要素認証(MFA)を利用するMicrosoft推奨の方法とは? 「Microsoft 365」のパスワード同期に潜む“意外な
ゼロトラスト移⾏のすゝめ
i ゼロトラスト移⾏のすゝめ 2022 年 6 ⽉ 独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター 中核⼈材育成プログラム 5期⽣ ゼロトラストプロジェクト ICSCoE TLP:WHITE i まえがき ゼロトラストは、これまでの「境界内部は信頼できる領域で、境界外部は信⽤できな い領域である」という考え⽅ではなく、 「たとえ境界内部であっても無条件に信⽤せず 全てにおいて確認し認証・認可を⾏う」という考え⽅に基づいて社内の情報資産を守 る概念である。この概念は 2010 年ごろから提唱されていたが、近年の新型コロナウ ィルス感染症(COVID-19)の蔓延によるテレワークの普及や、DX 推進に伴うクラウド サービス利⽤の急増などにより、社内の情報資産が境界の内側に留まらず、境界の外 側の資産も守らなければならない現状から更に注⽬が⾼まっている。 ゼロトラストの概念につい
こんにちは、Azure Identity サポート チームの 五十嵐 です。 本記事は、2023 年 4 月 3 日に米国の Azure Active Directory Identity Blog で公開された Quick Wins to Strengthen Your Azure AD Security を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 どの組織も、インフラの安全性と信頼性を高めるために、攻撃の対象範囲を縮小するべく取り組んでいらっしゃると存じます。 Microsoft Global Compromise Recovery Security Practice (CRSP) のチーム メンバーとして、セキュリティの態勢を改善し、侵入を平均よりも難しくすることで、低スキルの攻撃者がすぐに攻撃を諦めて次のターゲットに移る事例をこれま
富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。 日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。 ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、
米マイクロソフトは7月中旬、大規模なフィッシング攻撃が展開されているとして注意を呼びかけた。対象は業務用クラウドソフト「Microsoft 365(旧称Office 365)」を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。この攻撃の特徴は、大規模なことに加えて多要素認証(MFA)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウ
Google、「パスワードマネージャー」でWindows、macOSでも「パスキー」同期可能に iOSも間もなく
新たな端末でパスキーを使うには、GoogleパスワードマネージャーのPINかAndroid端末の画面ロック解除のいずれかで開始できるようになる。 このPINは、同期されたデータをエンドツーエンドで暗号化し、Googleでさえアクセスできない。 なお、パスキーにはWindows Helloも利用可能だ。 関連記事 Google、「パスキー」を個人ユーザーのデフォルトに Googleは、パスワード不要のサインイン「パスキー」を、Googleアカウントのデフォルト(初期設定)にすると発表した。アカウントにサインインしようとすると、パスキー作成を求めるプロンプトが表示されるようになる。 「iOS 18」の新機能一覧 カスタマイズの自由度アップ、特定のアプリをFace IDでロックできる機能など 米Appleが、iPhone用の新OS「iOS 18」の配布を開始した。外観をより自由にカスタマイズでき
昨今YouTubeにおいて、Adobe製品などの有償ソフトウェアのクラック版やゲームのチートツールに偽装して、情報窃取型のマルウェアに感染させるキャンペーンが観測されています。この攻撃者グループは、ITリテラシーの低いユーザを主に狙っており、Lumma Stealer等の情報窃取型マルウェアに感染させて認証情報などを窃取しようとします。 また、攻撃者グループは、YouTubeアカウントを大量に侵害していると考えられ、マルウェア感染へ誘導するための動画を日々投稿しています。これまでに日本企業のチャンネルや外国の国営放送のチャンネルが乗っ取り被害を受けており、チャンネルを運用する組織の立場からも、レピュテーションリスクなどの観点で見過ごせない脅威といえます。 本稿では、上記の攻撃内容や被害事例を紹介し、当該脅威に対処するための対策事項を示します。 攻撃の概要 YouTubeの動画から誘導されて
NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外
Cisco Talos Intelligence Groupは8月10日(米国時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber attack on Cisco」において、2022年5月24日に同社がサイバー攻撃を受けたと伝えた。調査の結果、従業員の個人的なGoogleアカウントがサイバー犯罪者に悪用されたことから、攻撃が始まったことがわかったと報告している。 Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber
Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中(PHILE WEB) - Yahoo!ニュース
ネットワーク企業Lumen Technologiesのサイバーセキュリティ部門Black Lotus Labsが、WindowsやLinux、FreeBSDなどのエンタープライズサーバーから、SOHO向けのネットワーク機器まで、広範なデバイスを標的にするマルウェア「Chaos」を発見したと発表した。 画像:マルウェア「Chaos」が広がっている国々 この悪質なソフトウェアはLinuxボットネット「Kaiji」をベースとした機能を含んでおり、その亜種とも見られている。またGo言語で書かれたソースコードには中国語が含まれており、中国のC2(C&C:Command & Control)インフラによって操作されているとのこと。 Chaosは、遅くとも4月16日ごろには出現し、当初はコントロール・サーバーの最初のクラスタが野放し状態で活動していたようだ。その後、6月から7月中旬になると、研究者らはこ
「ApplePayでAirPodsを不正購入」――デジタルウォレットで無料ショッピングする“抜け穴”攻撃 米国チームが発表
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 米マサチューセッツ大学アマースト校などに所属する研究者らが発表した論文「In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping」は、他人のクレジットカードを用いてデジタルウォレットを介して商品を購入する攻撃を示した研究報告である。 この脆弱性は、米国の主要銀行(Chase Bank、AMEX、Bank of Americaなど)やApple Pay、Google Pay、PayPalなどの主要なデジタルウォレットに影響を及ぼすものである。
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
パスワード管理「LastPass」で顧客データの盗難 手口に使われた“2段階攻撃”とは? 弱点はエンジニアの自宅PC
パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。 攻撃者はまず、盗んだ情報や外部から入手した情報を悪用し、エンジニアの自宅PCを侵害して入手したパスワードで多要素認証を突破。これを踏み台としてLastPassに2段階目の攻撃を仕掛けて暗号化されたクラウドストレージに侵入し、顧客データを盗み出していた。 同社のブログによると、最初の攻撃が発覚したのは22年8月だった。社内の開発環境で異常な挙動を検出。調査した結果、開発者のアカウントが侵害されており、開発環境に不正アクセスされ、ソースコードや技術情報が盗まれていたことが分かった。 翌月には、米大手セキュリティ企業Mandiantの協力を得て8月の事案に関する調査を完了したと説明。不正アクセスされた開発環境は、本番環境とは
パスワードだけでは危ないとして、2要素認証を導入する企業が次第に増えている。代表的な2要素認証の1つは、パスワードとワンタイムパスワードを使う方法だ。だが、ワンタイムパスワードを高確率で破れるとするサービスが出現している。一体、どんなサービスなのだろうか。 知識情報と所持情報の組み合わせ パスワードだけのユーザー認証では容易に破られてしまうとして、認証時に複数の情報(認証要素)を使う多要素認証が推奨されている。2つの認証要素を使う多要素認証は2要素認証と呼ばれる。 2要素認証としては、パスワードとワンタイムパスワードを使う方法がよく採用されている。あるサービスにログインしたいユーザーは、ユーザーIDとパスワードを入力する。 するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がサービスからSMSなどで送られる。このワンタイムパスワードを入力すると
NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの桐下です。 今回のブログでは、Pass-The-Cookieという攻撃手法について紹介します。Pass-The-Cookieは、多要素認証をバイパスすることが可能な強力な攻撃です。Office365(Microsoft365)を対象にデモを交えながら攻撃手法を紹介します。 Pass-The-Cookieとは、WebアプリケーションのセッションCookieを攻撃者が何らかの手段で入手し、セッションCookieを悪用して認証をバイパスする攻撃手法です。有効なセッションCookieをブラウザに投入するだけでWebアプリケーションにログインすることが可能です。セッションCookieは、ログイン成功状態を保持しています。そのため、セッションCookieを入手し、ブラウザに投入することでID/Password認証及び多要素認証要求をバイパ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
インシデント対応の現場から | 広報誌(IIJ.news) | インターネットイニシアティブ(IIJ)
添付ファイルの暗号化はもはや必要ない 脱PPAPの真実と代替案
TeamViewerがインフラを脅かす - Fox on Security
多要素認証を回避する中間者攻撃フィッシングが急増
Slack、Box、Zoom、Oktaを全学導入 脱PPAPや多要素認証を実現 関西学院大学
Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog
プロジェクト情報共有ツールへの不正アクセスについて(第四報) : 富士通
E2E テストの同時実行が可能な環境を構築した話
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
その筋のプロが勧める簡単で強力なパスワードの作り方
「多要素認証」を破る大規模フィッシング、1万社以上のMicrosoft 365利用企業を襲う
多要素認証におけるワンタイムパスワードの入力欄 | Accessible & Usable
恐るべし、今どきの「パスワード破り」の手口:780th Lap
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
Azure AD のセキュリティを強化するために今すぐできること (Quick Win)
情報流出を招いた富士通「ProjectWEB」は多要素認証なし、難航する原因特定
「多要素認証」破る攻撃 Microsoft 365利用企業襲う - 日本経済新聞
YouTubeで拡散される不正ソフトウェアの罠 - Mal-Eats
NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた
シスコがサイバー攻撃受け不正侵入、きっかけは従業員の個人Googleアカウント悪用
「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
ワンタイムパスワードを「簡単に破れる」、成功率8割をうたう恐るべきサービス出現
多要素認証のバイパスが可能な攻撃「Pass-The-Cookie」について