Hackers Deploy "SUBMARINE" Backdoor in Barracuda Email Security Gateway Attacks
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday disclosed details of a "novel persistent backdoor" called SUBMARINE deployed by threat actors in connection with the hack on Barracuda Email Security Gateway (ESG) appliances. "SUBMARINE comprises multiple artifacts — including a SQL trigger, shell scripts, and a loaded library for a Linux daemon — that together enable exec
AWS Security Hubを有効化したけど見てない人に向けたDevSecOpsの実現方法 / #kayac_andpad_event
2023年12月4日に開催された「カヤック・アンドパッド 合同 プロポーザル供養会」の発表資料です。 CloudNative Days Tokyo 2023で落選したプロポーザルのポイントを、12分にギュッと絞って解説しました。 カヤック・アンドパッド 合同 プロポーザル供養会 - connpass https://connpass.com/event/301666/ AWS Security Hubを「有効化したけど見てない」人に向けたDevSecOpsの実現方法 | CloudNative Days Tokyo 2023 https://event.cloudnativedays.jp/cndt2023/talks/1982 このプレゼンの技術的な詳細は、以下のブログ記事をご参照ください。 AWS Security Hubコントロールの有効無効をコード管理するのは予想のN倍大変だった話
(Update 09-August-2023) Security releases available Updates are now available for the v16.x, v18.x, and v20.x Node.js release lines for the following issues. Permissions policies can be bypassed via Module._load (HIGH)(CVE-2023-32002) The use of Module._load() can bypass the policy mechanism and require modules outside of the policy.json definition for a given module. Please note that at the time
【セキュリティ ニュース】LINEヤフー、個情委に報告書を提出 - 進捗状況知らせるページも(1ページ目 / 全2ページ):Security NEXT
LINEヤフーは、個人情報保護委員会より勧告や指導を受けた問題で、再発防止策の実施状況などを取りまとめ、4月26日に報告書を提出した。 コニュニケーションサービス「LINE」において、約52万人分の個人データが流出したおそれが判明。個情委では、権利利益に対する重大な侵害につながるリスクがあるとし、個人情報保護法に基づいた勧告を3月28日に実施。あわせてオークションサービス「ヤフオク!」における指導を行い、報告を求めていた。 同社は4月26日に提出した報告書において、技術面や組織面の安全管理措置に明らかとなった不備の是正について進捗状況や今後の計画について説明。 委託先の監督方法の是正やリスク管理における改善のほか、不必要な通信の遮断、重要システムに対するアクセス管理の強化、「Active Directory管理」の是正など一部完了していることを報告した。 また他対策については計画を示し、同
【セキュリティ ニュース】サイクリングイベント申込フォームでミス、個人情報が流出 - 倉敷市(1ページ目 / 全1ページ):Security NEXT
岡山県倉敷市は、3月に開催を予定しているサイクリングイベント「備中あんたび2」の申込フォームにおいて、申込者の個人情報が閲覧できる状態となる不具合があったことを明らかにした。 イベントの申込フォームに使用された「Googleフォーム」において、申込者の個人情報がほかの参加申込希望者より閲覧できる状態となっていたことが1月22日に判明したもの。 業務委託先におけるフォームの設定ミスが原因で、32人分の氏名、住所、電話番号などが流出した。同日申込フォームを停止するとともに削除。同市や委託先事業者では参加申込者に対して経緯を説明し、謝罪した 同市では、「Googleフォーム」の設定を行う場合に複数人によるチェックを行い、動作確認の徹底を図ることで再発防止を図るとしている。 (Security NEXT - 2024/02/22 ) ツイート
Cybersecurity Working Group スキル習得企画vol.1 サイバー攻撃の有事を自分のPC上で体験 「CompTIA Skills Rady for Security+」で学ぶ対応力とスキル習得方法
Cybersecurity Working Group スキル習得企画vol.1 サイバー攻撃の有事を自分のPC上で体験 「CompTIA Skills Ready for Security+」で学ぶ 対応力とスキル習得方法 CompTIA Japan Community for Cybersecurity Skillsにご参加いただいているみなさまからは、15名までお申し込みいただけます。 お申込み多数の場合には、抽選とさせていただきますことをご了承いただけますようお願い申し上げます。 また、日頃のご協力に感謝し、CompTIA Japan Community参加のみなさまは、参加費が無料となります。 お申込みに際しては、お申込み情報を主催者でありますCybersecurity Working Groupと共有いたします。あらかじめご了承ください。 このイベントは、FinTechのコミュ
【セキュリティ ニュース】「PHP」に深刻な脆弱性、Windows版に影響 - アップデートがリリース(1ページ目 / 全1ページ):Security NEXT
「PHP」の開発チームは現地時間6月6日、セキュリティアップデートとなる「PHP 8.3.8」「同8.2.20」「同8.1.29」をリリースした。 今回のアップデートでは、脆弱性や複数のバグへ対処。開発チームではセキュリティリリースと位置づけ、各系統の利用者に更新を呼びかけている。 「CGI」において、引数インジェクションの脆弱性「CVE-2024-4577」が判明し、修正を行った。Windowsプラットフォームが影響を受けるという。 Windowsにおけるエンコーディング変換機能の影響によるもので、過去に修正された「CVE-2012-1823」をバイパスし、リモートよりコードの実行が可能になる。 研究中に同脆弱性を発見し、5月7日に報告したDEVCOREは、重要度が「クリティカル(Critical)」にあたる脆弱性であると説明。注意を呼びかけている。 (Security NEXT - 2
Spring SecurityのfailureUrl()とfailureForwardUrl()の違い - Qiita
環境 Spring Boot 3.2 Spring Security 6.2 忙しい人のための結論 failureUrl()を使いましょう。 レスポンスが返ってこない 👇のように記述すると、ログイン画面で間違ったユーザー名・パスワードを入力した場合にレスポンスが返ってこなくなりました。 @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.formLogin(login -> login .loginPage("/login") .defaultSuccessUrl("/") .failureForwardUrl("/logi
Gaza ‘security responsibility’ to be Israel’s when conflict ends, Netanyahu says
Coverage on this live blog has ended. Follow live updates here. Israel marked one month since the surprise Hamas terror attack with commemorations Tuesday for the 1,400 people it says were killed and the 239 it says are still held hostage in the Gaza Strip. The Israeli military said its troops were now operating in the "heart" of Gaza City as its ground assault against Hamas intensifies. The offen
Read it now on the O’Reilly learning platform with a 10-day free trial. O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers. Book description Stop dangerous threats and secure your vulnerabilities without slowing down delivery. This practical book is a one-stop guide to implementing a robust application secu
【セキュリティ ニュース】福岡市公園管理事務所がサポート詐欺被害 - サーバにもアクセス(1ページ目 / 全1ページ):Security NEXT
福岡市の東平尾公園管理事務所においてサポート詐欺の被害が発生し、パソコンを遠隔操作されて個人情報が流出した可能性があることがわかった。 福岡市によれば、8月16日20時ごろ、指定管理者である福岡市緑のまちづくり協会が管理する同事務所において、職員がニュースサイトを閲覧していた際、偽の警告画面でだますいわゆる「サポート詐欺」の被害に遭ったもの。 詐欺に気が付き電源を落としたが、第三者によって端末を遠隔操作され、同協会のサーバに対してもアクセスが行われたという。サーバ内には個人情報が保管されており、流出した可能性がある。 対象となるのは、2018年度ベスト電器スタジアムバックヤードツアーの参加者名簿。32人分の氏名、住所、年齢、小学校名、学年、参加団体名などが含まれる。あわせて東平尾公園野球場および体育館の利用団体代表者連絡先一覧も流出の可能性があり、72人分の団体名、代表者氏名、代表者連絡先
Kobold lettersWhy HTML emails are a risk to your organization Anyone who has had to deal with HTML emails on a technical level has probably reached the point where they wanted to quit their job or just set fire to all the mail clients due to their inconsistent implementations. But HTML emails are not just a source of frustration, they can also be a serious security risk. Imagine you receive an ema
【セキュリティ ニュース】メール誤送信で事業者のメアド流出 - 横須賀市(1ページ目 / 全1ページ):Security NEXT
神奈川県横須賀市は、かながわ電子入札共同システムの資格申請を勧奨するメールで送信ミスがあり、事業者のメールアドレスが流出したことを明らかにした。 同市によれば、1月16日にかながわ電子入札共同システムの資格申請を勧奨するメールを事業者165件に送信した際、送信先を誤って「TO」に設定するミスがあったという。 誤送信により、受信者間でメールアドレスが閲覧できる状態となった。個人が特定できる可能性があるメールアドレス71件が含まれる。 同日、メールを送信した職員が誤送信に気付いた。翌17日に対象となる事業者にメールで経緯を説明して謝罪。誤送信したメールの削除を依頼している。 (Security NEXT - 2024/01/19 ) ツイート
■SpringBootプロジェクトの作成 ※本記事ではSpring Bootを使用します。SpringFramework + Spring Secuirty + Spring MVCの組み合わせとは実装方法が異なります。Bootの記述はより簡略化されたものとなってます。 需要があればそちらも今後記述するかもしれません。 Spring公式サイトを参考にログイン画面https://spring.pleiades.io/guides/gs/securing-web/#scratch ①プロジェクトの作成 まずは「Spring Initializer から開始」 の作業を実施 ファイル > 新規 > Spring スタータープロジェクトを開きます 新規Springスターター・プロジェクト(Spring Initializr)画面で プロジェクト名はLoginSample 今回はmavenを使用しま
【セキュリティ ニュース】ランサムウェア「ALPHV」、医療分野中心に被害拡大(1ページ目 / 全2ページ):Security NEXT
米当局は、別名「Blackcat」としても知られるランサムウェア「ALPHV」に関するセキュリティアドバイザリを更新し、あらためて注意を呼びかけた。2023年12月中旬以降、医療ヘルスケア分野を中心に被害が拡大しているという。 「ALPHV」は、「RaaS(Ransomware as a Service)」として攻撃インフラを提供し、参加者により広範な攻撃が展開されているランサムウェア。ファイルを暗号化することにくわえ、情報を窃取して外部に公開すると脅すなど「多重脅迫」を行うことでも知られている。 米司法省が現地時間2023年12月19日に一部関連サイトを押収したことを明らかにしているが、以降も医療ヘルスケア分野を中心に被害が拡大している。 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、米保健福祉省(HHS)では、2023年12月に公開したア
Author: Dave Wichers Contributor(s): Sherif Koussa, Dirk Wetter, kingthorin, Niclas Gustafsson, Jason Hills Introduction OWASP’s mission is to help the world improve the security of its software. One of the best ways OWASP can do that is to help Open Source developers improve the software they are producing that everyone else relies on. As such, the following lists of automated vulnerability detec
AWS ALBをSSLの終端にしたときに Strict Transport Security ヘッダーが付与されない
現在クラウドリフトの作業をしていて、ECS(またはEC2)の前段にALBを配置し、ALBをSSLの終端としている。 これはAWSでパブリックなアプリケーションを作成する際によく取られる構成だが、HTTP Strict Transport Security(HSTS)は仕様上HTTPSの経路でのみレスポンスに付与される。 この仕様により、ALBをSSLの終端に設定するとレスポンスにHSTSが付与されない。 この問題を解決するためにはECSに乗せているアプリケーション上で、ALBに到達した際のプロトコルを見るように修正する必要があり、その元のプロトコルがX-Forwarded-Proto (XFP) に入ってくる。 この対応を行う上で調べた内容をメモしておく。
Cloud One Workload SecurityとAmazon GuardDuty Malware Protectionの違いについてまとめてみた | DevelopersIO
はじめに こんにちは。AWS事業本部コンサルティング部に所属している和田響です。 AWS環境で稼働するEC2インスタンスのマルウェア対策としてCloud One Workload Securityの導入を検討していますが、Amazon GuardDuty Malware ProtectionもまたAWS上のマルウェア対策のためのサービスであり、どちらを採用すべきか悩んでいるため、本記事にてその違いをまとめてみます。 Cloud One Workload Securityとは Cloud One Workload Securityとは、トレンドマイクロ株式会社の提供するサーバ保護に必要な複数のセキュリティ機能を、仮想化・クラウド・物理環境にまたがって一元的に提供するSaaS型のセキュリティサービスです。 Amazon GuardDuty Malware Protectionとは Amazon
AWS Cloud Security Config Review using Nuclei Templates
We're excited to tell you about Nuclei Templates release v9.8.5! This new version includes newly added AWS cloud review templates. In this blog post, we'll discuss automating cloud misconfiguration review, creating custom AWS checks, and sharing results on the PDCP Cloud for review. The AWS Cloud Security Configuration Review, also referred to as AWS Cloud Config Review or AWS Cloud Audit in pente
【セキュリティ ニュース】20周年記念事業の参加者宛メールで複数誤送信 - 太田市(1ページ目 / 全1ページ):Security NEXT
群馬県太田市は、メールの送信ミスで太田市20周年記念事業の参加者に関する氏名とメールアドレスが流出したことを明らかにした。 同市によれば、6月21日19時ごろ、2025年3月9日に開催を予定している「太田市20周年記念事業群馬交響楽団と20周年記念合唱団第九コンサート」の合唱参加者5人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態で誤送信したもの。 送信直後に問題に気づき、対象者に電話で連絡し。誤送信したメールの削除を依頼した。 また7月1日にも合唱参加者128人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態が発生した。 翌2日にメールの受信者から誤送信を指摘する連絡があり判明。同市では対象者に経緯の報告と謝罪を行い、誤送信したメールを削除するよう求めた。 (Security NEXT - 2024/07/09 ) ツイート
Microsoft AI Red Team building future of safer AI | Microsoft Security Blog
An essential part of shipping software securely is red teaming. It broadly refers to the practice of emulating real-world adversaries and their tools, tactics, and procedures to identify risks, uncover blind spots, validate assumptions, and improve the overall security posture of systems. Microsoft has a rich history of red teaming emerging technology with a goal of proactively identifying failure
【セキュリティ ニュース】複数のCitrix製品に「クリティカル」とされる脆弱性 - 「regreSSHion」も影響(1ページ目 / 全2ページ):Security NEXT
Cloud Software Groupは、Citrix製品に関するセキュリティアドバイザリを公開した。「クリティカル」とされる脆弱性も含まれる。「OpenSSH」の脆弱性「regreSSHion」についても一部製品が影響を受けることを明らかにし、アップデートするよう求めた。 現地時間7月9日にアドバイザリ6件を公開したもの。このうち1件については重要度をもっとも高い「クリティカル(Critical)」とレーティングしている。 同アドバイザリでは「NetScaler Console(旧Citrix ADM)」に判明した認証不備の脆弱性「CVE-2024-6235」、「NetScaler Console」「NetScaler SDX」「NetScaler Agent」において域外メモリへ書き込みが可能となる「CVE-2024-6236」に言及。 「CVE-2024-6235」については、共通
【セキュリティ ニュース】2023年12月のDDoS攻撃、前月比3割減 - 規模も縮小(1ページ目 / 全1ページ):Security NEXT
インターネットイニシアティブ(IIJ)は、同社のサービスやバックボーンで2023年12月に観測したDDoS攻撃の状況を取りまとめた。前月から約3割減少したという。 同月に観測したDDoS攻撃は182件で、前月の255件から28.3%減少した。1日あたりに換算すると平均5.9件。攻撃件数は日によって差が開いており、1件の日が4日間あった一方、12月11日や18日には14件の攻撃が観測されている。 もっとも規模が大きかった攻撃は、おもにDNSプロトコルを用いたリフレクション攻撃で、約70万ppsのパケットにより7.11Gbpsのトラフィックが発生した。前月の約1724万pps、約194.7Gbpsを大幅に下回っている。 もっとも長時間継続したのは、「TCP ACK Flood」によるDDoS攻撃で23分にわたって継続。最大で232.6Mbpsのトラフィックが発生した。
Quick Heal Total Security 24 Crack + Product Key Download 2024
Quick Heal Total Security 24 Crack + Product Key Download 2024 Quick Heal Total Security 24 Crack With Product Key Latest Version 2024 Quick Heal Total Security Crack is a program that can remove viruses from Windows and Mac computers. It is the best software, which protects your laptop and Mac completely. Other software doesn’t eliminate the TP virus and cleans your system in a more up-to-date wa
【セキュリティ ニュース】神戸市、個人情報の不正操作で職員処分 - 保険料増額の通知から発覚(1ページ目 / 全1ページ):Security NEXT
神戸市は、業務と関係なく住民の個人情報を閲覧し、一部データを改ざんしていた同市北区保険年金医療課の職員を懲戒免職処分とした。 同市によれば、同職員が2022年6月以降、業務と関係なく99人分の個人情報を閲覧していたもの。さらに2023年7月20日には、住民1人の所得情報を閲覧し、データを不正に変更していた。 所得情報が変更された住民に対して、国民健康保険料が従来の約3倍になるとの通知が届き、問い合わせがあったことから問題が発覚。過去のログを調査したところ、業務外で閲覧していたことも判明した。 同職員は、同市の聞き取りに対してデータの閲覧や操作を行ったことは認め、申し訳なかったと話しているものの、操作の練習を行っていたなどと説明。故意を否定したという。同職員から外部への情報流出なども確認されていない。 同職員は、2019年3月にも業務と関係なく個人情報を閲覧しており、減給の懲戒処分を受けてい
【セキュリティ ニュース】UTM設置時のテストアカウントが未削除、ランサム感染の原因に(1ページ目 / 全2ページ):Security NEXT
アクセサリーの部品やビーズなどの手芸製品の製造や販売を行うエンドレスは、サイバー攻撃を受け、ランサムウェアに感染したことを明らかにした。 同社によれば、サーバが不正アクセスを受け、ランサムウェア「LockBit」に感染したことを明らかにしたもの。感染したサーバに顧客情報は保存されていないという。 同社では、セキュリティを強化するため、2023年2月にFortiGate製のセキュリティアプライアンスを導入。 導入にあたっては、スターティアが製品を納品し、システムの構築を行ったが、リモートアクセス接続のテスト用に作成されたアカウントが削除されておらず、同アカウントを悪用され、侵害を受けたという。 エンドレスでは、被害が確認されたサーバをネットワークから遮断。社内で使用する端末の検査を進めている。4月23日の時点で社内情報の流出は確認されていないが、データ流出の有無を含めて調査を進めている。
Spring Securityでパスワードエンコーディング未実施のパスワードを使う - unokun’s blog
ちょっとしたテストでインメモリユーザーを使う場合にエラーが発生する。 java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" パスワードの前に{noop}を追加すればOK。 変更後 @Autowired public void configure(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER"); } 変更前 @Autowired public void configure(AuthenticationManagerBuilder au
【セキュリティ ニュース】総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」(1ページ目 / 全2ページ):Security NEXT
LINEヤフーが不正アクセスを受け、通信の秘密が漏洩した問題を受けて、総務省は3月5日、同社に対して行政指導を行った。電気通信事業全体に対する利用者の信頼を大きく損なう結果になったとし、対策の実施を求めている。 同問題では、業務委託先である関連会社NAVER Cloudにおいて従業員のパソコンがマルウェアに感染。 さらに同社のActive Directoryのサーバがマルウェアに感染して管理者権限を奪取され、旧LINEの社内システムにおける認証情報を悪用されてシステムを侵害されたことにより、顧客や取引先、従業員に関する個人データが流出した可能性が生じた。 不正アクセスにより、同社が提供するサービス「LINE」のユーザーに関する個人データ30万2980件が外部に流出した可能性があり、通信の秘密にあたる情報2万2239件が含まれる。 問題の発覚を受け、同省では電気通信事業法に基づき、LINEヤ
【セキュリティ ニュース】郡山市の偽Facebookアカウント - 「プレゼント当選」などと誘導(1ページ目 / 全1ページ):Security NEXT
福島県郡山市は、同市の公式Facebookアカウントに見せかけた「なりすましアカウント」が確認されたとして注意を呼びかけた。問題のアカウントは、「プレゼント企画に当選した」といったメッセージを送信しており、同市とは無関係のサイトに誘導していたという。 同市によれば、公式アカウントと同じアカウント名やプロフィールを設定した「なりすましアカウント」が見つかったもの。アイコンの画像や記事なども盗用している。 2月12日に問題のアカウントより友だちリクエストがあったとの報告が同市複数職員からあり、問題が発覚。住民からも不審なメッセージが届いたとする情報が寄せられた。「プレゼント企画に当選した」といったメッセージを送りつけていたという。 同市では警察へ通報するとともに、Facebookを運営するMeta Platformsに対して「なりすましアカウント」を停止するよう要請した。問題のコンテンツは同日
【セキュリティ ニュース】脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を(1ページ目 / 全1ページ):Security NEXT
脅威情報共有プラットフォーム「MISP(Malware Information Sharing Platform)」に複数の脆弱性が明らかとなった。アップデートで修正されている。 組織ロゴファイルをアップロードする機能において、拡張子やMIMEタイプをチェックしておらず、任意のファイルをアップロードすることが可能となる「CVE-2024-25674」が明らかとなった。 また「POST」を送信することなくエクスポート機能を開始させることができる「CVE-2024-25675」が判明。開発チームでは、脆弱性の重要度をともに「低(Low)」と評価している。 さらにCVE番号は示されていないが、監査ログの一部機能にアクセスコントロールリストによる制御が行われていない問題なども存在。重要度は「中(Medium)」とした。 一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、「C
【セキュリティ ニュース】「Barracuda ESG」を侵害するバックドア、分析レポートの続報(1ページ目 / 全1ページ):Security NEXT
Barracuda Networksのメールセキュリティ製品「Barracuda Email Security Gateway(ESG)」がゼロデイ攻撃を受けた問題で、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、攻撃に利用されたマルウェアの分析レポートを公開した。 同庁ではこれまでもバックドア「SEASPY」や「SUBMARINE」の分析結果を提供してきたが、あらたに入手した「SEASPY」や「WHIRLPOOL」のサンプルを解析し、レポートとして公表したもの。YARAルールなどもあわせて提供している。 「SEASPY」は、アプライアンス上で正規サービスを装い稼働するバックドア。永続的に動作し、任意のコマンドを実行するために悪用されていた。 一方バックドアの「WHIRLPOOL」は、コマンド&コントロール(C&C)サーバとのTLS接続によるリバースシェルとして動
GitHub - minaminao/seccamp: Security Camp 2023 L4 Resources
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
【セキュリティ ニュース】サイバー攻撃の情報共有における手引書とモデル条文を公開 - 経産省(1ページ目 / 全1ページ):Security NEXT
経済産業省は、サイバー攻撃の被害組織を支援する専門組織間の情報共有における「手引書」と、被害組織との契約時に利用できる「モデル条文」を取りまとめ、公開した。同省ウェブサイトよりダウンロードできる。 巧妙化するサイバー攻撃の全体像を把握し、被害の拡大を防止するにはすみやかな情報共有が重要であるとし、同省では2023年5月に有識者や実務者、弁護士などによる検討会を設置。最終報告書を同年11月に公開したが、提言を補完する手引書とモデル条文をパブリックコメントを経て取りまとめたもの。 「攻撃技術情報の取扱い・活用手引き」では、セキュリティ対策や調査を行うベンダーが取るべき具体的な方針を説明。情報共有の対象となる攻撃技術情報の解説や、被害を受けた組織について推測可能な情報を除いた非特定化加工のユースケースについて紹介した。 また「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」で
【セキュリティ ニュース】個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超(1ページ目 / 全3ページ):Security NEXT
個人情報保護委員会は3月25日、人事労務支援サービスを提供するエムケイシステムに対し、パスワード管理や脆弱性対策などの安全管理措置に不備があったとして行政指導を行った。同問題に関してはサービスを利用する社労事務所を中心に3000件を超える報告が寄せられたという。 同社では、社会保険労務士事務所や企業を対象に、「社労夢(Shalom)」をはじめ、社会保険や人事労務の業務を支援するクラウドサービスを提供しているが、6月に障害が発生していることが判明。 サーバがランサムウェアによる被害に遭い、管理されていた個人データが暗号化され、外部に流出した可能性があることが明らかとなった。 同システムは、2754の社労士事務所が導入。管理対象となる事業所は約57万件で最大約2242万人の個人データを取り扱っている。 個情委に対しては、6月6日以降、報告者ベースの集計で社労士事務所を中心に3067件の報告があ
【セキュリティ ニュース】「Cisco IOS XE」のゼロデイ脆弱性を修正するアップデートが一部公開(1ページ目 / 全1ページ):Security NEXT
「Cisco IOS XE」に深刻な脆弱性「CVE-2023-20198」が存在し、ゼロデイ攻撃が発生している問題で、一部アップデートの提供を開始した。また悪用された脆弱性に「CVE-2023-20273」を追加している。 「CVE-2023-20198」は、「Cisco IOS XE」のウェブユーザーインタフェースに明らかとなった脆弱性。リモートより特権コマンドを実行してローカルアカウントを作成することが可能となる。少なくとも9月中旬ごろより悪用されているものと見られる。 同社はアドバイザリを更新し、「CVE-2023-20273」について追記した。同脆弱性を悪用することで、ローカルユーザーをroot権限に昇格させ、悪意あるプログラムを埋め込んでいたという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2023-20198」を「10.0」、「CVE-2023-20
【セキュリティ ニュース】児童相談所が児童の個人情報をメール誤送信 - 栃木県(1ページ目 / 全1ページ):Security NEXT
栃木県は、医療型障害児入所施設の待機児童リストを、誤って中央児童相談所より福祉型障害児入所施設へメールで送信するミスがあったことを公表した。 同県によれば、本来ならば福祉型障害児入所施設と医療型障害児入所施設にそれぞれの入所待機児童リストを送付すべきところ、福祉型障害児入所施設4施設に対し、医療型障害児入所施設の入所待機児童リストを7月1日にメールで送信するミスがあったという。 誤送信したリストには、児童42人分の住所、生年月日、性別、障害の程度、疾病歴などが記載されていた。 翌2日にメールを受信した施設から添付ファイルが誤っているとの指摘があり判明。同日誤送信先の施設に対し、添付ファイルの削除を依頼した。また対象となる児童の保護者に対し、電話で謝罪を行っている。 (Security NEXT - 2024/07/12 ) ツイート
myApplications でアプリケーションごとの Security Hub 検出結果を確認してみた | DevelopersIO
いわさです。 先月の AWS re:Invent 2023 で myApplications という機能が発表されています。 今回こちらを使ってアプリケーションごとの Security Hub 検出結果を確認する機会がありました。 myApplications の情報がまだあまり無かったので紹介したいと思います。 はじめに 単一の AWS アカウントを同じ組織内の複数のプロダクトチームで利用している状況を整理する機会がありました。 是正する場合、本来であればプロダクトごとなどで AWS アカウントを分割するべきだと思います。 しかし、対象アカウントはミッションクリティカルなワークロードが複数稼働中で Amazon Cognito ユーザープールなどの移行を行う場合に何かしらの影響が発生し得る状態でした。 このように様々な背景からアカウント分離が難しいケースがあると思いますが、その中でもプロ
【セキュリティ ニュース】みそ通販サイトの侵害、ログイン用PWも流出した可能性(1ページ目 / 全1ページ):Security NEXT
福井県で味噌の製造販売を手がけるマルカワみそは、同社通販サイトが不正アクセスを受けた問題で、ログイン用パスワードも流出した可能性があることが判明したとし、関係者に注意を呼びかけた。 同社では、運営する「マルカワみそ公式サイト」が不正アクセスを受け、顧客の個人情報や、クレジットカード情報が流出した可能性があるとして4月に事態を公表。外部協力のもと、調査を継続していたところ、ログイン用パスワードも流出した可能性があることが判明したという。 対象となるのは、サイトオープン時より2023年11月6日までに「マイページ」へ登録、または仮登録した顧客2万606人のログイン用パスワード。期間中に商品を購入している場合でも、マイページの登録を行っていない場合は対象とならない。 被害の報告などは受けていないが、同社は、他サービスで同じパスワードを使いまわしている場合は、変更するよう注意を呼びかけた。 同社が
【セキュリティ ニュース】「MS Edge」にアップデート - 重要度「クリティカル」の脆弱性を解消(1ページ目 / 全1ページ):Security NEXT
マイクロソフトは、現地時時間4月26日にブラウザ「Microsoft Edge」のセキュリティアップデートをリリースした。「クリティカル」とされる脆弱性にも対応している。 ベースとなる「Chromium 124.0.6367.91」がリリースされたことを受け、「MS Edge 124.0.2478.67」をリリースしたもの。 「Chromium」の修正内容を反映したもので、脆弱性3件に対応した。「MS Edge」特有の脆弱性は含まれていない。 「CVE-2024-4058」は、重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性。グラフィックスエンジン「ANGLE」において型の取り違えが生じる問題に対処した。 あわせて重要度を1段階低い「高(High)」とレーティングされた脆弱性2件に対応している。 具体的には、スクリプトエンジン「V8」の「API」に明らかとなっ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Node.js — Wednesday August 9th 2023 Security Releases
Application Security Program Handbook
Kobold letters – Lutra Security
Spring Securityを使ってログイン認証のDB認証方式を実装してみる(2) チュートリアル開発編
Free for Open Source Application Security Tools | OWASP Foundation
Copilot for Securityは使える? 使えない?――導入企業が評価を明かす
