並び順

ブックマーク数

期間指定

  • から
  • まで

41 - 80 件 / 154件

新着順 人気順

cisaの検索結果41 - 80 件 / 154件

  • クラウド侵害の半数以上は弱いパスワードのせい Google Cloud調査で判明

    Google Cloudが2023年8月3日(現地時間、以下同)に発表した調査によると、2023年の第1四半期にクラウドで発生した侵害の5件に3件以上が、アクセス管理の不備を直接の原因としていた。 サイバー侵入原因のほとんどはアカウント認証情報が関係している 同社は「Threat Horizons Report」の中で(注1)、「同四半期にGoogle Cloudのインシデント対応チームが分析したクラウドに対する侵害の約55%は、脆弱(ぜいじゃく)なパスワードなどを原因とするものだった」と述べている。漏えいした認証情報を使った侵害はクラウドに対する侵害の7%を占めていた。 同レポートによると、その他のクラウドに対する侵害は設定ミスや機密情報を含むユーザーインタフェース、公開されたAPI、ソフトウェアの脆弱性を原因とするものだった。 Google Cloudの調査はサイバー環境全体における永

      クラウド侵害の半数以上は弱いパスワードのせい Google Cloud調査で判明
    • SBテクノロジー、CentOSのメンテナンス終了後のセキュリティ対策「CentOS延長パッケージ」を提供開始 | SBテクノロジー (SBT)

      ホーム ニュース リリース プレスリリース 2024年のプレスリリース SBテクノロジー、CentOSのメンテナンス終了後のセキュリティ対策「CentOS延長パッケージ」を提供開始 SBテクノロジー、CentOSのメンテナンス終了後のセキュリティ対策「CentOS延長パッケージ」を提供開始 ~コミュニティによるメンテナンス終了日から最低4年間セキュリティパッケージを提供し、CentOSの継続利用を支援~ 印刷する SBテクノロジー株式会社(本社:東京都新宿区、代表取締役社長 CEO:阿多 親市、以下 SBT)は、国内でCentOS Linux(以下 CentOS)6, 7, 8を利用している組織向けにセキュリティ対策を行う修正パッケージ「CentOS延長パッケージ」を、2024年1月25日から自社ECサイト「NOZ SHOP(読み:ノズショップ)」にて提供開始します。 本サービスは、SBT

        SBテクノロジー、CentOSのメンテナンス終了後のセキュリティ対策「CentOS延長パッケージ」を提供開始 | SBテクノロジー (SBT)
      • クラウドストライクに起因する大規模障害--14年前のインシデントとの奇妙な共通点

        Ed Bott (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-07-26 07:00 「Microsoft Windows」は、全世界の10億台以上のPCと膨大な数のサーバーに搭載されており、その多くが顧客に直接サービスを提供する施設で重要な役割を果たしている。では、信用あるソフトウェアプロバイダーが配信したアップデートによって、それらのPCが急に機能を停止したら、何が起きるだろうか。 米国時間2024年7月19日の時点で、その問いに対する答えは分かっている。大混乱の発生だ。 今回のケースでの信用あるソフトウェア開発会社は、CrowdStrike Holdingsという企業だった。同社はかつて、米民主党全国委員会が所有するサーバーの2016年のハッキング事件を分析したセキュリティ企業として名を馳せた。今やそれは古い思い出にすぎない。CrowdS

          クラウドストライクに起因する大規模障害--14年前のインシデントとの奇妙な共通点
        • フィッシング耐性の高いMFA実装の解説 | ドクセル

          CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開  フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説  MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida

            フィッシング耐性の高いMFA実装の解説 | ドクセル
          • 設備のパスワードをデフォルトの「1111」から変更しなかった水道事業者がイランのハッカーにハッキングされてしまう

            2023年11月以降、イランのイスラム革命防衛隊(IRGC)傘下にある「CyberAv3ngers」というハッキンググループが、イスラエル製のコンピューター機器を使うアメリカの水道施設などにハッキングを行っています。一部の水道事業者は、設備のパスワードをデフォルト設定の「1111」から変更していなかったため、簡単にハッキングされてしまったと報じられています。 IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities | CISA https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a Iran-linked cyberattacks t

              設備のパスワードをデフォルトの「1111」から変更しなかった水道事業者がイランのハッカーにハッキングされてしまう
            • Microsoftがロシア政府支援のハッキンググループ「Midnight Blizzard」からサイバー攻撃を受けたと発表

              Microsoftのセキュリティチームが、2024年1月12日に同社のシステムに対する国家規模の攻撃を検出したと発表しました。Microsoftは直ちに対応プロセスを開始し、悪意のある活動を阻止し、攻撃を軽減し、脅威アクターのさらなるアクセスを拒絶することに成功したと説明しています。Microsoftは同社のシステムにサイバー攻撃を仕掛けたのは、「Nobelium」として知られるロシア政府による支援を受けるハッキンググループ「Midnight Blizzard」であると特定しました。 Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center https://msrc.microsoft.com/blog

                Microsoftがロシア政府支援のハッキンググループ「Midnight Blizzard」からサイバー攻撃を受けたと発表
              • FBIが中国政府支援のハッキング集団「ボルト・タイフーン」のサイバー攻撃用ボットネットの解体に成功したと発表

                アメリカ政府は、中国政府が支援するハッキング集団が利用するインターネットに接続された数千台のルーターやネットワークカメラなどから、マルウェアを削除することに成功したと発表しました。司法省と連邦捜査局(FBI)は中国のハッキング活動の一部を遠隔から無効化するため、裁判所命令を取得しています。 Office of Public Affairs | U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure | United States Department of Justice https://www.justice.gov/opa/pr/us-government-disrupts-botnet-peoples-republic-c

                  FBIが中国政府支援のハッキング集団「ボルト・タイフーン」のサイバー攻撃用ボットネットの解体に成功したと発表
                • Solorigate事件の教訓 - サプライチェーンアタックを防ぐことは可能か|ミック

                  先月末、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認されたとして大きな波紋を呼んでいる。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。 今回はすんでのところで気づいた人がおり(SSHによるログインが僅かに遅延することに違和感を持ったのがきっかけだったという)、全世界に配布される直前にストップがかけられたが、もしかすると気づいていないだけですでに商用で利用されているOSS製品に似たような悪意ある脆弱性が仕込まれているのではないか、という不安混じりの疑念を持った人は少なくないと思う。 実際に、OSSではないが多くの企業や政府機関で利用され

                    Solorigate事件の教訓 - サプライチェーンアタックを防ぐことは可能か|ミック
                  • 半年で5つの資格を取得!?~シニアエンジニア奮闘記【前編】 | LAC WATCH

                    皆さんはじめまして。入社以来、システム開発一筋で真面目にやってきたシニアエンジニアです。え、写真を見ると、シニアに見えないですって?いやいや、そんなことはないです。こう見えて、アラフィフですし、体にもだいぶガタがきています。 そんなシニアエンジニアですが、実は、今年の2月~7月の半年にかけて、難関と呼ばれるものを含む5つの資格(CISA、G検定、Salesforce B2C Commerce デベロッパー、ITサービスマネージャ、PMP)を取得しました。それにより、上司から「ぜひ福島さんの躍進を、LAC WATCHに記事として書いてみない?」と声をかけてもらい、今回の執筆を決めました。 私自身、資格マニアな一面があるのですが、半年で5つの資格を取得したことは初めてです。取得の秘訣には、私の能力や勉強方法だけではなく、ラックの様々な社員支援制度や、社員の成長を促す文化・土壌といった理由があり

                      半年で5つの資格を取得!?~シニアエンジニア奮闘記【前編】 | LAC WATCH
                    • FBIがAWSやMicrosoftから認証情報を盗み出すマルウェア「AndroxGh0st」について警告

                      2024年1月16日に、アメリカのFBIとサイバーセキュリティー・インフラセキュリティー庁(CISA)が、「AndroxGh0st」と呼ばれるマルウェアを用いた、AmazonやMicrosoftのクラウドに対する攻撃について警告する共同声明を発表しました。 Known Indicators of Compromise Associated with Androxgh0st Malware | CISA https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a FBI: Androxgh0st malware botnet steals AWS, Microsoft credentials https://www.bleepingcomputer.com/news/security/fbi-androxgh0st-

                        FBIがAWSやMicrosoftから認証情報を盗み出すマルウェア「AndroxGh0st」について警告
                      • Microsoft Authenticator 新機能で多要素認証疲労攻撃に対処

                        MFAの導入はMicrosoftに限らず多くのセキュリティベンダーに推奨されており、セキュリティの観点からも非常に効果的な対策だ。だが、サイバー攻撃者もこれを突破するための新しい戦術を考案しており、その一つがMFA疲労攻撃だ。 Microsoftはこの攻撃に対応するために、Microsoft Authenticatorに「ナンバーマッチング」と呼ばれる機能を既に導入している。これはユーザーがログイン認証するタイミングでサインイン画面に表示される番号を入力しなければならないというもので、認証に一手間必要になることから、MFA疲労攻撃に有効とされている。 しかし同社によると、この機能は一定の成果は出ているもののMFA疲労攻撃による通知自体は減らせていないという。そのため今回の新機能では通知そのものを減らすことで、ユーザーの利便性を大幅に向上させる狙いがある。この機能を利用すれば、プッシュ通知は

                          Microsoft Authenticator 新機能で多要素認証疲労攻撃に対処
                        • Googleが東京にアジア太平洋向けの新たなサイバーセキュリティ拠点を開設

                          現地時間の2024年3月7日(木)、アジア太平洋地域におけるデジタルセキュリティの脅威が増大する中で、テクノロジー大手のGoogleが日本の東京に新たなサイバーセキュリティ拠点を開設したと発表しました。 Google opens Asia-Pacific cybersecurity research center in Tokyo - The Japan Times https://www.japantimes.co.jp/business/2024/03/07/tech/google-japan-cybersecurity-center/ Google opens first Asia-Pacific cyberdefense hub in Japan https://qz.com/google-cyberdefense-hub-tokyo-japan-1851315101 google

                            Googleが東京にアジア太平洋向けの新たなサイバーセキュリティ拠点を開設
                          • Ivanti Connect Secure、Ivanti Policy Secureの脆弱性 CVE-2023-46805およびCVE-2024-21887 等についてまとめてみた - piyolog

                            2024年1月10日、Ivantiは同社のリモートアクセスVPN製品「Ivanti Connect Secure」とネットアクセス制御製品「Ivanti Policy Secure」において、2件の脆弱性(CVE-2023-46805およびCVE-2024-21887)が確認され、これらを組み合わせた攻撃が既に発生しているとしてセキュリティ情報を公開しました。セキュリティ会社のVolexityは、2024年1月15日に世界規模での悪用が確認されているとして、回避策の適用だけでなく、侵害兆候の確認も併せて行うよう利用者への対応を推奨しています。またその後も別の脆弱性情報が公開されており、Ivantiは影響を受ける製品を最新版へ更新するよう呼び掛けています。ここでは関連する情報をまとめます。 1.脆弱性概要 2024年1月に入って以降、脆弱性修正が適宜行われており、2月8日までに修正された脆弱

                              Ivanti Connect Secure、Ivanti Policy Secureの脆弱性 CVE-2023-46805およびCVE-2024-21887 等についてまとめてみた - piyolog
                            • Fortinet FortiOS、FortiProxyの緊急の脆弱性、国内約1万台が未対策

                              Bleeping Computerは3月8日(米国時間)、「Critical Fortinet flaw may impact 150,000 exposed devices」において、インターネットに公開されているFortinet製品のうち約15万台が既知の緊急の脆弱性「CVE-2024-21762」に対して脆弱なまま修正されていないと報じた。 この脆弱性は悪用されるとリモートの認証されていない攻撃者により任意のコードを実行される可能性がある。また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はすでに悪用が確認されているとして、脆弱性カタログ(KEV: Known Exploited Vulnerabilities Catalog)にこの脆弱性を登録

                                Fortinet FortiOS、FortiProxyの緊急の脆弱性、国内約1万台が未対策
                              • AIシステム開発で起こりがちな重大トラブルとそれを対策する方法とは?

                                AI技術が急速に発展し、さまざまな企業や団体がAI開発に取り組んでいます。テクノロジーメディアのReHackで主にAIとサイバーセキュリティの特集記事を担当するザック・エイモス氏によると、AIシステム開発中には組織全体まで影響が広がる重大な脅威が発生しうるとのことで、エイモス氏はその脅威と対策について解説しています。 How to secure AI system development | VentureBeat https://venturebeat.com/ai/how-to-secure-ai-system-development/ AIシステム開発において、サイバーセキュリティの側面から専門家が考慮すべき問題として、エイモス氏は「データセット・ポイズニング」と「プロンプト・インジェクション」の2点を挙げています。 データセット・ポイズニングとは、AIのトレーニング中、データセット

                                  AIシステム開発で起こりがちな重大トラブルとそれを対策する方法とは?
                                • 「XZ Utils」だけが破壊工作の標的ではない可能性--オープンソース財団

                                  Jack Wallen (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ) 2024-04-17 09:45 「XZ Utils」のバックドア問題(CVE-2024-3094)が、単発的な出来事ではない可能性が出てきた。Open Source Security Foundation(OpenSSF)とOpenJS Foundationが共同声明で明らかにした。 XZ Utilsに関する一連の出来事をまだ知らない方は、筆者の尊敬する同僚であるSteven J. Vaughan-Nichols記者が執筆した記事「XZ Utilsのバックドア問題--オープンソースのセキュリティを考える」を読んでほしい。簡単に言えば、xzデータ圧縮ユーティリティーのメンテナーだったJia Tan氏なる人物がコードにバックドアを仕掛け、攻撃者が「Linux」を乗っ取れるようにし

                                    「XZ Utils」だけが破壊工作の標的ではない可能性--オープンソース財団
                                  • Microsoft、“おわび”で無償提供していたログ機能のデフォルト保存期間を180日に延長

                                    Microsoftは、データ管理資産サービス「Microsoft Purview」の監査ログに関するデフォルトの保存期間を延長した。これは、2023年の初めに国家の後ろ盾を得たハッカーが国務省から数千通の電子メールを盗み出したことを受け、同社のプラットフォームで悪意ある活動を可視化するための幅広い取り組みの一環だ。 2023年10月から「Microsoft Purview 監査」のセキュリティログのデフォルトの保存期間が、スタンダードユーザーの場合、90日から180日に倍増する。プレミアムライセンス所有者のデフォルトの保存期間は1年に延長されるが、10年に延長するオプションも用意されている。 この取り組みは、はじめに全世界の顧客に適用され、その後に政府機関の顧客にも拡大される予定だ。 ログ機能無償提供の狙いは? Microsoftは「2023年のハッキング事件を受けて、セキュリティ支援の一

                                      Microsoft、“おわび”で無償提供していたログ機能のデフォルト保存期間を180日に延長
                                    • 「ありがちなセキュリティ設定ミス」トップ10、米国の安全保障機関が発表 あなたの組織は大丈夫?

                                      政府機関や自治体、企業に対する侵入テストを通じて組織のセキュリティ診断を行っているCISAの「レッドチーム」と、戦略的脆弱性評価を手掛ける「ブルーチーム」の活動、さらにはインシデント対応の実績を通じ、多くの組織に共通する体系的弱点を洗い出している。 サイバー攻撃に利用されやすいセキュリティ設定のトップ10として挙がった不備は以下の通り。 ソフトウェアやアプリケーションがデフォルト設定のままにである ユーザーと管理者権限の不適切な分離 内部ネットワークの監視不足 ネットワークセグメンテーションの欠如 パッチ管理の不備 システムのアクセス制御をかわされる問題 多要素認証(MFA)の甘さや設定ミス ネットワーク共有やサービスにおけるアクセス制御リスト(ACL)の不適切な設定 破られやすいパスワードの使用や平文によるパスワードの保管など、不適切な認証情報の管理 実効可能ファイルやHTMLアプリケー

                                        「ありがちなセキュリティ設定ミス」トップ10、米国の安全保障機関が発表 あなたの組織は大丈夫?
                                      • SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法 | Vuls Blog

                                        2024年7月12日に開催された「製造業における脆弱性管理の課題と対応方法@大阪」セミナーの「SSVC Supplier Treeの概要と自動化」セッションのスライドです。 米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC(Stakeholder-Specific Vulnerability Categorization)の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各De

                                          SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法 | Vuls Blog
                                        • 緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を

                                          Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。 Urgent security alert for Fedora 41 and Fedora Rawhide users xzが抱える脆弱性の概要 発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。 xz バージョン5.6.0または5.6.1 脆弱性(CVE)の情報は次のとおり。 CVE-2024-3094 - XZ Ut

                                            緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を
                                          • 広告ブロッカーの素晴らしさをもっと認識しよう

                                            これは別に大袈裟な表現ではないのですが、広告ブロッカーは本当に優れています。 2016 年に広告ブロッカーを使い始めてからというもの、私のインターネット使用体験は飛躍的に向上しました。今では、インフルエンサーのブログをランダムにチェックしても簡単に夕食のレシピが見つかるし、「車のヘッドライトの交換方法」を調べると以前よりも早く答えが得られます。何百ものマルバタイジングを回避できるようにもなりました。 ところが、YouTube が広告ブロッカーの利用を防ぐための新しいポリシーを打ち出したことで、広告ブロッカーの利用がますます物議を醸しています。新しい警告によると、広告ブロッカーの許可リストに youtube.com を登録しない限り、ユーザーは一定の本数の動画しか視聴できません。こうすることで YouTube 動画の前に広告が表示されるようにしているのです。 2 週間前にこの警告が表示された

                                              広告ブロッカーの素晴らしさをもっと認識しよう
                                            • 「侵害は防げた」 Microsoftのポカに米政府が激怒した理由

                                              DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。 米国国土安全保障省(DHS)は2024年4月2日(現地時間)、2023年に発生した脅威グループ「Storm-0558」による大規模なハッキングによって、著名な米国政府高官の電子メールアカウントが漏えいした事件におけるMicrosoftの責任を指摘する報告書を発表しました。同報告書はサイバー安全審査委員会(CSRB)が公開した。 「侵入は防ぐことが可能だった」 Microsoftを非難する報告書の中身 Microsoftは2023年7月の初めに、Storm-0558によって複数の政府顧客を含む全世界の約25の顧客がハッキング被害に遭ったと報告した。Storm-0558はMicrosoftの顧客の電子メ

                                                「侵害は防げた」 Microsoftのポカに米政府が激怒した理由
                                              • PAN-OS GlobalProtect の脆弱性 CVE-2024-3400 についてまとめてみた - piyolog

                                                2024年4月12日、Palo Alto Networksは、同社の製品であるPAN-OSにおいて、深刻な脆弱性が確認されたとしてセキュリティ情報を公開しました。情報公開の時点では修正版は開発中(その後4/14から4/18にかけHotfix公開)であり、さらにこの脆弱性を悪用した限定的な事例を同社は把握していることから、脆弱性修正を含むHotfixの情報や推奨される回避策等の公開を行っています。ここでは関連する情報をまとめます。 概要 脆弱性が確認されたのはPalo Alto社のFW製品等で稼働するPAN-OS一部バージョンのGlobalProtect機能。攻撃者が脆弱性の存在するFW製品等に対しネットワーク経由でのっとりなど可能となる恐れがあるもので、同社は脆弱性深刻度を最高と評価している。 修正版は情報公開時点で準備中であったが、4月14日にHotfixが公開された。Hotfix以外の

                                                  PAN-OS GlobalProtect の脆弱性 CVE-2024-3400 についてまとめてみた - piyolog
                                                • Modern Approaches to Network Access Security

                                                  This document is distributed as TLP:CLEAR. Disclosure is not limited. Sources may use TLP:CLEAR when information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public release. Subject to standard copyright rules. TLP:CLEAR information may be distributed without restrictions. For more information on the Traffic Light Protocol, see cisa.gov/t

                                                  • 国内メーカー製ルータとネットワークビデオレコーダに脆弱性、注意を

                                                    Akamai Technologiesは11月21日(米国時間)、「InfectedSlurs Botnet Spreads Mirai via Zero-Days|Akamai」において、ボットネット構築のためにリモートコード実行(RCE: Remote Code Execution)のゼロデイの脆弱性が悪用されていると報じた。この攻撃ではマルウェア「Mirai」の亜種が悪用、デフォルトの資格情報のまま公開されているルータとネットワークビデオレコーダが標的になっているという。 InfectedSlurs Botnet Spreads Mirai via Zero-Days|Akamai このボットネットの活動を発見したAkamaiセキュリティインテリジェンス対応チーム(SIRT: Security Intelligence Response Team)は、脆弱性の発見された製品について詳

                                                      国内メーカー製ルータとネットワークビデオレコーダに脆弱性、注意を
                                                    • Microsoftの“ずさんなセキュリティ対策”に非難集中 おわびのログ機能無料提供へ

                                                      Microsoftは同社のクラウドサービスを利用する25の顧客(米国国務省を含む)が電子メールアカウントのハッキング被害に遭った事件を受け、クラウドセキュリティログ機能を無償で提供することに合意した。 Microsoftは事件後、同社が提供するクラウドサービスのセキュリティ対策について、数日間にわたって厳しい批判を受けていた。 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年7月19日(現地時間、以下同)、Microsoftとのパートナーシップを発表し、クラウドログ機能へのアクセスをデフォルトで提供することを発表している(注1)。 「セキュリティに追加料金を課すな」 Microsoftに厳しい批判相次ぐ Microsoftは直近のサイバー攻撃を「中国の支援を受けたハッカーによるもの」としており、このログ機能はその検知に重要な意味を持つ。連邦政

                                                        Microsoftの“ずさんなセキュリティ対策”に非難集中 おわびのログ機能無料提供へ
                                                      • 【セキュリティ ニュース】「glibc」の脆弱性「Looney Tunables」、悪用に警戒を(1ページ目 / 全2ページ):Security NEXT

                                                        GNUプロジェクトによる標準Cライブラリの実装「GNU Cライブラリ(glibc)」に判明した権限昇格の脆弱性「CVE-2023-4911」が悪用されているとして米当局は注意喚起を行った。他脆弱性と組み合わせた攻撃が確認されている。 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、現地時間11月21日に「悪用が確認された脆弱性カタログ(KEV)」へ同脆弱性を追加。行政機関へ対策を促すとともに、広く注意を呼びかけた。 「CVE-2023-4911」は、「gclib」に判明したバッファオーバーフローの脆弱性。「SUID」が設定されたバイナリにおいて、同脆弱性を悪用することによりroot権限を取得することが可能となる。 9月にQualysが報告し、調整を経て現地時間10月3日にセキュリティアドバイザリがリリースされた。環境変数「GLIBC_TUNABLES」の処理に存在し

                                                        • 最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身【海の向こうの“セキュリティ”】

                                                            最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身【海の向こうの“セキュリティ”】
                                                          • オープンソースソフトウェア(OSS)の推進 | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構

                                                            日本においては日本語のOSS情報が十分でないこともあり、無償によるコストメリットのみが注目されることが多くありました。しかし、欧米並みに最新技術を迅速に導入し、安定した技術の導入をするために、OSSがITの共通言語となるよう、国内外の有益な情報を発信していきます。 国内外のOSS関連ニュース 2024年 3月19日 IPAがOSS推進のためのWebページを公開(IPA) 3月4日 EUのAI包括規制によりオープンソースAIの規制が複雑化(Center for Data Innovation) 2月1日 Linuxの独習教材「Linuxサーバー構築標準教科書 Ver.4.0.0」が公開, 学習ベースをCentOSからAlmaLinux 9に変更(LPI-Japan) 2月1日 オープンソース推進団体OSI、OSS の採用要因や需要の高い技術を調査した2024年版OSS現状報告を発表(Open

                                                              オープンソースソフトウェア(OSS)の推進 | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構
                                                            • 今度は「ownCloud」で発生 ファイル転送サービスを狙うサイバー攻撃が相次ぐ

                                                              研究者によると、サイバー攻撃者はオープンソースソフトウェア(OSS)のファイル転送サービス「ownCloud」の重大な脆弱(ぜいじゃく)性を悪用しており、管理者パスワードやメールサーバの認証情報、ライセンスキーなどの機密データが漏えいする可能性があるという。 ownCloudは「CVE-2023-49103」と指定されたこの脆弱性を2023年11月21日(現地時間、以下同)に公開した(注1)。共通脆弱性評価システム(CVSS)における評価は、10点満点中10点である。 ownCloudは「悪用なし」と主張するも……SANSの研究者らから反対意見 同社の広報担当者は2023年12月1日に、電子メールの中で次のように述べた。 「この脆弱性は同年9月中旬に外部の研究者によって発見され、同年9月19日にパッチが適用され、同年9月20日に顧客に通知された。脆弱性が公開される前に当社はセキュリティギャ

                                                                今度は「ownCloud」で発生 ファイル転送サービスを狙うサイバー攻撃が相次ぐ
                                                              • Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA

                                                                Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.

                                                                • ニコニコを攻撃した「BlackSuit」とは?「史上最悪」の遺伝子を受け継ぐ手口 | おたくま経済新聞

                                                                  6月27日、KADOKAWA及びドワンゴが運営する「ニコニコ動画」が大規模サイバー攻撃をうけた件に関し、「BlackSuit(ブラック・スーツ)」を名のるハッカー集団が犯行声明を出しました。また、犯行声明の発表と同時に、盗み出した2社の社内情報を一部流出させています。 ダークウェブに出された犯行声明によると、KADOKAWAのネットワークには約1か月前に侵入したこと、そしてドワンゴ、ニコニコ、KADOKAWAなどのネットワークを暗号化し、約1.5TBのデータをダウンロードしたと主張しています。また交渉がうまく行かない場合には7月1日に、入手した情報を公開するという脅しも。 犯行声明や、ネットワークの暗号化、そしてデータの人質に、情報の一部流出。こうした手口は被害者に対してより圧力をかけるためにハッカー集団が使う手口ではあります。 しかし、「BlackSuit」の活動が最初に確認されたのは2

                                                                    ニコニコを攻撃した「BlackSuit」とは?「史上最悪」の遺伝子を受け継ぐ手口 | おたくま経済新聞
                                                                  • Press Release: Future Software Should Be Memory Safe | ONCD | The White House

                                                                    Leaders in Industry Support White House Call to Address Root Cause of Many of the Worst Cyber Attacks Read the full report here WASHINGTON – Today, the White House Office of the National Cyber Director (ONCD) released a report calling on the technical community to proactively reduce the attack surface in cyberspace. ONCD makes the case that technology manufacturers can prevent entire classes of vu

                                                                      Press Release: Future Software Should Be Memory Safe | ONCD | The White House
                                                                    • Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは?

                                                                      2024年1月に発生したMicrosoftの上級幹部チームへのハッキングは、国家に関連した世界有数の脅威グループによる積極的で大胆な行動と見られている。 ベテランの研究者や業界アナリストは、この攻撃についてMicrosoftのセキュリティ能力における長年の弱点を再認識させるものだと考えている。 この他、ビジネスアプリケーションとクラウドコンピューティングで圧倒的なシェアを誇るMicrosoftは、これまであまりにも自由だったとの見方もある。 スタンフォード大学のサイバーポリシーセンターのフェローであり、ホワイトハウスでサイバーポリシーを担当するディレクターを務めたA.J.グロット氏は「はっきりさせておきたいのは、Microsoftは犯罪の被害者だということだ。しかしサイバー領域におけるMicrosoftの行動は、車を荒れた地域に駐車し、ドアを開けっ放しにして貴重品を見えるところに放置したの

                                                                        Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは?
                                                                      • サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表

                                                                        米国の国家安全保障局(NSA)と国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2023年10月5日(米国時間)、共同サイバーセキュリティアドバイザリー(CSA)を発表した。 この共同CSA「NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations」では、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、攻撃者がこれらを悪用するために用いる戦術、技術、手順(TTP)を解説するとともに、こうした悪用リスクを軽減するための推奨事項を紹介している。 NSAとCISAは、国防総省、連邦政府、州、地方政府、民間部門にわたる多数のネットワークのセキュリティ体制を評価してきた。共同CSAで挙げられた10のネットワーク構成ミスは、これらの評価の過程で特定された。

                                                                          サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表
                                                                        • 【雑記】「事業会社のセキュリティマネージャ」というキャリア - 2LoD.sec

                                                                          Xでセキュリティのキャリアについて何名かの方とやりとりする機会があったので、私が名乗っている「セキュリティマネージャ」とは何なのか。を書いてみることにしました。 前置き 一般的なセキュリティマネージャの定義 (私の組織における)セキュリティマネージャのお仕事 必要なスキル 3. 組織のビジネス、システム環境や文化に関する知識 4. ソフトスキル、コンピテンシ、性質 2. セキュリティのマネジメントに関するスキル 1. ITとセキュリティの技術に関するスキル セキュリティマネージャというキャリア 今、技術的に未経験なんですが 今、セキュリティエンジニアの道にいるんですが さいごに 前置き 最初にお断りとして、セキュリティマネジメントの姿は組織によって異なります。 その組織の種類(事業会社かセキュリティベンダか等)、システムの規模、セキュリティ担当の人員数、予算、経営層のセキュリティ意識など様

                                                                            【雑記】「事業会社のセキュリティマネージャ」というキャリア - 2LoD.sec
                                                                          • アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

                                                                            トップページ 情報セキュリティ 重要なセキュリティ情報 2024年度 アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。昨年 8 月に IPA が公開した、「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1

                                                                              アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
                                                                            • XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?

                                                                              米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年4月12日(現地時間)に、ブログに「ユーティリティーソフトウェアである『XZ Utils』に対するサプライチェーン攻撃の悪質な試みを受けてオープンソースコミュニティーに、より多くのリソースを提供するように推進している」と投稿した(注1)。 XZ Utilsへの攻撃が暴き出した 企業の“OSSタダ乗り問題” CISAは「今回の攻撃はオープンソースソフトウェア(OSS)の消費者が貢献者と協力して、より強靭で安全なエコシステムを構築する方法に関する根本的な転換を求めるものであり、オープンソースコミュニティーをより適切にサポートする責任をテクノロジー業界に負わせた」と評した。 CISAのジャック・ケーブル氏(シニア・テクニカルアドバイザー)とエイバ・ブラック氏(オープンソースソフトウェア・セキュリティの

                                                                                XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?
                                                                              • 「過去10年で最悪のサイバー攻撃」と評されるSolarWindsハッキングについて、バイデン大統領は専門委員会に調査を命令も実際に調査は行われず被害が拡大していたことが明らかに

                                                                                公益を目的とした調査報道を行う独立系の報道機関であるProPublicaが、ロシアの諜報機関によるアメリカの政府機関への史上最悪のサイバー攻撃と評されるSolarWindsハッキングについて、「ジョー・バイデン大統領は委員会を設立し、問題の解明を命じたものの、委員会が根本的な原因の調査を行わなかったためその後のサイバー攻撃を防ぐ機会を逃す羽目になった」と報じています。 Cyber Safety Board Never Probed Causes of SolarWinds Breach — ProPublica https://www.propublica.org/article/cyber-safety-board-never-investigated-solarwinds-breach-microsoft 2020年12月、SolarWindsが提供するネットワーク監視ソフトウェアの「

                                                                                  「過去10年で最悪のサイバー攻撃」と評されるSolarWindsハッキングについて、バイデン大統領は専門委員会に調査を命令も実際に調査は行われず被害が拡大していたことが明らかに
                                                                                • 中国の脅威グループ「Volt Typhoon」による被害など、米CISA長官が警鐘を鳴らす重要インフラへのサイバー攻撃問題【海の向こうの“セキュリティ”】

                                                                                    中国の脅威グループ「Volt Typhoon」による被害など、米CISA長官が警鐘を鳴らす重要インフラへのサイバー攻撃問題【海の向こうの“セキュリティ”】