ニューヨーク・タイムズ社の内部データ、GitHubから流出!270GBにWordleソースコードも含む
ニューヨーク・タイムズのGitHubからのデータ漏洩が発覚。270GBの情報、含む人気ゲーム「Wordle」のソースコードが4chanユーザーによりリーク。約360万ファイルが不正取得され、内部通信や認証詳細も含まれる。同社は対策を講じ、影響を否定。しかし、サイバー攻撃のリスクが高まり、セキュリティ…
ロンドン警察、自作携帯塔で詐欺SMS送信の犯人2人を逮捕
ロンドン警察が詐欺SMSメッセージ送信に自作携帯電話塔を使用した犯罪で2人を逮捕。この新手法「スミッシング」は、セキュリティを迂回し個人情報を盗む脅威。サイバーセキュリティ対策の進化と警戒が必要。【用語解説とAIによる専門的コメントつき】
カナダ企業が発見、リクルーター狙う巧妙なフィッシング攻撃の脅威拡大
カナダのeSentireがフィッシング攻撃を発見。リクルーターを狙ったMore_eggsマルウェア、KMSPico偽サイトを介したVidar Stealer配布、EU銀行顧客を対象としたV3Bフィッシングキットが活動。サイバーセキュリティ脅威の巧妙化が進む中、企業と個人は警戒が必要。【用語解説とAI…
アメリカプライバシー法案提出、個人情報保護に大きな転換期
アメリカで提案された「アメリカン・プライバシー・ライツ法案(APRA)」が、個人情報の収集・処理・共有方法に革新をもたらす可能性があります。この法案は、データ最小化の実践と高いデータセキュリティ基準を設け、GDPRに倣った規制を含むことで、アメリカのデータプライバシー保護を大きく前進させることを目指…
2024年、共通脆弱性が25%増加予測、ビジネスリーダーにセキュリティ強化の警鐘
2024年、共通脆弱性と公開(CVE)が25%増の34,888件に。ビジネスリーダーはサイバー防御強化に迫られ、セキュリティチームはパッチ管理、AI活用で脆弱性対策を。組織全体のコミットメントがセキュリティ強化の鍵。【用語解説とAIによる専門的コメントつき】
Microsoft警告: Azure Service Tagsの悪用によるセキュリティリスク発覚
MicrosoftとTenableが警告: Azure Service Tagsの悪用により、信頼されたサービスからのリクエストを偽造し、ファイアウォールを迂回してクラウドリソースへの不正アクセスが可能に。サービスタグのみでのトラフィック検証はリスクが高く、追加のセキュリティ対策が必要。【用語解説と…
情報戦の最前線:Google、Microsoft、Metaが偽情報キャンペーンに対抗
Google、OpenAI、Metaが中国、インドネシア、ロシアの影響力キャンペーンに対抗。YouTube、Bloggerから不正アカウント削除、イスラエル政府資金のプロパガンダ妨害。Microsoftはロシアのフランス、2024年オリンピック情報操作を警告。AI技術進化で偽情報拡散リスク増。企業の…
サイバーセキュリティ専門家の成長を促すCPE取得の重要性
サイバーセキュリティの専門家にとって、CPE(Continuing Professional Education)は、最新のハッキング手法や防御戦略を学び、認証を維持するために不可欠です。ワークショップ、オンラインコース、会議参加などを通じて取得可能であり、専門知識の更新とキャリアの向上に寄与します…
誤入力URLを悪用、「ハイパーリンクハイジャック」の脅威が浮上
新研究がウェブのセキュリティリスク、「ハイパーリンクハイジャック」を明らかにしました。誤入力されたURLを悪用し、個人情報を盗む「タイポスクワッティング」手法が焦点です。572,000以上の「ファントムドメイン」へのリンクが存在し、これらを利用したフィッシングが可能であることが判明。ウェブ開発者とユ…
警戒必須!OTPボットとフィッシングキットが2FAを脅かす
2FAを狙うOTPボットとフィッシングキットが増加。これらはワンタイムパスワードを盗み、アカウントセキュリティを脅かす。Kasperskyは2024年5月に数多くの攻撃を防止。ユーザーはリンク開かず、セキュリティソリューションで対策を。【用語解説とAIによる専門的コメントつき】
セキュリティ侵害とプライバシー保護の戦いが激化、GoogleからFBIまで対策急務
Googleが2024年にLocation Historyデータの削除を発表し、セキュリティ強化へ。一方、Advance Auto Partsの顧客データ漏洩や、Apple AirTagsを使ったストーキング事件が発生。MicrosoftのRecallに関するセキュリティ問題や、10代を狙ったセクス…
サイバー攻撃拡大:Sticky Werewolfがロシア・ベラルーシ狙う
サイバーセキュリティ研究者が、Sticky Werewolfによるロシアとベラルーシへのサイバー攻撃拡大を発表。製薬、微生物学研究所、航空セクターが標的に。RARアーカイブとLNKファイルを使用し、情報窃取マルウェアやRAT配信が目的。プロウクライナのグループとの関連が示唆され、セキュリティ対策の重…
ハッジシーズン中のサイバー攻撃増加、サウジが対策強化
ハッジシーズン中のサイバー攻撃がサウジアラビアで増加。巡礼者と企業はデータ盗難リスクに直面。サウジ政府は「Nusuk」プラットフォームで対策を強化し、企業はセキュリティ体制の見直しを。【用語解説とAIによる専門的コメントつき】
新発見のPHP脆弱性、Windowsサーバーにリモート攻撃の危険性
新たなPHP脆弱性CVE-2024-4577がWindowsサーバーのリモートコード実行を可能に。DEVCOREが発見し、PHP 8.3.8などで修正パッチが提供。特にXAMPP環境が影響を受けやすい。セキュリティ研究者は迅速な対応を呼びかける。【用語解説とAIによる専門的コメントつき】
ハーバードで開催、セキュリティ研究の新境地を切り拓く多分野交流イベント
ハーバード・ケネディ・スクールで開催されたセキュリティと人間行動に関するワークショップ(SHB)は、心理学、経済学、コンピュータセキュリティなど多岐にわたる分野の専門家が集まり、セキュリティの人間側面を探求。異分野間の議論と交流を促し、新たな視点やコラボレーションを生み出すことを目的としています。【…
GitHubリポジトリ、未知の攻撃者「Gitloker」によるサイバー恐喝の餌食に
GitHubリポジトリが「Gitloker」によるサイバー恐喝攻撃の標的に。2024年2月から続くこの攻撃では、フィッシングメールを通じてユーザーのアカウントが侵害され、リポジトリが盗まれる被害が発生。GitHubはセキュリティ対策の強化を推奨し、ユーザーに警戒を呼びかけています。【用語解説とAIに…
大手企業がサイバー攻撃の標的に、パスワードレス認証への移行急ぐ
サイバー犯罪者がサンタンデール、TicketMaster、Snowflakeのような企業のセキュリティ弱点、特にシングルファクタ認証を狙い、身元情報の侵害が増加。ゼロトラストセキュリティモデルやパスワードレス認証への移行が注目され、マイクロソフト、Okta、Duo Securityがソリューションを…
サイバーセキュリティ人材不足、米国で約47万職が空席の危機
アメリカでサイバーセキュリティ専門家が約46万9千930人不足しているとCyberSeekが報告。CompTIA、Lightcast、NICEが提供するデータによると、需要の85%しか満たせていない。認定と求人の不一致が課題で、適切なトレーニングが鍵となる。【用語解説とAIによる専門的コメントつき】
米国政府が推進、スマートデバイスの安全性向上へ向けた新プログラム発表
米国政府とFCCが提案したU.S. Cyber Trust Markプログラムは、消費者が安全なスマートデバイスを選べるよう支援する自主的なサイバーセキュリティ製品ラベリングイニシアチブです。NIST基準を満たす製品には特別なラベルが付与され、Amazon、Googleなど大手企業が参加を表明してい…
SolarWinds、2024年アップデートで重大セキュリティ脆弱性を修正
SolarWindsが2024年アップデートでセキュリティ脆弱性を修正。NATOペネトレーションテスター報告のSWQLインジェクションバグ含む3つの問題に対処。安全性向上とユーザーエクスペリエンスの改善を実現。【用語解説とAIによる専門的コメントつき】
ホテル自己チェックイン端末の脆弱性、世界3,000軒超で個人情報流出の危機
ホテルチェックインキオスクの脆弱性が3,000以上のホテルに影響を及ぼし、個人データや部屋の鍵へのアクセスが可能に。Ariane Systemsは修正版をリリース。【用語解説とAIによる専門的コメントつき】
Google、位置情報履歴の削除方針を発表: プライバシー保護への新たな一歩
Googleが位置情報履歴の削除方針を発表。タイムライン機能を通じて、2024年12月1日までにユーザーは自分の旅行データをデバイスに保存でき、その後データ削除が開始されます。この変更で、位置情報はデバイスにのみ保存され、プライバシー保護が強化されます。【用語解説とAIによる専門的コメントつき】
「Sticky Werewolf」がロシア航空産業を狙う: 高度化するサイバー攻撃の脅威
サイバー攻撃グループ「Sticky Werewolf」がロシア航空産業を狙う。2023年4月活動開始、ロシアとウクライナ紛争関連のスパイ活動に注目。航空宇宙、防衛産業への攻撃複雑化、Moscowの航空宇宙会社を標的に。フィッシングメールを通じたリモートアクセストロイの木馬配布でスパイ活動、データ盗難…
“Appleユーザー警戒: macOSに潜む新たなスパイウェア「LightSpy」発見”
サイバーセキュリティ研究者がApple iOSとmacOSユーザーを狙うLightSpyスパイウェアの新たなmacOSバリアントを発見。Huntress LabsとThreatFabricによる分析で、このマルウェアが複数プラットフォームに感染可能であることが示されました。macOS版は、音声キャプ…
2023年、サイバー攻撃の波に立ち向かう:基本に戻れば勝機あり
2023年、サイバー攻撃が企業を脅かし、ランサムウェアやDDoS攻撃が混乱を引き起こしました。しかし、「Better Basics Win the Cybersecurity Threat War: Defend, Deter, and Save」ウェビナーで、サイバーハイジーンとセキュリティ最適化…
セキュリティ強化への呼び水、SolarWindsとLog4jから学ぶ教訓
SolarWinds、Log4j事件後、組織はCVE対応戦略の見直しを迫られました。セキュリティインシデントへの迅速な対応と開発者の安全な開発プラクティスの促進が重要と認識。オープンソースの安全使用とCVE検出のためのSCAツール活用が鍵です。【用語解説とAIによる専門的コメントつき】
ソフトウェアサプライチェーンの危機:専門家が直面する新たな挑戦
アプリケーションセキュリティの専門家が直面するソフトウェアサプライチェーンのリスクに対処するため、SCAツールの限界と新たなセキュリティ対策の必要性が浮き彫りに。Myrror Securityのガイドは、未知の脆弱性への対応不足を指摘し、将来のツールに求められる機能を提案。【用語解説とAIによる専門…
巨大ボットネット「911 S5」解体、数百万台のPC侵害の背後にある真実
アメリカ合衆国司法省が、2014年から2022年にかけて活動した巨大ボットネット「911 S5」を解体。このネットワークは、Wang氏らによるマルウェアで世界中の数百万台のWindowsコンピュータを侵害し、1900万以上のユニークIPアドレスを感染させた。Wang氏はサイバー犯罪者にアクセスを提供…
FBI、LockBitランサムウェア被害者救済へ7000復号化キー提供
FBIがLockBitランサムウェアの被害者支援のため7,000以上の復号化キーを提供。世界中で2,400回以上の攻撃を行ったLockBitは、特に米国内の組織に大きな影響を与えています。国際法執行機関の作戦「Cronos」によりインフラが解体され、主要運営者が特定されましたが、LockBitは活動…
Docker脆弱性を突く「Commando Cat」のクリプトジャッキング攻撃が発覚
Commando CatがDockerの脆弱性を悪用しクリプトジャッキング攻撃を展開。セキュリティ不備を突き、暗号通貨マイナーを不正にデプロイ。さらに、ThinkPHPのセキュリティ欠陥も中国系脅威アクターに利用されています。これらの攻撃は、セキュリティ対策の重要性と迅速な対応の必要性を浮き彫りにし…