イギリス、IoTデバイスのデフォルトパスワード禁止で世界先駆け
イギリスがIoTデバイスのデフォルトパスワード禁止で世界初の国に。セキュリティ基準強化と透明性向上を目指す措置がPSTI法により導入されました。【用語解説とAIによる専門的コメントつき】
脆弱性スキャンの新時代: Intruderが複数エンジン統合でセキュリティ強化
脆弱性スキャナーの進化に注目!年間約30,000件の新脆弱性に対応するため、IntruderはNessus、OpenVAS、Nucleiなど複数のスキャニングエンジンを統合。このアプローチは、攻撃面の広範なチェックとセキュリティ強化を実現し、組織の脆弱性管理を効率化します。しかし、複数エンジンの統合…
デジタル署名サービス「Dropbox Sign」が侵害、顧客情報流出の危機
Dropbox Sign(旧HelloSign)が未特定の脅威アクターに侵害され、ユーザー情報が露出したことが発覚。メールアドレス、ユーザー名、電話番号などがアクセスされました。【用語解説とAIによる専門的コメントつき】
Microsoft Graph API、サイバー攻撃者の新たな武器に
Microsoft Graph APIが攻撃者のデータ盗難ツールとして注目されています。このAPIを悪用し、マルウェア「BirdyClient」などがOneDriveを通じて活動。北朝鮮のAPT37や「Backdoor.Graphon」も同様の手法を採用。組織はクラウドアカウントの監視を強化し、セキ…
警告発令: GitLab脆弱性がユーザーアカウント乗っ取りを可能に
CISAがGitLabのパスワードリセット脆弱性CVE-2023-7028を警告。CVSSスコア10.0のこの脆弱性はアカウント乗っ取りを容易にし、機密情報盗難やサプライチェーン攻撃を引き起こすリスクがある。GitLabは対策パッチをリリース。【用語解説とAIによる専門的コメントつき】
警戒必須!「Cuttlefish」マルウェアがSOHOルーターを狙い、認証データを盗む新たな脅威に
新マルウェア「Cuttlefish」がSOHO環境のルーターを狙い、トラフィックを監視し認証データを盗む。2023年7月から活動し、特にトルコで600IPが感染。公共クラウドサービスの認証情報も標的に。セキュリティ対策が急務。【用語解説とAIによる専門的コメントつき】
サイバー攻撃の新技術、「DuneQuixote」が中東政府を標的に
サイバー攻撃の進化に対抗するため、中東政府機関を狙った「DuneQuixote」キャンペーンが新しいステルス技術を使用。マルウェアドロッパーとペイロードを駆使し、検出回避に成功。対策にはEDRやゼロトラストが推奨される。【用語解説とAIによる専門的コメントつき】
MongoDB/Fortanix/Dualityの新技術でプライバシー検索進化
プライベート検索技術は、検索語句や結果を秘匿しながら情報を得ることを目指し、MongoDB、Fortanix、Dualityが異なるアプローチで開発中です。この技術は、検索エンジンによるデータの読み取りや広告表示利用を防ぎ、プライバシー保護を強化しますが、検索速度とセキュリティのバランスが課題です。…
UnitedHealth子会社、2200万ドルの身代金支払いで露呈したサイバーセキュリティの危機
UnitedHealthの子会社がサイバー攻撃で2200万ドルの身代金を支払い、個人情報と健康情報が盗まれた可能性がある。攻撃は多要素認証の不在を突き、医療業界に警鐘を鳴らす。【用語解説とAIによる専門的コメントつき】
Intel 471、Cyborg Security買収でサイバーセキュリティ強化へ
Intel 471がCyborg Securityを買収し、サイバー脅威インテリジェンス(CTI)と脅威ハンティングの分野で革新を目指す。この統合により、顧客は先進的なHUNTERプラットフォームを活用し、サイバー攻撃に迅速に対応できるようになる。サイバーセキュリティ業界の新たな標準を確立し、企業や…
ペンテスト報告書2024: AI利用増と人材不足がセキュリティ課題に
Cobaltが発表した2024年のペネトレーションテスト報告書は、AI利用増加、人材不足、サイバー脅威の増大など、サイバーセキュリティ業界が直面する課題を浮き彫りにしています。ペンテストの発見件数は前年比21%増、AIからの脅威も増加しており、組織はセキュリティ強化に向けて新たな戦略が必要です。【用…
シャドウAPIの脅威に立ち向かう:組織のセキュリティ強化戦略
APIセキュリティの強化が重要で、特にシャドウAPIに注意が必要。組織はこれらを特定し、リスクを軽減するために文書化または廃止する必要がある。API攻撃は増加傾向にあり、セキュリティ対策の実施が不可欠。【用語解説とAIによる専門的コメントつき】
巨大ヘルスケア企業のデータ漏洩、アメリカ人3分の1が危機に
UnitedHealth GroupのCEO、Andrew Wittyが議会で証言、Change Healthcareへのサイバー攻撃でアメリカ人約3分の1のデータ漏洩の可能性。保健情報と個人情報が侵害され、ハッカーに2200万ドルの身代金をビットコインで支払ったことも明らかに。UnitedHeal…
Qantasアプリ不具合で顧客情報が他者に露出、プライバシー侵害発生
Qantas航空アプリの不具合で顧客情報が誤表示されるプライバシー侵害が発生。搭乗券やフライト詳細が他顧客に見え、ヨーロッパ行きフライトのキャンセルも可能に。技術的問題が原因と見られ、約3時間で解決。Qantasはソーシャルエンジニアリング詐欺への警戒を呼びかけている。【用語解説とAIによる専門的コ…
“Cuttlefishマルウェア、ルーターを標的にデータ盗難”
「Cuttlefish」マルウェアがエンタープライズグレードおよびSOHOルーターを標的に、認証情報を盗む新たな脅威です。パケットスニッフィングとDNS/HTTPハイジャックを駆使し、プライベートIPへのアクセスを可能にします。特にトルコの通信事業者をターゲットにし、中国の脅威アクターとの関連が示唆…
M&A活発化で浮上するサイバーセキュリティの危機、成功の鍵は?
M&A活動が増加する中、サイバーセキュリティの重要性が高まっています。機密データの交換が多いM&Aプロセスでは、サイバー攻撃のリスクがあり、取引の成功に不可欠です。サイバーセキュリティ不備は法的費用や罰金、評判損失につながる可能性があるため、初期段階からの対策が求められます。デューデリジェンス、リス…
“新発見のマルウェア「Wpeeper」、Androidを狙う”
Androidデバイスを狙う新マルウェア「Wpeeper」が発見されました。この未文書化マルウェアは、侵害されたWordPressサイトを中継点として使用し、真のC2サーバーを隠蔽します。HTTPSを利用し、デバイス情報収集やファイル管理などの機能を持つバックドアトロイジャンです。UPtodown …
Facebook20周年: プライバシー代償と未来のセキュリティ課題
Facebookの20周年を迎え、プライバシー専門家がその影響を振り返ります。マーク・ザッカーバーグは情報共有の変革を認め、謝罪。ケンブリッジ・アナリティカスキャンダルや「注意」経済へのシフトがプライバシー議論を加速。AIの台頭はオンラインプライバシーの未来を不透明にし、ソーシャルメディアのデータ収…
ZLoaderマルウェア、進化し分析を困難にする新技術を採用
ZLoaderマルウェアがZeusバンキングトロイの木馬のアンチアナリシス技術を進化させ、2023年9月に活動再開。新バージョンでは、オリジナルの感染マシン以外での実行を防ぐ機能を追加し、RSA暗号化やDGAの更新などを含むモジュラートロイの木馬として機能。この技術は検出と分析を困難にし、セキュリテ…
無線通信4社、顧客位置情報不正共有で2億ドル罰金
FCCがAT&T、Sprint、T-Mobile、Verizonに約2億ドルの罰金を科した。これらの無線通信事業者は、顧客の位置情報データを不正に共有し、適切な保護措置を講じなかったとされる。この重要な事件は、デジタルプライバシーとデータ保護の増大する重要性を示している。【用語解説とAIによる専門的…
元NSA従業員、機密情報ロシアへの売却未遂で22年刑に
元NSA従業員がアメリカの機密情報をロシアに売却しようとして22年の刑に。この事件は国家安全保障の重要性と内部犯による情報漏洩のリスクを浮き彫りにし、FBIは厳しい警告を発しています。【用語解説とAIによる専門的コメントつき】
データ侵害が2倍に増加、MOVEitソフトウェアが大きく影響
2023年以降、Verizon Businessの報告によるとデータ侵害が2倍に増加。特にMOVEitソフトウェアの影響が大きく、68%が人為的エラーによる。サプライチェーンの脅威も68%増加し、セキュリティ強化が急務。フィッシング攻撃やパッチ適用の遅れが主な原因。【用語解説とAIによる専門的コメン…
Dockerが300万の悪意あるリポジトリを一掃、新保護メカニズムを導入
DockerがJFrogの研究者によって発見された約300万の悪意あるリポジトリを削除。これらはスパムやマルウェア配布に利用され、Dockerは新たな保護メカニズムを導入しました。【用語解説とAIによる専門的コメントつき】
サイバー攻撃が医療提供者を財政危機に陥れる:Change Healthcareの影響深刻
サイバー攻撃がChange Healthcareを襲い、医療提供者は財政的危機に直面。医師は膨大な請求書と収入途絶で苦境に。UnitedHealthの所有下、対応策と補償に不安。医療セクターのサイバーセキュリティ強化が急務。【用語解説とAIによる専門的コメントつき】
USB攻撃が産業ネットワークを脅かす、Honeywellが警鐘
ハッカーがUSBデバイス、旧バグ、マルウェアを利用しOTシステム攻撃に回帰。Honeywellの「2024 USB脅威レポート」は、産業ネットワークへのUSB攻撃増加を指摘。エアギャップを越える能力がUSB再流行の理由。防御策には厳格なUSBポリシー、消毒ステーション設置が有効。【用語解説とAIによ…
欧州委員会、メタに対する大規模調査を開始:EU選挙前の偽情報対策不足が焦点
欧州委員会がメタに対し、EU議会選挙前のディスインフォメーション対策不足を理由に大規模調査を開始。デジタルサービス法(DSA)違反の疑いで、選挙監視ツールCrowdTangleの廃止や政治コンテンツの扱いが焦点。DSA違反は最大全世界売上の6%の罰金やEU運営禁止のリスクを含む。この調査はデジタル政…
RSA 2024が探る「可能性の芸術」: AI時代のデータセキュリティ最前線
RSA Conference 2024が「The Art of Possible」をテーマに、AI時代のデータセキュリティの新たな挑戦と機会を探求します。専門家がデータガバナンス、プライバシー保護、AI活用、データライフサイクル管理などのセッションを通じて、最新トレンドとソリューションを提供。【用語…
サイバーセキュリティの危機:Docker Hubで悪意あるコンテナ発見、数百万件に及ぶ
サイバーセキュリティ研究者がDocker Hubで悪意のある「イメージレス」コンテナを発見。数百万がサプライチェーン攻撃に利用され、ユーザーをフィッシングサイトに誘導。開発者はオープンソース利用時のリスクに注意が必要。【用語解説とAIによる専門的コメントつき】
Malwarebytes Premium、マルウェア100%ブロックで最優秀製品賞受賞
Malwarebytes PremiumがAVLab Cybersecurity Foundationから「年間最優秀製品賞」と「最速修復時間」を受賞。この製品は、459のマルウェアサンプルを100%ブロックし、業界平均より速い20秒で修復。サイバーセキュリティ業界でのその卓越した性能と信頼性を証明…
FBI警告: デートサイト詐欺に潜む高額請求と個人情報盗難の罠
FBIがデートサイト詐欺に警告。無料のオンライン認証サービスを装い、実際には高額な料金を請求し個人情報を盗む手口が発覚。詐欺師はプライベートな会話を提案し、認証リンクを通じて情報を盗む。対策として、プラットフォーム内でのやり取りを維持し、不審なリンクや添付ファイルを避け、個人情報の提供を控えることが…