Day: June 6, 2023

API は何ができる? 何ができない? どうしたら安全に使える?

What APIs Do and Don’t Do

2023/06/06 tripwire — 最近のテクノロジーの世界で、API について耳にしない日はない。ChatGPT の API が登場したときも、Twitter の深刻なデータ漏洩のニュースが報じられたときも、API が主役であった。しかし、どこにでもある API なのだが、多くの人々は API の機能 (限界) について疑問を抱いている。API は何のためにあるのか?APIは何をするものなのか?そして、今の時代にできないものは何なのか?

Continue reading “API は何ができる? 何ができない? どうしたら安全に使える?”

British Airways/BBC などでデータ侵害が発生:MOVEit @ Zellis の脆弱性悪用が原因

British Airways, BBC and Boots were impacted the by Zellis data breach

2023/06/06 SecurityAffairs — 給与計算プロバイダー Zellis へのサイバー攻撃により、BBC と British Airways の従業員の個人データが漏洩したことが判明した。タブロイド紙の The Mirror は、「英国に拠点を置く Zellis は、ファイル転送ソフトである MOVEit へのサイバー・セキュリティ攻撃の影響を受けたと見られている。Zellis の他に影響を受けた企業の中には、British Airways も含まれている」と報じている。

Continue reading “British Airways/BBC などでデータ侵害が発生:MOVEit @ Zellis の脆弱性悪用が原因”

Outlook.com を攻撃し続ける DDoS アクター:Anonymous Sudan が犯行を主張

Outlook.com hit by outages as hacktivists claim DDoS attacks

2023/06/06 BleepingComputer — 6月5日に Outlook.com は、何度もダウンした。そして翌日も、一連の障害に見舞われていたが、Anonymous Sudan と名乗るハクティビストが、同サービスに DDoS 攻撃を行ったと主張している。これらの障害により、世界中の Outlook ユーザーに広範な混乱がもたらされ、メールの送受信や、Mobile Outlook アプリの使用に支障をきたした。

Continue reading “Outlook.com を攻撃し続ける DDoS アクター:Anonymous Sudan が犯行を主張”

ChatGPT が推奨する OSS パッケージは安全なのか? LLM に悪意を埋め込む PoC が公開

New ChatGPT Attack Technique Spreads Malicious Packages

2023/06/06 InfoSecurity — OpenAI の LLM である ChatGPT を悪用し、開発者たちの環境に悪意のパッケージを拡散させるという、新たなサイバー攻撃手法が登場した。Vulcan Cyber の Voyager18 research team は、先ほど発表したアドバイザリで、この問題について述べている。同社の研究者である Bar Lanyado と、コントリビュータである Ortal Keizman と Yair Divinsky は、「実際には存在しない URL やリファレンスを、さらにはコード・ライブラリや関数を、ChatGPT が生成することが確認されている。このような LLM (Large Language Model) モデルがもたらす幻覚は以前にも報告されていたが、古い学習データの結果として生じている可能性もある」と、技術文書で説明している。

Continue reading “ChatGPT が推奨する OSS パッケージは安全なのか? LLM に悪意を埋め込む PoC が公開”

Google Chrome 114 がリリース:スパイウェアに悪用されるゼロデイ脆弱性に対応

Google Patches Third Chrome Zero-Day of 2023

2023/06/06 SecurityWeek — 6月5日 (月) に Google は、2023年に入ってから Chrome で見つかった、3つ目のゼロデイ脆弱性に対してパッチを当てるセキュリティアップ・デートを公開した。Google によると、Chrome の最新バージョン 114 では、V8 JavaScript エンジンに影響をおよぼす、タイプ・コンフュージョンの脆弱性 CVE-2023-3079 などの、2件の欠陥を修正したとのことだ。同社は、この脆弱性は 6月1日に発見され、野放し状態で悪用されていると指摘したが、攻撃に関する情報は一切共有していない。

Continue reading “Google Chrome 114 がリリース:スパイウェアに悪用されるゼロデイ脆弱性に対応”

Android アドウェア 60,000 件を発見:Google Play 以外からのインストールは危険だ!

Over 60,000 Android apps secretly installed adware for past six months

2023/06/06 BleepingComputer — これまでの6ヶ月間において、正規のアプリケーションを装う 60,000 件以上の Android アプリが検出を回避して、モバイル端末にアドウェアをインストールしていたことが判明した。この発見は、ルーマニアのサイバー・セキュリティ企業 Bitdefender によるものだ。先月に同社は、Bitdefender Mobile Security ソフトウェアに追加された異常検知機能を用いて、それらの悪意のアプリを検出したという。

Continue reading “Android アドウェア 60,000 件を発見:Google Play 以外からのインストールは危険だ!”