Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始

AdGuard’s new ad blocker struggles with Google’s Manifest v3 rules

2022/08/31 BleepingComputer — Google の Manifest V3 に対応する、初めての Chrome 広告ブロック・エクステンションが利用可能になった。このエクステンション用の Manifest とは、Chrome ブラウザ・エクステンションに、開発者が取り込む権限や能力の概要を示すものだ。Manifest V3 で Google は、webRequest API を変更し、ユーザーに表示される前のデータを、エクステンションが変更することをブロックした。それにより、広告ブロックが無意味になってしまった。

Continue reading “Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始”

GitLab の深刻な脆弱性 CVE-2022-2884 が FIX:認証済みの攻撃者による RCE

GitLab fixed a critical Remote Code Execution (RCE) bug in CE and EE releases

2022/08/23 SecurityAffairs — DevOps プラットフォームの GitLab は、GitLab Community Edition (CE) および Enterprise Edition (EE) に影響を及ぼす、深刻なリモートコード実行の脆弱性 CVE-2022-2884 (CVSS 9.9) を修正する、セキュリティ・アップデートをリリースした。攻撃者が認証されている場合には、GitHub の Import API を介して、この脆弱性の悪用が可能となる。

Continue reading “GitLab の深刻な脆弱性 CVE-2022-2884 が FIX:認証済みの攻撃者による RCE”

Signal ユーザー 1900人分の電話番号が流出:Twilio データ侵害の影響

Phone numbers of 1,900 Signal users exposed as a result of Twilio security breach

2022/08/16 SecurityAffairs — コミュニケーション企業である Twilio は、Signal に電話番号認証サービスを提供しているが、最近の同社に生じたセキュリティ侵害により、Signal の一部のユーザーにも影響をおよんでいた。Twilio を攻撃したハッカーは、Signal ユーザーの電話番号を確認し、別のデバイスへの再登録するような、試みを実行した可能性があるという。

Continue reading “Signal ユーザー 1900人分の電話番号が流出:Twilio データ侵害の影響”

Twilio の被害状況:データ侵害 125件が発生したが認証情報は盗まれなかった

Twilio: 125 customers affected by data breach, no passwords stolen

2022/08/12 BleepingComputer — クラウド・コミュニケーション大手の Twilio は、二要素認証 (2FA) プロバイダーとして人気の Authy を傘下に持つ企業だが、先週に発覚したセキュリティ侵害により、不正なデータ・アクセスを経験した顧客が、125件に達したことを発表した。同社は、この事件の背後にいる攻撃者に関して、影響を受けた顧客の認証情報には、アクセスできなかったと付け加えている。

Continue reading “Twilio の被害状況:データ侵害 125件が発生したが認証情報は盗まれなかった”

研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?

Researchers Debut Fresh RCE Vector for Common Google API Tool

2022/08/10 DarkReading — Google SLO Generator の脆弱なバージョンを悪用し、リモートコードの実行 (RCE) を容易にするという、新たな攻撃ベクターが発見された。この脆弱性の悪用に成功した攻撃者は、システムにアクセスし、あたかもネットワーク内の信頼できるソースから来たかのように、悪意のコードを展開できるという。

Continue reading “研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?”

Twitter API キーをリークする 3,200 のモバイル・アプリ:研究者が推奨する対策とは?

Researchers Discover Nearly 3,200 Mobile Apps Leaking Twitter API Keys

2022/08/01 TheHackerNews — 研究者たちが発見した 3,207件のアプリ・リストだが、そのうちのいくつかは、Twitterアカウントに不正にアクセスするために利用できるものだという。シンガポールのサイバー・セキュリティ企業 CloudSEK は、The Hacker News と独占的に共有したレポートの中で、正規の Consumer Key と Consumer Secret の情報が流出したことで、乗っ取りが可能になると述べている。

Continue reading “Twitter API キーをリークする 3,200 のモバイル・アプリ:研究者が推奨する対策とは?”

Amazon Photos for Android の脆弱性:アクセス・トークンを盗み出される可能性

Vulnerability in Amazon Photos Android App Exposed Amazon access tokenUser Information

2022/06/30 SecurityWeek — サイバーセキュリティ企業である Checkmarx が公開した情報は、Amazon Photos のAndroid アプリケーションに存在する深刻な脆弱性の詳細であり、悪意のアプリにより Amazon のアクセス・トークンを盗み出される可能性を示唆するものである。5000万以上のダウンロード数を誇る Amazon Photos は、クラウド・ストレージを提供し、写真/動画をオリジナル品質で保存するほか、写真の印刷/共有や、複数の Amazon デバイス上での表示などを可能にするサービスだ。

Continue reading “Amazon Photos for Android の脆弱性:アクセス・トークンを盗み出される可能性”

Kubernetes の 90万インスタンスが露出:きわめて危険な状態のものも

Over 900,000 Kubernetes instances found exposed online

2022/06/28 BleepingComputer — 90万件以上のミスコンフィグレーションされた Kubernetes クラスタが、インターネット上で悪意のスキャンにさらされ、その中にはデータを暴露するサイバー攻撃にいたる脆弱性さえあることが判明した。Kubernetes は、オンライン・サービスのホスティングと、統一された API によるコンテナ化されたワークロードを管理するための、非常に汎用性の高いオープンソースのコンテナ・オーケストレーション・システムである。

Continue reading “Kubernetes の 90万インスタンスが露出:きわめて危険な状態のものも”

API セキュリティ調査:全インシデントに占める割合は 4.1〜7.5%

One in every 13 incidents blamed on API insecurity – report

2022/06/22 DailySwig — サイバー・セキュリティ・インシデントの原因のうち、API の不安定さが 4.1〜7.5%を占めていることが、最新の研究により明らかになった。Marsh McLennan Cyber Risk Analytics Center が実施した調査は、約11万7000件のユニークなサイバー・セキュリティ・インシデントの分析をベースにしたものであり、大企業ほど API 関連のインシデントが増加する傾向にあることが、統計的に判明している。大企業は、中小企業と比べて3〜4倍も、API セキュリティ問題を経験する可能性が高かったのである。

Continue reading “API セキュリティ調査:全インシデントに占める割合は 4.1〜7.5%”

Travis-CI API からの OAuth トークン流出:GitHub や AWS S3 に影響が生じた理由が判明

Unpatched Travis CI API Bug Exposes Thousands of Secret User Access Tokens

2022/06/14 TheHackerNews — Travis-CI API における未パッチの脆弱性により、数万人のユーザー・トークンが潜在的な攻撃にさらされ、脅威アクターによるクラウド・インフラの侵害/不正なコード変更/サプライチェーン攻撃がなど事実上可能になっている。クラウド・セキュリティ企業である Aqua の研究者たちは、月曜日のレポートの中で「無料ユーザーの 7億 7000万件以上のログが公開され、そこから GitHub/AWS/Docker Hubといった人気のクラウドサービス・プロバイダーに関連する、トークン/機密情報/認証情報などが容易に抽出できる」と述べている。

Continue reading “Travis-CI API からの OAuth トークン流出:GitHub や AWS S3 に影響が生じた理由が判明”

API セキュリティのベスト・プラクティス:攻撃トラフィック量が 681% 増加という現実

API Security Best Practices

2022/06/14 SecurityAffairs — ユーザー組織におけるエコシステムは、API を介して急速にオープン化され、データへのシームレスなアクセスや、外部のソフトウェア・コンポーネント/サービスとの相互作用が保証されるようになってきた。API とは、組織内のデータに対して、高度なセキュリティを提供するためのゲートウェイである。また API は、異なるアプリケーション間における通信を可能にすることで、タスクの自動化などを実現し、業務を容易にする。しかし、組織はデータを保護するために、API に対する攻撃から身を守る必要性に常に直面している。

Continue reading “API セキュリティのベスト・プラクティス:攻撃トラフィック量が 681% 増加という現実”

SaaS-to-SaaS サプライチェーンの時代:保護すべき対象がズレ始める時代

The SaaS-to-SaaS supply chain is a wild, wild mess

2022/05/12 HelpNetSecurity — クラウドへの移行と IT の民主化により、ビジネス・ワークフローのデジタル化と自動化のための統合が進み、相互に接続されたビジネス・アプリのネットワークが拡大し続けている。デジタル・トランスフォーメーション時代の従業員たちは、生産性を高めるために、SaaS アプリや、Workato/Zapier などの no/low code プラットフォーム、サードパーティ・アプリを独自に採用/接続している。

Continue reading “SaaS-to-SaaS サプライチェーンの時代:保護すべき対象がズレ始める時代”

GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという

GitHub Says Recent Attack Involving Stolen OAuth Tokens Was “Highly Targeted”

2022/05/02 TheHackerNews — クラウドベースのコード・ホスティング・プラットフォーム GitHub は、Heroku と Travis-CI に対して発行された OAuth アクセス・トークンの悪用などを含む、最近の攻撃キャンペーンについて高度な標的型の性質があると説明している。GitHub の Mike Hanley は、「この行動パターンは、攻撃者がプライベート・リポジトリのリストアップとダウンロードのために、選択したターゲットのアカウントを特定するために、対象となる組織をリストアップしていたことが示唆される」と述べている。

Continue reading “GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという”

API セキュリティの調査:悪意の API トラフィックが7倍に急増

API Attacks Soar Amid the Growing Application Surface Area

2022/04/27 DarkReading — アジャイル開発の普及に伴い、Web API の利用が劇的に増加し、ソフトウェア関連企業における攻撃面積が拡大したことで、より脆弱な状態へと陥っている。最近の2つのレポートによると、平均的な企業における API 保有数は 15,600 を数え、この1年で3倍増となり、トラフィック量は4倍増の 8億2000万リクエスト/年に達しているとのことだ。

Continue reading “API セキュリティの調査:悪意の API トラフィックが7倍に急増”

API セキュリティの調査:この1年間で41% の企業がインシデントを経験している

41% of businesses had an API security incident last year

2022/04/22 HelpNetSecurity — デジタル・トランスフォーメーションの波を受け、Web/Mobile ベースの統合型サービスが台頭し、製品間のデータ共有が大幅に増加したことで、Web API は急激な成長を遂げた。API への依存度が高まるにつれ、認証や認可の不備や、データの偶発的な漏洩や侵害など、API に関連するセキュリティ上の課題も増えている。

Continue reading “API セキュリティの調査:この1年間で41% の企業がインシデントを経験している”

Linux 上の Docker API 狙う暗号マイナー・マルウェア Lemon_Duck とは?

Docker servers hacked in ongoing cryptomining malware campaign

2022/04/21 BleepingComputer — Linux サーバ上の Docker API が、Lemon_Duck ボットネット・オペレーターによる、大規模な Monero 暗号キャンペーンの標的になっている。このクリプトマイニング・マイニング集団は、セキュリティが不十分な Docker システムや、ミス・コンフィグレーションのある Docker システムにとって常に脅威であり、近年では複数の大規模なエクスプロイト・キャンペーンが報告されている。

Continue reading “Linux 上の Docker API 狙う暗号マイナー・マルウェア Lemon_Duck とは?”

保険会社とランサムウェア:上位 99社のうち 18% が影響を受けやすい状況にある

18% of the top 99 insurance carriers have a high susceptibility to ransomware

2022/04/08 HelpNetSecurity — Black Kite が発表したレポートは、保険分野におけるサイバー・リスクの高まりと、ランサムウェアの影響に対する懸念を示している。最も注目すべき点は、上位 99社の保険会社のうち、20% 近くがランサムウェアの影響を受けやすい状況にあることだ。Black Kite の CSO である Bob Maley は、「サイバー保険の状況は、かつてないほど不安定になっている。デジタル・サプライチェーンは急速に拡大しており、サードパーティにおけるデータ漏洩やランサムウェア攻撃のリスクにさらされている。ビジネスを保護するためには、デジタル・ネットワークのサイバー健全性を徹底的に評価し、継続的に監視する必要がある」と述べている。

Continue reading “保険会社とランサムウェア:上位 99社のうち 18% が影響を受けやすい状況にある”

Microsoft Defender for IoT の深刻な脆弱性:PoC エクスプロイトが公開

Critical Vulnerabilities Found in Microsoft Defender for IoT

2022/03/29 SecurityWeek — 継続的な NDR (Network Detection and Respons) 機能を備えた Defender for IoT は、さまざまな IoT/OT/ICS デバイスをサポートし、オンプレミスとクラウドの双方へのデプロイメントが可能である。その Defender for IoT における、2つの深刻な脆弱性 CVE-2021-42311/CVE-2021-42313 は CVSS 値 が 10 であり、2021年12月の Microsoft Patch Tuesday で対処されている。どちらも SQL インジェクションの脆弱性であり、リモートの攻撃者による認証なしの悪用が可能となり、任意のコード実行を許すことになる。トークン検証プロセスに存在する CVE-2021-42313 は、UUID パラメータのサニタイズの欠如に起因すると SentinelLabs は説明している。

Continue reading “Microsoft Defender for IoT の深刻な脆弱性:PoC エクスプロイトが公開”

Log4j とプロジェクトの関係:ダウンロードの 40% 以上が脆弱なバージョンという現実

Over 40% of Log4j Downloads Are Vulnerable Versions of the Software

2022/03/11 DarkReading — Apache Foundation が、問題となっている Lo4j の脆弱性 CVE-2021-44228 を公表し、その修正プログラムを発行してから3カ月が経過したが、Java パッケージ・リポジトリ Maven Central からダウンロードされる、このロギング・ツールの 10件中4件以上が、依然として既知の脆弱なバージョンのままとなっている。Maven Central の administrator である Sonatype が、いわゆる Log4Shell の欠陥が表面化した直後に立ち上げたダッシュボードによると、2022年2月4日〜3月10日にダウンロードされた Log4j パッケージの 41% が、Log4j 2.15.0 以前のバージョンであることが判明している。つまり、Log4Shell の欠陥が公開された 2021年12月10日に、Apache Foundation がリリースしたパッチ適用バージョンである。

Continue reading “Log4j とプロジェクトの関係:ダウンロードの 40% 以上が脆弱なバージョンという現実”

GitHub 調査:不適切なソースコード管理によりパスワードなどの機密情報が漏洩

Companies’ Code Leaking More Passwords and Secrets

2022/03/03 DarkReading — 今日の GitGuardian の新しいレポートによると、2021年に組織全般から流出したパスワード/AP Iキーなどの機密データは 600万件を超え、前年の2倍に増加したとのことです。このレポートでは、より多くのコードがリポジトリにプッシュされ、より優れた検出機能が利用できるようになったことが主要因である。

Continue reading “GitHub 調査:不適切なソースコード管理によりパスワードなどの機密情報が漏洩”

Log4j 調査:回答した組織の 61% が攻撃を受けている

Security leaders want legal action for failing to patch for Log4j

2022/03/02 HelpNetSecurity — 昨年末に発見された Java ロギング・パッケージ Log4j の脆弱性は、世界中のセキュリティ専門家の頭痛の種となっている。2022年1月に実施された Neustar International Security Council (NISC) の調査に回答した組織の 61% が、この脆弱性を標的とする攻撃を受けたことがあると回答している。さらに、回答者の 75% が Log4j の影響を受けたと答え、21% が深刻な影響を受けたと述べている。

Continue reading “Log4j 調査:回答した組織の 61% が攻撃を受けている”

API セキュリティ調査 2021:攻撃トラフィック量は 600% 増という驚異的な伸び

Attacks abusing programming APIs grew over 600% in 2021

2022/03/02 BleepingComputer — セキュリティ・アナリストは、この1年間において API 攻撃が急増しているが、ほとんどの企業は、この問題に取り組むには適切ち言えない慣行をとっていると警告している。Salt Security は、2021年の API 攻撃トラフィックが 681% 増加し、API トラフィック全体は 321% 増加したと、具体的に報告している。一連の統計は、この業界が API ソリューションを採用するにつれて、それらに対する攻撃が不均衡に増加している現実を浮き立たせている。

Continue reading “API セキュリティ調査 2021:攻撃トラフィック量は 600% 増という驚異的な伸び”

Salt Security の調査:API の広大な攻撃面積を保護するためには?

Salt Security Survey Surfaces API Security Weaknesses

2022/03/02 SecurityBoulevard — 今日、Salt Security が発表した、セキュリティ/アプリケーション/DevOps 関連の、250人以上の役員および専門家を対象とした調査によると、回答者の 95% が過去 12ヶ月間に API に関わるセキュリティ・インシデントを経験し、62% が API セキュリティの懸念からアプリケーションの展開を遅らせたと報告していることが判明した。

Continue reading “Salt Security の調査:API の広大な攻撃面積を保護するためには?”

API の利便性と危険性に関する調査:どんな影響がブランドと消費者に?

The impact of API security on how consumers view brands

2022/02/25 HelpNetSecurity — ThreatX が発表した調査結果は、API 攻撃が消費者エクスペリエンスに与えるリスクを浮き立たせるものとなった。モバイル環境を含む、ほぼ全てのアプリケーションは、API を使用するか、API により使用される。攻撃者による、API への注目度は上がり、データが盗まれ、金銭的リターンに結びつき、ブランドと顧客に被害をもたらされる。

Continue reading “API の利便性と危険性に関する調査:どんな影響がブランドと消費者に?”

Cisco の Nexus Series Switches に影響をおよぼす Network OS の脆弱性が FIX

New Flaws Discovered in Cisco’s Network Operating System for Switches

2022/02/24 TheHackerNews — Cisco は、同社のソフトウェアにおける4つのセキュリティ脆弱性に対処するために、ソフトウェア・アップデートをリリースした。これらの脆弱性は、影響を受けるシステムを制御しようとする悪意のある攻撃者により、武器化される可能性がある。Cisco NX-OS Software の NX-API 機能におけるコマンド・インジェクションの脆弱性 CVE-2022-20650 (CVSS 8.8) は、ユーザー入力に対する不十分な検証に起因するものであり、最も深刻な欠陥である。

Continue reading “Cisco の Nexus Series Switches に影響をおよぼす Network OS の脆弱性が FIX”

ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて

Poisoned pipelines: Security researcher explores attack methods in CI environments

2022/02/16 DailySwig — あるセキュリティ研究者が、Source Code Management (SCM) リポジトリのパーミッションを悪用することで、CI ポイズニング攻撃 (Poisoned Pipeline Attacks) につながることを解説している。Continuous Integration (CI)/Continuous Delivery (CD) プラットフォームを含む開発者のための環境は、コードのマージ/ソフトウェアビルドの自動化/テスト/DevOps プロジェクトへのコード提供のための、基本的なビルディング・ブロックである。

Continue reading “ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて”

Google Cloud と Log4Shell:ピーク時のスキャン数は 40万件/日

Google Cloud offers good news and bad news on Log4Shell, other issues

2022/02/15 CyberScoop — Google Cloud では、Log4Shell バグを持つ脆弱なシステムに対して、1日あたり 40万回のスキャンが行われていると、同社は火曜日に発表した。Google Cloud の CISO である Phil Venables は CyberScoop に対して、「当社の不定期レポート Threat Horizons の調査結果では、スキャンは継続的に行われており、脆弱なインスタンスを1つでもオープンにしておくと発見される。IT セキュリティ担当者は常に注意を払う必要がある」と述べている。

Continue reading “Google Cloud と Log4Shell:ピーク時のスキャン数は 40万件/日”

Log4j 脅威:問題の本質はセキュリティではなくガバナンスにある

Log4j Isn’t Just a Cybersecurity Threat—It Reveals Blind Spots in Our Cyber Governance

2022/02/14 SecurityBoulevard — すでに CISO たちは、膨大な脆弱性に悩まされており、12月に Log4j の脆弱性が発表されたときにも、すでに長くなってしまったリストの上に、さらに1つの危機が加わることに、どれほどの意味があるのだろうかと思っていたはずだ。

しかし、それは間違いである。Log4j は、サイバー・セキュリティ上の単なる緊急の脅威というだけではない。Log4j は、今日の企業が直面している、IT における膨大なセキュリティとコンプライアンスの課題を的確に捉えるものである。そのため、CISO たちは、IT エコシステム内から Log4j の脅威を取り除くにしても、なぜ Log4j が、差し迫った問題なのかを考える必要がある。

Continue reading “Log4j 脅威:問題の本質はセキュリティではなくガバナンスにある”

Argo CD の脆弱性が FIX:Kubernetes アプリから機密情報が漏れてしまう

Argo CD vulnerability leaks sensitive info from Kubernetes apps

2022/02/04 BleepingComputer — Kubernetes へ向けたアプリケーションのデプロイに、数千の組織が使用している Argo CD の脆弱性により、パスワードや API キーなどの機密情報を開示する、攻撃が行われる可能性がある。この、CVE-2022-24348 として追跡されているパス・トラバーサルの欠陥は、Apiiro の Security Research Team により発見されたものであり、特権昇格/情報開示/横方向移動などの、攻撃につながる可能性がある。

Continue reading “Argo CD の脆弱性が FIX:Kubernetes アプリから機密情報が漏れてしまう”

Log4j 脆弱性へのパッチ適用:もう遅いのか?その前に考えるべきことは?

Critical Log4j Vulnerabilities Are the Ultimate Gift for Cybercriminals

2022/02/02 DarkReading — いま、誰もがパッチ適用に追われている。Log4j のセキュリティ脆弱性が悪用されるのを防ぐために、ドアや窓に鍵をかけている。パッチの適用を急ぐことは理解できるが、多くの人が気づいていないのは、それが既に遅すぎるということだ。しかし、それは、Log4j を利用している組織にとって、悪いことだという意味ではない。この記事では、Log4j の被害を軽減するために知っておくべきこと、そして、やっておくべきことを説明していく。

まず、なぜ Log4j へのパッチ適用が、それほど複雑であるかを理解することが重要である。まず、自社のソフトウェア資産とサードパーティのコンポーネントの双方において、どれだけの資産がインターネットに公開されているかを、誰もが即座に判断できずにいる。また、組織のリスクを特定することも簡単ではない。そのためには、組織が Log4j パッケージを使用しているかどうかだけでなく、それが組織におけるミッション・クリティカルな資産と、どのように関連しているかを知る必要がある。

Continue reading “Log4j 脆弱性へのパッチ適用:もう遅いのか?その前に考えるべきことは?”

アクセス・ブローカー Prophet Spider が Log4Shell 攻撃を増幅させる

IAB Prophet Spider Seizes Opportunity to Exploit Log4j Vulnerability

2022/02/02 SecurityBoulevard — イニシャル・アクセス・ブローカー (initial access broker:IAB) グループである Prophet Spider による攻撃は、最近になって発見された VMware Horizon での Log4j 脆弱性の悪用と相関関係があることが判明した。また、侵害の兆候を示すいくつかの指標は、自身の組織に対する攻撃の有無を、セキュリティ・チームが判断するのに役立つ。

Prophet Spider 攻撃を発見したBlackBerry Research & IntelligenceとIncident Response チームによると、昨年末に VMware は Log4Shell パッチと緩和のためのガイダンスを発行したが、多くの実装においてパッチが適用されていない。

Continue reading “アクセス・ブローカー Prophet Spider が Log4Shell 攻撃を増幅させる”

ゼロトラストと Log4Shell:どのように考えれば攻撃を防げるのか?

How would zero trust prevent a Log4Shell attack?

2022/01/27 HelpNetSecurity — どのようなリモートコード実行の攻撃であっても、一見すると些細に思える解決策がある。それは、インバウンド・トラフィックが、サーバーの脆弱性を引き起こすパターンと、一致しないようにすることだ。言うのは簡単だが、実行するのは困難である。致命的な深刻さを持つ Log4j の脆弱性を誘発する可能性のあるトラフィック・パターンには、ほぼ無限のバリエーションがある。

Continue reading “ゼロトラストと Log4Shell:どのように考えれば攻撃を防げるのか?”

MSHTML の脆弱性を悪用:政府/防衛を狙うハッカーの動きを検知

Hackers Exploited MSHTML Flaw to Spy on Government and Defense Targets

2022/01/25 TheHackerNews — 火曜日にサイバー・セキュリティ研究者たちは、西アジアの国家安全保障政策を監督する政府高官や防衛産業に携わる人々を標的とした、複数のステージで構成されるスパイ活動について明らかにした。セキュリティ企業である Trellix (McAfee Enterprise と FireEye が合併) は、The Hacker Newsに掲載されたレポートの中で、この攻撃は、Microsoft OneDrive を Command and Control (C2) サーバーとして活用している点が特徴であり、可能な限り目立たないようにするために6つのステージに分かれていると述べている。

Continue reading “MSHTML の脆弱性を悪用:政府/防衛を狙うハッカーの動きを検知”

オランダのサイバー・セキュリティ機関が警告:Log4j 脆弱性のリスクは長期化する

Dutch cybersecurity agency warns of lingering Log4j risks

2022/01/22 BleepingComputer — オランダの Dutch National Cybersecurity Centre (NCSC) は、木曜日に発表した警告の中で、企業は Log4j 攻撃に関連するリスクを認識し、現在進行中の脅威に警戒する必要があると述べている。一連の深刻な脆弱性を緩和するために、多くの組織が迅速に行動したことで、Log4Shell の悪用に関連しするインシデントの余波は、それほど大きくないとされているが、NCSC によると、脅威アクターたちは依然として新たな標的への侵入を、計画している可能性が高いとのことだ。

Continue reading “オランダのサイバー・セキュリティ機関が警告:Log4j 脆弱性のリスクは長期化する”

Apache Log4j 1.x の3つの脆弱性が公開:Chainsaw と JDBC Appender に注意

SBN New Log4j 1.x CVEs, and critical Chainsaw Vulnerability — What to Do?

2022/01/21 SecurityBoulevard — 今週になって、Apache は Log4j 1.x のバージョンに影響を与える、3つの脆弱性を公開した。Log4j 1.x は 2015年8月の時点で、いずれにしても end-of-life の製品であり、推奨されるアドバイスは、安全な log4j 2.x への移行である。しかし、これらの CVE 開示の中には、以下に分析する深刻な Apache Chainsaw の脆弱性が埋もれている。

Continue reading “Apache Log4j 1.x の3つの脆弱性が公開:Chainsaw と JDBC Appender に注意”

2021年はサプライチェーン攻撃の年:3倍増の件数と3つの大きな課題

Software Supply Chain Attacks Tripled in 2021: Study

2022/01/20 SecurityWeek — 2021年は、ソフトウェア・サプライチェーン攻撃の年だったと言えるだろう。SolarWinds が世界の目を見開かせ、脅威の大きさを明らかにした年だ。それ以外にも、Kaseya/Codecov/ua-parser-js/Log4j などの大規模な攻撃があった。いずれの場合も、攻撃者にとって魅力的なのは、分散したコードにおける1つの違反/危殆化/脆弱性が、数千人にもいたる犠牲者を出す可能性があることだ。

Continue reading “2021年はサプライチェーン攻撃の年:3倍増の件数と3つの大きな課題”

Microsoft が発見した新たな SolarWinds Serv-U バグが FIX:Log4j 攻撃を伝搬する?

Microsoft: SolarWinds fixes Serv-U bug exploited for Log4j attacks

2022/01/19 BleepingComputer — Microsoft が発見した Serv-U の脆弱性に対して、SolarWinds がパッチを適用した。この脆弱性は、脅威アクターが Log4j 攻撃を、ネットワーク上の内部デバイスに伝播させるために積極的に利用するものだ。Microsoft によると、Log4j 攻撃の監視中に、この脆弱性を発見したとのことだ。このバグは、Microsoft のセキュリティ研究者である Jonathan Bar Or が発見した不適切な入力検証の脆弱性であり、攻撃者により作成されたクエリが、無節操にネットワーク上に送信されることになる。

Continue reading “Microsoft が発見した新たな SolarWinds Serv-U バグが FIX:Log4j 攻撃を伝搬する?”

Apple Safari の WebKit に脆弱性:same-origin ポリシー違反による情報漏洩

Safari bug leaks your Google account info, browsing history

2022/01/17 BleepingComputer — Safari の WebKit エンジンに搭載されている、IndexedDB API の実装に問題が発見された。この欠陥を悪用された場合、リアルタイムでの不正な閲覧活動や、ユーザーの個人情報などが漏洩する可能性がある。IndexedDB は、広く使われているブラウザの API であり、容量制限のない汎用性の高いクライアント・サイドのストレージ・システムである。

Continue reading “Apple Safari の WebKit に脆弱性:same-origin ポリシー違反による情報漏洩”

ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた

U.S. Government, Tech Giants Discuss Open Source Software Security

2022/01/14 SecurityWeek — 2020年1月13日にホワイトハウス・サミットが開催され、米国の政府と大手ハイテク企業の代表者がオープンソース・ソフトウェアのセキュリティについて話し合った。広く利用されている Log4j ロギング・ユーティリティーに影響を与える脆弱性が、公開/悪用されたことで、オープンソースとソフトウェア・サプライチェーンのセキュリティの重要性が、あらためて浮き彫りになっている。ホワイトハウス・サミットの目的は、オープンソース・ソフトウェアのセキュリティを向上させ、オープンソース・コミュニティを効果的にサポートする方法を特定することだった。

Continue reading “ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた”

SEC と FTC の Log4j 脆弱性をめぐる警告:金融分野での悪用に備える米政府

SEC, FTC Issue Warning on Log4j Vulnerabilities

2022/01/14 SecurityBoulevard — 米国連邦取引委員会 (Federal Trade Commission : FTC) および米国証券取引委員会 (Securities and Exchange Commission : SEC) は、Log4j の脆弱性がもたらすリスクに対処していない企業に警告を発している。特に FTC は、消費者向けの製品やサービスに含まれる、様々なシステム・アクティビティを記録するために使用されている、ユビキタス・ソフトウェアである Log4j のセキュリティ脆弱性を修正するよう企業に警告している。

Continue reading “SEC と FTC の Log4j 脆弱性をめぐる警告:金融分野での悪用に備える米政府”

ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題

White House reminds tech giants open source is a national security issue

2022/01/14 BleepingComputer — Log4J の脆弱性による重要インフラへの脅威を受けて、ホワイトハウスは政府機関や民間企業に対して、オープンソース・ソフトウェアとサプライチェーンの安全確保に向けて、リソースを結集し努力するよう養成した。そのためのサミットが開催され、「オープンソース・ソフトウェアのセキュリティ上の欠陥や脆弱性の防止」「セキュリティ上の欠陥の発見と修正のプロセスの改善」「修正プログラムの提供と展開に要する時間の短縮」という、3つのテーマが取り上げられた。

Continue reading “ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題”

API ゲートウェイと API プロテクション:違いを理解して協調させるには?

API Gateway Security – What kind of security do API gateways offer?

2022/01/13 SecurityBoulevard — API は、最新のアプリケーションを構成する重要な要素であると同時に、企業の攻撃対象として最も急増している要素の1つでもある。当然のことながら、企業は、これらの資産が適切に管理され、プロビジョニングされ、脅威や攻撃者から保護されていることを確認する必要がある。API プロテクション・ソリューションと API ゲートウェイは、どちらも、この点で重要な役割を果たしており、場合によっては重複した機能を持つこともある。しかし、それは互換性があるということではなく、それぞれの技術を使用すべき場所とタイミングを正確に知ることで、余計な混乱を招く恐れもある。

Continue reading “API ゲートウェイと API プロテクション:違いを理解して協調させるには?”

TellYouThePass ランサムウェアが復活:Golang によるクロス・プラットフォームと Log4Shell

TellYouThePass ransomware returns as a cross-platform Golang threat

2022/01/12 BleepingComputer — TellYouThePass ランサムウェアは、Golang でコンパイルされたマルウェアとして再登場し、多様なオペレーティング・システムにおいて、特に macOS と Linux を標的にすることが容易になった。このマルウェアは、先月に Log4Shell エクスプロイトと組み合わせることで、脆弱なマシンを狙うために使用されたことで注目されている。今回、Crowdstrike が発表したレポートは、Windows 以外のプラットフォーム向けのコンパイルを容易にする、コードレベルの変更による復活に注目している。

Continue reading “TellYouThePass ランサムウェアが復活:Golang によるクロス・プラットフォームと Log4Shell”

Oxeye の Ox4Shell は Log4Shell の難読化に対抗するためのツールだ

Oxeye Tool Can Counter Log4j Obfuscation Attacks

2022/01/12 SecurityBoulevard — 今日、Oxeye は、Ox4Shell と名付けられた、オープンソースの対難読化ツールを発表した。それにより、サイバーセキュリティ・チームは、脆弱性 Log4Shell を利用しようとする、隠れたペイロードをより簡単に発見できるようになる。多くの企業の IT 部門は、Java アプリケーションからログデータを収集するために広く使用されている、Log4j で発見された一連のゼロデイ脆弱性に悩まされている。Oxeye の CTO である Ron Vider は Ox4Shell について、脆弱性 Log4jShell を悪用するペイロードを隠すために、多くのサイバー犯罪者が用いる難読化戦術に対抗するために設計されていると述べている。

Continue reading “Oxeye の Ox4Shell は Log4Shell の難読化に対抗するためのツールだ”

Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された

Night Sky ransomware uses Log4j bug to hack VMware Horizon servers

2022/01/11 BleepingComputer — ランサムウェア Night Sky が、Log4j ロギング・ライブラリに存在する深刻な脆弱性 CVE-2021-44228 (Log4Shell) を悪用し、VMware Horizon システムへのアクセスを開始した。このランサムウェアは、正規の企業を装ったドメインから、Web 上に公開されている脆弱なマシンを標的としており、その中にはテクノロジーやサイバー・セキュリティ分野の企業も含まれている。

Continue reading “Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された”

イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下

State hackers use new PowerShell backdoor in Log4j attacks

2022/01/11 BleepingComputer — イランの国家支援グループ APT35 (Charming Kitten/Phosphorus) に属すると思われるハッカーが、Log4Shell 攻撃により新たな PowerShell バックドアを投下していることが確認されている。このモジュール型ペイロードは、C2 通信を処理し、システムの列挙を行い、最終的には追加モジュールの受信/復号化/ロードを行うことが可能とされる。Log4Shell は、12月に公開された Apache Log4j の深刻なリモートコード実行の脆弱性 CVE-2021-44228 を悪用するものである。

Continue reading “イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下”

CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い

CISA Unaware of Any Significant Log4j Breaches in U.S.

2022/01/11 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) だが、先日に公開された Log4j の脆弱性に関連した深刻な侵害について、現在のところ検知していないと述べている。月曜日に行われたメディアへのブリーフィングで、CISA の Director である Jen Easterly と、Executive Assistant Director for Cybersecurity である Eric Goldstein は、深刻なインシデントは検知していないと述べている。これは、数多くの組織が迅速に対応した結果だと思われる。

Continue reading “CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い”

Log4j の脆弱性は極めて深刻:多くの問題をインターネット上に残した

Extremely Critical Log4J Vulnerability Leaves Much of the Internet at Risk

2022/01/10 TheHackerNews — Apache Software Foundation は、広く利用されている Java ベース・ロギング・ライブラリ Log4j に存在する、悪意のコード実行と脆弱なシステムの乗っ取りを許す、ゼロデイ脆弱性の修正プログラムを公開した。この問題は、CVE-2021-44228 として追跡され、Log4Shell または LogJam というニックネームで呼ばれている。具体的に言うと、このオープンソース・ユーティリティを使用する全てのアプリケーションにおいて、認証を必要とせずにリモートコードが実行されるというものであり、Log4j Ver 2.0-beta9〜2.14.1 に影響する。このバグの深刻度は、CVSS 値 10.0 となっているで。

Continue reading “Log4j の脆弱性は極めて深刻:多くの問題をインターネット上に残した”

英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている

NHS Warns of Hackers Targeting Log4j Flaws in VMware Horizon

2022/01/07 TheHackerNews — 英国の国民保健サービス (National Health Service:NHS) のデジタル・セキュリティ・チームは、パッチが適用されていない VMware Horizon サーバーに存在するLog4j の脆弱性 (Log4Shell) を利用して、悪意の Web シェルを投下し、侵害したネットワーク上に持続的に存続して、次の攻撃をねらうという未知の脅威行為に対して警鐘を鳴らした。

Continue reading “英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている”