17 Billion Personal Records Exposed in Data Breaches in 2023
2024/03/28 InfoSecurity — Flashpoint の最新レポート 2024 Global Threat Intelligence Report によると、2023年に報告されたデータ漏えい事件は 34.5%増加し、年間を通じて漏えいした個人情報は、170億件以上にものぼるという。Flashpoint は、氏名/社会保障番号/財務データなどの機密情報を含む、2023年に公に報告された 6077 件のデータ漏えいを調査した。これらのインシデントの 70%以上が、被害を受けた組織に対する外部からの不正アクセスに起因するものだったという。
Continue reading “2023年の個人情報が漏えい:170億件で 34.5%増 – Flashpoint 調査”Misconfigured Firebase instances leaked 19 million plaintext passwords
2024/03/19 BleepingComputer — データベース/クラウド/アプリ開発などをホスティングする、Google のプラットフォーム Firebase のミスコンフィグにより、1,900 万件あまりの平文のパスワードがインターネット上に流出していたことが、3人のサイバー・セキュリティ研究者たちの調査により明らかになった。研究者たちが 500 万件以上のドメインをスキャンしたところ、セキュリティ・ルールが有効化されていない組織の、あるいは、間違って設定されている組織の Web サイトが、916 件も発見されたとのことだ。さらに、電子メール/名前/パスワード/電話番号/銀行明細を含む請求情報などの個人情報が、1億2500万件以上も公開されていることも判明した。
Continue reading “Firebase インスタンスのミスコンフィグ:平文パスワード 1900 万件が流出”Over 12 million auth secrets and keys leaked on GitHub in 2023
2024/03/11 BleepingComputer — 2023年に GitHub ユーザーが、誤って公開してしまった認証や機密のシークレットは 1280万件に達し、それらは 300万以上の公開リポジトリ上に存在している。GitGuardian のサイバー・セキュリティ専門家たちによると、シークレットを暴露してしまった人々に 180万通の無料メール・アラートを送ったが、連絡を受けた人たちのうち、誤りを修正するために迅速に行動したのは、僅か 1.8% に過ぎなかったという。
Continue reading “2023年の GitHub:全体で 1200万件のシークレットが漏えいしてしまった”How to Find and Fix Risky Sharing in Google Drive
2024/03/06 TheHackerNews — Google Workspace の管理者なら誰でも、Google Drive 上で緩く共有された機密情報が、あっという間に乱雑な状態になることを知っている。それは、誰のせいでもない。組織の内外でのリアルタイム・コラボレーションを実現するための、生産性向上スイートとして設計されている以上、避けられないことなのだ。
Continue reading “Google Drive 上での機密データ管理:緩い共有がもたらす危険性を排除するには?”American Express credit cards exposed in third-party data breach
2024/03/04 BleepingComputer — American Express は、ハッキングされたのはサービス・プロバイダーではなく、加盟店における処理過程にあったと、3月4日に情報を更新した。つまり、このインシデントは、American Express からのデータ漏洩ではなく、同社の会員データが処理していた加盟店からのデータ漏洩であるとされている。また、American Express は、加盟店における処理過程でハッキングが生じ、第三者からデータ流出によるクレジットカード情報が流出したと顧客に警告している。
Continue reading “American Express カード情報が漏えい:加盟店の処理過程で流出か?”Threat Actors Hacked Taiwan-Based Chunghwa Telecom
2024/03/04 SecurityAffairs — 中華電信 (Chunghwa Telecom Company, Ltd.) は、台湾最大の総合電気通信サービス・プロバイダーであり、同国のローカル・エクスチェンジ・キャリアとして、PSTN/モバイル/ブロードバンド・サービスなどを提供している。その中華電信から、軍事文書や政府文書を含む機密情報が、脅威アクターにより窃取されたことを、台湾の国防省が明らかにした。この脅威アクターは、政府関連の契約書類を含む 1.7 TB のデータを盗み出したと主張しているという。
Continue reading “台湾の中華電信でデータ侵害が発生:軍事文書/政府文書などが窃取された”ExpressVPN bug has been leaking some DNS requests for years
2024/02/11 BleepingComputer — ExpressVPN の最新バージョンから、スプリット・トンネリング機能が削除された。その背景にあるのは、ユーザーがアクセスするように設定された、DNS サーバのドメインが公開されるというバグの発見である。このバグは、2022年5月19日〜2024年2月7日に公開された、ExpressVPN Windows バージョン12.23.1~12.72.0 に入り込んだものであり、スプリット・トンネリング機能を使用している場合のみ影響が生じるという。
Continue reading “ExpressVPN の DNS リクエスト・リークのバグ:スプリット・トンネリング機能が原因”Trello API abused to link email addresses to 15 million accounts
2024/01/23 BleepingComputer — Atlassian 傘下の Trello は、データやタスクをボード/カード/リストで整理するための、オンライン・プロジェクト管理ツールを提供するベンダーである。その Trello が公開している API は、個人のメール・アドレスと Trello アカウントを紐づけ、何百万ものデータ・プロファイルの作成を可能にするが、そこには公開/非公開の情報も取り込まれている。
Continue reading “Trello のデータ流出:API を悪用して 1500万人のユーザーデータを窃取”Panasonic discloses data breach after December 2022 cyberattack
2023/12/27 BleepingComputer — 航空機向けの機内通信とエンターテインメントのシステムを手掛ける Panasonic Avionics Corporation は、1 年以上前の 2022 年 12 月に発生した企業ネットワーク侵入の後に、多数の個人に影響を与えるデータ侵害に至っていたことを明らかにした。同社の企業ネットワーク上のデバイスの一部に侵入した攻撃者は、影響を受けた組織と個人から収集された情報に、不正アクセスしたとされる。
Continue reading “Panasonic の航空機通信システム:インシデントから1年を経て個人情報漏洩が判明”Ubiquiti users report having access to others’ UniFi routers, cameras
2023/12/14 BleepingComputer — 昨日に報告されたのは、Ubiquiti のネットワーク機器のユーザーたちの困惑であり、同社の UniFi クラウドサービスを通じて、ルーターからセキュリティカメラに至るまでの、他者のデバイスや通知が見えてしまうというものだった。Ubiquiti は人気のネットワーク機器メーカーであり、クラウドベースの UniFi プラットフォームを利用する管理者は、単一のクラウド・ポータルから全デバイスを管理できるようになる。
Continue reading “Ubiquiti で発生したミスコンフィグ:クラウドを介して他者の Router/Camera にアクセス?”Apple Commissions Data Breach Study to Highlight Need for End-to-End Encryption
2023/12/07 SecurityWeek — Apple が委託した調査により、過去2年間にわたるデータ漏洩の結果が分析され、推定で 26億件の個人記録が漏洩していたことが判明した。同社は、End-to-End 暗号化 (E2EE:end-to-end encryption) の必要性を訴えている。この “The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase” という調査は、MIT の Stuart Madnick 教授により実施されたものであり、過去1年間に発生した主なデータ漏洩を精査し、いくつかの傾向を明らかにしている。
Continue reading “Apple によるデータ漏洩調査:End-to-End 暗号化の必要性を強調”PyPI Packages Found to Expose Thousands of Secrets
2023/11/14 SecurityWeek — PyP Iパッケージにコミットされた Python コードを分析した結果において、何千ものハードコードされた認証情報が存在することが明らかになったと、コード・セキュリティ企業の GitGuardian が警告している。GitGuardian はセキュリティ研究者の Tom Forbes と共同で、約3,000の PyPI パッケージの中にある 4,000件ほどのユニークなシークレットを発見し、このうちの 760件以上が有効であると判明したとしている。
Continue reading “PyPI パッケージに漏れ出したシークレット情報:何千ものハードコードされた認証情報が存在”Microsoft leaks 38TB of private data via unsecured Azure storage
2023/09/18 BleepingComputer — 2020年7月以降において Microsoft の AI 研究部門は、GitHub パブリック・リポジトリに、オープンソースの AI 学習モデルをコントリビュートする際に、誤って 38TB の機密データを流出させていた。それから約3年後に、クラウド・セキュリティ企業である Wiz が発見したのは、流出した情報を含む Azure Blob ストレージ・バケットの、ミスコンフィグレーションされた URL が、Microsoft の従業員により不用意に共有されていたことだった。
Continue reading “Microsoft AI 研究部門の失敗:38TB のプライベート・データを誤って SAS 共有”Google Chrome Rolls Out Support for ‘Privacy Sandbox’ to Bid Farewell to Tracking Cookies
2023/09/11 TheHackerNews — Google Chrome における Privacy Sandbox の計画を発表されてから、4カ月が経過し、多数のユーザーへの展開が正式に開始された。Google の VP Privacy Sandbox Initiatives である Anthony Chavez は、「我々は、プライバシーの改善と、情報へのアクセス維持が重要だと考えている。その対象が、ニュースであろうと、ハウツーガイドであろうと、楽しいビデオであろうと、同じことだと信じている。Privacy Sandbox のような、サードパーティ・クッキーに代わるプライバシー保護手段がなければ、ユーザーによる情報へのアクセスを低減し、また、フィンガープリンティングのような侵略が高じる危険性がある」と述べている。
Continue reading “Chrome の Privacy Sandbox がスタート:クッキーの弊害を排除できるのか?”VirusTotal leaked data of 5,600 registered users
2023/07/18 HelpNetSecurity — VirusTotal がデータ流出に見舞われ、登録ユーザー 5,600人の氏名と電子メール・アドレスが流出した。この流出したデータには、米国とドイツの諜報機関などの職員に関する情報も含まれていると報じられている。Google 傘下の VirusTotal は、疑わしいファイルや URL を分析する人気のオンライン・サービスであり、ウイルス対策エンジンや Web サイト・スキャナーを通じて、マルウェアや悪意のあるコンテンツを検出している。
Continue reading “VirusTotal からリークした個人情報:米国とドイツの諜報機関などの職員 5,600 人が被害”Cyber extortion hits all-time high
2023/06/12 HelpNetSecurity — Orange Cyberdefense によると、近年におけるサイバー恐喝攻撃は蔓延の傾向を示しており、あらゆる規模や業種の組織にとって、大きな脅威になっているという。同社の調査で確認された。合計 6,707件の企業被害者のデータを分析したところ、国や業種により被害者数に変動があり、新たな地域にも攻撃が広がっていることが判明した。2022年にはサイバー恐喝被害者数は 8% の減少というデータが示されているが、この減少は短期間に限定されたものであり、最新データである 2023年 Q1 の状況は、これまでで最大のボリュームとなっている。
Continue reading “サイバー恐喝攻撃は蔓延の傾向:欧米から東南アジアへと移行する攻撃対象”Brave unveils new “Forgetful Browsing” anti-tracking feature
2023/05/14 BleepingComputer — Brave Browser は、プライバシーに配慮した Web ブラウザである。そして、新たな機能として、同じ Web サイトに再訪問したといきに、そのサイトがあなたを特定することを防ぐ Forgetful Browsing を導入する。この新機能は、指定した Web サイトの Cookie だけでなく、そのサイトを閉じた際にローカル・ストレージやキャッシュに残っているデータもクリアする。それにより、ユーザーはサイトから自動的にログアウトすることになるが、次回以降に同サイトにアクセスした際の、再識別を防ぐことが可能になる。
Continue reading “Brave の Forgetful Browsing という新機能:ファーストパーティ追跡を Stop!”Toyota: Car location data of 2 million customers exposed for ten years
2023/05/12 BleepingComputer — トヨタ自動車株式会社のクラウド環境において、2013年11月6日〜2023年4月17日の 10年間にわたり、215万人の顧客の自動車位置情報が流出するという、データ侵害があったことが公表された。トヨタが日本のニュース・ルームで発表した内容によると、このデータ侵害の原因は、データベースのミスコンフィグレーションにあり、誰もがパスワードなしでアクセスできるようになったという。
Continue reading “トヨタ自動車のデータ侵害:10年間にわたって 215万人の顧客情報が流出していた”Google brings dark web monitoring to all U.S. Gmail users
2023/05/10 BleepingComputer — 5月10日に Google が発表した計画によると、米国のすべての Gmail ユーザーは、自身のメールアドレスがダークウェブ上で開示されているかどうかを確認するための、セキュリティ機能 Dark Web Report を近々に利用できるようになるようだ。さらに Google は、アニュアル・デベロッパー・カンファレンス Google I/O での発表で、この機能は今後の数週間をかけて展開され、一部のグローバル市場からのアクセスは対しても拡大される予定だと述べている。
Continue reading “Google の Dark Web Report が米国で発動:あなたの情報がダークウェブで見つかるかもしれない”Researchers Find 250 Million Artifacts Exposed in Misconfigured Registries
2023/04/25 InfoSecurity — Aqua Nautilus の調査により、何千もの誤った設定のアーティファクト・リポジトリと、コンテナ・イメージ・レジストリが発見され、深刻なソフトウェア・サプライチェーン攻撃にユーザー組織がさらされる可能性があることが判明した。セキュリティ・ベンダーである同社の調査により、2億5000 万以上のソフトウェア・アーティファクトと、65,000 以上のコンテナ・イメージが、このような形で公開されている状況が判明した。いくつかの大手グローバル企業が危険にさらされ、そこには Fortune 500 企業も含まれていることも明らかされた。
Continue reading “リポジトリ/レジストリの誤設定で 2.5 億件のアーティファクトが暴露:Fortune 500 企業にもリスク”Researchers discover sensitive corporate data on decommissioned routers
2023/04/19 HelpNetSecurity — ESET の調査により、廃棄され二次市場で販売されたルーターの設定データの 56% に、企業の機密データが含まれていることが判明した。この調査のリーダーである ESET のセキュリティ研究者である Cameron Camp は、「今回の調査結果がもたらす潜在的な影響は、極めて懸念すべきものであり、警鐘を鳴らすべきものだ」と述べている。
Continue reading “ルーターの廃棄に御用心:大企業ほど機密データが残されている – ESET 調査”Uber Drivers’ Data Exposed in Breach of Law Firm’s Servers
2023/04/06 InfoSecurity — Uber の代理として機能する中堅の法律事務所が、サイバー攻撃により機密データが暴露され盗まれたことを、不特定のドライバーたちに通知した。The Register が入手したのは、ニュージャージー州に拠点を置く Genova Burns が、顧客向けの電子メールで公表した、この情報漏洩の内容である。
Continue reading “Uber ドライバーの機密情報が流出:法律事務所へのサプライチェーン攻撃が原因”Over 70% of Employees Keep Work Passwords on Personal Devices
2023/03/30 InfoSecurity — 従業員の5人に4人 (71%) が、個人のスマフォに仕事用の機密パスワードを保存し、66% が個人用のテキスト・アプリを仕事に使用している。このデータは、SlashNext の最新の Mobile BYOD Security Report によるものであり、プライベート・メッセージング・アプリを介したフィッシング攻撃について、セキュリティ・リーダーの 95% が懸念を強めていることも示されている。SlashNext の CEO である Patrick Harr は、「職場において個人のモバイル・デバイスが広く使われるようになり、機密情報のセキュリティを雇用主が確保することが、ますます難しくなっている」と述べている。
Continue reading “従業員の 70% 以上に問題あり:個人のデバイスに仕事用のパスワードを保持”GitHub’s Private RSA SSH Key Mistakenly Exposed in Public Repository
2023/03/25 DarkReading — 暗号化方式の RSA SSH ホスト鍵の機密部分が、未知の脅威アクターにより公開されたことで、GitHub は SSH キーを交換した。GitHub のオープン・リポジトリで、脅威アクターがシークレット・キーを公開したと思い込み、飛びつく人もいるかもしれないが、これはヒューマン・エラーによって発生したものだった。SSH キーには、パブリック・キーとシークレット・キーがあり、パブリック・キーは共有/公開できるが、シークレット・キーは秘密にしておくことが不可欠なのだ。誰が公開したのか、どこで公開されたのかという点について、GitHub は情報を公表していないが、管理者はブログで状況を説明している。
Continue reading “GitHub の RSA SSH シークレット・キー:パブリック・リポジトリに誤って公開される”The risk of pasting confidential company data into ChatGPT
2023/03/13 SecurityAffairs — Cyberhaven Labs の研究者たちが、各企業で働く 160万人の従業員による ChatGPT の利用状況を分析した。その結果として、発売以来人気のチャットボット・モデルを、彼らの 5.6% が職場で使用し、4.9% が企業データを提供していることが判明した。この種のデータを用いて、ChatGPT のナレッジベースは構築され、さらに、構築された情報は一般に公開されていく。
Continue reading “ChatGPT に企業データを投げ込むという行為:潜在的なリスクについて考えよう”Inside Threat: Developers Leaked 10M Credentials, Passwords in 2022
2023/03/10 DarkReading — 喜ばしいことに、2022年には、パスワードや API キーなどの、ソフトウェアの機密情報が流出する割合が半減しており、GitHub リポジトリへのコミット 1,000件につき 5.5件というレベルになった。今週に、機密管理会社である GitGuardian が発表した 2022 State of Secrets Sprawl に、このような調査の結果が記されている。上記の割合は一見すると小さく思えるが、公開リポジトリに機密情報が漏れる事例は、全体では少なくとも 1000万件も検出され、ユニークな機密としての 300 万件も含まれるという。
Continue reading “GitHub のシークレット調査:2022年には 1000万件の機密情報が新たに漏洩していた”AT&T is notifying millions of customers of data breach after a third-party vendor hack
2023/03/10 SecurityAffairs — AT&T が発表し内容は、同社のサードパーティー・ベンダーがハッキングされ、個人情報の一部が漏えいしたことを、数百万人の顧客に通知したというものだ。不正アクセスを受けた CPNI (Customer Proprietary Network Information) とは、顧客が購入した電気通信サービスに関連する情報のことであり、アカウントごとの回線数や顧客が加入しているワイヤレスプランなどのデータが含まれるという。
Continue reading “AT&T のデータ侵害:サードパーティ・ベンダーがハッキングされた”Fifth of Government Workers Don’t Care if Employer is Hacked
2023/03/09 InfoSecurity — 説明責任を果たさない文化と、不十分なサイバー衛生と、限られたスタッフ・トレーニング・・・ このような傾向が、世界中の政府にサイバー・リスクの大きな嵐を生み出し、その一方では、深刻なデータ漏洩の可能性に対して、多くの職員が無関心になっていると、Ivanti は警告している。セキュリティ・ベンダーである Ivanti は、世界中の公共部門の職員 800人を対象にアンケートを実施し、新しい Government Cybersecurity Status Report を公開した。
Continue reading “米政府職員のセキュリティ意識:20% が雇用主へのハッキングに無関心だと回答”Google One expands security features to all plans with dark web report, VPN access
2023/03/08 HelpNetSecurity — Google One に、2つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。
Continue reading “Google One の新機能:VPN アクセス/Dark Web レポートでセキュリティを強化”Acer confirms breach after 160GB of data for sale on hacking forum
2023/03/07 BleepingComputer — 台湾の大手コンピュータ・メーカーである Acer は、同社の修理技術者が使用していたプライベート・ドキュメントを格納するサーバが、脅威アクターにハッキングされ、データ侵害が発生したことを明らかにした。しかし同社は、これまでの調査結果では、このセキュリティ・インシデントが顧客データに影響を与えたとは言えないとしている。2023年2月中旬に Acer から盗まれたとされる 160GBのデータが、ある脅威アクターにより、人気のハッキングフォーラムで販売され始めたことで、このデータ漏洩が認められることになった。
Continue reading “Acer でデータ侵害:160GB のデータがハッキングフォーラムで販売されている”Experts Reveal Google Cloud Platform’s Blind Spot for Data Exfiltration Attacks
2023/03/06 TheHackerNews — Google Cloud Platform (GCP) のフォレンジック可視性が不十分であることを利用して、脅威アクターたちによる機密データの流出が可能なことが、最新の研究で明らかになった。クラウド・インシデント対応企業である Mitiga のレポートには、「残念ながら、GCP は、フォレンジック調査に必要なストレージ・ログの可視性を備えていない。そのため、潜在的なデータ流出攻撃を、組織は見過ごす可能性がある」と述べている。
Continue reading “Google Cloud Platform の深刻な問題:データ流出攻撃に対して死角が生じている”LastPass breach: Hacker accessed corporate vault by compromising senior developer’s home PC
2023/02/28 HelpNetSecurity — 2022年8月に発生した LastPass の開発環境への侵害と、その後に発生したバックアップ・ホストのサードパーティ・クラウド・ストレージ・サービスへの不正アクセスに関して、同社から顧客へを通知が改めて行われた。同社の通知には、「脅威アクターたちは、最初のインシデントで盗み出した情報や、サードパーティのデータ漏えいから得た情報に加えて、サードパーティのメディア・ソフトウェア・パッケージの脆弱性などを悪用することで、協調的な第2の攻撃を開始した」と記されている。2つの侵害の影響は壊滅的であり、盗まれた/危険にさらされたデータと、機密情報のリストは広範囲に及んでいる。
Continue reading “LastPass のデータ侵害:エンジニアの自宅 PC が企業ストレージへの侵入経路に”Brave browser to block “open in app” prompts, pool-party attacks
2023/02/24 BleepingComputer — プライバシー保護に特化したブラウザ Brave の次期メジャー・バージョンでは、”open in app” のような煩わしいプロンプトがブロックされ、pool-party 攻撃に対する保護の強化が始まる予定だという。この、邪魔な “open in app” ポップアップは、ブラウザのプライバシー保護機能が適用されない空間へと、訪問者を連れて行くことを目的としており、広範なユーザー・データが、アプリの作成者により自由に収集される可能性を生じる。
Continue reading “Brave のユーザー保護機能が前進:open in app のブロックで pool-party 攻撃に対抗”Resecurity warns about cyber-attacks on data center service providers
2023/02/21 SecurityAffairs — カリフォルニアに拠点を置くサイバー・セキュリティ企業の Resecurity は、複数のデータセンターに対して、それらの組織と顧客を標的としたサイバー攻撃に関する警告を。 2021年9月から発してきたことを公表した。同社は最新のレポートで、通知の対象とされた組織は、サプライチェーンの重要な部分として機能しており、国家支援 APT/犯罪者/サイバー・スパイグループなどの格好のターゲットだと述べている。この、Resecurity による通知の詳細は、さらなる分析とリスク軽減のために、影響を受けた当事者および、中国/シンガポール政府の緊急対応チームと共有された。さらに、2022年と 2023年1月にアップデートされた同通知は、発見されたデータセットに Fortune 500 の大企業が多数存在していたことから、米国の法執行機関とも共有された。
Continue reading “APAC のデータセンターが標的:新たなサイバー攻撃の証拠が発見された”An unfaithful employee leaked Yandex source code repositories
2023/01/26 SecurityAffairs — 不正な Yandex git ソースへのマグネット・リンクが含まれたアナウンスメントが、BreachForums に公開された。この投稿の背後にいる脅威アクターは、2022年7月に 44.7GB のファイルを入手したと主張しており、すべてのファイルの日付は 2022年2月24日 (ロシアのウクライナ侵攻の日) にまでさかのぼる。脅威アクターの主張は、このソースコード・リポジトリには、アンチ・スパム・ルールを除くソースコードが含まれているというものだ。
Continue reading “Yandex のソースコードが漏洩:元従業員が BreachForums に 44.7GB のファイルを公開”API Attacker Steals Data on 37 Million T-Mobile Customers
2023/01/20 InfoSecurity — T-Mobile は、数千万人の顧客の個人情報やアカウント情報に対して、脅威アクターがAPI 経由で不正にアクセスしたことを認めた。同社は、2023年1月19日の SEC ファイリングで、この攻撃は 2022年11月25日頃に始まり、また、2023年1月5日まで発見されなかったが、発見後の1日以内にインシデントは解決したと説明している。
Continue reading “T-Mobile にデータ侵害が発生:API 攻撃により 3,700万人分の顧客情報が漏えい”Nissan North America data breach caused by vendor-exposed database
2023/01/17 BleepingComputer — Nissan North America は、サードパーティ・プロバイダーにおける情報漏えいを介して、顧客情報の流出が発生したとする通知を開始している。このセキュリティ・インシデントは、2023年1月16日 (月) にメイン州司法長官事務所に報告されたものであり、17,998人の顧客が侵害の影響を受けたことを、Nissan は明らかにしている。Nissan による通知には、2022年6月21日にソフトウェア開発ベンダーの1社から、データ侵害の通知を受けたと記されている。
Continue reading “Nissan North America にデータ侵害が発生:17,998人の顧客データが流出”Millions of Insurance Customers Compromised Via Supplier
2023/01/13 InfoSecurity — 保険会社である Aflac/Zurich は、第三者である請負業者がハッキングについて報告した後に、数百万人の日本人顧客の情報が侵害され、売りに出されていたことを明らかにした。両社の発表では、ハッキングされた業者の名前は明らかにされていないが、東京の通信社である時事通信の現地レポートでは、米国内の下請け業者に原因があるとされている。このインシデントの被害を受けたのは、Aflac のがん保険加入者 130万人と、Zurich の自動車保険契約者 76万人を含む、合計で約 200万人の顧客だという。
Continue reading “Aflac/Zurich でハッキングが発生:日本人顧客約 200万人の情報が漏洩”Telegram Bot Abuse For Phishing Increased By 800% in 2022
2023/01/12 InfoSecurity — Telegram Bot からのフィッシング情報の流出先として悪用が、2021年〜2022年の間に 800% も増加した。この新データは、2023年1月12日に Cofense のセキュリティ研究者たちが、それらに関する最新データをレポートとして発表した。この伸びを調査した結果は、資格情報をフィッシングする際の配信方法として、HTMLの添付ファイルを使用する戦術が、ますます一般的になっていることに関連している。
Continue reading “Telegram Bot とフィッシング:2022年の悪用は前年比で 800% 増”Dark Pink APT Group Targets Governments and Military in APAC Region
2023/01/11 TheHackerNews — アジア太平洋地域における政府機関/軍事組織などが、未知の高度持続的脅威 (APT:Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に7つの攻撃を成功させた」と述べている。
Continue reading “Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成”Twitter claims leaked data of 200M users not stolen from its systems
2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。
Continue reading “Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張”Amazon S3 will now encrypt all new data with AES-256 by default
2023/01/06 BleepingComputer — Amazon Simple Storage Service (S3) では、サーバ側でバケットに追加された全ての新規オブジェクトが、デフォルトで用いられる AES-256 により自動的に暗号化されるようになった。AWS におけるサーバ側での暗号化システムは、10年以上も前から利用可能だったが、それがデフォルトで有効化され、セキュリティが強化された。したがって、新しい暗号化システムによるバケット保護のための、AWS 管理者によるアクションは不要であり、また、パフォーマンスに悪影響が生じることもないと、Amazon は指摘している。
Continue reading “Amazon S3 上で AES-256 暗号化がデフォルト適用:新規/既存データの保護を強化”200 million Twitter users’ email addresses allegedly leaked online
2023/01/04 BleepingComputer — Twitter ユーザー2億人分の、メール・アドレスを含むとされるデータリークが発生し、人気のハッカー・フォーラムで約 $2 の対価で公開されている。BleepingComputer は、このリークに記載されている、数多くのメール・アドレスの妥当性を確認した。2022年7月22日以降において、脅威アクターや侵害データ収集者たちは、さまざまなオンライン・ハッカー・フォーラムやサイバー犯罪マーケットプレイスで、電話番号およびメール・アドレスで構成されるプライベート・データと、パブリック・データを含む Twitter ユーザー・プロフィールをスクレイピングし、大規模なデータセットとして販売/流通してきた。
Continue reading “Twitter ユーザー2億人分のリークが発生:メール・アドレスなどが $2 で販売される”Toyota, Mercedes, BMW API flaws exposed owners’ personal info
2023/01/04 BleepingComputer — 約20社の自動車メーカーおよび自動車サービスに影響を及ぼす、API の脆弱性が存在する。それにより、車両のロック解除/始動/追跡から顧客の個人情報の流出にいたるまで、悪意の行為をハッカーに許す可能性があることが判明した。この脆弱性は、BMW/Roll Royce/Mercedes-Benz/Ferrari/Porsche/Jaguar/Land Rover/Ford/KIA/Honda/Infiniti/Nissan/Acura/Hyundai/Toyota/Genesis といった有名ブランドに影響を及ぼしている。また、この脆弱性は、車両技術ブランドである Spireon および Reviver と、ストリーミングサービスの SiriusXM にも影響を与える。
Continue reading “Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘”Why Attackers Target GitHub, and How You Can Secure It
2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox/Gentoo Linux/Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。
Continue reading “Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント”Facebook to Pay $725 Million to settle Lawsuit Over Cambridge Analytica Data Leak
2022/12/27 TheHackerNews — Facebook/Instagram/WhatsApp などの親会社である Meta Platforms は、2018年からの長期間の集団訴訟に対して、$725 million を支払うことに合意した。この法的紛争が勃発した背景には、Cambridge Analytica が使用したようなサードパーティ・アプリが、政治的広告のためにユーザーの個人情報に同意なくアクセスすることを、Meta Platforms が許可していたことがある。
Continue reading “Facebook が $725 Million の罰金に同意:Cambridge Analytica のデータ流出問題”LastPass Admits to Severe Data Breach, Encrypted Password Vaults Stolen
2022/12/23 TheHackerNews — 2022年8月に発生した LastPass におけるセキュリティ侵害は、以前に同社が公表したよりも深刻なものだった可能性があるという。木曜日に、人気のパスワード管理サービスである LastPass は、前回の侵入で吸い上げたデータを悪意の行為者が利用し、暗号化されたパスワード保管庫を含む、同社の顧客に属する個人情報の山を入手したことを明らかにした。
Continue reading “LastPass が認めたデータ侵害:暗号化されたパスワードなどが盗み出されている”Massive Twitter data leak investigated by EU privacy watchdog
2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号/電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。
Continue reading “Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始”Social Blade Confirms Data Breach Exposing PII on the Dark Web
2022/12/16 InfoSecurity — ソーシャルメディア・データ分析ツールである Social Blade は、同社のシステムが 12月14日に侵害され、流出した PII (Personally Identifiable Information) がダークウェブに売りに出されていることを発表した。このインシデント関して、同社は公に警告を出さなかったが、電子メールで直接にユーザーに対して警告を発している。最近のことだが、ユーザーの1人が、アグリゲーター・プラットフォーム Ycombinator に、そのメールの内容を投稿した。
Continue reading “Social Blade という SNS データ分析ツール:盗まれた PII がダークウェブで売られている”Tor Browser 12.0 brings Apple Silicon support, Android enhancements
2022/12/08 BleepingComputer — Tor プロジェクト・チームは、Apple Silicon Chip のサポートと、Android 版における複数の機能強化を導入した、メジャー・バージョンアップとある Tor Browser 12.0 のリリースを発表した。Tor は、Onion ネットワーク上でしかアクセスできない特別な .onion ドメインにアクセスすることで、より高度な匿名性とプライバシー性を前提とした Web ブラウジングを実現する、Firefox ベースのブラウザである。
Continue reading “Tor Browser 12.0 がリリース:Apple M1/M2 と Android の最新セキュリティに対応”
IoT OT Security News 
You must be logged in to post a comment.