Google: 70% of exploited flaws disclosed in 2023 were zero-days
2024/10/16 BleepingComputer — Google Mandiant のセキュリティ・アナリストたちは、脅威アクターがソフトウェアのゼロデイ脆弱性を発見し、悪用する能力を向上させているという、懸念すべき新たな傾向について警告している。Mandiant によると、2023年に積極的な悪用が公表された 138件の脆弱性のうち、97件 (70.3%) がゼロデイとして悪用されたという。つまり、脆弱性の影響を受けるベンダーが、バグの存在を知る以前に、あるいは、パッチを適用する以前に、それらの欠陥を脅威アクターが攻撃で悪用したことを意味する。
Continue reading “2023年に悪用された脆弱性の 70%はゼロデイ:Google Mandiant 調査”Few software developers employ secure by design training, research finds
2024/10/15 NextGov — 10月15日 (月) に公開されたレポートによると、世界中のソフトウェア開発者のうち、製品の設計と開発に基本的なサイバー・セキュリティ基準を組み込むことに焦点を当てるトレーニングを実施しているのは、わずか 4%未満であるという。この数値の低さは、基本的なソフトウェアのバグが、依然としてハッカーたちに頻繁に悪用されている理由を裏付けるものかもしれない。このレポートは、産業界にセキュアなソフトウェア・ツール/サービスを提供する、オーストラリアの Secure Code Warrior によるものだ。
Continue reading “Secure-by-Design のトレーニングを実施するソフトウェア開発者は 4%未満 – Secure Code Warrior”New FIDO proposal lets you securely move passkeys across platforms
2024/10/15 BleepingComputer — Fast IDentity Online (FIDO) アライアンスは、異なるプロバイダー間で Passkeys を安全に転送することを目的とした、新しい仕様の作業草案を発表した。Passkeys とは、公開鍵暗号方式を活用することで、従来からのパスワードに依存しない認証方法のことである。それによりユーザーは、長い文字列を記憶したり管理したりする必要がなくなる。
Continue reading “FIDO Alliance が提案する新仕様:Passkeys をプラットフォーム間で安全に移動可能に”Microsoft deprecates PPTP and L2TP VPN protocols in Windows Server
2024/10/12 BleepingComputer — Microsoft の発表は、Windows Server の PPTP (Point-to-Point Tunneling Protocol)/L2TP (Layer 2 Tunneling Protocol) を、将来的に廃止するというものだ。同社が Windows 管理者に対して推奨するのは、セキュリティが強化された他のプロトコルへの移行である。20年以上にわたり Microsoft は、企業ネットワークおよび Windows サーバへのリモート・アクセスを、PPTP/L2TP VPN プロトコルを介して提供してきた。しかし、セキュリティにおけるリソースが高度化し、サイバー攻撃が強大化するにつれて、これらのプロトコルの安全性は低下しつつある。
Continue reading “Windows Server の PPTP/L2TP VPN が廃止:新たな SSTP/IKEv2 への移行が推奨される”Rufus 4.6 bypasses Windows 11 24H2 compatibility checks automatically
2024/10/11 ghacks — オープンソース・アプリ Rufus の最新ベータ版は、Windows 11 24H2 のインストール中の、コンパチビリティ・チェックをバイパスするための追加手段をサポートしている。いたちごっこは続いている。これまでの Microsoft は、互換性のないハードウェアへの Windows 11 OS のインストールを許可してきた。公式なサポートではないが、オペレーティング・システムにオプションを追加していた。
Continue reading “Rufus 4.6 が可能にする Windows 11 24H2 へのインプレース・アップグレードとは?”Ubuntu 24.10 Oracular Oriole brings tighter security controls
2024/10/11 HelpNetSecurity — Canonical は、Ubuntu 24.10 Oracular Oriole をリリースした。このリリースに導入される画期的な機能としては、更新されたカーネル/新しいツールチェーン/GNOME 47 デスクトップ環境などがあり、大幅なソフトウェア・セキュリティの強化が達成されている。Canonical の CEO である Mark Shuttleworth は、「Oracular Oriole は、最新のアップストリーム・カーネルと、ツールチェーンの提供において、新たなペースを設定するものだ。もの実験的で斬新なセキュリティ機能は、コミュニティとの対話を通じて、今後の 20年間において、そして、それ以降においても、Linux デスクトップ・エクスペリエンスを継続的に向上させていくという、当社の取り組みを実証している」と述べている。
Continue reading “Ubuntu 24.10 Oracular Oriole がリリース:セキュリティ管理の強化と利便性の向上”Over 10m Conversations Exposed in AI Call Center Hack
2024/10/10 InfoSecurity — 大規模なデータ侵害により、中東の AI 搭載コールセンター・プラットフォームから 、1,000 万件を超える会話が漏洩した。サイバー・セキュリティ企業 Resecurity によると、この侵害はプラットフォームの管理ダッシュボードへの不正アクセスに関係しているという。その結果として、消費者/オペレーター/AI エージェント間の、1,020 万件を超えるインタラクションが、攻撃者のより不正に収集されたという。Resecurity は、盗まれたデータが悪用されると、高度な詐欺/フィッシング・スキームなどに加えて、AI を介した悪意のアクティビティにいたる可能性があると警告している。
Continue reading “AI コール・センターへの侵害が発覚:盗まれたデータの悪用が今後に及ぼす影響は?”Microsoft’s Take on Kernel Access and Safe Deployment Following CrowdStrike Incident
2024/10/10 SecurityWeek — 2024年7月に CrowdStrike が原因となり発生した、大規模な Windows BSOD 障害の影響が落ち着きを見せる中で、再発を防ぐ方策の在り方が、いまの論点となっている。Microsoft Virus Initiative (MVI) サミットが開催され、CrowdStrike も含まれるメンバーたちが集まり協議したが、この問題に単純な解決策はない。SecurityWeek は、Microsoft の VP enterprise/OS security である David Weston にインタビューを行い、Microsoft の現在の考え方と計画について聞き出した。
Continue reading “CrowdStrike 障害:Microsoft の計画は安全なカーネル・アクセスの推進にあるのか?”OpenAI Blocks 20 Global Malicious Campaigns Using AI for Cybercrime and Disinformation
2024/10/10 TheHackerNews — 10月9日に OpenAI が発表したのは、同社のプラットフォームをグローバルで悪用する、20件以上の悪意のアクティビティとネットワークを、2024年に入ってから阻止したというメッセージである。阻止された悪質な活動として挙げられるのは、マルウェアのデバッグ/悪意の Web サイト記事執筆/悪意の SNS アカウント経歴の作成/X の偽アカウント用の AI 生成プロフィール画像の作成などである。
Continue reading “OpenAI を悪用するサイバー犯罪と偽情報拡散:20件以上の悪意のキャンペーンを阻止”North Korean APT Group Kimsuky Exploits DMARC Misconfigurations for Sophisticated Phishing Attacks
2024/10/07 SecurityOnline — 長い間にわたって、組織をサイバー攻撃から守る上で、メール・セキュリティは重要な柱となっていた。しかし、最近のレポートでは、DMARC (Domain-based Message Authentication, Reporting & Conformance) などの広く信頼されている保護機能でさえ、ミスコンフィグにより悪用される可能性があることが判明している。Barracuda の Senior Director of Product Management である Sheila Hara は、「北朝鮮の APT グループである Kimsuky が、DMARC のミスコンフィグを悪用して、絞り込まれた標的型のスピアフィッシング攻撃を実行し、世界中の民間部門と公共部門を脅かしている」と強調している。
Continue reading “DMARK のミスコンフィグ:それを狙う北朝鮮の APT グループ Kimsuky”CSP Bypass: A New Open-Source Tool for Ethical Hackers to Overcome Content Security Policies
2024/10/07 SecurityOnline — Hacker Hideout の創設者であり、著名なセキュリティ研究者でもある Renniepak が、CSP Bypass というオープンソース ・ツールを立ち上げた。このツールは、倫理的ハッカーやセキュリティ研究者を支援するために、制限的な Content Security Policies (CSPs) を特定/回避するように設計されている。これらのポリシーで保護されている Web サイトにおいて、クロス・サイト・スクリプティング (XSS) の脆弱性を倫理的に悪用する場合に、特に有効である。
Continue reading “CSP Bypass という OSS ツール:法的ガイドラインに従う倫理ハッカーのために・・・”Hybrid Analysis Bolstered by Criminal IP’s Comprehensive Domain Intelligence
2024/10/07 BleepingComputer — Criminal IP は、AI SPERA が開発した Cyber Threat Intelligence (CTI) 検索エンジンである。その Criminal IP が、高度なマルウェア分析と脅威インテリジェンスを提供するプラットフォーム Hybrid Analysis と提携したことで、脅威に対する研究が強化される。このコラボレーションにより、Criminal IP の高度なドメイン・スキャン機能が、Hybrid Analysis プラットフォームに統合され、深い洞察と効果的な脅威緩和の戦略が、セキュリティ専門家に対して提供されていく。
Continue reading “Criminal IP のドメイン・インテリジェンス:Hybrid Analysis との提携でパワーアップ!”How to Get Going with CTEM When You Don’t Know Where to Start
2024/10/04 TheHackerNews — CTEM (Continuous Threat Exposure Management ) とは、サイバーリスクを継続的に評価し管理する組織のための、戦略的フレームワークである。CTEM は、セキュリティ脅威の管理という複雑な作業を、5つの段階である Scoping 範囲/Discovery 特定/Prioritization 優先順位/Validation 検証/Mobilization 運用 に分解する。これらの各段階は、脆弱性が攻撃者に悪用される前に特定/対処/緩和する上で、重要な役割を果たす。
Continue reading “CTEM の5Steps:立ち上げまでの手順について説明しよう – XM Cyber”New Linux Malware ‘Perfctl’ Targets Millions by Mimicking System Files
2024/10/03 HackRead — Linux における 20,000 を超えるミスコンフィグを悪用して、世界中で数百万人を標的にする新たなマルウェアが、Aqua Nautilus のサイバー・セキュリティ研究者たちにより発見された。しばらくの間、このマルウェアは潜伏していたようだが、最近になって Nautilus のハニーポットを攻撃したことで、あらゆる Linux サーバを危険にさらす可能性の脅威として検出され、調査の機会が生まれた。
Continue reading “Perfctl という洗練された Linux マルウェアを検出:Polkit の CVE-2021-4043 を悪用?”Microsoft overhauls security for publishing Edge extensions
2024/09/30 BleepingComputer — Microsoft が発表したのは、Edge エクステンションのセキュリティを強化するための、Publish API の導入である。それにより、開発者アカウントとブラウザ・エクステンションの更新に関するセキュリティが強化される。Microsoft Edge エクステンションの開発者にとっては、新たに作成したプロダクトを初めて公開する際に、Partner Center を介して提出することが必要となる。そして、承認されると、Partner Center または Publish API から更新を行えるようになる。
Continue reading “Microsoft Publish API の公開:Edge エクステンションのセキュリティを強化”Microsoft Defender adds detection of unsecure Wi-Fi networks
2024/09/30 BleepingComputer — Microsoft Defender のプライバシー保護機能がアップデートされた。具体的に言うと、セキュリティが適切に保護されていない Wi-Fi ネットワークに対して、Microsoft 365 Personal/Family のサブスクリプション・ユーザーが接続する際に、自動的に問題を検出してユーザーに通知するようになった。
Continue reading “Microsoft Defender の新機能:アンセキュアな Wi-Fi ネットワークを検出”JPCERT shares Windows Event Log tips to detect ransomware attacks
2024/09/30 BleepingComputer — Japan Computer Emergency Response Center (JPCERT/CC) が共有したのは、Windows Event Logs のエントリをベースにして、各種のランサムウェア撃を検出するためのヒントであり、それにより、進行中の攻撃がネットワークに拡散する前のタイムリーな検出を目指している。JPCERT/CC によると、この手法はランサムウェア攻撃に対応する際に有益であり、さまざまな可能性の中から攻撃ベクターを特定することで、タイムリーな緩和を支援するという。
Continue reading “JPCERT/CC:Windows Event Log からランサムウェアの痕跡を探すヒントを提供”The Playstation Network is down in a global outage
2024/09/30 BleepingComputer — PlayStation Network (PSN) がグローバルでダウンしており、サブスクライバーたちのオンライン・ゲームは停止し、同社の Web サイトへのアクセスも停止するという不具合が発生している。PSN にアクセスしようとすると、”サーバ接続のタイムアウト” や “エラー発生” などのメッセージが表示される状況にある。
Continue reading “PlayStation Network がグローバルでダウン:HTTP 500 Internal Server Error”Israel army hacked the communication network of the Beirut Airport control tower
2024/09/29 SecurityAffairs — 9月28日にイスラエルのサイバー軍は、ベイルートのラフィク・ハリリ国際空港の管制塔をハッキングした。MiddleEastMonitor が報じたところによると、イスラエル国防軍は管制塔の通信ネットワークに侵入し、着陸しようとしていたイランの民間機を脅迫したという。
Continue reading “イスラエル軍のサイバー攻撃:ベイルート空港管制塔の通信ネットワークをハッキング”Novel Exploit Chain Enables Windows UAC Bypass
2024/09/28 DarkReading — Microsoft Windows の新たな脆弱性 CVE-2024-6769 を報告した Fortra は、Windows UAC (user access control) バイパスと、特権昇格の脆弱性の組み合わせにより、認証済みの攻撃者がシステム特権を完全に取得する可能性があると警告している。
Continue reading “Windows の UAC バイパスの脆弱性 CVE-2024-6769:欠陥ではないと主張する Microsoft の根拠は?”Microsoft: Windows Recall now can be removed, is more secure
2024/09/27 BleepingComputer — Microsoft の発表は、AI を搭載する Windows Recall の、セキュリティとプライバシーのアップグレードに関するものだ。おれにより、ユーザー・データに対するデフォルトの保護が強化され、アクセス制御が厳格化されるという。今回の発表は、デフォルトのデータ・プライバシーとセキュリティ保護の強化を求める、ユーザーからの反発に応えたものであり、同社はパブリックなリリースを延期し、Windows Insiders 向けのプレビュー版から、提供を開始することにしている。
Continue reading “Microsoft Windows Recall がアップグレード:徹底したオプトインによる安全なデザインとは?”The Tor Project and Tails have merged operations
2024/09/27 SecurityAffairs — Tor Project と Tails の運営が統合された。この統合は、コラボレーション/トレーニング/アウトリーチの拡大などによる、両組織の取り組みの強化を目的とするものだ。それにより両者は、デジタル環境における監視や検閲に対峙し、世界中のユーザーの保護を促進していくという。増大するデジタルの脅威に対抗するユーザーの保護において、より効果的な対策の展開を目指す Tor と Tails は、ネットワーク/システムの両レベルで必要とされるセキュリティを提供してきた。そして、2023年後半に運営規模を拡大した Tails は、さらに大規模な運営体制を構築するために、Tor Project との運営統合を提案していた。
Continue reading “Tor と Tails が運営を統合:包括的な匿名化ソリューションの提供が目的だ!”Automattic blocks WP Engine’s access to WordPress resources
2024/09/26 BleepingComputer — WordPress.org は、WP Engine によるリソースへのアクセスを禁止し、このプラットフォームがホストする Web サイトへのプラグイン更新の配信を停止し、その影響を受けるユーザーに対して、他のホスティング・プロバイダーを選択するよう促している。WordPress の主張は、WP Engine が自社の利益のために WordPress のコア機能を変更しているというものだ。さらに、その行動に対する批判がユーザーに届かないようにするために、何千ものサイトでダッシュボードのニュース・ウィジェットをブロックしたことへの対応だと述べている。
Continue reading “WordPress と WP Engine の対立:セキュリティの問題へと拡大している”EPSS vs. CVSS: What’s the Best Approach to Vulnerability Prioritization?
2024/09/26 TheHackerNews — 脆弱性の深刻さの評価と修正の優先順位付けが行われる際に、数多くの企業で利用されるのは、Common Vulnerability Scoring System (CVSS) である。この CVSS スコアでは、脆弱性の潜在的な影響について一定の洞察が提供されるが、悪用される可能性といった実際の脅威データは考慮されていない。毎日のように新たな脆弱性が発見されている状況において、現実のリスク軽減につながらない脆弱性の修正に費やす時間や予算は、脆弱性対応チームにとって削減したいものとなる。そこで CVSS と EPSS を比較してみた。脆弱性の優先順位付けプロセスにとって、EPSS の利用が画期的な理由については、以下の詳細な説明を参考にしてほしい。
Continue reading “EPSS vs CVSS:脆弱性対応の優先順位付けという悩ましい問題を解消するには?”Google’s Shift to Rust Programming Cuts Android Memory Vulnerabilities by 68%
2024/09/25 TheHackerNews — Google が Secure-By-Design のアプローチの一環として、メモリセーフ言語 Rust などへの移行が Google で推進された結果として、Android で発見されるメモリの安全性に関する脆弱性の割合が、6年間で 76%から 24%へと減少したという。セーフ・コーディングに重点を置いた新機能の開発により、コードベースのセキュリティ・リスク全体が低減されるだけではなく、スケーラブルで費用対効果の高い開発スタイルが達成されると、同社は述べている。
Continue reading “Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少”House lawmakers question CrowdStrike exec over July IT outage
2024/09/24 NextGov — 9月24日 (火) に下院議員たちが CrowdStrike の幹部に対して、この7月に発生した大規模な世界規模の IT 障害について、また、顧客の OS コアと同社のサイバー・セキュリティ・ソリューションを結びつける必要性の有無について質問した。Homeland Security Committee のサイバー・セキュリティ小委員会で、この夏に約 850万台の Windows マシンに障害をもたらした、同社の欠陥のあるアップデートの導入を精査するという注目の公聴会で証言したのは、CrowdStrike の敵対者対策担当 VP の Adam Meyers である。
Continue reading “CrowdStrike に対する米下院の公聴会:何が起こったのか? これから どうするのか?”Infostealers Overcome Chrome’s App-Bound Encryption, Threatening User Data Security
2024/09/24 SecurityOnline — 悪名高いインフォ・スティーラーの開発者が、Chrome バージョン 127 で導入された App-Bound 暗号化機能の回避に成功したと発表し、サイバー・セキュリティにおける懸念が示されている。つまり、これらの悪意のあるツールは、以前は暗号化により保護されていた認証 Cookie を収集できるようになり、ユーザー・データのプライバシーに対する新たな脅威を生じている。
Continue reading “Chrome の App-Bound 暗号化を回避:わずか2ヶ月で達成したインフォ・スティーラー群とは?”Hackers deploy AI-written malware in targeted attacks
2024/09/24 BleepingComputer — フランス語圏のユーザーを標的とするメール・キャンペーンで発見された、AsyncRAT マルウェアを配信する悪意のコードは、生成 AI サービスで作成されたと考えられている。生成 AI 技術は、サイバー犯罪者らにより、説得力のあるメールの作成に悪用されてきた。しかし、ベンダーが実装した保護策や制限にもかかわらず、AI ツールは悪意のソフトウェアの作成に悪用されていると、複数の政府機関が警告を発している。
Continue reading “AsyncRAT マルウェア:AI が生成する PowerShell スクリプトで配信”Did Israel infiltrate Lebanese telecoms networks?
2024/09/24 SecurityAffairs — 全面攻撃が差し迫っていることを理由にするイスラエルは、レバノン国民に対して、国内の特定地域から避難するよう警告するために、テキスト/ボイス・メッセージを送信し、無線ネットワークのハッキングを行っている。これらの警告の後に、レバノン南部と東部で大規模な爆撃があり、270人以上が犠牲となった。Al Jazeera によると、イスラエルの諜報機関は、長年にわたりレバノン国民のデータを収集してきたという。専門家たちは、イスラエルのサイバー軍が、レバノン全土の人々の、プライベートな通信の詳細にアクセスした可能性もあると推測している。
Continue reading “イスラエルのレバノン侵攻と情報戦:以前から通信ネットワークに侵入していた? – Al Jazeera”Interactive PDF Analysis: An Open Source Forensic Tool for Threat Detection
2024/09/21 SecurityOnline — 今日のデジタル社会において、PDF ファイルは欠かせない存在であり、ビジネス文書からユーザー・マニュアルに至るまでの、あらゆる用途で使用されている。しかし、その他のフォーマットと同様に PDF も、悪意のペイロードの拡散に悪用される可能性があり、サイバー攻撃の標的となることが多い。そこで役立つのが、IPA (Interactive PDF Analysis) である。IPA は、セキュリティ・アナリストが PDF ファイルの隠れた構造を深く掘り下げ、潜在的な脅威を明らかにするために設計された、強力なオープンソース・ツールである。
Continue reading “Interactive PDF Analysis:脅威を検出するオープンソース・フォレンジック・ツール”Chrome Users Can Now Sync Passkeys Across Devices with New Google PIN Feature
2024/09/20 TheHackerNews — 9月19日 (木) に Google が発表したのは、Windows/macOS/Linux/ChromeOS/Android デバイス間で、Chrome ユーザーが Passkeys を同期するための Password Manager PIN のリリースである。Chrome の MP である Chirag Desai は、「この PIN により、さらにセキュリティは強化され、Passkeys は End-toEnd で暗号化され、誰もアクセスできないようになる。もちろん、Google もアクセスできない。 この PIN のデフォルトは6桁のコードだが、”PIN Option” を選択すれば、より長い英数字の PIN を作成できる」と述べている。
Continue reading “Passkeys のための Google PIN コード:PC と Android を連携させる保護機能が進化”Tor Project responded to claims that law enforcement can de-anonymize Tor users
2024/09/20 SecurityAffairs — ドイツの法執行機関が主張する、ユーザーの匿名性を剥奪する手法の考案に対して、Tor プロジェクトのメンテナたちが反応している。ドイツのメディアによると、同国の法執行機関は匿名化ネットワークに侵入し、少なくとも1件のケースで犯罪者の正体を暴いたという。このドイツの法執行機関は、独自のサーバを運用することで、数ヶ月にわたり Tor ネットワークを監視してきた。ARD のPanorama と STRG_F が実施した調査では、監視中に収集されたデータは統計的手法を介して処理され、Tor の匿名性を事実上破っていることが明らかになった。
Continue reading “Tor Project がピンチ? ドイツの法執行機関が主張する匿名性剥奪の手法とは?”Device detonations reveal ‘incredible’ intelligence abilities: ex-NSA chief
2024/09/19 NextGov — ヒズボラの数千台ものデバイスが爆発したことについて、9月19日 (水) に元 NSA 長官が語ったことは、イスラエルの驚くべき情報収集能力を示すと同時に、世界のサプライチェーンが抱える潜在的な脆弱性を浮き彫りにするものだ。National Security Agency 局長と、U.S. Cyber Command 指揮官を歴任してきた Paul Nakasone は、「犯人たちは、標的を定めて情報収集する驚くべき能力を持ち、実際にデバイスのシリアル番号を把握し、それを保有する人物と、それが使用される周期を掌握していた」と語っている。
Continue reading “ヒズボラの通信デバイスを爆発させた組織:その驚異的な諜報能力とは? – 元 NSA 長官”The Safe C++ Extensions Proposal: Strengthening Security in a Complex Ecosystem
2024/09/18 SecurityOnline — 長年のメモリ安全性の懸念に対処するための決め手となる動きとして、C++ コミュニティは Safe C++ Extensions 提案を発表し、この言語における重要な瞬間を迎えようとしている。2年間にわたる綿密な議論を経て、C++ を強化することを目的とする、この提案が生まれた。C++ は、そのパワーと柔軟性で支持を得ているが、バッファ・オーバーフローや解放後使用 (UAF) エラーなどの、メモリ関連の問題に対する脆弱性が多発すると批判される言語でもある。
Continue reading “Safe C++ Extensions の提案:複雑化する開発エコシステムの強化が目的”RFC 9620: A Call for Human Rights in Internet Protocols
2024/09/18 SecurityOnline — The Internet Research Task Force (IRTF) は、プロトコルおよびアーキテクチャを開発する人々の注意を、重要である人権問題に向けることを目的とした、新しいドキュメント RFC 9620 をリリースした。このドキュメントは、情報提供を目的としたものであり、必須のスタンダードではない。ただし、その作成者が期待するのは、通信技術の作成と改善において、エンジニアのための貴重なガイドとなることだ。
Continue reading “IRTF が RFC 9620 を発行:インターネット・プロトコルにおける人権の擁護と向き合うために”CISA Issues Advice to Help Eliminate XSS Bugs
2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の1つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。
Continue reading “CISA/FBI の共同アラート:XSS バグの排除へ向けたアドバイスを公開”Faraday: Open Source Vulnerability Management Platform
2024/09/16 SecurityOnline — 今日の複雑なサイバー・セキュリティ環境において、それぞれのセキュリティ・チームは新しい脆弱性を発見し、修復作業を効率的に管理するという、2つの課題に直面している。このギャップを埋める強力なソリューションとして登場した Faraday は、脆弱性管理/コラボレーション/一元化された自動化プラットフォームを提供している。
Continue reading “Faraday は OSS の脆弱性管理プラットフォーム:90種類以上のデータを統合”Medusa Exploits Fortinet Flaw (CVE-2023-48788) for Stealthy Ransomware Attacks
2024/09/14 SecurityOnline — Medusa ランサムウェア・グループは、執拗な攻撃を継続しているだけではなく、ダークウェブ/サーフェスウェブの双方において独自の基盤を確立していると、Bitdefender の最新のレポートが指摘している。他のランサムウェア・グループに対する Medusa の相違点は、サーフェスウェブ上で Name and Shame (名指し非難) ブログを運営するところにある。そのブログには、従来のダークウェブのリークサイトと同様に、被害者に関する情報が投稿されている。
Continue reading “Medusa の活動が拡大:Fortinet CVE-2023-48788 の悪用と OSINT を装うサービスの展開”Post-CrowdStrike Fallout: Microsoft Redesigning EDR Vendor Access to Windows Kernel
2024/09/13 SecurityWeek — Microsoft が発表した計画は、CrowdStrike のアップデートの不具合により、7月に発生した世界的な IT 障害に対応するものであり、Windows カーネルとマルウェア対策製品との連携方法を再設計するものである。現時点においては、この再設計に関する技術的な詳細は公表されていない。しかし Microsoft は、セキュリティ・ベンダーが “outside of kernel mode” を活用するための、新たなプラットフォームとしての機能を Windows 11 に搭載し、ソフトウェアの信頼性を確保する予定だとしている。
Continue reading “CrowdStrike 障害の余波:Windows カーネル連携方法の再設計を Microsoft が発表”Beyond HTML: The Hidden Danger of Phishing in HTTP Response Headers
2024/09/12 SecurityOnline — Palo Alto Networks – Unit 42 の研究者たちは、あまり知られていない手法である、HTTP リフレッシュ・レスポンス・ヘッダーを通じて配信される、フィッシング・ページによる大規模なフィッシング・キャンペーンを発見しました。従来からの、悪意のHTML コンテンツに依存するフィッシング戦術とは異なり、この手法は、サーバから送信されたレスポンス・ヘッダーを使用して、HTML コンテンツが処理される前に、ユーザーを不正なサイトへとリダイレクトするものだ。2024年5月〜7月に、研究者たちが検出した悪意の URL は、1日あたり 2,000 件に達しており、この手法が広く使用されていることを示している。
Continue reading “HTTP Response Header を悪用するフィッシング・キャンペーン:危険性が高まる理由は何処に?”New Chrome Features Protect Users Against Threats, Provide More Control Over Personal Data
2024/09/12 SecurityWeek — Google が発表したは Chrome の新しい機能セットは、インターネット閲覧中のユーザーの保護を強化し、データに対する制御の強化を目的とするものだ。今日の Google によると、この新たな機能セットにより、バックグラウンドで自動的に実行される、プロアクティブな保護機能である Safety Check がアップグレードされている。さらに、ユーザーがアクセスしなくなった Web サイトの権限の取り消しや、不要と思われる通知にフラグ付けする通知などもサポートされるという。
Continue reading “Chrome の Safety Check がアップグレード:より安全な Web サイト閲覧のために”Open Source Updates Have 75% Chance of Breaking Apps
2024/09/12 InfoSecurity — Endor Labs の調査によると、オープンソース・ソフトウェアのバージョン・アップグレードにおいては、ほぼ全て (95%) の確率で他のコンポーネントの動作を妨げる、少なくとも1つの変更が含まれているという。そのため、パッチを適用すると、75%の確率で動作に支障をきたす可能性が生じる。この調査結果は、Endor Labs の第3回目の年次報告書 “2024 Dependency Management Report” で発表されたものであり、同社における脆弱性および顧客のデータと、Open Source Vulnerabilities(OSV) データベースの情報に加えて、Java ARchives (JARs) に関連するオープンソース依存関係 Top-15 を基に作成されている。
Continue reading “75% の確率でアプリは壊れる:依存関係のある OSS のアップデートが及ぼす影響 – Endor Labs”Google Pushes Rust in Legacy Firmware to Tackle Memory Safety Flaws
2024/09/09 SecurityWeek — Google が推進しているのは、メモリ関連のセキュリティ対策の一環としての、既存の低レベル・ファームウェア・コードベースへの Rust の導入である。Google のソフトウェア・エンジニアである Ivan Lozano と Dominik Maier の最新ドキュメントによると、C や C++ で書かれたレガシー・ファームウェアのコードベースは、OS 以下の繊細なレイヤーでメモリ安全性を保証するために、“drop-in Rust replacements” を利用できるという。
Continue reading “Google が推進する Rust 化:レガシー・ファームウェアをメモリ・セーフに!”One More Tool Will Do It? Reflecting on the CrowdStrike Fallout
2024/09/09 TheHackerNews — サイバーセキュリティ・ツールの利用は、セキュリティ保護に対する過剰な期待を生み出しかねない。セキュリティ・ツールを利用するユーザー組織は、ファイアウォール/アンチウイルス・ソフトウェア/侵入検知システム/ID 脅威検知・対応ツールなどの導入により、自分たちは十分に保護されていると考える。しかし、このアプローチは、攻撃対象領域という根本的な問題に対処していないだけはでなく、危険なサードパーティ・リスクをも混在させることになる。
Continue reading “セキュリティ・ツール導入の問題点:CrowdStrike の失敗から得るものは?”CyberVolk Ransomware: A New and Evolving Threat to Global Cybersecurity
2024/09/05 SecurityOnline — サイバー犯罪の世界では新しいプレーヤーである、インドのハッカー・グループ CyberVolk だが、その洗練されたランサムウェアの技法で波紋を引き起こしている。2024年7月に初めて検出された CyberVolk ランサムウェアは、高度な機能と急速な進化により、急速に悪評を高めている。このグループの最大の武器である CyberVolk ランサムウェアは、その高度な機能と拡大する影響により、ThreatMon などのサイバー・セキュリティ専門家の注目を集めている。
Continue reading “CyberVolk ランサムウェアの台頭:C2 サーバを必要としない自律型の暗号化機能を備えている”Rapid Growth of Password Reset Attacks Boosts Fraud and Account Takeovers
2023/09/05 InfoSecurity — デスクトップ Web ブラウザからの、パスワード・リセット試行の4回に1回は詐欺であると、セキュリティ研究者たちが指摘している。年次で発行される LexisNexis Risk Solutions Cybercrime Report によると、パスワード・リセット攻撃の一部として、詐欺の試みが急増しているという。具体的に言うと、英国では毎週 70,000 件のパスワード・リセット攻撃が発生しており、個人のオンライン・アカウントを詐欺師が乗っ取ろうとしていることが、研究者たちにより検出されている。
Continue reading “パスワード・リセット攻撃が 232% 増:安全が確保されない機能に依存していませんか?”NIST Cybersecurity Framework (CSF) and CTEM – Better Together
2024/09/05 TheHackerNews — 米国 NIST (National Institute of Standards and Technology) が Cybersecurity Framework (CSF) 1.0 を導入してから、すでに 10 年が経過している。2013 年の大統領令に従い NIST が作成したのは、組織がサイバー・リスクを管理し、確立されたスタンダードとベスト・プラクティスに基づくガイダンスを提供するための、自主的なサイバーセキュリティ・フレームワークである。このフレーム・バージョンは、重要インフラ向けに調整されたものだったが、2018 年のバージョン 1.1 は、サイバー・セキュリティ・リスク管理に取り組む、すべての組織向けに設計されたものである。
Continue reading “NIST の CSF と Gartner の CTEM:抜群に相性が良い理由を解説しよう – XM Cyber”Google will disable some of its own Chrome extensions soon
2024/09/05 ghacks — Google Chrome エクステンションを使用しているユーザーにとって、ある日突然に、一部のエクステンションにアクセスできなくなる可能性が生じている。この問題は、サードパーティのエクステンションだけでなく、Google が Chrome 用に作成したエクステンションにも当てはまる。いま、Google は、Chrome のエクステンション・システムを変更している。新しいシステムへとアップデートされていない古いエクステンションは、無効化され、最終的にはブラウザから削除されるという。
Continue reading “Google の発表:Chrome 謹製のエクステンションであっても無効化される?”Goffloader: In-Memory Execution, No Disk Required
2024/09/04 SecurityOnline — セキュリティ企業 Praetorian は、BOF ファイルや管理されていない Cobalt Strike PE ファイルの実行を、ディスクへのファイル書き込みに依存することなく、メモリ内でダイレクトに実行できるように設計されたツール GoffLoader をリリースした。
Continue reading “COFF/PE ローダーのツール Goffloader がリリース – Praetorian”Microsoft Tackling Windows Logfile Flaws With New HMAC-Based Security Mitigation
2024/09/04 SecurityWeek — Microsoft が計画しているのは、APT やランサムウェアなどにとって、きわめて魅力的な攻撃対象領域をカバーするための取り組みの一環としての、CLFS (Common Log File System) 解析に対する新たな検証手順の追加である。これまでの5年間において、データとイベントのログ記録に使用されてきた Windows のサブシステム CLFS では、少なくとも 24件の脆弱性が記録されている。そして、Microsoft Offensive Research & Security Engineering (MORSE) チームは、一連の脆弱性に対して対処するオペレーティング・システムの緩和策を設計するよう迫られている。
Continue reading “Microsoft の Common Log File System:ハッシュベースの認証コードでセキュリティを確保”
IoT OT Security News 
You must be logged in to post a comment.