VMware fixes bad patch for critical vCenter Server RCE flaw
2024/10/22 BleepingComputer — VMware vCenter Server に存在する深刻なリモート・コード実行の脆弱性 CVE-2024-38812 に対する、新たなセキュリティ・アップデートをリリースされたが、この脆弱性は、2024年9月の最初のパッチで正しく修正されなかったものと説明されている。この脆弱性 CVE-2024-38812 (CVSS v3.1:9.8) は、vCenter の DCE/RPC プロトコル実装におけるヒープ・オーバーフローに起因し、vCenter Server/vSphere/Cloud Foundation などを取り込んだ製品に影響を及ぼす。
Continue reading “VMware vCenter の脆弱性 CVE-2024-38812/38813 に再パッチ:2024年9月の修正は NG”Half of Organizations Have Unmanaged Long-Lived Cloud Credentials
2024/10/21 InfoSecurity — Datadog の State of Cloud Security 2024 レポートによると、ユーザー組織の 46% が、クラウド・サービスで長期的に有効な認証情報を持つ、管理されていないユーザーを抱えており、データ侵害のリスクが高まっているという。長期間において有効な認証情報とは、クラウド内の認証トークン/キーによる、長期間にわたるアクセスを認めるものである。したがって、長期的に有効な認証情報に対しては、攻撃者が侵害に長い時間を費やすことが可能になり、クラウド侵害の主要な原因となっている。
Continue reading “クラウドにおける長期的に有効な認証情報:ユーザー組織の 46% が抱える問題とは?”Microsoft warns it lost some customer’s security logs for a month
2023/10/17 BleepingComputer — Microsoft がエンタープライズ・ユーザーに公表したのは、約1ヶ月間にわたり重要なログが部分的に失われ、それらのデータをベースに不正行為を検出している企業が、リスクにさらされているという警告である。2024年10月上旬の時点で、この問題を初めて報じた Business Insider によると、9月2日 〜 9月19日に収集されなかったログデータがあることを、Microsoft は顧客に通知し始めたという。
Continue reading “Microsoft のセキュリティ・ログが失われた:約1ヶ月分の紛失の原因とは?”Google: 70% of exploited flaws disclosed in 2023 were zero-days
2024/10/16 BleepingComputer — Google Mandiant のセキュリティ・アナリストたちは、脅威アクターがソフトウェアのゼロデイ脆弱性を発見し、悪用する能力を向上させているという、懸念すべき新たな傾向について警告している。Mandiant によると、2023年に積極的な悪用が公表された 138件の脆弱性のうち、97件 (70.3%) がゼロデイとして悪用されたという。つまり、脆弱性の影響を受けるベンダーが、バグの存在を知る以前に、あるいは、パッチを適用する以前に、それらの欠陥を脅威アクターが攻撃で悪用したことを意味する。
Continue reading “2023年に悪用された脆弱性の 70%はゼロデイ:Google Mandiant 調査”Few software developers employ secure by design training, research finds
2024/10/15 NextGov — 10月15日 (月) に公開されたレポートによると、世界中のソフトウェア開発者のうち、製品の設計と開発に基本的なサイバー・セキュリティ基準を組み込むことに焦点を当てるトレーニングを実施しているのは、わずか 4%未満であるという。この数値の低さは、基本的なソフトウェアのバグが、依然としてハッカーたちに頻繁に悪用されている理由を裏付けるものかもしれない。このレポートは、産業界にセキュアなソフトウェア・ツール/サービスを提供する、オーストラリアの Secure Code Warrior によるものだ。
Continue reading “Secure-by-Design のトレーニングを実施するソフトウェア開発者は 4%未満 – Secure Code Warrior”New FIDO proposal lets you securely move passkeys across platforms
2024/10/15 BleepingComputer — Fast IDentity Online (FIDO) アライアンスは、異なるプロバイダー間で Passkeys を安全に転送することを目的とした、新しい仕様の作業草案を発表した。Passkeys とは、公開鍵暗号方式を活用することで、従来からのパスワードに依存しない認証方法のことである。それによりユーザーは、長い文字列を記憶したり管理したりする必要がなくなる。
Continue reading “FIDO Alliance が提案する新仕様:Passkeys をプラットフォーム間で安全に移動可能に”Rufus 4.6 bypasses Windows 11 24H2 compatibility checks automatically
2024/10/11 ghacks — オープンソース・アプリ Rufus の最新ベータ版は、Windows 11 24H2 のインストール中の、コンパチビリティ・チェックをバイパスするための追加手段をサポートしている。いたちごっこは続いている。これまでの Microsoft は、互換性のないハードウェアへの Windows 11 OS のインストールを許可してきた。公式なサポートではないが、オペレーティング・システムにオプションを追加していた。
Continue reading “Rufus 4.6 が可能にする Windows 11 24H2 へのインプレース・アップグレードとは?”30% of customer-facing APIs are completely unprotected
2024/10/08 HelpNetSecurity — ユーザー向け API の 70% は HTTPS により保護されているが、残りの 30%は保護されていないと、F5 が指摘している。これまでの10年間における、セキュアな Web 通信の推進により、いまでは Web ページの 90% が、HTTPS 経由でアクセスされ用になってきたが、API に関しては対照的な状況にあるとも言える。
Continue reading “ユーザー向け API の保護:HTTPS を使わない 30% の接続という現状”North Korean APT Group Kimsuky Exploits DMARC Misconfigurations for Sophisticated Phishing Attacks
2024/10/07 SecurityOnline — 長い間にわたって、組織をサイバー攻撃から守る上で、メール・セキュリティは重要な柱となっていた。しかし、最近のレポートでは、DMARC (Domain-based Message Authentication, Reporting & Conformance) などの広く信頼されている保護機能でさえ、ミスコンフィグにより悪用される可能性があることが判明している。Barracuda の Senior Director of Product Management である Sheila Hara は、「北朝鮮の APT グループである Kimsuky が、DMARC のミスコンフィグを悪用して、絞り込まれた標的型のスピアフィッシング攻撃を実行し、世界中の民間部門と公共部門を脅かしている」と強調している。
Continue reading “DMARK のミスコンフィグ:それを狙う北朝鮮の APT グループ Kimsuky”DNS Tunneling: The Hidden Threat Exploited by Cyberattackers
2024/10/07 SecurityOnline — サイバー攻撃者が用いる DNS トンネリングという手法は、検出を回避しながら悪意の活動を行い、データを盗み出すための隠された戦術である。Palo Alto Networks の最新レポートでは、従来のセキュリティ対策を回避する DNS トンネリング・テクニック用いる、新たな脅威とキャンペーンが取り上げられている。インターネットの要である DNS は監視されないままに放置されることが多く、攻撃者にとっての主要なターゲットとなっている。この Palo Alto Networks のレポートには、「DNS トンネリングは、DNS プロトコルを悪用して、DNS クエリ/レスポンスのデータをエンコードするため、攻撃者は気付かれることなく、セキュリティ・システムを回避していく」と記されている。
Continue reading “DNS Tunneling キャンペーン:Palo Alto Unit42 が発見した検出回避と攻撃の方式とは?”JPCERT shares Windows Event Log tips to detect ransomware attacks
2024/09/30 BleepingComputer — Japan Computer Emergency Response Center (JPCERT/CC) が共有したのは、Windows Event Logs のエントリをベースにして、各種のランサムウェア撃を検出するためのヒントであり、それにより、進行中の攻撃がネットワークに拡散する前のタイムリーな検出を目指している。JPCERT/CC によると、この手法はランサムウェア攻撃に対応する際に有益であり、さまざまな可能性の中から攻撃ベクターを特定することで、タイムリーな緩和を支援するという。
Continue reading “JPCERT/CC:Windows Event Log からランサムウェアの痕跡を探すヒントを提供”Infostealers Overcome Chrome’s App-Bound Encryption, Threatening User Data Security
2024/09/24 SecurityOnline — 悪名高いインフォ・スティーラーの開発者が、Chrome バージョン 127 で導入された App-Bound 暗号化機能の回避に成功したと発表し、サイバー・セキュリティにおける懸念が示されている。つまり、これらの悪意のあるツールは、以前は暗号化により保護されていた認証 Cookie を収集できるようになり、ユーザー・データのプライバシーに対する新たな脅威を生じている。
Continue reading “Chrome の App-Bound 暗号化を回避:わずか2ヶ月で達成したインフォ・スティーラー群とは?”Interactive PDF Analysis: An Open Source Forensic Tool for Threat Detection
2024/09/21 SecurityOnline — 今日のデジタル社会において、PDF ファイルは欠かせない存在であり、ビジネス文書からユーザー・マニュアルに至るまでの、あらゆる用途で使用されている。しかし、その他のフォーマットと同様に PDF も、悪意のペイロードの拡散に悪用される可能性があり、サイバー攻撃の標的となることが多い。そこで役立つのが、IPA (Interactive PDF Analysis) である。IPA は、セキュリティ・アナリストが PDF ファイルの隠れた構造を深く掘り下げ、潜在的な脅威を明らかにするために設計された、強力なオープンソース・ツールである。
Continue reading “Interactive PDF Analysis:脅威を検出するオープンソース・フォレンジック・ツール”Chrome Users Can Now Sync Passkeys Across Devices with New Google PIN Feature
2024/09/20 TheHackerNews — 9月19日 (木) に Google が発表したのは、Windows/macOS/Linux/ChromeOS/Android デバイス間で、Chrome ユーザーが Passkeys を同期するための Password Manager PIN のリリースである。Chrome の MP である Chirag Desai は、「この PIN により、さらにセキュリティは強化され、Passkeys は End-toEnd で暗号化され、誰もアクセスできないようになる。もちろん、Google もアクセスできない。 この PIN のデフォルトは6桁のコードだが、”PIN Option” を選択すれば、より長い英数字の PIN を作成できる」と述べている。
Continue reading “Passkeys のための Google PIN コード:PC と Android を連携させる保護機能が進化”The Safe C++ Extensions Proposal: Strengthening Security in a Complex Ecosystem
2024/09/18 SecurityOnline — 長年のメモリ安全性の懸念に対処するための決め手となる動きとして、C++ コミュニティは Safe C++ Extensions 提案を発表し、この言語における重要な瞬間を迎えようとしている。2年間にわたる綿密な議論を経て、C++ を強化することを目的とする、この提案が生まれた。C++ は、そのパワーと柔軟性で支持を得ているが、バッファ・オーバーフローや解放後使用 (UAF) エラーなどの、メモリ関連の問題に対する脆弱性が多発すると批判される言語でもある。
Continue reading “Safe C++ Extensions の提案:複雑化する開発エコシステムの強化が目的”RFC 9620: A Call for Human Rights in Internet Protocols
2024/09/18 SecurityOnline — The Internet Research Task Force (IRTF) は、プロトコルおよびアーキテクチャを開発する人々の注意を、重要である人権問題に向けることを目的とした、新しいドキュメント RFC 9620 をリリースした。このドキュメントは、情報提供を目的としたものであり、必須のスタンダードではない。ただし、その作成者が期待するのは、通信技術の作成と改善において、エンジニアのための貴重なガイドとなることだ。
Continue reading “IRTF が RFC 9620 を発行:インターネット・プロトコルにおける人権の擁護と向き合うために”CISA Issues Advice to Help Eliminate XSS Bugs
2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の1つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。
Continue reading “CISA/FBI の共同アラート:XSS バグの排除へ向けたアドバイスを公開”New Chrome Features Protect Users Against Threats, Provide More Control Over Personal Data
2024/09/12 SecurityWeek — Google が発表したは Chrome の新しい機能セットは、インターネット閲覧中のユーザーの保護を強化し、データに対する制御の強化を目的とするものだ。今日の Google によると、この新たな機能セットにより、バックグラウンドで自動的に実行される、プロアクティブな保護機能である Safety Check がアップグレードされている。さらに、ユーザーがアクセスしなくなった Web サイトの権限の取り消しや、不要と思われる通知にフラグ付けする通知などもサポートされるという。
Continue reading “Chrome の Safety Check がアップグレード:より安全な Web サイト閲覧のために”Google Pushes Rust in Legacy Firmware to Tackle Memory Safety Flaws
2024/09/09 SecurityWeek — Google が推進しているのは、メモリ関連のセキュリティ対策の一環としての、既存の低レベル・ファームウェア・コードベースへの Rust の導入である。Google のソフトウェア・エンジニアである Ivan Lozano と Dominik Maier の最新ドキュメントによると、C や C++ で書かれたレガシー・ファームウェアのコードベースは、OS 以下の繊細なレイヤーでメモリ安全性を保証するために、“drop-in Rust replacements” を利用できるという。
Continue reading “Google が推進する Rust 化:レガシー・ファームウェアをメモリ・セーフに!”Rapid Growth of Password Reset Attacks Boosts Fraud and Account Takeovers
2023/09/05 InfoSecurity — デスクトップ Web ブラウザからの、パスワード・リセット試行の4回に1回は詐欺であると、セキュリティ研究者たちが指摘している。年次で発行される LexisNexis Risk Solutions Cybercrime Report によると、パスワード・リセット攻撃の一部として、詐欺の試みが急増しているという。具体的に言うと、英国では毎週 70,000 件のパスワード・リセット攻撃が発生しており、個人のオンライン・アカウントを詐欺師が乗っ取ろうとしていることが、研究者たちにより検出されている。
Continue reading “パスワード・リセット攻撃が 232% 増:安全が確保されない機能に依存していませんか?”NIST Cybersecurity Framework (CSF) and CTEM – Better Together
2024/09/05 TheHackerNews — 米国 NIST (National Institute of Standards and Technology) が Cybersecurity Framework (CSF) 1.0 を導入してから、すでに 10 年が経過している。2013 年の大統領令に従い NIST が作成したのは、組織がサイバー・リスクを管理し、確立されたスタンダードとベスト・プラクティスに基づくガイダンスを提供するための、自主的なサイバーセキュリティ・フレームワークである。このフレーム・バージョンは、重要インフラ向けに調整されたものだったが、2018 年のバージョン 1.1 は、サイバー・セキュリティ・リスク管理に取り組む、すべての組織向けに設計されたものである。
Continue reading “NIST の CSF と Gartner の CTEM:抜群に相性が良い理由を解説しよう – XM Cyber”Google will disable some of its own Chrome extensions soon
2024/09/05 ghacks — Google Chrome エクステンションを使用しているユーザーにとって、ある日突然に、一部のエクステンションにアクセスできなくなる可能性が生じている。この問題は、サードパーティのエクステンションだけでなく、Google が Chrome 用に作成したエクステンションにも当てはまる。いま、Google は、Chrome のエクステンション・システムを変更している。新しいシステムへとアップデートされていない古いエクステンションは、無効化され、最終的にはブラウザから削除されるという。
Continue reading “Google の発表:Chrome 謹製のエクステンションであっても無効化される?”Here is why App Updates from Google Play may feel like they install faster now
2024/08/30 ghacks — Google が微調整しているのは、公式 Google Play ストアからアプリケーション・アップデートをダウンロード際の方式である。それにより、高速化が保証されるわけではないが、この変更により、数多くの Android ユーザーのダウンロードが改善されるはずだ。
Continue reading “Google Play からのダウンロードが多重化?アップデートが高速化される?”CTEM in the Spotlight: How Gartner’s New Categories Help to Manage Exposures
2024/08/27 TheHackerNews — 2024年の SecOps において、最新かつ最高のものを知りたいだろうか? 先日に Gartner が発表した Hype Cycle for Security Operations 2024 レポートには、Continuous Threat Exposure Management (CTEM) のドメインを整理して成熟させるための、重要なステップが踏まれている。今年のレポートには、このドメイン内の3つのカテゴリ Threat Exposure Management (TEM)/Exposure Assessment Platforms (EAP)/Adversarial Exposure Validation (AEV) が取り込まれている。
Continue reading “CTEM への注目:新たなカテゴリがセキュリティを支援する – Gartner”Microsoft to roll out Windows Recall to Insiders in October
2024/08/21 BleepingComputer — 今日の Microsoft の発表は、AI を活用する Windows Recall 機能を Copilot+ PC の Insider たちに対して、 10 月から展開するというものだ。この AI 機能により、PC 上のアクティブなウィンドウのスクリーンショットが取得され、Neural Processing Unit (NPU) と AI モデルを用いてデバイス上で分析され、その情報が SQLite データベースに追加されていく。
Continue reading “Microsoft の Windows Recall:10月から Insider たちにプレビュー版を提供すると発表”Thousands of Oracle NetSuite E-Commerce Sites Expose Sensitive Customer Data
2024/08/17 DarkReading — Oracle NetSuite の ERP (enterprise resource planning) プラットフォーム SuiteCommerce で発見された、数千の Web サイトに影響を及ぼす広範なミスコンフィグレーションにより、機密性の高い顧客データが不正アクセスの危機に晒されている。この問題を明らかにしたセキュリティ会社の AppOmni は、eコマースをサポートするために NetSuite を使用している多くの企業が、CRT (Custom Record Type) に対するアクセス制御のミスコンフィグにより、顧客データへの不正アクセスを許していると指摘している。これらの CRT には、個人の住所や電話番号などの重要なデータが保存されており、サイバー犯罪者にとって格好の標的になっている。
Continue reading “Oracle NetSuite SuiteCommerce のミスコンフィグ:数千サイトの顧客データが危険に晒される”CrowdSec: The Next-Generation Behavior Detection Engine for Enhanced Cybersecurity
2024/08/17 SecurityOnline — 急速に進化するデジタル環境において、ネットワーク・インフラのセキュリティ確保は、かつてないほど重要になっている。クラウ/コンテナ化/仮想マシンなどの環境の台頭により、従来からのセキュリティ・ソリューションでは、しばしば遅れをとることがある。CrowdSec は、攻撃的で悪意のある行動からシステムを保護する方法に、革命をもたらすことを約束する、オープンソースの行動検出エンジンである。
Continue reading “CrowdSec は次世代の行動検出エンジン:コミュニティ主導で脅威を封じていく”Save uBlock Origin: How to Bypass Google’s Chrome Update and Extend Support
2024/08/16 SecurityOnline — Google Chrome エクステンション・ページにおいて、廃止が間近に迫った Manifest v2 ベースのエクステンションを自動的に検出し、ユーザーに警告する機能がサポートされた。現時点において、それらの古いエクステンションは完全には無効化されていないが、Google の方針は、それらを近々に無効化し、起動できないようにするというものだ。1つの事例として、人気の広告ブロック拡張機能である uBlock Origin も、Manifest v2 に基づいて開発されている。 広告ブロック機能に v3 が課す制限のため、その開発チームは v3 に基づき、uBlock Origin Lite と呼ばれる新しいバージョンを作成した。
Continue reading “Google Chrome の Manifest v2 ベースのエクステンション:どうすれば延命できるのか?”Microsoft Mandates MFA for All Azure Sign-Ins
2024/08/16 InfoSecurity — Microsoft の発表は、すべての Azure サインインに、多要素認証 (MFA) を義務付けるというものだ。ユーザーの選択は、Microsoft Entra を通じて提供される、複数の MFA オプションからニーズに合わせて行われる。以下は、その一例である:
Consolidation vs. Optimization: Which Is More Cost-Effective for Improved Security?
2024/08/16 SecurityWeek — 経済/政治の情勢をマクロ視点から見ると、セキュリティ・リーダーたちが迫られる大きな決断として、自社の環境をより安全に守るための、金銭的/人的なリソースの使い方が浮上してくるだろう。この、いまの情勢が、脅威アクターたちの活性化を生み出しているのだが、その活動を縮小するよう、セキュリティ・リーダーは求められる。このパラドックスが、組織のオペレーションとセキュリティに携わる人々のストレス・レベルを引き上げている。
Continue reading “Consolidation 対 Optimization:セキュリティにおいて軽減すべきコストとストレスについて”#BHUSA: CISA Encourages Organizations to Adopt a ‘Secure by Demand’ Strategy
2024/08/09 InfoSecurity — 米国 CISA の主要イニシアチブのひとつに、2023年に開始された “Secure by Design” がある。その一方で同庁は、ソフトウェア・ユーザーに対して、Secure by Demand のアプローチを取るよう働きかけ始めた。これは、CISA の局長である Jen Easterly が、Black Hat USA の主要ステージで語ったメッセージである。
Continue reading “CISA が Secure by Demand Guide を発表:組織の調達戦略での採用を促す”0.0.0.0 Day: 18-Year-Old Browser Vulnerability Impacts MacOS and Linux Devices
2024/08/08 TheHackerNews — 悪意の Web サイトが全ての主要な Web ブラウザに影響を与える、新しい脆弱性 “0.0.0.0 Day” が、サイバーセキュリティ研究者たちにより発見された。この脆弱性には、ローカル・ネットワークへの侵入に悪用さえる可能性のあるという。Oligo Security の研究者である Avi Lumelsky は、この脆弱性について、「ブラウザがネットワーク・リクエストを処理する方法における、根本的な欠陥を露呈している。この脆弱性の悪用に成功した攻撃者は、ローカル・デバイス上で実行されている、機密性の高いサービスにアクセスする可能性を得る」と述べている。
Continue reading “Web ブラウザの 脆弱性 0.0.0.0 Day:18年前から MacOS/Linux に影響を与えていた?”Security First: Microsoft Overhauls Corporate Policy After Years of Criticism
2024/08/07 SecurityOnline — テクノロジー大手の Microsoft だが、サイバー・セキュリティを最優先事項として位置づける方向へと、その企業方針を大幅に変更する。それにより、役職に関係なく、すべての従業員が日常業務において、データ保護を優先しなければならなくなった。Microsoft の Chief People Officer である Kathleen Hogan が発表した社内覚書には、「Microsoft の社員は全員、セキュリティを最優先事項とする。トレードオフに直面したとき、答えは明確でシンプルである。すべてにおいて、セキュリティが優先する」と、新戦略の概要が示されている。この決定は、Microsoft 製品の脆弱性に対する、長年にわたる批判に対処するものである。
Continue reading “Microsoft の Security First:すべてにおいてセキュリティが優先する方針を明示”MISP: Open-source threat intelligence and sharing platform
2024/08/05 HelpNetSecurity — MISP (Malware Information Sharing Platform) とは、インシデントやマルウェア分析に関連するサイバー・セキュリティ指標や脅威を、収集/保存/配布/共有するための、脅威インテリジェンスを共有するための OSS プラットフォームのことである。Cyber Security/ICT の専門家たちや、マルウェア解析者たちのために設計されており、構造化された情報を効率的に共有することで、彼らの日常業務をサポートする。
Continue reading “MISP とは? 脅威インテリジェンスを共有するための OSS プラットフォーム”AWS Deploying ‘Mithra’ Neural Network to Predict and Block Malicious Domains
2024/08/05 SecurityWeek — クラウド・コンピューティング大手の AWS が発表したのは、同社のインフラ内を徘徊する悪意のドメインを短時間で排除するための、巨大なニューラル・ネットワーク・グラフ・モデルの活用であり、35億のノードと 480億のエッジが検索の対象になるという。この AWS 独自のシステムは、神話の太陽神の名前にちなんで “Mithra” と命名されている。そこでは、脅威インテリジェンスに対応するアルゴリズムが用いられ、AWS の広大なインフラに浮遊する悪意のドメインを特定するために設計された、評価スコアリング・システムが提供される。
Continue reading “AWS が Mithra ニューラル・ネットワークを導入:悪意のドメインを予測/ブロック”Crowdstrike: Delta Air Lines refused free help to resolve IT outage
2024/08/05 BleepingComputer — デルタ航空と CrowdStrike の法廷闘争が過熱している。CrowdStrike は、デルタ航空の長時間の IT 機能停止の原因は、災害復旧対策の不備にあると述べている。CrowdStrike の具体的な主張は、Windows デバイスを復旧させるための無償のオンサイト支援を、デルタ航空は拒否したというものだ。
Continue reading “Crowdstrike 障害:デルタ航空は障害解決のための無償支援を拒否していた?”Accelerating Memory Safety: DARPA’s TRACTOR Program Transforms C to Rust
2024/08/04 SecurityOnline — 米国の国防機関である DARPA (Defense Advanced Research Projects Agency) は、C 言語から Rust への自動変換を目的とする TRACTOR プログラムを通じて、メモリ・セーフなプログラミング言語への移行を加速させている。このイニシアチブでは、レガシー C コードの Rust への変換を自動化するための、機械学習ツールを開発している。メモリ・セーフティの問題は、大規模なコードベースにおける脆弱性の、主な原因となっている。DARPA は、AI モデルがプログラミング言語の変換を支援し、ソフトウェアの安全性を高めることを期待している。
Continue reading “DARPA の TRACTOR プログラム:C → Rust 変換によりメモリ・セーフ言語へ加速”Google Chrome Strengthens Cookie Security on Windows with App-Bound Encryption
2024/07/31 SecurityOnline — Google Chrome の Windows ユーザー向けに導入された、App-Bound Encryption という新しいセキュリティ機能は、クッキーの盗難や情報窃取マルウェアからユーザーを保護を強化するためのものだ。この機能強化の目的は、クッキー/パスワード/支払い情報などの機密データを、不正アクセスから保護することにある。
Continue reading “Chrome の新機能 App-Bound Encryption:Windows の DPAPI 活用でクッキー窃取を排除”W3C Slams Google’s Cookie Reversal: Privacy at Risk?
2024/07/30 SecurityOnline — 先日に Google が発表したのは、Chrome におけるサードパーティ・クッキーの段階的な廃止は、もう行わないというものだ。この決定が意味するのは、従来の方法で広告ネットワークが、Web サイトを横断してユーザーを追跡し、センシティブなユーザー情報の収集を行い、ユーザーのプライバシー保護にとって有害な状況を継続するこということだ。それに対して、業界標準化団体である W3C (World Wide Web Consortium) は、Google の決定を強く非難する公開書簡を発表した。Google の動きは、サードパーティ・クッキーを排除しようとする、業界全体の努力を損なうものだと、W3C は考えている。
Continue reading “W3C が Google のクッキー廃止の停滞を非難:プライバシーが侵害される?”Google Chrome adds app-bound encryption to block infostealer malware
2024/07/30 BleepingComputer — Google Chrome は、情報窃取型のマルウェア攻撃に対するセキュリティ向上のため、Windows システム上でより優れたクッキー保護のための新機能 App-Bound Encryption を追加した。Chrome のソフトウェア・エンジニアである Will Harris が、7月30日に発表したブログで説明しているように、現時点における Chrome は、クッキーやパスワードなどの機密データを保護するために、各 OS が提供する最も堅牢な技術を使用している。具体的には、以下のとおりである。
OAuth+XSS Attack Threatens Millions of Web Users With Account Takeover
2024/07/29 DarkReading — Web ユーザーの行動を追跡/記録するサービスの Hotjar と、人気のニュース・サイト Business Insider の API に、重大なセキュリティ欠陥が存在することが判明した。最新の認証規格が悪用され、長年の脆弱性が復活させられたことで、数百万人のユーザーがアカウント乗っ取りの危険にさらされている。API のセキュリティ会社である Salt Security の Salt Labs が、7月29日に公開したブログによると、認証規格の OAuth と、2つのサイトの XSS (cross-site scripting) の欠陥を組み合わせることで、攻撃者は機密データの窃取が可能になり、100万以上の Web サイトの正規ユーザーを装う悪質な活動の可能性が生じているという。
Continue reading “OAuth と XSS のコンボ攻撃:数百万人の Web ユーザーをアカウント乗っ取りで脅かす”Whitepaper: DevSecOps Blueprint
2024/07/29 HelpNetSecurity — GitGuardian による DevSecOps Blueprint ホワイトペーパー “Vulnerability Management and Security-by-Design to Pipeline Integrity” では、SDLC (Software Development Life Cycle) のあらゆる側面に対応する、自動化された技術主導の DevSecOps プログラムを、構築するための強固な基盤が概説されている。このホワイトペーパーでは、ツール/テクノロジー/プロセス (IR やセキュリティ・テストのような)/関係者などの、あらゆるレイヤーにセキュリティを組み込む方法が学ぶことが可能であり、セキュリティを維持しながら、開発者の作業時間を短縮できる。
Continue reading “DevSecOps Blueprint:脆弱性管理と Security-by-Design からパイプラインの完全性まで – GitGuardian”Google rolls back decision to kill third-party cookies in Chrome
2024/07/22 BleepingComputer — Google が発表したのは、Chrome のサードパーティ・クッキーを廃止する計画を撤回し、その代わりとして、これらのクッキーの使用方法をユーザーが制限できる、新たなブラウザ・エクスペリエンスを導入するという方針である。サードパーティー・クッキーとは、訪問中の Web サイト以外からユーザーの Web ブラウザに保存されるデータを指し、通常は、トラッキング・スクリプトや広告によりドロップされるものだ。これらのクッキーによって、同じサードパーティ・ドメインからのコードを利用する、他のサイトからのユーザー追跡も可能になるため、広告主はユーザーの閲覧習慣や興味を知ることができる。
Continue reading “Google の発表:Chrome サードパーティ・クッキー排除の撤回と言訳とは?”How to design a third-party risk management framework
2024/07/12 HelpNetSecurity — ほとんどの組織において、ルーター/サーバー/ファイアウォール/エンドポイントなどの保護に重点が置かれているが、たとえば、サードパーティ・ネットワークのような見慣れない起点を、組織を攻撃するためにハッカーが悪用するケースもある。ただし、強力な TPRM (Third Party Risk Management) フレームワークを用いれば、企業によるパートナーのリスク・プロファイルが把握され、ビジネスの保護が可能になる。効果的なサードパーティ・リスク管理のフレームワークがあれば、ベンダーのリスクや脆弱性により、組織のビジネスの保護が保証される。それは、資産を保護し、規制へのコンプライアンスを確保し、組織の評判を守るものだ。
Continue reading “TPRM (Third Party Risk Management) フレームワーク:なにから考える? どのように構築する?”CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities
2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。
Continue reading “CISA が要請する OS コマンド・インジェクション脆弱性の排除とは? – Security by Design”Google to Block Entrust Certificates in Chrome Starting November 2024
2024/06/29 TheHackerNews — Google の発表は、Entrust の証明書を使用している Web サイトを、2024年11月1日頃から Chrome でブロックするという方針である。Google Chrome セキュリティ・チームは、「これまでの数年にわたり、一般に公開されたインシデント・レポートにより、Entrust における懸念すべき行動パターンが浮き彫りになっている。具体的に言うと、期待を下回る能力/信頼性/不誠実さにより、公に信頼されるべき認証局の所有者としての、信頼が損なわれている」と述べている。
Continue reading “Entrust 認証局は 11月1日より Chrome がブロック:信頼に値しないという Google の判断”Canonical Unveils ‘Everything LTS’: 12-Year Security for Custom Docker Images
2024/06/26 SecurityOnline — 6月26日に Canonical は、Long Term Support (LTS) サービスの大幅な拡充を発表し、従来からの “deb” パッケージに加えて、ディストリビューションが不要の Dockerイメージの設計/構築サービスも、新たに提供することを明らかにした。このサービスは、対象となるソフトウェアが事前に Ubuntu でパッケージ化されているかどうかに関係なく、あらゆるオープンソースのアプリケーションや依存関係に対して、12年間のセキュリティ・メンテナンスを提供するものだという。
Continue reading “Canonical が公表した Everything LTS とは? 必要最小限の Ubuntu コンテナが攻撃面積を狭める”Why Passphrases are Safer and Easier than Passwords
2024/06/25 BleepingComputer — パスワード管理とは、やっかいなものだ。複雑でユニークなパスワードは覚えるのが難しく、だからといって、複数のアカウントで同じパスワードを使い回すのは避けるべきだ。では、その解決策はなんだろう? ランダムな文字列を使用したパスワードではなく、単語やフレーズを組み合わせた、パスフレーズを使用するという方法がある。
Continue reading “パスフレーズ 対 パスワード:より安全で使いやすいログイン方法を考える”Multifactor Authentication Is Not Enough to Protect Cloud Data
2024/06/22 DarkReading — UNC5537 として知られるサイバー犯罪者グループが、大暴れしている。この1ヶ月の間に、ShinyHunters または Scattered Spider に関連すると思われる身代金要求グループが、Ticketmaster から5億6000万件以上の顧客記録を盗み出し、5月28日に再構成されたリークサイト BreachForums に掲載し、$500,000 を要求した。その2日後に、このグループはスペインを拠点とする Santander Bank から 3,000万件の口座記録を盗んだと主張し、$2 million を要求している。そして、両社とも、このポストの後に情報漏えいを認めた。
Continue reading “MFA だけではクラウド・データ保護は無理:Snowflake 侵害から得るべき5つの教訓”Tor Browser 13.5 brings Android enhancements, better bridge management
2024/06/21 BleepingComputer — Tor Browser の 13.5 がリリースされ、Android/デスクトップ版のいくつかの機能が改善/強化された。Tor Browser とは、オープンソースの Web ブラウザーだ。同ブラウザーは、Tor ネットワークを構成するノード/リレーと呼ばれる、数千のボランティアが運営するサーバを経由して、ユーザーのトラフィックをルーティングすることにより、匿名でのブラウジングを可能にしている。
Continue reading “Tor Browser 13.5 がリリース:デスクトップ/Android 版の Bridge 管理機能などが改善”
IoT OT Security News 
You must be logged in to post a comment.