Facebook disrupts new NodeStealer information-stealing malware
2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta/Gmail/Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。
Continue reading “Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明”Google Authenticator App Gets Cloud Backup Feature for TOTP Codes
2023/04/25 TheHackerNews — 4月24日 (月) に Google は、12年の歴史を持つ Android/iOS 用の Authenticator アプリに関する、アカウント同期オプションのメジャー・アップデートを発表し、ワンタイム・パスワード (TOTPs:Time-based One-Time Passwords) コードを、ユーザーがクラウドにバックアップできるようにした。
Continue reading “Google Authenticator の新機能:TOTP コードのクラウド・バックアップが可能に”New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency
2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視/スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。
Continue reading “Rilide マルウェアは Chromium を狙う:偽物の Google Drive エクステンションに要注意”When Partial Protection is Zero Protection: The MFA Blind Spots No One Talks About
2023/03/10 TheHackerNews — 多要素認証 (MFA) は、かなり以前から、標準的なセキュリティ手法になっている。アカウント乗っ取り攻撃の 99% 以上を防ぐという、MFA の性能は広く認められており、MFAの導入は必須だと、セキュリティ・アーキテクトが考えるのも不思議ではない。しかし、あまり知られていないのは、従来からの MFA ソリューションには、固有の適用範囲の制限であるという視点である。RDP 接続やローカル・デスクトップへのログインには対応しているが、たとえば PsExec や Remote PowerShell などの、リモート・コマンド・ライン・アクセス・ツールを保護する機能は備えていない。
Continue reading “MFA の限界を知ろう:Active Directory との相性の悪さについて深堀りする”Cyberattackers Double Down on Bypassing MFA
2023/03/01 DarkReading — 企業が従業員や顧客に対して、より強固なセキュリティを企業が求めるにつれて、攻撃者たちは多要素認証 (MFA) の回避を進化させてきた。今週に発表された、サイバー・セキュリティ企業 LastPass におけるデータ漏洩や、2月の初めに発表されたソーシャルメディア・サービス Reddit における侵害のように、この種の侵害発生は、着実に増加している。
Continue reading “多要素認証 (MFA) バイパス:3種類の侵入ベクターについて解説する”Twitter Shuts Off Text-Based 2FA for Non-Subscribers
2023/02/20 SecurityWeek — Elon Musk の Twitter だが、有料の Twitter Blue サービス・サブスクリプション以外のユーザーを対象にして、TEXT/SMS 方式の2要素認証 (2FA) 停止を突然決定し、この週末に騒動を引き起こした。2023年2月17日 (金) の遅くに Twitter は、「電話番号ベースの 2FA は、歴史的に人気のある 2FA 形式だが、残念なことに、悪意ある者により悪用される状況を目の当たりにしてきた。そこで本日から、Twitter Blue をサブスクリプションしていないアカウントに対しては、TXT/SMS 方式 2FA の登録させないようにする」と発表している。
Continue reading “Twitter が SMS 2FA を廃止:iOS AutoFill や Google Auth などは利用可能とのこと”Attackers used malicious “verified” OAuth apps to infiltrate organizations’ O365 email accounts
2023/01/31 HelpNetSecurity — ”Publisher identity verified” マークを取得したサードパーティ製 OAuth アプリが、英国/アイルランドの組織を標的とする、未知の攻撃者に利用されていることを、Microsoft が明らかにした。この攻撃は、2022年12月初旬に Proofpoint の研究者が発見したものであり、SSO/Zoom になりすました3つの不正なアプリが関与しているという。この手口に騙されたターゲット組織は、一連の不正アプリにより O365 メールアカウントにアクセスされ、組織のクラウド環境への侵入を許してしまった。
Continue reading “OAuth を悪用する偽アプリ攻撃: Office 365 アカウントへの不正アクセスが発生”Researcher received a $27,000 bounty for 2FA bypass bug in Facebook and Instagram
2023/01/30 SecurityAffairs — Instagram/Facebook に影響を与える2要素認証 (2FA) バイパスの脆弱性を報告したことで、研究者の Gtm Manoz は $27,000 のバグバウンティを得た。この脆弱性は、電話番号/メールアドレスの確認のために、親会社である Meta が使用しているコンポーネントに存在する。Mänôz は、このソフトウェアがレート制限の保護メカニズムを実装していないことに気づいた。そして、Meta Accounts Center を使用して、ターゲット・ユーザーの認証済み Facebook 携帯電話番号を確認することで、Facebook の2要素認証を回避した。
Continue reading “Facebook/Instagram の 2FA バイパスが FIX:バグ報奨金は $27,000”GoTo Says Hackers Stole Encrypted Backups, MFA Settings
2023/01/24 SecurityWeek — IT マネージメント・ソフトウェアを提供する GoTo は、2022年に発生した LastPass 関連会社に影響を及ぼしたセキュリティ侵害において、暗号化されたバックアップと一部の暗号化キーが、正体不明の脅威アクターに盗まれたと発表した。GoTo の CEO である Paddy Srinivasan は、このセキュリティ侵害が、当初の報告よりもはるかに深刻であることを認めている。具体的に言うと、アカウントのユーザー名および、ソルト化/ハッシュ化されたパスワード、MFA 設定の一部に加えて、一部製品のコンフィグレーション/ライセンス情報が盗まれたようだ。
Continue reading “GoTo で発生したデータ侵害:暗号化されたバックアップや MFA 設定などを窃取”Massive Credential Stuffing Campaign Hits 35,000 PayPal Users
2023/01/20 InfoSecurity — 今週に PayPal が公表したのは、2022年12月に発生したアカウントへの不正アクセスと、米国の数万人の顧客に対して通知が行われたことだ。この不正アクセスは、12月6日〜12月8日に発生し、その後に事態を把握した同社は、脅威となった人物によるアクセスを排除した。PayPal からメイン州司法長官事務所に提出された侵害通知書には、「この間において、不正な第三者が、特定の PayPal ユーザーの個人情報の一部を閲覧し、取得した可能性がある」と記されている。
Continue reading “PayPal ユーザー 35,000 人の個人情報に不正アクセス:クレデンシャル・スタッフィングの可能性大”NortonLifeLock warns that hackers breached Password Manager accounts
2023/01/13 BleepingComputer — Gen Digital (旧 Symantec Corporation、NortonLifeLock) が顧客に送付したデータ侵害通知は、ハッカーによるクレデンシャル・スタッフィング攻撃で、Norton Password Manager アカウントの侵害に成功したことを知らせるものだ。バーモント州司法長官事務所に提出された書簡のサンプルによると、この攻撃の原因は、同社への侵入ではなく、他のプラットフォームでのアカウント侵害によるものとのことだ。
Continue reading “NortonLifeLock の Password Manager アカウントに侵害が発生:PW の使い回しが原因?”Why Attackers Target GitHub, and How You Can Secure It
2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox/Gentoo Linux/Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。
Continue reading “Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント”GitHub to require all users to enable 2FA by the end of 2023
2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。
Continue reading “GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応”Ukrainian CERT Discloses New Data-Wiping Campaign
2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。
Continue reading “ウクライナ CERT 対 ロシア IAB:新たなデータワイパー・キャンペーンの発見と追跡”Cookies for MFA Bypass Gain Traction Among Cyberattackers
2022/11/12 DarkReading — 最近の Lapsus$ マルウェア・グループは、侵害したシステムのアクセスを取得する際に、パスワードを探し出すだけではなく、デバイスやブラウザを正当なものとして認証するために使用される、Cookie セッション・トークンも検索している。このようなイニシャル・アクセスに関する傾向は、クラウド・サービスやオンプレミス・アプリケーションへのアクセスに攻撃者が使用するパスワードやクッキーが、犯罪者の予備軍から購入されるという状況を浮き彫りにしている。
Continue reading “Cookie 窃取と MFA バイパス:この組み合わせがサーバー攻撃を加速させる”130 Dropbox code repos plundered after successful phishing attack
2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント/パスワード/支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。
Continue reading “Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出”CISA Urges Organizations to Implement Phishing-Resistant MFA
2022/11/02 SecurityWeek — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、フィッシングに耐性のある Multi Factor Authentication (MFA) と MFA 対応アプリの番号照合を導入することで、組織におけるフィッシング脅威などからの保護に関するガイダンスを発表した。MFA とは、漏洩したログイン情報を悪用する攻撃者からの、ネットワークやシステムへの不正アクセスを困難にするセキュリティ・コントロールのことであり、ユーザーによる本人確認を実施するために、2つ以上の異なる認証手段の組み合わせを要求するものだ。
Continue reading “CISA の MFA ガイダンス:Number Matching 実装でフィッシングに対抗”Twilio discloses another hack from June, blames voice phishing
2022/10/27 BleepingComputer — クラウド・コミュニケーション企業の Twilio は、2022年6月のセキュリティ・インシデントに起因する新たなデータ侵害を開示したが、その背景には、8月に生じたハッキングで顧客の情報にアクセスした同一の攻撃者がいるようだ。Twilio によると、新たに開示された 6月29日の件は、短時間のセキュリティ・インシデントだったという。攻撃者はソーシャル・エンジニアリングを用いて、音声フィッシング攻撃で従業員を騙して認証情報を受け取った。その後に、盗まれた認証情報は、限られた顧客の情報にアクセスするために使われた。
Continue reading “Twilio 侵害の調査が完了:209人の顧客と 93人の Authy エンドユーザーに被害”The future of MFA is passwordless
2022/10/19 HelpNetSecurity — Secret Double Octopus と Dimensional Research の両者は、従業員 1,000人以上の組織において従業員の ID とセキュリティを担当する300人以上の IT 専門家を対象に、従業員のパスワードレス認証と多要素認証 (MFA) の使用状況について調査を実施した。
Continue reading “MFA の未来:パスワードレス・ライクとフル・パスワードレスの違いは?”Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth Apps
2022/09/24 DarkReading — Microsoft Exchange Server を乗っ取り、スパムの拡散を目的とする攻撃者たちが、侵害したクラウド・テナントに、悪意の OAuth アプリケーションを展開している。今週の Microsoft 365 Defender Research Team の発表では、多要素認証 (MFA) が無効な高リスクのアカウントに対して、クレデンシャル・スタッフィング攻撃が行われた後に、安全ではない管理者アカウントを利用した、イニシャル・アクセス獲得の様子が詳述されている。
Continue reading “Microsoft Exchange Server の侵害と乗っ取り:OAuth を悪用してスパムメールを配信”MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches
2022/09/20 BleepingComputer — 企業の認証情報へのアクセスを試みるハッカーたちは、大規模なネットワークに侵入するために、ソーシャル・エンジニアリング攻撃を多用し始めている。 多要素認証の普及に伴い、それらのを攻撃する際の構成要素の1つとして、MFA Fatigue (MFA 疲れ) と呼ばれる手法が一般的になってきた。企業ネットワークに侵入する際にハッカーたちは、盗み出した従業員のログイン認証情報を使って VPN や内部ネットワークに、アクセスするのが一般である。そしてハッカーたちにとっては、フィッシングやマルウェアで流出させた認証情報があり、また、ダークウェブ・マーケット・プレイスで購入した認証情報もありという具合に、さまざまな方法で企業の機密情報の入手が可能であり、それは難しいことではないというのが現実である。
Continue reading “MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落”Uber Claims No Sensitive Data Exposed in Latest Breach… But There’s More to This
2022/09/17 TheHackerNews — Uber が更新した情報だが、木曜日の遅くに発覚した社内コンピューター・システムの侵害により、ユーザーの個人情報が漏えいしたという証拠は無いと述べている。同社は、「我々は、このインシデントが、機密性の高いユーザーデータへのアクセスに関連しているという証拠はないと捉えている。Uber/Uber Eats/Uber Freight/Uber Driver アプリを含む、当社の全サービスは稼働している」と説明している。
Continue reading “Uber が主張する機密情報へのアクセスの証拠は無い:しかし無事だという証拠も無い”Twilio breach let hackers gain access to Authy 2FA accounts
2022/08/26 BleepingComputer — 8月4日に発生した攻撃について、Twilio での調査が継続されている。そして、一部の Authy ユーザー・アカウントにハッカーアクセスし、不正なデバイスを登録したことが判明したという。Twilio 傘下の Authy が提供する2要素認証 (2FA) サービスは、ログイン認証情報の入力が成功した後に、専用アプリで2回目の認証を行うことで、同機能に対応したオンライン・アカウントを安全に利用できるようにするものだ。
Continue reading “Twilio/Authy ハッキングの全容:2FA アカウントへの不正なアクセスとデバイス追加”Twilio hackers hit over 130 orgs in massive Okta phishing attack
2022/08/25 BleepingComputer — 最近に発生した、Twilio/MailChimp/Klaviyo などへの、一連のサイバー攻撃を実行したハッカーは、同じフィッシング・キャンペーンにより 130以上の組織に侵入した。このフィッシング・キャンペーンでは、コードネーム 0ktapus と呼ばれるフィッシング・キットが使用され、合計で 9,931件のログイン情報が盗み出され、それを基に VPN などのリモートアクセス介して、企業のネットワークやシステムへのアクセスが行われた。
Continue reading “Twilio/Okta ハッキングの全容:背後にいる脅威アクターの追跡も始まる”Researchers Warn of AiTM Attack Targeting Google G-Suite Enterprise Users
2022/08/24 TheHackerNews — Microsoft メールサービスの企業ユーザーを標的とする、大規模な中間者 (AiTM : Adversary-in-The-Middle) フィッシング・キャンペーンを仕掛けている脅威アクターたちが、Google Workspace のユーザーにも狙いを定めていることが明らかになった。Zscaler の研究者である Sudeep Singh と Jagadeeswar Ramanukolanu は、今月に発表したレポートで、「このキャンペーンは、Google Workspace を使用する、さまざまな組織の最高責任者などの、上級メンバーの標的を絞り込んでいる」と詳述している。
Continue reading “Google G-Suite 企業ユーザーを狙う AiTM フィッシング攻撃に注意”FBI warns of residential proxies used in credential stuffing attacks
2022/08/22 BleepingComputer — 米連邦捜査局 (FBI) は、大規模なクレデンシャル・スタッフィング攻撃を実行するサイバー犯罪者たちは、追跡/フラグ付け/ブロックなどを回避するために、家庭用プロキシを悪用する傾向にあると警告している。この警告は、先週末に、同局のインターネット犯罪苦情センター (IC3:Internet Crime Complaint Center) から民間企業への通知として発行された。その目的は、クレデンシャル・スタッフィング攻撃への防御策を実施する必要のある、インターネット・プラットフォーム管理者の意識を高めることにある。
Continue reading “FBI 警告:クレデンシャル・スタッフィング攻撃で家庭用プロキシが悪用される”RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers
2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。
Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”SOVA Android Banking Trojan Returns With New Capabilities and Targets
2022/08/15 TheHackerNews — Android バンキング型トロイの木馬 SOVA は、バンキング・アプリ/仮想通貨取引/ウォレットなどの、200以上のモバイルアプリを標的とするために、積極的にアップグレードが続けられている。そして、ターゲットとなるアプリの数は、開発当初の 90から増加している。
Continue reading “Android バンキング型トロイの木馬 SOVA:新たな機能でターゲットを拡大”Twilio: 125 customers affected by data breach, no passwords stolen
2022/08/12 BleepingComputer — クラウド・コミュニケーション大手の Twilio は、二要素認証 (2FA) プロバイダーとして人気の Authy を傘下に持つ企業だが、先週に発覚したセキュリティ侵害により、不正なデータ・アクセスを経験した顧客が、125件に達したことを発表した。同社は、この事件の背後にいる攻撃者に関して、影響を受けた顧客の認証情報には、アクセスできなかったと付け加えている。
Continue reading “Twilio の被害状況:データ侵害 125件が発生したが認証情報は盗まれなかった”Many ZTNA, MFA Tools Offer Little Protection Against Cookie Session Hijacking Attacks
2022/09/11 DarkReading — 組織において、内部ネットワークからインターネット・トラフィックを分離するためにディプロイされるツールの多く (多要素認証/ZTNA/SSO/ID プロバイダー・サービスなど) は、Cookie の盗難/再利用および、セッション ハイジャック攻撃からの保護にはほとんど効果がない。 今週にイスラエルの新興企業 Mesh Security の研究者たちが発表したところによると、これらの技術やサービスには、適切な Cookie セッション検証メカニズムがないことが多いという、したがって、これらの技術やサービスを、攻撃者は比較的容易に迂回できるという現実がある。
Continue reading “Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される”GitHub introduces 2FA and quality of life improvements for npm
2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、3つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter/GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された2要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。
Continue reading “GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加”PyPI mandates 2FA for critical projects, developer pushes back
2022/07/09 BleepingComputer — 金曜日に、サードパーティのオープンソース Python プロジェクトための、公式リポジトリである Python Package Index (PyPI) は、重要なプロジェクトのメンテナに対して二要素認証 (2FA) を義務付ける計画を発表した。この動きに対して、多くのコミュニティ・メンバーが賞賛したが、ある人気 Python プロジェクトの開発者が、自分のプロジェクトに与えられた Critical ステータスを無効にするために、PyPI からコードを削除して再公開することになった。
Continue reading “PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も”Microsoft to force better security defaults for all Azure AD tenants
2022/05/27 BleepingComputer — Microsoft の発表によると、すべての既存 Azure Active Directory (Azure AD) テナントにおいて、厳格なセキュリティ設定である Security Defaults を、2022年6月下旬には自動的に有効にするとのことだ。2019年10月に、新規テナントのみに対して導入された Security Defaults は、IT チームを持たない組織であっても、最小限の労力で優れた ID セキュリティ衛生を導入できるように設計された、一連の基本的なセキュリティ機構である。
Continue reading “Microsoft が Azure AD 全テナントに対して Security Defaults を有効化”FTC fines Twitter $150M for using 2FA info for targeted advertising
2022/05/25 BleepingComputer — 米連邦取引委員会 (FTC) は、二要素認証を運用するために収集した電話番号や電子メールアドレスを、Twitter がターゲット広告に使用したとして、$150 million の罰金を科した。裁判資料 [PDF] によると、2013年から Twitter は 1億4千万人以上のユーザーに対して、そのアカウントを保護するための情報を求めたが、そのデータがターゲット広告にも使われることを伝えていなかった。
Continue reading “米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた”Learn How Hackers Can Hijack Your Online Accounts Even Before You Create Them
2022/05/25 TheHackerNews — 悪意の行為者は、アカウント・プリ・ハイジャックと呼ばれる新しい手法で、ユーザーのオンラインア・カウントに不正にアクセスできることが、新しい研究で明らかになった。この攻撃は、Web サイトなどのオンライン・プラットフォームにおける、一般的なアカウント作成プロセスを狙ったものであり、何も知らない被害者が対象サービスのアカウントを作成する前に、敵対者による一連のアクションの実行が可能となる。この研究は、独立系セキュリティ研究者の Avinash Sudhodanan が、Microsoft Security Response Center (MSRC) のAndrew Paverd と共同で行ったものである。
Continue reading “アカウント・プレハイジャックという新たな攻撃手法:待ち伏せして悪さする”GitHub to require 2FA from active developers by the end of 2023
2022/05/03 BleepingComputer — 今日、GitHub は、同社のプラットフォーム上でコードをコントリビュートする、約 8300万人の開発者が使用するアカウントに対して、2023年末までに二要素認証 (2FA) の有効化を義務付けることを発表した。この、2FA 有効化が要求されるアクティブなコントリビューターに含まれるのは、コードのコミット/Actionsの使用/プルリクエストの open/merge/パッケージの公開などを行う GitHub ユーザーとなるが、それらに限定されるものではない。
Continue reading “GitHub が 2FA への完全移行を 2023 年末まで実施:ソフトウェア・サプライチェーンを攻撃から守る”Google sees 50% security boost for 150M users after 2FA enroll
2022/02/08 BleepingComputer — Google は、可能な限り多くのアカウントにおいて、2要素認証 (2FA) を自動的に登録する取り組みを加速させ、2FA を有効にするユーザー 1億5,000万人を追加したと発表した。Google は 2021年5月に、漏洩した認証情報や推測されたパスワードの悪用によるアカウント乗っ取り攻撃から、可能な限り多くのアカウントを保護するための広範な取り組みの一環として、すべてのユーザーに 2FA の使用させることを発表した。
Continue reading “Google の 2FA 推進プロモーション:1.5 億人が追加されセキュリティが向上”Microsoft: Enterprise MFA adoption still low
2022/02/07 HelpNetSecurity — コンシュマー・ユーザーの間では、二要素認証の使用率が急速に上昇している一方で、エンタープライズでは、重要なアカウントを保護するための多要素認証 (MFA) の使用率が、依然として低いという現実がある。
Continue reading “Microsoft 警告:多要素認証 (MFA) 採用がエンタープライズで遅れている”MFA adoption pushes phishing actors to reverse-proxy solutions
2022/02/03 BleepingComputer — オンライン・アカウントへの多要素認証 (MFA) の導入が進むにつれて、フィッシング詐欺師たちは悪質な活動を継続するために、より洗練されたソリューション (特にリバースプロキシ・ツール) を利用するようになっている。COVID-19 の大流行は、人々の働き方を大きく変え、自宅での仕事を可能にし、場合によっては望ましいことを証明した。
Continue reading “多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗”Researchers Bypass SMS-based Multi-Factor Authentication Protecting Box Accounts
2022/01/18 TheHackerNews — サイバー・セキュリティ研究者たちが、Box の多要素認証 (MFA) 機構に存在していた、パッチ適用済みのバグの詳細を公開した。Varonis の研究者たちは The Hacker News に対して「このバグを利用すると、攻撃者は盗んだ認証情報を使って組織の Box アカウントを侵害し、被害者の携帯電話にアクセスすることなく機密データを流出させることができる」と報告している。
Continue reading “Box の SMS-based 多要素認証がバイパスされる:研究者たちが指摘する欠陥とは?”Zoom finally adds automatic updates to Windows, macOS clients
2021/11/29 BleepingComputer — 今日、Zoom は、デスクトップ・クライアントのアップデート・プロセスを効率化するために設計された、自動アップデート機能を発表しました。この新機能は、現時点において、Windows および macOS のデスクトップ版 Zoom クライアントのみで利用可能であり、Linux プラットフォームはサポートされていない。また、モバイル・デバイスのユーザーは、それぞれのアプリ・ストアに内蔵されている自動アップデータを利用して、アプリを自動的に更新することができるとしている。
Continue reading “Zoom for Windows/macOS に自動アップデートが提供された”Cisco Report Shows Shift Away from Traditional Passwords
2021/10/15 SecurityBoulevard — 今週に Cisco の Duo Security Unit が発表したレポートによると、パスワードに代わる多要素認証 (MFA) とバイオメトリック認証の利用が増加していることが分かった。本レポートでは、3,600万台以上のデバイスで、40万以上のアプリケーションが実行され、月間で8億回の認証が行われた結果として、多要素認証とバイオメトリック認証の利用が、前年比でそれぞれ 39% 増と 48% 増となったことが報告されている。
Continue reading “Cisco レポート:パスワード依存から MFA/Biometric への移行が進んでいる”Microsoft: Iran-linked hackers target US defense tech companies
2021/10/11 BleepingComputer — イランに関連する脅威アクターが、米国とイスラエルの防衛技術企業が使用する Office 365 テナントを標的に、大規模なパスワード・スプレー攻撃を行っている。パスワード・スプレー攻撃では、複数のアカウントに対して同じパスワードを設定し、アカウント名を総当りするブルートフォースが試みられる。これにより、失敗したパスワードを異なる IP アドレスで隠すことが可能になる。
Continue reading “Microsoft 警告:イランのハッカーが防衛産業にパスワード・スプレー攻撃”Google to turn on 2-factor authentication by default for 150 million users
2021/10/06 TheHackerNews — Google は、アカウントへの不正アクセスを防ぎ、セキュリティを向上させるための継続的な取り組みの一環として、約1億5,000万人のユーザーを二要素認証スキームに、年内を目標に自動的に登録する計画を発表した。また、200万人の YouTube クリエイターに対しても、二段階認証 (2SV) の設定を義務付けることで、チャンネル乗っ取りから守るとしている。
Continue reading “Google の二要素認証:年内に1億5000万人を自動的に移行させる”Microsoft will disable Basic Auth in Exchange Online in October 2022
2021/09/26 BleepingComputer — Microsoft は、数百万人の Exchange Online ユーザーを保護するために、2022年10月1日から全てのテナントの全てのプロトコルで、Basic 認証をオフにすることを発表した。今回の発表は、COVID-19 パンデミック対応のために、Exchange Online からの Basic 認証の削除を、2021年後半に延期したことを受けてのものである。
Continue reading “Microsoft Exchange Online から Basic 認証が消える日:1年後の 2022年10月1日に決定”Security Fears & Remote Work Drive Continued 2FA Adoption
2021/09/14 DarkReading — Cisco System の Duo Labs が隔年で実施している調査によると、2年前には二要素認証 (2FA : Two Factor Authentication) に触れたことのなかった、米国と英国の人口の4分の1に相当する人々が、2021年には少なくとも1回は、同技術を使用していることが分かった。
Continue reading “加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因”Experts confirmed that the networks of the United Nations were hacked earlier this year
2021/09/10 SecurityAffairs — この木曜日に国連 (United Nations) は、今年初めに同組織のコンピュータ・ネットワークが、サイバー攻撃を受けたことを確認した。UN Secretary-General のスポークスマンである Stéphane Dujarric は Bloomberg に対して、「未知の攻撃者が 2021年4月に、国連のインフラの一部に侵入したことを認めた。国連は、持続的なキャンペーンを含め、頻繁にサイバー攻撃の標的となっている。また、この侵害に関連した、さらなる攻撃も検知され、対応していることを確認している」と述べている。
Continue reading “国連のネットワーク侵害が判明:ダークウェブ上のログイン情報が悪用される?”Coinbase seeds panic among users with erroneous 2FA change alerts
2021/08/31 BleepingComputer — 100以上の国々の約6800万人のユーザーを抱える、世界第2位の暗号通貨取引所である Coinbase が、誤った 2FA 警告を発してしまい、かなりのユーザーを怖がらせた。週末の Twitter スレッドで明らかにしたように、この暗号通貨取引所は、8月28日の午後1時45分 〜 午後3時7分 (PST) の間に、約125,000人の顧客に対して、2FA の設定が変更されているという、誤った警告を発してしまった。Coinbase はインシデント・レポートにおいて、この通知は誤送信であり、2FA 設定を回復するために、顧客が何かを行う必要はないと説明している。
Continue reading “Coinbase からの恐怖の通知:あなたの 2FA が変更されましたけど”Windows 365 exposes Microsoft Azure credentials in plaintext
2021/08/13 BleepingComputer — ありセキュリティ研究者が、Mimikatz を使って、Microsoft の最新 Windows 365 Cloud PC Service から、ユーザーの Microsoft Azure 認証情報を平分でダンプする方法を発見した。Mimikatz とは、Benjamin Delpy が作成したオープンソースのサイバー・セキュリティ・プロジェクトであり、認証情報の窃取や成りすましの脆弱性をテストするために、研究者たちに利用されるソフトウエアである。このプロジェクトの GitHub ページには、「メモリから平文のパスワードや、ハッシュ、PIN コード、Kerberos チケットを抽出することはよく知られている。
Continue reading “Windows 365 から Microsoft Azure クレデンシャル情報を平文でダンプ”Amazon starts rolling out Ring end-to-end encryption globally
2021/07/14 BleepingComputer — Amazon 傘下の Ring は、ビデオの End-to-End Encryption (E2EE) のグローバルを、限定したデバイスを持つ顧客に向けて開始すると発表した。それに先立ち、2021年1月13日に Ring は、米国の顧客向けに E2EE テクニカル・プレビューをリリースすると発表している。Ring の説明によると「本日、テクニカル・プレビューから移行し、この機能の提供をグローバルに拡大できることを、喜んで発表する。Ring はデフォルトで、顧客の動画がクラウドにアップロードされた時(転送時)と、Ring のサーバーに保存された時(静止時)に、動画を暗号化している。
Continue reading “Amazon の Ring がビデオの End-to-End 暗号化を開始”
IoT OT Security News 