Bug Bounty – IoT OT Security News

Google から $500,000 のバグ報奨金を取得：研究者 brutecat の精錬された手法とは？

Researcher Hacked Google Using AI and Earned $500,000 Bug Bounty

2026/06/11 CyberSecurityNews — セキュリティ研究者 brutecat が公表したのは、AI 駆動のファジング・パイプラインを用いることで、Google のインフラ全体にわたる $500,000 以上の報奨金に相当する脆弱性を、3 カ月足らずで発見した手法である。この調査により、約 1,500 の API に潜んでいた体系的なアクセス制御の不備が明らかにされた。

Microsoft と Nightmare-Eclipse の対立が激化：RedSun／BlueHammer 公開で波紋

Microsoft Dispute with Security Researcher Escalates as Sides Trade Threats

2026/05/29 SecurityBoulevard — 今週になって、Nightmare-Eclipse というハンドルネームで知られるセキュリティ研究者と、Microsoft との対立が激化している。すでに Microsoft 傘下の GitHub では研究者のアカウントが停止され、数日後には GitLab からも排除されたほか、Microsoft はブログ記事で名指しで非難している。これに対し、Chaotic Eclipse としても知られる Nightmare-Eclipse は自身のブログで不満を表明し、過去において Microsoft に脆弱性を開示した際の対応について言及し、「7月14日には必ず痛い目を見せる」と強い警告を発している。

Node.js HackerOne における脆弱性レポートの品質を改善：Signal スコア 1.0 要件を導入してノイズを抑制

Node.js Sets New Standard for HackerOne Reports, Demands Signal of 1.0 or Higher

2026/01/23 gbhackers — Node.js が発表したのは、HackerOne のバグ・バウンティ・プログラムに新たな品質管理措置を導入し、脆弱性レポートを提出するセキュリティ研究者に対して、最低でも Signal レピュテーション・スコア 1.0 を維持することの義務付けである。このポリシー変更は、OpenJS Foundation が発表したものであり、セキュリティ・チームのトリアージ能力を圧迫してきた、低品質な提出物の増加の抑制を目的としている。

Windows のカーネル・ドライバーと名前付きパイプ：ローカル権限昇格に焦点を当てたバグハンティング

Hunting Windows LPE Flaws Through Kernel Drivers and Named Pipes

2025/12/29 gbhackers — Windows システムの Local Privilege Escalation (LPE：ローカル権限昇格) の脆弱性特定に焦点を当てた、集中的なバグハンティング・プロジェクトが、Hackyboiz Whitehat School のセキュリティ研究者たちにより完了した。この調査の結果により、カーネル・ドライバーと名前付きパイプという、２つの主要な攻撃対象領域に深刻な脆弱性が見つかった。サイバーセキュリティ・チームにとって必要なことは、これらの領域への早急な対応を優先することである。

Microsoft バグバウンティが拡張：サードパーティ／オープンソースのコードも対象に

Microsoft Bug Bounty Program Expanded to Third-Party Code

2025/12/13 SecurityWeek — 12月12日 (木) に Microsoft が発表した “In Scope by Default” というアプローチは、バグバウンティ・プログラムを大幅に拡充し、サードパーティ製のコードとオープンソース・コードも対象にするものだ。対象となる深刻な脆弱性が、Microsoft のサービスに影響を与える場合に限り、その脆弱性を発見／報告した研究者はバグバウンティの対象となる。

バグバウンティを法的に規制する判決：本来の意図とは異なる判例がもたらす懸念とは？

A Court Ruling on Bug Bounties Just Made the Internet Less Safe

2025/07/25 InfoSecurity — いまの時代の、サイバー脅威の頻度／規模／巧妙さが増大する現状において、官民の連携は強固な防衛手段である。しかし、United States v. Sullivan インシデントに関するU.S. Court of Appeals for the Ninth Circuit の最近の判決により、バグ報奨金プログラムを介した、責任のある脆弱性情報の開示のフレームワークが崩壊していく可能性が生じている。このフレームワークは、最も有効に機能している、官民連携の一つなのである。

WordPress Eventin の脆弱性 CVE-2025-47539 が FIX：深刻な権限昇格

CVE-2025-47539: Critical Privilege Escalation Flaw Hits 10K+ WordPress Eventin Sites

2025/05/16 SecurityOnline — WordPress で人気を誇る Eventin 管理プラグインに深刻な脆弱性が発見され、それを修正するプログラムが公開されている。このプラグインを利用することで、出欠確認／チケット販売などの、カレンダー・ベースのイベントを管理するサイトは、10,000+ に達すると言われている。

Chrome の脆弱性 CVE-2025-4096 などが FIX：任意のコード実行とシステム制御奪取の可能性

Chrome Update Fixes High-Severity Security Flaw (CVE-2025-4096)

2025/04/30 SecurityOnline — Chrome チームが公表したのは、Windows／Mac／Linux 向けのバージョン 136 を提供する、最新のステイブル・チャネル・アップデートのリリースである。このアップデートでは、通常どおりに内部的な改善が施されているが、注目すべきは、同梱されている８つの重要なセキュリティ修正である。

OAuth ミスコンフィグの脆弱性：YesWeHack バグ・バウンティで判明した際限のない PII の抽出

Researchers Exploit OAuth Misconfigurations to Gain Unrestricted Access to Sensitive Data

2025/04/30 gbhackers — 先日に実施された YesWeHack バグ・バウンティ・キャンペーンにおいて、OAuth2 認証情報のミスコンフィグに起因する深刻な脆弱性が、あるセキュリティ研究者により発見された。Web アプリケーションを詳細に分析した結果として、この認証フレームワークにおける些細な見落としが深刻なリスクをもたらすという、驚くべき状況が明らかになった。

WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX：PoC も提供

Rogue Account‑Creation Flaw Leaves 100 K WordPress Sites Exposed

2025/04/10 gbhackers — WordPress のプラグイン SureTriggers に、深刻な脆弱性 CVE-2025-3102 が発見された。この脆弱性により、10万以上の Web サイトが危険にさらされると懸念されている。この問題により、SureTriggers プラグインが適切にコンフィグされていないサイトにおける、不正な管理者ユーザーの作成を、攻撃者は可能にするとされる。なお、この脆弱性は、セキュリティ研究者である mikemyers により発見されたものである。

Windows Driver の整数オーバーフローの脆弱性 CVE-N/A： PoC エクスプロイトが登場

Integer Overflow Vulnerability in Windows Driver Enables Privilege Escalation, PoC Published

2024/11/28 SecurityOnline — Windows オペレーティング・システムの ksthunk.sys ドライバーは、32 Bit から 64 Bit へのプロセス通信を容易にする機能を持つが、このコンポーネントに存在する深刻な脆弱性が、SSD Secure Disclosure の研究者により発見された。ローカル攻撃者に権限昇格を許す、この整数オーバーフローの脆弱性は、権威ある TyphoonPWN 2024 イベントで実証され、２位を獲得するほど注目されている。

Zabbix の SQLi の脆弱性 CVE-2024-42327 (CVSS 9.9) が FIX：ただちにパッチを！

CVE-2024-42327 (CVSS 9.9): Critical SQL Injection Vulnerability Found in Zabbix

2024/11/27 SecurityOnline — Zabbix が公表したのは、SQL インジェクションの脆弱性 CVE-2024-42327 (CVSS：9.9) の発見に関する情報である。この脆弱性を悪用する攻撃者は、権限の昇格を達成し、Zabbix インスタンスの完全な制御を手にするとされる。したがって、世界中の組織で使用されている人気の OSS IT インフラ監視ツールにより、機密性の高いデータや接続されたシステムが危険に直面することになる。

QNAP HBS 3 のゼロデイ脆弱性 CVE-2024-50388 が FIX：Pwn2Own で公開

QNAP fixes NAS backup software zero-day exploited at Pwn2Own

2024/10/29 BleepingComputer — 10月24日 (木) に QNAP が修正した、TS-464 NAS デバイスに存在する深刻なゼロデイ脆弱性は、Pwn2Own Ireland 2024 コンテストおいて、セキュリティ研究者たちにより悪用が証明されたものだ。脆弱性 CVE-2024-50388 は、同社のディザスタ・リカバリと災害データ・バックアップのソリューションである、HBS 3 Hybrid Backup Sync のバージョン 25.1.x に存在し、OS コマンド・インジェクションを引き起こす可能性を持つ。

Windows 11 の CLFS に特権昇格の脆弱性：PoC エクスプロイトが公開

CLFS Flaw in Windows 11 Allows for Privilege Escalation, PoC Published

2024/10/28 SecurityOnline — Windows 11 の CLFS ドライバに発見された深刻度の高い脆弱性は、ローカル攻撃者に対して特権昇格を許すものである。この CLFS (Common Log File System) とは、システムやアプリケーションのログを、イベント追跡やエラー復旧のために効率的に管理／提供するものだ。この、新たに発見された脆弱性は、CClfsBaseFilePersisted::WriteMetadataBlock 関数に存在し、ClfsDecodeBlock 内の未チェックの戻り値に関連するものだ。この不備により、CLFS 構造内のデータが破損し、特権昇格の可能性が生じる。

Synology Photos／BeePhotos の深刻な脆弱性が FIX：Pwn2Own で悪用を証明

Synology Fixes Critical Vulnerabilities in Synology Photos and BeePhotos After Pwn2Own Exposure

2024/10/27 SecurityOnline — Synology が発表したのは、NAS 用の写真管理アプリ Synology Photos と、個人用クラウド・ストレージ・デバイス BeePhotos に存在する、深刻な脆弱性に対処するセキュリティ・アップデートのリリースである。総称して ZDI-CAN-25623 として識別される脆弱性は、Pwn2Own 2024 ハッキング・コンテストで悪用が証明され、対象となるデバイス上でリモート・コード実行の可能性があることが示された。

Apple の Private Cloud Compute：セキュリティとプライバシーの保護を強化

Apple Opens Private Cloud Compute for Public Security Inspection

2024/10/24 SecurityWeek — Apple は新しいツールを導入し、VRE (Virtual Research Lab) を立ち上げることで、Private Cloud Compute 技術に関するセキュリティとプライバシーの情報を、最新の iPhone に統合するという。それにより、さまざまな見解が一般に公開され、検査／検証が推進される。同社は、「Apple Intelligence AI が搭載される機能の内側に、このツールによりデータが保持され、検証可能な透明性の提供が約束される」と述べている。

VMware vCenter の脆弱性 CVE-2024-38812／38813 に再パッチ：2024年9月の修正は NG

VMware fixes bad patch for critical vCenter Server RCE flaw

2024/10/22 BleepingComputer — VMware vCenter Server に存在する深刻なリモート・コード実行の脆弱性 CVE-2024-38812 に対する、新たなセキュリティ・アップデートをリリースされたが、この脆弱性は、2024年9月の最初のパッチで正しく修正されなかったものと説明されている。この脆弱性 CVE-2024-38812 (CVSS v3.1：9.8) は、vCenter の DCE／RPC プロトコル実装におけるヒープ・オーバーフローに起因し、vCenter Server／vSphere／Cloud Foundation などを取り込んだ製品に影響を及ぼす。

Windows カーネルモード・ドライバの脆弱性 CVE-2024-35250 が FIX：PoC も公開

PoC Exploit Release for Windows Kernel-Mode Driver Elevation of Privilege Flaw (CVE-2024-35250)

2024/10/14 SecurityOnline — Windows の SYSTEM 特権の獲得を攻撃者に許すとされる、深刻な脆弱性 CVE-2024-35250が、 DEVCORE Research Team のセキュリティ研究者 Angelboy (@scwuaptx) の詳細な分析により明らかにされた。この脆弱性は、Pwn2Own Vancouver 2024 で実際に取り上げられ、その深刻度から広く注目を集めている。

VMWare vCenter Server の脆弱性 CVE-2024-38812／38813 が FIX：RCE が生じる恐れ

VMware Patches Remote Code Execution Flaw Found in Chinese Hacking Contest

2024/09/17 SecurityWeek — Broadcom 傘下の VMware が 9月17日にリリースしたパッチは、vCenter Server プラットフォームの２つの深刻な脆弱性に対処するものだ。１つ目の脆弱性 CVE-2024-38812 (CVSS：9.8) は、vCenter Server 内の分散コンピューティング環境／DCERPC (Remote Procedure Call) プロトコルの実装における、ヒープ・オーバーフローの脆弱性である。この脆弱性について VMware は、サーバに対してネットワーク・アクセスが可能な攻撃者が、特別に細工されたパケットを送信して、リモート・コード実行を達成する恐れがあると警告している。

WordPress InPost PL Plugin の脆弱性 CVE-2024-6500 (CVSS 10) が FIX：直ちにパッチ適用を！

10,000+ WordPress Sites at Risk: Critical File Deletion Flaw Found in InPost Plugins

2024/08/17 SecurityOnline — 人気の WordPress プラグインである InPost PL／InPost for WooCommerce プラグインに、致命的な脆弱性 CVE-2024-6500 (CVSS：10) が発見された。この欠陥は、任意のファイルの Read／Delete の脆弱性と説明されており、悪用に成功した攻撃者は、重要な “wp-config.php” コンフィグ・設ファイルなどの読込／削除が可能になる。

Google の KVM のゼロデイ脆弱性報奨プログラム kvmCTF が開始：その報酬額は MAX で $250,000

Google now pays $250,000 for KVM zero-day vulnerabilities

2024/07/01 BleepingComputer — Google が立ち上げたのは、KVM (Kernel-based Virtual Machine) ハイパーバイザーのセキュリティ向上のための、新たな脆弱性報奨プログラム (VRP：vulnerability reward program) としての kvmCTF である。この kvmCTF は、2023年10月に発表されたものであり、完全な VM エスケープ・エクスプロイトに対して、$ 250,000 の報奨金が支払われるという。KVM (Kernel-based Virtual Machine) は、17年以上にわたって開発されているオープンソースのハイパーバイザーである。そして、いまでは、コンシューマーや企業における重要なコンポーネントとなり、Android や Google のクラウド・プラットフォームの基盤としても活用されている。

中国のサイバー Offense／Defense パワー：世界の脆弱性情報エコシステムとの関係を考察する – ETH Zurich

Bug Bounty Programs, Hacking Contests Power China’s Cyber Offense

2024/06/18 DarkReading — これまでの 10年間を振り返ってみると、中国のサイバー・セキュリティ専門家は、世界的なエクスプロイト・コンテストや、バグ・バウンティ・プログラムへの遠慮がちな参加者から、これらの分野における支配的なプレーヤーへと進化している。そして、中国政府は、この戦利品を国家のサイバー攻撃力強化に活用している。

Pwn2Own で発見されたゼロデイ脆弱性７件：なぜ Microsoft は放置する？

Microsoft Has Yet to Patch 7 Pwn2Own Zero-Days

2024/05/17 DarkReading — Pwn2Own 2024 Vancouver で明らかにされた、７種類の特権昇格の Windows 脆弱性だが、２ヶ月が経過した現在も、Microsoft による対処が行われていない。５月の Patch Tuesday では、活発に悪用されている CVE-2024-30051／CVE-2024-30040 などを含む、全体で 60件ほどの脆弱性が修正されている。しかし、Apple や Google などとは異なり、この３月にホワイト・ハッカーたちが証明した多数のバグに、依然として Microsoft はパッチを適用していない。

Chrome と Pwn2Own：３つ目の深刻な脆弱性 CVE-2024-3159 が FIX：報奨金は $42,500

Google Patches Chrome Flaw That Earned Hackers $42,500 at Pwn2Own

2024/04/03 SecurityWeek — 4月2日 (火) に Google は、2024年3月に開催された Pwn2Own ハッキング・コンテストで証明された、新たなゼロデイ脆弱性を解決する Chrome アップデートを発表した。この、深刻度の高い脆弱性 CVE-2024-3159 は、V8 JavaScript および WebAssembly エンジンに存在する、境界外メモリ・アクセスの問題に起因すると説明されている。

Google Chrome のゼロデイ CVE-2024-2887／2886 が FIX：Pwn2Own 2024 で悪用が証明された

Google fixes Chrome zero-days exploited at Pwn2Own 2024

2024/03/27 BleepingComputer — 3月26日 (火) に Google は、Chrome Web ブラウザに存在する７件のセキュリティ脆弱性を修正した。そのうちの２件は、Pwn2Own Vancouver 2024 ハッキング大会で悪用が証明されたゼロデイ脆弱性である。１つ目の脆弱性 CVE-2024-2887 は、WebAssembly (Wasm) オープン・スタンダードにおける深刻度の高いタイプ・コンヒュージョンの脆弱性である。Pwn2Own の初日に Manfred Paul は、細工した HTML ページを用いて、Chrome／Edge をターゲットにする、ダブルタップによるリモートコード実行 (RCE) エクスプロイトの一部として、この脆弱性をデモした。

Mozilla Firefox の２つのゼロデイが FIX：Pwn2Own Vancouver 2024 の成果だ！

Mozilla fixes two Firefox zero-day bugs exploited at Pwn2Own

2024/03/22 BleepingComputer — ハッキング・コンテスト Pwn2Own Vancouver 2024 で悪用が実証された、Firefox Web ブラウザに存在する２つのゼロデイ脆弱性に対するセキュリティ・アップデートが、Mozilla からリリースされた。１つ目の脆弱性 CVE-2024-29944 は、境界外 (OOB) 書き込みに起因する、リモート・コード実行につながるものだ。２つ目の脆弱性 CVE-2024-29943 は、危険な関数の利用から、Mozilla Firefox のサンドボックス・エスケープにつながるものだ。この脆弱性を証明した Manfred Paul (@_manfp) は、賞金 $100,000 と、Master of Pwn 10 ポイントを獲得した。

米国防総省の Hack the Pentagon：2016年11月以降において５万件の脆弱性を排除

Over 50,000 Vulnerabilities Discovered in DoD Systems Through Bug Bounty Program

2024/03/18 InfoSecurity — 米国防総省 (DoD) の VDP (Vulnerability Disclosure Program) を通じて、５万件を超える脆弱性が提出された。2024年3月15日に DoD の DC3 (Cyber Crime Center) が報告したのは、2016年11月にクラウド・ソーシングによる倫理的ハッキング・スキームを導入した以降において、５万件に達する脆弱性を処理したというものだ。

Zoom Room の深刻なバグ：HackerOne で報告された SaaS の問題

Critical Zoom Room Bug Allowed To Gain Access To Zoom Tenants

2023/11/30 SecurityAffairs — HackerOne のライブ・ハッキング・イベント H1-4420 において、Zoom Room の脆弱性が AppOms の研究者たちにより報告された。言うまでもなく Zoom Rooms とは、秘密の会議やカンファレンスなどの物理的なスペースでのコラボレーションを強化する、Zoom ビデオ会議プラットフォームの機能のことである。この機能により、会議室にビデオ機能を備えたい企業や組織に対して、包括的なソリューションが提供される。

HackerOne の報奨金は累計で $300 million：2023年のレポートからトレンドを探る

HackerOne paid ethical hackers over $300 million in bug bounties

2023/10/28 BleepingComputer — HackerOne が発表したのは、同社のバグバウンティ・プログラムにおいて、倫理的ハッカーや脆弱性研究者に対して提供された報奨金が、累計で $300 million に達したことだ。これまでに、30人のハッカーが $1 million 以上の報酬金を獲得し、その中には $4 million 以上の報酬金を受け取った人もいるという。HackerOne は 10年以上前に設立されたバグバウンティ・プラットフォームであり、脆弱性や弱点を特定／報告する倫理的ハッカーたちに報酬を支払うことで、ソフトウェア・ベンダーとの関係を構築している。

ロシアの Operation Zero：iPhone／Android ゼロデイに $20M を提示

Russian Zero-Day Broker Is Willing To Pay $20M For Zero-Day Exploits For Iphones And Android Devices

2023/09/27 SecurityAffairs — ロシアのゼロデイ・ブローカー Operation Zero が、トップクラスのモバイル・エクスプロイトに対する報酬を増額している。同社は、iPhone／Android デバイス向けのゼロデイ攻撃に対して、最高で $20 million を提示している。

ホンダの機器類を販売する e コマース・サイトに脆弱性：甚大な被害が発生する可能性があった

Vulnerabilities in Honda eCommerce Platform Exposed Customer, Dealer Data

2023/06/08 SecurityWeek — 各種の機器や美品などの販売に利用されている、ホンダの eコマース・プラットフォームで発見された深刻な脆弱性の詳細が、ある研究者により公開された。この欠陥の悪用に成功した攻撃者は、顧客やディーラーの情報にアクセスできる可能性があったという。このセキュリティ・ホールとデータ流出の可能性は、米国在住の研究者 Eaton Zveare により、今年の初めに発見された後に、３月中旬にはホンダに通知された。同社は直ちに問題に対処するための措置を講じ、このホワイトハット・ハッカーに感謝の意を表したが、バグバウンティ・プログラムを設けていないため、報酬は与えなられなかった。なお、ホンダは、悪用の証拠は見つからなかったと述べている。

Netgear RAX30 ルーターに５つの脆弱性：連鎖によるリモート・コード実行が可能

Netgear Routers’ Flaws Expose Users to Malware, Remote Attacks, and Surveillance

2023/05/12 TheHackerNews — Netgear RAX30 ルーターに存在する、５つものセキュリティ脆弱性が公表された。これらの脆弱性は、連鎖的に認証を回避し、リモート・コード実行を許すものだ。Claroty のセキュリティ研究者である Uri Katz は、「これらの脆弱性の悪用に成功した攻撃者たちは、ユーザーのインターネット活動の監視／インターネット接続の乗っ取り／悪意の Web サイトへのトラフィックのリダイレクト／ネットワーク・トラフィックへのマルウェア注入などが可能になる」とレポートで述べている。

VMware の深刻なゼロデイ脆弱性が FIX：Pwn2Own で証明された侵害チェーンに対処

VMware fixes critical zero-day exploit chain used at Pwn2Own

2023/04/25 BleepingComputer — VMware は、２つのゼロデイ脆弱性に対処するための、セキュリティ・アップデートをリリースした。それらの脆弱性の連鎖に成功した攻撃者に対して、VMware Workstation／Fusion ソフトウェア・ハイパーバイザー上で、コード実行を許す可能性がある。この２つの脆弱性は、１ヶ月前に開催された Pwn2Own Vancouver 2023 ハッキング・コンテスト Day-2 で、STAR Labs チームのセキュリティ研究者たちが、デモを行ったエクスプロイト・チェーンの一部である。

TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX：Mirai による悪用も検出

TP-Link Archer WiFi router flaw exploited by Mirai malware

2023/04/25 BleepingComputer — マルウェア・ボットネット Mirai は、TP-Link Archer A21 (AX1800) WiFi ルーターに存在する脆弱性 CVE-2023-1389 を積極的に悪用して、このデバイスを DDoS (分散サービス拒否) の大群に組み込んでいる。2022年12月に開催された Pwn2Own Toronto のハッキング・イベントで、この欠陥の悪用に挑んだ２つのハッキング・チームが、異なる経路 (LAN／WAN インターフェイス・アクセス) を介して、このデバイスへの侵入を成功させた。

Windows／Ubuntu／VMWare Workstation が陥落：Pwn2Own 2023 レポート Day_3

Windows, Ubuntu, and VMWare Workstation hacked on last day of Pwn2Own

2023/03/24 BleepingComputer — ハッキング・コンテスト Pwn2Own の Day-3 でセキュリティ研究者たちは、Windows 11／Ubuntu Desktop／VMware Workstation を標的とした５つのゼロデイ・エクスプロイトを実演し、$185,000 を獲得した。この日のハイライトは、Ubuntu Desktop オペレーティングシステムが、３つのチームにより３回ハッキングされたことだが、そのうちの１つは、以前から知られていたエクスプロイトと重なってしまった。

Windows 11／Tesla／Ubuntu／macOS が陥落：Pwn2Own 2023 レポート Day_1

Windows 11, Tesla, Ubuntu, and macOS hacked at Pwn2Own 2023

2023/03/22 BleepingComputer — Pwn2Own Vancouver 2023 の初日のこと、セキュリティ研究者たちは Tesla Model 3／Windows 11／macOS のゼロデイ攻撃とエクスプロイト・チェーンのデモに成功し、$375,000 と Tesla Model 3 を手に入れた。最初に陥落したのは、エンタープライズ・アプリケーション部門の Adobe Reader である。Haboob SA の Abdul Aziz Hariri (@abdhariri) が、６つのバグ連鎖を標的とするエクスプロイト・チェーンを用いて、サンドボックスを抜け出し、macOS の禁止 API リストを回避する複数の失敗したパッチの悪用に成功し、$50,000 を獲得した。

Toyota Customer 360 の深刻な脆弱性が FIX：開発用／本番用 API の錯綜が原因

Vulnerability in Toyota Management Platform Provided Access to Customer Data

2023/03/07 SecurityWeek — Toyota Customer 360 という CRM (Customer Relationship Management) プラットフォームに、深刻な脆弱性が存在していたことが判明した。この脆弱性を発見したセキュリティ研究者によると、メキシコの顧客の個人情報にアクセスが可能だったという。この Web アプリケーションは、組織全体として顧客データを集約しており、個人情報／購入履歴／サービス内容などの、全ての顧客情報を一元的に把握するためのものだ。

Google の OSS-Fuzz 脆弱性特定プログラムが延長：すでに $600K 報酬が支払われた

Google Shells Out $600,000 for OSS-Fuzz Project Integrations

2023/02/02 SecurityWeek — 今週に Google は、OSS-Fuzz 報酬プログラムの延長を発表した。このイニシアチブは、OSS-Fuzz 上にプロジェクトを統合するコントリビューターに対して、報酬を与えることを目的としている。2016年に開始された OSS-Fuzz は、継続的なファジングを通じてオープンソース・ソフトウェアの脆弱性を特定し、共通のソフトウェア・インフラの安全性を高めることを目標としている。

Facebook／Instagram の 2FA バイパスが FIX：バグ報奨金は $27,000

Researcher received a $27,000 bounty for 2FA bypass bug in Facebook and Instagram

2023/01/30 SecurityAffairs — Instagram／Facebook に影響を与える２要素認証 (2FA) バイパスの脆弱性を報告したことで、研究者の Gtm Manoz は $27,000 のバグバウンティを得た。この脆弱性は、電話番号／メールアドレスの確認のために、親会社である Meta が使用しているコンポーネントに存在する。Mänôz は、このソフトウェアがレート制限の保護メカニズムを実装していないことに気づいた。そして、Meta Accounts Center を使用して、ターゲット・ユーザーの認証済み Facebook 携帯電話番号を確認することで、Facebook の２要素認証を回避した。

米国防総省のバグバウンティ Hack the Pentagon：４年に一度の大会が開催

US to Launch Third Iteration of ‘Hack the Pentagon’ Bug Bounty Program

2023/01/16 InfoSecurity — 米国国防総省 (DoD : Department of Defense) は、2016年に初めて行われた “Hack the Pentagon” バグバウンティ・プログラムの第３弾を、近々に開催すると発表した。Sam.Gov Web サイトの専用ページによると、この構想では、サイバー・セキュリティ研究者たちが、政府の Facility Related Controls System (FRCS) ネットワークの脆弱性を発見していくことになる。

Synology の深刻な脆弱性 CVE-2022-43931 が FIX：CVSS 10 の RCE

Synology fixes multiple critical vulnerabilities in its routers

2023/01/03 SecurityAffairs — 2022年12月に、台湾の NAS メーカーである Synology は、２つの新しい重要アドバイザリを公開した。最初のアドバイザリは、同社が対処した最も重要なものであり、脆弱性 CVE-2022-43931 (CVSS : 10) として追跡されている、境界外書き込みの深刻な問題だ。この脆弱性は、Ver 1.4.3-0534／1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality に存在している。この脆弱性の悪用に成功したリモートの攻撃者は、不特定のベクター経由で任意のコマンドを実行できる。

Pwn2Own Toronto 2022：63件のゼロデイが発見され $1M 近い報奨金が支払われた

Researchers Find 63 Zero-Day Bugs at Latest Pwn2Own

2022/12/12 InfoSecurity — 先日の Pwn2Own コンテストの参加者は、さまざまな製品に存在する数多くのゼロデイ脆弱性を発見し、デジタル世界の安全性を高めるために貢献した。このコンテストは、Trend Micro の Zero Day Initiative (ZDI) により運営されており、ベンダーに依存しない世界最大のバグバウンティ・プログラムとなっている。

Netgear Nighthawk の脆弱性が FIX：Pwn2Own 用のエクスプロイトを無効化

Netgear Neutralizes Pwn2Own Exploits With Last-Minute Nighthawk Router Patches

2022/12/06 SecurityWeek — 先週に Netgear がリリースしたホット・フィックスにより、Nighthawk RAX30 (AX2400) ルータの誤設定により、ローカル・ネットワークのサービスへの無制限なアクセスを、リモートの攻撃者に許してしまう脆弱性が対処された。Nighthawk RAX30 の WAN インターフェースが、デフォルトで IPv6 を有効にしているにもかかわらず、IPv4 トラフィックに適用されるアクセス制限が、IPv6 トラフィックに適用されないことに、この脆弱性は起因する。

MyOpenVDP で脆弱性を通知：OSS で実現する Vulnerability Disclosure Policy とは？

MyOpenVDP: Open-source web application to securely disclose vulnerabilities

2022/10/26 HelpNetSecurity — MyOpenVDP とは、誰もが自分の脆弱性開示ポリシー (VDP : Vulnerability Disclosure Policy) をホストできるようにするための、オープンソース・ソリューションのことである。この、YesWeHack により開発された Web アプリケーションは、GitHub 上で公開されている。

Chrome 106 の深刻な脆弱性６件が FIX：なかなか止まらない use-after-free 欠陥

Chrome 106 Update Patches Several High-Severity Vulnerabilities

2022/10/12 SecurityWeek — 火曜日に Google は、Chrome の最新アップデートを提供し、４つの use-after-free のバグを含む、６つの深刻度の高い脆弱性にパッチを適用したと発表した。新たに解決された脆弱性は、すべて外部の研究者により発見されたものであり、Google は報告者たちに $38,000 のバグバウンティ報奨金を手渡した。

Uber で生じたデータ侵害：Lapsus$ によるソーシャル・エンジニアリングが侵入経路？

Uber links breach to Lapsus$ group, blames contractor for hack

2022/09/19 BleepingComputer — 先週にサイバー攻撃に遭った Uber だか、その背後にいるハッカーについて、Microsoft／Cisco／NVIDIA／Samsung／Okta などの著名ハイテク企業を侵害したとされる、Lapsus$ グループに関連すると考えているようだ。この攻撃者は、盗み出した Uber EXT 契約者の認証情報を用いて、その契約者たちに 2FA ログインを要求し、誰かが受け入れるまで、MFA 疲れ攻撃を行ったと、同社は述べている。

Google がバグバウンティを刷新：オープンソース・プロジェクトも取り込んでいく

A new Google bug bounty program now covers Open Source projects

2022/08/30 SecurityAffairs — Google は、同社のプロジェクトをカバーしてきた Open Source Software Vulnerability Rewards Program (OSS VRP) の一環として、新たなバグバウンティ・プログラムを開始した。このプログラムでは、Google のプロジェクトに存在する脆弱性に対して、最大 $31,337 〜最低 $100 の報酬額が支払われるという。

Google の Titan M Chip で発見された深刻な脆弱性：研究者たちに $75,000 の報奨金

Critical Vulnerability in Google’s Titan M Chip Earns Researchers $75,000

2022/08/16 SecurityWeek — Quarkslab のセキュリティ研究者は、今年の初めに発見した Google の Titan M Chip における、深刻な脆弱性についての詳細情報を公開した。2018年に発表された Titan M は、Pixel デバイスにセキュリティ保護の強化を提供するために設計された、セキュアブートなどを保証する SoC (system-on-a-chip) である。この新たな脆弱性 CVE-2022-20233 は、Android の 2022年6月のセキュリティ・パッチの一部として対処されたが、深刻な権限昇格のバグだと、Google は説明していた。

Microsoft の脆弱性情報戦略：ゼロデイを防ぎながらノイズを増やさない方法とは？

Microsoft: We Don’t Want to Zero-Day Our Customers

2022/08/12 DarkReading — BLACK HAT USA — Microsoft のセキュリティ担当幹部は、同社の脆弱性開示ポリシーについて、セキュリティ・チームが十分な情報に基づき、パッチ適用を決定するために必要なものであり、また、パッチを素早くリバース・エンジニアリングして悪用する、脅威アクターからの攻撃を受けるリスクはないと述べた。

バグバウンティ・プログラム市場の需要と供給：誰もが幸せになれない現状を考える

Why Bug-Bounty Programs Are Failing Everyone

2022/07/30 DarkReading — Black Hat USA の講演で Katie Moussouris は、バグバウンティ・プログラムが目標を達成できない理由と、セキュリティ上の成果としてバウンティを活用するために、それに続くステップで必要となるものを説明することになる。