WhatsApp が GDPR 違反:Meta に €5.5m の罰金を科した EU 委員会内に摩擦

WhatsApp Hit with €5.5m fine for GDPR Violations

2023/01/20 InfoSecurity — アイルランドのデータ保護委員会 (DPC : Data Protection Commission) が WhatsApp に対して、GDPR 違反があったとして €5.5m ($5.9m) の罰金を科した。また、この罰金に加えて、WhatsApp Ireland は 6ヶ月以内に、データ処理業務をコンプライアンスに適合させるよう指示された。この WhatsApp の責任範囲に関する訴訟については、欧州のデータ保護当局の間に、大きな意見の相違があることを示すものだ。

Continue reading “WhatsApp が GDPR 違反:Meta に €5.5m の罰金を科した EU 委員会内に摩擦”

WhatsApp がプロキシのサポートを開始:インターネット遮断を回避する

WhatsApp adds proxy support to help bypass Internet blocks

2023/01/05 BleepingComputer — 今日から WhatsApp は、インターネットが遮断された場合や、政府によるサービス・ブロックに直面した場合に、プロキシ・サーバ経由で接続できるようになった。この新しいプロキシ・サポート・オプションは、最新の WhatsApp iOS/Android アプリを利用している全てのユーザーに提供される。WhatsApp によると、プロキシ経由で接続しても、メッセージは End-to-End の暗号化で保護されるため、プライバシーとセキュリティは維持されるという。そのため、プロキシ・サーバ運営者/Meta/WhatsApp などの第三者が、メッセージの内容にアクセスすることはできず、ユーザーと受信者だけがメッセージを読むことができるようになる。

Continue reading “WhatsApp がプロキシのサポートを開始:インターネット遮断を回避する”

SpyNote のオープン化:金融機関を標的とする Android スパイウェアが進化

SpyNote Strikes Again: Android Spyware Targeting Financial Institutions

2023/01/05 TheHackerNews — 2022年10月以降において、SpyNoteと呼ばれる Android マルウェアの新バージョンが、金融機関を標的にしている。ThreatFabric は The Hacker News と共有したレポートの中で、「このスパイウェアが増加した背景には、開発者がソースコードを公開したことにある。つまり、他の脅威アクターによるスパイウェアの開発/ 配布が容易になり、銀行機関をターゲットにするケースが増えている」と述べている。このマルウェアが装う有名な金融機関には、Deutsche Bank/HSBC U.K./Kotak Mahindra Bank/Nubank などがある。

Continue reading “SpyNote のオープン化:金融機関を標的とする Android スパイウェアが進化”

Facebook/Instagram に €390M の罰金:GDPR 違反という主張に Meta は反発

Meta to fight €390 million fine for breaching EU data privacy laws

2023/01/04 bleepingcomputer — アイルランドのデータ保護委員会 (DPC : Data Protection Commission) は、Facebook/Instagram のユーザーに対するターゲット広告のために、Meta が個人データ処理に同意するよう強制していたと認定し、合計で €390 million の罰金を科した。本日の決定は、EU の General Data Protection Regulation (GDPR) データプライバシー/セキュリティ法が施行された 2018年5月25日に、オーストリア/ベルギーのユーザー非営利団体 noyb が提出した苦情に端を発したものであり、Meta のデータ処理業務に関する2件の調査が終了した後に下されたものだ。

Continue reading “Facebook/Instagram に €390M の罰金:GDPR 違反という主張に Meta は反発”

Facebook が $725 Million の罰金に同意:Cambridge Analytica のデータ流出問題

Facebook to Pay $725 Million to settle Lawsuit Over Cambridge Analytica Data Leak

2022/12/27 TheHackerNews — Facebook/Instagram/WhatsApp などの親会社である Meta Platforms は、2018年からの長期間の集団訴訟に対して、$725 million を支払うことに合意した。この法的紛争が勃発した背景には、Cambridge Analytica が使用したようなサードパーティ・アプリが、政治的広告のためにユーザーの個人情報に同意なくアクセスすることを、Meta Platforms が許可していたことがある。

Continue reading “Facebook が $725 Million の罰金に同意:Cambridge Analytica のデータ流出問題”

Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始

Massive Twitter data leak investigated by EU privacy watchdog

2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号/電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。

Continue reading “Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始”

Facebook 対 GDPR:$275M の罰金とデータ・スクレイピングへの圧力

Meta fined €265M for not protecting Facebook users’ data from scrapers

2022/11/28 BleepingComputer — 世界中の数億人のユーザー情報が流出した、2021年の Facebook データ大量流出事件を追求する、アイルランドの DPC (data protection commission) は Meta に対して、€265 million ($275.5 million) の罰金を科した。5億3300万人の Facebook ユーザーのデータが、2021年4月14日にハッカーフォーラムで公開されたことを受けて開始された、Meta による GDPR 違反に関する DPC の調査は、これにより終了した。

Continue reading “Facebook 対 GDPR:$275M の罰金とデータ・スクレイピングへの圧力”

OpenVPN/SoftVPN とトロイの木馬:Android ユーザーを狙う Bahamut というハッカー

Hackers modify popular OpenVPN Android app to include spyware

2022/11/24 BleepingComputer — 2017 年以降のサイバー・スパイ活動に関与する脅威アクターたちが、正規のソフトウェア SoftVPN や OpenVPN をトロイの木馬化し、Android 向けの偽 VPN ソフトウェアを作成し、被害者を誘い込んでいることが判明した。研究者たちによると、このキャンペーンは “高度な標的型“ であり、複数のアプリから連絡先/通話データ/デバイスの位置情報/メッセージなどの窃取を目的としているとのことだ。

Continue reading “OpenVPN/SoftVPN とトロイの木馬:Android ユーザーを狙う Bahamut というハッカー”

Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント

Ducktail information stealer continues to evolve

2022/11/23 SecurityAffairs — 2022年7月下旬に WithSecure (旧 F-Secure Business) の研究者たちが発見したのは、Facebook Business/Ads プラットフォームの組織/個人を標的とする、Ducktail という名の進行中のオペレーションだ。このキャンペーンの主体については、2018年から活動していると見られる、ベトナムの経済的な動機を持つ脅威アクターだと、専門家たちは考えている。この脅威アクターの主目的は、ターゲットの Facebook Business アカウントを乗っ取ることだ。

Continue reading “Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント”

SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染

Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App

2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。

Continue reading “SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染”

企業が SNS を使うとき:そこに隠された7つのリスクとは?

7 Hidden Social Media Cyber Risks for Enterprises

2022/10/27 DarkReading — ブランドを持つ企業はソーシャルメディアを好み、ビジネスの拡大/新入社員の採用/新製品の宣伝/消費者への直販などに活用している。最近の統計によると、ソーシャルメディア上のブランド広告は、昨年には 53% 増という成長を示し、それぞれのブランドは、コンテンツの開発と配布に投資し続けている。また、コンテンツとしては、バイラルビデオ/興味深いミーム/ポッドキャスト/ドキュメントなどがあり、顧客とのエンゲージメントを高めている。

Continue reading “企業が SNS を使うとき:そこに隠された7つのリスクとは?”

Meta Pixel トラッカーの問題が再発:医療情報 300万件が流出という深刻な状況

Health system data breach due to Meta Pixel hits 3 million patients

2022/10/20 BleepingComputer — ウィスコンシン州とイリノイ州の 26ヶ所に病院を持つヘルスケア・システム Advocate Aurora Health (AAH) が、300万人の患者の個人情報が流出したデータ侵害について、患者に通知している。このインシデントの原因は、ログインした患者が、機密性の高い個人情報や医療情報を入力する AAH の Web サイトにおいて、Meta Pixel が不適切に使用されたことにある。

Continue reading “Meta Pixel トラッカーの問題が再発:医療情報 300万件が流出という深刻な状況”

Ducktail の PHP バージョン:Facebook ビジネス・アカウントの窃取を狙っている

New PHP Version of Ducktail Malware Hijacking Facebook Business Accounts

2022/10/14 TheHackerNews — Zscaler の最新の調査結果によると、Ducktail と呼ばれる情報窃取マルウェアの PHP バージョンが、クラックされた正規のアプリやゲーム用のインストーラーの形で、野放し状態で配布されていることが発覚した。Zscaler ThreatLabz の研究者である Tarun Dewan と Stuti Chaturvedi は、「旧バージョン (.NetCore) と同様に、最新バージョン (PHP) も、保存したブラウザ認証情報/Facebook アカウント情報などの、機密情報の流出を目的としている」と述べている。

Continue reading “Ducktail の PHP バージョン:Facebook ビジネス・アカウントの窃取を狙っている”

FB アカウントでのログイン要求に注意:認証情報を盗む 400種以上のマルアプリが判明

Facebook Login Details at Risk as Meta Identifies Over 400 Malicious Apps

2022/10/10 InfoSecurity — Facebook の親会社である Meta は、Facebook のログイン情報を盗み出すことを目的とした、400種類以上の悪質な Android/iOS アプリを発見したと述べている。Meta によると、一連のアプリの発見は 2022年に生じており、発見者たちは Apple と Google に結果を報告している。

Continue reading “FB アカウントでのログイン要求に注意:認証情報を盗む 400種以上のマルアプリが判明”

NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布

New NullMixer Malware Campaign Stealing Users’ Payment Data and Credentials

2022/09/27 TheHackerNews — このサイバー犯罪者は、クラックされた海賊版ソフトウェアを探そうとするユーザーを、武器化されたインストーラーをホストする不正な Web サイトに誘導してシステムを侵害し、NullMixer と呼ばれるマルウェアを展開している。月曜日のレポートで Kaspersky は、「ユーザーが NullMixer を解凍/実行すると、感染したマシンに多数のマルウェア・ファイルがドロップされる。NullMixer は、バックドア/バンカー/ダウンローダー/スパイウェアなどのような、さまざまな悪意のバイナリをドロップして、マシンに感染させる」と述べている。

Continue reading “NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布”

Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?

Google, Microsoft can get your passwords via web browser’s spellcheck

2022/09/17 BleepingComputer — Web ブラウザ Google Chrome/Microsoft Edge の拡張スペルチェック機能は、個人情報 (PII:Personally Identifiable Information) や、場合によってはパスワードを含むフォームデータを、Google と Microsoft に送信することが判明した。これは、これらの Web ブラウザの一般的な機能かもしれない。しかし、送信後のデータの取り扱いについては、特にパスワード・フィールドに関しては、どれほどの安全性が担保されるのかという点で懸念が生じる。

Continue reading “Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?”

Facebook Page オーナーを狙うフィッシング・メール:その特徴を確認しておこう

Phishers take aim at Facebook page owners

2022/09/14 HelpNetSecurity — フィッシング詐欺師たちは、Facebook/Instagram/WhatsApp/Meta を装う偽の通知で、Facebook ページのオーナーを騙し、機密情報を引き渡させようとしている。Meta Ads Manager でリード・ジェネレーション・フォームを作成し、そのリンクをフィッシング・メールに記載するというものであり、非常に巧妙な方法で情報を収集している。

Continue reading “Facebook Page オーナーを狙うフィッシング・メール:その特徴を確認しておこう”

Instagram に €405M の罰金:アイルランド規制当局が不適切なアカウント保護を摘発

Irish Watchdog Fines Instagram 405M Euros in Teen Data Case

2022/09/06 SecurityWeek — 欧州連合の厳格なデータプライバシー規則に違反して、Instagram が 10代の若者の個人情報を誤って扱っていたことが判明した後に、このソーシャルメディア・プラットフォームは、アイルランドの規制当局により多額の罰金を科されることになった。 この月曜日のメールで、アイルランドのデータ保護委員会は、Instagram に €405 million ($402 million) の罰金を科す最終決定を、先週に下したことを明らかにした。

Continue reading “Instagram に €405M の罰金:アイルランド規制当局が不適切なアカウント保護を摘発”

Facebook の Meta Pixel:ミスコンフィグレーションで 130万人分の医療データが流出

Misconfigured Meta Pixel exposed healthcare data of 1.3M patients

2022/08/22 BleepingComputer — 米国の医療機関である Novant Health は、Meta Pixel 広告トラッキング・スクリプト Meta Pixel により誤って機密情報を収集してしまった、136万2296人に影響をおよぼすデータ侵害を公表した。Meta Pixel (旧 Facebook Pixel) とは、Facebook の広告主が広告のパフォーマンスを追跡するためにサイトに追加する、JavaScript 追跡スクリプトのことである。

Continue reading “Facebook の Meta Pixel:ミスコンフィグレーションで 130万人分の医療データが流出”

米 FTC の新たな規制:大手 IT 企業のデータ収集/利用の方法が疑問視される

FTC Looking at Rules to Corral Tech Firms’ Data Collection

2022/08/12 SecurityWeek — 手首に巻きつけたフィットネス・トラッカーも、居間に置かれたスマート家電も、子どもたちが夢中になるオンライン・ビデオでの流行も、その全てが、大手ハイテク企業にとっては個人データの宝庫となっている。これらのデータが、どのように利用され、どのように保護されているかについて、社会的な関心が高まっており、政府関係者の怒りも広がっている。そして今、連邦規制当局は、商業的で有害な監視と、がさつなデータ・セキュリティを取り締まるために、新たな規則の起草を検討している。

Continue reading “米 FTC の新たな規制:大手 IT 企業のデータ収集/利用の方法が疑問視される”

Facebook が摘発した南アジアのサイバー・ギャングたち:騙しのテクニックを分析

Meta Cracks Down on Cyber Espionage Operations in South Asia Abusing Facebook

2022/08/08 TheHackerNews — Facebook の親会社である Meta は、同社の SNS を利用してマルウェアを配布していた、南アジアにおける2つのスパイ活動への対策を講じたことを発表した。1つ目のアクティビティは、ニュージーランド/インド/パキスタン/イギリスの個人を標的とした、ハッキング・グループ Bitter APT (別名 APT-C-08/T-APT-17) により実施されたものだ。Meta は、この活動について、十分な持続性とリソースを持つと表現している。

Continue reading “Facebook が摘発した南アジアのサイバー・ギャングたち:騙しのテクニックを分析”

ウクライナのサイバー警察:フェイクニュース拡散に使われた 100万個のボットを停止

Ukraine takes down 1,000,000 bots used for disinformation

2022/08/03 BleepingComputer — ウクライナのサイバー警察 (SSU) は、SNS でフェイク・ニュースを拡散するために使用されていた、100万個のボットによる大規模なボットファームを停止させた。このボットファームの目的は、ウクライナ国家の公式情報を信用させず、同国の社会的/政治的状況を不安定にし、内戦を引き起こすことだった。ボットが拡散していたメッセージは、ロシアのプロパガンダに沿ったものであることから、そのオペレーターはロシアの特殊部隊のメンバーであると考えられている。

Continue reading “ウクライナのサイバー警察:フェイクニュース拡散に使われた 100万個のボットを停止”

フィッシングの分析:最も多く偽装されたブランドは1位 Microsoft/2位 Facebook

The most impersonated brand in phishing attacks? Microsoft

2022/08/01 HelpNetSecurity — Vade が発表したレポート Phishers’ Favorites Top 25, H1 2022 によると、フィッシング攻撃におけるブランド偽装 Top-25 の、1位は Microsoft、2位は Facebook であり、以下 フCrédit Agricole、WhatsApp、Orange などがランクインしている。

Continue reading “フィッシングの分析:最も多く偽装されたブランドは1位 Microsoft/2位 Facebook”

Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?

Meta, US hospitals sued for using healthcare data to target ads

2022/07/30 BleepingComputer — ターゲット広告のために、患者の機密医療データを違法に収集しているとして、Meta (Facebook) /UCSF Medical Center/Dignity Health Medical Foundation に対し、カリフォルニア州北部地区で集団訴訟が起こされている。このトラッキングとデータ収集は、患者が自身の病状/担当医師/処方された薬などに関する、非常に機密性の高い情報を管理する、医療ポータルで行われているとされる。

Continue reading “Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?”

Facebook 上で宣伝されるアドウェア・アプリ:日本などから 700万回も DL されている

Facebook ads push Android adware with 7 million installs on Google Play

2022/07/30 BleepingComputer — Android デバイスの System Cleaner や Optimizer として、Facebook 上で積極的に宣伝されているアドウェア・アプリが存在するが、それらの Google Play Store 上でのインストール回数は数百万を数えている。それらのアプリは、約束された機能をすべて備えることもなく、デバイス上で可能な限り長期間に渡り居座り、広告を不正にプッシュしていく。

Continue reading “Facebook 上で宣伝されるアドウェア・アプリ:日本などから 700万回も DL されている”

Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

Continue reading “Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心”

Facebook ビジネスページでデータ収穫:インタラクティブで本物に見えるフィッシングの新常識とは?

Facebook Business Pages Targeted via Chatbot in Data-Harvesting Campaign

2022/06/29 DarkReading — Facebook のアカウント情報/電話番号の窃取を目的とした、ソーシャル・エンジニアリング攻撃が、Facebook Messenger チャットボット機能を組み込んだ巧妙な手段で、ビジネス・ページを標的にしている。Trustwave SpiderLabs の Senior Security Research Manager である Karl Sigler は、「この攻撃は、そのインタラクティブ性で注目されており、ソーシャル・エンジニアリングのフィッシング攻撃が、いかに複雑になっているかを示している」と、Dark Reading に対して語っている。

Continue reading “Facebook ビジネスページでデータ収穫:インタラクティブで本物に見えるフィッシングの新常識とは?”

Facebook Messenger で大規模フィッシング:リダイレクト料で数百万米ドルを稼いだようだ

Massive Facebook Messenger phishing operation generates millions

2022/06/08 BleepingComputer — Facebook と Messenger を悪用した大規模なフィッシング・キャンペーンが、研究者たちにより発見された。それは、数百万人のユーザーをフィッシング・ページに誘い込み、アカウント情報を入力させ、広告を表示させるというものである。このキャンペーン運営者たちは、盗んだアカウントから友人たちをたどり、さらにフィッシング・メッセージを送ることにで、オンライン広告手数料から多額の収益を得ていた。

Continue reading “Facebook Messenger で大規模フィッシング:リダイレクト料で数百万米ドルを稼いだようだ”

Lapsus$ の犯行声明:IT 企業 Globant のデータ 70GB を流出させた

LAPSUS$ Claims to Have Breached IT Firm Globant; Leaks 70GB of Data

2022/03/30 TheHackerNews — データ強奪組織である Lapsus$ は、1週間の休暇後に Telegram で復帰を発表し、ソフトウェア・サービス企業の Globant のデータだと主張するものを流出させた。このグループは、54,000人のメンバーを有する Telegram チャンネルに、「我々は正式に休暇から戻ってきた」と書き込み、Globant の DevOps インフラに属するとされる、抽出されたデータと認証情報の画像を掲載した。

Continue reading “Lapsus$ の犯行声明:IT 企業 Globant のデータ 70GB を流出させた”

Qihoo 360 の主張:中国からデータを盗み出すハッカーの背後に米 NSA がいる

Qihoo 360 says US NSA is behind hacking group that has stolen Chinese data

2022/03/23 SCMP — 米国の制裁対象となっている、中国のサイバー・セキュリティ企業の主張は、米国政府の支援を受けたハッカー集団が、10年以上にわたって中国を攻撃しているというものだ。中国の起業家 Zhou Hongyi が設立した Qihoo 360 は、APT-C-40 と呼ばれるハッキンググループが米国政府と提携しており、過去10年にわたり中国の大手企業/政府/研究機関/インフラをひそかに攻撃していると、最近の報告書で述べている。

Continue reading “Qihoo 360 の主張:中国からデータを盗み出すハッカーの背後に米 NSA がいる”

Twitter が立ち上げた Tor Web サイトでロシア政府の検閲をバイパス!

Twitter launches Tor website to tackle Russian censorship

2022/03/08 BleepingComputer — Twitter が Tor ネットワーク上でアクセス可能になり、禁止されている国々のユーザーも引き続き、このソーシャル・ネットワーク・サイトにアクセスできるようになった。この新しい Onion URL は、セキュリティ・エンジニアである Alec Muffett が本日に発表したものであり、Twitter が Tor ブラウザを介して世界中からアクセスできるようになったと表明している。

Continue reading “Twitter が立ち上げた Tor Web サイトでロシア政府の検閲をバイパス!”

ロシア政府による Facebook と Twitter のブロック:これもハイブリッド戦?

Russia blocks access to Facebook, Twitter, foreign news outlets

2022/03/04 BleepingComputer — Facebook の親会社である Meta が、RIA Novosti/Sputnik/Russia Today などのクレムリン系のメディア/通信社のアカウントを無効化/アクセス制限したことで、ロシア政府は Facebook へのアクセスをブロックした。この記事の掲載後に、ロシアのインターネット監視機関である Roskomnadzor が Interfax に伝えたところによると、ロシアは 2月24日に検察庁の要求を受けて、Twitter へのアクセスもブロックしたとのことだ。2月26日に Twitter は、「ロシアの一部の人々に対して、制限されている。サービスの安全性とアクセスを維持するために努力している」と述べている。

Continue reading “ロシア政府による Facebook と Twitter のブロック:これもハイブリッド戦?”

ウクライナ戦でのオンラン・バトル:最前線に押し出された SNS の役割とは?

The Online Battle In Ukraine

2022/03/02 CyberSecurityIntelligence — 多くの人々のポケットに入ったスマフォのカメラから、ロシアによるウクライナ侵攻の様子が世界に流れ出している。デジタル時代の新たな最前線であるインターネットを導入された、ヨーロッパで初めて経験する武力紛争である。オンラインでの戦いが双方でエスカレートし、米国のテクノロジー企業はロシアからのコンテンツのブロックについて混乱している。たとえば、オンライン検閲や、偽情報の拡散を考える一方で、ミサイル攻撃に直面しているウクライナのインターネットユーザーのことも考える必要がある。

Continue reading “ウクライナ戦でのオンラン・バトル:最前線に押し出された SNS の役割とは?”

ウクライナ当局の発表:IT Army によりロシア主要 Web サイトがダウン

Ukraine says its ‘IT Army’ has taken down key Russian sites

2022/02/28 BleepingComputer — ウクライナのサイバー警察は、ロシアの主要 Web サイトや国営オンライン・ポータルなどがオフラインになり、現在も公然としたサイバー戦争が行われていると主張している。同警察サイトでの発表によると、セキュリティ専門家がボランティアと協力して、ロシアとベラルーシの Web リソースを攻撃したとのことだ。この3カ国は、大規模な武力紛争に巻き込まれているが、それ以前からサイバー戦争の存在は顕在化していた。

Continue reading “ウクライナ当局の発表:IT Army によりロシア主要 Web サイトがダウン”

OpenSSF の新プロジェクト Alpha – Omega:セキュリティのために Microsoft/Google が出資

OpenSSF Launches Project to Secure Open Source Software

2022/02/01 SecurityBoulevard — 今日、Open Source Security Foundation (OpenSSF) は、Microsoft と Google から提供された $5 million の初期投資を用いて、オープンソース・ソフトウェアのセキュリティを向上させるための Alpha-Omega プロジェクトを立ち上げた。

OpenSSF の General Manager である Brian Behlendorf は、このプロジェクトの目的について、セキュリティに関する専門知識を広範なオープンソース・ソフトウェア・プロジェクトに提供し、オープンソース・ソフトウェア構築で用いられる DevSecOps ワークフローに組み込むことが可能な、自動セキュリティ・テスト・ツールへのアクセスを提供することだと述べている。

Continue reading “OpenSSF の新プロジェクト Alpha – Omega:セキュリティのために Microsoft/Google が出資”

FTC 警告:ソーシャルメディア関連の詐欺で 2021年は $770 M が失われた

FTC: Americans lost $770 million from social media fraud surge

2022/01/30 BleepingComputer — 米国連邦取引委員会 (FTC) が2021年に受理した数万件の報告書によると、ソーシャルメディア上の詐欺師に米国人が狙われるケースが増えているという。FTC が明らかにしたように、95,000人以上の米国の消費者が、ソーシャルメディア上で詐欺に遭い、約 $770 million の損失を被ったと報告している。この被害額は、2017年と比べて 18倍、2020年の2倍以上という大幅な増加を示し、2021年に報告された詐欺被害全体の約 25% に相当するという。

Continue reading “FTC 警告:ソーシャルメディア関連の詐欺で 2021年は $770 M が失われた”

ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた

U.S. Government, Tech Giants Discuss Open Source Software Security

2022/01/14 SecurityWeek — 2020年1月13日にホワイトハウス・サミットが開催され、米国の政府と大手ハイテク企業の代表者がオープンソース・ソフトウェアのセキュリティについて話し合った。広く利用されている Log4j ロギング・ユーティリティーに影響を与える脆弱性が、公開/悪用されたことで、オープンソースとソフトウェア・サプライチェーンのセキュリティの重要性が、あらためて浮き彫りになっている。ホワイトハウス・サミットの目的は、オープンソース・ソフトウェアのセキュリティを向上させ、オープンソース・コミュニティを効果的にサポートする方法を特定することだった。

Continue reading “ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた”

ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題

White House reminds tech giants open source is a national security issue

2022/01/14 BleepingComputer — Log4J の脆弱性による重要インフラへの脅威を受けて、ホワイトハウスは政府機関や民間企業に対して、オープンソース・ソフトウェアとサプライチェーンの安全確保に向けて、リソースを結集し努力するよう養成した。そのためのサミットが開催され、「オープンソース・ソフトウェアのセキュリティ上の欠陥や脆弱性の防止」「セキュリティ上の欠陥の発見と修正のプロセスの改善」「修正プログラムの提供と展開に要する時間の短縮」という、3つのテーマが取り上げられた。

Continue reading “ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題”

フランスのプライバシー保護機関が F と G に合計で 210 M Euros の制裁金

France hits Facebook and Google with $210 million in fines

2022/01/06 BleepingComputer — フランスのデータプライバシー保護機関である National Commission on Informatics and Liberty (CNIL) は、Facebook に対して 60 million Euros ($68 million)、Google に対して 150 million Euros ($170 million) の制裁金を科すことを発表した。これらの制裁金の背景には、Web サイトの訪問者に対して、トラッキング・クッキーの拒否に複数回のクリックを要求することで、拒否し難くしたことを違法と判断したことがある。

Continue reading “フランスのプライバシー保護機関が F と G に合計で 210 M Euros の制裁金”

ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金

Russia Fines Google For Illegal Content Breach

2022/01/06 CybersecurityIntelligence — モスクワの裁判所が、ロシアで違法とされるコンテンツの削除を、繰り返して怠ったとして、Google に 7.2bn roubles ($98m : £73m) の罰金を科した。これは、欧米のテクノロジー企業を統制しようとするロシア政府において、最大の罰金額であり、ロシア国内での起訴が続く可能性がある。今回の判決は、ロシアでは初となる、収益に連携する罰金となる。インターネットの取り締まりが懸念される中、欧州連合 (EU) で初めて実施された年間売上高に基づく罰金が、さらに増える可能性もある。

Continue reading “ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金”

Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット

Facebook Patches Vulnerability Exposing Page Admin Identity

2021/12/21 SecurityWeek — Facebook は、ページの管理者の身元を明らかにするために、悪用される可能性のある脆弱性について、ネパールの 10代の研究者に $4,750 のバグバウンティ報酬を支払った。このソーシャル・メディア上で、自社ブランドの認知度を高めようとする企業は、この Facebook ページを利用きまるが、ページの管理権限を持つ Facebook の個人アカウントは非公開となっている。

Continue reading “Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット”

Facebook がサイバー傭兵企業7社に圧力:5万人のユーザーに対するスパイ行為

Facebook Bans 7 ‘Cyber Mercenary’ Companies for Spying on 50,000 Users

2021/12/17 TheHackerNews — 木曜日に Meta Platforms は、監視技術への批判が高まる中、100カ国以上でジャーナリスト/反体制派/権威主義政権批判者/人権活動家などを「無差別に」標的にしていたとして、サイバー傭兵7社のプラットフォームを廃止する措置をとったと表明した。

Continue reading “Facebook がサイバー傭兵企業7社に圧力:5万人のユーザーに対するスパイ行為”

Salt Security レポート:REST API の後継とされる GraphQL の脆弱性について

Salt Security Report Surfaces GraphQL API Vulnerabilities

2021/12/08 SecurityBoulevard — 今日、Salt Security は、非公開の金融サービス企業が実装している、GraphQL API で発見された脆弱性を紹介するレポートを発表した。Salt Security の Technical Evangelist である Michael Isbitski によると、同社の研究者が確認した限りでは、この脆弱性の悪用は検知されていない。しかし、このレポートは、REST API に代わるものとして、開発者が広く使用し始めている、この新しいクラスの API 保護の必要性を、セキュリティ・チームに警告するものになる。

Continue reading “Salt Security レポート:REST API の後継とされる GraphQL の脆弱性について”

オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ

Searching for Bugs in Open Source Code

2021/11/30 SecurityBoulevard — まずは、迷信の払拭から始めよう。オープンソース・ソフトウェアが、クローズドソース・ソフトウェアよりも、安全性が低いということはない。しかし、オープンソースのプログラムに脆弱性が発見されると、クローズドソースで発見された脆弱性よりも、はるかに容易に武器化し、悪用される傾向にある。これが、現実だ。

Continue reading “オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ”

Facebook の機密文書流出を考える:そんなに簡単に漏れるものなの?

The Human Element Is the Weakest Link

2021/10/15 DarkReading — 先日に発生した Facebook の障害は、35億人のユーザーと膨大な数の企業に影響を与えた。しかし、それは大したことではない。問題が発生したら、世間に向けて謝罪の言葉を発表し、次のステップに進む・・・それが通常のビジネスだ。しかし、この会社は、もっと大きな問題を抱えている。

Continue reading “Facebook の機密文書流出を考える:そんなに簡単に漏れるものなの?”

TikTok に注目する EU 規制当局:中国へのデータ転送と子供のプライバシー保護が焦点

TikTok faces probes in EU over transferring data to China and processing children’s information

2021/09/16 SCMP — TikTok は、EU のデータ・プライバシー規制当局から、子どもの個人情報の取り扱いと、中国への個人情報の移転に関して、調査を受けている。アイルランドのデータ保護委員会 (Ireland’s Data Protection Commission) は、世界のトップ・インターネット企業の多くがアイルランドに地域本部を置いていることから、EU の主要規制機関となっており、違反があった場合には、世界の売上高の 4% を上限とする制裁金を課すことが認められている。

Continue reading “TikTok に注目する EU 規制当局:中国へのデータ転送と子供のプライバシー保護が焦点”

Facebook が4万ドルのバグ報奨金:アカウント乗っ取りが解消

Facebook Pays Out $40,000 for Account Takeover Exploit Chain

2021/09/02 SecurityWeek — 9月1日に、SNS 大手の Facebook は、脆弱性ハンターに与えられるバグバウンティの内訳について、より理解が進むよう、新たな支払いガイドラインを発表した。具体的は、新しいガイドラインでは、「あなたが提供した電子メール・アドレスまたは電話番号を用いてあなたを検索できる人」の項目にある、「コンタクト・ポイントの可視化設定におけるセキュリティ問題」が対象となる。

Continue reading “Facebook が4万ドルのバグ報奨金:アカウント乗っ取りが解消”

Facebook アカウントをハッキングする新手の Android マルウェアに注意!

Beware! New Android Malware Hacks Thousands of Facebook Accounts

2021/08/09 TheHackerNews — Google Play Store やサードパーティ・アプリストアで配布された、不正なアプリを介して新しい Android トロイの木馬が、少なくとも 144カ国 1万人以上のユーザーの Facebook アカウントを、2021年3月以降に侵害していることが判明した。

Continue reading “Facebook アカウントをハッキングする新手の Android マルウェアに注意!”

Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う

Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day

2021.07/14 BleepingComputer — Google Threat Analysis Group (TAG) と Google Project Zero の研究者たちは、Google Chrome / Internet Explorer / Apple Safari で使用されている WebKit の、4つのゼロデイ脆弱性を明らかにした。今年の初めに Google の研究者により発見された4つのゼロデイ・エクスプロイトは、悪用の実例があるものになった。

・ Chrome の CVE-2021-21166 / CVE-2021-30551
・ Internet Explorer の CVE-2021-33742
・ WebKit (Safari) の CVE-2021-1879

Continue reading “Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う”