Uber が主張する機密情報へのアクセスの証拠は無い:しかし無事だという証拠も無い

Uber Claims No Sensitive Data Exposed in Latest Breach… But There’s More to This

2022/09/17 TheHackerNews — Uber が更新した情報だが、木曜日の遅くに発覚した社内コンピューター・システムの侵害により、ユーザーの個人情報が漏えいしたという証拠は無いと述べている。同社は、「我々は、このインシデントが、機密性の高いユーザーデータへのアクセスに関連しているという証拠はないと捉えている。Uber/Uber Eats/Uber Freight/Uber Driver アプリを含む、当社の全サービスは稼働している」と説明している。

Continue reading “Uber が主張する機密情報へのアクセスの証拠は無い:しかし無事だという証拠も無い”

クラウドの調査:38% のユーザーがデータ流出に気付けないという現状

1 in 3 organizations don’t know if their public cloud data was exfiltrated

2022/08/31 HelpNetSecurity — Laminar が発表したのは、2022年7月の AWS re:Inforce と、2022年8月の Black Hat で実施した “2022 Security Professional Insight Survey” の調査結果である。この調査により、データ漏洩のリスクを低減するためにセキュリテ・ィチームが積極的に取り組みたいと考える、組織における防御のギャップが明らかになった。この調査には、リーダー職とライン職の両方から、合計415名のセキュリティ専門家が参加した。

Continue reading “クラウドの調査:38% のユーザーがデータ流出に気付けないという現状”

Google 警告:GCP の不適切な管理がもたらす暗号通貨マイニングなどの手口

Hackers Using Compromised Google Cloud Accounts to Mine Cryptocurrency

2021/11/29 TheHackerNews — Google Cloud Platform (GCP) の不適切なセキュリティ管理を悪用することで、侵害されたシステムへの暗号通貨マイニング・ソフトウェアのダウンロードや、インフラを悪用したランサムウェアのインストール、フィッシング・キャンペーンの実施、YouTube トラフィック/視聴回数の操作などが横行している。

Continue reading “Google 警告:GCP の不適切な管理がもたらす暗号通貨マイニングなどの手口”

Google Cloud Platform のバグ報奨金:3回で $10,000 の内訳とは?

Researcher Awarded $10,000 for Google Cloud Platform Vulnerability

2021/11/24 SecurityWeek — セキュリティ研究者の David Schütz は、Google Cloud Project の脆弱性を報告し、その後に、公開された修正プログラムのバイパスを報告したことで、Google から $10,000 以上のバグ報奨金を受け取ったと述べている。3月に Schütz は、Google Cloud Platform (GCP) の内部プロジェクトである、”cxl-services” のアクセス・トークンを、URL 許可リスト・バイパスを利用して漏洩できることを発見した。

Continue reading “Google Cloud Platform のバグ報奨金:3回で $10,000 の内訳とは?”

Microsoft のマルチ・クラウド・セキュリティ戦略:Azure Preview に AWS も統合

Microsoft Expands Security to AWS in Multicloud Push

2021/11/03 DarkReading — 今日、Microsoft は Ignite 2021 カンファレンスを開催し、エンタープライズ・のクラウド保護について、特にマルチクラウド環境への対応に重点を置く、クラウド・セキュリティに関する発表を行った。同社は、Microsoft Defender for Cloud (旧称:Azure Security Center および Azure Defender) と呼ばれるスイート製品の中で AWS に対しても、ネイティブな Cloud Security Posture Management (CSPM) およびワークロード保護機能を拡張していく。

Continue reading “Microsoft のマルチ・クラウド・セキュリティ戦略:Azure Preview に AWS も統合”

Microsoft Azure の OMIGOD 脆弱性はログ収集エージェントが原因?

Critical Flaws Discovered in Azure App That Microsoft Secretly Installed on Linux VMs

2021/09/15 TheHackerNews — Microsoft は、9月の Patch Tuesday アップデートにおいて、Azure クラウド標的にした脆弱化されたシステムのリモート操作や、特権昇格などを引き起こす恐れのある4つのセキュリティ陥に対処した。これらの脆弱性は、Wiz の研究者が OMIGOD と総称しているものであり、多くのAzure サービスに自動的に導入されている Open Management Infrastructure という、あまり知られていないソフトウェア・エージェントに影響を与える。

Continue reading “Microsoft Azure の OMIGOD 脆弱性はログ収集エージェントが原因?”