GitHub passkeys generally available for passwordless sign-ins
2023/09/21 BleepingComputer −−− 9月21日に GitHub が公開した Passkeys により、すべてのユーザーのパスワードレス・ログインが、このプラットフォーム全体で利用可能となり、フィッシングからアカウントが保護されるようになる。Passkeys は、コンピューター/タブレット/スマートフォンなどのデバイスにリンクされ、フィッシング攻撃からの保護や、不正アクセスの阻止を提供することで、データ漏洩のリスクを低減するという重要な役割を担っている。また、Passkeys は、暗証番号や指紋/顔認証などの生体認証といった、個人識別方法を通じて、アプリやオンライン・サービスへのアクセスを容易にする。
Continue reading “GitHub の Passkeys サポートが始動:Apple/Google/Microsoft と協調”Google extends security update support for Chromebooks to 10 years
2023/09/15 BleepingComputer — Google の発表は、すべての Chromebook について、AUE (Auto Update Expiration) を5年から 10年に延長し、毎月のセキュリティ更新を 10年間にわたり保証するというものだ。Chromebook は ChromeOS を搭載した安価なノート PC であり、CPU は非力であり、RAM/ROM は小容量の傾向にある。つまり、ローカル。デバイス上で高負荷のプロセス実行するのではなく、クラウド・サービスに依存する学生やリモートワーカーを対象としている。
Continue reading “Chromebook ユーザーに朗報:来年からセキュリティ・サポートが 10年に延長される”Retool blames breach on Google Authenticator MFA cloud sync feature
2023/09/15 BleepingComputer — ソフトウェア会社 Retool は、標的型の多段階ソーシャル・エンジニアリング攻撃により、クラウド顧客 27社のアカウントが侵害されたと発表した。Retool の開発プラットフォームは、スタートアップから Fortune 500 にいたるまで、さまざまな企業のビジネス・ソフトウェアの構築に利用され、その顧客には Amazon/Mercedes-Benz/DoorDash/NBC/Stripe/Lyft なども含まれる。Retool のエンジニアリング責任者である Snir Kodesh は、乗っ取られたアカウントは、すべて暗号通貨業界の顧客のものであることを明らかにした。この侵入は 8月27日に発生し、攻撃者は SMS フィッシングとソーシャル・エンジニアリングを使用して、複数のセキュリティ制御を迂回し、IT 従業員の Okta アカウントを侵害していった。
Continue reading “Google Authenticator MFA クラウド同期:深刻な問題が生じると Retool が非難”Google fixes another Chrome zero-day bug exploited in attacks
2023/09/11 BleepingComputer — Google Chrome 緊急セキュリティ・アップデートを公開された。それにより、今年に入ってから攻撃で悪用された、4番目のゼロデイ脆弱性が修正されている。Google は、CVE-2023-4863 のエクスプロイトが存在することを認識しているという。現時点において、この新バージョンは Stable/Extended stable チャンネルのユーザーに配布されており、今後の数日から数週間かけて、すべてのユーザーに配布されるようだ。
Continue reading “Google Chrome のゼロデイ CVE-2023-4863 が FIX:エクスプロイトの存在を確認”Google Chrome Rolls Out Support for ‘Privacy Sandbox’ to Bid Farewell to Tracking Cookies
2023/09/11 TheHackerNews — Google Chrome における Privacy Sandbox の計画を発表されてから、4カ月が経過し、多数のユーザーへの展開が正式に開始された。Google の VP Privacy Sandbox Initiatives である Anthony Chavez は、「我々は、プライバシーの改善と、情報へのアクセス維持が重要だと考えている。その対象が、ニュースであろうと、ハウツーガイドであろうと、楽しいビデオであろうと、同じことだと信じている。Privacy Sandbox のような、サードパーティ・クッキーに代わるプライバシー保護手段がなければ、ユーザーによる情報へのアクセスを低減し、また、フィンガープリンティングのような侵略が高じる危険性がある」と述べている。
Continue reading “Chrome の Privacy Sandbox がスタート:クッキーの弊害を排除できるのか?”Chrome 116 Update Patches High-Severity Vulnerabilities
2023/09/06 SecurityWeek — 9月5日 (火) に Google は、Chrome 116 アップデートをリリースし、外部の研究者たちから報告された4件の深刻度の高い脆弱性を修正した。1つ目の脆弱性 CVE-2023-4761 は、FedCM (Federated Credential Management) API における境界外メモリ・アクセスの問題だと説明されている。境界外メモリ・アクセス・エラーは、プログラムがバッファ境界外のメモリ・アドレスを読み取る際に発生するものであり、サービス拒否 (DoS) 状態を引き起こし、その他の脆弱性との組み合わせによりコード実行にいたる可能性がある。
Continue reading “Chrome 116 の深刻な脆弱性4件が修正:サービス拒否やコード実行にいたる可能性”Chrome extensions can steal plaintext passwords from websites
2023/09/02 BleepingComputer — Chrome Web Store にアップロードされた PoC エクステンションは、Web サイトのソースコードから平文のパスワードを盗むためのものであり、ウィスコンシン大学マディソン校の研究チームが作成したものである。Web ブラウザのテキスト入力フィールドを調査した結果として、Chrome エクステンションを支える粗視化 (coarse-grained) 許可モデルが、最小特権と完全仲介の原則に違反していることが明らかになったという。さらに研究者たちは、Google や Cloudflare のポータルなど含む多数の Web サイトにおいて、数百万人のビジターたちが、Web ページの HTML ソースコード内にパスワードを平文で保存していることを発見した。そして、それらの情報の不正な取得が、悪意のエクステンションを介して可能なことが判明した。
Continue reading “Chrome エクステンションによる平文パスワードの窃取:大量の Web サイトが脆弱な状態”More Than Half of Browser Extensions Pose Security Risks
2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。
Continue reading “Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果”Google Chrome to warn when installed extensions are malware
2023/08/20 BleepingComputer — Google がテストしている Chrome の新機能は、インストールされたエクステンションが Chrome Web Store から削除された場合に、ユーザーに警告を表示するためのものである。Chrome Web Store では、問題のあるエクステンションなどが次々と公開され、ポップアップ広告やリダイレクト広告を介して宣伝されている。これらのエクステンションは、詐欺師や脅威アクターにより作成され、不要な広告の挿入/検索履歴の追跡/アフィリエイト・ページへのリダイレクトなどを行い、さらに深刻なケースでは、Gmail や Facebook のアカウント窃盗などにも悪用される。
Continue reading “Google Chrome Check for Extension:マル・エクステンションを判定してくれる”Thousands of Android Malware Apps Using Stealthy APK Compression to Evade Detection
223/08/19 TheHackerNews — マルウェア解析を逃れる脅威アクターたちが、未知の圧縮方法を用いる Android Package (APK) ファイルを使用しているという。Zimperium の調査結果によると、このような圧縮アルゴリズムを利用した 3,300件のアーティファクトが、野放し状態で活動していることが判明したという。確認されたサンプルのうち 71件は、何の問題もなく Android にロードできるようだ。
Continue reading “Android マルウェアの新たな手口:未知の圧縮アルゴリズムで検出を回避している”Google Fixes 26 Bugs Amid Fake Update Warning
2023/08/17 InfoSecurity — Google Chrome の最新バージョンをリリースされ、26件の脆弱性が対処されたが、その中の8件は High と評価されている。今回の Chrome 116 におけるアップデートでは、Offline/V8 Engine/Device Trust Connectors/Fullscreen/Network/ANGLE/Skia などの機能がカバーされている。Google の VP of Vulnerability and Threat Research であり、Action1 の共同設立者でもある Mike Walters は、最も脆弱性の1つとして CVE-2023-2312 を取り上げている。この、Offline における use-after-free のバグに対しては、Google から $30,000 バグ報奨金が提供されている。
Continue reading “Google Chrome 116 の最新リリース:8件の High を含む 26件のバグを修正”Collide+Power, Downfall, and Inception: New Side-Channel Attacks Affecting Modern CPUs
2023/08/09 TheHackerNews — サイバー・セキュリティ研究者たちが、最新の CPU からの機密データ漏えいに悪用される可能性のある、3件のつのサイドチャネル攻撃の詳細を公開した。それらの新たな手法は、Collide+Power (CVE-2023-20583)/Downfall (CVE-2022-40982)/Inception(CVE-2023-20569) として追跡されている。先日には、Zenbleed (CVE-2023-20593) として知られる、AMD Zen 2 アーキテクチャー・ベースのプロセッサーに影響を与える、別のセキュリティ脆弱性の公開に続くものである。
Continue reading “最新の CPU に新たなサイドチャネル脆弱性:Collide+Power/Downfall/Inception とは?”43 Android apps in Google Play with 2.5M installs loaded ads when a phone screen was off
2023/08/08 SecurityAffairs −−− 先日に McAfee の Mobile Research Team の研究者たちが、Google Play で発見したのは、携帯電話の画面がオフのときであっても、広告を読み込む 43 種類の Android アプリであり、そのインストール総数は 250万に達するという。
Continue reading “Google Play の 43種類の Android アプリ:画面 OFF 時に広告を読み込んで稼いでいる”Google explains how Android malware slips onto Google Play Store
2023/08/04 BleepingComputer — Google Play ストアの審査プロセスやセキュリティ制御を回避して、Android 端末にマルウェアを送り込むために脅威アクターたちが用いる、バージョニングと呼ばれる一般的な手口が存在することを、Google Cloud のセキュリティ・チームは認めた。この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して、悪意のペイロードを導入するものである。また、DCL (Dynamic Code Loading) という方法で、脅威アクターの制御下にあるサーバから。悪意のあるコードをロードする方式もある。DCL は、アプリストアの静的解析チェックを回避することで、ネイティブ/Dalvik/JavaScript のコードとして、ペイロードを Android デバイス上に展開するものである。
Continue reading “Google Play Store にマルウェアが出回る理由:G 先生の言い訳を聞かせてもらおう”Threat actors abuse Google AMP for evasive phishing attacks
2023/08/01 BleepingComputer — Google Accelerated Mobile Pages (AMP) を悪用してメール・セキュリティをバイパスし、企業の従業員の受信トレイに到達するフィッシング活動が増加していると、セキュリティ研究者たちが警告している。Google AMP は、Googleと 30社のパートナーが共同開発したオープンソースの HTML フレームワークであり、モバイル端末での Web コンテンツの読み込みを高速化するものだ。
Continue reading “Google AMP を悪用:狡猾なモバイル・フィッシング攻撃が増加している”In 2022, more than 40% of zero-day exploits used in the wild were variations of previous issues
2023/07/30 SecurityAffairs — Google Threat Analysis Group (TAG) の Maddie Stone が、野放し状態のゼロデイ脆弱性について執筆する、2022年のイヤー・イン・レビューが公表された。これは、2019/2020/2021 年に続く、4年目のレビューでもある。研究者たちは 2022年において、アクティに悪用された 41 件のゼロデイ欠陥を開示したが、これは2014年半ばに追跡を開始して以来、2番目の記録となった。ちなみに、最悪だったのは、2021 年の 69 件である。
Continue reading “積極的に悪用された 41 件のゼロデイ脆弱性 – 2022年調査 Google TAG”Browser developers push back on Google’s “web DRM” WEI API
2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi/Brave/Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。
Continue reading “Google が提案する WEI API:大反対する Vivaldi/Brave/Firefox などの言い分は?”New Android Malware CherryBlos Utilizing OCR to Steal Sensitive Data
2023/07/29 TheHackerNews — CherryBlos という新たな Android マルウェアが、OCR 技術を悪用することで、写真に保存された機密データを収集していることが確認された。Trend Micro によると、SNS プラットフォーム上の偽の投稿を介して配布される CherryBlosは、暗号通貨ウォレット関連の認証情報を盗む機能を備えており、事前に定義された形式に一致する文字列を、被害者がクリップボードにコピーした際に、ウォレット・アドレスを置き換えるクリッパーとして動作する。
Continue reading “Android マルウェアの新たな手口:OCR を悪用してキャプチャ画像から機密情報を窃取”Wiz Says 62% of AWS Environments Exposed to Zenbleed Exploitation
2023/07/26 SecurityWeek — AWS 環境の 62% パーセントが、新たに文書化された AMD Zen 2 プロセッサの、Zenbleed 情報漏洩脆弱性にさらされている可能性があると、クラウド・セキュリティ企業 Wiz の研究者たちが報告している。7月23日 (水) に投稿されたリサーチ・ノートにおいて、AWS 環境の 60% 以上が Zen 2 CPU を搭載した EC2 インスタンスを実行しているため、use-after-free メモリ破損バグの影響を受ける可能性があると、Wiz は算出している。
Continue reading “AWS 環境の 62% が Zenbleed 脆弱性の影響を受ける:修正を急ぐ AMD”Zimbra patches zero-day vulnerability exploited in XSS attacks
2023/07/27 BleepingComputer — Zimbra Collaboration Suite (ZCS) メール・サーバを標的とする攻撃で悪用された、ゼロデイ脆弱性を修正するセキュリティ・アップデートが、最初の情報公開から2週間後にリリースされた。この、脆弱性 CVE-2023-38750 は、Google Threat Analysis Group のセキュリティ研究者である Clément Lecigne により発見された反射型 XSS (Cross-Site Scripting) である。XSS 攻撃は深刻な脅威であり、その悪用に成功した脅威アクターは、脆弱なシステム上での機密情報の窃取や、悪意のコード実行を可能にする。
Continue reading “Zimbra のゼロデイ CVE-2023-38750 が FIX:CISA KEV にも追加”New Nitrogen malware pushed via Google Ads for ransomware attacks
2023/07/26 BleepingComputer — Nitrogen マルウェアによる、イニシャル・アクセス・キャンペーンは、Google や Bing などの検索広告で偽ソフトウェア・サイトを宣伝し、疑念を持たないユーザーたちに、Cobalt Strike やランサムウェアのペイロードに感染させていくものだ。Nitrogen マルウェアの目的は、企業ネットワークへのイニシャル・アクセスを脅威アクターたちに提供し、データ窃取やサイバー・スパイ活動を行わせ、最終的に BlackCat/ALPHV ランサムウェアを展開させることにある。7月26日に Sophos が発表したレポートには、Nitrogen キャンペーンに関する詳細な説明として、AnyDesk/Cisco AnyConnect VPN/TreeSize Free/WinSCP などの一般的なソフトウェアになりすまし、主に北米の技術組織や非営利組織をターゲットにしている状況が記されている。
Continue reading “Nitrogen というキャンペーン:Google/Bing の広告を介してマルウェアを展開”Google Categorizes 6 Real-World AI Attacks to Prepare for Now
2023/07/21 DarkReading — Google の研究者たちは、現実の AI システムに対して起こり得る6つの攻撃スタイルを特定し、それらの一般的な攻撃ベクターが独特の複雑性を示すことを発見した。今週に発表した報告書の中で、Google の AI 専門レッドチームは、この急成長するテクノロジーに対する各種の脅威を、すでに発見していることを明らかにした。その内容は、ChatGPT や Google Bard などの、生成 AI 製品を駆動する LLM (large language models) を、攻撃者が悪用する方法が主体となっている。
Continue reading “AI を悪用する6つの攻撃パターン:Google による分類と解説とは?”APT41 hackers target Android users with WyrmSpy, DragonEgg spyware
2023/07/20 BleepingComputer — 中国に支援されるハッキング・グループ APT41 が、WyrmSpy と DragonEgg と命名された2つの新種のスパイウェアで、Android デバイスを標的にしていると、Lookout のセキュリティ研究者たちが警告している。 APT41 は最も古い APT ハッキング・グループの1つであり、米国/アジア/ヨーロッパなどの様々な産業を標的としてきた。このグループが攻撃する分野は、ソフトウェア開発/ハードウェア製造/シンクタンク/通信事業者/大学/海外政府などであり、さまざまな組織/事業体に対してサイバースパイ・オペレーションを仕掛けている。
Continue reading “WyrmSpy/DragonEgg スパイウェア:Android ユーザーを狙う APT41 の新戦略”Chrome 115 Patches 20 Vulnerabilities
2023/07/19 SecurityWeek — 7月18日 (火) に Google が発表したのは、外部の研究者から報告された 11件を含む、20件の脆弱性に対するパッチを適用した、Chrome 115 のステイブル・チャンルへのリリースである。外部から報告されたセキュリティ欠陥のうちの4件は、深刻度 High と評価されている。バグ報奨金をベースに考えると、それらの中で最も深刻なのは、WebRTC の use-after-free に起因する、脆弱性 CVE-2023-3727/CVE-2023-3728 である。Google によると、それぞれの研究者に対して、$7,000 の報奨金が支払われたという。
Continue reading “Chrome 115 がリリース:4件の High を含む全体で 20件の脆弱性に対応”Google Cloud Build bug lets hackers launch supply chain attacks
2023/07/18 BleepingComputer — クラウド・セキュリティ企業 Orca Security が発見した、Google Cloud Build サービスの重大な設計上の欠陥は、攻撃者を特権へとエスカレートさせ、Google Artifact Registry コード・リポジトリへの、ほぼ完全なアクセスを提供する可能性があるというものだ。この Bad.Build と名付けられた欠陥を悪用する脅威アクターたちは、Google Cloud Build の CI/CD (continuous integration and delivery) サービスのアカウントになりすまし、アーティファクト・レジストリに対して API コールを実行し、アプリケーション・イメージを制御することが可能になる。たとえば、悪意のコードの注入や、脆弱なアプリの作成などを行った後に、顧客の環境内に悪意のあるアプリをデプロイした攻撃者が、サプライチェーン攻撃を仕掛ける可能性が生じてくる。
Continue reading “Google Cloud Build の深刻な脆弱性:MOVEit 悪用のような問題を生じる恐れ”New SOHO Router Botnet AVrecon Spreads to 70,000 Devices Across 20 Countries
2023/07/14 TheHackerNews — SOHO (Small Office/Home Office) ルーターを2年以上にわたって密かに標的とし、70,000台以上のデバイスに侵入した上で、20カ国にまたがる 40,000 ノードのボットネットを構築した、新種のマルウェアが発見された。Lumen Black Lotus Labs により、AVrecon と名付けられたマルウェアは 、この1年間において SOHO ルーターに焦点を当てた、 ZuoRAT と HiatusRAT に続く3番目のマルウェアとなった。Black Lotus Labs は、「AVrecon は、SOHO ルーターを標的とするボットネットとしては、過去最大級のものである。このキャンペーンの目的は、パスワードの散布からデジタル広告詐欺に至るまで、さまざまな犯罪行為を下支えする秘密のネットワークの構築にあるようだ」と述べている。
Continue reading “AVrecon という SOHO Router ボットネット:20カ国の 70,000 万台のデバイスを制御”GitHub goes passwordless, announces passkeys beta preview
2023/07/12 BleepingComputer — 7月12日に GitHub は、パブリック・ベータ版でパスワードレス認証のサポートを導入し、ユーザーがセキュリティ・キーから Passkeys にアップグレードできるようにしたと発表した。この Passkeys は、コンピュータ/タブレット/スマートフォンなどの個々のデバイスに紐づけられ、クレデンシャルの盗難や漏えいの試みを防止する。それによりフィッシング攻撃からユーザーを保護し、データ侵害の可能性を最小限に抑える上で、重要な役割を果たす。
Continue reading “GitHub がパスワードレス認証を導入:Passkeys のベータ版が公開されている”Chinese Spyware Discovered on Google Play Store
2023/07/07 InfoSecurity — Google Play Store で発見された、ファイル管理ツールを装う2つのスパイウェア・アプリは 、少なくとも合計で 150万回もインストールされたという。サイバーセキュリティ企業 Pradeo が発見した、これらのアプリは同じ開発者によるものであり、同様の悪意のある動作を示し、ユーザーの操作なしで動作する。これらのアプリの主な目的は、ユーザーの機密データを秘密裏に抽出し、中国に拠点を置く悪意のあるサーバーに送信することである。この発見は Google に報告された。
Continue reading “中国由来のスパイウェア:Google Play Store で発見された2つのファイル管理ツールとは?”Google Analytics data transfer to U.S. brings $1 million fine to Swedish firms
2023/07/04 BleepingComputer — スウェーデンの個人情報保護局 (IMY:Integritetsskyddsmyndigheten) は、Google Analytics を使用した国内の2社に対して、12.3 million SEK (€1 million/$1.1 million) の罰金を科し、他の2社の同様の行為について警告を行った。同機関は、7月3日に発表された通知の中で、Web 統計を作成するために Google Analytics を使用していた、それらの企業が欧州連合の一般データ保護規則 (GDPR) に違反していたとしている。
Continue reading “Google Analytics の利用は GDPR 違反:スウェーデン企業に $1M の罰金”BlackCat ransomware pushes Cobalt Strike via WinSCP search ads
2023/07/01 BleepingComputer — BlackCat ランサムウェア・グループ (別名 ALPHV) は、Windows 用ファイル転送アプリケーション WinSCP の公式 Web サイトを模倣した偽ページに人々を誘い込み、マルウェアを仕込んだインストーラーをプッシュするという、マルバータイズ・キャンペーンを行っている。WinSCP (Windows Secure Copy) とは、SFTP/FTP/S3/SCP クライアントおよび、SSH ファイル転送機能を持つ、人気のフリー・オープンソースのファイル・マネージャでああり、SourceForge だけで毎週 40万もダウンロードされている。
Continue reading “WinSCP の偽サイトへ誘導:Google と Bing での悪意の広告キャンペーンでCobalt Strike を展開”Anatsa Android trojan now steals banking info from users in US, UK
2023/06/26 BleepingComputer — 2023年3月以降の新たなモバイル・マルウェア・キャンペーンにより、米国/英国/ドイツ/オーストリア/スイスのオンライン・バンキング利用者に対して、Android バンキング型トロイの木馬 Anatsa が押し付けられている。この悪質な活動を追跡している ThreatFabric のセキュリティ研究者によると、このマルウェアは Google Play ストア経由で配布され、このチャネルだけで既に3万件以上がインストールされているとのことだ。
Continue reading “Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている”LastPass users furious after being locked out due to MFA resets
2023/06/24 BleepingComputer — LastPass パスワード・マネージャのユーザーたちが、5月上旬から認証アプリをリセットするよう促されたことで、ログインに重大な問題が発生している。同社による 5月9日の発表は、「セキュリティのアップグレードが予定されているため、ユーザーは LastPass アカウントにログインし、多要素認証の設定をリセットする必要があるかもしれない」というものだった。しかし、それ以降において、数多くのユーザーたちがロックアウトされ、MFA アプリケーション (LastPass Authenticator/Microsoft Authenticator/Google Authenticator など) のリセットに成功しても、LastPass vault にアクセスできなくなっている。
Continue reading “LastPass でユーザーがロックアウト:パスワード強化アルゴリズムに関連した不具合?”Chrome and Its Vulnerabilities – Is the Web Browser Safe to Use?
2023/06/21 SecurityWeek — 多くの主要なアプリケーションと同様に、Google Chrome も、その脆弱性に悩まされている。2022年に SecurityWeek が報告した Chrome の脆弱性は、456件 (1ヶ月あたり 38件) にのぼるが、その中には9件のゼロデイも含まれる。パッチが必要な脆弱性の多い Chrome は、はたして安全なのだろうかという、素朴な疑問を投げかける。
Continue reading “Google Chrome と脆弱性:この Web ブラウザは安全に使えるのか?”Google Launches Framework to Secure Generative AI
2023/06/09 InfoSecurity — 生成 AI が急速に進歩しているが、その悪意に関する創造的な方法を、人々が見つけることもある。数多くの政府は、AI 悪用のリスクを軽減するための、規制の計画を加速させようとしている。その一方では、一部の生成 AI の開発者たちは、自社のモデルやサービスの安全性を確保するために、どのような方法があるかを検討している。生成 AI チャットボット Bard の所有者であり、AI 研究機関 DeepMind の親会社である Google は、2023年6月8日に Secure AI Framework (SAIF) を発表した。
Continue reading “Google の人工知能フレームワーク SAIF:生成 AI の開発/運用を保護するために”Google Patches Third Chrome Zero-Day of 2023
2023/06/06 SecurityWeek — 6月5日 (月) に Google は、2023年に入ってから Chrome で見つかった、3つ目のゼロデイ脆弱性に対してパッチを当てるセキュリティアップ・デートを公開した。Google によると、Chrome の最新バージョン 114 では、V8 JavaScript エンジンに影響をおよぼす、タイプ・コンフュージョンの脆弱性 CVE-2023-3079 などの、2件の欠陥を修正したとのことだ。同社は、この脆弱性は 6月1日に発見され、野放し状態で悪用されていると指摘したが、攻撃に関する情報は一切共有していない。
Continue reading “Google Chrome 114 がリリース:スパイウェアに悪用されるゼロデイ脆弱性に対応”Over 60,000 Android apps secretly installed adware for past six months
2023/06/06 BleepingComputer — これまでの6ヶ月間において、正規のアプリケーションを装う 60,000 件以上の Android アプリが検出を回避して、モバイル端末にアドウェアをインストールしていたことが判明した。この発見は、ルーマニアのサイバー・セキュリティ企業 Bitdefender によるものだ。先月に同社は、Bitdefender Mobile Security ソフトウェアに追加された異常検知機能を用いて、それらの悪意のアプリを検出したという。
Continue reading “Android アドウェア 60,000 件を発見:Google Play 以外からのインストールは危険だ!”Google extends passkeys to Google Workspace accounts
2023/06/05 HelpNetSecurity — 2023年5月上旬の時点で、コンシューマー向けに Passkeys の提供を開始した Google だが、今度は Google Workspace と Google Cloud のアカウント向けにも展開することになったようだ。この機能は、まもなく900万以上の組織でオープンベータ版が利用可能になり、従来のパスワードを必要としない、手間いらずのサインイン・エクスペリエンスが、ユーザーに提供されることになる。
Continue reading “Google Passkeys の展開が拡大:G Workspace アカウントでも利用可能に”Malicious Chrome extensions with 75M installs removed from Web Store
2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。
Continue reading “Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが”Threat actors can exfiltrate data from Google Drive without leaving a trace
2023/06/01 HelpNetSecurity — Google Workspace (旧 G Suite) には、悪意のサードパーティやインサイダーが Google Drive からデータを流出させても、それを発見できないという欠陥があると、Mitiga の研究者たちは述べている。Google Workspace において、組織の Google Drive リソースを可視化する方法は、ファイルのコピー/削除/ダウンロード/閲覧などのアクションに対して、 “Drive log events” を使用することで達成される。
Continue reading “Google Drive からのデータ流出:痕跡が残らないという欠陥が発見された”Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains
2023/05/28 BleepingComputer — File Archivers in the Browser という新たなフィッシング・キットは、ZIP ドメインを悪用し、ブラウザに偽の WinRAR/Windows File Explorer などのウィンドウを表示し、悪意のファイルをユーザーに起動させるように仕向ける。2023年5月初旬に Google は、Web サイトや電子メール・アドレスのホスティングに用いるための、ZIP TLD ドメイン (例:bleepingcomputer.zip) の登録機能を提供し始めた。この種の TLD のリリース以来、セキュリティ・リスクや混乱をもたらす可能性について議論が沸騰していた。
Continue reading “ZIP ドメインは大丈夫? File Archiver In The Browser というフィッシング・トリックで攻略可能”US Navy hit by Chinese hacking campaign, report says
2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府/通信/製造/IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。
Continue reading “米海軍 グアムの IT インフラにハッカーが侵入:China 対 Five Eyes の情報戦が始まる?”OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers
2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。
Continue reading “OAuth の深刻な脆弱性が FIX:Expo Framework を介したアカウント乗っ取りの可能性”ESET: Android App ‘iRecorder – Screen Recorder’ Trojanized with AhRat
2023/05/23 InfoSecurity — デジタルの世界では、今日には便利なものが、明日には有害になることがある。残念ながら、それが iRecorder – Screen Recorder で起こってしまった。50,000 万件以上のインストール数を誇る、この画面録画用 Android アプリは、2021年9月に正規のアプリとして発売されたものだ。しかし、いまの iRecorder には、AhMyth をベースにした、新たな Android RAT (Remote Access Trojan) が仕込まれている。このオープンソースのリモート管理ツールにより、Android デバイスからのデータ・アクセスに使用できることが、サイバーセキュリティ・ベンダーである ESET により、2023年5月23日に判明した。
Continue reading “iRecorder – Screen Recorder はトロイの木馬:Google Play の正規アプリがマルウェア化”Two-Thirds of IT Leaders Say GDPR Has Reduced Consumer Trust
2023/05/22 InfoSecurity — GDPR (General Data Protection Regulation) のあり方により、それぞれの企業に対する消費者の信頼が低下したという、IT リーダーの3分の2 (66%) の捉え方を、Macro 4 の最新調査が示している。2018年5月25日に、GDPR が欧州で施行されてから5年が経過し、個人データ保護の必要性に対する意識が高まった結果が、この調査に現れている。
Continue reading “GDPR は消費者の信頼を低下させた:IT リーダーの 66% が回答 – Macro 4 調査”EU Regulators Hit Meta with Record $1.3 Billion Fine for Data Transfer Violations
2023/05/22 TheHackerNews — Facebook の親会社である Meta は、European Union のデータ保護規制当局から、同地域のユーザーの個人データを米国に転送したとして、過去最高となる $1.3 billion の罰金を科された。EDPB (European Data Protection Board) の拘束力のある決定により、Meta はデータ転送の方式を GDPR に準拠させ、違法に保存/処理されたデータを、6ヶ月以内に削除するよう命じられた。
Continue reading “Facebook の GDPR 違反と $1.3 B の罰金:米国へのデータ転送により最高額に!”Privacy Sandbox Initiative: Google to Phase Out Third-Party Cookies Starting 2024
2023/05/19 TheHackerNews — Chrome ブラウザにおけるサードパーティ Cookie のサポートを廃止するために、2度も延期されてきた Privacy Sandbox イニシアチブ計画を正式にスタートすると、Google は発表した。そのために、同社は、2024年 Q1 に、世界中の Chrome ユーザーの 1% に対して、サードパーティ Cookie を段階的に削除するつもりだと述べている。
Continue reading “Google とサードパーティ Cookie:2024年 Q1 から段階的に削除していく計画”New ZIP domains spark debate among cybersecurity experts
2023/05/16 BleepingComputer — Google た立ち上げる新たな ZIP/MOV インターネット・ドメインについて、脅威アクターがフィッシング攻撃やマルウェア配信に悪用する可能性があると、サイバー・セキュリティ研究者たちと IT 管理者たちが警告している。Google は5月初めに、Web サイトやEメールのホスティングに使用できる、8つの新しい TLD (Top-Level Domains) を発表した。それらの新しい TLD は、.dad/.esq/.prof/.phd/.nexus/.foo、そして本記事で取り上げる .zip/.mov だ。
Continue reading “ZIP/MOV という新たな TLD は危険か? セキュリティ専門家たちの間で議論が沸騰”Google brings dark web monitoring to all U.S. Gmail users
2023/05/10 BleepingComputer — 5月10日に Google が発表した計画によると、米国のすべての Gmail ユーザーは、自身のメールアドレスがダークウェブ上で開示されているかどうかを確認するための、セキュリティ機能 Dark Web Report を近々に利用できるようになるようだ。さらに Google は、アニュアル・デベロッパー・カンファレンス Google I/O での発表で、この機能は今後の数週間をかけて展開され、一部のグローバル市場からのアクセスは対しても拡大される予定だと述べている。
Continue reading “Google の Dark Web Report が米国で発動:あなたの情報がダークウェブで見つかるかもしれない”Subscription Trojan Downloaded 600K Times From Google Play
2023/05/05 InfoSecurity — セキュリティ研究者たちが発見した新しいトロイの木馬型マルウェアは、Google Play から提供される 11種類の Android アプリ内に潜み、620,000 台以上のデバイスにインストールされているというものだ。Kaspersky により Fleckpe と命名された、このマルウェアは Jocker および Harly 系統に類似しており、2022年から活動を開始している。このマルウェアは、被害者を密かにプレミアム・サービスに加入させ、ユーザーが気づかない間にオペレーターに収益をもたらすように設計されている。
Continue reading “Fleckpe というトロイの木馬:Google Playから 60万回ダウンロードされている”New Android Malware ‘FluHorse’ Targeting East Asian Markets with Deceptive Tactics
2023/05/05 TheHackerNews — Flutter ソフトウェア開発フレームワークを悪用した、FluHorse という名の新たな Android マルウェア系統を配布する、電子メール・フィッシング・キャンペーンが、東アジア・マーケットの様々な分野で展開されていることが判明した。Check Point のテクニカル・レポートには、「このマルウェアは、正規のアプリケーションを模倣した、複数の悪意の Android アプリケーションに仕込まれ、その大半が 100万回以上もインストールされている。これらの悪意のあるアプリは、被害者の認証情報と二要素認証 (2FA) コードを盗み出す」と記されている。
Continue reading “FluHorse は新たな Android マルウェア:検出を巧みに回避して認証情報などを窃取”
IoT OT Security News 
You must be logged in to post a comment.