The 6 identity problems blocking AI agent adoption in hybrid environments
2025/06/03 strata — もはや AI エージェントは、単なる実験の期間を通過し、現代の企業の業務プロセスへと組み込まれ始めている。トランザクション処理からロジスティクスの調整にいたるまで、人やシステムに代わって、エージェントが機能するケースが増えている。しかし、ここに落とし穴がある。エージェントの ID を管理するための、インフラが追い付いていないのである。
Continue reading “AI Agent と ID 管理:ハイブリッド環境を想定すると浮上する6つの問題点”Google Fixed Cloud Run Vulnerability Allowing Unauthorized Image Access via IAM Misuse
2025/04/02 TheHackerNews — Google Cloud Platform (GCP) Cloud Run の権限昇格の脆弱性の詳細を、サイバー・セキュリティ研究者たちが公開した。この、現在はパッチ適用済みの脆弱性を悪用する攻撃者には、コンテナ・イメージにアクセスし、悪意のコード挿入にいたる可能性があったとされる。
Continue reading “Google Cloud の脆弱性が FIX:コンテナ・イメージからのシークレットや機密データの窃取とは?”5 Impactful AWS Vulnerabilities You’re Responsible For
2025/03/31 TheHackerNews — AWS を利用していると、自分のクラウドのセキュリティは対処済みだと考えがちだが、それは危険な誤解である。AWS は、自社インフラのセキュリティは確保しているが、クラウド環境内のセキュリティは、利用者自身の手に委ねられている。AWS のセキュリティ体制を建物の保護に例えてみよう。AWS は、強固な壁と頑丈な屋根を提供してくれる。しかし、鍵の管理/警報システムの設置/貴重品の管理などは、顧客の責任となるというわけだ。
Continue reading “AWS 環境で注意すべき5種類の脆弱性:利用者側の責任範囲とは?”https://gbhackers.com/apache-airflow-misconfigurations-leak-login-credentials/
2025/03/06 gbhackers —Apache Airflow のミスコンフィグに関する最近の調査により、ログイン認証情報/API キー/クラウド・サービスのアクセス・トークンなどを攻撃者に対して露出する、深刻な脆弱性の存在が明らかになった。このワークフロー・プラットフォームにおけるミスコンフィグの主な原因は、安全が確保されないコーディング手法や、古いバージョンの使用などにあり、金融/医療/e コマース業界などでの、データ・セキュリティ侵害につながるものだ。つまり、AWS/Slack/PayPal の認証情報や、内部データベースの認証情報が、適切に保護されていない状態になっていた。
Continue reading “Apache Airflow のミスコンフィグ:認証情報の漏洩と AWS/Slack/PayPal などへの影響”Do We Really Need The OWASP NHI Top 10?
2025/01/27 TheHackerNews — 先日に OWASP (Open Web Application Security Project) は、新たな指針としての Non-Human Identity (NHI) Top-10 に取り組み始めた。長年にわたり OWASP は、広く利用される API Top-10 や Web App Top-10 などのプロジェクトを通じて、セキュリティの専門家と開発者に対して、重要なガイダンスと実用的なフレームワークを提供してきた。Non-Human Identity (NHI) セキュリティは、サイバー・セキュリティ業界で新たな関心を集めている。そこで OWASP は、NHI Top-10 により、API キー/サービス・アカウント/OAuth アプリ/SSH キー/IAM ロール/シークレットなどのマシン認証情報とワークロード ID に関連する、リスクと監視の欠如を指摘している。
Continue reading “OWASP の Non-Human Identity (NHI) Top-10 とは? 隠れたリスクを可視化する”CVE-2024-55949 (CVSS 9.3): Critical MinIO Flaw Allows Any User to Gain Full Admin Privileges
2024/12/17 SecurityOnline — 人気の OSS ストレージ・プラットフォーム MinIO に発見された脆弱性により、すべてのユーザーが権限を管理者レベルに昇格できる可能性が生じ、データ・セキュリティに深刻なリスクへと至っている。この脆弱性 CVE-2024-55949 (CVSSv4:9.3:Critical) は、IAM import API に存在する。
Continue reading “MinIO の脆弱性 CVE-2024-55949 (CVSS 9.3) が FIX:あらゆるユーザーが管理者権限を取得”CVE-2024-10905 (CVSS 10): Critical Vulnerability in SailPoint IdentityIQ Exposes Sensitive Data
2024/12/04 SecurityOnline — SailPoint IdentityIQ に、深刻な脆弱性 CVE-2024-10905 (CVSS:10.0) が発見された。この人気の ID/アクセス管理 (IAM:identity and access management) プラットフォームに存在する脆弱性の悪用は容易であり、影響を受ける組織において、甚大な影響が生じる可能性が示唆される。
Continue reading “SailPoint IdentityIQ の脆弱性 CVE-2024-10905 が FIX:機密情報の漏洩の恐れ”Third-Party Identities: The Weakest Link in Your Cybersecurity Supply Chain
2024/10/28 SecurityAffairs — サイバー攻撃における 70% 以上と言われるほどの割合で、認証情報の侵害やアイデンティティの盗難が関係しており、この攻撃ベクターは重大な懸念事項とされている。ただし、この問題は、主として可視性の欠如に起因しているという。毎日システムにログインする ID の数と、その出所を認識しているだろうか? 興味深いことに、その大多数は従業員からのものではない。
Continue reading “サードパーティ ID というリスク:サプライチェーンを IAM で安全かつ効果的に統合する”Half of Organizations Have Unmanaged Long-Lived Cloud Credentials
2024/10/21 InfoSecurity — Datadog の State of Cloud Security 2024 レポートによると、ユーザー組織の 46% が、クラウド・サービスで長期的に有効な認証情報を持つ、管理されていないユーザーを抱えており、データ侵害のリスクが高まっているという。長期間において有効な認証情報とは、クラウド内の認証トークン/キーによる、長期間にわたるアクセスを認めるものである。したがって、長期的に有効な認証情報に対しては、攻撃者が侵害に長い時間を費やすことが可能になり、クラウド侵害の主要な原因となっている。
Continue reading “クラウドにおける長期的に有効な認証情報:ユーザー組織の 46% が抱える問題とは?”Hide yo environment files! Or risk getting your cloud-stored data stolen and held for ransom
2024/08/15 HelpNetSecurity — 組織のクラウドストレージ・コンテナに侵入する、サイバー犯罪者たちが、機密データを流出させている。そのうちの、いくつかのケースでは、盗み出したデータを公開/売却を引き換えに、被害組織から身代金が支払われている。Palo Alto Networks Unit42 のレポートには、「このキャンペーンの背後にいる攻撃者は、おそらく大規模な自動化技術を活用し、迅速なオペレーションによる成功を得ている」と記されている。
Continue reading ““.env”ファイルを悪用したクラウド・ストレージへの侵入:身代金が請求されるケースも – Unit42″EleKtra-Leak Cryptojacking Attacks Exploit AWS IAM Credentials Exposed on GitHub
2023/10/30 TheHackerNews — EleKtra-Leak と名付けられた現在進行中の新しいキャンペーンは、クリプト・ジャッキング活動を促進するために、パブリックな GitHub リポジトリ内の公開された、Amazon Web Service (AWS) の ID/IAM 資格情報に目をつけた。Palo Alto Networks Unit 42 の 研究者である William Gamazo と Nathaniel Quist は、「このキャンペーンに関与する脅威アクターたちは、複数の AWS Elastic Compute (EC2) インスタンスを作成し、広範かつ長期的なクリプトジャッキング操作に用いていた」と、The Hacker News と共有した技術レポートの中で述べている。
Continue reading “EleKtra-Leak クリプトジャッキング: AWS IAM と GitHub のギャップを突いて活動”CISA, NSA Publish Guidance on IAM Challenges for Developers, Vendors
2023/10/05 SecurityWeek — 米国の CISA と NSA が発表した、IAM (Identity and Access Management) の実装に関する新しいガイダンスは、開発者とベンダーが直面する課題に焦点を当てるものだ。この、IAM 管理者向けのガイダンスから半年後にリリースされた、この新しい出版物は、主に大規模組織を対象としているが、小規模企業にも利用できる。Identity and Access Management: Developer and Vendor Challenges (PDF) という名前で、IAM に対する脅威の影響を組織的に軽減するための、ベスト・プラクティスに焦点を当てるものとなっている。
Continue reading “CISA/NSA が IAM ガイダンスを公表:ベンダーとデベロッパーに考えてほしいこと”Okta Agent Involved in MGM Resorts Breach, Attackers Claim
2023/09/16 DarkReading −−− 先週に発生した MGM Resorts と Caesars Entertainment へのサイバー攻撃だが、それを操る脅威アクターの主張は、組織の Active Directory に接続する軽量クライアントである Okta Agent をクラックし、何らかの方法で両社の Okta プラットフォームに侵入できたというものだ。Okta は、クラウド向けの IAM (Identity and Access Management) プロバイダーとして知られるサイバー・セキュリティ企業である。
Continue reading “MFA に対する本質的な問題提起:Okta が護れなかった MGM Resorts インシデントとは?”Only 45% of cloud data is currently encrypted
2023/07/13 HelpNetSecurity — Thales によると、2022年にクラウド環境でデータ漏洩を経験した企業は 39% であり、前年に報告された 35% を上回っている。さらに、調査対象の 55%が クラウド・データ漏洩の主な原因として、人為的ミスを挙げている。その一方で、クラウドに保存される機密データのレベルが、劇的に高まっていることを多くの企業が報告している。クラウドに保存されているデータの40%以上が、機密データに分類されると、75% の企業が回答した。ハッカーの主な標的として挙げられるのは、38% の SaaS (Software as a Service) と、36% がクラウド・ストレージである。
Continue reading “暗号化されたクラウド・データは 45% に過ぎない:ハッカーの標的は SaaS/Storage に集中”Microsoft Cloud Vulnerability Led to Bing Search Hijacking, Exposure of Office 365 Data
2023/03/30 SecurityWeek — サイバー・セキュリティ企業の Wiz によると、Azure Active Directory (AAD) のミスコンフィグレーションにより、アプリケーションが不正アクセスにさらされ、Bing.com が乗っ取られる可能性もあったという。Microsoft AAD は、クラウドベースの IAM (Identity and Access Management) サービスであり、一般的には Azure App Services/Azure Functions アプリケーションの認証メカニズムとして使用される。このサービスは、マルチテナントを含む各種のアカウント・アクセスをサポートしており、適切な制限がない限り、任意の Azure テナントに属するユーザーが、自分自身の OAuth トークンを発行できるようになっている。
Continue reading “Microsoft Cloud の脆弱性:Bing 検索のハイジャック/Office 365 でデータ流出の可能性”Organizations Warned of New Attack Vector in Amazon Web Services
2022/12/20 InfoSecurity — Amazon Web Services (AWS) に新たに導入された機能を悪用するセキュリティ脅威が、Mitiga の研究者たちにより発見された。この攻撃は、2022年10月に発表された AWS の Amazon Virtual Private Cloud 機能である、Elastic IP transfer を悪用するものだ。この機能は、ある AWS アカウントから別のアカウントへの、Elastic IP アドレスの移行を容易にするものである。したがって、IP の乗っ取りに成功した脅威アクターは、他者における信頼と信用の持ち方に応じて、幅広い攻撃を仕掛けることが可能になる。
Continue reading “AWS Elastic IP transfer を悪用する新たな攻撃ベクター:Mitiga が警告”Data Protection: What Needs to Be Protected?
2022/01/03 SecurityIntelligence — あなたの組織のデータは、どこあるのだろうか?グローバルなデータセンター/PC/モバイルアプリなど、あらゆる場所にデータは散らばっている。では、そのすべてを保護するには、どうすればよいのだろう?すべてのデータを暗号化することは不可能だろう。膨大な予算と時間が必要になる。最も厳しい規制でさえ、そこまでのデータ保護を要求していない。たとえば、GDPR は主に個人を特定できる情報 (PII : Personal Identifiable Information) に焦点を当てるが、データ侵害から知的財産を保護することも必要だ。
Continue reading “データ・プロテクション:データの発見/分類/保護とコンテキストを考える”Penetration Testing in the Cloud Demands a Different Approach
2021/10/20 DarkReading — ほとんどの企業は、攻撃者がテクニックを変更すれば、防御側はセキュリティ戦略を見直す必要があるというパターンを熟知している。そして今、犯罪者がクラウド環境を攻撃の標的にしていることで、企業はクラウド・インフラの安全性を確保する必要に迫られている。
Continue reading “クラウド環境におけるペンテストは従来からのパターンとは全く異なる”ImmuniWeb Launches Free Cloud Security Test to Detect Unprotected Storage
2021/09/30 TheHackerNews — IDC Cloud Security Survey 2021 では、過去18ヶ月以内に 98% もの企業が、クラウド上でデータ侵害の被害に遭っているとしている。パンデミックに煽られて、世界中の中小企業や大企業のデータやインフラが、パブリック・クラウドに移行しているが、その一方では、クラウドの新規性やセキュリティ/プライバシー問題を過小評価していることが多いようだ。
Continue reading “ImmuniWeb の無料の Cloud Security Test:保護されていないストレージを検出”Why ‘Role’ Permissions Are So Dangerous To Your Cloud Environment
2021/09/17 SecurityBoulevard — クラウドを利用する企業が直面するものに、過剰なパーミッションの適切な抑制という、重要な課題がある。クラウドでの運用には、俊敏性と柔軟性が求められる。しかし、この問題は、そのメリットによりセキュリティを犠牲にされることが多く、また、クラウド上には不要で過剰なパーミッションが蔓延していることである。このウェビナーでは、クラウドにおける過剰なパーミッションの問題と、それをコントロールする方法について説明していく。
Continue reading “クラウド環境の危険性:Role パーミッションについて再考しよう”Pushing the Limits of IDaaS with AMaaS
2021/07/29 SecurityBoulevard — データへの安全なアクセスは、誰にとっても大きな懸念となる。そこで、クラウド ID 管理ソリューションとして、IDaaS (identity-as-a-service) が随所で採用され、アプリケーションにアクセスするユーザーが、本人であることの確認が、つまり、ID の認証が行われている。しかし、IDaaS は、問題の半分しか解決できない。個人情報保護法では、個人を特定できる情報 (PII) などの機密データに、適切な人だけが適切なタイミングでアクセスするよう求められている。
Continue reading “AMaaS >IDaaS:クラウドとオンプレの ID を統合”How to Bridge On-Premises and Cloud Identity
2021/07/15 DarkReading — 組織が管理すべき ID の数は膨大であり、気が遠くなるほどだ。場合によっては、何十万/何百万もの人々/デバイスが存在することもある。歴史的にみるとは、これらの ID は、ビジネスアプリケーションや、レガシーの ID インフラストラクチャ、そして特定のデータセンターにハードコードされた、いくつかの内部 ID サイロに分散していた。
Continue reading “オンプレミスとクラウドの ID を効果的にブリッジするには”
IoT OT Security News 