Facebook 対 GDPR:$275M の罰金とデータ・スクレイピングへの圧力

Meta fined €265M for not protecting Facebook users’ data from scrapers

2022/11/28 BleepingComputer — 世界中の数億人のユーザー情報が流出した、2021年の Facebook データ大量流出事件を追求する、アイルランドの DPC (data protection commission) は Meta に対して、€265 million ($275.5 million) の罰金を科した。5億3300万人の Facebook ユーザーのデータが、2021年4月14日にハッカーフォーラムで公開されたことを受けて開始された、Meta による GDPR 違反に関する DPC の調査は、これにより終了した。

Continue reading “Facebook 対 GDPR:$275M の罰金とデータ・スクレイピングへの圧力”

Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント

Ducktail information stealer continues to evolve

2022/11/23 SecurityAffairs — 2022年7月下旬に WithSecure (旧 F-Secure Business) の研究者たちが発見したのは、Facebook Business/Ads プラットフォームの組織/個人を標的とする、Ducktail という名の進行中のオペレーションだ。このキャンペーンの主体については、2018年から活動していると見られる、ベトナムの経済的な動機を持つ脅威アクターだと、専門家たちは考えている。この脅威アクターの主目的は、ターゲットの Facebook Business アカウントを乗っ取ることだ。

Continue reading “Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント”

企業が SNS を使うとき:そこに隠された7つのリスクとは?

7 Hidden Social Media Cyber Risks for Enterprises

2022/10/27 DarkReading — ブランドを持つ企業はソーシャルメディアを好み、ビジネスの拡大/新入社員の採用/新製品の宣伝/消費者への直販などに活用している。最近の統計によると、ソーシャルメディア上のブランド広告は、昨年には 53% 増という成長を示し、それぞれのブランドは、コンテンツの開発と配布に投資し続けている。また、コンテンツとしては、バイラルビデオ/興味深いミーム/ポッドキャスト/ドキュメントなどがあり、顧客とのエンゲージメントを高めている。

Continue reading “企業が SNS を使うとき:そこに隠された7つのリスクとは?”

LinkedIn の新しいセキュリティ機能:偽プロフィールをチェックして詐欺を防ぐ

LinkedIn’s new security features combat fake profiles, threat actors

2022/10/26 BleepingComputer — LinkedIn は3つの新機能を導入し、偽プロフィールやプラットフォーム悪用に対抗していくという。それらの新機能には、認証された勤務先のEメール/電話番号の有無により、プロフィールの正真性を確認するなどの、新たな手法が含まれている。この数年において、同サービスは脅威アクターたちに悪用され、マルウェアの配布/サイバースパイ活動/認証情報の窃盗/金融詐欺などの温床となっていた。

Continue reading “LinkedIn の新しいセキュリティ機能:偽プロフィールをチェックして詐欺を防ぐ”

DHL を装うフィッシングに御用心:2022 Q3 調査で LinkedIn を抑えてトップに!

DHL Replaces LinkedIn As Most Imitated Brand in Phishing Attempts

2022/10/24 InfoSecurity — 2022年7月〜9月にかけて、フィッシング詐欺に悪用されたブランドの第1位は、海運会社の DHL となり、LinkedIn はその座を明け渡した。このデータは、今日に Check Point が InfoSecurityと共有した、Q3 Brand Phishing Report によるものだ。新しいデータによると、DHL を模倣したフィッシングは、現在、全世界のフィッシング試行の4分の1弱 (22%) を占めているという。それは、DHL が Q3 が始まる数日前に警告した、世界規模の大規模な詐欺とフィッシングの攻撃に一因であると、Check Point は述べている。

Continue reading “DHL を装うフィッシングに御用心:2022 Q3 調査で LinkedIn を抑えてトップに!”

LinkedIn の Smart Link を悪用:セキュリティを回避するフィッシング攻撃に御用心

LinkedIn Smart Links abused in evasive email phishing attacks

2022/09/21 BleepingComputer — フィッシング詐欺師たちが LinkedIn の Smart Link 機能を悪用してメールセキュリティ製品を回避し、フィッシング・ページにターゲット・ユーザーを誘導した後に、支払い情報を盗み出すことに成功している。この Smart Link は、LinkedIn の Sales Navigator/Enterprise のユーザーだけが使える機能であり、追跡可能な1つのリンクを使用して、最大 15件の文書をまとめて送信することができる。

Continue reading “LinkedIn の Smart Link を悪用:セキュリティを回避するフィッシング攻撃に御用心”

Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

Continue reading “Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心”

LinkedIn ユーザーなりすましが急増:大量の実用的な情報を狙うハッカーたち

LinkedIn brand takes lead as most impersonated in phishing attacks

2022/04/19 BleepingComputer — セキュリティ研究者たちの警告によると、フィッシング攻撃で最も詐称されるブランドは LinkedIn であり、世界レベルで全体の 52% 以上を占めているとのことだ。サイバー・セキュリティ企業の Check Point のデータによると、2022年 Q1 のフィッシング・インシデントにおける、LinkedIn ブランドの悪用が劇的に増加している。同社によると、2021年 Q4 は、LinkedIn はリストの5位であり、なりすまし攻撃の件数は 8% というレベルであった。

Continue reading “LinkedIn ユーザーなりすましが急増:大量の実用的な情報を狙うハッカーたち”

Google が追跡:Conti/Diavol と連携するアクセス・ブローカー Exotic Lily

Google Uncovers ‘Initial Access Broker’ Working with Conti Ransomware Gang

2022/03/18 TheHackerNews — Google の Threat Analysis Group (TAG) は、ロシアのサイバー犯罪組織である Conti や Diavol などと密接に関係しているとされる、新たなイニシャル・アクセス・ブローカーの情報を公表した。この Exotic Lily と名付けられた脅威アクターは、Microsoft Windows の MSHTML プラットフォームに存在する、修正済みの深刻な脆弱性 CVE-2021-40444 を悪用し、世界 の 650 の標的組織に対して、1日に 5000通以上のビジネス提案をテーマにした電子メールを送信する、フィッシング・キャンペーンを広く展開していると確認されている。

Continue reading “Google が追跡:Conti/Diavol と連携するアクセス・ブローカー Exotic Lily”

ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金

Russia Fines Google For Illegal Content Breach

2022/01/06 CybersecurityIntelligence — モスクワの裁判所が、ロシアで違法とされるコンテンツの削除を、繰り返して怠ったとして、Google に 7.2bn roubles ($98m : £73m) の罰金を科した。これは、欧米のテクノロジー企業を統制しようとするロシア政府において、最大の罰金額であり、ロシア国内での起訴が続く可能性がある。今回の判決は、ロシアでは初となる、収益に連携する罰金となる。インターネットの取り締まりが懸念される中、欧州連合 (EU) で初めて実施された年間売上高に基づく罰金が、さらに増える可能性もある。

Continue reading “ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金”

2021年の API 大惨事:Parler/Clubhouse/LinkedIn/NoxPlayer インシデントをふり返る

Biggest API Security Attacks of 2021 … So Far

2021/11/30 SecurityBoulevard — 脅威アクターたちにより、API セキュリティのギャップが露呈され続けている。デジタル・サービスを革新し、他のサービスと接続したいという願望は、悪意の脅威アクターたちの攻撃対象を広げることになる。セキュリティ上の懸念よりも、開発の俊敏性/革新性/反復性が優先されがちな世界では、敵対者たちは API を介してサービスに侵入し、いとも簡単に機密データを盗み出していく。そして 2021年には、多くの API 攻撃が発生している。ここでは、その中でも最大級のものを4つ紹介する。

Continue reading “2021年の API 大惨事:Parler/Clubhouse/LinkedIn/NoxPlayer インシデントをふり返る”

Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う

Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day

2021.07/14 BleepingComputer — Google Threat Analysis Group (TAG) と Google Project Zero の研究者たちは、Google Chrome / Internet Explorer / Apple Safari で使用されている WebKit の、4つのゼロデイ脆弱性を明らかにした。今年の初めに Google の研究者により発見された4つのゼロデイ・エクスプロイトは、悪用の実例があるものになった。

・ Chrome の CVE-2021-21166 / CVE-2021-30551
・ Internet Explorer の CVE-2021-33742
・ WebKit (Safari) の CVE-2021-1879

Continue reading “Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う”

Adobe Experience Manager の認証バイパスの脆弱性が大手企業に影響をおよぼしている

Authentication Bypass in Adobe Experience Manager Impacts Large Organizations

2021/06/29 SecurityWeek — Adobe Experience Manager (AEM) は、Web サイトやモバイル・アプリの構築に用いられる CMS (content management solution) であると同時に、開発者によるコンテンツやアセットの管理にも活用される。Detectify Crowdsource Community の研究者である Ai Ho と Bao Bui が、この製品に認証バイパスの脆弱性があることを発見した。

Continue reading “Adobe Experience Manager の認証バイパスの脆弱性が大手企業に影響をおよぼしている”

ByteDance / Kuaishou / LinkedIn は違法にデータを収集していると中国政府が批判

China calls out ByteDance, Kuaishou, and LinkedIn for illegal data collection

2021/05/21 SCMP — 中国のインターネット監視当局は、中国版 TikTok / Kuaishou / LinkedIn と 102 種類のモバイル・アプリケーションを、個人データの違法な収集と利用があったとして名指しで非難した。Cyberspace Administration of China (CAC) は、ユーザーからの苦情を受けた後に、105のアプリが複数の法律に違反したと判断した。

Continue reading “ByteDance / Kuaishou / LinkedIn は違法にデータを収集していると中国政府が批判”