Toyota: Car location data of 2 million customers exposed for ten years
2023/05/12 BleepingComputer — トヨタ自動車株式会社のクラウド環境において、2013年11月6日〜2023年4月17日の 10年間にわたり、215万人の顧客の自動車位置情報が流出するという、データ侵害があったことが公表された。トヨタが日本のニュース・ルームで発表した内容によると、このデータ侵害の原因は、データベースのミスコンフィグレーションにあり、誰もがパスワードなしでアクセスできるようになったという。
Continue reading “トヨタ自動車のデータ侵害:10年間にわたって 215万人の顧客情報が流出していた”Companies carry unquantified levels of risk due to current network security approaches
2023/04/07 HelpNetSecurity — Titania の調査によると、サイバー・セキュリティ上級意思決定者の 40% が、Payment Card Industry Data Security Standard (PCI DSS) 4.0 準拠のリスクに対して、効果的に優先順位をつけていることが分かった。この調査で明らかになったのは、石油/ガス/通信/銀行/金融などのサービスを提供する組織が、脆弱なネットワーク機器のコンフィグレーションを悪用して攻撃を拡大する、脅威アクターたちの主要な標的であることである。また、ネットワーク・セキュリティを脅かすコンプライアンス・リスクについて、適切かつ効果的に分類し、優先順位を付けている組織が、37% に過ぎないことも明らかになった。
Continue reading “ネットワーク・セキュリティのリスクが定量化できない? いまのアプローチが問題なのか?”New AlienFox toolkit steals credentials for 18 cloud services
2023/03/30 BleepingComputer — AlienFox と呼ばれる新しいツールキットを利用する脅威アクターたちが、サーバのミスコンフィグレーションをスキャンし、クラウドベースのメールサービスの認証情報や機密情報を窃取していることが判明した。このツールキットがサイバー犯罪者たちに販売される、Telegram のプライベート・チャネルは、マルウェア開発者とハッカーが取引する際の、一般的な手段となっている。 SentinelLabs の研究者たちによると、AlienFox はモジュール式のツールセットであり、Laravel/Drupal/Joomla/Magento/Opencart/Prestashop/WordPress などのオンライン・ホスティング・フレームワークの、一般的なサービスにおけるミスコンフィグレーションをターゲットにしているという。
Continue reading “AlienFox というツールキットが登場:ミスコンフィグ・スキャナーでクラウドの機密情報を狙う”Report: Air-Gapped Networks Vulnerable to DNS Attacks
2022/12/08 DarkReading — 企業環境における Domain Name System (DNS) の実装方法で、よく見かけられるミスコンフィグレーションが、きわめて気密性の高い資産の保護を得目的とするエアギャップ・ネットワークを、外部攻撃者による侵害にさらす可能性があることが、研究者により明らかにされた。セキュリティ企業である Pentera の研究者たちは、12月8日に発表したブログ記事で、DNS サーバに接続するエアギャップ・ネットワークを使用している組織が、重要な資産を不用意に脅威アクターにさらし、深刻なデータ侵害を引き起こす可能性があると指摘している。
Continue reading “DNS 攻撃によるエアギャップ破壊:重要なのは 正確な設定/特性の理解/アクティビティの監視”Microsoft data breach exposes customers’ contact info, emails
2022/10/19 BleepingComputer — 今日になって Microsoft は、同社におけるサーバのミスコンフィグレーションにより、インターネット経由でアクセス可能な顧客の、機密情報の一部が流出したと発表した。Microsoft は 2022年9月24日に、脅威情報会社 SOCRadar のセキュリティ研究者から通知を受け、このサーバを保護した。Microsoft は、「このミスコンフィグレーションにより、Microsoft と見込み顧客とのやり取りに関する、サービス導入の計画/可能性/プロビジョニングなどの、一部のビジネス・トランザクション・データに対して、認証なしでアクセスできる可能性があった。このような事態が発生したことを受けて、顧客のアカウントやシステムが侵害された形跡がないことを確認した。そして、影響を受けた顧客にはダイレクトに通知する」と明らかにした。
Continue reading “Microsoft が引き起こしたミスコンフィグレーション:顧客/パートナーの機密情報 65,000 件が漏えい”Cloud Misconfig Exposes 3TB of Sensitive Airport Data in Amazon S3 Bucket: ‘Lives at Stake’
2022/07/07 DarkReading — Amazon S3 バケットのミスコンフィグレーションにより、3TB の空港データ (150万以上のファイル) が漏洩し、アクセスに認証が不要なオープン状態となった。それにより浮き彫りになったのは、旅行業界が直面している、安全性が確保できないクラウド・インフラの危険性である。Skyhigh Security が公開した情報には、コロンビアとペルーの、少なくとも4つの空港の従業員の個人識別情報 (PII) や、その他の機密企業データが含まれているという。
Continue reading “Amazon S3 バケットで繰り返されるミスコンフィグレーション:空港機密データ 3TB が流出”7 Key Findings from the 2022 SaaS Security Survey Report
2022/05/19 TheHackerNews — Adaptive Shield は CSAと共同で、今日の企業における CISO やセキュリティ担当者から見た SaaS セキュリティの状況を調査し、2022 SaaS Security Survey Report として提供している。このレポートでは、CSA 会員 340社から匿名の回答を集めることで、SaaS セキュリティ・リスクの高まりと、各組織もおけるセキュリティ対策の現状を調査している。
Continue reading “SaaS ユーザー 340社を調査:ミス・コンフィグレーションを無くす7つのポイントとは?”AWS fixes security flaws that exposed AWS customer data
2022/01/13 BleepingComputer — Amazon Web Services (AWS) は、他の AWS 顧客アカウントにリンクされたデータへのアクセス/変更を許す、AWS Glue のセキュリティ問題に対処した。AWS Glue は、サーバーレスのクラウド・データ統合サービスであり、アプリ開発/機械学習/分析のための、データの発見/準備/結合を支援するものだ。
Continue reading “AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが”Rethinking Cloud Infrastructure Authentication
2021/08/30 SecurityBoulevard — 願わくば p4$$w0r9s を超えて、すべてのクラウド・インフラでセキュアなキーと多要素認証 (MFA) を使ってもらいたいものだ。しかし、それぞれの小さなノードや、ソフトウェア、サーバ、管理コンソールなどにアクセスできる人が、何人いるか把握されているだろうか?スクリプトが実行できるようにするために、どれだけのキーが散らばっているだろうか?信頼できる IP は何個あるだろうか?もし悪意のある人が、これらのうちの1つを手に入れたら、ネットワークがダウンする可能性があるのだろうか?誰かが退職したときに、変更しなければならないパスワードは何個あるのだろうか?
Continue reading “クラウド・インフラの認証を再考:GitOps のすすめ”
IoT OT Security News 