Hackers Abuse GitHub Issue Notifications to Phish Developers Through Malicious OAuth Apps
2026/04/21 CyberSecurityNews — GitHub の通知システムを悪用して、悪意の OAuth アプリへの認可リクエストを配信する高度なフィッシング手法を、セキュリティ研究者たちが発見した。この攻撃では、GitHub の信頼されたインフラが悪用されるため、被害者による正規のセキュリティ・アラートとの識別が困難であり、きわめて危険である。
Continue reading “GitHub Issue 通知を悪用するキャンペーン:悪意の OAuth アプリを介して開発環境を侵害”OAuth Attacks in Entra ID Can Leverage ChatGPT to Compromise User Email Accounts
2026/02/25 CyberSecurityNews — 信頼されるプラットフォームを悪用する新たな手法を、脅威アクターたちは常に模索している。最近になって増加しているのは、OAuth 同意悪用 (OAuth consent abuse) と呼ばれる手法を通じて、Microsoft Entra ID を標的とするケースである。 新たに確認/文書化された攻撃シナリオが示すのは、悪意を持って過剰な権限を要求するサードパーティ製アプリケーション (ChatGPT などに酷似) が、企業ユーザーのパスワードを一切必要とすることなく、受信トレイ (inbox) に密かにアクセスできることだ。
Continue reading “Entra ID 監査ログから OAuth 同意攻撃を追跡:ChatGPT を悪用してユーザーのメール・アカウントを侵害”Google Suspends OpenClaw Users from Antigravity AI After OAuth Token Abuse
2026/02/23 CyberSecurityNews — Google はオープンソース・ツール OpenClaw のユーザーに対して、同社の Antigravity AI プラットフォームへのアクセスを停止した。この措置に対して、利用規約 (ToS:Terms of Service) の強硬な適用だとする反発が高まっている。対象となったのは、OpenClaw の OAuth プラグインを利用して、補助付きの (subsidized) Gemini モデル・トークンへアクセスしていた開発者たちである。それにより、バックエンドの負荷急増とサービス劣化が引き起こされていた。
Continue reading “Google Antigravity AI が OpenClaw ユーザーを排除:OAuth プラグインと異常トラフィック”Phishing and OAuth Token Flaws Lead to Full Microsoft 365 Compromise
2026/02/06 CyberSecurityNews — 現代の Web アプリケーションにおける想定外の攻撃対象領域は、ニュースレター登録/問い合わせフォーム/パスワードリセットなどの、無害に見えるユーザー・エンゲージメント機能を通じて生み出されている。個々の脆弱性について言えば、単体では対処や管理が可能と思われるが、高度な攻撃者たちは、こうした小さな欠陥を連鎖させている。その結果として、Microsoft 365 などで壊滅的な侵害が引き起こされ、攻撃者たちは目的を達成していく。
Continue reading “Microsoft 365 OAuth トークン・ハイジャック:公開 API/不正なリクエスト/エラー・メッセージの悪用”New OAuth Attack Lets Hackers Bypass Microsoft Entra Authentication and Steal Keys
2026/01/08 gbhackers — サイバー・セキュリティ対策担当者にとって年末は忙しい時期であるが、Microsoft Entra ID を標的とする新たな攻撃ベクターが研究者たちにより発見された。この攻撃ベクターは、正規の OAuth 2.0 認証フローを武器化し、特権アクセス・トークンを収集するものだ。PushSecurity が ConsentFix と名付けた手法は、ClickFix ソーシャル・エンジニアリング・パラダイムの進化形である。ファーストパーティである Microsoft アプリケーションの認証コードフローを悪用する脅威アクターは、デバイスのコンプライアンス・チェックや条件付きアクセス・ポリシーを回避できるようになる。
Continue reading “OAuth 2.0 認証フローを武器化:Microsoft Entra をバイパスしてトークンを収集する手法とは?”New CoPhish Attack Exploits Copilot Studio to Exfiltrate OAuth Tokens
2025/10/27 CyberSecurityNews — CoPhish と呼ばれる高度なフィッシング手法は、Microsoft Copilot Studio を悪用してユーザーを騙し、Microsoft Entra ID アカウントへの不正アクセスを攻撃者に許可させるものだ。Datadog Security Labs が命名したこの手法は、正規の Microsoft ドメイン上でホストされるカスタマイズ可能な AI エージェントを悪用することで、従来の OAuth 同意攻撃を巧妙に偽装し、信頼性を装いながらユーザーの疑念を回避するものである。この攻撃は、最近のレポートで詳細が明らかにされたものだ。それが浮き彫りにするのは、Microsoft が同意ポリシーの強化に努めているにもかかわらず、クラウドベースの AI ツールに継続的な脆弱性が存在することだ。
Continue reading “Copilot Studio を悪用する CoPhish 攻撃が拡大:OAuth トークンを窃取する新たな攻撃手法”Hackers Abuse Compromised OAuth Tokens to Access and Steal Salesforce Corporate Data
2025/08/27 gbhackers — Google Threat Intelligence Group (GTIG) が発表したのは、Drift 統合を介した Salesforce インスタンスを標的とする、広範なデータ窃取作戦に関するアドバイザリである。2025年8月8日以降において脅威アクター UNC6395 は、Salesloft Drift アプリに関連付けられた有効なアクセス/リフレッシュ・トークンを悪用し、認証済みの接続アプリユーザーとして不正な接続を行っていた。さらに、大規模な SOQL クエリを実行し、Accounts/Opportunities/Users/Cases など主要な Salesforce オブジェクトから、レコードをエクスポートしていた。
Continue reading “Salesloft Drift の OAuth Token 悪用:大規模な SOQL クエリにより機密情報が流出”OAuth2-Proxy Vulnerability Enables Authentication Bypass by Manipulating Query Parameters
2025/07/31 CyberSecurityNews — OAuth2-Proxy に、深刻なセキュリティ脆弱性が発見された。この広く利用されるリバース・プロキシ OAuth2-Proxy は、Google/Azure/OpenID Connect などの多数の ID プロバイダに対して認証サービスを提供するものだ。この脆弱性 CVE-2025-54576 (CVSS:9.1) を悪用する攻撃者は、細工した URL 内のクエリ・パラメータを操作することで、認証メカニズムをバイパスし、保護されたリソースへの不正アクセスを可能にする。
Continue reading “OAuth2-Proxy の脆弱性 CVE-2025-54576 が FIX:悪意のクエリ・パラメータによる認証バイパス”Critical mcp-remote Vulnerability Exposes LLM Clients to Remote Code Execution Attacks
2025/07/10 CyberSecurityNews — mcp-remote プロジェクトで発見された深刻な脆弱性 CVE-2025-6514 (CVSS:9.6) を悪用する攻撃者は、信頼できない Model Context Protocol (MCP) サーバに接続するマシン上で、任意の OS コマンド実行の可能性を得ている。この脆弱性が影響を及ぼす範囲は バージョン 0.0.5〜0.1.15 であり、リモートで MCP サーバを使用する LLM (Large Language Model) クライアントに深刻なリスクをもたらし、最悪の場合には、システム全体の乗っ取りに至るという。
Continue reading “mcp-remote の脆弱性 CVE-2025-6514 が FIX:OAuth エンドポイントを介した悪意のペイロード注入”8 New Malicious Firefox Extensions Steal OAuth Tokens, Passwords and Spy on Users
2025/07/07 CyberSecurityNews — OAuth トークン/パスワードの窃取を積極的に行い、欺瞞的手法によりユーザーを監視する、8件の悪意の Firefox エクステンションで構成される高度なネットワークを、Socket Threat Research Team のセキュリティ研究者たちが発見した。この発見で明らかにされたのは、人気のゲーム・タイトルやユーティリティ・アプリの悪用を通じて、Firefox エコシステム全体のユーザー・セキュリティを侵害する、組織的なキャンペーンの存在である。
Continue reading “Firefox の悪意のエクステンション8件:OAuth Token/Password を盗んでユーザーを監視”nOAuth Exploit Enables Full Account Takeover of Entra Cross-Tenant SaaS Applications
2025/06/26 gbhackers — Microsoft Entra ID と統合される SaaS (Software-as-a-Service) アプリケーションの一部において、“nOAuth” と命名される深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、テナント間の境界を越えた、完全なアカウント乗っ取りの可能性を得る。2025年6月26日に公開された、セキュリティ企業 Semperis による調査結果によると、Microsoft Entra App Gallery に掲載されている 104個のアプリのうちの 9個 (約9%) が、この脆弱性の影響を受けるという。
Continue reading “Entra ID に潜む “nOAuth” という脆弱性:SaaS アプリにおけるアカウント乗っ取りの可能性”2025/05/28 TheHackerNews — Microsoft の OneDrive File Picker に存在するセキュリティ上の脆弱性を、サイバーセキュリティ研究者が発見した。この脆弱性が悪用されると、Web サイトに対して不正な権限が付与され、ツール経由でアクセスされるアップロード・ファイルだけではなく、対象となるユーザーが関与するクラウド・ストレージ全体へのアクセスが可能になるという。
Continue reading “Microsoft OneDrive File Picker の脆弱性:アプリからクラウドへのフル・アクセスの恐れ”Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts
2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告:異常なアクセス試行:ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。
Continue reading “GitHub リポジトリ 12,000 件が標的:偽のセキュリティ通知を悪用するフィッシング攻撃”Malicious Adobe, DocuSign OAuth apps target Microsoft 365 accounts
2025/03/16 BleepingComputer — Adobe や DocuSign アプリを装うマルウェアの配信により、Microsoft 365 アカウントの認証情報を盗み出すという、悪質な Microsoft OAuth アプリが、サイバー犯罪者たちにより宣伝されている。このキャンペーンを発見した Proofpoint の研究者たちは、X のスレッド上で “高度に標的を絞った攻撃 ” だと評している。
Continue reading “Adobe/DocuSign アプリの OAuth リクエストには要注意:Microsoft 365 アカウント乗っ取りが多発”China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access
2025/03/05 TheHackerNews — Microsoft Exchange サーバのセキュリティ欠陥を、2021年1月のゼロデイ攻撃で悪用していた中国由来の脅威アクターだが、企業ネットワークへのイニシャル・アクセスの手段を、IT サプライチェーンを標的とする戦術へと転換しているようだ。この情報は、Microsoft Threat Intelligence チームの新たな調査結果によるものであり、いまの Silk Typhoon (旧 Hafnium) ハッキング・グループは、攻撃の足がかりを得るためにリモート管理ツールやクラウド・アプリなどの、IT ソリューションを標的にしているという。
Continue reading “中国由来の Silk Typhoon の戦術:脆弱性悪用とパスワード・スプレーの採用”OAuth Redirect Flaw in Airline Travel Integration Exposes Millions to Account Hijacking
2025/01/28 TheHackerNews — API セキュリティ企業 Salt Labs が公表したレポートは、ホテルやレンタカーのオンライン予約サービスに存在する、アカウント乗っ取りの脆弱性に関するものだ。なお、この脆弱性は、すでに修正されているという。Salt Labs は、「この欠陥を悪用する攻撃者は、システム内のあらゆるユーザー・アカウントへのアクセス権を獲得し、被害者に成りすまして、さまざまな操作を実行する。具体的には、被害者のマイレッジ・ポイントによるホテルやレンタカーの予約や、予約情報のキャンセルや編集などである」と、The Hacker News に共有したレポートで述べている。
Continue reading “航空/旅行システムの OAuth 認証に脆弱性:数百万人のアカウントに乗っ取りの懸念”Do We Really Need The OWASP NHI Top 10?
2025/01/27 TheHackerNews — 先日に OWASP (Open Web Application Security Project) は、新たな指針としての Non-Human Identity (NHI) Top-10 に取り組み始めた。長年にわたり OWASP は、広く利用される API Top-10 や Web App Top-10 などのプロジェクトを通じて、セキュリティの専門家と開発者に対して、重要なガイダンスと実用的なフレームワークを提供してきた。Non-Human Identity (NHI) セキュリティは、サイバー・セキュリティ業界で新たな関心を集めている。そこで OWASP は、NHI Top-10 により、API キー/サービス・アカウント/OAuth アプリ/SSH キー/IAM ロール/シークレットなどのマシン認証情報とワークロード ID に関連する、リスクと監視の欠如を指摘している。
Continue reading “OWASP の Non-Human Identity (NHI) Top-10 とは? 隠れたリスクを可視化する”Google’s “Sign in with Google” Flaw Exposes Millions of Users’ Details
2025/01/14 GBHackers —Google の認証システムである “Sign in with Google” に、重大な欠陥が発見された。この脆弱性の影響が及ぶ数百万人のアメリカ人が、データ窃取の危機に晒されているが、事業から撤退したスタートアップ企業の元従業員が、この欠陥の影響を受けやすいとされている。この欠陥の根本的な原因は、ドメイン所有権の変更に対して、Google OAuth ログインが適切に対応していない点にあると、Truffle Security は指摘する。
Continue reading ““Sign in with Google” に深刻な問題:廃棄されたメアドでクラウドにログインできる?”How open-source MDM solutions simplify cross-platform device management
2024/11/01 HelpNetSecurity — 先日に Help Net Security が公開した、Fleet の CEO である Mike McNeil へのインタビューは、管理されていないモバイル・デバイスがもたらすセキュリティ・リスクについて警告するものだ。それに加えて、モバイル・デバイス管理 (MDM:Mobile Device Management) ソリューションにより、それらのリスクに対処する方法も述べている。さらに、彼が語っているのは、MDM に対する従業員の抵抗感/オープンソースの透明性が信頼を構築する方法/遠隔地のデバイス管理に関する洞察/MDM テクノロジーの今後の展望などである。
Continue reading “MDM と OSS:多種多様なプラットフォームとデバイスのための osquery とは?”Researcher Exposes Critical Vulnerabilities in Google Cloud
2024/10/30 SecurityOnline — 先日に公表された、DATADOG の著名なクラウド セキュリティー研究者 Christophe Tafani-Dereeper の詳細な分析が示すのは、Google Cloud のデフォルト・サービス・アカウント内の深刻な脆弱性により、クラウド環境が危険に直面している状況である。Tafani-Dereeper の調査結果は、誤って過度に設定/提供されたアクセスを、それらのアカウントが極めて容易に許可することで、クラウド・リソースを悪用する攻撃者に道を開くと指摘するものだ。
Continue reading “Google Cloud の ID 管理:デフォルト・サービス・アカウントの使用は危険”OAuth+XSS Attack Threatens Millions of Web Users With Account Takeover
2024/07/29 DarkReading — Web ユーザーの行動を追跡/記録するサービスの Hotjar と、人気のニュース・サイト Business Insider の API に、重大なセキュリティ欠陥が存在することが判明した。最新の認証規格が悪用され、長年の脆弱性が復活させられたことで、数百万人のユーザーがアカウント乗っ取りの危険にさらされている。API のセキュリティ会社である Salt Security の Salt Labs が、7月29日に公開したブログによると、認証規格の OAuth と、2つのサイトの XSS (cross-site scripting) の欠陥を組み合わせることで、攻撃者は機密データの窃取が可能になり、100万以上の Web サイトの正規ユーザーを装う悪質な活動の可能性が生じているという。
Continue reading “OAuth と XSS のコンボ攻撃:数百万人の Web ユーザーをアカウント乗っ取りで脅かす”From passwords to passkeys: Enhancing security and user satisfaction
2024/06/20 HelpNetSecurity — この Help Net Securityのインタビューでは、Stytch CTO の Julianna Lamb がパスワードレス認証の利点について語っている。つまり、パスワードをなくすことでデータ漏洩を減らし、ログイン・プロセスを簡素化することでユーザー・エクスペリエンス (UX:User eXperience) を向上させる。さらに Julianna Lamb は、Passkeys のようなパスワードレス認証方法の、技術的な課題と経済的な意味についても触れている。
Continue reading “Passkeys によるパスワードレス:未来を確信する理由について説明しよう – Stytch”Gitloker attacks abuse GitHub notifications to push malicious oAuth apps
2024/06/10 BleepingComputer — フィッシング攻撃を介して GitHub のセキュリティ/リクルート・チームになりすまし、悪意の OAuth アプリを用いてリポジトリを乗っ取り、侵害したリポジトリを消去すると脅すキャンペーンが現在進行中だという。遅くとも 2024年2月以降において、このキャンペーンで標的とされた数十人の開発者が、侵害された GitHub アカウントを用いて、ランダムなリポジトリの課題や、プルリクエストに追加されたスパム・コメントにタグ付けされた後に、”notifications@github.com” から偽の求人や警告のメールを受け取っているようだ。
Continue reading “GitHub のノーティフィケーションを介したフィッシング:悪意の oAuth アプリ・プッシュには要注意”Dropbox Discloses Breach of Digital Signature Service Affecting All Users
2024/05/02 TheHackerNews — 4月24日に Dropbox が明らかにしたのは、Dropbox Sign (旧 HelloSign) が正体不明の脅威アクターにより侵害され、電子署名製品の全ユーザーに関連するEメール/ユーザー名/一般的なアカウント設定などが不正アクセスを受けたことだ。同社は、米国証券取引委員会 (SEC) に提出した書類の中で、4月24日に不正アクセスに気づいたと述べている。なお、Dropbox は、2019年1月に HelloSign の買収計画を発表していた。
Continue reading “Dropbox Sign のデータ侵害:ユーザー情報への不正アクセスが発生”Urgent GitLab Update Patches Account Takeover Flaw, Other High-Severity Bugs
2024/04/24 SecurityOnline — 先日の GitLab セキュリティ・リリースで対処されたのは、広範なコード・リポジトリや開発ワークフローに影響を及ぼす可能性のある一連の脆弱性である。それらの脆弱性の悪用に成功した攻撃者は、リソース消耗によりサービス拒否から、完全なアカウント乗っ取りに至るまでの、さまざまな攻撃を引き起こす可能性を持つ。GitLab を利用している組織にとって、バージョン 16.11.1/16.10.4/16.9.6 へのアップグレードは必須である。
Continue reading “GitLab の深刻な脆弱性が FIX:アカウントの乗っ取りにいたる可能性も”Over 12 million auth secrets and keys leaked on GitHub in 2023
2024/03/11 BleepingComputer — 2023年に GitHub ユーザーが、誤って公開してしまった認証や機密のシークレットは 1280万件に達し、それらは 300万以上の公開リポジトリ上に存在している。GitGuardian のサイバー・セキュリティ専門家たちによると、シークレットを暴露してしまった人々に 180万通の無料メール・アラートを送ったが、連絡を受けた人たちのうち、誤りを修正するために迅速に行動したのは、僅か 1.8% に過ぎなかったという。
Continue reading “2023年の GitHub:全体で 1200万件のシークレットが漏えいしてしまった”Microsoft Provides Defense Guidance After Nation-State Compromise
2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium/APT29/Cozy Bear) による、ネットワーク上での悪質な活動を検知した。
Continue reading “Microsoft が公表した防御のガイダンス:Midnight Blizzard の狡猾な戦術を封じる”Microsoft reveals how hackers breached its Exchange Online accounts
2024/01/26 BleepingComputer — 2023年11月に Microsoft 幹部の電子メール・アカウントに侵入した、ロシア政府 Foreign Intelligence Service (SVR) のハッキング・グループが、悪意のキャンペーンの一環として他の組織にも侵入したことが確認された。Midnight Blizzard (別名 Nobelium/APT29) は、ロシアの SVR 傘下のサイバー・スパイ集団と考えられており、主に米国/欧州の政府組織/NGO/ソフトウェア開発者/IT サービス・プロバイダーを標的としている。
Continue reading “Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard:手口の詳細を解説”Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters
2024/01/24 TheHackerNews — Google Kubernetes Engine (GKE) に影響を与える脆弱性が、ybersecurity の研究者たちにより発見された。この脆弱性は、クラウド・セキュリティ企業 Orca によりコードネーム Sys:All と命名されており、現存する 250,000 ものアクティブな GKE クラスタに影響を与える可能性があると推定される。
Continue reading “GKE ミスコンフィグと脆弱性: 250,000 もの Kubernetes クラスタに影響”Google: Malware abusing API is standard token theft, not an API issue
2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する2つの情報窃盗マルウェア・オペレーション Lumma/Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。
Continue reading “Google API を介したトークン窃取:OAuth MultiLogin 問題は軽視されている?”Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts
2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。
Continue reading “OAuth エンドポイント MultiLogin:Google 認証クッキー復元の PoC もリリース”Microsoft: OAuth apps used to automate BEC and cryptomining attacks
2023/12/12 BleepingComputer — Microsoft の警告は、金銭目的の攻撃者が OAuth アプリケーションを使用して、BEC 攻撃やフィッシング攻撃を自動化し、スパムをプッシュし、クリプト・マイニング用の VM を展開しているというものだ。OAuth (Open Authorization の略) とは、資格情報の代わりにトークンベースの認証と認可を介して、ユーザー定義のアクセス許可に基づいた、サーバ・リソースへの安全な委任アクセスを、アプリ対して許可するためのオープン・スタンダードである。
Continue reading “OAuth アプリに関する Microsoft の警告:侵害されたアカウントで悪意のアプリを作成”More Than Half of Browser Extensions Pose Security Risks
2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。
Continue reading “Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果”Researchers Flag Account Takeover Flaw in Microsoft Azure AD OAuth Apps
2023/05/20 SecurityWeek — セキュリティ分野のスタートアップ Descope の研究者たちは、Microsoft Azure AD OAuth アプリケーションに存在する深刻なミスコンフィグレーションを発見し、”Log in with Microsoft” を使用している組織においては、アカウント乗っ取りの可能性が生じていると警告を発した。このセキュリティ上の欠陥は nOAuth と呼ばれ、Microsoft Azure AD のマルチ・テナント OAuth アプリケーションに影響を及ぼす、認証実装の欠陥だと説明されている。
Continue reading “Microsoft Azure AD の OAuth に深刻な問題:認証の目的での “email” クレーム使用は不可”How to Improve Your API Security Posture
2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信/共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。
Continue reading “API セキュリティの強化:そのための管理体制とベストプラクティスとは?”OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers
2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。
Continue reading “OAuth の深刻な脆弱性が FIX:Expo Framework を介したアカウント乗っ取りの可能性”GhostToken Flaw Could Let Attackers Hide Malicious Apps in Google Cloud Platform
2023/04/21 TheHackerNews — サイバー・セキュリティ研究者が、Google Cloud Platform (GCP) のゼロデイ欠陥 (パッチ適用済み) の詳細を明らかにした。この欠陥は、企業向けの Workspace アカウントを含む、すべての Google アカウントに影響を及ぼすものであり、イスラエルのサイバー・セキュリティ企業 Astrix Security により GhostToken と名付けられた。同社により、2022年6月19日に発見され、すでに Google に報告されている。そして、9ヶ月が経過した 2023年4月7日に、Google はグローバル・パッチを展開した。
Continue reading “Google Cloud Platform の脆弱性 GhostToken:悪意のアプリをスティルス化”Microsoft Cloud Vulnerability Led to Bing Search Hijacking, Exposure of Office 365 Data
2023/03/30 SecurityWeek — サイバー・セキュリティ企業の Wiz によると、Azure Active Directory (AAD) のミスコンフィグレーションにより、アプリケーションが不正アクセスにさらされ、Bing.com が乗っ取られる可能性もあったという。Microsoft AAD は、クラウドベースの IAM (Identity and Access Management) サービスであり、一般的には Azure App Services/Azure Functions アプリケーションの認証メカニズムとして使用される。このサービスは、マルチテナントを含む各種のアカウント・アクセスをサポートしており、適切な制限がない限り、任意の Azure テナントに属するユーザーが、自分自身の OAuth トークンを発行できるようになっている。
Continue reading “Microsoft Cloud の脆弱性:Bing 検索のハイジャック/Office 365 でデータ流出の可能性”API Security Flaw Found in Booking.com Allowed Full Account Takeover
2023/03/02 InfoSecurity — オンライン旅行会社 Booking.com が使用しているソーシャル・ログイン機能 Open Authorization (OAuth) の実装に、複数のセキュリティ上の欠陥があることが判明した。Salt Security が発見した脆弱性は、Facebook アカウントを用いて同サイトにログインしているユーザーに、影響が生じる可能性があるというものだ。
Continue reading “Booking.com の OAuth 実装に脆弱性:Facebook アカウントを用いたログインに影響”Attackers used malicious “verified” OAuth apps to infiltrate organizations’ O365 email accounts
2023/01/31 HelpNetSecurity — ”Publisher identity verified” マークを取得したサードパーティ製 OAuth アプリが、英国/アイルランドの組織を標的とする、未知の攻撃者に利用されていることを、Microsoft が明らかにした。この攻撃は、2022年12月初旬に Proofpoint の研究者が発見したものであり、SSO/Zoom になりすました3つの不正なアプリが関与しているという。この手口に騙されたターゲット組織は、一連の不正アプリにより O365 メールアカウントにアクセスされ、組織のクラウド環境への侵入を許してしまった。
Continue reading “OAuth を悪用する偽アプリ攻撃: Office 365 アカウントへの不正アクセスが発生”Malware Attack on CircleCI Engineer’s Laptop Leads to Recent Security Incident
2023/01/14 TheHackerNews — 2023年1月13日に DevOps プラットフォームの CircleCI が明らかにしたのは、昨年12月に未知の脅威アクターが従業員のラップトップを侵害し、マルウェアを用いて 2FA 認証に裏付けられた認証情報を盗み出し、同社システムに侵入しデータを侵害したことだ。CI/CD サービスの CircleCI によると、この高度な攻撃は、2022年12月16日に行われ、そこで用いられたマルウェアを、同社のウイルス対策ソフトウェアは検出できなかったとのことだ。
Continue reading “CircleCI のデータ侵害:セッションクッキーが窃取され 2FA が突破された”GitHub to require all users to enable 2FA by the end of 2023
2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。
Continue reading “GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応”Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth Apps
2022/09/24 DarkReading — Microsoft Exchange Server を乗っ取り、スパムの拡散を目的とする攻撃者たちが、侵害したクラウド・テナントに、悪意の OAuth アプリケーションを展開している。今週の Microsoft 365 Defender Research Team の発表では、多要素認証 (MFA) が無効な高リスクのアカウントに対して、クレデンシャル・スタッフィング攻撃が行われた後に、安全ではない管理者アカウントを利用した、イニシャル・アクセス獲得の様子が詳述されている。
Continue reading “Microsoft Exchange Server の侵害と乗っ取り:OAuth を悪用してスパムメールを配信”Hackers stealing GitHub accounts using fake CircleCI notifications
2022/09/22 BleepingComputer — GitHub は、9月16日に始まったフィッシング・キャンペーンが活発に進行していることについて、注意を呼びかけている。具体的に言うと、継続的なインテグレーションとデリバリーのプラットフォームである、CircleCI になりすましたメールがユーザーを狙っているという。この偽メッセージは、「ユーザー規約とプライバシー・ポリシーが変更されたことをユーザー知らせ、GitHub アカウントにサインインして変更を受け入れ、サービスを使い続ける必要がある」と述べている。
Continue reading “CircleCI で進行するフィッシング:GitHub のアカウント認証情報と 2FA コードを盗み出す”Microsoft will disable Exchange Online basic auth next month
2022/09/01 BleepingComputer — 本日、2022年10月1日から Microsoft は、Exchange Online のセキュリティ向上を目的として、世界中のテナントからベーシック認証を、順次無効にしていくことを顧客に通知した。今日の発表は、最初に発表された 2019年9月以降の3年間において、同社から繰り返して行われてきた、注意喚起と警告に続くものである。
Continue reading “Microsoft Exchange Online のベーシック認証が終了:10月1日から無効化が始まる”CISA warns orgs to switch to Exchange Online Modern Auth until October
2022/06/29 BleepingComputer — CISA は政府機関/民間企業に対して、クラウドメール・プラットフォームである Microsoft Exchange を、ベーシック認証からモダン認証 (MFA) へと早急に切り替えるよう促している。ベーシック認証 (プロキシ認証) は、アプリがサーバー/エンドポイント/オンラインサービスに認証情報を平文で送信する、HTTP ベースの認証スキームである。
Continue reading “CISA 勧告と Exchange Online:10月までに Basic 認証から Modern 認証へ切り替えよ”GitHub: Attackers stole login details of 100K npm user accounts
2022/05/27 BleepingComputer — GitHub が明らかにしたのは、4月中旬に発生したセキュリティ侵害において、Heroku と Travis-CI に発行された OAuth アプリ・トークンを悪用した攻撃者により、約10万件の npm アカウントのログイン情報が盗み出されたという状況である。この脅威アクターは、数十の組織が所有するプライベート・リポジトリからの侵入と、データの窃取に成功したという。
Continue reading “GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明”High-Severity Bug Reported in Google’s OAuth Client Library for Java
2022/05/19 TheHackerNews — 2022年4月に Google は、Java 用 OAuth クライアント・ライブラリに存在する深刻度の高い脆弱性に対処した。この欠陥は、漏洩したトークンを用いる脅威アクターに対して、任意のペイロード展開を許す可能性があるというものだ。この脆弱性 CVE-2021-22573 の深刻度は CVSS 値 8.7 と評価され、暗号署名の不適切な検証に起因し、ライブラリの認証バイパスにいたる恐れがある。
Continue reading “Google の OAuth Client Library for Java における深刻な脆弱性 CVE-2021-22573 が FIX”Heroku Shares Details on Recent GitHub Attack
2022/05/06 SecurityWeek — 今週に Platform-as-a-Service 企業の Heroku は、複数の顧客の GitHub リポジトリに不正アクセスをもたらした 、4月のサイバー攻撃に関する追加情報を公開した。この、2022年4月中旬に公開されたインシデントは、Heroku と Travis CI に対して発行された OAuth トークンが盗まれ、この CI (Continuous Integration) システムを使用している組織のリポジトリに、攻撃者がアクセス可能になったというものである。
Continue reading “Heroku が語る先日の GitHub 攻撃:盗まれた OAuth トークンについて”GitHub Says Recent Attack Involving Stolen OAuth Tokens Was “Highly Targeted”
2022/05/02 TheHackerNews — クラウドベースのコード・ホスティング・プラットフォーム GitHub は、Heroku と Travis-CI に対して発行された OAuth アクセス・トークンの悪用などを含む、最近の攻撃キャンペーンについて高度な標的型の性質があると説明している。GitHub の Mike Hanley は、「この行動パターンは、攻撃者がプライベート・リポジトリのリストアップとダウンロードのために、選択したターゲットのアカウントを特定するために、対象となる組織をリストアップしていたことが示唆される」と述べている。
Continue reading “GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという”
IoT OT Security News 
You must be logged in to post a comment.