NVD Revamps Operations as Vulnerability Reporting Surges
2025/04/11 InfoSecurity — 内部の混乱と脆弱性のバックログの増加に揺れた激動の1年を経て、米国 NIST (National Institute of Standards and Technology) 内の NVD (National Vulnerability Database) チームはようやく安定を取り戻した。しかし、いまの NVD は、新たな課題に直面している。つまり、報告される脆弱性の急増により膨れ上がったバックログが、再建されたチームの努力を上回る勢いを見せているのだ。
Continue reading “NIST NVD が運用体制を刷新:CVE バックログの解消に向けた改革とは?”Hundreds of organizations were notified of potential Salt Typhoon compromise
2024/12/23 NextGov — 米国のサイバーセキュリティ当局は、中国が支援する大規模なサイバー侵入の発見と緩和に取り組み、同国内の通信インフラに押し寄せる困難な時期に備えている。ハッキング集である Salt Typhoon は、大手テレコムである Verizon/AT&T/Lumen/T-Mobile などを罠にかけ、数十人の重要政治家を標的にしているが、その中には、ドナルド・トランプ次期大統領とつながる人物も含まれているという。
Continue reading “Salt Typhoon による侵害:テレコムを含む数百の組織に広がる被害とは?”CISA Director Jen Easterly to Step Down
2024/11/19 SecurityWeek — 11月19日 (火) に米国の CISA が発表したのは、2025年1月20日付けで Jen Easterly 長官と Nitin Natarajan 副長官が退任し、新政権によるリーダーシップ刷新への道を開くことである。CISA の広報担当者は、「トランプ新大統領が 1月20日正午に就任までに、バイデン・ハリス政権が任命した、すべての幹部は退任し、新たな体制への移行に、CISA は全力で取り組んでいく」と、SecurityWeek に対して、
Continue reading “CISA 長官 Jen Easterly の退任:トランプ新政権による人事の刷新”Trump 2.0 May Mean Fewer Cybersecurity Regs, Shift in Threats
2024/11/15 DarkReading — 次期大統領ドナルド・トランプの復帰と、閉鎖的な外交政策への転換という約束により、一連のサイバー脅威に対する新たな方針が生み出され、大半の産業分野における規制の緩和や、企業に優しい連邦プライバシー法の制定につながる可能性が高いと、サイバー・セキュリティと法律の専門家たちは指摘する。
Continue reading “トランプ 2.0:米政府のサイバー・セキュリティ施策の変化を予想する”Open-source software: A first attempt at organization after CRA
2024/11/05 HelpNetSecurity — オープンソース・ソフトウェア (OSS) 業界が開発しているのは、グローバル・インフラスのコアとなるソフトウェアであり、プロプライエタリ・ソフトウェアの大手企業の一部でさえ、クラウド・サービスに Linux サーバを採用しているほどである。しかし、Cyber Resilience Act により提起されたヨーロッパにおける問題などに対して、有機的な対応ができる代表団体の設立/組織化などは、これまでに一度も試みられていない。
Continue reading “オープンソース・ソフトウェアの行方:Cyber Resilience Act 発行後の組織化に注目”Dutch Police Disrupt Major Info Stealers RedLine and MetaStealer in Operation Magnus
2024/10/29 TheHackerNews —オランダ国家警察が発表したのは、2つの情報窃取ツールである RedLine/ MetaStealer を動かすインフラを、各国のパートナーと共にテイクダウンしたことだ。2024年10月28日に行われた、このテイクダウンは、コードネーム Operation Magnus の成果であり、国際的な法執行機関のタスクフォースに、米国/英国/ベルギー/ポルトガル/オーストラリアの当局が参加した結果でもある。
Continue reading “情報窃取マルウェア RedLine/MetaStealer:国際協調 Operation Magnus がテイクダウン”AWS Seizes Domains Used by Russia’s APT29
2024/10/25 SecurityWeek — 10月24日に Amazon Web Services (AWS) が発表したのは、ロシアの脅威グループである APT29 が、フィッシング攻撃に用いたドメインの凍結に関する情報である。同社によると、APT29 が使用していたドメインの一部は、AWS のドメインであるかのような名称であったという。しかし、その攻撃の標的は、Amazon や顧客ではなく政府機関/軍事組織/企業であり、Microsoft Remote Desktop を介した Windows 認証情報の収集が目的だった。
Continue reading “AWS がロシアの APT29 ドメインを凍結:政府/軍事などにフィッシング攻撃”Automattic blocks WP Engine’s access to WordPress resources
2024/09/26 BleepingComputer — WordPress.org は、WP Engine によるリソースへのアクセスを禁止し、このプラットフォームがホストする Web サイトへのプラグイン更新の配信を停止し、その影響を受けるユーザーに対して、他のホスティング・プロバイダーを選択するよう促している。WordPress の主張は、WP Engine が自社の利益のために WordPress のコア機能を変更しているというものだ。さらに、その行動に対する批判がユーザーに届かないようにするために、何千ものサイトでダッシュボードのニュース・ウィジェットをブロックしたことへの対応だと述べている。
Continue reading “WordPress と WP Engine の対立:セキュリティの問題へと拡大している”House lawmakers question CrowdStrike exec over July IT outage
2024/09/24 NextGov — 9月24日 (火) に下院議員たちが CrowdStrike の幹部に対して、この7月に発生した大規模な世界規模の IT 障害について、また、顧客の OS コアと同社のサイバー・セキュリティ・ソリューションを結びつける必要性の有無について質問した。Homeland Security Committee のサイバー・セキュリティ小委員会で、この夏に約 850万台の Windows マシンに障害をもたらした、同社の欠陥のあるアップデートの導入を精査するという注目の公聴会で証言したのは、CrowdStrike の敵対者対策担当 VP の Adam Meyers である。
Continue reading “CrowdStrike に対する米下院の公聴会:何が起こったのか? これから どうするのか?”Tor Project responded to claims that law enforcement can de-anonymize Tor users
2024/09/20 SecurityAffairs — ドイツの法執行機関が主張する、ユーザーの匿名性を剥奪する手法の考案に対して、Tor プロジェクトのメンテナたちが反応している。ドイツのメディアによると、同国の法執行機関は匿名化ネットワークに侵入し、少なくとも1件のケースで犯罪者の正体を暴いたという。このドイツの法執行機関は、独自のサーバを運用することで、数ヶ月にわたり Tor ネットワークを監視してきた。ARD のPanorama と STRG_F が実施した調査では、監視中に収集されたデータは統計的手法を介して処理され、Tor の匿名性を事実上破っていることが明らかになった。
Continue reading “Tor Project がピンチ? ドイツの法執行機関が主張する匿名性剥奪の手法とは?”Post-CrowdStrike Fallout: Microsoft Redesigning EDR Vendor Access to Windows Kernel
2024/09/13 SecurityWeek — Microsoft が発表した計画は、CrowdStrike のアップデートの不具合により、7月に発生した世界的な IT 障害に対応するものであり、Windows カーネルとマルウェア対策製品との連携方法を再設計するものである。現時点においては、この再設計に関する技術的な詳細は公表されていない。しかし Microsoft は、セキュリティ・ベンダーが “outside of kernel mode” を活用するための、新たなプラットフォームとしての機能を Windows 11 に搭載し、ソフトウェアの信頼性を確保する予定だとしている。
Continue reading “CrowdStrike 障害の余波:Windows カーネル連携方法の再設計を Microsoft が発表”CrowdStrike exec to testify in September on last month’s global IT outage
2024/08/30 NextGov — 2024年7月に発生し、約850万台のWindowsコンピュータを麻痺させた、世界的な CrowdStrike の IT 障害について証言するために、同社の Counter Adversary Operations SVP である Adam Meyers が、この 9月に開催される米下院の委員会に出席する予定とのことだ。8月30日付けの下院国土安全保障委員会の発表によると、Meyers は 9月24日に証言するという。
Continue reading “CrowdStrike 障害:9月に開催される米下院の委員会で幹部が証言”The Dutch Data Protection Authority (DPA) has fined Uber a record €290M
2024/08/27 SecurityAffairs — オランダの Data Protection Authority (DPA) は、欧州のタクシー運転手の個人データを米国に転送する際に、EU のデータ保護規則 GPDR を遵守しなかったとして、Uberに €290 million ($324 million) の罰金を科した。同機関が発表したプレス・リリースには、「オランダの DPA は Uber に対して、€290 million を科す。我々が発見したのは、Uber が欧州のタクシー運転手の個人データを米国に転送し、これらの転送に関してデータを適切に保護しなかったことである。それは、一般データ保護規則 (GDPR) の重大な違反に該当する。すれに Uber は、違反の状況を収束させている」と記されている。
Continue reading “Uber の GDPR 違反に対して €290M の罰金:オランダの当局に対して控訴の構え”Microsoft Convenes Endpoint Security Firms Following CrowdStrike Incident
2024/08/27 SecurityWeek — Microsoft が発表したのは、2024年9月10日にワシントン州レッドモンドの本社で、Windows Endpoint Security Ecosystem Summit を開催することだ。先月に発生した CrowdStrike のインシデントを受けるかたちで、同サミットにはエンドポイント・セキュリティ企業や政府関係者が招待され、セキュリティと回復力の向上に関する議論が行われるという。
Continue reading “Microsoft が CrowdStrike 障害を受けてサミットを開催:エンドポイント・セキュリティ企業が参加”National Public Data Confirms Massive Breach
2024/08/19 DarkReading — データ・アグリゲーターである National Public Data (NPD) は、米国/英国/カナダに所在する一般的なインターネット・ユーザー数億人分の、個人情報記録が流出した可能性があることを最終的に認めた。フロリダ州コーラル・スプリングスを拠点とする NPD は、詳細を全く明らかにしない声明の中で、2024年4月に悪質な第三者の行為者が、NPD のデータベース内のデータにアクセスしたことについて、他の多くの企業が報告している内容を認めた。同社の説明によると、不特定多数の人々のフルネーム/電子メールアドレス/電話番号/社会保障番号/住所などが含まれるデータが、脅威アクターによりアクセスされたという。
Continue reading “National Public Data が認めた情報漏洩:そこから考えるべきこと 実践すべきこと”CrowdStrike’s Legal Pressures Mount, Could Blaze Path to Liability
2024/08/09 DarkReading — CrowdStrike のアップデートの失敗により、さまざまなビジネスが妨げられ、人々の旅行の計画が混乱し、フランスとイギリスでは放送局がオフラインになった。したがって、このインシデントには、ソフトウェアの責任という、別の目的地へとつながる可能性もある。
Continue reading “CrowdStrike への法的圧力の高まり:賠償責任への道が開かれる可能性は?”SEC ends probe into MOVEit attacks impacting 95 million people
2024/08/07 BleepingComputer — 米証券取引委員会 (SEC:Securities and Exchange Commission) は、MOVEit Transfer のゼロデイ欠陥が広範囲に悪用され、9,500万人以上のデータが流出した件の、Progress Software の対応に関する調査を終了した。Progress Software は、8月6日に SEC に提出した FORM 8-K の中で、このインシデントに関して SEC の執行部門は、いかなる強制措置も求めていないと述べている。
Continue reading “9500 万人に影響を与えたMOVEit Transfer ゼロデイ攻撃:SEC による調査が完了”Microsoft Hits Back at Delta After the Airline Said Last Month’s Tech Outage Cost It $500 Million
2024/08/06 SecurityWeek — Microsoft と CrowdStrike は共に、先月の技術障害で数千便の欠航を招いたと主張する、デルタ航空に対して応戦している。Microsoft の弁護士は、デルタ航空の主要な IT システムは、Microsoft Windows ではなく、他のテクノロジー企業がサービスを提供しているのだろうと述べている。
Continue reading “CrowdStrike 障害で $500M の損害を主張するデルタ航空:Microsoft が反撃”CrowdStrike Releases Root Cause Analysis of Falcon Sensor BSOD Crash
2024/08/06 SecurityWeek — 窮地に立たされている CrowdStrike が、8月6日に発表したのは、この7月に世界中の Windows システムを麻痺させたソフトウェア・アップデートのクラッシュに関する、原因分析レポート (External Technical Root Cause Analysis) である。そこで同社は、このインシデントの原因は、セキュリティの脆弱性とプロセスのギャップが重なったことだと説明している。
Continue reading “CrowdStrike 障害:Falcon の BSOD クラッシュ分析のレポートが公開”Crowdstrike: Delta Air Lines refused free help to resolve IT outage
2024/08/05 BleepingComputer — デルタ航空と CrowdStrike の法廷闘争が過熱している。CrowdStrike は、デルタ航空の長時間の IT 機能停止の原因は、災害復旧対策の不備にあると述べている。CrowdStrike の具体的な主張は、Windows デバイスを復旧させるための無償のオンサイト支援を、デルタ航空は拒否したというものだ。
Continue reading “Crowdstrike 障害:デルタ航空は障害解決のための無償支援を拒否していた?”Hackers attempt to sell the personal data of 3 billion people resulting from an April data breach
2024/08/04 SecurityAffairs — National Public Data と連携して活動する Jerico Pictures Inc が、2024年4月に発生したデータ流出インシデントにおいて、約 30億人の個人情報を流出させたと訴える、集団訴訟案が提出された。4月8日のことだが、USDoD と名乗る脅威アクターが、ダークウェブ・フォーラムで National Public Data のデータベースを販売すると発表した。USDoD は29億人分の個人データを販売するとし、$3,500,000 という価格を設定した。
Continue reading “National Public Data のデータ侵害:30億人の個人情報の流出と集団訴訟”CrowdStrike Faces Lawsuits From Customers, Investors
2024/07/31 SecurityWeek — CrowdStrike (NASDAQ: CRWD)は、大規模な世界的障害を引き起こしたインシデントの後に、投資家や顧客からの訴訟に直面しているが、同社は法的措置から免れる可能性が高いとの見方もある。CrowdStrike が十分なテストを行わずに、不適切なアップデートをプッシュしたことで、7月19日の時点で世界中の 850万台の Windowsデバイスが BSOD (Blue Screen of Death) のループに入った。
Continue reading “CrowdStrike を 巡る訴訟: Microsoft も巻き込む Delta や投資家たちの動きは?”Verizon to pay $16 million in TracFone data breach settlement
2024/07/23 BleepingComputer — Verizon Communications は、完全子会社である TracFone Wireless が 2021年の買収後に被った3件のデータ漏洩に対して、$1.6M の和解金を支払うことで、米連邦通信委員会 (FCC:Federal Communications Commission) と合意した。電気通信サービス・プロバイダーである TracFone は、Total by Verizon Wireless/Straight Talk/Walmart Family Mobile などを介してサービスを提供する企業である。
Continue reading “Verizon が $1.6 Million の和解金に合意:TracFone のデータ流出問題”$115 Million Payout: Oracle Ends User Data Privacy Battle
2024/07/23 SecurityOnline — Oracle は、ユーザーデータの不適切な使用に関する、2年間にわたる集団訴訟と和解するために、$115M を支払うことに合意した。この和解案により、影響を受けた 2億2,000万人のユーザーに対して補償が提供される。
Continue reading “Oracle が $115M の支払いに合意:データ・プライバシーの争いに終止符”CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities
2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。
Continue reading “CISA が要請する OS コマンド・インジェクション脆弱性の排除とは? – Security by Design”Microsoft Admits Security Failings Allowed China to Access US Government Emails
2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。
Continue reading “Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言”Google’s Privacy Sandbox Accused of User Tracking by Austrian Non-Profit
2024/06/14 TheHackerNews — Google Chrome の Privacy Sandbox において、サードパーティのトラッキング・クッキーを非推奨にする計画だが、新たな問題にぶつかっている。この機能は、依然としてユーザー追跡のために使用できると、オーストリアのプライバシー非営利団体 noyb (none of your business) が指摘しているのだ。
Continue reading “Google の Privacy Sandbox:欧州の非営利団体 noyb から痛烈に批判される”2023/08/18 SecurityAffairs — ハッカー・グループである Anonymous は、#OpFukushima と呼ばれるオペレーションの一環として、日本の原発関連団体に対するサイバー攻撃を開始した。このキャンペーンは、福島原発の処理水を海に放出するという、日本政府の計画に抗議するために開始された。NTT Security Japan によると、IAEA (International Atomic Energy Agency) が報告書を公表した直後の 2023年7月から、攻撃が増加しているという。IAEA は、この処理水の放出は世界的な安全基準に適合していると、報告書で述べている。また、Anonymous は、東京電力の福島第一原子力発電所から処理水を放出することを、2021年に日本政府が正式に決定した後に、”ターゲット・リスト” を公開していたことも、NTT Security Japan は明らかにした。
Continue reading “Anonymous による #OpFukushima オペレーション:福島原発の汚染水放出の計画に抗議”Browser developers push back on Google’s “web DRM” WEI API
2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi/Brave/Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。
Continue reading “Google が提案する WEI API:大反対する Vivaldi/Brave/Firefox などの言い分は?”New CVSS Version Unveiled Amid Rising Cyber Threats
2023/07/13 InfoSecurity — CVSS (Common Vulnerability Scoring System) の新バージョンである CVSS 4.0 が、Forum of Incident Response and Security Teams (FIRST) により 2023年7月13日に公開された。CVSSは、コンピュータ・システムのセキュリティ脆弱性の深刻度を評価するためのオープンな業界標準であり、組織における脆弱性管理プロセスの優先順位付けを支援するものだ。CVSS は、脆弱性の主要な特徴を捉え、その深刻度を示す数値スコアを作成する方法を提供している。
Continue reading “CVSS Version 4.0 が公開:CVSS 3.1 に対する批判への対処が目的”EU Court Deals Blow to Meta in German Data Case
2023/07/05 SecurityWeek — 7月4日 (火) に、EU の最高裁判所が Meta に対して不利な判決を下したことを受け、その子会社である Facebook/Instagram/WhatsApp は、ヨーロッパにおけるユーザー・データ収集方法の見直しを迫られるかもしれない。欧州司法裁判所 ECJ (European Court of Justice) は、ドイツの反カルテル監視団を支持する判決を下した。この反カルテル監視団は、反トラスト法を検討する際に、データ・プライバシー問題を取り込めると主張していた。この裁判の重要な争点のひとつは、Meta のプラットフォーム間に、データをリンクさせる能力があることだった。
Continue reading “Facebook/Instagram/WhatsApp に大きな打撃:データ収集に関して EU の最高裁判所が厳しい判決”Google Analytics data transfer to U.S. brings $1 million fine to Swedish firms
2023/07/04 BleepingComputer — スウェーデンの個人情報保護局 (IMY:Integritetsskyddsmyndigheten) は、Google Analytics を使用した国内の2社に対して、12.3 million SEK (€1 million/$1.1 million) の罰金を科し、他の2社の同様の行為について警告を行った。同機関は、7月3日に発表された通知の中で、Web 統計を作成するために Google Analytics を使用していた、それらの企業が欧州連合の一般データ保護規則 (GDPR) に違反していたとしている。
Continue reading “Google Analytics の利用は GDPR 違反:スウェーデン企業に $1M の罰金”Japan in the Crosshairs of Many State-Sponsored Threat Actors New Report Finds
2023/06/29 InfoSecurity — Rapid7 の最新レポートによると、日本は数多くのサイバー脅威にさらされ、スパイ活動や金銭的な動機によるキャンペーンなどの標的になっているという。Rapid7 は、2023年6月28日に発表したレポート ”Japan and Its Global Business Footprint: The Cyberthreat Landscape Report” で、典型的な国家的脅威の発生源である3カ国 (中国/北朝鮮/ロシア) から、この東アジアの国が標的にされていることを明らかにした。また、2022年上半期におけるランサムウェア攻撃の 32.5%が、製造業に対するものであることも判明した。これに対して、同期間中にヘルスケア業界から報告されたものは、わずか 7.9%だった。
Continue reading “日本の官民における脆弱なサイバー・セキュリティ:数多くの APT に狙われている – Rapid7”EncroChat Bust Leads to 6,558 Criminals’ Arrests and €900 Million Seizure
2023/06/27 TheHackerNews — 2020年7月の EncroChat 摘発により、全世界で 6,558人が逮捕され、€900 million 相当の不正な犯罪収益が押収されたと、6月24日に Europol (欧州刑事警察機構) が発表した。2020年の摘発をフォローするかたちで実施された、フランスとオランダの当局による共同捜査により、この暗号化されたメッセージング・プラットフォーム上で交わされた、6万人以上のユーザーの 1億1500万件以上の会話が傍受/分析されたと、Europol は述べている。
Continue reading “Europol 対 EncroChat:2020年の摘発により 6,558人の逮捕と €900M の押収へと至る”CISA: LockBit ransomware extorted $91 million in 1,700 U.S. attacks
2023/06/14 BleepingComputer — CISA が発表した共同アドバイザリには、2020年以降の米国組織に対する約 1,700件の攻撃において、LockBit ランサムウェア・ギャングが、約 $91M の恐喝に成功していると記されている。RaaS (Ransomware-as-a-Service) オペレーションである LockBit は、2022年におけるランサムウェアの脅威をリードし、そのデータ漏洩サイトで開示した犠牲者の数は最多であったと、米国/英国/オーストラリア/カナダ/ドイツ/フランス/ニュージーランドなどの、それぞれの当局が述べている。
Continue reading “LockBit の被害総額が $91M に達した:CISA/FBI/MS-ISAC などが共同勧告”How to Improve Your API Security Posture
2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信/共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。
Continue reading “API セキュリティの強化:そのための管理体制とベストプラクティスとは?”Tesla Sued Over Workers’ Alleged Access to Car Video Imagery
2023/04/10 SecurityWeek — Tesla の車載カメラで撮影されたプライベートな画像を、同社の従業員たちが [娯楽] として使用したいたことで、Tesla 所有者が集団訴訟を呼びかけている。Reuters によると、サンフランシスコ在住の Henry Yeh は、Tesla の車載カメラで撮影したビデオや写真に、同社の元従業員がアクセスしたとして、金曜日に連邦裁判所に訴訟を提起した。裁判所に提出された書類は主張しているのは、この元従業員が、高度な車載カメラ・システムで記録されたデータを、本人の同意なしに流通させたという点だ。
Continue reading “Tesla に対する訴訟:車載カメラによる侵入的な撮影とプライバシーの無視”GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements
2023/04/06 InfoQ — GitHub が発表した SBOM エクスポートは、セキュリティ・コンプライアンスのワークフローやツールの一部として、使用されることを意図したものである。この新機能により、NTIA に準拠した SBOM を、容易にエクスポートできるようになったと GitHub は述べている。手動または自動化されたプロセスなどの各種の方法により、ユーザーは SBOM をエクスポートできる。手動で SBOM を生成するには、リポジトリ内の依存関係グラフにアクセスし、新たに提供された Export SBOM ボタンをクリックする。それにより、SPDX 形式の、マシン・リーダブルの SBOM が作成される。
Continue reading “GitHub が SBOM エクスポートをサポート:ソフトウェア要件への対応を容易にする”FBI Seizes Genesis Cybercriminal Marketplace in ‘Operation Cookie Monster’
2023/04/06 DarkReading — 盗み出されたクッキーなどの、危険なデータを流通させるために広く利用されている、ダークウェブ・フォーラムのホームページが、米国連邦法執行機関の押収通知に置き換えられた。FBI が押収した Genesis Market は、盗み出されたクッキー/認証情報/トークンだけではなく、被害者のネットワークにイニシャル・アクセスするための、ボットなどのツールを提供する、最大かつ広範に利用されるダークウェブ・フォーラムの1つである。この出来事は、世界中でサイバー犯罪に関与している人々に、国際的な法執行機関が与えた新たな打撃である。
Continue reading “Genesis のテイクダウン:Operation Cookie Monster が老舗のダークウェブを追い詰めた”Docker’s BuildKit adds SBOM attestation capabilities: How they work — and key limitations
2023/04/04 SecurityBoulevard — 今年の初めに Docker は、BuildKit ツールにおいて、ビルド時の証明書と SBOM (Software Bills of Materials) のサポートを追加し、それぞれのイメージ内のソフトウェア・コンポーネントのビルド・プロセスを、開発チームが完全に記録する方法を提供するようになった。BuildKit とは、コンテナ・イメージを構築するための Docker のビルド・エンジンであり、従来からのスクリプト・ベースの Dockerfile ビルド・エンジンを改良したものである。Docker は、このツールにより、ビルドのパフォーマンスが向上し、Dockerfile の再利用性が高まったと主張している。
Continue reading “Docker の BuildKit で SBOM をサポート:どのように機能するのか?どんな制限があるのか?”Musk, Scientists Call for Halt to AI Race Sparked by ChatGPT
2023/03/29 SecurityWeek — いつかは人間を凌駕するかもしれない、パワフルなな人工知能技術の展開において、テック企業の動きは速すぎるのだろうか。著名なコンピューター科学者や、Elon Musk、Apple の創業者 Steve Wozniak といったテック業界の著名人たちのグループは、リスクを考慮するために、6ヶ月間の一時停止を要求している。この申立は、サンフランシスコのスタートアップ OpenAI が、先日に発表した GPT-4 に対するものだ。広く使われている AI チャットボット ChatGPT を、さらに進化させた GPT-4 は、ビッグテックである Microsoft と Google のアプリケーション開発競争に火をつけるきっかけにもなっている。
Continue reading “ChatGPT/GPT-4 を止めろ:Musk/Wozniak などの著名人グループが申し立て”US Government Warns Organizations of LockBit 3.0 Ransomware Attacks
2023/03/17 SecurityWeek — 今週に、FBI/CISA/MS-ISAC は共同で、ランサムウェア LockBit 3.0 のオペレーションに関するアラートを発表した。LockBit は2020年1月以降において、Ransomware-as-a-Service (RaaS) モデルをベースに活動し、広範囲におよぶ企業や重要インフラ事業体をターゲットに、さまざまな TTP (Tactics, Techniques, and Procedures) を用いてきた。
Continue reading “FBI/CISA/MS-ISAC の共同勧告:ランサムウェア LockBit 3.0 攻撃について”CISA Seeks Public Opinion on Cloud Application Security Guidance
2023/03/16 SecurityWeek — CISA は、クラウド・ビジネス・アプリケーションの安全性確保のためのガイダンスについて、パブリック・コメントを募集している。この、SCuBA (Secure Cloud Business Applications) Hybrid Identity Solutions Architecture と題されたドキュメントは、連邦政府機関におけるクラウドベースのソリューションと、既存のオンプレミス・インフラとの安全な統合を支援するものだ。
Continue reading “CISA の Secure Cloud Business Applications:パブリック・コメントの募集を開始”US National Cyber Strategy Pushes Regulation, Aggressive Hack-Back Operations
2023/02/27 SecurityWeek — 米国政府は、重要インフラ・ベンダーに対する強制的な規制を承認する一方で、外国の敵対者に対する積極的な Hack-Back アプローチを容認するための、サイバー・セキュリティ戦略文書を発表する予定である。ワシントンで話題になっている、この戦略文書に関する初期の報道によると、国家安全保障における公平な競争条件のために規制を利用する、35 ページに及ぶ国家サイバーセキュリティ戦略の最終詳細を、バイデン政権は熟考しているとのことだ。
Continue reading “米国の国家サイバー戦略が規制を強化:攻撃的な Hack-Back アプローチも容認”WhatsApp Hit with €5.5m fine for GDPR Violations
2023/01/20 InfoSecurity — アイルランドのデータ保護委員会 (DPC : Data Protection Commission) が WhatsApp に対して、GDPR 違反があったとして €5.5m ($5.9m) の罰金を科した。また、この罰金に加えて、WhatsApp Ireland は 6ヶ月以内に、データ処理業務をコンプライアンスに適合させるよう指示された。この WhatsApp の責任範囲に関する訴訟については、欧州のデータ保護当局の間に、大きな意見の相違があることを示すものだ。
Continue reading “WhatsApp が GDPR 違反:Meta に €5.5m の罰金を科した EU 委員会内に摩擦”Chainguard Trains Spotlight on SBOM Quality Problem
2023/01/19 SecurityWeek — ソフトウェア部品表で品質を管理しているソフトウェア・エンジニアが、驚くべき発見をした。現時点で作成されている SBOM のうち、米国政府が定義した「最小限の要素」を満たしているものは、わずか 1% に過ぎないというのだ。ソフトウェア・サプライチェーン・セキュリティの企業である Chainguard の新しいデータによると、既存のツールで生成された SBOM は、ソフトウェアの脆弱性/ライセンス/在庫の追跡を管理するために、SBOM 内で定義されている必要最小限のデータフィールドを満たしていないことが判明した。
Continue reading “SBOM の品質をチェック:米政府基準の最小限要素を満たすものは1%に過ぎない”New Backdoor Created Using Leaked CIA’s Hive Malware Discovered in the Wild
2023/01/16 TheHackerNews — 2017年11月の WikiLeaks インシデントにより、ソースコードが公開された米国中央情報局 (CIA) のマルチ・プラットフォーム型マルウェア・スイート Hive だが、その機能を借用した新たなバックドアを、正体不明の脅威アクターが展開していることが判明した。先週に公開された技術文書において、Qihoo Netlab 360 の Alex Turing と Hui Wang は、「CIA Hive 攻撃キットの亜種が、野放し状態で活動している状況を捕捉し、埋め込まれた Bot 側証明書 CN=xdr33 に基づき、xdr33 と命名した」と述べている。
Continue reading “WikiLeaks が暴露した CIA の Hive マルウェア:未知の脅威アクターが改造/悪用している”Twitter claims leaked data of 200M users not stolen from its systems
2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。
Continue reading “Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張”Meta to fight €390 million fine for breaching EU data privacy laws
2023/01/04 bleepingcomputer — アイルランドのデータ保護委員会 (DPC : Data Protection Commission) は、Facebook/Instagram のユーザーに対するターゲット広告のために、Meta が個人データ処理に同意するよう強制していたと認定し、合計で €390 million の罰金を科した。本日の決定は、EU の General Data Protection Regulation (GDPR) データプライバシー/セキュリティ法が施行された 2018年5月25日に、オーストリア/ベルギーのユーザー非営利団体 noyb が提出した苦情に端を発したものであり、Meta のデータ処理業務に関する2件の調査が終了した後に下されたものだ。
Continue reading “Facebook/Instagram に €390M の罰金:GDPR 違反という主張に Meta は反発”Google to Pay $29.5 Million to Settle Lawsuits Over User Location Tracking
2023/01/01 TheHackerNews — Google は、同社の不誠実な 位置追跡に関して、インディアナ州とワシントン D.C. から提訴された2つの訴訟で、合計 $29.5 million を支払うことに同意した。明示的な同意なしに、ユーザーの位置を追跡したとして、Google は両州から訴えられ、ワシントン D.C. に $9.5 million、インディアナ州に $20 million の支払うことが決定した。今回の和解は、2022年11月に Google が同様の申し立てについて、40州に支払うことで合意した $391.5 million に追加されるものだ。同社は、テキサス州とワシントン州で、さらに2件の位置情報追跡に関する訴訟に直面している。
Continue reading “Google の同意なき位置情報の追跡:米国で $29.5M の罰金が追加される”
IoT OT Security News 
You must be logged in to post a comment.