RSAC: Three Strategies to Boost Open-Source Security
2024/05/08 InfoSecurity — OSS におけるセキュリティ強化は、この種のコミュニティが非公式かつユビキタスであるため、政府にとって重要な課題となっている。ソフトウェア全般にわたって Security-by-Design を推進し、脆弱性の悪用やサプライチェーン・インシデントを減らすという米国政府の取り組みにおいて、OSS は極めて重要な要素になっている。RSA Conference 2024 が、政府関係者と OSS の関係者たちが、このユニークなエコシステムで Security-by-Design の原則を推進する方法について、議論する機会を提供した。
Continue reading “OSS セキュリティを加速:レギュレーション整備/Security-by-Design/AI の活用 – RSA Con”Experts Uncover Passive Method to Extract Private RSA Keys from SSH Connections
2023/11/27 TheHackerNews — ネットワークを介したパッシブ攻撃において、接続の確立中に自然に発生する計算障害を悪用することで、脆弱な SSH サーバから RSA ホスト・キーの入手が可能になることが、新しい研究により実証された。Secure Shell (SSH) プロトコルは、安全でないネットワーク上で安全にコマンドを送信し、コンピュータにログインするための方法である。SSH は、クライアント・サーバー・アーキテクチャーに基づいて、暗号を使用してデバイス間の接続を認証/暗号化するものだ。
Continue reading “SSH 接続から RSA 秘密鍵を抽出:研究者たちが実証した方法とは?”CVE-2023-48238: A Critical Vulnerability in json-web-token for Node.js
2023/11/18 SecurityOnline — JSON Web Tokens (JWT) は、サイバー・セキュリティの領域において、安全な通信およびデータ交換のための不可欠なツールとなっている。しかし、このような広範に使われている技術にさえも、脆弱性が潜んでいる可能性がある。Node.js 用の人気の json-web-token ライブラリで、最近になって判明した問題が、この現実を浮き彫りにしている。
Continue reading “Node.js の脆弱性 CVE-2023-48238:トークン・アルゴリズム撹乱に繋がる可能性”SSH Security Breach: Researchers Discover Vulnerability in Crypto Keys
2023/11/16 SecurityOnline — カリフォルニア大学サンディエゴ校とマサチューセッツ工科大学の研究者チームが、SSH 接続のデータ保護に用いられる暗号キーに存在する、深刻なセキュリティ脆弱性を発見した。この脆弱性は、接続確立プロセスにおける計算エラー時に顕在化し、RSA アルゴリズムを採用するキーに影響を及ぼす。この問題は、検査された署名 32億件のうちの 30% 以上に影響を及ぼすのであり、100万件に1件の割合で、ホスト上の秘密キーが暴露される可能性があるという。
Continue reading “SSH に存在する深刻な脆弱性:計算エラーにより RSA アルゴリズム・キーに影響”Linux version of Akira ransomware targets VMware ESXi servers
2023/06/28 BleepingComputer — Akira ランサムウェアは、Linux 暗号化ツールを使用して VMware ESXi 仮想マシンを暗号化することで、世界中の企業に対して二重の恐喝攻撃を仕掛けている。このランサムウェアは、2023年3月に登場して以来 、教育/金融/不動産/製造/コンサルティングなどの、さまざまな業界の Windows システムを標的としてきた。Akira を操る脅威アクターは、企業を標的とした他のランサムウェア・ギャングと同様に、侵害したネットワークからデータを盗み、ファイルを暗号化して、被害者に二重の恐喝を行い、数百万ドルもの支払いを要求する。
Continue reading “Akira ランサムウェアの Linux 版が登場:VMware ESXi サーバが標的に”GitHub’s Private RSA SSH Key Mistakenly Exposed in Public Repository
2023/03/25 DarkReading — 暗号化方式の RSA SSH ホスト鍵の機密部分が、未知の脅威アクターにより公開されたことで、GitHub は SSH キーを交換した。GitHub のオープン・リポジトリで、脅威アクターがシークレット・キーを公開したと思い込み、飛びつく人もいるかもしれないが、これはヒューマン・エラーによって発生したものだった。SSH キーには、パブリック・キーとシークレット・キーがあり、パブリック・キーは共有/公開できるが、シークレット・キーは秘密にしておくことが不可欠なのだ。誰が公開したのか、どこで公開されたのかという点について、GitHub は情報を公表していないが、管理者はブログで状況を説明している。
Continue reading “GitHub の RSA SSH シークレット・キー:パブリック・リポジトリに誤って公開される”OpenSSL Releases Patch for High-Severity Bug that Could Lead to RCE Attacks
2022/07/06 TheHackerNews — OpenSSL プロジェクトのメンテナたちは、特定のシナリオでリモートコード実行につながる可能性のある、暗号ライブラリに存在する極めて深刻なバグに対処するパッチを公開した。この脆弱性には、識別子 CVE-2022-2274 が割り当てられており、2022年6月21日にリリースされた OpenSSL Ver 3.0.4 で取り込まれてしまった、RSA 秘密鍵操作によるヒープメモリ破壊に起因すると説明されている。
Continue reading “OpenSSL の深刻な 脆弱性 CVE-2022-2274 が FIX:RCE にいたる恐れがある”APWG: Phishing maintained near-record levels in the first quarter of 2021
2021/06/13 SecurityAffairs — Anti-Phishing Working Group (APWG) が、2021年 Q1 の状況を示す新たな Phishing Activity Trends Report を発表した。このレポートよると、2021年 Q1 フィッシングは記録的なレベルを維持しており、フィッシング Web サイトの数は、2021年1月に 245,771件というピークを記録した。2月には、わずかに減少したことが確認されたが、3月には再び 20万件を超え、APWG 史上4番目の悪い月となった。
Continue reading “APWG:フィッシング活動は継続して増加し 2021年 Q1 はワースト記録”
IoT OT Security News 