Social Network – IoT OT Security News

企業が SNS を使うとき：そこに隠された７つのリスクとは？

7 Hidden Social Media Cyber Risks for Enterprises

2022/10/27 DarkReading — ブランドを持つ企業はソーシャルメディアを好み、ビジネスの拡大／新入社員の採用／新製品の宣伝／消費者への直販などに活用している。最近の統計によると、ソーシャルメディア上のブランド広告は、昨年には 53% 増という成長を示し、それぞれのブランドは、コンテンツの開発と配布に投資し続けている。また、コンテンツとしては、バイラルビデオ／興味深いミーム／ポッドキャスト／ドキュメントなどがあり、顧客とのエンゲージメントを高めている。

LinkedIn の新しいセキュリティ機能：偽プロフィールをチェックして詐欺を防ぐ

LinkedIn’s new security features combat fake profiles, threat actors

2022/10/26 BleepingComputer — LinkedIn は３つの新機能を導入し、偽プロフィールやプラットフォーム悪用に対抗していくという。それらの新機能には、認証された勤務先のＥメール／電話番号の有無により、プロフィールの正真性を確認するなどの、新たな手法が含まれている。この数年において、同サービスは脅威アクターたちに悪用され、マルウェアの配布／サイバースパイ活動／認証情報の窃盗／金融詐欺などの温床となっていた。

TikTok に £27m の罰金：英国規制当局が 13歳未満ユーザーのプライバシー保護で提訴

TikTok Facing £27m UK Regulatory Fine

2022/09/27 InfoSecurity — 英国のプライバシー規制当局は、同国のデータ保護法違反に基づき、TikTok に対して £27m の罰金を科す意向を明らかにした。それを受けて、ICO (Information Commissioner’s Office) は、中国の SNS 大手である TikTok に対して、2018年〜2020年の間に法令違反が行われたと説明する通知を発行した。

Facebook Page オーナーを狙うフィッシング・メール：その特徴を確認しておこう

Phishers take aim at Facebook page owners

2022/09/14 HelpNetSecurity — フィッシング詐欺師たちは、Facebook／Instagram／WhatsApp／Meta を装う偽の通知で、Facebook ページのオーナーを騙し、機密情報を引き渡させようとしている。Meta Ads Manager でリード・ジェネレーション・フォームを作成し、そのリンクをフィッシング・メールに記載するというものであり、非常に巧妙な方法で情報を収集している。

Facebook の Meta Pixel：ミスコンフィグレーションで 130万人分の医療データが流出

Misconfigured Meta Pixel exposed healthcare data of 1.3M patients

2022/08/22 BleepingComputer — 米国の医療機関である Novant Health は、Meta Pixel 広告トラッキング・スクリプト Meta Pixel により誤って機密情報を収集してしまった、136万2296人に影響をおよぼすデータ侵害を公表した。Meta Pixel (旧 Facebook Pixel) とは、Facebook の広告主が広告のパフォーマンスを追跡するためにサイトに追加する、JavaScript 追跡スクリプトのことである。

OSINT について考える：企業のセキュリティ保護に適用する理由と方法とは？

How and Why to Apply OSINT to Protect the Enterprise

2022/08/15 DarkReading — あなたは、Strava のような、フィットネスに特化した SNS のファンだろうか？あなただけではなく、軍人でさえも、ランニングの記録／共有を楽しんでいる。しかし、Strava が収集／公開する、彼らのすべての活動量と GPS データは、軍事基地の正確な位置を晒してしまう。現在、インターネット上で公開されている情報の種類を見ると、驚くかもしれない。しかし、私たちが過剰な共有の時代に生きていることを考えれば、驚くことではない。Twitter や自動返信のメールで、休暇の計画を公開している私たちは、実質的に強盗を招いているようなものだ。

Facebook が摘発した南アジアのサイバー・ギャングたち：騙しのテクニックを分析

Meta Cracks Down on Cyber Espionage Operations in South Asia Abusing Facebook

2022/08/08 TheHackerNews — Facebook の親会社である Meta は、同社の SNS を利用してマルウェアを配布していた、南アジアにおける２つのスパイ活動への対策を講じたことを発表した。１つ目のアクティビティは、ニュージーランド／インド／パキスタン／イギリスの個人を標的とした、ハッキング・グループ Bitter APT (別名 APT-C-08／T-APT-17) により実施されたものだ。Meta は、この活動について、十分な持続性とリソースを持つと表現している。

Twitter のゼロデイ脆弱性：540 万件のアカウント情報流出に悪用される

Twitter confirms zero-day used to expose data of 5.4 million accounts

2022/08/05 BleepingComputer — Twitter は、最近発生したデータ流出の原因が、現在は修正済みのゼロデイ脆弱性にあったこと、そして、メールアドレス／電話番号をユーザーのアカウントにリンクさせるために悪用されていたことを発表した。BleepingComputer が７月に行った、ある脅威アクターたちへのインタビューで、この脆弱性を悪用に成功した彼らは、 540万人のユーザーアカウントのリストを作成していたことが判明した。

Meta (FB) と米病院が提訴された：ターゲティング広告のために医療データを収集／使用？

Meta, US hospitals sued for using healthcare data to target ads

2022/07/30 BleepingComputer — ターゲット広告のために、患者の機密医療データを違法に収集しているとして、Meta (Facebook) ／UCSF Medical Center／Dignity Health Medical Foundation に対し、カリフォルニア州北部地区で集団訴訟が起こされている。このトラッキングとデータ収集は、患者が自身の病状／担当医師／処方された薬などに関する、非常に機密性の高い情報を管理する、医療ポータルで行われているとされる。

Facebook ページ担当者に迫る乗っ取りの脅威：LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

米FCC 対 TikTok：Apple／Google のアプリストアからの追放を要求

U.S. FCC Commissioner Asks Apple and Google to Remove TikTok from App Stores

2022/06/30 TheHackerNews — 米国連邦通信委員会 (FCC) の委員の一人が Apple と Google に対して、人気の動画共有プラットフォーム TikTok について、「その密かなデータ処理のパターン」を理由にアプリ・ストアから追放するよう求め始めている。FCC のメンバーであり、共和党員でもある Brendan Carr は、Apple と Google の最高経営責任者への書簡で、「TikTok の機密データと、北京による広範囲なデータ採取とが組み合わさることで、容認できないレベルの国家安全保障リスクがもたらされる」と述べている。

Facebook ビジネスページでデータ収穫：インタラクティブで本物に見えるフィッシングの新常識とは？

Facebook Business Pages Targeted via Chatbot in Data-Harvesting Campaign

2022/06/29 DarkReading — Facebook のアカウント情報／電話番号の窃取を目的とした、ソーシャル・エンジニアリング攻撃が、Facebook Messenger チャットボット機能を組み込んだ巧妙な手段で、ビジネス・ページを標的にしている。Trustwave SpiderLabs の Senior Security Research Manager である Karl Sigler は、「この攻撃は、そのインタラクティブ性で注目されており、ソーシャル・エンジニアリングのフィッシング攻撃が、いかに複雑になっているかを示している」と、Dark Reading に対して語っている。

米 FTC が Twitter に $150M の罰金：2FA のための情報をターゲティング広告に使っていた

FTC fines Twitter $150M for using 2FA info for targeted advertising

2022/05/25 BleepingComputer — 米連邦取引委員会 (FTC) は、二要素認証を運用するために収集した電話番号や電子メールアドレスを、Twitter がターゲット広告に使用したとして、$150 million の罰金を科した。裁判資料 [PDF] によると、2013年から Twitter は 1億4千万人以上のユーザーに対して、そのアカウントを保護するための情報を求めたが、そのデータがターゲット広告にも使われることを伝えていなかった。

韓国の Naver が狙われている：大規模なフィッシングを仕掛けるのは TrickBot か？

Massive phishing campaign uses 500+ domains to steal credentials

2022/03/15 BleepingComputer — Google ライクな、韓国のオンラインプ・ラットフォーム Naver の認証情報を盗むために、数百のドメインを用いる大規模なフィッシング活動は、TrickBot ボットネットに関連するインフラとの重複を示している。この攻撃に使用されたリソースは、さまざまな攻撃に使用するためにログイン・データを収集する、サイバー犯罪者の取り組みの規模が大きいことを示している。Google と同様に、Naver は Web 検索から、電子メールや、ニュース、オンライン Q&A である Naver Knowledge iN に至るまで、多様なサービスを提供している。

Twitter が立ち上げた Tor Web サイトでロシア政府の検閲をバイパス！

Twitter launches Tor website to tackle Russian censorship

2022/03/08 BleepingComputer — Twitter が Tor ネットワーク上でアクセス可能になり、禁止されている国々のユーザーも引き続き、このソーシャル・ネットワーク・サイトにアクセスできるようになった。この新しい Onion URL は、セキュリティ・エンジニアである Alec Muffett が本日に発表したものであり、Twitter が Tor ブラウザを介して世界中からアクセスできるようになったと表明している。

ロシア政府による Facebook と Twitter のブロック：これもハイブリッド戦？

Russia blocks access to Facebook, Twitter, foreign news outlets

2022/03/04 BleepingComputer — Facebook の親会社である Meta が、RIA Novosti／Sputnik／Russia Today などのクレムリン系のメディア／通信社のアカウントを無効化／アクセス制限したことで、ロシア政府は Facebook へのアクセスをブロックした。この記事の掲載後に、ロシアのインターネット監視機関である Roskomnadzor が Interfax に伝えたところによると、ロシアは 2月24日に検察庁の要求を受けて、Twitter へのアクセスもブロックしたとのことだ。2月26日に Twitter は、「ロシアの一部の人々に対して、制限されている。サービスの安全性とアクセスを維持するために努力している」と述べている。

インドの Modi 政権とソーシャル・メディアの関係が冷え始めてきた

India’s Modi once relied on Facebook and Twitter. Now, is he ‘going the China way’?

2021/06/03 SCMP — インドの Narendra Mod 首相は、Twitter と Facebook をあわせて 1億1,400万人のファンを獲得しており、世界で最も支持されている政治家の一人となっている。そして、これらのプラットフォームを利用して、政策の最新情報から外国のリーダーとの自撮り写真まで、あらゆる情報を発信している。