X to Phase Out Twitter Domain – Users Advised to Re-enroll in 2FA Keys
2025/10/28 CyberSecurityNews — ソーシャルメディア・プラットフォーム X が発表したのは、2025年11月10日までに旧 Twitter.com ドメイン上での2要素認証 (2FA) のサポートを終了するという方針である。この変更は、同プラットフォームが Twitter のルーツから脱却しつつあることを示している。Elon Musk’s 傘下の X は、ブランドとセキュリティの体制を刷新しているため、旧ドメインに紐づけられたセキュリティキーを利用しているユーザーは、自身のアカウントへのアクセスを維持するためのデバイス再登録が必要となる。
Continue reading “X.com におけるセキュリティ体制の移行:Twitter.com ドメインでの 2FA サポートを終了”Twitter (X) Hit by 2.8 Billion Profile Data Leak in Alleged Insider Job
2025/03/29 HackRead — X (旧 Twitter) から流出した約 28億7000万件分ものユーザー・データ流出が、アンダーグラウンド・フォーラムの Breach Forums にて発見された。ThinkingOne と名乗るユーザーの投稿によると、X 社における大規模な人員削減の期間中に、不満を抱いた従業員が盗み出したデータに起因するという。もし、それが事実であれば、ソーシャル・メディア史上で最大規模のデータ流出インシデントとなる。しかし、驚くべきことに、X も一般ユーザーも、この件について、まだ認識していないようだ。
Continue reading “X (Twitter) ユーザー 28億人分の個人情報が流出か? 内部犯行の可能性と沈黙する X”HAProxy Vulnerability CVE-2024-45506 Under Active Exploit: Urgent Patching Required
2024/09/08 SecurityOnline — ロード・バランシングとプロキシの機能を提供する、人気のソフトウェアである HAProxy にいおいて、脆弱性 CVE-2024-45506 (CVSS:7.5) が悪用されていることが判明した。この脆弱性は、HAProxy の HTTP/2 マルチプレクサに影響するものであり、特定の条件下において無限ループを引き起こし、システム・クラッシュやリモート・サービス拒否 (DoS) 攻撃にいたる恐れがある。この欠陥は、Enterprise/ALOHA/Kubernetes Ingress Controller などの、複数の HAProxy 製品に影響を与えるものだ。
Continue reading “HAProxy の脆弱性 CVE-2024-45506 が FIX:1件の悪用を確認”Microsoft India’s X account hijacked in Roaring Kitty crypto scam
2024/06/03 BleepingComputer — 211,000 以上のフォロワーを持つ Microsoft India の X 公式アカウントが、暗号通貨詐欺グループに乗っ取られた。ハンドルネーム “Roaring Kitty” が装われたが、それは、悪名高いミーム株トレーダーである Keith Gill が使っていたものだ。Microsoft India の X アカウントは、同プラットフォームで公式に認証された組織としてゴールド・バッジを取得しているため、乗っ取り犯の投稿に信憑性が与えられてしまっている。この脅威アクターは、Gill の最近の復活に乗じて、潜在的な被害者を誘い出し、暗号通貨ウォレット流出マルウェアに感染させている。
Continue reading “Microsoft India の X アカウント乗っ取り:暗号通貨詐欺に悪用される”Cybercriminals pose as LastPass staff to hack password vaults
2024/04/18 BleepingComputer — 暗号通貨窃盗をサポートする CryptoChameleon フィッシング・キットによりユーザーを狙うという、悪質なキャンペーンが展開されていると、LastPass が警告している。CryptoChameleon は、2024年の初めに発見された高度なフィッシング・キットであり、カスタムメイドの Okta Single Sign-On (SSO) ページを用いて、連邦通信委員会 (FCC:Federal Communications Commission) の職員をターゲットにしていた。
Continue reading “CryptoChameleon フィッシング・キット:LastPass を装うキャンペーンを展開”Here’s why Twitter sends you to a different site than what you clicked
2024/03/20 BleepingComputer — ソーシャルメディア・プラットフォーム X (旧 Twitter) のユーザーが困惑するのは、外部リンクの取り込んだポストをクリックしても、そこに表示されるものとは全く異なる、予想外の Web サイトに到達するときである。この記事で紹介する Twitter 広告は、あるセキュリティ研究者が発見したものであり、リンク先として forbes.com が表示されているが、実際に誘導されるのは暗号詐欺を宣伝するとされる、Telegram のアカウントである。
Continue reading “X (Twitter) 上で横行する悪意のリダイレクト:プレビューを信用すると騙される?”PoC Published for Critical Mastodon Vulnerability – CVE-2024-23832 (CVSS 9.8)
2024/02/16 securityonline — 急速に人気を高めている、分散型 SNS プラットフォームの Mastodon が、深刻なセキュリティ脅威に直面している。先日にパッチが適用された脆弱性 CVE-2024-23832 の詳細が暴露され、PoC エクスプロイト・コードが野放し状態で出回っているのだ。つまり、Mastodon サーバの管理者にとって急務なのは、直ちにシステムをアップデートすることである。
Continue reading “Mastodon の 脆弱性 CVE-2024-23832 が FIX:PoC からユーザーを守るために管理者が行うべきことは?”Mandiant’s X account hacked by crypto Drainer-as-a-Service gang
2024/01/10 BleepingComputer — Google 傘下のサイバー・セキュリティ企業 Mandiant によると、同社の Twitter/X アカウントが、先週に Drainer-as-a-Service (DaaS) ギャングに乗っ取られたという。同社は、「通常であれば、このようなインシデントは、2FA により軽減されるはずだった。しかし、いくつかのチームにおける変更と、X の 2FA ポリシーの変更が重なり、十分な保護が達成されていなかった。このようなことが、二度と起こらないようにするために、プロセスを変更した」と述べている。
Continue reading “Mandiant の X アカウントがハックされた: Drainer-as-a-Service により暗号資産が盗まれる”US SEC’s X account hacked to announce fake Bitcoin ETF approval
2024/01/09 BleepingComputer — 2024年1月9日に、米国証券取引委員会 SEC の X アカウントがハッキングされた。同日の午後には、ハッキングされた SEC のアカウントから、証券取引所における Bitcoin ETF の承認に関するフェイク情報が投稿された。投稿された内容は、「今日に、SEC は、Bitcoin ETF の登録証券取引所への上場を承認した。承認された Bitcoin ETF は、継続的な投資家保護を確保するため、継続的な監視とコンプライアンス措置の対象となる」というものだ。
Continue reading “米 SEC の X アカウントのハッキング :Bitcoin ETF 承認のフェイク・ニュースが投稿”X users fed up with constant stream of malicious crypto ads
2024/01/06 bleepingComputer — X の広告を悪用するサイバー犯罪者たちが、暗号ドレイナーや偽エアドロップなどの詐欺につながる Web サイトを宣伝している。X (旧 Twitter) は、他の広告プラットフォームと同様に、ユーザーのアクティビティに基づき、ユーザーの関心に一致した広告を表示させると謳っている。
Continue reading “急増する暗号通貨の詐欺広告:X 広告が悪用されている”Hacked Mandiant X Account Abused for Cryptocurrency Theft
2024/01/04 SecurityWeek — 2024年1月3日に、Mandiant の X (旧 Twitter) アカウントがハッキングされ、暗号通貨詐欺を目的とした Web サイトへと、ユーザーを誘い込むために悪用されていたことが判明した。Google Cloud の一部である Mandiant のアカウントは、”Phantom” により改名され、プロフィール画像と説明文が変更されており、正規の暗号通貨ウォレットである Phantom Wallet と関連があるかのように改ざんされていた。
Continue reading “Mandiant の X (旧 Twitter) アカウント乗っ取りが発生:Phantom 暗号通貨詐欺に悪用”OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers
2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。
Continue reading “OAuth の深刻な脆弱性が FIX:Expo Framework を介したアカウント乗っ取りの可能性”Twitter Shuts Off Text-Based 2FA for Non-Subscribers
2023/02/20 SecurityWeek — Elon Musk の Twitter だが、有料の Twitter Blue サービス・サブスクリプション以外のユーザーを対象にして、TEXT/SMS 方式の2要素認証 (2FA) 停止を突然決定し、この週末に騒動を引き起こした。2023年2月17日 (金) の遅くに Twitter は、「電話番号ベースの 2FA は、歴史的に人気のある 2FA 形式だが、残念なことに、悪意ある者により悪用される状況を目の当たりにしてきた。そこで本日から、Twitter Blue をサブスクリプションしていないアカウントに対しては、TXT/SMS 方式 2FA の登録させないようにする」と発表している。
Continue reading “Twitter が SMS 2FA を廃止:iOS AutoFill や Google Auth などは利用可能とのこと”Massive AdSense Fraud Campaign Uncovered – 10,000+ WordPress Sites Infected
2023/02/14 TheHackerNews — Black Hat のリダイレクト・マルウェア・キャンペーンを操る脅威アクターは、URL 短縮ツールを模倣した 70以上の偽ドメインの規模を拡大し、10,800以上の Web サイトにマルウェアを感染させた。Sucuri の研究者である Ben Martin は、先週に発表したレポートの中で、「このキャンペーンは、Google 広告などの AdSense ID を含むページへの、トラフィックを人為的に増やすことを主目的とした、収益獲得のための広告詐欺だ」と述べている。このキャンペーンの詳細が、GoDaddy 傘下の Sucuri により初めて公開されたのは、2022年11月のことだ。
Continue reading “AdSense 上の大規模な不正キャンペーン:WordPress 1万サイト以上が感染”Twitter claims leaked data of 200M users not stolen from its systems
2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。
Continue reading “Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張”200 million Twitter users’ email addresses allegedly leaked online
2023/01/04 BleepingComputer — Twitter ユーザー2億人分の、メール・アドレスを含むとされるデータリークが発生し、人気のハッカー・フォーラムで約 $2 の対価で公開されている。BleepingComputer は、このリークに記載されている、数多くのメール・アドレスの妥当性を確認した。2022年7月22日以降において、脅威アクターや侵害データ収集者たちは、さまざまなオンライン・ハッカー・フォーラムやサイバー犯罪マーケットプレイスで、電話番号およびメール・アドレスで構成されるプライベート・データと、パブリック・データを含む Twitter ユーザー・プロフィールをスクレイピングし、大規模なデータセットとして販売/流通してきた。
Continue reading “Twitter ユーザー2億人分のリークが発生:メール・アドレスなどが $2 で販売される”Massive Twitter data leak investigated by EU privacy watchdog
2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号/電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。
Continue reading “Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始”7 Hidden Social Media Cyber Risks for Enterprises
2022/10/27 DarkReading — ブランドを持つ企業はソーシャルメディアを好み、ビジネスの拡大/新入社員の採用/新製品の宣伝/消費者への直販などに活用している。最近の統計によると、ソーシャルメディア上のブランド広告は、昨年には 53% 増という成長を示し、それぞれのブランドは、コンテンツの開発と配布に投資し続けている。また、コンテンツとしては、バイラルビデオ/興味深いミーム/ポッドキャスト/ドキュメントなどがあり、顧客とのエンゲージメントを高めている。
Continue reading “企業が SNS を使うとき:そこに隠された7つのリスクとは?”Twitter confirms zero-day used to expose data of 5.4 million accounts
2022/08/05 BleepingComputer — Twitter は、最近発生したデータ流出の原因が、現在は修正済みのゼロデイ脆弱性にあったこと、そして、メールアドレス/電話番号をユーザーのアカウントにリンクさせるために悪用されていたことを発表した。BleepingComputer が7月に行った、ある脅威アクターたちへのインタビューで、この脆弱性を悪用に成功した彼らは、 540万人のユーザーアカウントのリストを作成していたことが判明した。
Continue reading “Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される”Researchers Discover Nearly 3,200 Mobile Apps Leaking Twitter API Keys
2022/08/01 TheHackerNews — 研究者たちが発見した 3,207件のアプリ・リストだが、そのうちのいくつかは、Twitterアカウントに不正にアクセスするために利用できるものだという。シンガポールのサイバー・セキュリティ企業 CloudSEK は、The Hacker News と独占的に共有したレポートの中で、正規の Consumer Key と Consumer Secret の情報が流出したことで、乗っ取りが可能になると述べている。
Continue reading “Twitter API キーをリークする 3,200 のモバイル・アプリ:研究者が推奨する対策とは?”GitHub introduces 2FA and quality of life improvements for npm
2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、3つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter/GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された2要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。
Continue reading “GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加”Hacker selling Twitter account data of 5.4 million users for $30k
2022/07/22 BleepingComputer — Twitter の脆弱性が脅威アクターに悪用されたことで、540万件のアカウントに関する電話番号と電子メールアドレスのデータベースが構築され、そのデータがハッカー・フォーラムで $30,000 で販売されるというデータ侵害が生じている。 昨日に devil と呼ばれる脅威アクターが、このデータベースには有名人/企業/一般的なユーザーを含む、さまざまなアカウントに関する情報が含まれていると、ダークウェブで述べている。
Continue reading “Twitter のアカウント情報が大量に流出:548万人分が $30k で販売されている”Buggy ‘Log in With Google’ API Implementation Opens Crypto Wallets to Account Takeover
2022/07/07 DarkReading — 世界中に 200万人以上のユーザーを有し、$3 billion 相当の Bitcoin を管理する暗号通貨ウォレット・サービスに、外部認証ログインの実装方法に関連する API の脆弱性が存在することが判明した。現在において、この脆弱性は修正されているが、研究者たちは、この発見は API を安全に実装することの難しさを物語っていると指摘している。
Continue reading “API と Log in With Google:脆弱な実装による暗号通貨ウォレット・アカウントの乗っ取り”FTC fines Twitter $150M for using 2FA info for targeted advertising
2022/05/25 BleepingComputer — 米連邦取引委員会 (FTC) は、二要素認証を運用するために収集した電話番号や電子メールアドレスを、Twitter がターゲット広告に使用したとして、$150 million の罰金を科した。裁判資料 [PDF] によると、2013年から Twitter は 1億4千万人以上のユーザーに対して、そのアカウントを保護するための情報を求めたが、そのデータがターゲット広告にも使われることを伝えていなかった。
Continue reading “米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた”Qihoo 360 says US NSA is behind hacking group that has stolen Chinese data
2022/03/23 SCMP — 米国の制裁対象となっている、中国のサイバー・セキュリティ企業の主張は、米国政府の支援を受けたハッカー集団が、10年以上にわたって中国を攻撃しているというものだ。中国の起業家 Zhou Hongyi が設立した Qihoo 360 は、APT-C-40 と呼ばれるハッキンググループが米国政府と提携しており、過去10年にわたり中国の大手企業/政府/研究機関/インフラをひそかに攻撃していると、最近の報告書で述べている。
Continue reading “Qihoo 360 の主張:中国からデータを盗み出すハッカーの背後に米 NSA がいる”Twitter launches Tor website to tackle Russian censorship
2022/03/08 BleepingComputer — Twitter が Tor ネットワーク上でアクセス可能になり、禁止されている国々のユーザーも引き続き、このソーシャル・ネットワーク・サイトにアクセスできるようになった。この新しい Onion URL は、セキュリティ・エンジニアである Alec Muffett が本日に発表したものであり、Twitter が Tor ブラウザを介して世界中からアクセスできるようになったと表明している。
Continue reading “Twitter が立ち上げた Tor Web サイトでロシア政府の検閲をバイパス!”Russia blocks access to Facebook, Twitter, foreign news outlets
2022/03/04 BleepingComputer — Facebook の親会社である Meta が、RIA Novosti/Sputnik/Russia Today などのクレムリン系のメディア/通信社のアカウントを無効化/アクセス制限したことで、ロシア政府は Facebook へのアクセスをブロックした。この記事の掲載後に、ロシアのインターネット監視機関である Roskomnadzor が Interfax に伝えたところによると、ロシアは 2月24日に検察庁の要求を受けて、Twitter へのアクセスもブロックしたとのことだ。2月26日に Twitter は、「ロシアの一部の人々に対して、制限されている。サービスの安全性とアクセスを維持するために努力している」と述べている。
Continue reading “ロシア政府による Facebook と Twitter のブロック:これもハイブリッド戦?”2022/03/02 CyberSecurityIntelligence — 多くの人々のポケットに入ったスマフォのカメラから、ロシアによるウクライナ侵攻の様子が世界に流れ出している。デジタル時代の新たな最前線であるインターネットを導入された、ヨーロッパで初めて経験する武力紛争である。オンラインでの戦いが双方でエスカレートし、米国のテクノロジー企業はロシアからのコンテンツのブロックについて混乱している。たとえば、オンライン検閲や、偽情報の拡散を考える一方で、ミサイル攻撃に直面しているウクライナのインターネットユーザーのことも考える必要がある。
Continue reading “ウクライナ戦でのオンラン・バトル:最前線に押し出された SNS の役割とは?”High-Severity Vulnerability Found in Apache Database System Used by Major Firms
2022/02/16 SecurityWeek — 火曜日に JFrog のセキュリティ研究者たちは、Apache Cassandra の最新バージョンに存在する、深刻度の高いリモートコード実行の脆弱性に関する、詳細な技術情報を公開した。Cassandra は、高いスケーラビリティを持つ分散型 NoSQL データベースであり、Netflix/Reddit/Twitter/Cisco/Constant Contact/Digg/Urban Airship/OpenX などの組織や、DevOps 開発者などの間で人気がある。
Continue reading “Cassandra NoSQL データベースの深刻な脆弱性 CVE-2021-44521 が FIX”Russia Fines Google For Illegal Content Breach
2022/01/06 CybersecurityIntelligence — モスクワの裁判所が、ロシアで違法とされるコンテンツの削除を、繰り返して怠ったとして、Google に 7.2bn roubles ($98m : £73m) の罰金を科した。これは、欧米のテクノロジー企業を統制しようとするロシア政府において、最大の罰金額であり、ロシア国内での起訴が続く可能性がある。今回の判決は、ロシアでは初となる、収益に連携する罰金となる。インターネットの取り締まりが懸念される中、欧州連合 (EU) で初めて実施された年間売上高に基づく罰金が、さらに増える可能性もある。
Continue reading “ロシア政府:違法とするコンテンツの掲載/削除をめぐり Google に罰金”India PM Narendra Modi’s Twitter account hacked
2021/12/12 SCMP — インドのナレンドラ・モディ首相の個人 Twitter アカウントがハッキングされたと、首相官邸が発表した。なお、@narendramodi というハンドルネームのアカウントは、一時的に復旧したとのことだ。首相官邸は、日曜日の早朝のツイートで、「この問題は Twitter に報告され、アカウントは直ちに保護された。このアカウントが危険な状況にあったときの、すべての共有されたツイートは無視される必要がある」と述べている。
Continue reading “インドのモディ首相の Twitter がハッキング:BitCoin の正式採用というデマが流れた”New zero-day exploit for Log4j Java library is an enterprise nightmare
2021/12/10 BleepingComputer — ユビキタスな Java ベースのロギング・ライブラリである Apache Log4j の、深刻なゼロデイ脆弱性の PoC エクスプロイトがオンラインで共有されたことで、ホーム/エンタープライズ・ユーザーが、リモートコード実行の攻撃にさらされる可能性が生じている。
Continue reading “Log4j Java library の深刻なゼロデイ脆弱性 CVE-2021-44228 に対処するには?”Grafana fixes zero-day vulnerability after exploits spread over Twitter
2021/12/07 BleepingComputer — 今日、オープンソースの分析/可視化ソリューションを提供する Grafana は、ローカル・ファイルへのリモート・アクセスを許してしまう、深刻度の高いゼロデイ脆弱性を修正する緊急アップデートを行った。この問題の詳細は、今週の初めに公開が始まっており、Grafana Labs は影響を受けるVersion 8.0.0-beta1〜8.3.0 のアップデートを提供した。
Continue reading “Grafana のゼロデイ脆弱性 CVE-2021-43798 の PoC が Twitter で拡散”India’s Modi once relied on Facebook and Twitter. Now, is he ‘going the China way’?
2021/06/03 SCMP — インドの Narendra Mod 首相は、Twitter と Facebook をあわせて 1億1,400万人のファンを獲得しており、世界で最も支持されている政治家の一人となっている。そして、これらのプラットフォームを利用して、政策の最新情報から外国のリーダーとの自撮り写真まで、あらゆる情報を発信している。
Continue reading “インドの Modi 政権とソーシャル・メディアの関係が冷え始めてきた”
IoT OT Security News 