Scan PREMIUM 会員限定記事(6 ページ目) | ScanNetSecurity
2024.05.17(金)

Scan PREMIUM 会員限定記事(6 ページ目)

WordPress の File Manager Advanced Shortcode における任意のファイルがアップロード可能となる脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

WordPress の File Manager Advanced Shortcode における任意のファイルがアップロード可能となる脆弱性(Scan Tech Report)

 2023 年 5 月に、WordPress のプラグインに遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求 画像
国際
The Register
The Register

サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

 ランサムウェアの犯罪集団LockBit が TSMC のデータを盗んだと主張していることを受け、チップ製造大手の TSMC は、実のところ TSMC ではなく同社の設備サプライヤーのひとつである Kinmax がハッキングされたと述べた。

ダークネット議会開催/ゲートウェイ機器が標的に/“心ある”専門家と再検討を/WeChatのダダ漏れっぷり ほか [Scan PREMIUM Monthly Executive Summary 2023年6月度] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

ダークネット議会開催/ゲートウェイ機器が標的に/“心ある”専門家と再検討を/WeChatのダダ漏れっぷり ほか [Scan PREMIUM Monthly Executive Summary 2023年6月度]

脆弱性に関してですが、米 Apple 社は iPhone、iPad へも影響のある複数のゼロデイ脆弱性を公開しています。これらの脆弱性は、Triangulation マルウェアにより悪用されていることが Kaspersky 社により報告されています。

サプライチェーン攻撃で GitHub が汚染されたら 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

サプライチェーン攻撃で GitHub が汚染されたら

一口にサプライチェーン攻撃といっても、それが指す攻撃の種類、目的、アタックサーフェスは複数のパターンが考えられる。関連報道を見ているとき、「これはどのレベルのサプライチェーンを指しているのか」と気になることがある。

狼藉運営の DNA 検査企業、政府に告発される 画像
国際
The Register
The Register

狼藉運営の DNA 検査企業、政府に告発される

 Bloomberg は 2019 年に Vitagene にからむ情報流出を報じ、同社のユーザーの健康記録は何年にもわたり誰でも見られる状態で放置されていた、と伝えた。

サギ広告との死闘 サーチエンジンの巨人が進める「プロジェクトヘラクレス」とは? 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

サギ広告との死闘 サーチエンジンの巨人が進める「プロジェクトヘラクレス」とは?

インターネット老人会の定番ネタ「F5攻撃」は、中国サイバー攻撃を揶揄する文脈で用いられる。最近では「いいね工場」の動画がネットミームにもなっている。だがセキュリティ研究者なら、決して中国アンダーグラウンドのスキルや技術力をあざ笑うようなことはしない。

暗い新世紀到来:AI が AI を喰らう 画像
国際
The Register
The Register

暗い新世紀到来:AI が AI を喰らう

 「Amazon Mechanical Turk」のようなクラウドソースサービスを通して案件を受注したクラウドワーカーは、業務に大規模言語モデルを使用している。これによって、今後の AIモデルに連鎖的に悪影響が生じてしまう可能性がある。

今日もどこかで情報漏えい 第12回「2023年5月の情報漏えい」誰もカード番号と気づかなかったのか 画像
特集
高杉 世界(Sekai Takasugi)
高杉 世界(Sekai Takasugi)

今日もどこかで情報漏えい 第12回「2023年5月の情報漏えい」誰もカード番号と気づかなかったのか

 今日もどこかで情報漏えいは起きている。

Linux における udmabuf ドライバでの入力値検証不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

Linux における udmabuf ドライバでの入力値検証不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

2023 年 4 月に、Linux OS のカーネルドライバに、権限の昇格が可能となるメモリ破壊の脆弱性が報告されています。

CI/CD パイプラインが「リモートコード実行(RCE)as a Service」になるとき 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

CI/CD パイプラインが「リモートコード実行(RCE)as a Service」になるとき

DevOpsのシステム環境にバックドアやマルウェアを混入させることができれば、DevOps環境はあたかも「エクスプロイトやリモートコード実行(RCE)をサービスとして提供するプラットフォーム」のような振る舞いをさせることができる。

御社のプロジェクトにも? 素性隠して世界で稼ぐ「北朝鮮 IT労働者」年収 4千万円超 ~ ミサイル開発へ送金 画像
国際
The Register
The Register

御社のプロジェクトにも? 素性隠して世界で稼ぐ「北朝鮮 IT労働者」年収 4千万円超 ~ ミサイル開発へ送金

 企業が ITサービスの外注先を検討する際、北朝鮮が運営する企業は、その候補にすらならないことが多いだろう。

バグハンターの憂鬱:報奨金プログラムに潜む罠 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

バグハンターの憂鬱:報奨金プログラムに潜む罠

脆弱性の調査、ペンテスト、あるいは何気なく行うハッキング(非推奨)において、意図せず「見てはいけないデータ」「手元にあってはいけないデータ」に触れてしまうことがある。法的な問題を抱え込むことにならないのだろうか。

驚異のアフィリエイト料率 ~ RaaS 組織潜入報告 画像
国際
The Register
The Register

驚異のアフィリエイト料率 ~ RaaS 組織潜入報告

 ransomware-as-a-service(RaaS)のグループ Qilin のアフィリエイトにとって、このビジネスは素晴らしいものだが、それ以外の人々にとっては最悪である。

セキュリティ技術者を助けるプロトコルドロイド「G-3PO」~ 生成 AI 活用した調査ツール 11 種 画像
製品・サービス・業界動向
鳴海まや子(Narumi Mayako)
鳴海まや子(Narumi Mayako)

セキュリティ技術者を助けるプロトコルドロイド「G-3PO」~ 生成 AI 活用した調査ツール 11 種

 サイバースペースには混乱が渦巻いていた。生成 AI という新たなフォース(力)が誰の手にも届くようになったのだ。

金正恩国家主席 サイバー戦力を2倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度] 画像
脆弱性と脅威
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹
株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

金正恩国家主席 サイバー戦力を2倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]

新たな攻撃グループの活動として、Broadcom 社 Symantec が、未認知の APT グループ「Lancefly」が、南・東南アジアの組織を標的とした活動を行っていることを報告しています。本攻撃は、技術的な観点においては APT41 との関連性が疑われています。

HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性(Scan Tech Report) 画像
脆弱性と脅威
株式会社ラック デジタルペンテスト部
株式会社ラック デジタルペンテスト部

HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性(Scan Tech Report)

2023 年 5 月に、HP 社の PC を管理するためのファームウェアに、権限昇格が可能となる脆弱性が報告されています。

割のいいリゾートバイト求人 その実態は暗号資産詐欺の奴隷労働:FBI 注意勧告 画像
国際
The Register
The Register

割のいいリゾートバイト求人 その実態は暗号資産詐欺の奴隷労働:FBI 注意勧告

 捜査では銃 4 丁、デスクトップコンピューター 804 台、ラップトップ 16 台、パスポート 36 冊、データストレージデバイス 12 台、手錠 4 組、スタンバトン 8 本、懐中電灯型スタンガン 2 本、携帯電話 8,776 台が発見された。

クレムリンへ DDoS攻撃 露技術者 流刑 画像
国際
The Register
The Register

クレムリンへ DDoS攻撃 露技術者 流刑

 技術的なノウハウはそれほど必要ではない。ハクティビストが組織のネットワークにジャンクのトラフィックを殺到させるために使用できるオープンソースの DDoSツールは巷にあふれており、洗練されていなくとも比較的簡単に誰でも成功させることができる。

サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕 画像
国際
鳴海 まや子
鳴海 まや子

サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕

 警察や同僚、雇用主に隠れてライルスは会社に二次的に攻撃を仕掛ける。

今日もどこかで情報漏えい 第11回「2023年4月の情報漏えい」誤送信 三度あることは四度ある ほか 画像
特集
高杉 世界(Sekai Takasugi)
高杉 世界(Sekai Takasugi)

今日もどこかで情報漏えい 第11回「2023年4月の情報漏えい」誤送信 三度あることは四度ある ほか

 今日もどこかで情報漏えいは起きている。

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像
研修・セミナー・カンファレンス
中尾 真二( Shinji Nakao )
中尾 真二( Shinji Nakao )

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」

 「Smishsmash」とは、SMSを利用した2FAをバイパスする攻撃手法のこと。セキュリティの専門家でありハッカーでもあるトーマス・オロフソン氏、マイケル・ビストロム氏が命名した。

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 11
  12. 20
  13. 30
  14. 40
  15. 50
  16. 最後
Page 6 of 63
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×