【セキュリティ ニュース】「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を(1ページ目 / 全1ページ):Security NEXT
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を SSH接続などに利用されるターミナルソフトの「PuTTY」に脆弱性が明らかとなった。複数の署名されたデータから秘密鍵を復元されるおそれがある。 「同0.80」から「同0.68」までのバージョンにおいて、NIST P521楕円曲線を使用したECDSA秘密鍵から署名を生成するコードに脆弱性「CVE-2024-31497」が明らかとなったもの。「PuTTY」がバンドルされている「FileZilla」「WinSCP」「TortoiseGit」「TortoiseSVN」なども影響を受けるという。 ECDSA署名時に利用するランダム値の生成に大きな偏りが存在。60程度の署名されたデータと公開鍵から「ECDSA秘密鍵」を復元することが可能だとしている。 中間者攻撃はできないものの、悪意のあるサーバなど
Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita
最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。 手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在する この手法は第三者のTwitterカードを利用することができる つまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができる これはフィッシングの手法になりうる 見つけたツイート 以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ
1500台被害と報じられた国内通信機器の改ざんについてまとめてみた - piyolog
2023年8月28日、日本国内に設置されている通信機器(ルーター)のログイン画面が改ざんされたみられる事案が発生しました。通信機器の脆弱性を悪用した攻撃を受けたものとみられ、既に攻撃に必要な情報もSNS上で出回っており、開発元やセキュリティ機関が利用者に対し至急の対応を呼びかけています。ここでは関連する情報をまとめます。 改ざんされたままとみられる機器多数 改ざんされた画面は黒地の背景に変更され、赤文字で攻撃者による主張文とみられる文字列 *1が埋め込まれたものが確認されている。被害機器のログイン画面には「SkyBridge」と記載されており、これはセイコーソリューションズ製のLTE対応ルーターSkyBridgeとみられる。 同様の改ざん被害にあった端末の件数は約1500台と報じられている *2 他、Shodanで確認できるものは8月31日時点でも約400台。 改ざんされたとみられる機器の
悪意あるbotのアクセスを9割遮断する簡単な方法 NGINX
悪意あるbotのアクセスを9割遮断する簡単な方法 NGINXPublished by Masaki on 2019年3月14日2019年3月14日 WEBサーバーに限った話ではないですが、ネット上にサービスを公開していると必ず攻撃を受けます。 WEBサーバーの場合、Googleなどの検索サイトに一切インデックスされていない状態でも攻撃は受けます。 自分のサーバーの場合一番多いのは、phpmyadminの脆弱性を狙った攻撃。 攻撃と言っても、実際にphpmyadminはインストールされていないので脆弱性のスキャンで終わっていますが… しかし、そのアクセス数が一秒間に数十回と相当大量にアクセスしてくるので、サーバーに負荷がかかってしまい、ほかの正当なユーザーに対してのレスポンスが遅くなってしまう可能性がありますし、決して良いことではありません。 そこで今回は、この手のアクセスをきっぱり遮断して
コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2024/04/06分です。 特徴 共通 CensysInspectによるスキャン行為 /.envへのスキャン行為 /.gitへのスキャン行為 Location:JP D-link製品の脆弱性を狙うアクセス curlによるスキャン行為 .jsへのスキャン行為 を確認しました。 Location:US GPONルータの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス TP-Link製品の脆弱性を狙うアクセス を確認しました。 Location:UK GPONルータの脆弱性を狙うアクセス TP-Link製品の脆弱性を狙うアクセス を確認しました。 Location:SG GPONルータの脆弱性を狙うアクセス curlによるスキャン行為 .jsへのスキャン行為 Gh0stRATのような動き を確認し
漏えいデータから分析、業界別“ガバガバパスワード”集 海外セキュリティ企業が公開
リトアニアのセキュリティ企業Nord Securityは3月30日、情報漏えいしたことがある企業のデータを基に、世界31カ国の大企業で働くビジネスマンが、仕事でよく使うパスワードのランキングを発表した。米国や日本、中国、インド、英国などからデータを集めたという。 「テクノロジー・IT」「航空・宇宙」など20業界でランキングを公開。例えばテクノロジー・IT業界の1位は「123456」だった。2位は「password」で、3位は「aaron431」。TOP10には「research」(4位)、「linkedin」(7位)、「社名や部署名(もしくはそれを一部変更したもの)」(12位)などもあった。 航空・宇宙業界も1位は「password」。2位は「社用メールアドレスのドメイン」、3位は「社名や部署名(もしくはそれを一部変更したもの)」だったという。TOP20には「opnesesame」(6位)
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
YouTubeで“聞こえない音”を流し、スマホを遠隔操作する攻撃 音声アシスタント機能を悪用
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 米テキサス大学サンアントニオ校と米コロラド大学コロラドスプリングス校に所属する研究者らが発表した論文「Near-Ultrasound Inaudible Trojan(NUIT): Exploit Your Speaker to Attack Your Microphone」は、スマートフォンやスマートスピーカーの音声アシスタント(Siri、Google Assistant、Alexa、Cortana)に対する不可聴攻撃を提案した研究報告である。 その手口は、インターネット(動画や音楽、Web会議など)を通じて、人間には聞こえない音を流し、リモートでス
[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。 本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。 重要事項説明 本書の監修者の一人(洲崎俊氏)と評者は知人関係にある 評者が読んだ書
JVNVU#96604488: 複数のUEFI実装における競合状態に関する脆弱性
影響を受けるシステムについては、CERT/CC VU#434994のVendor Informationを参照してください。 一般的にUEFIは、System Management Mode(SMM)と呼ばれる、カーネル特権(ring-0)よりも高い特権(ring-2)のプロセッサ動作モードで実行されます。SMMはメモリ空間上にSMRAMと呼ばれる専用の領域をマップし、高い優先度のシステム管理割り込み処理により実行されます。このSMRAMに対する検証処理の不備によりTime of check to time of use(TOCTOU)競合状態が発生する問題(CVE-2021-33164)が複数のUEFI実装で発見されました。この問題を悪用したDMAタイミング攻撃(Direct Memory Access timing attack)により、任意のコードがSMMの高い権限で実行される可能性
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う:この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン
Microsoft Teamsの認証トークンが平文で保存されていることからアカウント乗っ取りの危険性があると研究者が警告
オンラインビデオ会議ツール「Microsoft Teams」のデスクトップアプリで、認証トークンや多要素認証(MFA)をオンにしたユーザーアカウントに攻撃者がアクセスできる深刻なセキュリティ脆弱(ぜいじゃく)性があることが分かりました。 Undermining Microsoft Teams Security by Mining Tokens https://www.vectra.ai/blogpost/undermining-microsoft-teams-security-by-mining-tokens Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs https://www.bleepingcomputer.com/news/security/microsoft-teams-stores-
HSM超入門講座 「HSMとは?」 -- Sarion Systems Research
HSM(Hardware Security Module)とは、一言で説明してしまうと・・・ 鍵を守る金庫の役目をするハードウェアです。 ここで、鍵と言うのは、暗号や電子署名に利用する鍵のことで、一般的には128~2048bit程度のバイナリーデータです。この鍵は、絶対に他人に見せてはいけないもので、盗まれるなどして万が一鍵が漏えいするようなことがあれば、暗号を解読されて機密情報が流出してしまったり、ICクレジットカードが大量に偽造されたりと、大変なことが起こってしまいます。 こんなことが起こらないように鍵は安全に保管しなければならないのですが、ソフトウェアの工夫だけで鍵を守ろうとしても限界があります。そこで、鍵を保管するハードウェアとして作られたのがHSMであり、さまざまな攻撃から鍵を保護する仕組みが備えられています。 HSMの形はいろいろありますが、どの製品も、右の写真のように内部の鍵
元Googleエンジニア「TikTokはパスワードなど全文字入力を取得できる」 → 公式が反論 → ニューヨーク・タイムズがさらに反論の論争に
プライバシー研究者で元GoogleエンジニアのFelix Krause(フェリックス・クラウス/@KrauseFx)さんが8月19日に公開した、SNSのモバイルアプリに関するセキュリティの懸念事項に関するレポートが話題です。このレポートにTikTok公式がTwitterで反論しましたが、さらにその反論にニューヨーク・タイムズ記者が反論するちょっとした論争に発展しています。 フェリックス・クラウスさんのレポート フェリックスさんのレポートは、アプリでURLをクリックした際などにリンク先をスマートフォンのSafariやChromeなどデフォルトブラウザではなく、アプリ内で開く“内蔵ブラウザ”についてまとめたもの。一部のアプリでは、この内蔵ブラウザがセキュリティリスクを抱えているということです。 このレポートでは、特にTikTokが最も多くのリスクを抱えていると指摘。リンクをタップした際にデフォ
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
スパム業者を「永遠なるパスワード登録地獄」に落とす時間泥棒システムが開発される
「毎日大量にスパムメールが届く」という事象に悩まされる人は多いハズ。そんな悪質なスパムメールを送り続ける業者に対して仕返しするべく、「スパム業者に偽のプロフィールページを送りつけ、終わることのないパスワード登録地獄に落とす」という報復システムが開発されました。 Troy Hunt: Sending Spammers to Password Purgatory with Microsoft Power Automate and Cloudflare Workers KV https://www.troyhunt.com/sending-spammers-to-password-purgatory-with-microsoft-power-automate-and-cloudflare-workers-kv/ スパム業者報復システムを開発したのは、テクノロジー専門家でMicrosoft Reg
「正規の銀行に電話すると詐欺師につながるアプリ」──韓国の巧妙な“振り込め詐欺”を分析 防御アプリも開発
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 韓国のKAISTによる研究チームが発表した「HearMeOut: Detecting Voice Phishing Activities in Android」は、昨今の韓国で被害が多いアプリを使った新たなボイスフィッシングを分析し考察した論文だ。またアプリを使ったボイスフィッシングを検出してくれる、Android向けシステムも開発した。 ボイスフィッシングは、詐欺師が電話で被害者に接触して個人情報を搾取し、これらの被害者をだまして詐欺師に金銭を振り込ませる悪名高い詐欺行為である。日本でいうオレオレ詐欺だ。 韓国では、2016年から2020年にかけて年間被害者数は1万7516人から3万45
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Git」に任意コード実行などへつながるおそれのある脆弱性が2件/「Git for Windows」「GitHub Desktop」などの関連ツールにセキュリティアップデート
パスワード管理ツール「LastPass」がハッキングの被害、ソースコードと独自技術が漏洩/パスワードの漏洩はなし
「KB5012170」に再び問題、「BitLocker」の回復キーを入力しなければならなくなる/「Windows 11バージョン 21H2」で発生、最悪の場合データを失う
