管理放棄状態のルーターが多いのは個人? 法人? 「NOTICE」で浮かび上がってきた他人まかせの惨状【イニシャルB】
Don Reisinger (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ) 2024-05-08 09:42 セキュリティ研究者が、あらゆる仮想プライベートネットワーク(VPN)を無効にできる手法を明らかにした。しかも、このエクスプロイトは20年ほど前から野放しの状態で、悪意ある攻撃者からすでにその存在を知られている可能性があるという。 Leviathan Security Groupの研究者らは、VPNが使われたトラフィックを可視化する手法を発見した。攻撃者がこの手法を利用すれば、暗号化されていないトラフィックを盗聴し、価値あるデータをそのトラフィックから取り出すことが事実上可能になる。研究者はこのエクスプロイトを「TunnelVision」と名付けた上で、今のところこのトリックに引っかからないVPNは見つかっていないと指摘した。 VPNは、トラ
世界中の住宅や大学のキャンパスなどでインターネットに接続されたランドリーサービスを提供しているCSC ServiceWorksについて、同社のサービスには洗濯料金を誰でも回避することができるセキュリティバグが存在すると指摘されています。バグの存在は2024年初頭にCSC ServiceWorksに報告されていますが、同社はバグの修正を怠っており、記事作成時点でもバグは修正されないままです。 Two Santa Cruz students uncover security bug that could let millions do their laundry for free | TechCrunch https://techcrunch.com/2024/05/17/csc-serviceworks-free-laundry-million-machines/ CSC ServiceWo
インターネット定点観測レポート(2024年 1~3月)
1. 概況 JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした
PayPayカードのメリット・デメリット|怖いと言われる理由と評判レビュー。ゴールドと一般どっちがおすすめ?
見落としがちなURL正規化によるパストラバーサル | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度解析部アプリケーションセキュリティ課の金子です。 パストラバーサル(またはディレクトリトラバーサル)はXSSやSQLインジェクションに並んでWebアプリケーションに対する代表的な攻撃手法のひとつです。本記事では、パストラバーサルの中でもURL正規化によるパストラバーサルに焦点を当てて攻撃の発生原理やよくある事例について解説します。関連して、PHP向けのAWS SDKで発見したS3バケットに対するパストラバーサルの脆弱性CVE-2023-51651についても紹介します。 2種類のパストラバーサル パストラバーサルは../のような文字列を含んだ文字列の正規化処理(normalization)を悪用して、アプリケーションが予期しない"領域"に対してアクセスを行う攻撃です。正規化処理を行う対象によって分類することが可能で、次の2種類のパストラバーサルが代表的です: ファイルシステムに対するパス
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2024年1~3月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 2023年度の観測状況から見る日本国内の影響について JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。今回は、2023年度の観測結果から日本国内に関連するインシデント例を振り返ってみたいと思います。 国内外に設置したセンサー宛に届いたパ
【セキュリティ ニュース】5月のMS月例パッチが公開 - 複数のゼロデイ脆弱性を修正(1ページ目 / 全4ページ):Security NEXT
マイクロソフトは現地時間5月14日、5月の月例セキュリティ更新プログラムを公開した。61件の脆弱性を修正しており、2件の脆弱性いついてはすでに悪用が確認されているという。 今回のアップデートでは、「Windows」や「Office」をはじめ、「Azure」「Power BI」「Microsoft Intune」「Microsoft Dynamics 365」「.NET Core」「Visual Studio」などに明らかとなった脆弱性に対処した。 CVEベースで61件の脆弱性を修正しており、最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は、「Microsoft SharePoint Server」に判明した「CVE-2024-30044」の1件。 サイト所有者の権限を持つ場合、「SharePoint Server」の権限で任意のコードを実行するこ
思わずクリック「フィッシング詐欺」メールの巧妙
こうしたフィッシング詐欺は、知っている人間や関係者を装って相手をだますという点で、「オレオレ詐欺」などの特殊詐欺と本質的に同じものである。 そのため、多くの人が「自分は騙されない」と思っているところが曲者で、実際に騙された人は、騙されているときに自覚がない。あるいは疑念はあっても信じてしまっている。「騙されない」という自覚や警戒は必要だが、それで万全とは言えない。 「フィッシング詐欺」の定義 フィッシング対策協議会(APC)のサイトでは、フィッシングを次のように定義している。 「フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト)に誘導し、そこで個人情報を入力させる手口が一般的に使われています」 つまり、現存する
【セキュリティ ニュース】MS 365アカウントに不正アクセス、個人情報流出の可能性 - セガ子会社(1ページ目 / 全1ページ):Security NEXT
玩具の製造販売を手がけるセガフェイブは、同社従業員が利用するクラウドサービスのアカウントが不正アクセスを受け、顧客や取引先などの個人情報が流出した可能性があることを明らかにした。 同社によれば、Toysカンパニーの従業員が使用するMicrosoft 365アカウントが不正アクセスを受けたもの。同社のセキュリティを管理するセガサミーホールディングスが4月4日に検知した。 問題のアカウントには、直近1年間の取引先に関する情報やグループ会社従業員の個人情報が含まれていることが同月9日に判明。同月17日には、同従業員が過去に従事したグループ会社の顧客情報も含まれていることが明らかとなっている。 対象となる個人情報は、取引先の氏名、会社住所、電話番号、メールアドレス、口座情報など約1900件、同社従業員とその家族、セガサミーグループの従業員の氏名、住所、電話番号、メールアドレスなど約300件。 さら
NICTER観測統計 - 2024年1月~3月
はじめに NICTER プロジェクトのダークネット観測網における 2024 年第 1 四半期(1月~3月)の観測結果を公開します. 2024 年第 1 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 IoT マルウェア の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2024 年第 1 四半期に観測した事象について ロシアの大量のホストからのバックスキャッタの観測 2024年第1四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1. 2024 年第 1 四半期の 1 IP アドレス当たりの総観測パケット数(総観測パケット数を観測 IP アドレス数で正規化した値)は 2023 年第 4 四半期と比較すると増加しました. 日毎のパケット数とユニークホスト数の推移 図 1 に日毎の観測パケット数,ユニ
本レポートでは、2024年3月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年3月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は222件であり、1日あたりの平均件数は7.61件でした。期間中に観測された最も規模の大きな攻撃では、最大で約6万ppsのパケットによって612.30Mbpsの通信が発
【セキュリティ ニュース】Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出(1ページ目 / 全2ページ):Security NEXT
Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。 同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。 具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。 同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。 攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アク
【セキュリティ ニュース】新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に(1ページ目 / 全3ページ):Security NEXT
総務省、情報通信研究機構(NICT)、ICT-ISACは、IoT機器を悪用したサイバー攻撃を防ぐ取り組みとして、あらたな枠組みのもと「NOTICE(National Operation Towards IoT Clean Environment)」を開始した。 これまでも、ボットネットの活動を抑制し、DDoS攻撃などを防止するため、脆弱なIoT機器を調査し、注意喚起を行う取り組みを「NOTICE」として2019年2月より展開。 約14万件の脆弱なIoT機器を特定し、プロバイダ経由で利用者に注意喚起を行ってきたが、2023年度末に期限を迎えたことから、あらたなプロジェクトとして4月より再始動した。 今回開始した「NOTICE」の実施にあたっては、2023年にNICT法が改正されており、従来の業務にくわえ、2024年度よりあらたにサイバーセキュリティ対策について助言する業務なども新設されている
【セキュリティ ニュース】4月のMS月例パッチで修正された脆弱性が攻撃の標的に - 米当局が注意喚起(1ページ目 / 全2ページ):Security NEXT
マイクロソフトが4月の月例セキュリティ更新で修正した「SmartScreenプロンプト」の脆弱性「CVE-2024-29988」がサイバー攻撃の標的となっている。他脆弱性と組み合わせて悪用されているとして、米当局が注意を呼びかけた。 「CVE-2024-29988」は、「SmartScreenプロンプト」に明らかとなった脆弱性。インターネットからダウンロードしたファイルに付与され、ファイルを開く際に信頼できるか判断するために使用される「Mark of the Web(MotW)」機能のバイパスが可能となる。 悪用にあたっては、細工したファイルを開かせる必要があり、重要度は4段階中、上から2番目にあたる「重要(Important)」、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。2024年4月の月例セキュリティ更新で修正された。 米サイバーセキュリティ
【セキュリティ ニュース】「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
DHCPのオプション121をサポートする環境でVPN接続する場合、トラフィックの宛先を強制的に変更し、VPNトンネル外に送信することでカプセル化を回避することができる問題(CVE-2024-3661)が報告されています。 本問題の報告者は、この問題を「TunnelVision」と呼んでいます。 以下のオペレーティングシステムにおいて、ルーティングルールのみに依存してホストのトラフィックを保護するVPNを利用している場合、本問題の影響を受けます。 RFC 3442仕様に従ってDHCPクライアントを実装し、DHCPのオプション121をサポートするオペレーティングシステム Windows、Linux、iOS、MacOSなど Androidは DHCPオプション121をサポートしていないため、本問題の影響を受けないとのことです。 DHCP RFC 3442では、ネットワーク管理者がクライアントのル
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か
数百万人が無料で洗濯できるようになるランドリーサービスのセキュリティバグを大学生が発見
「Google Chrome」に解放後メモリ利用の脆弱性が2件 ~修正版がリリース/Windows環境にはv124.0.6367.118/.119が展開中
「Microsoft Edge」にセキュリティ更新 ~最大深刻度は最高の「Critical」/v124.0.2478.67への更新を
Androidのマルウェアに要注意! 正規アプリを乗っ取る新手の手口とは? | ライフハッカー・ジャパン
TSUBAMEレポート Overflow(2024年1~3月) - JPCERT/CC Eyes
wizSafe Security Signal 2024年3月 観測レポート
JVNTA#94876636: DHCPのオプション121を利用したVPNのカプセル化回避の問題