Clik here to view.
ビットワーデン、MFAなしでパスワード保管庫のハッキングを困難に
オープンソースのパスワード・マネージャーBitwardenは、2要素認証で保護されていないアカウントのセキュリティ層を追加し、アカウントへのアクセスを許可する前に電子メールによる認証を要求している。 認識できないデバイスからのログインなど、疑わしいと思われるログインの試みが検出された場合、ユーザーは電子メールで受け取った認証コードを入力するよう求められる。...
View ArticleClik here to view.
ディープシーク、「大規模」サイバー攻撃で新規登録を停止
中国のAIプラットフォームDeepSeekは、同社のサービスを標的とした「大規模」なサイバー攻撃が続いているため、同社のチャットプラットフォームDeepSeek-V3の登録を無効にした。 DeepSeekは比較的新しいAIプラットフォームで、米国の大手ハイテク企業のモデルと同等かそれ以上の能力を大幅に低コストで実現するとされる高度なAIモデルを開発・発表したことで、先週から急速に注目を集めている。...
View ArticleClik here to view.
あなたのものは私のもの:あなたのビジネスはクリプトジャッキング攻撃に対応していますか?
ペンテラ プロダクトマネージャーアビア・ヤアコフ 記 クリプトジャッキング。ランサムウェアや大ニュースになるようなデータ漏洩ほど派手ではありませんが、静かにリソースを流出させ、コストを積み上げています。クリプトジャッキングは、システムから締め出す代わりに、自社のサーバーやクラウドにあるコンピューティング・パワーを静かに乗っ取り、気づかないうちに暗号通貨を採掘する。...
View ArticleClik here to view.
パワースクール、大規模データ漏洩の被害者への通知を開始
教育ソフトウェア大手のパワースクールは、2024年12月下旬のサイバー攻撃で個人情報が流出した米国とカナダの個人への通知を開始した。 これは一歩前進ではあるが、同社はセキュリティ・インシデントによって影響を受けた正確な個人数をまだ公式には公表していない。 さらに、調査に携わっているCrowdStrikeが期待している、具体的に何が起こったのかについての詳細な報告も、引き続き遅れている。...
View ArticleClik here to view.
マイクロソフト、技術サポート詐欺をブロックするEdgeスケアウェアブロッカーをテスト
マイクロソフトは、機械学習(ML)を使用して技術サポート詐欺を検出する、Windows PCのEdgeウェブブラウザ用の新しい「スケアウェアブロッカー」機能のテストを開始した。...
View ArticleClik here to view.
Signalは、新しいデバイスをリンクする際に古いメッセージを同期できるようにします。
Signalはついに、iOSやAndroidの主要デバイスから、デスクトップやiPadのような新しくリンクされたデバイスに古いメッセージ履歴を同期できる新機能を追加した。 転送プロセスは完全にエンド・ツー・エンドで暗号化され、プライバシーとデータの安全性が確保される。また、QRコードによる認証ステップを採用し、アクションが許可されたものであることを確認する。...
View ArticleClik here to view.
エンジニアリング大手のスミス・グループがセキュリティ侵害を公表
ロンドンを拠点とするエンジニアリング大手スミス・グループは、未知の攻撃者が同社のシステムにアクセスした後、セキュリティ侵害を公表した。 スミスはロンドン証券取引所に上場している英国の多国籍企業で、50カ国以上で15,000人以上の従業員を雇用している。また、エネルギー、安全、セキュリティ、航空宇宙、防衛市場の顧客に製品を提供しており、昨年の売上高は31億3200万ポンドだった。...
View ArticleClik here to view.
アップルCPUの新たなサイドチャネル攻撃がブラウザからデータを盗む
セキュリティ研究者チームが、ウェブブラウザから機密情報を盗み出す可能性のある、最新のアップル製プロセッサの新たなサイドチャネル脆弱性を公表した。 ジョージア工科大学(Georgia Institute of Technology)とルール大学ボーフム(Ruhr University...
View ArticleClik here to view.
ハッカー、SimpleHelp RMMの欠陥を悪用してネットワークに侵入
ハッカーは、最近修正された SimpleHelp Remote Monitoring and Management (RMM) ソフトウェアの脆弱性を悪用し、標的のネットワークへの初期アクセスを獲得していると考えられています。...
View ArticleClik here to view.
Zyxel CPE デバイスのパッチ未適用の重大な欠陥がハッカーに悪用される
ハッカーは、現在 CVE-2024-40891 として追跡されており、昨年 7 月以来パッチが適用されていない Zyxel CPE シリーズデバイスの重大なコマンドインジェクションの脆弱性を悪用しています。 この脆弱性は、認証されていない攻撃者が「supervisor」または「zyuser」サービスアカウントを使用して任意のコマンドを実行することを可能にします。...
View ArticleClik here to view.
隠れたブラウジングの脅威を発見:GenAI、アイデンティティ、ウェブ、SaaSリスクの無料リスク評価を受ける
GenAIツールやSaaSプラットフォームが従業員のツールキットの定番コンポーネントとなるにつれ、データ漏洩、アイデンティティの脆弱性、監視されていない閲覧行動に関連するリスクが急増している。...
View ArticleClik here to view.
FBI、タレント作戦でハッキング・フォーラムCracked.ioとNulled.toを押収
更新 1月29日 14:15 EST:cracked[.] io、nulled [.] to、starkrdp [.] io、mysellix [.] io、sellix [.] ioに押収バナーが追加され、米国、イタリア、スペイン、ヨーロッパ、フランス、ギリシャ、オーストラリア、ルーマニアの当局を含む「タレント作戦」と名付けられた共同法執行活動でドメインが押収されたことが確認された。...
View ArticleClik here to view.
Laravelの管理パッケージVoyagerにワンクリックRCEの脆弱性
Laravelアプリケーションを管理するためのオープンソースのPHPパッケージVoyagerに発見された3つの脆弱性は、リモートコード実行攻撃に使用される可能性があります。 これらの問題は未修正のままであり、悪意のあるリンクをクリックした認証済みのVoyagerユーザーに対して悪用される可能性がある。...
View ArticleClik here to view.
新しいAquabotv3ボットネットマルウェア、Mitelコマンドインジェクションの欠陥を狙う
Mirai ベースのボットネットマルウェア Aquabot の新しい亜種が、Mitel SIP 電話のコマンドインジェクションの脆弱性 CVE-2024-41710 を積極的に悪用していることが確認されました。 この活動を発見したのはアカマイの Security Intelligence and Response Team (SIRT) で、Aquabot の 3...
View ArticleClik here to view.
ソラナポンプ.楽しいツールDogWifToolは、財布を排出するために危険にさらされた。
ハッカーは、ユーザーの財布を流出させるサプライチェーン攻撃で、Solanaブロックチェーン上のミームコインを促進するためのDogWifToolsソフトウェアのWindows版を侵害した。 開発者は、悪意のある脅威者がGitHubトークンを抽出するためにソフトウェアをリバースエンジニアリングした後、プロジェクトのプライベートGitHubリポジトリに侵入したと主張している。...
View ArticleClik here to view.
Time Bandit ChatGPTジェイルブレイクが機密トピックのセーフガードを回避
Time Bandit」と名付けられたChatGPTの脱獄の欠陥は、武器の作成、核の話題に関する情報、マルウェアの作成など、機密性の高いトピックに関する詳細な指示を求める際に、OpenAIの安全ガイドラインを回避することを可能にする。 この脆弱性は、サイバーセキュリティとAIの研究者であるDavid...
View ArticleClik here to view.
警察がCrackedとNulledのハッキング・フォーラム・サーバーを押収、容疑者を逮捕
欧州刑事警察機構(Europol)とドイツの法執行機関は、1,000万人以上のユーザーを持つ最大級のハッキング・フォーラム「Cracked」と「Nulled」をダウンさせた「Operation Talent」において、2人の容疑者の逮捕と17台のサーバーの押収を確認した。...
View ArticleClik here to view.
新たなSyncjacking攻撃、Chrome拡張機能を使ってデバイスを乗っ取る
Browser Syncjacking」と呼ばれる新しい攻撃は、一見良さそうに見えるChrome拡張機能を使用して被害者のデバイスを乗っ取る可能性を示している。 SquareXのセキュリティ研究者によって発見されたこの新しい攻撃方法は、Googleプロファイルのハイジャック、ブラウザのハイジャック、そして最終的にはデバイスの乗っ取りなど、いくつかの段階を踏む。...
View ArticleClik here to view.
クラウドベースのリモートデスクトップとRDP over VPNのメリット
リモートワークは今や多くの企業にとって不可欠なものとなっており、企業は企業リソースへの安全かつ拡張性の高い効率的なアクセス方法を再考する必要があります。 仮想プライベート・ネットワーク(VPN)を...
View ArticleClik here to view.
ディープシーク、100万件以上のチャット記録を持つデータベースを公開
DeepSeek-R1 LLMモデルで知られる中国のAI新興企業DeepSeekが、機密性の高いユーザー情報と運用情報を含む2つのデータベースを公開した。 セキュリティ保護されていないClickHouseインスタンスには、平文形式のユーザーチャット履歴、APIキー、バックエンドの詳細、運用メタデータを含む100万件以上のログエントリが保存されていたと報告されている。 Wiz...
View Article