あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か

2024/05/08 19 users エクスプロイト 吉武稔夫 野放し ガリレオ VPN

Don Reisinger （Special to ZDNET.com） 翻訳校正： 佐藤卓 吉武稔夫 （ガリレオ） 2024-05-08 09:42 セキュリティ研究者が、あらゆる仮想プライベートネットワーク（VPN）を無効にできる手法を明らかにした。しかも、このエクスプロイトは20年ほど前から野放しの状態で、悪意ある攻撃者からすでにその存在を知られてい... 続きを読む

無線操作デバイス「Flipper Zero」でテスラの電気自動車を盗み出す方法が考案される

2024/03/11 14 users テスラ Flipper Zero ＮＦＣ 無線操作デバイス

NFCやBluetooth、赤外線通信など、多種多様な無線通信技術に対応した無線コントロールデバイス「Flipper Zero」を用いて、偽のWi-Fiネットワークを構築することで電気自動車メーカー「テスラ」の自動車を盗み出すことができると、ソフトウェア企業のMyskのセキュリティ研究者が報告しています。 Can a Tesla Stop Phishi... 続きを読む

簡単にGPUメモリの内容を盗めてしまう「LeftoverLocals」脆弱性、セキュリティ研究者が警鐘／Apple、AMD、Qualcomm、Imaginationなどに影響、各社対策を表明

2024/01/17 13 users Imagination Qualcomm AMD 表明 脆弱性

続きを読む

GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告

2023/09/07 35 users 官公庁 Chromeウェブストア プレーンテキスト 分析 平文

ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップ... 続きを読む

パスワードを盗む拡張機能が「Google Chrome」のストアに？ セキュリティ研究者が警鐘／最新の「Manifest V3」拡張機能でパスワード詐取を実証、ストア審査も通過

2023/09/06 26 users 実証 Manifest V 通過 ストア 拡張機能

続きを読む

生成AIに｢無限に抜け出せない催眠術｣をかけた結果...

2023/08/14 16 users 生成AI 催眠術 結果 Bard OpenAI

生成AIに｢無限に抜け出せない催眠術｣をかけた結果...2023.08.15 08:00 Mack DeGeurin -Gizmodo US- ［原文］ （ R.Mitsubori ） AIもダークサイドに落ちる。 IBMのセキュリティ研究者は、OpenAIのChatGPTやGoogleのBardといった有名な大規模言語モデルに対し｢催眠術をかける｣ことに成功したと発表しました。 催眠術にか... 続きを読む

悪意あるコードが仕込まれたChrome拡張機能が大量に発見される

2023/06/02 20 users Chrome拡張機能 コード Chromeウェブストア 多数

セキュリティ研究者で、有名な拡張機能「AdBlock Plus」の元開発者でもあるウラジミール・パラント氏が、Chromeウェブストアにある多数の拡張機能に難読化された悪意あるコードが含まれていたことを発表したと報告しました。 More malicious extensions in Chrome Web Store | Almost Secure https://palant.info/2023/0... 続きを読む

Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明

2023/04/27 16 users セキュリティリスク エンドツーエンド 懸念 判明 Google

ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Go... 続きを読む

Windows 95のプロダクトキーは「111-1111111」や「000-0000000」でも突破できる超単純アルゴリズムで実装されていた

2023/03/04 215 users プロダクトキー 羅列 認証 Windows 95 数字

1995年に登場した「Windows 95」のインストール時にはプロダクトキーの入力を求めらるのですが、プロダクトキーは「111-1111111」や「000-0000000」といった単純な数字の羅列でも認証されてしまいます。このような単純なプロダクトキーでも認証可能な理由について、セキュリティ研究者のstacksmashing氏が解説しています... 続きを読む

Google検索結果にMicrosoft TeamsやOBSなど有名ソフトに偽装しマルウェアを拡散する広告が表示される事例が急増

2023/02/06 13 users マルバタイジング Obs 脅威 マルウェア ウェブサイト

通常のオンライン広告に見せかけてユーザーをマルウェア拡散用の不正なウェブサイトに誘導する広告は「マルバタイジング」と呼ばれます。スパム活動やセキュリティ上の脅威を追跡する企業・Spamhaus Technologyのセキュリティ研究者が2023年2月3日のブログで、過去数日間にわたりGoogle広告全体でマルバタイジングが急増... 続きを読む

データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演

2022/12/26 10 users LastPass VAULT 実演 何者 保管庫

2022年8月にパスワード管理アプリ「LastPass」のソースコードの一部が何者かに盗み出されたことが報じられ、その後、2022年12月になってようやくLastPassはユーザーデータが不正アクセスされたことを認めました。この事件によりユーザーがパスワードを保管している「Vault(保管庫)」のデータが流出したことが報告されて... 続きを読む

習近平はどのように中国のハッカーをレベルアップしたのか？

2022/12/18 12 users ハッカー 習近平 ハッキングチーム China 中国

近年は「中国のハッキングチームが外国企業や政府機関をサイバー攻撃した」といったニュースを頻繁に聞くようになりました。この裏には習近平国家主席により主導された国家的なハッカー育成計画があったとのことで、セキュリティ研究者のDakota Caryがその政策についてまとめています。 How Xi Jinping leveled-up China... 続きを読む

Amazonがプライム・ビデオの視聴習慣情報が詰まった内部サーバーを間違って公開してしまう

2022/10/28 16 users Amazon プライム・ビデオ 流出 テクノロジー関連 ケース

テクノロジー関連のスタートアップがセキュリティ不備が原因でインターネット上に存在する大量のデータを流出させてしまうというケースがままありますが、データの流出に陥るのはスタートアップだけでなく、Amazonのような大企業でさえ間違いを犯すことがあります。セキュリティ研究者のAnurag Sen氏が、インターネット... 続きを読む

多数のGitHubリポジトリでマルウェアを仕込んだ「セキュリティ検証用コード」が発見される、なんと10個に1個は悪意のあるリポジトリ

2022/10/25 11 users GitHubリポジトリ リポジトリ エクスプロイト PoC

世界最大級のコードホスティングプラットフォームであるGitHubでは、さまざまな脆弱(ぜいじゃく)性を検証するためのコードである「概念実証(PoC)エクスプロイト」が投稿され、セキュリティ研究者によって共有されています。しかし、このPoCエクスプロイトを精査したところ多数のコードにマルウェアが仕込まれており、セ... 続きを読む

ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定

2022/09/06 10 users TikTok use ハッカー 痕跡 スクリーンショット

ハッカーがTikTokから大規模なデータを盗み出したとして、そのスクリーンショットをネット上に公開しました。TikTokはデータ侵害が発生した痕跡はないとして情報漏えいを否定している一方、セキュリティ研究者は少なくともデータの一部は本物であるとしています。 TikTok denies security breach after hackers leak use... 続きを読む

北朝鮮のハッカーグループ・キムスキーのマルウェア「Gold Dragon」がターゲットのみを攻撃する巧妙な手口とは？

2022/08/29 12 users 手口 標的 悪意 マルウェア 北朝鮮

北朝鮮の国家支援型ハッカーグループであるキムスキーは、主に韓国系の組織を標的としてさまざまな悪意のある攻撃を行っています。そんなキムスキーが少なくとも5年前から使用している「Gold Dragon」と呼ばれるマルウェアについて、「どうやってセキュリティ研究者のシステムにダウンロードされることなく攻撃対象にの... 続きを読む

iOSのVPN機能は2年以上壊れた状態にあると研究者が指摘

2022/08/18 11 users iOS VPN VPN機能 指摘 https

VPN(Virtual Private Network)はネットワーク接続を暗号化することで通信内容を守る仕組みなのですが、セキュリティ研究者が、iOSのVPN機能は2年以上にわたり壊れた状態にあり、データを守っているVPNトンネルの外にデータが漏れていることを指摘しています。 VPNs on iOS are a scam https://www.michaelhorowitz.com/V... 続きを読む

あの「DOOM」をトラクターの車載システムに移植して「修理する権利」を訴えるハッカーが登場

2022/08/17 15 users DOOM トラクター ハッカー ラスベガス カンパニー

セキュリティ研究者のSick.Codes氏が、2022年8月15日から16日にかけてラスベガスで開催されたハッカー向けイベント「DEF CON 30」で、世界最大の農業機械メーカーであるディア・アンド・カンパニーのトラクターに搭載されるシステムをハッキングして名作FPSゲーム「DOOM」を移植したと報じられています。 Def Con hacker... 続きを読む

ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘

2022/08/13 15 users Zoom インストーラー MacOS root権限 パク

macOSのセキュリティ研究者として著名なパトリック・ワードル氏が、ハッキングカンファレンスであるDEF CONの中で、macOS向けのZoomインストーラーに存在するバグにより、macOSのroot権限を取得できるようになっていると指摘しています。 The Zoom installer let a researcher hack his way to root access on macOS - T... 続きを読む

数百万のルータに緊急の脆弱性が発覚、何年も続く可能性あり、

2022/08/03 11 users ルータ 発覚 CPE 脆弱性 ISP

セキュリティ研究者のDerek Abdine氏は7月29日(米国時間)、「Arris / Arris-variant DSL/Fiber router critical vulnerability exposure｜Derek Abdine」において、muhttpd Webサーバに複数の脆弱性が存在すると伝えた。muhttpd WebサーバはISPのCPE（Customer Premises Equipment：カスタマ構内設備）で広く利用されて... 続きを読む

新たな形態のLinuxマルウェアが見つかる--検出は「ほぼ不可能」

2022/06/10 21 users Linuxマルウェア 検出 形態 Blackberry PDF

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 検出が「ほぼ不可能」という新たな形態のLinuxマルウェア「Symbiote」が、BlackBerryのResearch and Intelligence Teamの研究者らと、Intezerのセキュリティ研究者であるJoakim... 続きを読む

善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表

2022/05/20 14 users 善意 ハッキング 司法省 ホワイトハット サイバーセキュリティ

他者のコンピューターに侵入するハッカーの中には、攻撃を目的とした悪意あるハッカーだけではなく、セキュリティ上の欠陥や脆弱(ぜいじゃく)性を特定するための調査を行う「ホワイトハット」ハッカーもいます。司法省が、こうした活動を助け、サイバーセキュリティを促進するため、善意のセキュリティ研究者を起訴しな... 続きを読む

解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ～セキュリティ研究者が明らかに／ヘルプファイルの削除で緩和可能

2022/04/18 361 users ヘルプファイル 解凍 7-Zip 圧縮 緩和

続きを読む

2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される

2022/01/19 22 users 欠陥 ハッキング セキュリティ 判明 北京オリンピック

2022年2月に開催される北京オリンピックで、参加者全員に対してインストールが義務づけられている健康管理アプリ「MY2022」に、機密情報へのハッキングが容易に可能になるようなセキュリティー上の欠陥があることが、カナダのセキュリティ研究者の分析により判明しました。MY2022には、暗号化の不具合だけでなく政治的な... 続きを読む

「AirTag」には“善きサマリア人攻撃”の恐れありとセキュリティ研究者がAppleに警告

2021/09/29 10 users Airtag 一意 フィッシング詐欺 ブライアン・クレブス氏

米Appleが4月に発表した紛失防止タグ「AirTag」は、フィッシング詐欺に悪用される可能性があると、セキュリティジャーナリストのブライアン・クレブス氏が運営する「Krebs on Security」が9月28日（現地時間）に警告した。 AirTagが「紛失モード」に設定されていると、https://found.apple.comの一意のURLが生成され、そ... 続きを読む