295の結果を表示中

仮想通貨660億円流出 ハッカーが返還「遊びでやった」: 日本経済新聞

日経の記事利用サービスについて 企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。 詳しくはこちら 【ニューヨーク=宮本岳則】分散型金融(DeFi、ディーファイ)関連サービスを手がけるポリ・ネットワークから約6億ドル(約660億円)の暗号資産(仮想通貨)が流出した…

ランサムウェア攻撃に対し身代金を払った企業の8割はまた襲われる|ニューズウィーク日本版 オフィシャルサイト

Most Businesses That Pay Off After Ransomware Hack Hit With Second Attack: Study <会社の重要なデータを人質に獲るランサムウェア。 一度身代金を払うとまた襲われる確率が高くなるうえ、データが完全に戻るとは限らず、4社に1社は廃業すにいたるという報告書が出た> ランサムウェア(身代金要求型ウイルス)に…

【Amazonプライムデー】とうとう来た! 至高オブ至高のキーボード「HHKB Professional HYBRID Type-S」が2,000円オフ

Photo:三浦一紀|僕が愛用しているHHKBType-S。キートップを非純正品に交換しています。一度使うとやめられないよ。現代において、僕が思う最高のキーボードがPFUの「HappyHackingKeyboardProfessionalHYBRIDType-S」(以下HHKBType-S)です。入力時の滑らかさに加え静粛性も高く、まるでシルク地のシーツをなでているかのような打鍵ができる、そんなキ

海賊版サイトへのアクセスをブロックするだけのマルウェア

海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事、 TorrentFreakの記事、 HackRead の記事、 Ars Technica の記事)。

Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージ…

Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookie…

Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ

Googleは昨年から一部のユーザーを対象に、ChromeのOminibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目…

Hack Patch!: Trusted Typesの概念と背景

今回はTrusted Typesに対する個人の見解を書いてみます。 Trusted Typesはブラウザが文字列を文字列以外の型として扱うSinkに対して、開発者に型の変換を強制するセキュリティ機能です。Trusted TypesによりDOM-based XSSを原理的に減らし、DOM-based XSSに対するセキュリティレビューを簡潔にすることが出来ます。 安全…

EAがハッキングされ盗まれた780GBものソースコードや内部ツールなどが販売される – GIGAZINE

by Paul Downey 「バトルフィールド」シリーズや「FIFA」シリーズ、「The Sims」シリーズ、「Apex Legend」などのパブリッシャーとして知られるElectronic Arts(EA)がハッキングされ、大量のソースコードと内部ツールが盗み出されました。このハッカーはダークウェブ上で盗み出したデータを販売しています。 Hackers Ste…

Hackers Steal Wealth of Data from Game Giant EA

Hacking. Disinformation. Surveillance. CYBER is Motherboard’s podcast and reporting on the dark underbelly of the internet. Hackers have broken into gaming giant Electronic Arts, the publisher of Battlefield, FIFA, and The Sims, and stole a wealth of game source code and related internal tools, M…

アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる – GIGAZINE

by jlhervàs 2021年6月4日、アメリカの企業に対して行われたランサムウェア攻撃で国内に被害が出たことを受け、アメリカの司法省が「ランサムウェア攻撃の対応の優先度をテロと同等にまで引き上げている」と述べたと報じられました。 Exclusive: U.S. to give ransomware hacks similar priority as terrorism | Reuters…

新種ランサムウェア解説:Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker

ランサムウェアは絶えず進化し続けています。これは大企業を狙うランサムウェアファミリや、標的型のアプローチを採用するランサムウェアファミリだけではなく、新種のランサムウェアファミリにも言えることです。 今回は、新たに発見さ…

The post 新種ランサムウェア解説:Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker first appeared on トレンドマイクロ セキュリティブログ.

22 Hacking Sites To Practice Your Hacking Skills · GitHub

22 Hacking Sites To Practice Your Hacking Skills Taken from: https://hackerlists.com/hacking-sites/ 22 Hacking Sites, CTFs and Wargames To Practice Your Hacking Skills InfoSec skills are in such high demand right now. As the world continues to turn everything into an app and connect even the most…

Microsoft Authenticatorの偽拡張機能、Chromeウェブストアで見つかる

headless 曰く、Microsoftの多要素認証アプリ「Microsoft Authenticator」の名前とアイコンを使用した偽のChrome拡張機能がChromeウェブストアで公開され、少なくとも1か月近く公開され続けていたそうだ(Ghacksの記事、 The Registerの記事、 Windows Centralの記事、 Neowinの記事)。

この拡張機能は開発者名がMicrosoftではなく「Extension」となっており、多要素認証機能は搭載されていないという。Ghacks…

カスタムURIスキームを利用して異なるWebブラウザーにわたりユーザー追跡を可能にする手法

headless 曰く、カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事、 Ghacksの記事、 HackReadの記事、 デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

すべて読む | YROセクション | Chrome | Firefox | セキュリティ | Safari | インターネット | Chromium | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
全WiFiデバイスに影響する脆弱性「FragAttack」が公開される 2021年05月15日
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
小規模ウェブサイトの約1割はノーガード戦法 2021年04月12日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日

5億円以上の身代金をランサムウェア攻撃を受けたパイプライン会社が支払ったことが判明 – GIGAZINE

ランサムウェア攻撃を受けて操業を停止していたアメリカ最大の石油パイプライン企業・Colonial Pipelineが、身代金として500万ドル(約5億4800万円)以上を支払ったことがわかりました。 Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom – Bloomberg https://www.bloomberg.com/news/articles/2021-05-13/col…

Apple純正の落とし物の正確な位置を教えてくれるトラッカー「AirTag」がハッキングされる – GIGAZINE

2021年4月21日に発売されたAppleの落とし物トラッカー「AirTag」が、セキュリティ研究者によりさっそくハッキングされました。 Security researcher hacks AirTag; modifies NFC URL for Lost Mode https://the8-bit.com/airtags-hacked-for-first-time/ AirTag hacked for the first time by security researcher [Vide…

Microsoft Edge Canary、自動HTTPSオプションのテストを開始

Microsoft Edge Canaryの最新版で、HTTPでのナビゲーション時に自動でHTTPSへ切り替える「自動HTTPS」オプションが使用できるようになっている(Ghacksの記事)。

このオプションを使用するには、「試験段階の機能 (edge://flags/)」「Automatic HTTPS」を「Enabled」に設定する。Microsoft Edgeを再起動すると設定画面の「プライバシー、検索、サービス」に「自動HTTPSを使用してセキュリティで保護された接続に自動的に切り替える」…

英情報コミッショナー事務局、ユーザーの意図に反した追跡を損害と認めなければデータ侵害を取り締まれなくなると示唆

英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、…

Vivaldi 3.8リリース、cookieダイアログやバナーの非表示化が可能に | スラド IT

4月29日にリリースされたVivaldi 3.8では、cookieの合意要求(ダイアログボックスやバナー)を非表示化する「Cookie Crumbler」が利用可能になっている(Vivaldiのブログ記事、 The Vergeの記事、 Ghacksの維持、 SlashGearの記事)。 Cookie Crumblerを使用するには、Vivaldi設定画面の「プライバシー→トラッカー・広告ブロ…

Security Incident Disclosure — Homebrew

On 18th April 2021, a security researcher identified a vulnerability in our review-cask-pr GitHub Action used on the homebrew-cask and all homebrew-cask-* taps (non-default repositories) in the Homebrew organization and reported it on our HackerOne. Whenever an affected cask tap received a pull r…

Firefox 88リリース、FTPサポートが無効化

headless 曰く、Mozillaは19日、Firefox 88.0をリリースした(リリースノート、 Mozilla Hacksの記事)。

本バージョンではFTPサポートがデフォルト無効になっている。現在のところ高度な設定(about:config)で「network.ftp.enabled」を「true」に変更すればFTPサポートが有効になるが、Firefox 90ではFTP実装が削除される。FTP無効化に伴い、Web拡張機能が自身をFTPのプロトコルハンドラーとして登録することが可能になっ…

世界を脅かす北朝鮮のサイバー攻撃能力はどれほど強力なのか? – GIGAZINE

北朝鮮は、ランサムウェアやマルウェアを利用して各国にサイバー攻撃を仕掛けていることが明らかになっています。そんな北朝鮮のサイバー攻撃に関する歴史や現状について、ジャーナリストのエド・シーザー氏が解説しています。 The Incredible Rise of North Korea’s Hacking Army | The New Yorker https://www.newyork…

匿名認証で守るセキュリティ – Speaker Deck

Transcript OWASP SENDAI #47 (OWASP NAGOYA/FUKUOKA/OKINAWA リレー) 匿名認証で守る セキュリティ akakou ( 間滉星) akakou ( 間滉星) 義 ⼤ 情 2 年⽣ 情 処理 保 援⼠ (未 ) SecHack365 2 期⽣ Hack U ( ⽣向けハッカソン) 3 回 優 賞受賞 Hack Day (⽇ ⼤ ハッカソン) 2 回 受賞 グループ署 式のアルゴリ…