Autumn Good
@autumn_good_35
Followers
5,859
Following
371
Media
11,914
Statuses
65,344
晴れ時々セキュリティ、所により一時スイーツ。 セキュリティは趣味ですけど仕事にも活かしていきたいですね。Security Hobbyist. Ice Cream Researcher. 日本アイスマニア協会会員
Japan、b62ea8471026be0e44108f6d
Joined June 2016
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
#LingOrmFanMeet2geTHer
• 277631 Tweets
DEAR MYLOVE LINGORM
• 272558 Tweets
Edmundo
• 126511 Tweets
#ZeeNunew1stFMinTokyo
• 87164 Tweets
#KPOPMASTERZinBANGKOK2024
• 41914 Tweets
Oregon
• 31426 Tweets
#sbhawks
• 27184 Tweets
京成杯AH
• 25001 Tweets
セントウルS
• 22428 Tweets
アスコリピチェーノ
• 12737 Tweets
メンデス
• 10445 Tweets
Last Seen Profiles
Pinned Tweet
今となっては被害前提で考えるとパッチ適用だけでは不十分ですのでご注意下さい。
被害にあっている場合はパッチ適用だけでは不十分で古い暗号化キーを手動更新しないとダメとのこと。
(※新しい暗号化キーを生成しても古いキーは削除されない)
CosmicSting attacks have started hitting major stores
1
0
2
0
0
3
『このメールは,実在の医療機関のある医師に,実際に送付された標的型攻撃メールである。』
2021.03.08 週刊医学界新聞(レジデント号):第3411号より
医療機関とサイバー攻撃 | 2021年 | 記事一覧 | 医学界新聞 | 医学書院
9
2K
3K
日本のカオスなサイバーセキュリティ体制について海外の方が詳細なレポートにまとめていて凄いですね。
国内でもここまでの資料は見たことない気がします。
My new
@CSS_Zurich
report takes apart Japan's national cybersecurity & defense posture. It analyzes key gov. docs, contextualizes trigger events, and explains the role of 45+ gov./gov.-affiliated orgs. Enjoy
@MofaJapan_en
@ModJapan_en
@METI_JPN
@jpcert_en
1
35
88
5
393
759
ページ読む際に一瞬何かが視界に入ったと思ったら、このTBSのニュースサイトは polyfill\.io を読み込んでいるようですけど大丈夫でしょうか...
この手口も割と被害出てますね...
出金しようとして「タイムアウトした」40代女性 約54万円だまし取られる 副業あっせん名目で特殊詐欺の被害 富山・滑川市 | 富山県のニュース|チューリップテレビ
0
18
22
4
271
468
『みだりに個人情報を含むデータをダークウェブから取得する場合には、法第20 条第1項に違反するおそれがあると考えられます』
「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A |個人情報保護委員会
0
372
415
『パソコンを設置した業者が、遠隔操作できる「リモートデスクトップ」というシステムに誤って関係者以外もアクセスできる設定にしていたことが原因とみられる』
県が河川に設置 水位計のパソコンがサイバー攻撃受ける|NHK 秋田県のニュース
11
202
393
色々と話題のZoomですが、今度は2つのゼロデイが公開されていますね...
・root権限への権限昇格
・カメラとマイクの権限継承
『Honestly, if you care about your security and/or privacy perhaps stop using Zoom.』とのこと😅
The 'S' in Zoom, Stands for Security
1
378
397
『お客様より「支払が完了し、店舗検収印が押印された控えを受領しているにも関わらず、督促納付書が届いた」とお申し出があり、弊社に連絡が入る。』
弊社加盟店の元従業員による収納代行金着服についてのお詫びとお知らせ|ローソン
2
1K
302
『トヨタ自動車がお客様のお車を通じて取得させて頂くものであり、ドライバー様が取得しているものではありませんので、ドライバー様に取得を止めてほしいとお申し出いただいても、取得は止められません。』🥺
2021.04.08
LEXUS ‐ 車外画像データの収集・活用について
2
185
279
『ポップアップ表示されるカレンダーで選択できる「yyyy/mm/dd」以外の値を入力して検索すると、全ての会員情報(110,807件(退会者含む)が閲覧できる状態』
2022/10/04
公益財団法人全日本スキー連盟
【お知らせ】個人情報流出の可能性についてのお詫びとお知らせ
0
179
264
OpenSSHで認証無しのRCE脆弱性。ただし、攻撃には大量試行が必要で数時間かかる模様。
CVE-2024-6387
regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
2
166
253
スーパーハッカーとなってネットを探索する高評価ハッキングシミュレーター『Hacknet』が80%オフの180円で買えるセール中。実在のハッキング手段やリアルなコマンドプロンプトを使いこなし、真相を暴こう
0
56
247
『ホームページが閲覧できなかった時間帯は、県内で新型コロナウイスルの感染者が確認されたことが報じられた時間と重なり』
県のHPにまたサイバー攻撃|NHK 香川県のニュース
4
221
230
Catalyst 2960でソフトウェアアップデートをしたら障害が起きるようになり、分解して調べていったら偽造品だった模様。
The Fake Cisco
0
193
232
『サイバー攻撃が頻発する現状を「今やサイバー攻撃を受けている企業と、攻撃を受けているが気付いていない企業の2種類に大きく分かれると言ってもいい」と分析』
頻発するサイバー攻撃 河野デジタル相「企業トップは経営課題の意識を」 | カナロコ by 神奈川新聞
2
62
234
『顧客等から顔写真のある本人確認書類を撮影した画像情報の送信を受ける本人確認方法については、精巧に偽変造された本人確認書類が悪用されている実態に鑑み、廃止する』
2024年4月15日
総務省|不適正利用対策に関するワーキンググループ(第3回)
2
187
231
関連
『WebサイトがPolyfill .ioを使用している場合、直ちに削除することを強く推奨しています』
Polyfill .ioが中国企業に売却 背景と対応策は? - ろぼいんブログ
1
155
217
会社に脆弱性!?
『LINE 株式会社には、複数の整数オーバーフローの脆弱性が存在します。』
2019年09月19日
「LINE (Android版)」における複数の整数オーバーフローの脆弱性について(JVN
#97845465
):IPA 独立行���法人 情報処理推進機構
0
145
208
Node.js全バージョンに外部からDoS攻撃可能な脆弱性があるようです。7/11に公表予定。
Security updates for all active release lines, July 2017 | Node.js
2
404
202
KnowBe4がAIチームに採用した人物がMacにマルウェアを仕込もうとしたところEDRで検知。
MandiantとFBIに共有したところ北朝鮮IT技術者だったと判明。ディープフェイクにより履歴書と面談映像を加工していた模様。
How a North Korean Fake IT Worker Tried to Infiltrate Us
0
95
198
NISTサイバーセキュリティフレームワーク 2.0 が正式公開となったようです。
NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST
0
53
179
ロイターの記事だとエリクソンが認めてますね
『“We are aware of the issue and are working together with our customers to solve it as soon as possible,” an Ericsson spokesman said.』
Ericsson says working with operators to solve network outages
1
271
172
あと数時間後にOpenSSLで重大度高めの脆弱性が公表されますね...
『OpenSSL 1.1.g is a security-fix release. The highest severity issue fixed in this release is HIGH:』😨
Forthcoming OpenSSL Release
1
28
32
1
112
160
国内でも多数使われているとみられるTP-LINK Tapo C200の事前認証なしでのRCE。
外部からアクセスできるようにしているケースは稀かと思いますがご注意ください。
CVE-2021-4045
TP-Link Tapo c200 Unauthenticated RCE
0
134
156
一般向けのお知らせでRFC違反の単語が😅
『RFC違反のメールアドレス※をiOS14以降のメールアプリに設定するとドコモメール(@ docomo .ne .jp)を送信することができなくなる事象が確認されております』
iOS14アップデート後、メール送信不可となる事象に関して | NTTドコモ
1
122
149
『「初めにescapeキーを10秒押す」「その次にWindowsキーとRキーを同時に押す」という指示通りにパソコンを操作したところ、通話相手による遠隔操作が始まった』
【速報】児童200人分の個人情報『教師のPC』から漏洩『片言の日本語』指示に教師が従ってしまう
3
76
147
カンザス大学の学生がUSBタイプのキーロガー(Amazonなどで20ドル程度)を講義室の端末にさして、そこで収集したデータを使って自身の成績をFからAに改ざんして退学。教授のコメントとしては、FからいきなりAに変えるなんてよくばりな変更しなければバレなかっただろうにとのことです😅
Student Expelled for Using Hardware Keylogger to Hack School, Change Grades
0
5
4
0
157
141
『プレイ人数:3人~4人
プレイ時間:45分~1時間
学習効果:攻撃者を疑似体験することでセキュリティ対策の重要性を学ぶ』
2023年9月13日
攻撃者視点の獲得を目的としたボードゲーム:Cyber Attacker Placement | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
2
54
131
警視庁サイバーセキュリティ対策本部が例示ドメインを使わない件ですが、だいぶ前に指摘してからも改善の兆しがないのでそろそろ該当ドメインを契約して(現在未契約状態)真正面からクレーム言おうかと思いましたが、[.]co[.]comだと海外のレジストラになるのでちょっとためらいます...
2
51
129
『ポスター・チラシからQRコードで入会サイトにアクセスした際、予期せぬ不正サイトに誘導する広告が表示されることがあり、クレジットカード情報が抜き取られる被害が発生』
2023年11月9日
株式会社いなげや
ネットスーパー入会案内における注意のお知らせ
[PDF]
0
196
125
『二つの団体申込者が、ウェブサイトから申込情報をCSVファイルでダウンロードできる機能を同時に利用したところ、双方の申込情報が合わさって記載されたCSVファイルが双方でダウンロードされました』
プレス発表 ITパスポート試験における個人情報等の漏えいについて:IPA
1
212
124
SNSを使ったソーシャルエンジニアリングからマルウェア感染させて内部へ侵入とのこと。
2020-08-07
当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件(三菱重工業株式会社)
2
86
110
!?
『当該ドメインの管理を行う「パスワード」を解析し16 文字のランダム文字列を偶発的に破り、侵入したことによるものと推測』
令和6年6月19日
広島県
県主催セミナー「人的資本経営推進セミナー」の事務局メールアカウントへの不正アクセスについて
[PDF]
2
110
112
本も押収するんですね
ハッカー志望の専門学校生 他人のWi-Fiパスワード破り寄付サイトに不正にアクセスか | TBS NEWS DIG
0
29
109
他にも調査していた方がいるようですが、Azure使ったWebサイトの一斉改ざんを確認しています。
大手有名企業も多数あります。
取りあえず確認した限りでは、error.phpを使ってビジターアンケートに飛ばされます。
そのうち一部はTraffic Managerの設定が不審なことになっています。
1
91
111
.xxxはアダルトサイト向けのドメインですし、xxxx[.]xxxは既に取得済みでもあるので資料は修正した方が良いかと思います...
2020年8月25日
「情報セキュリティ10大脅威 2020」について、簡易説明資料の個人編(一般利用者向け)を公開しました。
2
71
101
NAVER Cloudはトレンドマイクロが開発したセキュリティソリューションを使用しており、LINEヤフーの個人情報流出につながったマルウェア感染は、トレンドマイクロが指定したパートナー社員のPCが原因だとの報告
[단독] ‘라인사태’ 불러온 네이버 보안, 일본 업체가 담당했다
0
93
100
『「GitHub」の当社管理下全てのソースコードを取得可能な管理者権限を持つ認証キーが、当社が運営するWebサーバー内において閲覧可能な状態であることを確認』
2022年11月10日
UUUM株式会社
個人情報流出の可能性に関するお詫びとお知らせ
0
68
102
こんなのあるんですね。
メディセキュア MediSecure 2022年5月5日号: 医療機関のためのサイバーセキュリティ対策情報誌 | SHM出版 |本 | 通販 | Amazon
0
20
100
なりすましメールでSPFなどもパスしてしまうSMTPスマグリングについて。GMXやMicrosoftなどは修正を行ったが、Ciscoについてはバグではなく仕様扱いとなったためデフォルト設定からの変更を推奨とのこと。
SMTP Smuggling - Spoofing E-Mails Worldwide
1
35
96
CVE-2021-44228
0
62
93
『岩槻警察署よりiPhone8の6桁のパスワード解除の依頼を受け、難易度の高いものでしたが無事成功し、納品致しました。その成果が殺人事件の解決に大きく貢献したとして、感謝状を授与』
デジタル鑑識分野において、デジタルデータソリューションが岩槻警察署より感謝状を授与
0
61
89
2022年5月10日
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を拡充しました (METI/経済産業省)
0
18
83
2023年11月24日
オープンソースの自動マルウェア解析システム「CAPEv2」のご紹介: NECセキュリティブログ | NEC
0
24
82
個人情報保護委員会が主要なAIサービスについて調査したところ、個人情報の処理などに一部不十分な点が見つかり、OpenAI、Google、MS、Meta、Naver、Wrtnの6社に対して対処するよう改善勧告を議決。
개인정보위, 주요 인공지능(AI) 서비스 사전 실태점검 결과 발표
0
54
80
AWSに6 つの重大な脆弱性があり、アカウントの乗っ取りが可能だった(既にAWS側で修正済み)とAqua SecurityがBlack Hatで発表。詳細は金曜日にブログ投稿予定。
AWS Patches Vulnerabilities Potentially Allowing Account Takeovers -
0
28
81
『日本サイバー犯罪対策センター(JC3)が、一般市民でもテイクダウン活動を容易にできる支援ツールを開発』
#Predator
偽サイトのテイクダウン活動「3分で…」支援ツール誕生、全国展開へ:朝日新聞デジタル
1
26
80
『これまでの提供内容を大幅に増強した観測データ17万を超えるマルウェア検体と280万を超えるマルウェアダウンロードURLを研究開発者、実務者向けに提供』
2021/6/9
横浜国立大学
【プレスリリース】I oT サイバー攻撃の大規模観測データの提供開始
0
24
80
🚨🚨🚨
まだ公式には出ていないので信憑性含め詳細は不明ですが、FortigateのSSL VPNでpre-authのRCE(CVE-2023-27997)が報告されているようです。
#Fortinet
published a patch for CVE-2023-27997, the Remote Code Execution vulnerability
@DDXhunter
and I reported. This is reachable pre-authentication, on every SSL VPN appliance. Patch your
#Fortigate
. Details at a later time.
#xortigate
25
307
726
1
34
79
『ランサムウェアの感染経路について質問したところ、115件の有効な回答があり、このうち、VPN機器からの侵入が73件で63%、リモートデスクトップからの侵入が21件で18%』
2024年3月14日
警察庁Webサイト
令和5年におけるサイバー空間をめぐる脅威の情勢等について
0
26
78
『1月4日午前9時30分ごろ、職員がデータベース検索をした際に、絞り込みを行わず市民150万人分のデータを一斉検索した』
浜松市中央区役所で一時システム障害、戸籍証明書など発行できず 現在もコンビニでは復旧せず | TBS NEWS DIG
1
69
77
マクニカが脆弱性のあるVPN機器をリストアップし、神奈川県警から利用組織へ連絡。
2023.09.07
株式会社マクニカ
マクニカ、神奈川県警察と共に神奈川県の企業に対し脆弱性リスクについて情報提供を実施~管理不十分なVPN機器によるセキュリティインシデント防止に貢献~
1
42
78
『不正アクセスと思われるアカウントから、当該サービスサーバーへ大量のアクセスが行われた為、一時的にサービスへ接続しずらい状態が発生』
2023/12/13
株式会社Welby
【ご報告】Welbyマイカルテ、塩分と血圧管理ノートへのアクセス障害について | Welby(ウェルビー)
0
56
77
『弊社システムがサイバー攻撃を受け、2021年12月31日未明、ランサムウェアに感染しました。』
2022年1月4日
東京コンピュータサービス株式会社
サイバー攻撃による被害と復旧状況について(第一報)
[PDF]
2
28
76
Google検索結果の最上位広告から偽Webex配布サイトへ遷移。
トラッキングテンプレートを悪用することで、検索結果ページの表示では正規ドメインなのにクリックすると偽サイトへリダイレクトさせるという手口😱
PSA: Ongoing Webex malvertising campaign drops BatLoader
1
41
76
令和03年10月13日
経済産業省 中国経済産業局
サイバー攻撃の脅威から会社を守る!「社会人セキュリティ人材育成講座」受講者を募集
[PDF]
0
22
74
『Microsoft社の正規のサーバをC&Cサーバとして悪用する遠隔操作プログラム(RAT)が発見された』
『標的型攻撃を行うグループによる攻撃と推定』
2023年5月11日
独立行政法人情報処理推進機構
「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年1月~3月]」
0
23
74
レクサスのRCE脆弱性(CVE-2020-5551)
Bluetooth ⇒ DCU ⇒ CAN の流れでコード実行。
Tencent Keen Security Lab: Experimental Security Assessment on Lexus Cars
1
45
73
日本に対する標的型攻撃に関してこれだけ網羅したレポートは素晴らしいですね👏
標的型攻撃の実態と対策アプローチ(第2版)
日本を狙うサイバーエスピオナージの動向 2018年度下期
[PDF]
1
39
71
令和4年7月5日
「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン」の制定について(METI/経済産業省)
0
19
72
主要EDRでも検知出来ないプロセスインジェクションテクニック"Pool Party"について。
検知出来なかったMicrosoft, Palo Alto Networks, CrowdStrike, SentinelOne, Cybereasonには情報提供済みとのこと。
New Process Injection Techniques Using Windows Thread Pools
0
23
71
『当社一部業務の委託先においてランサムウェアによる攻撃を受け、当該業務で利用するファイル共有サービスに不正なアクセスがあったことが判明』
2024年08月13日
伊藤忠テクノソリューションズ株式会社
不正アクセスによる情報漏洩のおそれについて
0
48
72
『イベントログと脅威検知に関する国際的なベストプラクティス集と��っています』
令和6年8月22日
内閣官房 内閣サイバーセキュリティセンター
豪州主導の国際文書「イベントログと脅威検知のためのベストプラクティス」への共同署名について
[PDF]
0
15
72
九州商船の「弊社WEB予約サービスに対する不正アクセスに関する最終報告」は全てのエンジニアに読んでほしい - orangeitems’s diary
1
70
68
マルウェアで使われているインフラ(C2など)をCensysを使ってハンティングするためのビギナーズガイド。
内容的にはよく使われる方法ばかりですので、Censys以外にも汎用的に使えるテクニックですね。
A Beginner's Guide to Tracking Malware Infrastructure | Censys
0
15
70
『現在、クレジットカードに比べて導入が容易なQRコード決済は乱立状況にあり、先ごろのセブンペイ不正アクセス被害は一般消費者に不信感を与えました』
『申し込んでも必要なかった場合は速やかに解約することも重要です』
神戸市:KOBEくらしのレポート令和元年8月号
0
76
66
『「国民のための情報セキュリティサイト」を全面刷新し、本ページを公開しました。 (2022/05/27) 』
総務省
国民のためのサイバーセキュリティサイト
0
24
69
3/28の18:00~19:30(UTC)にDrupalの"超重大な"脆弱性が公表予定😱
数時間以内に攻撃コードが開発される可能性もあるとのこと。重大なためサポート切れのバージョンについても対応予定。
Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001
1
113
68
『ICチップまでは偽造できないが、マイナンバーカードを身分証として提示する場合には、内蔵されているICチップの読み取りはされない。』
「こんなもの3日あればすぐ作れるよ」激増する”中国人マイナンバーカード偽造団”を直撃取材! | FRIDAYデジタル
2
53
66
『「プロバイダを特定する」など捜査の流れに沿った10問が出題され、参加した警察官はパソコンのIPアドレスを解析したり、通信記録を分析したりしてスピードや正確性を競いました』
警察官の捜査力を競う大会「マッチングアプリで投資話を持ち掛けられた」想定【佐賀県】
0
18
68
2023.10.03
AWSのサイバー攻撃についてまとめてみた(Abuse-report、Irregular activity編) – TechHarmony
0
17
68
自己流AWSセキュリティインシデント発生時のMITRE ATT&CKの活用 - Qiita
0
13
66
lnkファイルのパターンについてNISCから重要インフラ事業者に注意喚起が出た模様。
2022/04/27
公益社団法人 全国自治体病院協議会(JMHA)
Emotetの新たな感染手口に関する注意喚起(内閣サイバーセキュリティセンター)
[PDF]
0
29
66
AWSで先日リリースされたElastic IP transfer機能が攻撃ベクトルとしても使えるという調査結果。
AWSセキュリティチームにも共有し、そのフィードバックも踏まえて対策等まとめたようです。
Elastic IP Hijacking — A New Attack Vector in AWS
0
23
67
Horizon3社がFortinet製品から脆弱性40個見つけるという“Forti Forty”にトライして結局重大な脆弱性16個で終了し、そのうちの一部について詳細を公開😅
一部はゼロデイのまま。
Fortinet FortiWLM Deep-Dive, IOCs, and the Almost Story of the “Forti Forty”
0
19
66
『不正アクセスは6月14日にあった』
NTTデータ、欧州拠点で不正アクセス サイバー攻撃か - 日本経済新聞
1
28
65
攻撃手法をアクター本人が説明しているので守る側も参考になりますね。
特にカプコンへの攻撃が印象深かったようで、カプコンのネットワーク内で見つけたドメイン管理者のBabakからBabukという名前が誕生したようです。
An interview with initial access broker Wazawaka:
0
17
65
インクリボンでの漏えいは初めて見ました😮
『紛失したインクリボンには,中電病院において検査を受けられた患者さま499名分の氏名,性別,診察券ID番号,検査項目(尿検査)が印字』
2020年07月21日
中電病院における個人情報の紛失について(中国電力株式会社)
2
53
64
『「マイクロソフト365」に不正アクセスし、幹部職員らの保有する文書ファイルがハッカーに不正に閲覧されたり、外部に持ち出されたりした可能性』
想定を超えたサイバースパイの手口 JAXAが繰り返し狙われる理由:朝日新聞デジタル
1
21
62
単にランサムウェアというだけだとサーバ単独被害とシステム侵入型とが混在して適切な集計になりませんし、コロナでVPN利用が増えて云々も以前から言われているとおり不正確ですね...
KADOKAWA襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く
0
15
61
Google自身が攻撃を受けていたHTTP/2を利用したDDoSについて。
HTTP/2の実装上の問題としてCVE-2023-44487を予約したとのこと。
How it works: The novel HTTP/2 ‘Rapid Reset’ DDoS attack | Google Cloud Blog
1
27
63
Emotetへの感染確認でEmoCheckがだいぶ定番になってきましたけど、Emotetに感染したら基本的にZloader、Qbot、Trickbotなどにも追加感染させられますので、Emotet駆除して対応完了というわけでもないのですけど大丈夫でしょうかね??
(プレス見てると心配になることが多々ありますので🥺)
0
35
62
『サイバー特捜部が国内で容疑者を摘発するのは初めて』
警視庁サイバー特捜部が国内初摘発 | 2024/7/9 - 共同通信
1
8
63
『本件では、届出者が所有する130台以上の機器が、BitLockerによる暗号化の被害に遭った。』
2022年8月26日
独立行政法人情報処理推進機構
「コンピュータウイルス・不正アクセスの届出事例[2022年上半期(1月~6月)]」を公開しました。
1
38
63
Citizen Labの調査によるとZoomでの暗号化キーのやりとりは実は中国のサーバが使われているらしく、中国政府の介入などのセキュリティ面での懸念事項があるようです...
Move Fast & Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings
0
62
62
『日本でもサイバー攻撃がトップ10に4つランクインしていますが、一方で電子メールやFAX、郵便物などの誤送信・誤配送など、ヒューマンエラーによるインシデントも挙げられています。』
2021/02/15
情報セキュリティ実態調査2020に見る日本企業の実情 | 野村総合研究所(NRI)
0
20
62
ImpervaのWAFはContent-Typeヘッダー無しのPOSTリクエストで攻撃されると
すり抜ける模様😱
修正は2018年Q4目途...
可能であればContent-Typeヘッダー無しのPOSTリクエスト自体をブロックするような対応を推奨とのこと。
Policy bypass on Imperva WAF
0
42
62
AWS Client VPNで権限昇格の脆弱性。
対象は全てのプラットフォーム(Windows、MacOS、Linux)
Issue with AWS Client VPN - CVE-2024-30164, CVE-2024-30165
0
32
61
『ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、ユーザー識別子を送信しログインできてしまうため、不正にログインされる可能性があります』
2019年07月18日
【Yahoo! ID連携】実装方法再確認のお願い - Yahoo!デベロッパーネットワーク
0
53
56
『基幹システムに使用するシステム機器ではハードディスク15個で一連の機能を果たしていますが、そのうちの3個が同時に障害を起こしたものです。』
NICOSカードのシステム故障による業務遅延等の影響と対応の状況について(三菱UFJニコス株式会社)
[PDF]
1
132
57
システム侵入型ランサムウェア攻撃で考えられる手口と、各ステップでどのような対策が必要になるかがまとまっています。
『As you can see, no single tool or control can prevent a ransomware attack on its own.』
How ransomware happens and how to stop it
1
15
60
『特殊なURLエンコードですが、これは特殊な仕様なので、社内のツールだとSQLインジェクションの検出ができませんでした。』
特殊なエンコーディングには気をつけよう Apache Tapestryにおける“注意すべき仕様” - ログミーTech
0
15
59
『Microsoft 365の一部のアカウントが外部からの不正アクセスを受け、当社ならびに当社グループ会社において管理している個人情報が外部に漏えいした可能性』
2024.04.24
株式会社セガ フェイブ
不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ
1
36
59
UNC3886がVMwareのゼロデイ(CVE-2023-20867)を使ってログに残さず攻撃を行っていたとのこと。
VPX Gon' Give It to Ya: VMware ESXi Zero-Day Used by Chinese Espionage Actor to Bypass Authentication Checks and Perform Privileged Guest Operations
1
16
58
警察庁の復号のニュースに関するLockbitの反応を見ると、別に出てたESXiのケースほうは復号出来る場合があることについて認めてますけど、警察庁のほうは文句言ってますね。
0
22
57