Javaのログ出力ライブラリであるApache Log4jでゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」について、概念実証コードが日本時間の2021年12月10日に公開されました。このLive4Shellを突いてリモートコード実行を可能にするエクスプロイトの確認報告がさまざまなところで挙がっていますが、このLog4Shellエクスプロイトが概念実証コード公開前…
紹介世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていたの続きを読む
Googleが実装を進めているChrome拡張機能の新仕様「Manifest V3」は、ユーザーのプライバシーやセキュリティ、パフォーマンスを向上させるものとされています。ところが、Manifest V3によって広告ブロッカーなどの機能が大幅に制限されるとの批判もあり、デジタルにおける言論の自由を擁護する非営利団体・電子フロンティア財団(EFF)も、「Manifest V3は詐欺的で脅迫的です」と…
紹介Chrome拡張機能の新仕様「Manifest V3」は非常に有害だと電子フロンティア財団が非難の続きを読む
インターネットユーザーの中には、ウェブサイトの閲覧時に邪魔な広告が表示されるのを防ぐため、さまざまな「広告ブロックツール(広告ブロッカー)」を使用する人もいます。新たに、アメリカの中央情報局(CIA)やアメリカ国家安全保障局(NSA)といった情報機関が、「危険な広告」を避けるために広告ブロッカーを使用していることが判明しました。続きを読む……
紹介CIAやNSAなどの情報機関は「危険な広告」による被害を避けるために広告ブロッカーを使っているの続きを読む
2020年にアメリカ政府機関や民間企業を対象に行われた大規模サイバー攻撃で用いられた「Orion Platform」を提供するSolarWindsが、2021年7月9日に、FTPサーバーソフトウェア「Serv-U」にゼロデイ脆弱(ぜいじゃく)性が発見されたことを報告しています。続きを読む……
紹介有名FTPサーバーソフト「Serv-U」にゼロデイ脆弱性が見つかる、SolarWindsは修正パッチをリリースの続きを読む
AppleはiOSアプリの流通を自社の運営するアプリストア「App Store」だけに制限しており、これが独占禁止法に違反している可能性があるとして、調査が進められています。AppleはApp Store経由でアプリがインストールされることでユーザーのプライバシーとセキュリティを高めていると説明していますが、これに対し欧州委員会(EC)の副委員長が警告しました。続きを読む……
紹介Appleは「セキュリティとプライバシー」を理由にして競争を妨害すべきではないとECが警告の続きを読む
世界的なコンピューター関連企業であるIBMでメールシステムの移行に問題が生じたため、多くの従業員が電子メールを使用できなくなってしまったと、テクノロジー系ニュースサイトのThe Registerが報じました。従業員の中には最高財務責任者(CFO)を非難する人物も現れているほか、他企業の採用担当者から「どうしてまだIBMに在籍しているの?あそこは電子メールすらまともに処理できないのに」とスカウトされ…
紹介IBM社内のメールシステム移行に問題が発生、数日間にわたり従業員がメールを使えない事態にの続きを読む
コンピューターネットワークをウイルスやハッキングなどの脅威から効率的かつ包括的に保護するための統合脅威管理製品を開発・提供するフォーティネットの仮想アプライアンスがハッキングされ、アメリカの地方自治体が運用するウェブサーバーが侵害されたと連邦捜査局(FBI)が発表しました。続きを読む……
紹介FBIが「フォーティネット製品の脆弱性を利用したハッカーが地方自治体のサーバーを侵害した」と発表の続きを読む
招待制のiOS向け音声SNSアプリClubhouseについて、「ユーザーのIDや氏名などを含む個人情報が130万件漏えいした」と報道されています。これに対し、Clubhouse側は「漏えいしたとされているのは元から公開されているデータである」として、報道を否定しました。続きを読む……
紹介音声SNS「Clubhouse」から130万件の個人情報が漏えいしたとの報道、ClubhouseのCEOは「元から公開されているデータ」と報道を否定の続きを読む
Microsoftが開発したメッセージングプラットフォームであるMicrosoft Exchange Serverが、セキュリティブログのKrebs on Securityなどの名前を呼び出すマルウェアに感染したことが明らかになっています。しかし、Krebs on Securityを運営するBrian Krebsさんは、「私はMicrosoft Exchange Serverをハッキングしていませ…
紹介Microsoft Exchange Serverのハッキングに自身のブログ名を使われた人物が「私はハッキングしていない」と説明の続きを読む
顧客管理システム大手のSalesforceが、自身のGitHubリポジトリにAWSアカウントを攻撃できるツール「Endgame」を公開しました。Endgameのリポジトリはすでに削除されていますが、記事作成時点ではインターネット・アーカイブで閲覧することができます。続きを読む……
紹介AWSアカウント攻撃ツールをSalesforceがリリースするも速攻で削除されるの続きを読む
ビットコインに次いで2番目に高い時価総額を誇る暗号資産のイーサリアムは、スムーズに契約の締結や履行を行うプロトコルであるスマート・コントラクトを念頭に開発されたことから、金融システムとの親和性が高い暗号資産として注目集めています。そんなイーサリアムの特徴の1つである「DeFi(Decentralized Finance:分散型金融)」について、スイス・バーゼル大学でフィンテックを教えているファビア…
紹介既存の金融システムを塗り替える暗号資産の「分散型金融(DeFi)」のメリットとデメリットとは?の続きを読む
新型コロナウイルスの影響により、人々は対面ではなく「Zoom」や「Google Meet」などのオンラインツールを使って会議などを行うようになりました。しかしオンラインツールの流行に伴い、悪意のある人物が会議に参加して荒らしや嫌がらせを行う、通称「Zoom爆撃」が多数発生する事態となっています。ツール提供側もさまざまな対策を施してはいますが、研究者たちは「そのほとんどが無意味だ」とする研究論文を発…
紹介Zoom会議の荒らし対策はほとんど意味がないという指摘の続きを読む
YouTubeには他のウェブサイトにYouTubeのムービーを再生するプレイヤーを埋め込めるHTMLタグを出力する機能があります。埋め込みプレイヤーはムービーの再生や停止といった操作の他に、再生リストなどにもアクセスできる便利な存在。しかし、そんなYouTubeの埋め込みプレイヤーに「再生履歴や非公開のムービー」が漏えいする脆弱(ぜいじゃく)性があったと、発見者であるDavid Schütz氏が語…
紹介YouTubeの「埋め込みプレイヤー」から再生履歴や非公開のムービーが流出する脆弱性の続きを読む
ユーザーごとに異なるデータを提供するため、ログイン機能を搭載しているウェブサイトは多数存在します。しかし、ユーザー側はウェブサイトに搭載されたログイン機能の「認証方式」まで気にすることはあまりないはず。そんなウェブサイトの認証方式について、代表的な6つの方式をエンジニアのAmal Shaji氏が解説しています。続きを読む……
紹介ウェブサイトのさまざまな「認証方式」をまとめて比較した結果がコレの続きを読む
ロシアには政府機関の支援を受けるハッカーグループが存在し、2020年アメリカ大統領選挙や東京オリンピックの主催者・スポンサーへの攻撃を行っていたことが報じられています。新たに、アメリカの政府機関と契約を結ぶサイバーセキュリティ企業にロシアのハッカーがハッキングを仕掛け、アメリカ財務省をはじめとする国家機関の電子メールを監視していたと報告されました。続きを読む……
紹介ロシア政府の支援を受けるハッカーがアメリカ政府機関をハッキングしてメール内容などを監視していたことが判明の続きを読む