被害状況

事件発生日	2023年8月27日
被害者名	Retoolのクラウド顧客27社
被害サマリ	Retoolの開発プラットフォームを使用しているクラウド顧客のアカウントが、ターゲットを絞ったマルチステージの社会工学攻撃によって侵害された。被害者のほとんどは仮想通貨業界の顧客であった。
被害額	不明（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	ターゲットを絞ったマルチステージの社会工学攻撃（SMSフィッシングとソーシャルエンジニアリングを使用）
マルウェア	不明
脆弱性	Retoolの開発プラットフォームとGoogle Authenticatorの連携機能を活用した攻撃

脆弱性

CVE	なし
影響を受ける製品	Chromebooks
脆弱性サマリ	Googleは、Google Chromebookのセキュリティ更新サポート期間を10年に延長することを発表しました。これにより、Chromebookはリリース後10年間、月次のセキュリティアップデートの保証を受けることができます。
重大度	なし
RCE	不明
攻撃観測	不明
PoC公開	なし

- カリフォルニア州の検事総長によると、GoogleはAndroidの位置情報追跡に関するプライバシー訴訟で、カリフォルニア州の消費者保護法を違反したとして、9300万ドルの和解金を支払うことになった。
- カリフォルニア司法省の調査によると、Googleは消費者のプロファイリングや広告などの目的で、正式な同意を得ずにAndroidユーザーの位置情報を収集し、保持、利用するなど、詐欺的な行為に関与していたと判明した。
- 苦情はGoogleのユーザーの位置情報の追跡に焦点を当てており、ユーザーがデバイスの設定で「位置情報履歴」をオフにしたと思っていたにもかかわらず、Googleはデフォルトで「Web＆Appのアクティビティ」を有効にしており、個人を特定できる位置情報データを収集、保持、利用していた。
- 和解金の一部として、Googleはよりユーザーフレンドリーなアカウントコントロールを導入し、特定の位置情報データカテゴリの使用と保持を制限することに同意した。
- Googleはまた、位置情報に関連するアカウント設定が有効にされるたびに、ユーザーに追加の情報を提供することで、位置データの追跡と収集の実施方法についてもより詳細な情報を提供する必要がある。

【参照記事】https://www.bleepingcomputer.com/news/technology/google-pays-93m-to-settle-android-tracking-lawsuit-in-california/

被害状況

事件発生日	2023年9月6日
被害者名	ORBCOMM（トラッキングおよびフリート管理ソリューションプロバイダ）
被害サマリ	ランサムウェア攻撃により、トラッキング業務およびフリート管理ができない状態となり、トラッキング業者がトラックの運行ができなくなった
被害額	記事には記載なし（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	ランサムウェア攻撃
マルウェア	不明
脆弱性	不明

- アイルランドデータ保護委員会（DPC）は、TikTokに対して、子供の個人情報保護違反に対して3億4500万ユーロ（約368億円）の罰金を課した。
- アイルランドのデータ保護当局は、2020年7月31日から12月31日までの期間におけるTikTokのデータ処理の方法について調査した結果、同社がEUの一般データ保護規則（GDPR）の5(1)(c)、5(1)(f)、24(1)、25(1)、25(2)、12(1)、13(1)(e)、5(1)(a)の条項に違反していると判断した。
- もっとも懸念されるのは、TikTokのプロフィール設定が子供のアカウントに対して公開可能な状態であることであり、投稿されたコンテンツがプラットフォーム内外の誰にでも見えるようになっていることである。
- TikTokの「ファミリーペアリング」機能も問題視され、未成年であることを証明できない非未成年ユーザーが16歳以上の未成年アカウントとリンクすることが可能となり、未成年ユーザーのリスクが高まる可能性がある。
- DPCは、TikTokに対して3450万ユーロの罰金を課し、厳格な3ヶ月の期限内にデータ処理の方法を規制に適合させるよう指示した。

被害状況

事件発生日	2023年9月15日
被害者名	不明
被害サマリ	Bing Chatが接続障害により利用できない状況。この障害は、アジア地域とアメリカで報告されており、Bing Chatに依存するすべてのサービスに影響を与えている。具体的には、Microsoft Edgeのサイドバー、AndroidのSwiftKey、Windows 11のCopilot統合などが影響を受けている。
被害額	不明（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	不明
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	Sep 15, 2023
被害者名	不明
被害サマリ	1386人がランサムウェア攻撃の被害に遭い、そのうちMOVEit攻撃は600人以上の被害者を出した。
被害額	4.45百万ドル (予想)

攻撃者

攻撃者名	不明
攻撃手法サマリ	不明
マルウェア	不明
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	Automated threat intelligence is important in cybersecurity, but humans still play crucial roles in the process.
重大度	なし
RCE	不明
攻撃観測	不明
PoC公開	なし

- グーグルは、カリフォルニア州のプライバシー位置情報の訴訟で9,300万ドルの和解金を支払うことに同意した。 - カリフォルニア州の検事総長によると、グーグルは利益のためにユーザーの位置情報を追跡し続けていた。 - カリフォルニア州は、グーグルが「Location History」の設定が無効化されている場合には情報を保存しないと主張していたにもかかわらず、他の情報源を通じて位置情報を収集していると主張した。 - グーグルは、2019年に40の州との類似の訴訟で3億9150万ドルを支払うことに合意していた。 - グーグルはまた、ユーザーに対して位置情報に関するより多くのコントロールと透明性を提供することにも同意した。 =========================================

1. グーグルは、カリフォルニア州のプライバシー位置情報の訴訟で9,300万ドルの和解金を支払うことに同意した。
2. カリフォルニア州の検事総長によると、グーグルは利益のためにユーザーの位置情報を追跡し続けていた。
3. カリフォルニア州は、グーグルが「Location History」の設定が無効化されている場合には情報を保存しないと主張していたにもかかわらず、他の情報源を通じて位置情報を収集していると主張した。
4. グーグルは、2019年に40の州との類似の訴訟で3億9150万ドルを支払うことに合意していた。
5. グーグルはまた、ユーザーに対して位置情報に関するより多くのコントロールと透明性を提供することにも同意した。

- NodeStealerマルウェアが複数のウェブブラウザでFacebookビジネスアカウントを標的にしている。
- このキャンペーンは、ユーザーの資格情報を収集するために偽のメッセージを送信し、アカウントを乗っ取ることを目的としている。
- NodeStealerは、JavaScriptマルウェアから派生したもので、ウェブブラウザのCookieやパスワードを盗み、FacebookやGmail、Outlookなどのアカウントを侵害することができる。
- 最新の調査結果によると、ベトナムの脅威の背後にいる攻撃者は、他の同じ目的を持つアドバーサリと同じ手法を使って攻撃を再開した可能性がある。
- このキャンペーンは、Facebookのコンテンツデリバリーネットワーク上にホストされているRARファイルを配布するためのベクトルとして働き、Facebookビジネスページの所有者や管理者を騙すために欠陥のある製品の画像が使用されている。

脆弱性

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	IoTデバイスを悪用したDDoS攻撃が増加している
重大度	不明
RCE	不明
攻撃観測	有
PoC公開	不明