セキュリティニュースまとめる君 Github
vulnerability
2023-04-13 04:35:00

被害状況

事件発生日不明(2023年4月13日に関するニュース)
被害者名OpenAI
被害サマリOpenAIのAIチャットボットChatGPTのシステムにおいて、アカウント乗っ取りやデータ漏洩の欠陥が発覚し、イタリアのデータ保護局に注目された。これを受けてOpenAIは、システムの安全性確保を目的に、報奨金プログラムを導入した。
被害額不明(報奨金プログラム導入に伴う被害額ではないため)

攻撃者

攻撃者名不明(報奨金プログラム導入に伴う攻撃ではないため)
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品OpenAI ChatGPTおよびその関連製品
脆弱性サマリOpenAI ChatGPTで見つかった脆弱性の報告に対して報奨金を提示するBug Bounty Programを設立
重大度高(報奨金が$200から$20,000まで)
RCE不明
攻撃観測不明
PoC公開不明
OpenAIのChatGPT AIチャットボットに関連する脆弱性報告に対して、報奨金を提示するBug Bounty Programを設立したというニュース。報奨金は$200から$20,000までであり、報告された脆弱性の重大度に応じて支払われる。報告対象となるのは、OpenAI API、ChatGPT (including plugins)、third-party integrations、公開されたAPIキー、および同社が運営するドメインである。ただし、モデルの安全性や幻覚問題(チャットボットが悪意のあるコードや不良出力を生成する場合)はカバーしていない。また、DoS攻撃、OpenAI APIへのブルートフォース攻撃、データの破壊や機密情報への不正アクセスを意図するデモンストレーションも禁止されている。

incident
2023-04-12 19:40:27

被害状況

事件発生日2023年第1四半期
被害者名Cloudflare(インターネットセキュリティ企業)
被害サマリDDoS攻撃が、以前はハッキングされたIoTデバイスを利用していたのに対し、今は不正API資格情報や既知の脆弱性を利用してVPS(仮想プライベートサーバー)を荒らしている。更に、新しいボットネットは、一つひとつが強力なもので、時にはIoTベースのボットネットの5,000倍強力になることがある。
被害額不明(記事には記載なし)

攻撃者

攻撃者名不明、国籍などの特徴不明
攻撃手法サマリ不正API資格情報や既知の脆弱性を利用してVPSを利用してのDDoS攻撃
マルウェア特定なし
脆弱性不正API資格情報や既知の脆弱性を利用した攻撃に依存

other
2023-04-12 19:08:02
1. Redditのネイティブモバイルアプリがダウンしているため、ユーザーはアプリにアクセスできない。
2. ユーザーは、「No Internet」、「Sorry, please try again later」、「Let's try that again」などのエラーメッセージを報告している。
3. Redditは状況を調査中であり、現在の問題はiOSデバイスに影響を与えている。
4. Downdetector.comによると、数万人のユーザーがアプリやサーバーの接続に関する問題を報告している。
5. 以前にもRedditはダウンしたことがあり、3月14日には大規模なダウンがあり、1か月前には4時間にわたるサービスの一部停止があった。

vulnerability
2023-04-12 18:19:25

脆弱性

CVECVE-2023-25954
影響を受ける製品KYOCERA Mobile Print v3.2.0.230119 以前 (Google Playで100万ダウンロード), UTAX/TA Mobile Print v3.2.0.230119 以前 (Google Playで10万ダウンロード), Olivetti Mobile Print v3.2.0.230119 以前 (Google Playで10千ダウンロード)
脆弱性サマリKyocera Androidアプリ(上記の製品)は、不適切なintent handling に脆弱で、他の悪意のあるアプリケーションが、この欠陥を悪用してデバイス上にマルウェアをダウンロードおよびインストールできる。
重大度非公開
RCE不明
攻撃観測不明
PoC公開なし

incident
2023-04-12 17:31:26

被害状況

事件発生日2023年4月
被害者名Microsoft Windows サーバー利用者
被害サマリWindows メッセージ キューイング (MSMQ) の脆弱性 (CVE-2023-21554) により、不特定の攻撃者がリモートからコード実行が可能になるため、約360,000台のサーバーが影響を受け、一部に悪用された。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリMSMQ の脆弱性 (CVE-2023-21554) を悪用した攻撃
マルウェア不明
脆弱性CVE-2023-21554

vulnerability
2023-04-12 16:39:59

被害状況

事件発生日2023年4月
被害者名不明
被害サマリBlackLotus UEFI bootkitを用いた攻撃によるマルウェア感染
被害額不明

攻撃者

攻撃者名不明、国籍等も不明
攻撃手法サマリCVE-2022-21894の脆弱性を悪用したBlackLotus UEFI bootkitを使用した攻撃
マルウェアBlackLotus UEFI bootkit
脆弱性CVE-2022-21894

脆弱性

CVECVE-2022-21894
影響を受ける製品UEFI対応製品
脆弱性サマリBlackLotus UEFI bootkitが、CVE-2022-21894を悪用して攻撃し可能性がある。
重大度
RCE
攻撃観測
PoC公開不明
Microsoftが、UEFI対応製品に対する脅威である、BlackLotus UEFI bootkitの攻撃に関する、検出及び回避の手順を公開した。この脅威は、対象のマシンを最初に攻撃してからそれを管理するのに使われるため、攻撃自体を防ぐ方が重要である。UEFIのマルウェアは、OSよりも早く実行されるため、検出が困難である。攻撃の手掛かりとして、ブートパーティションのファイルやレジストリ変更、ネットワークログなどを監視することで発見できるとしている。

incident
2023-04-12 14:55:52

被害状況

事件発生日2023年4月(日付不明)
被害者名ヒュンダイのフランスおよびイタリアでの所有者と試乗予約者
被害サマリヒュンダイのデータベースから個人データ(電子メールアドレス、住所、電話番号、車のシャシー番号)がアクセスされ、漏洩した。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア利用されていない情報
脆弱性利用されていない情報

other
2023-04-12 14:05:10

被害状況

事件発生日2023年4月12日
被害者名KFC、Pizza Hutオーナー(未公開)
被害サマリランサムウェア攻撃によりデータ漏洩。被害者の詳細は未公開。
被害額不明

攻撃者

攻撃者名不明(ランサムウェア攻撃)
攻撃手法サマリランサムウェア攻撃によるデータ漏洩
マルウェア不明
脆弱性不明

脆弱性

CVECVE番号なし
影響を受ける製品外部のウェブアプリケーション
脆弱性サマリInjection Attacks, Broken Authentication, Sensitive Data Exposure, Security Misconfigurations, XML External Entities, Using Components With Known Vulnerabilities, Insufficient Logging & Monitoring, Cross-Site Scripting (XSS), Insecure Deserialization, Broken Access Control
重大度不明
RCE不明
攻撃観測Web Application Firewallを導入することで防御可能
PoC公開なし
脆弱性は外部のウェブアプリケーションに関連しており、Injection Attacks, Broken Authentication, Sensitive Data Exposure, Security Misconfigurations, XML External Entities, Using Components With Known Vulnerabilities, Insufficient Logging & Monitoring, Cross-Site Scripting (XSS), Insecure Deserialization, Broken Access Controlの脆弱性が存在する。重大度やRCEなどは不明だが、Web Application Firewallの導入によって攻撃を防御することができる。PoCは公開されていない。1. Webアプリケーションは、セキュリティリスクが大きく、 Injection AttacksやBroken Authentication、Security Misconfigurationsなどのような脆弱性が存在しがちである。 2. ログ取得や暗号化などの対応策に加え、Penetration Testing as a Service(PTaaS)を用いることが勧められている。 3. PTaaSは、人手によるテストと自動スキャンを組み合わせ、攻撃者が脆弱性を見つけるよりも速く、脆弱性を特定して対処することができる。 4. 企業に対する攻撃には、特に銀行が狙われる傾向にあり、機密情報の漏洩や会社全体への打撃などの深刻な被害が出ることもある。 5. 本記事はOutpost24からスポンサー提供されたものである。

other
2023-04-12 13:48:50
- Microsoft Bingが新しい検索結果を導入し、検索クエリに対するChatGPT応答を追加
- いくつかの場合、代わりに特集スニペットではなく、Bing AIがクエリに対する回答を表示し、チャットボットとの会話を継続するためのプロンプトも表示される
- この更新により、独立したコンテンツ作成者にとって問題が発生する可能性があり、Bingが複数のソースからコンテンツを要約して1つの回答として提示するため、個々のWebサイトへのクリックスルーが減る可能性がある
- これにより、広告収入とページビューに依存しているコンテンツ作成者にとって問題がはずみ、スニペットがAIによって生成されるため、Bing AIが提供する回答の正確性に関する問題がある可能性がある
- Microsoft Bingは、次世代のOpenAI ChatGPT4言語モデルによって駆動しており、Web検索用に特別にトレーニングされているため、より正確で関連性の高い検索結果を提供できるようになったと言われている。

incident
2023-04-12 11:58:00

被害状況

事件発生日2021年
被害者名ジャーナリスト、政治的反対勢力、NGOの労働者(被害者名は不明)
被害サマリイスラエルの監視ソフトウェアベンダーであるQuaDreamから派生したハッキングツールを使用した攻撃。北米、中央アジア、東南アジア、ヨーロッパ、中東の市民社会の少なくとも5人が攻撃のターゲットになった。
被害額不明(予想:情報漏えいのため数百万~数億円の損失が発生した可能性がある)

攻撃者

攻撃者名イスラエルの監視ソフトウェアベンダーQuaDream
攻撃手法サマリiOS 14のゼロクリック脆弱性ENDOFDAYSを利用して、スパイウェアを展開し、被害者のiCloudのカレンダーに送信された予定表への無形の招待を使用した攻撃
マルウェアKingsPawn
脆弱性iOS 14のゼロクリック脆弱性ENDOFDAYS

«123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458459460461462463464465466467468469470471472473474475476477478479480481482483484485486487488489490491492493494495496497498499500501502503504505506507508509510511512513514515516517518519520521522523524525526527528529530531532533534535536537538539540541542543544545546547548549550551552553554555556557558559560561562563564565566567568569570571572573574575576577578579580581582583584585586587588589590591592593594595596597598599600601602603604605606607608609610611612613614615616617618619620621622623624625626627628629630»(全6298件)