• Alibaba Cloud ゼロトラストの実践: 実稼働ネットワークにおける ID とネットワークのマイクロ分離 Alibaba Cloud ゼロトラストの実践: 実稼働ネットワークにおける ID とネットワークのマイクロ分離
  • Apache Struts2 フレームワークのリモート コード実行の脆弱性 Apache Struts2 フレームワークのリモート コード実行の脆弱性

トピックの紹介 最高セキュリティ責任者 - セキュリティ専門家のシンクタンク 最高セキュリティ責任者になるには

  • ダークウェブで販売されているWindowsのローカル特権昇格(LPE)ゼロデイ脆弱性

    ダークウェブでは、最新バージョンを含む複数のバージョンのWindowsオペレーティングシステムに影響を及ぼすとされる、Windowsのローカル特権昇格(LPE)ゼロデイ脆弱性が販売されている。この憂慮すべき事態は、脅威行為者が脆弱性の詳細な仕様と機能を提供するアンダーグラウンドのマーケットプレイスを通じて公開された。

  • [CVE-2024-32002] Git Code バージョン管理ソフトウェアに POC/Exploit によるリモートコード実行の脆弱性

    CVE-2024-32002は、運用中にRCE git cloneを可能にするGitの脆弱性です。サブモジュールを含むリポジトリを特定の方法で細工することで、攻撃者はファイルシステム上で大文字小文字を区別しないシンボリックリンクの処理を使用して、.git/ディレクトリにファイルを書き込むことで悪意のあるフックを実行することができます。

    2024年5月28日付、駐日欧州委員会代表部からの書簡
    01.4K0
  • GitHub Enterprise Serverに高リスクの深刻な認証バイパス脆弱性

    GitHub Enterprise Server (GHES) で SAML シングルサインオン (オプションの暗号化アサーション付き) を使用している場合、認証バイパスの脆弱性が攻撃者に悪用され、SAML レスポンスを偽装してサイト管理者権限を設定・取得される可能性があります。これにより、攻撃者は事前の認証なしにインスタンスに不正アクセスできるようになります。

    2024年5月22日付の書簡
    01.2K0
  • 英国政府の人工知能(AI)安全研究所が新しいAI安全評価プラットフォームを発表

    人工知能セキュリティ・リサーチは、AIモデルの安全性と性能を評価するために設計されたオープンソースのテストプラットフォームであるInspectをリリースした。Inspectは、AIモデルの中核となる知識、推論、自律性を検出し、グローバルなAIコミュニティの発展を促進し、InspectはAIセキュリティ研究の礎石となる。

    2024年5月17日付の書簡
    01.5K0
  • Google Cloudがユーザーアカウントを誤って削除し、データ損失とビジネスダウンタイムの長期化につながる。

    ガーディアン紙によると、グーグル・クラウド・サービスは最近、オーストラリアのUniSuperファンドのクラウド契約アカウントが削除され、サービスが1週間にわたって中断するという、これまでにない大規模な設定ミスに見舞われた。
    ユニスーパーは非営利の年金基金で、約1250億ドルという巨額の資金を運用し、50万人以上の投資家がいる。
    UniSuperはGoogle Cloudの2つのクラウド領域にデータのバックアップをとっていたが、今回の重大インシデントはアカウントの削除が原因で、両方のバックアップが同時に失われ、保護ができなかった。
    UniSuperが他のストレージプロバイダーにもデータをバックアップしていたことが幸いし、この事故による被害を最小限に抑え、UniSuperがGoogle Cloud上のデータを復旧するプロセスを加速させることができました。

    2024年5月13日付、駐日欧州委員会代表部からの書簡
    01.3K0
  • パロアルトネットワークスのファイアウォールにゼロデイ脆弱性、ハッカー集団が侵入したバックドアでデータを盗む

    Palo Alto NetworksのPAN-OSソフトウェアに存在する致命的なゼロデイ脆弱性(CVE-2024-3400)が、ハッカーグループUTA0218によって「Operation Midnight Eclipse」のコードネームで攻撃キャンペーンで積極的に悪用されています。この脆弱性により、攻撃者はPythonバックドアを仕掛け、システム特権を獲得し、被害者のネットワーク上で横移動とデータ窃盗を行うことができます。影響を受けるデバイスには、GlobalProtectゲートウェイおよびデバイスのテレメトリーが有効になっているPAN-OS 10.2、PAN-OS 11.0、およびPAN-OS 11.1ファイアウォールが含まれます。パロアルトネットワークスは、修正パッチを含むセキュリティアドバイザリを発行しており、ユーザーはできるだけ早くアップデートすることを推奨しています。

    2024年5月7日付の書簡
    01.7K0
  • サイバーキルチェーンの初期段階で攻撃者を発見する方法

    不審な活動がより深刻な脅威に発展する前に検知し、阻止する方法。例えば、OSINT(オープン・ソース・インテリジェンス)技術とネットワーク・トラフィック・モニタリングを利用することで、組織は攻撃者の一歩先を行くことができ、壊滅的なサイバー攻撃からネットワークと機密データを守ることができる。

    2024年4月24日付、駐日欧州委員会代表部からの書簡
    01.5K0
  • オープンソースソフトウェアGrafanaプラットフォームSQLインジェクションのハイリスク脆弱性

    オープンソースソフトウェアのgrafanaにインジェクションの脆弱性が存在し、攻撃者は/api/ds/query apiへのpostリクエストを使用することができ、彼らは悪意のあるSQL文字列を実行するために "rawSql "ファイルを変更することができます。

    常駐代表からの2024年4月23日付書簡
    01.7K0
  • データファイナンス:データ資産化の潜在的規模の評価査定

    中国のデータファクター市場の発展は、資源化から資産化への道を歩んでおり、データ資産化の典型的な特徴は、データが生成主体以外の広い範囲に流通することで、生産ファクターとしての役割を果たすことができることである。
    具体的なデータ資産評価方法としては、既存文献で精緻化されている主なものに、原価法、市場法、収益法、評価技法法がある。原価法については、運用が簡便で着地しやすいという特徴がある反面、価値が過小評価されやすく、正確な測定が難しいという欠点がある。マーケット・アプローチは、より客観的で真にデータ資産の価値を反映することができ、市場に受け入れられやすいが、開かれた活発な取引市場が必要であるため、短期的に広く実践することは困難である。また、インカム・アプローチは、データの本質的価値をより明確にすることができるものの、データ資産の将来の収益を確実に測定することが困難であるため、運用の着地が難しい。バリュエーション手法については、データの真の価値を十分に反映し、活発な市場を必要とせず、データ資産の将来の収益を正確に測定する必要がないという利点があるものの、モデルを訓練するためにデータ資産の価値に関する大量のデータを事前に入手する必要があるため、まだ探索段階にある。

    常駐代表からの2024年3月18日付書簡
    02.5K0
  • スピードと "隠れた危険":インスタント・デリバリー業界の裏に隠された危機

    業界の現状 現在、住民の消費はオンライン化の傾向を示しており、消費の主力の変化に伴い、即時配送サービスの需要はさらに高まっている。データによると、25%近くの消費者が月に10回以上即配サービスを利用しており、毎月即配サービスを利用する消費者は...。

    常駐代表からの2024年3月11日付書簡
    01.8K0
さらに投稿を読み込む