News クッキー・バイト攻撃のPoCがChrome拡張機能を使ってセッショントークンを盗む
Cookie-Bite」と呼ばれる概念実証攻撃は、ブラウザ拡張機能を使用してAzure Entra IDからブラウザセッションクッキーを盗み出し、多要素認証(MFA)保護を回避してMicrosoft 365、Outlook、Teamsなどの...
News 
News ユーザートークンのロギングミスによるMicrosoft Entraアカウントのロックアウト
マイクロソフト社は、週末に発生したEntraアカウントのロックアウトは、社内システムに誤ってログインした短命のユーザーリフレッシュトークンの無効化が原因であったことを確認した。 土曜日の朝、多くの組織から、アカウントが認証情報を漏えいし、ア...
News Scallywagのアドフラウド活動により、1日あたり14億件の広告リクエストが発生した。
Scallywag」と呼ばれる大規模な広告詐欺活動が、特別に細工されたWordPressプラグインを通じて海賊版サイトやURL短縮サイトを収益化しており、1日に数十億の不正リクエストを生み出している。 Scallywagは、ボットと詐欺の検...
News Google OAuthを悪用したDKIMリプレイ攻撃でGoogleになりすますフィッシャーたち
かなり巧妙な攻撃で、ハッカーは、Googleのシステムから配信されたように見せかけ、すべての検証をパスしながら、ログインを収集する不正なページを指す偽の電子メールを送信することができる弱点を活用した。 攻撃者はGoogleのインフラを活用し...
News 国策ハッカーがクリックフィックスのソーシャル・エンジニアリングを採用
北朝鮮、イラン、ロシアの複数のAPT(Advanced Persistent Threat:高度持続的脅威)グループが、最近のスパイ活動でこの手法を採用するなど、ClickFix攻撃は脅威関係者の間で人気を集めています。 ClickFixは...
News 新セキュリティ機能導入に伴うマイクロソフト・エントラのロックアウトが多発
多数の組織のWindows管理者が、MACEと呼ばれる新しいMicrosoft Entra IDの「漏えいした認証情報」検出アプリの展開において、誤検知によって引き起こされた広範囲に及ぶアカウントロックアウトを報告している。 これらのアラー...
News 新しいAndroidマルウェアがNFCリレー攻撃のためにクレジットカードを盗む
SuperCardX」と名付けられた新しいマルウェア-アズ-ア-サービス(MaaS)プラットフォームが出現し、侵害されたペイメントカードデータを使用してPOSやATM取引を可能にするNFCリレー攻撃によってAndroidデバイスを標的にして...
News Erlang/OTPのSSH RCEの重大なバグが公開された。
CVE-2025-32433として追跡されているErlang/OTP SSHの重大な脆弱性に対して、悪用可能なパブリック・コードが公開されており、認証されていない攻撃者が影響を受けたデバイス上でリモートからコードを実行できるようになっている...
News Interlockランサムウェア集団、ClickFix攻撃で偽ITツールを押し付ける
Interlockランサムウェアの一団は現在、ITツールになりすますClickFix攻撃を使って企業ネットワークに侵入し、デバイス上にファイル暗号化マルウェアを展開している。 ClickFixはソーシャル・エンジニアリングと呼ばれる手口で、...
News ASUS、AiCloudを使用するルーターに重大な認証バイパスの欠陥があると警告
ASUS は、AiCloud を有効にしたルーターに認証バイパスの脆弱性があり、リモートの攻撃者にデバイス上の機能を不正に実行される可能性があるとして注意を呼びかけている。 この脆弱性はCVE-2025-2492で追跡され、クリティカル(C...