悪意のあるバージョンへと改ざん
セキュリティ企業のChrome拡張機能を“乗っ取り” その巧妙な手口とは?
攻撃者がセキュリティベンダーCyberhavenの「Chrome拡張機能」を改ざんし、悪意のあるバージョンを「Chrome Web Store」で公開していたことが判明した。攻撃者はどのような手口を悪用したのか。(2025/1/17)
セキュリティニュースアラート:
OAuthを悪用した高度な攻撃「同意フィッシング」に注意 SaaS乗っ取りのリスク
正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。(2025/1/8)
クックパッド、公式インスタ“乗っ取り”で個人情報漏えいか 「詳細は調査中」 アカウントは復旧済み
クックパッドは、公表していたInstagramの公式アカウント(cookpad_jp)の乗っ取り被害により、個人情報が漏えいした可能性があると発表した。ダイレクトメッセージの内容にあった個人情報が第三者に閲覧されたおそれがある。(2024/12/24)
バーチャル音楽フェスの公式X“乗っ取り”で個人情報など流出か JVCケンウッド公表
JVCケンウッドは20日、バーチャル音楽フェス「MAGICAL JUKE BOX」で使用したGoogleアカウントが第三者の不正アクセスを受けた件で、流出した可能性がある情報を明らかにした。(2024/11/20)
実写版「推しの子」公式Xアカウントが乗っ取り被害に 不審なメッセージなどに注意呼び掛け
実写版「推しの子」の公式Xアカウントが乗っ取り被害に遭った。1日に東映映画の公式Xアカウントが注意喚起している。(2024/11/1)
LINE公式アカウントから“友だち”ユーザーに不審なメッセージ送信 「LINEビジネスID」156件で乗っ取り被害
LINE公式アカウントなどに必要な「LINEビジネスID」がパスワードリスト型攻撃による乗っ取り被害にあい、対象のアカウントを“友だち”登録していたユーザーに不審なメッセージが送信されるなどの問題。(2024/10/25)
バーチャル音楽フェスのYouTubeチャンネルが“乗っ取り被害”に JVCケンウッドが公表
JVCケンウッドは2日、バーチャル音楽フェス「MAGICAL JUKE BOX」で使用したGoogleアカウントが第三者の不正アクセスを受け、公式YouTubeチャンネルや公式Xアカウントが乗っ取られたと発表した。(2024/10/2)
セキュリティニュースアラート:
UNIXなどで使われる印刷システム「CUPS」に深刻な脆弱性 推奨される対策は?
UNIXなどで広く使用されている印刷システム「CUPS」のcups-browsed機能に深刻な脆弱性が見つかった。この脆弱性はリモートコード実行やプリンタ設定の乗っ取りに悪用される可能性がある。(2024/9/30)
「憔悴しきっており」 「ラブライブ!」声優・菅叶和が活動休止 「虹ヶ咲」キャストの誹謗投稿リポストは“乗っ取りの可能性大”と事務所説明
今はどうかゆっくり休んで……。(2024/9/27)
「東方Project」原作者のXアカウントが乗っ取り被害に
ゲームや音楽を中心とした作品群「東方Project」の原作者・ZUNさんが、Xアカウントの乗っ取り被害に遭った。(2024/9/24)
「許せません」 登録者数100万人超えのYouTuber・酒村ゆっけ、がチャンネル乗っ取り被害 犯人に怒りにじませる
現在は修復済み。(2024/9/3)
LINE公式アカウントで乗っ取り被害、発覚1カ月後に公表 “友達”ユーザーに不審なメッセージ送信
LINEヤフーは8月26日、LINE公式アカウントの運用に必要な「LINEビジネスID」が7月10〜18日にパスワードリスト攻撃を受け、一部のアカウントが攻撃者に乗っ取られていたと発表した。(2024/8/27)
この頃、セキュリティ界隈で:
横行するドメイン乗っ取り、100万件超が標的に 「いいカモ」にならないための対策は?
DNS管理の不備を突いて有名企業などのドメインを乗っ取り、詐欺や迷惑メールなどに悪用する攻撃が横行している。攻撃はほとんど気付かれることなく簡単に実行可能で、100万を超すドメインが悪用可能な状態にあるという。(2024/8/8)
セキュリティニュースアラート:
Cloudflareの無料VPN「WARP」を悪用してクラウドサービスを乗っ取るサイバー攻撃に要注意
Cado Securityは、サイバー攻撃者がCloudflareの無料VPN機能「WARP」の特徴を逆手に取ってクラウドサービスの乗っ取りに悪用していると報告した。(2024/7/25)
スマホ本人確認「マイナカード一本化」は本当? 実情とSIMスワップ詐欺問題を知る
6月18日に「スマホ本人確認をマイナンバーカード一本化」の話題が盛り上がった。5月には「偽造マイナンバーカード」を用いた「SIMスワップ」と呼ぶ手法で他人のスマートフォンの電話番号(SMS)を乗っ取り不正決済に利用される事件も話題に。スマホ本人確認「マイナ一本化」は本当? 実情とSIMスワップ詐欺問題を考える。(2024/7/15)
セキュリティニュースアラート:
CocoaPodsにCVSSスコア10.0の脆弱性 広範囲に影響が及ぶ恐れ
E.V.A Information Securityは、CocoaPodsで複数の重大な脆弱性を発見したと伝えた。大手企業や組織のプロジェクト依存に影響し、悪意のあるコード挿入やアカウント乗っ取りのリスクをもたらす可能性がある。(2024/7/4)
角川・夏野社長のXから不審な投稿、乗っ取りかと騒然も…… 「連携しているアプリからスパムが投稿されたと思われる」と説明
(2024/6/25)
SNSでは情報が“だだ漏れ”【後編】
「アカウント乗っ取り」は意外と簡単 SNSの“6大トラブル”を防ぐには?
SNSのユーザーアカウントにはさまざまな個人データがひも付いている。個人データを守りながらSNSを安全に使うためには何を考慮すればよいのか。起こり得る問題と、事前に実施できる対策を紹介する。(2024/6/19)
印刷会社が突然の事業閉鎖 韓国支社が管理システムやサーバを乗っ取り→日本本社は何もできず
名刺印刷などを手掛ける印刷会社のスーパープリントが事業継続困難になったと発表し、Xなどで話題になっている。原因は日本本社と韓国支社の対立で、現在日本本社は生産システムやサーバなど全システムから締め出されてしまっているという。(2024/6/6)
IIJmioとmineoが“スマホ乗っ取り”で注意喚起 副業などを口実にだまされ、eSIMを他人に渡してしまう事案
インターネットイニシアティブのIIJmioと、オプテージのmineoが、eSIMにまつわる“スマートフォンの不正な乗っ取り”に関して注意喚起をしている。どちらもMNO(国内の大手キャリア)から回線設備の一部を借り受けて、割安な価格でサービスを提供するMVNOだ。IIJで技術広報を担当する堂前清隆氏もX(旧Twitter)で利用者に注意を促している。(2024/5/22)
ペット口実にLINEアカウント乗っ取り 外部SNS使った手口に注意
ペットを口実にLINEアカウントを乗っ取る手口を確認したとして、LINEの公式Xアカウントが注意を呼び掛けた。他のSNSで「かわいいと思うペットに投票してください」などとするDMを送信。偽のログイン画面に誘導し、認証情報を入力させるという。(2024/5/18)
半径300メートルのIT:
“ゾンビルーター問題”は企業にとっても無関係の話ではない 対処方法はあるか?
ルーターをはじめとしたIoT機器を乗っ取り、“ゾンビルーター”としてDDoS攻撃などに利用する手口が問題となっています。この“ゾンビルーター問題”、個人向けの脅威と思われがちですが、組織にだって無関係ではないのです。(2024/5/14)
石川温のスマホ業界新聞:
楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき
楽天モバイルが、eSIMにまつわる「不正乗っ取り」に関して注意喚起をしている。eSIMは総務省が乗り換え促進策として推進してきたが、簡単に“乗っ取り”できるようでは敬遠する人も出てきてしまう可能性がある。(2024/5/5)
BUILTトレンドウォッチ(4):
「ICT施工」で押さえておきたいポイント サイバー攻撃で「建機乗っ取り」はあり得る?
野原グループが運営する「BuildApp News(ビルドアップ ニュース)」とBUILTがコラボした本連載「BUILTトレンドウォッチ」では、建設DXの実現に向けた基礎知識から、法令動向、最新技術など、旬なキーワードをピックアップして解説します。(2024/4/26)
この頃、セキュリティ界隈で:
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
他人のiPhoneを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いでている。「MFA爆弾」などと呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。(2024/4/12)
セキュリティニュースアラート:
API攻撃が本格化の兆し Impervaのレポートから判明した最新攻撃動向
Impervaは「The State of API Security in 2024」を発表した。API攻撃が前年比で大幅に増加し、ビジネスロジックやアカウント乗っ取り攻撃が活発なことが明らかになった。(2024/3/5)
Innovative Tech:
ワイヤレス充電器を乗っ取り、スマホを過剰加熱→破損させるサイバー攻撃 米研究者らが開発
米フロリダ大学とセキュリティ企業CertiKに所属する研究者らは、電源アダプターからの電圧ノイズを悪用してワイヤレス充電器を乗っ取り、充電中のスマートフォンや周囲のデバイスに対してさまざまな攻撃を行う手法が提案した研究報告を発表した。(2024/2/29)
“反ユダヤ”批判受けたベルリン映画祭 SNS乗っ取り被害も対応声明でまた炎上「臆病で哀れ」「映画人を守れず存在意義とは」
世界三大映画祭のうち、特に政治色が強く大衆主義的ではないと位置付けられています。(2024/2/27)
Innovative Tech:
“壁越しのスマホカメラ”を乗っ取り、映像を盗み見る攻撃 米中の研究者らが開発
米ミシガン大学や中国の浙江大学、米ノースイースタン大学に所属する研究者らは、壁越しのカメラに映る映像をリアルタイムに盗聴するサイドチャネル攻撃を提案した研究報告を発表した。(2024/2/22)
相次ぐ「X企業アカウント」の乗っ取り【後編】
SNSアカウント乗っ取りと「X」の方針、その切っても切れない関係
暗号資産(仮想通貨)詐欺を目的に、企業の「X」(旧Twitter)アカウントが乗っ取られる攻撃が活発化している。その原因と注意点に関して、セキュリティ専門家は“ある説”を立てている。(2024/2/22)
セキュリティニュースアラート:
Azureを使う組織は要注意 管理職などを狙うアカウント乗っ取りキャンペーンが進行中
日本プルーフポイントはAzure環境のクラウドアカウント乗っ取りキャンペーンを新たに確認した。このキャンペーンはさまざまな組織が標的になっている。(2024/2/15)
相次ぐ「X企業アカウント」の乗っ取り【前編】
Google系ベンダーも“わな”に落ちた「Xアカウント乗っ取り」の実態
2024年に入り、著名企業の「X」(旧Twitter)アカウントが暗号資産(仮想通貨)詐欺に悪用されるケースが目立ってきた。被害はセキュリティベンダーにも広がっている。(2024/2/15)
半径300メートルのIT:
企業のSNSアカウントはなぜ乗っ取られるのか? “運用の欠陥”を筆者が指摘
最近、企業組織が運営する「X」をはじめとしたSNSアカウントの乗っ取り被害をよく聞きます。なぜこれを防げないのでしょうか。そこには運用面での“欠陥”が存在するようです。(2024/2/13)
「攻殻機動隊」公式X乗っ取りから回復 「笑い男事件」ではなかった
乗っ取られていた「攻殻機動隊」公式Xアカウントが30日正午に復旧した。(2024/1/31)
アイティメディアの一部公式Xが乗っ取り被害に ITmedia Mobileとスマートジャパン
アイティメディアの、Webメディア「ITmedia Mobile」と「スマートジャパン」の公式X(旧Twitter)アカウントが乗っ取り被害を受けた。(2024/1/30)
「攻殻機動隊」公式Xが乗っ取り被害 不正アクセス受け
「攻殻機動隊」公式X(@thegitsofficial)が28日朝から不正アクセスを受けて乗っ取られたため、利用を中止しているという。(2024/1/29)
X、米国のiOSで「パスキー」サポート開始 SECのアカウント乗っ取り後に
Xは、米国のiOSユーザー向けに「パスキー」を利用可能にしたと発表した。パスキーを使えば、最近SEC(米証券取引委員会)が被害にあったSIMスワップによるアカウント乗っ取りなどを回避できる。(2024/1/24)
この頃、セキュリティ界隈で:
Xで横行する「アカウント乗っ取り」と「暗号通貨詐欺」 米SECも「ビットコインETFを承認」と偽投稿の被害に 対策は?
米証券取引委員会(SEC)のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。(2024/1/22)
半径300メートルのIT:
2024年版、アカウントの正しい守り方を考える
米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。(2024/1/16)
「見えないWeb攻撃」──情報漏えい対策の盲点:
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。(2024/1/11)
国連のInstagramアカウントが乗っ取り被害 スパムDMなどに注意を呼びかけ
フォローしている人はご注意を。(2023/12/17)
公式Instagramアカウントが乗っ取り被害に、カメラレンズのシグマ DMには個人情報やりとりした履歴も
カメラやレンズの製造販売で知られるシグマが、公式Instagramが何者かに乗っ取られ、削除されたと発表。同社の担当者が米Metaからのメールに対応したが、実は偽メールで、アカウントに不正アクセスされたという。(2023/12/1)
セキュリティニュースアラート:
ホリデーショッピングシーズンに爆増するアカウント乗っ取り攻撃に要注意
Impervaは2023年のホリデーショッピングシーズン中のサイバー攻撃を分析した。ブラックフライデーと比較するとサイバーマンデーのWebトラフィックが大幅に増加しているようだ。(2023/12/1)
カープ・堂林翔太、妻・枡田絵理奈のインスタ乗っ取り「楽しんでいただけたでしょうか?」 3人の子どもたちとの“球場家族ショット”も公開
家族全員集合ショットも公開。(2023/11/24)
この頃、セキュリティ界隈で:
米国タレントの公式インスタに訃報→翌日「私は生きている」 原因はアカウント乗っ取り? 偽情報に大混乱
テレビのリアリティー番組出演者だった男性の公式Instagramアカウントに、本人の訃報が掲載された。これを見て一部メディアが男性死亡のニュースを報道。ところが翌日、本人が「私は生きている」と宣言した。(2023/9/7)
150万人がクラウドアカウント乗っ取り被害 MFAをバイパスするEvilProxyとは?
Proofpointによるとこの6カ月で大手企業のクラウドアカウント乗っ取り事件が100%以上急増して150万人が被害を受けたという。MFAがバイパスされるケースが増えており、その対策として幾つかの案が提案されている。(2023/8/11)
板野友美、夫・高橋奎二投手のインスタ乗っ取り被害を報告 「アイコン変」「パスワードも登録電話番号も変えられちゃったのかも」
写真は残されているものの、アイコンやストーリーズは変更された状態に。(2023/7/20)
アカウントを乗っ取られる可能性があるMicrosoftの脆弱性「nOAuth」 必要な対策とは
Microsoftの「Active Directory」および「Entra ID」(Azure AD)は、「nOAuth」という脆弱性によりアカウントの乗っ取りリスクを抱えている。(2023/7/20)
Cybersecurity Dive:
PyPIが二要素認証を義務付け OSSのリポジトリへの攻撃が相次ぐ
Python Package Index(PyPI)は、2023年末から全てのアカウントに対して二要素認証を義務付ける予定だ。近年、オープンソースソフトウェアのリポジトリを標的としたサイバー攻撃が目立っており、今回の対処はアカウントを乗っ取る攻撃を防ぐ意図がある。(2023/7/8)
Innovative Tech:
AirPodsを乗っ取り、スマホにこっそり音声入力する超音波攻撃 成功率は8割超 米研究者らが開発
米ミシガン州立大学に所属する研究者らは、被害者に気が付かれることなくスマートイヤフォン(Airpods、Pixel Budsなど)からスマートフォンに音声入力する不可聴攻撃を提案した研究報告を発表した。(2023/6/30)
