タグ: MFA

theregister.com

MFAが任意設定の銀行は、安全な扉(と口座)を泥棒に大きく開け放している

意見 私はPWNEDという週刊コラムを執筆しており、ずさんなセキュリティ対策がいかに深刻な被害につながるかを取り上げています。たいていは、全従業員のパスワードをデスクトップのExcelファイルに保存していたCEOの話のように、どこか滑稽な話が含まれています。しかし、5月に私自身が経験したことは笑い事ではありま

techradar.com

Microsoft 365アカウントに8100万回のログイン試行、ハッカーが盗んだ認証情報を使ってパスワードスプレー攻撃で不正侵入を試みる

パスワードスプレー攻撃によってMicrosoft 365アカウントへの不正侵入に成功攻撃者は不適切に設定された条件付きアクセスポリシーを悪用してMFAを回避標的となった組織の多くはMFAを導入していなかったハッカーがこれまでに流出していた認証情報を使い、Microsoft 365アカウントを狙ったパスワードスプレ

techradar.com

Fortinetファイアウォールを狙った大規模パスワード窃取攻撃——約7万5,000人のユーザーに影響の可能性

研究者ボブ・ディアチェンコが「FortiBleed」を発見——ブルートフォース攻撃および悪用キャンペーンによって収集された73,932件のFortinet/FortiGate VPN認証情報の大規模アーカイブ大手企業(Chevron、Samsung、Toyota、AT&T、NATOの請負業者など)の平文ユー

cyberpress.org

「SearchLeak」脆弱性:Microsoft 365 Copilot経由でメール・MFAコード・ファイルを窃取

Microsoft 365 Copilot Enterpriseに存在していた深刻な脆弱性チェーンが、パッチによって修正されました。研究者らの実証によると、正規のMicrosoftドメインへのリンクを1回クリックするだけで、MFAコード、メール内容、カレンダー情報、機密ファイルなど企業の重要データが静かに盗み出される

cyberpress.org

GoogleがChromeにDBSCを展開、セッションベースのアカウント乗っ取りを防御

ベータ版として提供されていたDBSCが、Google Workspaceの全ユーザーを対象にデフォルトで有効化されました。管理者による設定作業は一切不要です。 セッションが一度侵害されてしまえば、MFAのような従来のセキュリティ対策ではほとんど効果がないとGoogleは指摘しています。 Googleによると、DBSC

infosecurity-magazine.com

中国の脅迫グループが静的フィッシングページを廃止し、ライブ認証情報インターセプションに転換

Google研究者は、中国のフィッシング・アズ・ア・サービス(PhaaS)の環境が過去数ヶ月間で急速に拡大し、高度化していると警告しています。 成熟したフィッシングサービスを運営するサイバー脅迫アクターの多くはアジア全域の犯罪エコシステムに関連している

cyberpress.org

包囲されたOkta 攻撃者がヘルプデスクに電話してMFAをバイパスしSaaSデータを盗む

サイバー攻撃者は人気のあるアイデンティティプロバイダであるOktaに対する戦術をシフトさせています。この変化は初期アクセスの定義を変えます。かつてのアカウント侵害は今や即座なデータ漏洩です。 攻撃者はフィッシングメールやマルウェアをスキップします。代わりに、被害者またはITヘルプデスクに電話します。彼らは多要素認証(