OAuthマーケットプレイスアプリ、発行元が消えてもアクセス権を保持し続ける問題
Google WorkspaceマーケットプレイスやGitHubマーケットプレイスからアプリをインストールすると、会社のメール、ファイル、カレンダー、コードリポジトリ、CIワークフロー、組織設定、シークレットへのアクセス権をサードパーティに付与することになります。マーケットプレイスへの掲載は、こうした
タグ: OAuth
GitHubのブラウザ版VSCodeエディタに脆弱性、トークン窃取のおそれ
この脆弱性の開示は、セキュリティ研究者がベンダーに何を期待すべきか、また公開前にどのくらいの期間を置いてバグを通知すべきかという問題を提起しています。 GitHubのブラウザ版VSCodeエディタに脆弱性が存在し、特定の条件下では開発者のトークンが窃
AIセキュリティの最前線となったブラウザ
セキュリティチームは今、二つのAI関連課題に同時に向き合っています。攻撃者はAIを活用してフィッシングキットを次々と改良し、おとりコンテンツを生成し、ブロックリストが追いつけないスピードでインフラを入れ替えています。一方、従業員はセキュリティチームが審査する間もなくAIツールを導入し、LLMに機密データを貼り付け、
FBI、Microsoft 365ユーザーを標的とした急速に成長中のフィッシングキットについて警告
FBIは、Microsoft 365アクセストークンを取得する急速に成長中のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームであるKali365について、木曜日に公開警告を発表し、組織とディフェンダーに対して警告しています。 このツールキットは多要素認証をバイパスし、一般的なエンタープライズ
FBI、Microsoft 365ユーザーを狙うKali365 PhaaS プラットフォームに警告
米国連邦捜査局(FBI)は公開警告(Alert I-052126-PSA)を発表し、Microsoft 365ユーザーを積極的に狙う新たに識別されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Kali365」について警告しています。 2026年4月に初めて確認されたこのプラットフォームは、OAut
従業員の生産性を落とさずにシャドウAIツールを管理する5つのステップ
従業員がAI執筆アシスタントをインストールしたり、IDEにコーディングコパイロットを接続したり、新しいブラウザツールで会議を要約し始めたりする時、それは生産的な従業員が当然すべきことを行っています。つまり、仕事をより速く行う方法を見つけることです。 今日、ほとんどの組織では従業員が毎日3~5つのAIツールを実行して
デバイスコードフィッシング、Microsoft 365ユーザーを標的に
eSecurity Planetのコンテンツと商品推奨事項は編集上独立しています。パートナーへのリンクをクリックすると、当社が収益を得る場合があります。 詳細を学ぶ サイバー犯罪者は、従来のフィッシング防御を回避し、企業のMicrosoft 365アカウントを侵害するための新しい方法として、デバイスコードフィッシ
Tycoon2FAがデバイスコードフィッシングでMicrosoft 365アカウントを乗っ取る
Tycoon2FAフィッシングキットはデバイスコードフィッシング攻撃をサポートし、Trustifiのクリック追跡URLを悪用してMicrosoft 365アカウントを乗っ取ります。 国際的な法執行機関の作戦にもかかわらず ビデオプレーヤーは現在広告を再生中です。マウスまたはキーボードで5秒でスキップできます4月下
Tycoon 2FA オペレータが OAuth デバイスコード フィッシングを使用して MFA をバイパス
2026年4月下旬に発見された新しいフィッシング キャンペーンは、Tycoon 2FA Phishing-as-a-Service(PhaaS)キットの背後にある脅威アクターが従来の認証情報窃取を超えてどのように進化しているかを示しています。 この展開は、マイクロソフトとユーロポール主導のグローバル取り締まり活動が
Claude Code MCP攻撃が永続的なトークン盗難を可能にする
eSecurity Planetのコンテンツと製品推奨事項は、編集上独立しています。パートナーへのリンクをクリックすると、報酬を得る場合があります。 詳細はこちら AIコーディングアシスタントはエンタープライズSaaSプラットフォームに深く統合されつつありますが、新しい研究によれば、これらの接続は検出が困難
すべての記事を読み込みました