AWS　APIがやられると、、API経由でインスタンスの乗っ取りやデータの窃取が可能となります。

 

APIは様々なプラットフォームで使用されますが、ここがハックされると非常に厳しい。

AWSは多くのユーザが利用しており、APIを利用して有効なシステムを構築しているユーザもいます。

（とくにヘビーユーザーにとって生命線ではないでしょうか？）

 

mohamed HassanによるPixabayからの画像

 

Information Leakage in AWS Resource-Based Policy APIs

APIを利用して、利用しているユーザを探ったり、そのユーザの権限をしらべたりして、どこまで侵入できるが探すのがまず攻撃者の手順となります。およそ、ブルートフォース攻撃と似たようにガンガン攻めると、エラーメッセージがログとして残るわけで、その時点で監視している側からするといやな兆候がみられるということで、監視強化され、最終的には遮断されることになります。

攻撃者はいかに気づかれずに攻撃を実行するか、それもなるべく時間をかけずに。。。

今回発見された脆弱性は、この記事の手法をつかうとエラーメッセージが出力されずに、監視者の眼に気づかれにくくなるののです。

 

いくつか回避方法があるので、まだマシですが、AWSでのAPIを開放しているユーザは改めて記事をごらんになったほうがよいでしょう。

 

 

 

 

あいたたた、、こんどはPeatixさんが、、

 

 

 

「Peatix」で不正アクセス--最大677万件の個人情報が引き出される

 

公式

https://announcement.peatix.com/20201117_ja.pdf

 

 

詳細は今後の発表を待つしかないのですが、、

Peatixさんの開催しているイベントに参加していたので、、パスワードは早めに変えておこう。。

 

 

 

P

前回カプコンさんがランサムウエアの被害にあったことは上げました。

 

カプコンさんも正式に状況報告をされました。

Jagrit ParajuliによるPixabayからの画像

 

不正アクセスによる情報流出に関するお知らせとお詫び

中身をみると、海外でのニュースが知らせてくれた内容の再確認。

被害の程度が見えてきました。

 

まだまだ、事態が収束するまで時間がかかるでしょう。

セキュリティ専門家を呼んだようですが、さて如何に収束できるか。。。

欧米にまたがっていますので、被害に対する補償等が議論されることも予想されます。

 

 

 

Appleさんがつい最近バージョンアップしましたね。

もともとiOSってAndroidよりセキュリティ的には堅牢なはずですが、完ぺきではないのです。

Jan VašekによるPixabayからの画像

 

Apple fixes three iOS zero-days exploited in the wild

 

今回iOS14.2がリリースされ、アップグレードするようにiPhoneからメッセージがでませんでした？

できれば早めにしておきましょう。

 

攻撃者にねらわれてしまうと、簡単にいうと乗っ取られます。kernelレベルの脆弱性ですので、まぁ危険なほうですね。

 

 

 

 

 

 

最近、ランサムウエアをばらまき、散々身代金を巻きあげたMazeが引退宣言をしました。

Maze, a notorious ransomware group, says it’s shutting down

こいつら、悪質なのは、ファイルを暗号化するだけでなく、暗号化するまえに組織の機密データを吸い上げ、それをダークウエブで公開するよ！と脅しをかけるというものです。暗号化だけなら、バックアップデータがあれば、それなりに復旧できますが、機密データが盗まれているとなると、それを取り戻すことはほぼ不可能。つけ上がるだけです。それ相応の金額をしはらうことになります。

狙われた企業はCognizant, Chubb,ExecuPham, Visser, Kimchukといったところが上がっています。

支払われた金額は、１社で６億円から１５億円となっているケースもあるようです（Mazeの主張です）。

 

記事にもありますが、引退宣言はしたが、リブランドして活動を始めるのではないかと思われます。

散々金を巻き上げているので、一旦バカンスを楽しんで、また復活する。。。　

または、ちょっと足がつきそうなので、活動をやめておこうか。。。。

的な。。。