サプライチェーン攻撃

世界最大級の開発基盤が陥落、従業員のVS Code経由でGitHub内部リポジトリ4000件が流出か

Googleが警告、AIが未知の「ゼロデイ脆弱性」を発見する時代に突入

Googleのレポートは、犯罪グループがAIを利用して未知のゼロデイ脆弱性を発見し、オープンソースのシステム管理ツールにおける二要素認証バイパスを可能にするエクスプロイトを開発した事例を報告した。これはAIが実際のゼロデイ攻撃に利用された初の確認事例であり、AIが脆弱性発見から武器化までのタイムラインを大幅に短縮していることを示している。また、マルウェアの自律化や国家支援型ハッカーによる攻撃の高度化、AIへのアクセス基盤を構築するサイバー犯罪のエコシステムの形成など、AIの悪用が広範に進展している実態が明らかになった。

正規署名を悪用したDAEMON Toolsへのサプライチェーン攻撃：標的型バックドアの脅威と防御の限界

長年利用されてきた仮想ドライブエミュレーションソフトウェア「DAEMON Tools」の開発元を起点とするサプライチェーン攻撃が発覚した。この攻撃は正規のデジタル署名が悪用され、約1か月にわたり悪意のあるマルウェアが公式配布チャネルを通じて拡散し、世界100か国以上のユーザーに影響を与えている。攻撃者は広く利用されているが監視されにくいユーティリティソフトウェアを狙い、初期感染で環境情報を収集後、選別された一部のシステムに高度なバックドア「QUIC RAT」を投下する標的型攻撃の性質を帯びている。

Red Hat、データ侵害を正式に認める。ハッカー集団が顧客インフラ情報含む570GB窃取と主張、その深刻な影響とは

オープンソースソフトウェアの巨人、Red Hatがサイバー攻撃を受け、内部データが侵害されたことを正式に認めた。発端は「Crimson Collective」と名乗る恐喝グループが、同社の内部リポジトリから約570GBに […]

npm史上最大、20億DL/週のパッケージ汚染。暗号資産を狙う巧妙な罠

JavaScriptの広大なエコシステムに大打撃を与える、史上最大規模のサプライチェーン攻撃が行われたことが明るみに出た。週間ダウンロード数が合計20億回を超える18ものnpmパッケージが、一人の開発者のアカウント乗っ取 […]