スイスは、5000人以上のユーザーを抱えるサービスプロバイダーに対し、政府発行の身分証明書の収集、加入者データの6ヶ月間の保持、暗号化の無効化を義務付ける物議を醸す法律を検討している。これは世界中のプライバシー擁護者から抗議の声を上げさせ、Protonなどの企業は、いわゆる「大量監視」を回避するためにスイスからインフラを移転させている。この法律はオンラインでの匿名性を脅かし、世界中のユーザーに影響を与える。批判者はこれをロシアの同様の法律と比較し、スイスのデジタル自由へのコミットメントに対する深刻な懸念を引き起こしている。
続きを読む
Google Threat Intelligence Group (GTIG)とMandiantは、寿命が尽きたSonicWall Secure Mobile Access (SMA) 100シリーズアプライアンスの脆弱性を悪用して機密データを窃取する継続的なキャンペーンを発見しました。脅威アクターであるUNC6148は、以前に盗まれた資格情報とOTPシードを使用して、セキュリティアップデート後もアクセスを回復します。OVERSTEPと呼ばれるバックドアは、永続的なアクセス、資格情報の窃取、マルウェアの隠蔽のためにブートプロセスを変更します。Abyssランサムウェア集団と関連している可能性がありますが、攻撃者の動機と被害者の数は不明です。SonicWallは、ユーザーにOTPバインディングのリセットを推奨するアップデートをリリースしました。
続きを読む
ドイツの裁判所は、メタに対し、ユーザーの同意を得ずに第三者ウェブサイトにトラッキングピクセルを埋め込んだとして、ユーザーに5000ユーロの支払いを命じ、GDPR違反としました。この判決は先例となり、メタに対する集団訴訟の波を引き起こす可能性があります。裁判所は、個々のユーザーは具体的な損害を証明する必要がないと述べました。ユーザーのプロファイリングと数十億ユーロの利益を生むためのトラッキングテクノロジーの使用は、ヨーロッパのデータ保護法の重大な違反と見なされました。専門家は、同様のトラッキングテクノロジーを使用するウェブサイトやアプリに大きな影響を与える可能性があり、集団訴訟がメタにとって深刻な財政的および運用上の脅威となる可能性があると警告しています。
続きを読む
コロンビア大学は、大規模なデータ漏洩被害を受けました。ハクティビストが460ギガバイトのデータを盗み出したと主張しており、数十年にわたる250万件の学生応募データが含まれています。ハッカーは政治的な目的で、応募者の合否、国籍、ID番号、志望学科などの情報を標的にしたとされています。大学はサイバーセキュリティ企業に調査を依頼しており、最近の悪意のある活動は確認されていませんが、従業員や応募者の社会保障番号なども含まれるこの漏洩の全容解明には数ヶ月かかる可能性があります。
続きを読む
分散型金融(DeFi)プラットフォームAbracadabra Financeがハッキング被害を受け、約1300万ドル相当の仮想通貨が流出した。攻撃は、同プラットフォームの隔離された貸出市場「cauldrons」を標的としたもの。攻撃者は複数のトランザクションを実行するまで検知されなかった。Abracadabra Financeはセキュリティ企業と協力して調査を進めており、盗まれた資金の20%を報奨金として提供している。一部のセキュリティ企業は、この攻撃を分散型取引所GMXと関連付けているが、GMXは関与を否定している。捜査官は、攻撃に使用された資金がTornado Cashから流出した可能性を疑っている。Tornado Cashは最近、米国財務省によって制裁が解除されたばかりである。
続きを読む
欧州委員会は、進化する脅威に対処する新たな内部安全保障戦略であるProtectEUを発表しました。重要な側面としては、ユーロポールを完全に機能する警察機関に強化すること、データへの合法的なアクセスと暗号化に取り組むこと(物議を醸す動き)、そしてEUの単一情報分析能力(SIAC)を通じて情報共有を改善することが挙げられます。この戦略は、状況認識とサイバーセキュリティ法の施行における既存の欠点を認めています。成功は、歴史的に主権的な国家安全保障問題を考慮して、加盟国の政治的意思と協力にかかっています。
続きを読む
FTC委員長アンドリュー・ファーガソンは、司法省に対し、23andMeの買収者は、ユーザーの遺伝子データやその他のデータを保護する既存のプライバシーポリシーを遵守しなければならないと警告しました。FTCは、23andMeが約束した点、つまりユーザーによるデータの制御、データ削除機能、法的令状がない限り保険会社、雇用主、法執行機関とデータを共有しないという保証を強調しています。ファーガソンは、23andMeのプライバシーポリシーに明示的に記載されているこれらの約束は、遺伝子データのデリケートで不変の性質を考慮すると、倒産の場合でも守られなければならないと強調しています。FTCは、データ保護における消費者信頼の重要性を強調しています。
続きを読む
Chainalysisの新たなレポートによると、2023年のランサムウェア支払いは、12億5000万ドルから8億1255万ドルに35%減少しました。この大幅な減少は、下半期に集中しており、LockBitなどの主要なランサムウェアグループに対する法執行機関の取り締まり、そしてAlphV/BlackCatグループの出口詐欺によって、身代金支払いに対する被害者の信頼が損なわれたことが原因です。それにもかかわらず、ランサムウェア攻撃は依然として蔓延しており、重要なインフラストラクチャは依然として大きな脅威にさらされています。
続きを読む
ウクライナ支持のハッカー集団「イエロー・ドリフト」が、ロシア最大の政府・企業向け調達電子取引プラットフォームであるロセルトルグへのサイバー攻撃の責任を主張した。同集団は550テラバイトのデータを削除したと主張している。ロセルトルグは当初、サービス停止を「保守作業」によるものとしていたが、後に攻撃を認めており、データとインフラは復旧したとしている。この攻撃は、国防省やロスコムナドゾルなど、ロシアの大手企業や政府機関に影響を与えた。この事件は、ロシアとウクライナの間で続くサイバー戦争と、重要なインフラに対するサイバー攻撃の潜在的な破壊的影響を浮き彫りにしている。
続きを読む