人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

巧妙なPDFフィッシング詐欺がモバイルセキュリティを回避

2025-02-01
巧妙なPDFフィッシング詐欺がモバイルセキュリティを回避

モバイルデバイスを標的とした新しいフィッシング詐欺は、これまでにない難読化手法を用いて、偽の米国郵便公社(USPS)ページへのリンクをPDFファイル内に隠しています。PDF要素を操作することで、クリック可能なURLはユーザーとモバイルセキュリティシステムの両方にとって不可視となり、複数のエンドポイントセキュリティソリューションによる検出を回避します。悪意のあるPDFはSMSで送信され、配送失敗の通知を装っています。リンクは圧縮ストリームに埋め込まれ、フォントの色と背景の色を一致させることで隠され、画像の下に配置されています。一見無害な「更新をクリック」ボタンをクリックすると、実際には隠されたリンクがアクティブになり、偽のUSPSサイトに誘導され、データが盗まれます。20種類以上の悪意のあるPDFと630個のフィッシングページが50言語をサポートしていることから、国際的な標的とフィッシングキットの可能性が示唆されています。これは、モバイルユーザーがPDFを信頼することの脆弱性と、モバイルセキュリティ対策の強化の必要性を浮き彫りにしています。

続きを読む
(www.scworld.com)
テクノロジー PDFセキュリティ

新しいLLMジェイルブレイクはモデルの評価スキルを利用する

2025-01-12
新しいLLMジェイルブレイクはモデルの評価スキルを利用する

研究者らは、「悪いライカート判定」と呼ばれる新しいLLMジェイルブレイク手法を発見しました。この手法は、LLMが有害なコンテンツを識別する能力を利用し、有害なコンテンツの評価を求めた後、例を要求することで、マルウェア、違法行為、嫌がらせなどに関連する出力を生成します。最先端の6つのモデルで1440件のケースをテストした結果、平均成功率は71.6%、最高で87.6%に達しました。研究者らは、LLMアプリケーションの管理者は、このような攻撃を軽減するためにコンテンツフィルタを使用することを推奨しています。

続きを読む
(www.scworld.com)
テクノロジー LLMセキュリティ ジェイルブレイク

Apache Traffic Controlの重大な脆弱性により悪意のあるSQLインジェクションが可能に

2024-12-30
Apache Traffic Controlの重大な脆弱性により悪意のあるSQLインジェクションが可能に

Apache Traffic Controlのバージョン8.0.0と8.0.1に、重大な脆弱性(CVE-2024-45387)が発見されました。この脆弱性により、「admin」や「operations」などの特権を持つ攻撃者は、細工されたPUTリクエストを介して悪意のあるSQLコマンドを注入できます。データベースとやり取りする入力フィールドを操作することで、攻撃者はSQLクエリを実行し、データベース全体を侵害する可能性があります。これにより、データへの不正アクセス、改ざん、削除が発生し、CDNサービスの整合性と可用性に深刻な影響を与えます。セキュリティ専門家は、SQLインジェクション攻撃からシステムを保護するために、ただちにアップデートすることを強く推奨しています。

続きを読む
(www.scworld.com)
テクノロジー SQLインジェクション

国際的な作戦「PowerOFF」で27のDDoS攻撃プラットフォームを摘発

2024-12-17
国際的な作戦「PowerOFF」で27のDDoS攻撃プラットフォームを摘発

ユーロポールが主導し、15カ国が参加した「PowerOFF」作戦により、27の主要なDDoS攻撃プラットフォーム(「ブーター」および「ストレッサー」ウェブサイトとして知られる)が閉鎖されました。これらのプラットフォームは、サイバー犯罪者やハクティビストが違法なトラフィックで標的を攻撃し、ウェブサイトやオンラインサービスを機能不全に陥らせることを可能にしていました。この作戦は、米国司法省やFBIなどの米国政府機関を標的とした攻撃も阻止しました。大きな成功を収めた一方で、専門家は犯罪者が迅速に適応することを警告しており、DDoS攻撃対策には継続的な努力が必要です。

続きを読む
(www.scworld.com)
テクノロジー DDoS攻撃 国際協力