X (旧Twitter)のメモ 05/06

 【セキュリティ ニュース】Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出（1ページ目 / 全2ページ）：Security NEXT (security-next.com) (05/02)

『 メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。
同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。
攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アクセスを行っていた。』
 

WordPressサイトを偽のブラウザ配信サイトに変えるサイバー攻撃に警戒を（2024年3月5日）｜BIGLOBEニュース (03/05)

『このキャンペーンではWordPressの管理者アカウントを侵害し、悪意あるプラグインをインストールすることでマルウェアの配布サイトに改ざんするという。
..
Sucuriはこのような攻撃を回避するために、WordPressサイトの管理者に次のような対策を推奨している。
WordPress本体、プラグイン、テーマおよびWebサイトにインストールされているすべてのソフトウェアを最新の状態に保つ
可能な限り自動更新を有効にする
定期的にイミュータブルバックアップを取得する
すべての資格情報に一意で強力なパスワードを設定する
可能であればWebアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する ..
上記の対策に加え侵入ポイントとなるログインページおよび管理者の認証情報を適切に管理することが推奨されている。』