GitHubユーザーを標的とした新たなフィッシング詐欺 認証情報と2FAコードを窃取する手法とは
GitHubのユーザーが新たなフィッシング詐欺の標的になった。サイバーセキュリティ犯罪者は「CircleCI」になりすましてユーザーの認証情報や二要素認証コードを取得するキャンペーンを展開していたという。手法と影響は。
» 2022年09月28日 07時00分 公開
[後藤大地,有限会社オングス]
この記事は会員限定です。会員登録すると全てご覧いただけます。
GitHubは2022年9月21日(現地時間)、同社のブログで「Security alert: new phishing campaign targets GitHub users」を公開し、サイバーセキュリティ犯罪者が「CircleCI」になりすまして、ユーザーの認証情報や二要素認証(2FA: Two-Factor Authentication)コードを窃取するフィッシング詐欺キャンペーンを展開していたと伝えた。GitHubはこのサイバーセキュリティ攻撃の被害を受けていないが、GitHubを利用する多くの組織が影響を受けた。
GitHubの認証情報と二要素認証コードを窃取した手口
サイバーセキュリティ攻撃に使われた手法は典型的なフィッシング詐欺のもので、ユーザーには「CircleCIセッションが期限切れになった」という旨のメッセージが送られてくる。メッセージにはGitHubの認証情報を使ってログインするように促す内容が記載されており、リンク先がフィッシング詐欺サイトになっている。
関連記事
BIND9に複数の脆弱性 確認とアップデートを
Internet Systems Consortium(ISC)からBINDの新たなバージョンがリリースされた。複数の脆弱(ぜいじゃく)性が修正されている。これら脆弱性はサービス運用妨害(DoS: Denial of Service)に利用される可能性がある。
iOS 16にアップデートすべきか 強化されたセキュリティ機能を知る
注目すべき2つのセキュリティ機能がiOS 16に追加されました。使いこなせばセキュリティを高めるものの、知らずに使うと逆効果かもしれません。
ニトリアプリにリスト型攻撃で13万超のアカウントが影響 島忠ユーザーも被害
ニトリのECサービスがリスト型攻撃を受けた。同社が買収した島忠のECサービス登録ユーザーを含む13万人超の情報が第三者に閲覧された可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。