![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
1
Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)
Windows OS のファイル共有サービスである SMB に、プロトコルの実装上の問題を悪用してサービス不能攻撃が可能となる問題点が報告されています。
ニュースアクセスランキング
過去1週間に最も読まれた記事1〜10位
-
-
2開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
The OWASP Foundationは、無償で参加できるアプリケーションセキュリティトレーニングイベント「2017 OWASP World Tour Tokyo」を9月30日(土)に開催すると発表した。
-
3TwitterでNintendo Switchの購入希望者を狙った詐欺が横行
Twitter上でNintendo Switchを売買しようとする人達に連絡を取ってみました。
-
4ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)
総務省は、「DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性」について発表した。
-
5
Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ(JVN)
IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
6Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance)
Cylanceは、7月に開催された「Black Hat USA 2017」のディスカッション参加者100名を対象に米Cylance社が実施したアンケート調査の結果を発表した。
-
7FFRI 鵜飼裕司の Black Hat USA 2017 注目 Briefings ~ マルウェアの復活
ほんの数年前まで 3,000 人程度の規模だった Black Hat の参加者が 1 万人を突破しました。
-
83DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)
スクウェア・エニックスは、3DSソフト『ドラゴンクエストXI 過ぎ去りし時を求めて』(以下、ドラクエXI)をプレイ中のユーザーに向けた注意喚起を、公式サイトにて行っています。
-
9これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶
8 月 26 日、27 日(現地時間)に、Black Hat USA 2017 が米ラスベガスで開催された。開催 20 周年となる今回の基調講演では、同イベントの創設者ジェフ・モスが開会の挨拶で、 Black Hat のこれまでの 20 年を振り返り、これからの 20 年を展望するスピーチを行った。
-
10
「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、経済産業省資源エネルギー庁が提供する「新・緊急時報告データ入力プログラム」のインストーラに、任意のDLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
過去1週間に最も読まれた記事11〜20位
-
11
総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)
分析
-
12
[セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定
日本政府は、2013年度より「サイバー攻撃対策防御モデル・実践演習の実証実験」事業の一環として、サイバー攻撃への対応策を検討してきました。 この取り組みの成果として、総務省は7月10日、「サイバー攻撃(標的型攻撃)対策防御モデルの解説」を公表しました。
-
13
[セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」
6月末から7月上旬にかけても、再びランサムウェアの大規模感染が確認されました。今回新たに観測されたのは、「Petya(ペトヤ/ペチャ)」と呼ばれるマルウェアの亜種(通称「GoldenEye」)による攻撃です。
-
14
帝国データバンク提供の「TypeAご利用ソフト」に任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、帝国データバンクが提供するTDB電子認証サービス TypeA のシステムを利用する環境や、管理機能を提供するソフトウェア「TypeAご利用ソフト」のインストーラを含む自己解凍書庫に、任意のDLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
15
Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)
ラスベガスでは3組のセキュリティカンファレンスが開催され、悪臭放つ賭博場にハッカーが飛び込んでくるというので、現地の企業は自社システムをロックダウンしている。
-
16
AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)
これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。
-
172016年の個人情報漏えい調査、件数の減少は小規模漏えいの非公表化か(JNSA)
JNSAは、「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」を公開した。
-
18
日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
A10は、日本を含むグローバルで実施したスマートフォンアプリとセキュリティに関するレポート「アプリケーションインテリジェンスレポート(AIR)」のビジネスパーソン/セキュリティ編の結果を公開した。
-
19
ISMS認証とは何か■第1回■
プライバシーマークとよく似た第三者認証制度にISMS(Information Security Management System)適合性評価制度がある。プライバシーマーク制度と同様、事業者のセキュリティに対する取り組みを第三者が評価する一種の格付けである。しかし個人情報保護法の施行で注目が
-
20
Apache Struts 2 において Struts 1 由来のプラグインでの値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)
Apache Struts のバージョン 2 系に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
過去1週間に最も読まれた記事21〜30位
-
21 「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
株式会社ゴゴジャンは7月25日、同社が運営する「fx-on」に外部からの不正アクセスがありクレジットカード情報が流出した可能性があることが判明したと発表した。
-
22 FacebookやLINEなどが参加し「夏休み明けに向けた官民連携によるいじめ防止強化キャンペーン」を実施(文部科学省)
文部科学省は8月10日、「夏休み明けに向けた官民連携によるいじめ防止強化キャンペーン」を実施すると発表した。Facebookや LINEなど8事業者・団体が参加し、相談窓口の開設、教材の無償提供、ネットパトロール強化などの取組みを展開する。
-
23 コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱PR
自動運転やコネクテッドカーで自動車マーケットやモビリティが変わるといわれている。同時に叫ばれているのは、これら新しい技術の安全性やセキュリティ対策だ。
-
24 自分の利用しているサーバの状況を確認する方法 不正中継確認
自分の使用しているサーバ(自分自身が管理しているサーバ、社内のシステム担当が管理しているサーバ、借りているレンタルサーバなど)が、不正中継をしないようちゃんと設定されているかを確認する方法について紹介します。
-
25 最多脆弱性ブラウザはChrome、最もパッチが適用されていないブラウザは(フレクセラ)
フレクセラは、同社のSecunia Researchによる「脆弱性レビュー 2017」を発表した。
-
26 ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」
筋肉質の経営なんてビジネス雑誌のサイトでよく見る聞こえの良い言葉だけど、不景気や業績が傾いたときになって削られる間接部門って、俺たちの仕事は贅肉かよ!体脂肪かよ!酷い話だよね。
-
27 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)
「違う文脈で言うなら、そのような(Tor の)挙動は、ハッキングされたアカウントが『ボットネット』を通じてアクセスしている挙動だ、と示唆されるかもしれない(しかし、それは Tor にとって正常なことだ)」
-
28 クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞くPR
ISO 27017 とは? ISO 27018 との違いなどの疑問を、国内でも数少ない「ISO 27017」「ISO 27018」両方の認証取得コンサルティングサービスを取り扱う、LRM 株式会社 代表取締役 幸松哲也氏に話を聞いた。
-
29 バッファロー製の無線LANルータにOSコマンド実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、バッファローが提供する無線LANルータ「WCR-1166DS」にOSコマンドインジェクションの脆弱性が存在が存在すると「JVN」で発表した。
-
30 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」
それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。
-
31 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件
「セキュリティ・キャンプ中央大会2012」の応募課題が「ハイレベル過ぎる」「ヤバい」と一部で話題になっているので紹介したい。
-
32 あのランサムウェアはいくら儲かったのか? Locky が 780 万ドル、WannaCry は?
国内でも紙面を賑わしている身代金を要求するランサムウェアであるが、その要求金額はさまざまである。
-
33 リニューアルされた「JSOC」運用開始前に潜入
リニューアルするラックの「JSOC」、まだJSOCスタッフも足を踏み入れていない新生JSOCを紹介していただきました。ここではその模様をレポートします。
-
34 バッファロー製の無線LANルータに、任意のコードを実行される脆弱性(JVN)
IPAおよびJPCERT/CCは、バッファローが提供する無線LANルータ「WSR-300HP」に任意のコードが実行可能な脆弱性が存在すると「JVN」で発表した。
-
35 Scan BASIC 登録方法
本記事では、無料で登録できる ScanNetSecurity BASIC MEMBERS と、メールマガジン Scan BASIC の登録方法を解説しています。所要時間は 2 分程度です。
-
36 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)
さらに厄介なことに、11月に予定されている「SegWit2」として知られる別の同様な提案が存在する。
-
37 2016年の個人情報漏えい、「紛失・置き忘れ」原因が大きく後退(JNSA)
JNSAセキュリティ被害調査WGは、「2016年 情報セキュリティインシデントに関する調査報告書【速報版】」を公開した。
-
38 Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)
ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。
-
39 ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新(JPNIC)
JPNICは、ICANNにより進められている、ルートゾーンKSKロールオーバーに伴い、 特設Webページ「KSKロールオーバーについて」を詳しく更新したと発表した。
-
40 「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)
Aimingおよびマーベラスは、大阪府警がAiming従業員を詐欺等の容疑で逮捕したことを公式サイトを通じて発表しました。
-
41 Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)
Microsoft Windows の Win32k.sys ドライバに整数オーバーフローを引き起こしてしまう脆弱性が報告されています。
-
42 シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価
●注目を浴びるシンクライアントソリューション
-
43 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」
ほとんどの会社は、サイバーセキュリティのトラブルを表沙汰にしない。公的認証や認可が取り消されるとか、上場準備に支障が出るとか、取引先の信用を失うとか、そういう理由でだ。
-
44 給料、現場、成長…、セキュリティの仕事の「今」をセキュ鉄の服部氏に聞いた
九州を代表するセキュリティ勉強会「セキュ鉄」のリーダーであり、シーアイエーのCTOである服部祐一氏に、現在のセキュリティ業界についてお話をうかがった。聞き手は、デロイト トーマツ サイバーセキュリティ先端研究所の主任研究員 岩井博樹。
-
45 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ
今回ピックアップするのは、顔認証と指紋認証を使ったアクセスコントロールシステム。従来のICカードを使ったシステムと比較した場合、セキュリティ面での優位性があるバイオメトリクス(生体認証)を採用したシステムは、各社が意欲的に製品開発を進めている。
-
46 少人数による攻撃でも深刻な影響を与える「Slow HTTP DoS Attack」を把握(警察庁)
警察庁は、Slow HTTP DoS Attackの可能性が疑われる攻撃事例を把握したとして、「@police」において注意喚起を発表した。
-
47 マイクロソフトが8月のセキュリティ更新プログラムを公開、適用を呼びかけ(JPCERT/CC)
JPCERT/CCは、「2017年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表した。
-
48 Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)
Linux ディストリビューションの一つである Ubuntu に、デフォルトで実装されているソフトウェアである Apport を経由して権限昇格されてしまう脆弱性が報告されています。
-
49 Adobe Flash Playerのセキュリティアップデートを公開、適用を呼びかけ(JPCERT/CC)
JPCERT/CCは、「Adobe Flash Player の脆弱性(APSB17-23)に関する注意喚起」を発表した。
-
50 Scan PREMIUM 登録方法
本記事では、ScanNetSecurity PREMIUM MEMBERS と、メールマガジン Scan BASIC の登録・購入決済方法を解説しています。
-
51 Microsoft Windows の Secondary Logon サービスにおいて要求ハンドルの取り扱い不備により高い権限で任意のコードが実行されてしまう脆弱性(Scan Tech Report)
Microsoft Windows の Secondary Logon サービスに含まれる不備により、高い権限で任意のコードが実行可能となる脆弱性が報告されています。
-
52 ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート]PR
IoT機器に対する脅威は各所で語られているが、フィッツジェラルド氏は、上記のような事象とランサムウェアなど、複数の脅威が組み合わさることで「Ronsomware of Things」とも呼べる状態が危惧されるとした。
-
53 「iCloud」から流出した有名人のヌード写真に関連する詐欺に注意を呼びかけ(シマンテック)
シマンテックは4日、有名人のヌード写真流出事件に関連する詐欺に注意を呼びかけた。
-
54 アジア最大規模の国際セキュリティカンファレンス ISEC 2017、韓国ソウルで9月開催
今年のISEC2017は、‘グローバル(Global)’というキーワードがさらに注目されそうである。ISECの共同主管機関である世界最大の情報保護専門家団体(ISC)²のメンバーとして活動している世界的なセキュリティ専門家たちが多数参加する予定である。
-
55 WindowsのLNKにリモートから任意のコードを実行される脆弱性(JVN)
IPAおよびJPCERT/CCは、Microsoft Windowsにショートカットファイル(LNK)で指定されたコードが自動的に実行される脆弱性が存在すると「JVN」で発表した。
-
56 ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」
そんな中、転職活動の中でエージェントからサイバーディフェンス研究所というとっても香ばしい社名の会社の紹介を受ける。
-
57 iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める
2014年、Appleのクラウドサービス「iCloud」を含む、複数のログインサービスから、多数のセレブや女優、モデルのプライベート画像が流出する事件が起きた。
-
58 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト
CGC は用意されたプログラムの脆弱性を探し、それを修正するためのパッチを書く、そして敵チームのプログラムを攻撃するための攻撃コードを書き攻撃を行うという一連の行動をすべて自動化されたプログラムによって行うというものだ。
-
59 スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)
スミッシングとはSMSとフィッシングを合わせた造語である。SMSを利用してマルウェア感染サイトに誘導したり、スパイウェアやボットアプリをインストール・実行させる攻撃だ。SMSを利用するため、ターゲットは主にスマートフォンやタブレットとなる。
-
60 Adobe ReaderおよびAcrobatのセキュリティアップデート、更新を呼びかけ(JPCERT/CC)
JPCERT/CCは、「Adobe ReaderおよびAcrobatの脆弱性(APSB17-24)に関する注意喚起」を発表した。
-
61 OWASP が「安全なコーディングのバイブル」を新たに発表~そのセキュリティアドバイスがあれば、もう The Register のセキュリティ記事は読まなくても良いかもしれない(The Register)
「いまや我々は、10 年前から利用されている Java ライブラリについて語らない。我々が語っているのは、近代的なアプリケーション開発、AngularJS、RESTful 等に関することで──それらの全てが、ここにある」
-
62 日本の個人PCにインストールされている危険ソフトのトップ3が判明(フレクセラ)
フレクセラは、同社のSecunia Researchによる「Personal Software Inspector 国別レポート - 2016 年第 4 四半期」の日本の状況について発表した。
-
63 IoT機器向けのセキュリティソリューションで協力(ST)
STは、韓国Security Platform社とIoT機器向けセキュリティ・ソリューションに向け協力していくと発表した。
-
64 組込みソフト搭載の専用機器からSSHへのパケットが増加--定点観測レポート(JPCERT/CC)
JPCERT/CCは、2017年4月から6月における「インターネット定点観測レポート」を公開した。
-
65 ここが変だよ日本のセキュリティ 第28回「前前前世の君に学べ! 10年前と今のセキュリティ事情!」
最近、現セキュリティ担当者に会議後に「CSIRTって知らないと思いますけど、今、セキュリティ対策としてとても効果的なんですよ。」と言われちまったオイラ。いやいや、オイラは10年前、まさに君の前前前世のセキュリティ担当者だったのだ。
-
66 Amazonを騙り、アカウントをロックすると脅すフィッシングメールを確認(フィッシング対策協議会)
フィッシング対策協議会は、Amazonを騙るフィッシングメールについて、注意喚起を発表した。
-
67 ランサムウェアの被害件数は前年から約3.5倍、検出台数は約9.8倍に(トレンドマイクロ)
トレンドマイクロは、日本国内および海外でのセキュリティ動向を分析した報告書「2016年年間セキュリティラウンドアップ:『ランサムウェアビジネス』が法人にもたらす深刻な被害」を公開した。
-
68 「Apache HTTP Web Server」に複数の脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache HTTP Web Server」に複数の脆弱性が存在すると「JVN」で発表した。
-
69 OSPFプロトコルを実装する複数の製品に、DoS攻撃を受けるなどの脆弱性(JVN)
IPAおよびJPCERT/CCは、Open Shortest Path First(OSPF)プロトコルを実装する複数の製品に、シーケンス番号が MaxSequenceNumber になっている LSAの扱いに問題が存在すると「JVN」で発表した。
-
70 「Apache Tomcat」に、エラーページの削除や上書きが行われる脆弱性(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
71 来春誕生日本最大外資系損保「AIG損害保険」の日本サイバー保険市場への野心
米国では、有価証券報告書にあたる書類でのサイバーリスクの開示や、金融機関向けガイダンスにサイバー保険への加入が記載されているなど、B2B 取引の中で「付保要請(取引開始にあたって相手方当事者に保険加入を要請すること)」が増えているという。
-
72 Microsoft Windows OS における fodhelper.exe を用いて UAC による制限を回避する手法(Scan Tech Report)
Microsoft 社の OS である Windows にユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。
-
73 一田 和樹 作 「さよならアカウント」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
末期の重病を苦に自殺した少女のTwitterアカウントが死後復活した。フォロアーもフォローも1名だけのアカウントのツイート数は毎日増え続ける・・・
-
74 小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
千葉県柏市は6月28日、市立大津ケ丘第一小学校の養護教諭が個人情報を保存したUSBメモリを紛失したことが判明したと発表した。
-
75 「Webアプリケーション脆弱性診断ガイドライン」を公開、手動診断を定義(JNSA、OWASP Japan)
JNSA、ISOG-Jのセキュリティオペレーションガイドラインワーキンググループと、OWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」は、「Webアプリケーション脆弱性診断ガイドライン」を公開した。
-
76 VMwareのモバイル基盤サービスを自社導入ノウハウ加え提供、働き方改革にも(NEC)
NECは、企業向けにクラウド(SaaS)型の「ActSecureモバイル基盤サービス Powered by VMware AirWatch」の販売を開始したと発表した。
-
77 預金者の口座を許諾なしに危険にさらす「残高照会サービス」
現在、多くの銀行、信用組合などでNTTDATAの「ANSER-WEB」を使用して、オンラインで残高照会のできるサービスが提供されている。一見すると非常に便利なように見えるのだが、その実、一部の銀行では非常にリスキーな運用をしていることが判明した。
-
78 セキュリティ関連機器・システム/サービス市場、2019年には5,570億円に(富士経済)
富士経済は、セキュリティ関連の主要な機器・システム/サービスの市場について調査した報告書「2016 セキュリティ関連市場の将来展望」を発売した。
-
79 [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も
青少年もサイバー犯罪の危機にさらされるようになりました。具体的には、個人情報の流出や不正アプリによるウイルス感染、ソーシャルアカウントの乗っ取りといった事例が発生しています。
-
80 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(15) 「tcptraceroute」
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
-
81 「サイボウズ ガルーン」にDoSや情報漏えいなど複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、サイボウズが提供するグループウェア「サイボウズ ガルーン」に複数の脆弱性が存在すると「JVN」で発表した。
-
82 自動車セキュリティはIoTの延長でよいのか? 最新動向セミナー開催PR
イードは、8月28日、新宿住友スカイルームにて「クルマ×セキュリティ・マップ開発の先端 ~コネクティッド・ADAS・自動運転で必要なこと~」というセミナーを開催する。
-
83 ここが危ないインターネット クレジットカードの落とし穴
高度な技術が犯罪やサイバーテロに不可欠なわけではない。パソコンやネットの素人でもちょっとした知識と所定を踏めば簡単に犯罪やサイバーテロを行うことができる。 このシリーズでは、ほとんど技術をもたない人間でも実行可能な危険性や実例を中心にご紹介する予定
-
84 改ざんやDDoS攻撃などWebサイトの被害が増加、サイトの点検を呼びかけ(JPCERT/CC)
JPCERT/CCは、Cyber News Flashとして「Webサイトへのサイバー攻撃に備えて」を公開した。
-
85 LINE が取り組む 10 のセキュリティ対策…インフラは? アプリ開発は? 乗っ取り対策は?
今春開催されたカンファレンスで「LINEがセキュリティの為に取り組んでいる10のこと」というセッションが行われた。スピーカーは、LINE セキュリティ室 アプリケーションセキュリティチーム マネージャー 市原尚久氏だ。
-
86 ビジネスソフトの海賊版販売で有罪判決、罰金など合計約4,700万円(ACCS)
ACCSは、ビジネスソフトの海賊版を販売・所持し著作権法違反で逮捕された男性に対し、有罪判決が確定したと発表した。
-
87 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)
2015年12月、クラウドサービスの提供および利用のための情報セキュリティ管理策を規定した国際的なガイドライン規格「ISO/IEC 27017:2015」が発行された。JIPDECはこれを受け、ISMS適合性評価精度においてクラウドセキュリティの認証を開始する。
-
88 Raytheon と Websense、StoneSoft が統合、日本市場への野心 ( Forcepoint )
Webセキュリティ、メールセキュリティ、DLPの3分野でソリューションを展開していたWebsenseが、Forcepointに社名を変えた。今回、川崎氏にForcepointや新たに公開された脅威レポートについてお話をうかがった。
-
89 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)
「すべてのデバイスの一台一台で、これらの機能が有効化されており、それをオフにする方法は存在せず、また、こういった個人データをデバイスが送信することについて同意を求めるメッセージも、ユーザーには表示されていない」
-
90 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)
その他の監視対象として我々が聞かされているサイトには、HotSpotShield、FreeNet、Centurian、FreeProxies.org、MegaProxy、privacy.li、そして MixMinion と呼ばれる匿名のメールサービスが含まれている。
-
91 工藤伸治のセキュリティ事件簿シーズン6 誤算 第3回「スカイプ」
たまにいるんだよね。そういう粋がった野郎がさ。『攻殻機動隊』好きだろ。それとも『王様たちのヴァイキング』か?
-
92 [Security Days Spring 2017 インタビュー] 情報技術(IT)と運用技術(OT)を統合し、産業制御システム分野のセキュリティの取り組みも推進(トリップワイヤ・ジャパン)PR
産業用システムは継続性が重要で、特に、ICSなどの制御系システムは安全性が欠かせません。なぜなら、重要インフラに関するプラントなどの制御を奪われると、クリティカルな被害につながるからです。
-
93 マネージドゲートウェイと併用できるエンドポイントセキュリティサービス(バリオセキュア)
バリオセキュアは、マネージドゲートウェイセキュリティとの併用が可能なエンドポイントセキュリティサービスとして、「VarioEndPointSecurity-F」を提供開始すると発表した。
-
94 メッセンジャー「IP Messenger」のインストーラに任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、白水啓章氏、朝日ネットが提供するローカルネットワーク向けのメッセンジャーソフト「IP Messenger」のインストーラに、任意のDLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
95 工藤伸治のセキュリティ事件簿シーズン6 誤算 第2回「みえすいた罠」
ようするにスパイウエアじゃないか。堂々とスパイウエアを送り込むので、インストールしてくれとはあきれた相手だ。私をなめているのか。こんな見えすいた罠を仕掛けてくるとは、なめられたものだが、相手のレベルが低いことがわかって逆に安心だ。
-
96 「Telerik Web UI」に暗号化鍵を取得される脆弱性(JVN)
IPAおよびJPCERT/CCは、Progress Software Corporationが提供する「Telerik Web UI」に、暗号強度が不十分な脆弱性が存在すると「JVN」で発表した。
-
97 国内の主要な個人情報漏えい事故をまとめた「日本情報漏えい年鑑2017」(イード)
イードは、2016年度に日本国内で発生した主要な個人情報漏えい事件・事故をまとめた「日本情報漏えい年鑑2017」を発刊したと発表した。
-
98 銀行協会職員や警察官などと名乗り、カードを騙し取る事案が多発(日本クレジット協会)
日本クレジット協会は、銀行協会職員、百貨店社員、警察官などと名乗り、クレジットカードやキャッシュカード等を騙し取る事案が発生しているとして、注意喚起を発表した。
-
99 同業種でも攻撃や感染の数は企業により異なる、その差はリテラシー(ファイア・アイ)
ファイア・アイは、FireEyeラボが2013年に年間を通し、他のどのセキュリティ企業よりも多数のゼロデイ攻撃を検出したと発表した。
-
100 【インタビュー】忘れられがちな内部対策、標的型サイバー攻撃対策
標的型サイバー攻撃の実態と、対策製品の種類と用途、具体的製品名称、それぞれの有効性について、最新のサイバー脅威に詳しい株式会社ラックの上級サイバー分析官、岩井博樹氏に聞いた。
-
101 [配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
ScanNetSecurity の夏の恒例となりましたインタビュー記事を現在準備中です。
-
102 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)
キーを変更することができないという致命的な欠陥をもつ方式である以上、キーが破られる可能性が顕在化したら、その方式の有効性は失われたといっても過言ではないだろう。ベンダは破られないようにするというだろうが、しょせんイタチごっこである。
-
103 [DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー
フィッシング攻撃は大幅な増加傾向にあり、規模の大きい攻撃では、「ビッシング」用のコールセンターを設立する例があります。フィッシングメールとビッシングを組み合わせる手法もあります。メールを送った直後に電話で連絡し、確認依頼をすると効果があるのです。
-
104 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、Webアプリケーションを構築するためのフレームワークである「Apache Struts 1」に複数の脆弱性が存在すると「JVN」で発表した。
-
105 Mac OS X のシングルユーザモードの root アクセス(2)
〜[前号より]〜 結果として、Apple は root へのアクセスを許可する前にシングルユーザモードに root もしくは管理パスワードを必要とする何らかの措置を講じる必要がある。さらに Install CD は最初にパスワードを知らなくても、そのパスワードを再設定する唯一の方
-
106 サイバー犯罪捜査に正しい知識と技術を - 静岡のITベンチャー
静岡県の IT ベンチャー企業である株式会社 Geolocation Technology は、静岡県警サイバー犯罪対策課の若手捜査官を対象に、IPアドレスを使いネット犯罪の犯人特定などを行う技術研修プログラムを 7 月 20 日から 2 日間にわたって同県内で実施した。
-
107 SNSのトラブルは「LINE」と「Twitter」が突出、4人に1人がいじめ・嫌がらせを経験(プリキャンティーンズラボ)
10代の女の子に関する研究機関「プリキャンティーンズラボ」が、「いじめ・嫌がらせに関する調査」を実施。SNSのトラブルはLINEやTwitterが多く、「トラブルがあっても大人に相談したくない」と回答したのは4割にのぼった。
-
108 「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞くPR
ランサムウェアによる被害が広がっている。トレンドマイクロ株式会社の調査によれば4人に1人が勤務先の組織・企業が被害を被ったことがあるとし、その6割が身代金の支払いに応じているという。企業規模問わず狙われる可能性があるため、中小企業にとっても大きな脅威となる。
-
109 「Censys」の利用方法などを解説した改訂版を公開--テクニカルウォッチ(IPA)
IPAは、IPAテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」の改訂版を作成、公開した。
-
110 「Apache Struts2」のStruts1プラグインアプリに任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、「Apache Struts2」において、Struts1プラグインを使用するアプリケーションに任意のコードが実行可能な脆弱性が存在すると「JVN」で発表した。
-
111 [Security Days Spring 2017 インタビュー] IoTを含む百万以上のエンドポイントを可視化し、脅威を自動的に検出し封じ込める「ForeScout CounterACT」(フォアスカウト・テクノロジーズ)PR
「ForeScout CounterACT」の特徴は、「可視化」「制御」「オーケストレーション」です。まず自社ネットワークに接続されたデバイスを、エージェントレスで検知して「可視化」し、自社のコンプライアンスに則したポリシーで自動的に「制御」します。
-
112 Javaで実装された複数のAMF3ライブラリにコード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、Javaで実装された複数のAMF3ライブラリに複数の脆弱性が存在すると「JVN」で発表した。
-
113 App Storeからの請求書を装うフィッシング、複数の件名やリンク先が存在(フィッシング対策協議会)
フィッシング対策協議会は、Appleを騙るフィッシングメールが出回っているとして注意喚起を発表した。
-
114 DDoS攻撃の危険性に関する5つの誤解(アーバーネットワークス)
DDoS攻撃から組織のネットワークを防御することが長年の課題とされる中、多くの企業のネットワークは危険にさらされている。このような状況を踏まえ、企業がDDoS攻撃に対して飽きやすい主な誤解についてアーバーネットワークスがまとめた。
-
115 IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)PR
HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。
-
116 スマートテレビがランサムウェアに感染する瞬間を目撃! IoTセミナー(トレンドマイクロ)
トレンドマイクロは、「IoT時代のホームネットワークに潜む脅威解説セミナー」を開催した。
-
117 ここが変だよ日本のセキュリティ 第27回 「結果にコミットする!セキュリティ対策とダイエットの共通点!」
ちゃんと運用すれば効果はそれなりにあるはずなんだ。でも、なんで効果が出てこないか、その辺りの理由も、ダイエットとセキュリティはよく似ている。
-
118 「自炊代行業」の男性を逮捕、書籍の転売やデータの使い回しなども判明(ACCS)
ACCSによると、京都府警察本部生活経済課と東山警察署は、書籍を権利者の許諾なくデジタルデータ化し、さらにそれらをDVD-Rに複製し譲渡していた京都市左京区の自営業の男性を、著作権法違反の疑いで逮捕した。
-
119 アジア人初の DEF CON CTF ファイナリスト集団によるハンズオントレーニング、虎ノ門ヒルズに開校PR
セキュリティ事業部 アライアンスチーム 石井 絵理 氏は、「セキュリティ製品を導入しても使いこなせる人材が少ないなど、セキュリティ人材育成のニーズはとても高い一方で、優秀な人材の取り合いになっており、ヘッドハントできる体力がない企業は深刻な状況」と語った。
-
120 AWS 向け SaaS 型セキュリティサービス Alert Logic 概要と提供価格(MBSD)
6月1日から3日間にわたって都内で開催されたAWS Summit Tokyo 2016会場で展示と説明が行われた Alert Logic について、MBSD 戦略事業部 テクニカルコンサルタント 矢内 伸良 氏に話を聞いた。
-
121 情報漏えい防止ソフト「SafeBoot」の販売開始(富士通ソーシアルサイエンスラボラトリ)
株式会社富士通ソーシアルサイエンスラボラトリは7月23日、パソコンの情報漏えい防止ソリューション「SafeBoot(セーフブート)」の販売を7月29日より開始すると発表した。SafeBootはControl Break International社が開発した情報漏えい防止ソフトウェア。ハードディス
-
122 JINS オンラインショップに不正アクセス、118万件の個人情報が流出の可能性(ジェイアイエヌ)
株式会社ジェイアイエヌは3月24日、同社が運営するJINS オンラインショップに不正アクセスがあり、個人情報が流出した可能性があることが判明したと発表した。
-
123 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)
つまり、傘下の代理店の一つは6か月もの間、Windowsのパッチをあてていなかったことになる。
-
124 Apache Struts2 の脆弱性を利用した不正アクセスでアンケート情報流出の可能性(国土交通省)
国土交通省は6月6日、「不動産取引価格アンケート回答(電子回答)」サイトにおいて第三者による不正アクセス及び情報流出の可能性があることが判明したと発表した。
-
125 「Qua station接続ツール」のインストーラに任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、KDDIが提供する「Qua station接続ツール(Windows版)」のインストーラに、任意のDLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
126 [特別連載] スティーブン・ポール・ジョブズの人生と時代 第1部 第1回
スティーブン・ポール・ジョブズ の人生と時代 第1部 第1回 ?小学校の暴れん坊からiMacによる復活へ
-
127 「Outlook」向けに定例外のセキュリティ情報を公開(日本マイクロソフト)
日本マイクロソフトは、「Outlook」の脆弱性を修正するセキュリティ更新プログラムを定例外で公開したと発表した。
-
128 セキュリティ機関研究:IBM ISS 第1回 歴史
世界的な情報セキュリティの研究機関として有名なInternet Security Systems(ISS)。2006年にIBMに買収されたことも記憶に新しい。現在IBMの一部門として世界各所で情報収集分析を行うSecurity Operation Center(SOC)、情報の分析の他機器へのフィードバックを行う
-
129 【続報】Anonymous Japan のDDoS攻撃ツール(Far East Research)
なお、Anonymous Japan が今回最高裁判所公式Webサイトの攻撃に用いたのは「HOIC(High Orbit IonCanon)」と呼ばれるDDoSツールであることが明らかになった。
-
130 暗号化を行わない「WannaCry」亜種に感染したPCによるアクセスが増加(警察庁)
警察庁は、@policeにおいて「ランサムウェア『WannaCry』の亜種に感染したPC からの感染活動とみられる445/TCPポート宛てアクセスの観測について」を重要情報として発表した。
-
131 4人に1人がランサムウェア被害、6割が支払いに応じ 額は300万円以上過半(トレンドマイクロ)
トレンドマイクロは、「企業におけるランサムウェア実態調査 2016」の結果を発表した。
-
132 3年間にIT投資を行っていない中小企業は47.7%、主な理由は費用対効果(IPA)
IPAは、「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について発表した。
-
133 企業向けモバイルセキュリティ市場、2015年の56億円から2020年には118億円(IDC Japan)
IDC Japanは、国内モバイルエンタープライズセキュリティ市場の2016年~2020年の予測を発表した。
-
134 重大な脆弱性が各分野で発覚、モバイルを狙うランサムウェアも--四半期レポート(トレンドマイクロ)
トレンドマイクロは、日本国内および海外でのセキュリティ動向を分析した報告書「2017年第1四半期セキュリティラウンドアップ:重大脆弱性の悪用でWebサイトの被害が続発」を公開した。
-
135 柳条湖事件に関連するサイバー攻撃、昨年と同様に少ない状況(日本IBM)
日本IBM Tokyo SOCは、柳条湖事件が起こった9月18日前後の攻撃動向について発表した。
-
136 Tor の出口ノードがダウンロード時にマルウェアを混ぜ込む~Windows Update のハッカーは Microsoft FixIt に守られる(The Register)
Tor プロジェクトのメンバー Roger Dingledine は、ネットワーク上の悪者として、その出口ノードにフラグを立てた。だが、そのことは、100 以上の出口ノードから「模倣した攻撃」が行われるのを実質的に防ぐ措置ではない。
-
137 [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)
「セキュリティ業界は、社会を守る使命感を持って入ってくる人がほとんどです。コンテストやバグバウンティへの参加は、セキュリティ専門企業だからこそできる、有志のエンジニア達を成長させるひとつの有効な方法だと思っています。(武井)」
-
138 サイバーセキュリティ・アフリカ(4)セキュリティ外交ことはじめ
「日本のインターネットを守るためには、世界のインターネットの水準を上げなければいけないですから、どこに一番手を入れなければいけないかというと、これから一番人口の増加が予測されているアジアとアフリカなんだ、という話をとても正直にしました。」
-
139 準拠の継続率が低いPCI DSS、カード情報を漏洩した企業の要件6・10準拠は皆無(ベライゾン)
ベライゾンは5月14日、2015年のペイメントカード業界コンプライアンス調査報告書に関する記者発表会を行った。前年を上回る約6割の企業が何かしらのPCI DSS要件に準拠していたことが明らかになったが、全ての要件をクリアし、完全に準拠している企業は約2割に留まった。
-
140 32種のセキュリティ事故に立ち向かう無償ボードゲーム、CSIRT 演習用(トレンドマイクロ)
トレンドマイクロは、企業においてセキュリティインシデント発生時に対応を必要とするメンバーを対象に、ボードゲーム形式でインシデント対応の訓練を行う教材「インシデント対応ボードゲーム」の無償提供を開始すると発表した。
-
141 [インタビュー]ソリトンシステムズ 荒木粧子氏に聞く、 「年金機構」以降のサイバー攻撃とマイナンバー対策(前編)
2015年10月にマイナンバーの配布が開始され、2016年1月に本格運用が開始となるマイナンバー制度。マイナンバーを取得した企業や自治体の「安全管理措置」の考え方は、日本年金機構のインシデント以降、内部不正防止からサイバー攻撃対策へと劇的に変化している。
-
142 PHP-CGI のクエリストリング処理における脆弱性を悪用するエクスプロイトコード(Scan Tech Report)
PHP コードを CGI として実行するインタプリンタ「PHP-CGI」のクエリストリング処理には、任意の引数を指定して PHP-CGI を実行できてしまう脆弱性が存在しました。
-
143 piyolog Mk-II 第11回 「佐賀県学校教育ネットワークへの不正アクセス事件を振り返り気になったコト」
今回の事件は複数の専門家から見解が示されています。しかし実際はどうだったのでしょうか。
-
144 中国の「APT10」、日本の官公庁や製造業、メディアなどを狙う攻撃が活発化(ファイア・アイ)
ファイア・アイは、中国のサイバー・スパイ・グループ「APT10」の2017年前半の活動について発表した。
-
145 日本に精通した標的型攻撃「BRONZE BUTLER」の詳細レポートを公開(SecureWorks)
SecureWorksは、同一のサイバー攻撃グループによるものと思われる、複数の日本企業に対する標的型攻撃のホワイトペーパー「日本企業を狙う高度なサイバー攻撃の全貌 - BRONZE BUTLER」を公開した。
-
146 SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)
株式会社InterFM897は5月17日、同社のWebサーバへの不正アクセスによる個人情報が抜き取られたことが判明したと発表した。
-
147 遊井 かなめ 「『天使たちのシーン』は聴こえているか?」 - 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
「時代は変わった。これからはサイバーミステリとアメリカの時代だ」
-
148 バッファロー製の無線LAN製品に複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、バッファローが提供する無線LANルータ、および無線LANアクセスポイントに複数の脆弱性が存在すると「JVN」で発表した。
-
149 VLC Media Playerにサーバプロセスをクラッシュされる脆弱性(JVN)
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は10月13日、VideoLANが提供する動画や音声を再生するためのアプリケーション「VLC Media Player」にNULLポインタ参照の脆弱性が存在
-
150 Apache HTTP Server のエラーページに起因する HTTP ヘッダ情報漏えいの脆弱性(Scan Tech Report)
Apache HTTP Server に、HttpOnly 属性が指定された Cookie をエラーページに出力してしまう脆弱性が報告されました。
-
151 Dahua製IPカメラ製品のWebインタフェースに任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、Dahua製 IP カメラ製品が使用しているSonia ウェブインタフェースにスタックベースのバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。
-
152 OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)
HASHコンサルティングは、新サービス「脆弱性検査ハンズオンセミナーwith OWASP ZAP」を提供すると発表した。
-
153 NSS LabsがNGFWの性能評価マップSVMを公開――各製品の特徴を可視化
セキュリティソフトやアプライアンス製品に対して、研究機関や業界団体などが、独自の性能評価を行い、そのレポートを公開することがある。
-
154 1917名の患者の個人情報が記録されたUSBメモリを紛失 (北里大学東病院)
北里大学東病院は1月30日、患者の個人情報が記録されたUSBメモリを紛失したと発表した。
-
155 [インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings
「それよりも、地に足の着いた投稿の方がよっぽど信頼できて面白いと思います。『Network Defense』と『Malware』のカテゴリは、いずれも、ただ「解析してみました」、ただ「作ってみました」ぐらいのレベルでは基本的に通りません。」
-
156 インシデント報告件数は横ばい、フィッシングサイトは前四半期から36%増加(JPCERT/CC)
JPCERT/CCは、2017年1月1日から3月31日までの四半期における「インシデント報告対応レポート」および「活動概要」を公開した。
-
157 Heart of Darknet - インターネット闇の奥 第1回「プロローグ」
ダークウェブの犯罪者コミュニティを巡回するヨハンが、あるロシア人の投稿を見つけた。「α社製造のATMのハッキングモジュール作りました。だれかほしい人いませんか?」
-
158 「Ghostscript」にコード実行の脆弱性、すでに攻撃活動を確認(JVN)
IPAおよびJPCERT/CCは、Artifex Software, Inc.が提供する「Ghostscript」に任意のコードを実行される脆弱性が存在すると「JVN」で発表した。
-
159 約81万件の顧客情報が保存されたUSBメモリを紛失(東京電力)
東京電力は1月28日、同社カスタマーサービス・カンパニー執務室内において個人情報を記録したUSBメモリを紛失したと発表した。
-
160 IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート(NRIセキュア)
NRIセキュアは、「サイバーセキュリティ傾向分析レポート2017」を発表した。
-
161 「Apache Tomcat」のアップデートを公開、コード実行の脆弱性など修正(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
162 「Apache Tomcat」がアップデート、情報漏えいやDoSの脆弱性に対応(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
163 piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」
Anonymousによる攻撃示唆の投稿は合計すると100以上にも及び、障害も似たような件数が発生していたものと考えられますが、それらすべてが報道されていたわけではありません。
-
164 Microsoft Windows の afd.sys ドライバに起因するメモリ領域の二重解放の脆弱性(Scan Tech Report)
Microsoft Windows の afd.sys ドライバにメモリ領域を二重に解放してしまう脆弱性が報告されています。
-
165 ネットワークセキュリティを強化する専用BOXを設置、対応サポートも提供(NTT東日本)
NTT東日本は、新たなセキュリティサービス「おまかせサイバーみまもり」を6月29日より提供開始すると発表した。
-
166 [新春対談] 一田 和樹 vs 辻 伸弘 : インターネットの善悪と2017年展望
リサーチャーとして日々動向をウォッチし、情報を提供している辻伸弘氏と、「サイバーミステリ小説」というカテゴリを切り開いた一田和樹氏。そんな両氏の二度目の対談が実現した。昨今のサイバーセキュリティ動向と、背後にある世界をどのようにとらえているのだろうか。
-
167 ISMSクラウドセキュリティ認証の認定を開始、認証基準を公表(JIPDEC)
JIPDECは、ISMSクラウドセキュリティ認証の認定を開始すると発表、ISMSクラウドセキュリティ認証の認証基準を公表した。
-
168 [Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで
本年の Black Hat USA 2015 の BUSINESS HALL で、日本の企業 PFU の北米支社が、標的型攻撃対策製品の展示を行った。日本では、主にスキャナの成功で知られている企業だが、北米市場にいったいどんなセキュリティ製品を提供しているのか。
-
169 [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義
福森があるマルウェアを捜査中、イスラム国の中にマルウェアの感染者を発見した。当初イスラム国がマルウェアを作っていると考えたが、捜査を進めるうち「イスラム国になりすましたクルド人サイバー犯罪者」がマルウェアをばらまいていた可能性が浮上した。
-
170 「東商マート」サイトに不正アクセス、約5万件の顧客情報が漏えい(ジャパン・フード&リカー・アライアンス)
ジャパン・フード&リカー・アライアンスは、同社の連結子会社である東洋商事が運営する通販サイト「東商マート」に不正アクセスがあり、個人情報が一部流出した可能性のあることが判明したと発表した。
-
171 詐欺サイトに誘導するアダルト動画ポータルが急増、キャンペーンの可能性(BBソフトサービス)
BBソフトサービスは、「インターネット詐欺リポート(2017年6月度)」を発表した。
-
172 「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)
前作でもそうだったが、この小説には悪人が登場しない。犯人ですら元から悪人ではなく、救われるべき人間だ。
-
173 [インタビュー]キャリア15年目、新井悠が描くマルウェア研究者のキャリア(トレンドマイクロ)
新井悠氏は、13年勤めた大企業・政府機関向けセキュリティソリューションやコンサルティングで定評のある有名企業から、昨年8月、トレンドマイクロに転職した。
-
174 BCPへの対応力を強化した「三鷹第二データセンター(仮称)」の建設を開始(NTTデータ)
NTTデータは25日、「三鷹第二データセンター(仮称)」(東京都三鷹市)の建設を開始することを発表した。竣工は2018年2月の予定。床面積、収容ラック数、最大受電容量において国内最大級の規模となる。
-
175 「Yahoo!かんたん決済」不正利用対策としてパトロール体制を見直し、不正検知を強化ヤフオク!(ヤフー)
ヤフーは4日、インターネットオークションサイト「ヤフオク!」について、今後の方針を発表した。「Yahoo!かんたん決済」決済手数料を無料化するとともに、落札システム利用料を変更。その他さまざまな施策を実施する。
-
176 Apple IDでの購入を装うフィッシング確認、中途半端な件名に注意(フィッシング対策協議会)
フィッシング対策協議会は、Appleを騙るフィッシングメールが出回っているとして注意喚起を発表した。
-
177 クロスルート証明書に潜む危険性
しかし、クロスルート証明書を提供しない2048bit証明書に切り替えてしまうと、SSLが使用できない端末が発生してしまう。情報システム部門が危険性を認識していても、ユーザークレームにさらされる営業・ビジネスサイドからの不満が発生する。
-
178 DDoS緩和およびWAFのクラウドサービスに、JSOCが対応するMSSを提供(ラック、アカマイ)
ラックは、アカマイのクラウドセキュリティソリューション「KSD」に対応した「MSS for Akamai KSD」および「POS for Akamai KSD」の提供を10月1日より開始する。
-
179 iPhoneで推測されやすい危険なパスコードトップ10、「5683」の意味とは?(ソフォス)
ソフォス株式会社は6月14日、「iPhoneで絶対に使ってはいけないパスコードトップ 10」をニュースとして公開した。これは同社本社のセキュリティブログ「Naked Security」の翻訳記事。Apple iPhoneアプリケーションの開発者であるDaniel Amitay氏は、システムを保護するた
-
180 加盟店はカード情報の非保持化あるいはPCI DSS準拠--実行計画まとまる(クレジット取引セキュリティ対策協議会)
クレジット取引セキュリティ対策協議会は、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」を取りまとめ、発表した。
-
181 OCNサービスにおける「迷惑メール」対策を実施(NTTコミュニケーションズ)
NTTコミュニケーションズは、不特定多数のメールアドレスに送られる、いわゆる「迷惑メール」に対する対策を新たに実施することになった。今回の対策では、主に契約約款の改定と、サービスにおける対策機能などの強化などが挙げられる。 従来ではOCNの契約者が「迷惑
-
182 都税クレジットカード支払サイトで不正アクセス、カード情報が流出(GMOペイメントゲートウェイ)
GMOペイメントゲートウェイ株式会社は3月10日、同社が運営受託する東京都都税クレジットカード支払サイトおよび独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトで不正アクセスによる情報流出の可能性があることが判明したと発表した。
-
183 無貌の蜘蛛Xunleiが世界を食う~世界最大のP2Pネットワークが匿名最終兵器になる日
誰かが残した強力な兵器をたまたま手に入れた自分が操縦者となる。そんな物語を私たちはたくさん知っている。これから人々が、ネットに転がっている強力な兵器を探し求めるかもしれない。そして首尾よく無貌兵器の制御を奪った時にこう言うのだ。「こいつ…動くぞ!」と。
-
184 ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」
脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。
-
185 [レポート] インシデントレスポンスの初動から終息までのフロー ~ Trend Micro DIRECTION
Q 1.外部機関から連絡があり、自組織から不審な通信がでていると指摘された場合最初に何をすべきか? / Q 2.インシデントレスポンスは何のために実施するのか? / Q 3.終息宣言・安全宣言はどのタイミング出すのか?
-
186 金融分野でのセキュリティ対策の現状と課題、提言を紹介(PwC)
PwCは、メディアセミナー「金融分野における諸外国のサイバーセキュリティ規制・対策の動向と国内の展望~国内金融機関が取り組むべき3大重点課題~」を開催した。
-
187 「アカウント情報を確認しないとApple IDをロック」、フィッシング確認(フィッシング対策協議会)
フィッシング対策協議会は、Appleを騙るフィッシングメールが出回っているとして注意喚起を発表した。
-
188 シノアリスのメンテナンスを強制的に解除すると詐称、連携するとアカウント乗っ取り等の可能性(スクウェア・エニックス)
iOS/Androidアプリ『SINoALICE -シノアリス-』の公式Twitterアカウントにて、Twitterスパムに対する注意喚起が行われています。
-
189 日本初の PCI DSS 準拠認定取得 -ヤマトシステム開発にその実際を聞く [後編](PCI DSS対策研究所)
クレジットカード情報を守るために VISA、JCB、MasterCard などの国際クレジットカードブランドが策定した国際セキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」への日本国内での対応が本格化している。
-
190 iOSを取り巻く危険度が高まる、App Store外の不正アプリであってもiPhoneが誤認してインストールが可能に
新端末「iPhone SE」が販売開始となり、盛り上がっているが、iPhone、iPadなどの「iOS端末」は、ウイルスなどに攻撃されない・されにくいという“安全神話”が、長年流布してきた。しかし近年は、大きく揺らぎ始めている。
-
191 ドローン「U818A WIFI」に撮影した画像や動画を取得・改ざんされる脆弱性(JVN)
IPAおよびJPCERT/CCは、DBPOWERが提供するドローン「U818A WIFI」のファイルシステム全域がWi-Fi経由で読み書き可能な脆弱性が存在すると「JVN」で発表した。
-
192 アーカイバソフト「7-Zip for Windows」のインストーラに脆弱性(JVN)
IPAおよびJPCERT/CCは、Igor Pavlovが提供するオープンソースの圧縮・展開ソフトウェア「7-Zip for Windows」のインストーラに脆弱性が存在すると「JVN」で発表した。
-
193 「Oracle Java」の脆弱性に対応するアップデートが公開、適用を呼びかけ(IPA)
IPAは、Oracle社がJavaのアップデートを公開したことを受け、「Oracle Java」の脆弱性対策について注意喚起を発表した。
-
194 「Apache HTTP Web Server」に複数の脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache HTTP Web Server」に複数の脆弱性が存在すると「JVN」で発表した。
-
195 サイバー犯罪者に人気の電子カルテ、しかし10万台の医療機器がネットに露出(トレンドマイクロ)
トレンドマイクロは、医療業界の脅威動向やリスク状況を分析したレポート「医療業界が直面するサイバー犯罪とその他の脅威」を公開した。
-
196 [RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポートPR
講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。
-
197 [インタビュー] セキュリティ診断で検知される脆弱性の傾向に変化あり(NTTデータ先端技術)PR
山下「NTTデータ先端技術では、脆弱性を見つけることを仕事のゴールと考えていないところに理由があるかもしれません。」
-
198 統合PCセキュリティ管理ソフトの資産管理部分を無償で提供(ソリトン)
ソリトンは、統合PCセキュリティ管理ソフトウェア「InfoTrace PLUS」の一機能である資産管理ソフト部分を「Free e-Care」としてフリーダウンロードを開始した。
-
199 Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)
ハクティビスト集団Anonymousのメンバーが、地下に潜行していた幼児虐待サイトを閉鎖し、その会員名簿を暴露したと主張している。
-
200 マルウェアが引き続き増加傾向、特にMacを狙うものは前年比744%と急増(マカフィー)
マカフィーは、2016年第4四半期の脅威レポート「McAfee Labs脅威レポート: 2017年4月」を発表した。
