1
日本セキュリティ監査協会が選ぶ2020セキュリティ10大トレンド(JASA)
JASAは、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用することを目的とした調査結果「情報セキュリティ監査人が選ぶ2020年の情報セキュリティ十大トレンド」を発表した。
2020.01.23(木)
JASAは、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用することを目的とした調査結果「情報セキュリティ監査人が選ぶ2020年の情報セキュリティ十大トレンド」を発表した。
マクニカネットワークスは、マルウェア「Emotet」への同社セキュリティ取り扱い製品での対応状況について発表した。
関西電力株式会社は12月23日、同社社員のパソコンがコンピューターウイルスEmotetに感染し個人情報等のデータ流出の可能性が判明したと発表した。
上野の口からは、以前構想はしたものの、まだ着手すらしていない国産SIEMの開発のきわめて具体的な話が突然飛び出したという。井手はそのとき、夢の具体化と目標までの道のりが一歩進んだことを実感した。
株式会社アルメックスは12月、同社が運営する「ハッピーホテル」サービスにて12月22日頃から第三者からの不正アクセスがあり利用者の個人情報が漏えいした可能性が判明したと発表した。
Farsight SecurityのCEO ポール・ビクシー氏が、DNS over HTTPS(DoH)について講演した。DoHは、いくつかのブラウザで実装が進み、試験運用などがスタートしているが、DNSの権威であるビクシー氏はどう考えているのだろうか。
IPAおよびJPCERT/CCは、複数のApple製品で使用しているSecureROMに解放済みメモリ使用(use-after-free)の脆弱性が存在すると「JVN」で発表した。
ダークウェブへの入り口ともいえるTorブラウザ。オニオンルーターという追跡を困難にするしくみを利用したブラウザで、ブラック、ホワイトを問わずハッカー御用達ブラウザといってよい。そのTorが悪人によって汚染されていたらどうなるのか?
JNSAは、同協会のセキュリティ十大ニュース選定委員会による「JNSA 2019 セキュリティ十大ニュース~ガバナンス不全がもたらす危機の警告~」を発表した。
IPAおよびJPCERT/CCは、複数のCDNプロバイダが、HTTPキャッシュポイズニングの影響を受ける問題が存在すると「JVN」で発表した。
デジタルアーツは、改ざんサイト検知・ブロック実績(2019年分)を公開した。
Oracle社が複数の製品に対するクリティカルアップデートに関する情報を公開し、IPAおよびJPCERT/CCが注意喚起を発表している。
IPAは、「ECサイト構築で多く利用されている『EC-CUBE』を用いたウェブサイトでの情報漏えい被害の増加について」とする注意喚起を発表した。
もはや電気や水道のようなインフラと化した Wi-Fi インターネット接続。しかし、それは本当に安全なのだろうか。一般的に有効と考えられている Wi-Fi のセキュリティでも、誤解、過信、誤用が多い。
建設機械の製造や販売を行う株式会社加藤製作所は12月18日、同社内のパソコンがウイルスに感染し保存されていた過去のメール送受信履歴が流出し、同社社員を名乗る不審メールが送付されたことが判明したと発表した。
フィッシング対策協議会は、多くの金融機関を騙るフィッシングの報告を受けているとして、注意喚起を発表した。
株式会社現代ギター社は1月7日、同社が運営する「GGインターネットショップ」にて第三者からの不正アクセスがあり顧客のカード情報を含む個人情報の流出した可能性が判明したと発表した。
アクセンチュアは、AccentureがBroadcomからシマンテックのサイバーセキュリティサービス事業を買収することに同意したと発表した。
JNSAセキュリティ被害調査WGは、「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」を公開した。
株式会社荏原製作所は1月14日、ポンプのメンテナンス業務を委託している協力会社の株式会社イディアの業務用パソコンが第三者からの不正アクセスがあり顧客情報が流出した可能性が判明したと発表した。
トレンドマイクロは、「Windows Vista」と「Office 2007」の利用状況について発表した。
IPAは、「ゴールデンウィークにおける情報セキュリティに関する注意喚起」を発表した。
IPAおよびJPCERT/CCは、Citrixが提供する「Application Delivery Controller」および「Citrix Gateway」に任意のコードを実行可能な脆弱性が存在すると「JVN」で発表した。
本記事では、無料で登録できる ScanNetSecurity BASIC MEMBERS と、メールマガジン Scan BASIC の登録方法を解説しています。所要時間は 2 分程度です。
株式会社北洋銀行は12月19日、12月3日に公表した同行の行員による顧客情報の漏えいについて調査結果を発表した。
チェック・ポイントは、同社の脅威情報部門であるCheck Point Researchが、動画アプリ「TikTok」の複数の脆弱性を発見したと発表した。
Black Hat Europe
昭和大学病院は1月10日、患者の個人情報の一部を含む消化器・一般外科所有のノートパソコンと外付けハードディスクの紛失が判明したと発表した。
オープンソースソリューションから、機械学習、クラウド、IoTなどを扱うサイオス株式会社は1月6日、不具合が生じ一時閉鎖していた同社と同社子会社であるサイオステクノロジー株式会社のWebサイトの復旧作業が完了し両サイトの公開を再開したと発表した。
神奈川県は12月21日、同県が12月6日に公表した富士通リース株式会社横浜支店とのリース契約満了に伴い返却したサーバからデータが消去される前に盗まれたハードディスクについて全台数を回収したと発表した。
NTTコム オンラインは、セキュリティソフト業界を対象にしたNPSベンチマーク調査2019の結果を発表した。
ラックは、同社のセキュリティ監視センター「JSOC」によるセキュリティレポート「JSOC INSIGHT vol.25」を公開した。
ウォッチガードは、「インターネットセキュリティレポート」の最新版(2019年第3四半期)を発表した。
株式会社ペットハグは1月15日、同社が運営する「ペットハグサイト」に第三者からの不正アクセスがあり、クレジットカード情報流出の可能性が判明したと発表した。
ソフォスは、SophosLabsの研究チームがサイバー脅威の最新動向について分析した「2020年版脅威レポート」の日本語版を発表した。
ジャーカフ氏は、課題の根底に「ベンダーによって脅威インテリジェンスが指す意味が異なることがある」と述べる。日本企業が、脅威インテリジェンス活用のためにどのようなマインドセットの変化が必要か、ジャーカフ氏に聞いた。
フィッシング対策協議会は、Amazonを騙るフィッシングメールが出回っているとして、注意喚起を発表した。
IPAセキュリティセンターは、「年末年始における情報セキュリティに関する注意喚起」として、年末年始の長期休暇期間における情報セキュリティ対策について発表した。
トレンドマイクロは、「2019年国内サイバー犯罪動向解説セミナー」を開催した。
フィッシング対策協議会は、フィッシングの報告を受けているとして、2件の注意喚起を発表した。
マイクロソフトが2020年1月度のセキュリティ更新プログラムを公開し、IPAおよびJPCERT/CCが注意喚起を発表している。
株式会社インテックは12月2日、同社が業務を受託している高岡市民病院と市立砺波総合病院様から同社社員による個人情報の持ち出しが判明したと発表した。
神奈川県は12月27日、同県が富士通リース株式会社横浜支店とのリース契約満了に伴い返却したサーバから、データ消去前に盗まれオークションに出品された9本のハードディスクについて、データの全消去が完了したことが判明したと発表した。
IPAおよびJPCERT/CCは、Juniper Networksが提供する「Junos OS」に複数の脆弱性が存在すると「JVN」で発表した。
株式会社オージス総研は1月14日、同社が提供するファイル転送サービス「宅ふぁいる便」について2020年3月31日での終了を発表した。
IPAは、国内の産業用制御システム保有事業者のセキュリティ対策を促進することを目的に「産業用制御システムのセキュリティ10大脅威と対策」を発表した。
ジャパンシステムは、両備システムズとの間で、ジャパンシステムのセキュリティ事業の譲渡に関する基本合意書を締結したと発表した。
富士キメラ総研は、法人向けネットワークセキュリティ関連の国内市場を調査し、その結果を「2019 ネットワークセキュリティビジネス調査総覧 市場編」「同 企業編」にまとめたと発表した。
IPAおよびJPCERT/CCは、Intelが複数の製品に対するアップデートを公開したと「JVN」で発表した。
東北電力株式会社は1月10日、12月28日に公表した同社の会員制Webサービス「よりそうeねっと」への第三者からの不正ログインについて調査状況を発表した。
デージーネットは、メールサーバの安全性について課題の傾向・考察をまとめた統計レポートを公表した。
株式会社サンドラッグは12月17日、同社社員を装った第三者からの不審メールの発信を複数件確認したと発表した。
警察庁は、同庁のセンサーに対するアクセス観測状況をまとめた「令和元年11月期観測資料」を「@police」において公開した。
有限会社増田経済研究所は12月6日、顧客情報が社外に流出したことが判明したと発表した。
電机本舗は、サポートの切れるWindows7を使い続けるためのソフト「Windows7フォーエバー - Security -」を11月8日より出荷を開始したと発表した。
東京都小金井市は12月26日、同市の委託事業先である一般財団法人天誠会が実施する介護老人保健施設小金井あんず苑での介護予防事業等で利用していた個人情報について元職員による盗用が判明したと発表した。
神奈川県川崎市は12月20日、12月16日に公表した同市立図書館Webサイトの障害について調査結果を発表した。
IPAおよびJPCERT/CCは、アップルップルが提供する「a-blog cms」に、複数の脆弱性が存在すると「JVN」で発表した。
分析装置を扱うLECOジャパン合同会社は11月15日、同社社員の業務用ノートパソコン1台が不正アクセスを受け、当該端末に保存されていた顧客情報が社外に流出した可能性が判明したと発表した。
新潟県は1月14日、県立佐渡高等学校にて個人番号通知カードのコピーを返却した際、誤って別の保護者に送付したことが判明したと発表した。
国土交通省は、車検証を電子化するため「自動車検査証の電子化に関する検討会」を、3月8日に開催し、電子化するのに必要な技術的要件について検討する。
象印マホービン株式会社は12月5日、同社のグループ会社である象印ユーサービス株式会社が運営する部品・消耗品販売サイト「象印でショッピング」が第三者からの不正アクセスを受け、顧客の個人情報の流出が判明したと発表した。
IPAおよびJPCERT/CCは、楽天が提供するスマートフォンアプリ「ラクマ」に、認証に関する情報が漏えいする脆弱性が存在すると「JVN」で発表した。
フィッシング対策協議会は、ジャパンネット銀行を騙るフィッシングの報告を受けているとして、注意喚起を発表した。
FULLSPEC.は12月19日、同社が運営するアパレル商品販売サイト「FULLSPEC. WEB SITE」にて第三者からの不正アクセスにより顧客のカード情報流出の可能性が判明したと発表した。
株式会社北洋銀行は12月20日、同行がヤマト運輸株式会社に輸送を委託している道税領収済通知書の一部が所在不明であることが判明したと発表した。
埼玉県は12月19日、県立久喜北陽高等学校にて個人情報を含むタブレット端末の盗難が発生したと発表した。
東京都文京区は12月18日、文京区立保育園にて撮影したデジタルカメラのSDカードの紛失が判明したと発表した。
株式会社ハードオフコーポレーションは1月10日、同社が運営するオンライン通販サイト「ハードオフネットモール」にて第三者からのリスト型攻撃による不正ログインが判明したと発表した。
滋賀県日野町は12月20日、日野町Webサイトに掲載した特別支援教育就学奨励費の申請手続きに必要な「購入物品報告書」に個人情報が添付され閲覧可能であったことが判明したと発表した。
愛知県名古屋市は1月6日、所得証明書の交付誤りが発生したと発表した。
株式会社ダートフリークは1月15日、同社が運営するWebサイト「ダートバイクプラスオンラインストア」にて外部からの不正アクセスがあり顧客の個人情報が流出した可能性が判明したと発表した。
西日本電信電話株式会社は12月12日、NTT西日本グループ会社の社員のパソコンがEmotetに感染し同社グループ会社の社員を装った不審メールが発信されたことを確認したと発表した。
神奈川県横浜市は1月10日、都筑区地域振興課の非常勤職員が公開講座の参加者に対し個人情報が含まれるファイルを誤送信したことが判明したと発表した。
![サイント岩井博樹の 2019 年全体総括 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/Yw5yahsgj9ZvF0bQnjgYVW8IYAf2BQQDAgEA/29868.png)
2019 年は全体的なサイバー攻撃傾向として、サプライチェーンや取引先を通じたサイバー攻撃事案が多く確認されました。包括的なサイバーセキュリティ対策が世界的に求められていますが、その責任範囲を示すものが無い上、現実的な対応にも限界が見られました。
TEDは、トレンドマイクロと国内販売代理店契約を締結し、産業制御システム向けネットワークセキュリティ製品を受注開始すると発表した。
パナソニックと東京建物は、BAシステムのサイバー・フィジカル・セキュリティ対策に向け、パナソニックが開発中であるBAシステム向けサイバーセキュリティソリューションの実証実験を首都圏にある東京建物の既存ビルで実施することに合意した。
IPAおよびJPCERT/CCは、Telos Corporationが提供する、DoDおよびICのセキュリティマーキング要求をサポートするWebベースのメッセージングシステム「AMHS」に、複数のクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。
社団法人コンピュータソフトウエア著作権協会(ACCS)を舞台にした不正アクセス事件で逮捕されたofficeこと河合一穂被告の刑事裁判が、東京地裁で5月26日からスタートする。罪名は不正アクセス禁止法違反。弁護側は「office氏の行為は不正アクセスには当たらない」と徹
IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
東北電力株式会社は12月28日、同社の会員制Webサービス「よりそうeねっと」にて第三者からの不正ログインを確認したと発表した。
IPAおよびJPCERT/CCは、シンキングリードが提供する「F-RevoCRM」にクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。
いわゆるスマートトイが最も基本的なセキュリティ基準さえ満たしていないという事例は年々増えているようだ 。Which? は、今年のクリスマスプレゼントの中にあなたのお子さんとおしゃべりしようと目論む悪者が利用できそうな玩具をたくさん見つけた。
鳥取県は1月15日、県立総合療育センターにて医療費の請求書類を送付した際に、他の利用者の請求書類一式が混入したことが判明したと発表した。
大阪市は1月10日、大阪市市民局が実施する「区政に関する区民アンケート」にて誤送付による個人情報の漏えいが判明したと発表した。
大阪府は1月10日、府立西野田工科高等学校にて生徒の個人情報が記載された記録簿の紛失が発生したと発表した。
愛知県名古屋市は1月8日、東区にて通達員による文書配付誤りがあり、その後、当該文書の紛失が判明したと発表した。
ラックは、「猛威をふるっているマルウェアEmotetの検知状況について」とする注意喚起を発表した。
シナネン株式会社は12月17日、同社のグループ会社のパソコン1台がマルウェア「Emotet」に感染し同社及び同社グループ社員名を騙る不審メールが社内外に送信されたことが判明したと発表した。
エヌ・ティ・ティラーニングシステムズ株式会社(NTTLS)は12月25日、同社のメールアカウントに第三者から不正アクセスがあり、当該アカウントから大量の迷惑メールが送信されたと発表した。
沖縄県那覇市は12月27日、「那覇市避難行動要支援者名簿」の一部紛失が判明したと発表した。
米デジサート・インクとユビセキュアは、組織のアイデンティティに関する課題の解決を図るため、デジサートのソリューションにLEIを加える取り組みにより協業すると発表した。
セキュアヴェイルはChatworkと提携し、セキュアヴェイルが独自に開発・提供するマネージド・セキュリティ・プラットフォーム「NetStare Suite」のアラート通知機能を強化したと発表した。
大阪府は1月10日、府政情報室が行う文書等集配業務の委託業者が箕面市役所宛の「書留逓送文書」1通を紛失したことが判明したと発表した。
OpenBSD に、動的ライブラリの偽装により、管理者権限で任意のコードが実行可能となる脆弱性が報告されています。
サービスのミスマッチが発生する状況について、セキュリティ診断サービスの標準化に取り組む企業、株式会社SHIFT SECURITY 執行役員 松尾 雄一郎(文中敬称略)に話を聞いた
文部科学省は2020年2月28日、保護者や学校関係者、都道府県などの青少年行政担当者などを対象に「ネット安全安心全国推進フォーラム」を文部科学省庁舎第1講堂にて開催する。参加無料。
新年のお祭り気分がおさまった頃、大勢の科学ファン、SFファンが、その界隈の巨匠であるアイザック・アシモフの生誕100年に祝杯を上げた。
一般社団法人軽金属製品協会は12月24日、同協会のパソコンがウイルス感染し同協会を騙る不正メールが送信されたことが判明したと発表した。
JPCERT/CCは、「マルウエア Emotet の感染に関する注意喚起」を発表した。
