![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
1
給料、現場、成長…、セキュリティの仕事の「今」をセキュ鉄の服部氏に聞いた
九州を代表するセキュリティ勉強会「セキュ鉄」のリーダーであり、シーアイエーのCTOである服部祐一氏に、現在のセキュリティ業界についてお話をうかがった。聞き手は、デロイト トーマツ サイバーセキュリティ先端研究所の主任研究員 岩井博樹。
ニュースアクセスランキング
過去1週間に最も読まれた記事1〜10位
-
-
2Nレポート 第1回「北朝鮮のサイバー攻撃の調査・分析の一端」
2016年7月25日、韓国国防研究院(KIDA)のブ・ヒョンウク研究委員が、日本の防衛省防衛研究所主催の「安全保障国際シンポジウム」において、「北朝鮮のサイバー脅威評価」に関する報告を行った。
-
3
「Apache HTTP Web Server」に複数の脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache HTTP Web Server」に複数の脆弱性が存在すると「JVN」で発表した。
-
4AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD)
5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。
-
5セキュリティとユーザーエクスペリエンスは本当にトレードオフなのか
「セキュリティとUXの◯◯な関係」という勉強会が開催された。サブタイトルに「すれ違い続けた二人の運命の邂逅~セキュリティとUXは本当にトレードオフなのか」と題されているこの会は非常に人気が高く定員を遙かにオーバーしていた。
-
6暗号化を行わない「WannaCry」亜種に感染したPCによるアクセスが増加(警察庁)
警察庁は、@policeにおいて「ランサムウェア『WannaCry』の亜種に感染したPC からの感染活動とみられる445/TCPポート宛てアクセスの観測について」を重要情報として発表した。
-
7
GDPR 施行控えセキュリティ人材が超売手市場、英では給与 1.4 倍に(The Register)
GDPR(EU一般データ保護規則)の施行に伴い、ヨーロッパ中の企業と政府機関がサイバー関連の部署を増強するため、専門能力を持った人員の需要が供給を上回る。
-
8日本のインターネットリスクの高さは183中155位、ただし危険なサーバは多数(Rapid7)
Rapid7は、インターネット上のリスク状況を明らかにするグローバル調査「National Exposure Index 2017」の結果を発表した。
-
9
アイ・オー・データ製ネットワークカメラに意図しない操作をされる脆弱性(JVN)
IPAおよびJPCERT/CCは、アイ・オー・データ機器が提供する複数のネットワークカメラ製品に、CSRFの脆弱性が存在すると「JVN」で発表した。
-
10千澤 のり子 作 「初恋さがし」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
『初恋の人の行方を知りたい方は、こちらにメールください。依頼はご内密にいたします。速やかに探します。費用は、前金で百円。現在の様子が分かったら追加で五千円。写真付きならプラス五千円。経費はご依頼主様負担でお願いします。無理だったら返金します。 荒川正歩』
過去1週間に最も読まれた記事11〜20位
-
11金融機関を対象としたフィシングが大幅減、SNSが新たな対象として台頭(フィッシング対策協議会)
フィッシング対策協議会は、「フィッシングレポート 2017 ~ 普及が進むユーザ認証の新しい潮流 ~」を公開した。
-
12「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)
Aimingおよびマーベラスは、大阪府警がAiming従業員を詐欺等の容疑で逮捕したことを公式サイトを通じて発表しました。
-
13
「Acronis True Image」に任意コード実行の脆弱性、現状では未対策(JVN)
IPAおよびJPCERT/CCは、Acronisが提供するWindowsおよびMacシステム用のディスクバックアップユーティリティ「Acronis True Image」に更新の確認や更新データの取得がセキュアに行われていない脆弱性が存在すると「JVN」で発表した。
-
14
アジア地域のセキュリティリーダーを選ぶISLA賞を発表、本誌編集長も受賞((ISC)2)
(ISC)2は、第11回年間アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)の受賞者を発表した。
-
152015年の情報セキュリティ市場は8,965億円、2017年度には9千億円超えに(JNSA)
JNSAは、セキュリティ市場調査ワーキンググループによる「2016年度 国内情報セキュリティ市場調査」を発表した。
-
16
エンドポイントセキュリティをクラウドおよび仮想アプライアンスで提供(ファイア・アイ)
ファイア・アイは、同社のエンドポイント・セキュリティ・ソリューションに、新たにクラウドおよび仮想アプライアンスによる提供形態を発表した。
-
17IT企業を装うフィッシングサイトが急増、そして最短15分で姿を消す(ウェブルート)
ウェブルートは、2016年の1年間に収集したデータを分析した年次レポート「ウェブルート脅威レポート 2017」を発表した。
-
18
サイバー攻撃防御機能を搭載した商業向け完全自動運転車、初の生産へ(アズジェント)
アズジェントは、「Carwall」の開発元であるKaramba Securityのソリューションが、フランスVEDECOM Techのコネクテッドカーならびに自動運転車に採用されることが決定したと発表した。
-
19
「Samsung Magician」に任意のコードを実行される脆弱性(JVN)
IPAおよびJPCERT/CCは、Samsung Memoryが提供するSamsung SSDの管理ユーティリティ「Samsung Magician」に更新の確認や更新データの取得がセキュアに行われていない脆弱性が存在すると「JVN」で発表した。
-
20建造物侵入・現金窃盗事件で逮捕された元行員が顧客情報を持ち出し(佐賀銀行)
佐賀銀行は6月19日、同行の元行員が顧客情報を漏えいしていた事実が判明したと発表した。
過去1週間に最も読まれた記事21〜30位
-
21 サイバーセキュリティ経営ガイドラインがあと一歩「惜しい」理由
ガイドラインをよく読むと、「経営層」に向けているはずが、現実に経営者が気にかけるポイントと若干ずれており、「インパクトはあるけれど、内容が経営層に刺さらないのではないか。これは非常にもったいない」と、ソリトンシステムズの執行役員 長谷部 泰幸 氏は指摘する。
-
22 中国サイバーセキュリティ法発効 ~ 非中国系企業に事業リスク(The Register)
コンテンツ配信ネットワーク「CDNetworks」のEMEA(ヨーロッパ、中東、アフリカ)担当責任者であるアレックス・ナム氏は、海外のインターネット企業は中国での取引が今後は困難になるだろうと警告した。
-
23 ランサムウェア、標的型攻撃など、2016年の脅威を総括したレポート(シマンテック)
シマンテックは、「インターネットセキュリティ脅威レポート第 22号(ISTR: Internet Security Threat Report, Volume 22)」の日本語版を公開した。
-
24 BIND 9.xに権限を昇格される緊急の脆弱性、バージョンアップを強く推奨(JPRS)
JPRSは、BIND 9.xの脆弱性(権限の昇格)について緊急の注意喚起を発表した。
-
25 ヨーロッパ情報漏えい罰金額相場とEU一般データ保護規則施行が生むビジネスチャンス(The Register)
PwCの国際サイバーセキュリティ関係者のスチュワート・ルーム氏は、この問題に対してこれまでよりもはるかに大きく注目が集まるという理由で、GDPRを「善なる力」として歓迎した。そう言いながら、おそらく心の中では舌なめずりをしていたのだろう。
-
26 2016年度の国内標的型攻撃対策支援サービス市場は前年比19.9%増の95億円(ITR)
ITRは、国内の標的型攻撃対策支援サービス市場規模推移および予測を発表した。
-
27 一田 和樹 作 「さよならアカウント」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
末期の重病を苦に自殺した少女のTwitterアカウントが死後復活した。フォロアーもフォローも1名だけのアカウントのツイート数は毎日増え続ける・・・
-
28 「Apache Tomcat」に、エラーページの削除や上書きが行われる脆弱性(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
29 マルウェアによる被害へも言及、「最新情報版 大学生が狙われる50の危険」を発行(全国大学生協連、三菱総合研究所)
大学生協共済連は、全国大学生協連と三菱総合研究所と協同で、「最新情報版 大学生が狙われる50の危険」を発行した。2011年2月に発行した初代、2014年2月に発行した二代目に続く三代目としている。価格は1,080円(税込)。大学生協の書籍部や一般書店などで入手可能。
-
30 テスラの死亡事故、ドライバーは37分間のうち36分35秒間手放し運転…米当局報告
米国の国家運輸安全委員会(NTSB)は6月20日、2016年にテスラ『モデルS』のドライバーが、自動運転モードで走行中に事故死した件に関して、報告書を公表した。
-
31 Scan BASIC 登録方法
本記事では、無料で登録できる ScanNetSecurity BASIC MEMBERS と、メールマガジン Scan BASIC の登録方法を解説しています。所要時間は 2 分程度です。
-
32 データ漏えい時に発生したコストがグローバルで10%減少、米国などは増加(日本IBM)
日本IBMは、「2017年データ漏えいコスト・レポート」の結果を発表した。
-
33 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)
「違う文脈で言うなら、そのような(Tor の)挙動は、ハッキングされたアカウントが『ボットネット』を通じてアクセスしている挙動だ、と示唆されるかもしれない(しかし、それは Tor にとって正常なことだ)」
-
34 Samba における IPC 通信処理の不備により悪意のあるライブラリファイルを読み込ませることが可能となる脆弱性(Scan Tech Report)
ファイル共有サービスを提供するソフトウェアとして、世界的に普及しているソフトウェアである Samba に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。
-
35 アジア人初の DEF CON CTF ファイナリスト集団によるハンズオントレーニング、虎ノ門ヒルズに開校PR
セキュリティ事業部 アライアンスチーム 石井 絵理 氏は、「セキュリティ製品を導入しても使いこなせる人材が少ないなど、セキュリティ人材育成のニーズはとても高い一方で、優秀な人材の取り合いになっており、ヘッドハントできる体力がない企業は深刻な状況」と語った。
-
36 IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)PR
HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。
-
37 スマートフォンの利用が増える夏休み前に親子でセキュリティを考える機会を提供(トレンドマイクロ、LINE)
トレンドマイクロとLINEは、小・中学生とその保護者を対象に「安心・安全なスマホ利用のための親子セミナー」を7月8日に開催する。スマートフォンの利用が増える夏休み前に、親子で考える機会を提供する。参加は無料。申込みはWebサイトで受け付ける。
-
38 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」
それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。
-
39 AWS 向け SaaS 型セキュリティサービス Alert Logic 概要と提供価格(MBSD)
6月1日から3日間にわたって都内で開催されたAWS Summit Tokyo 2016会場で展示と説明が行われた Alert Logic について、MBSD 戦略事業部 テクニカルコンサルタント 矢内 伸良 氏に話を聞いた。
-
40 クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞くPR
ISO 27017 とは? ISO 27018 との違いなどの疑問を、国内でも数少ない「ISO 27017」「ISO 27018」両方の認証取得コンサルティングサービスを取り扱う、LRM 株式会社 代表取締役 幸松哲也氏に話を聞いた。
-
41 シノアリスのメンテナンスを強制的に解除すると詐称、連携するとアカウント乗っ取り等の可能性(スクウェア・エニックス)
iOS/Androidアプリ『SINoALICE -シノアリス-』の公式Twitterアカウントにて、Twitterスパムに対する注意喚起が行われています。
-
42 [速報] Interop Tokyo 2017 Best of Show Award 2017 セキュリティカテゴリ受賞プロダクト一覧と受賞理由
本日 6 月 7 日から 6 月 9 日まで幕張メッセで開催されている Interop Tokyo 2017 で、優れた製品やサービスを選ぶ Best of Show Award 2017 が 6 月 7 日午後発表された。もっとも優れた「グランプリ」をはじめとして「準グランプリ」「審査員特別賞」が選定された。
-
43 ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」
そんな中、転職活動の中でエージェントからサイバーディフェンス研究所というとっても香ばしい社名の会社の紹介を受ける。
-
44 Apache Struts2 の脆弱性を利用した不正アクセスでアンケート情報流出の可能性(国土交通省)
国土交通省は6月6日、「不動産取引価格アンケート回答(電子回答)」サイトにおいて第三者による不正アクセス及び情報流出の可能性があることが判明したと発表した。
-
45 自分の利用しているサーバの状況を確認する方法 不正中継確認
自分の使用しているサーバ(自分自身が管理しているサーバ、社内のシステム担当が管理しているサーバ、借りているレンタルサーバなど)が、不正中継をしないようちゃんと設定されているかを確認する方法について紹介します。
-
46 ISMS認証とは何か■第1回■
プライバシーマークとよく似た第三者認証制度にISMS(Information Security Management System)適合性評価制度がある。プライバシーマーク制度と同様、事業者のセキュリティに対する取り組みを第三者が評価する一種の格付けである。しかし個人情報保護法の施行で注目が
-
47 KPMG , LAC流「サイバーセキュリティ経営ガイドライン」実践活用法(KPMGコンサルティング、ラック)
KPMGコンサルティングとラックは、ホワイトペーパー「サイバーセキュリティ経営実践ガイダンス」を発行、ホームページで公開したと発表した。
-
48 [数字でわかるサイバーセキュリティ]情報漏洩が企業の大きな懸案事項に、約1万5千人分の個人情報を従業員が持ち出し
人材派遣業を展開するスタッフサービスは5月9日、登録者の個人情報などが外部に流出していたことを公表しました。登録者・エントリー者15,368名分の「氏名」、および「住所」「電話番号」「メールアドレス」のいずれかが流出したとのことです。
-
49 4人に1人がランサムウェア被害、6割が支払いに応じ 額は300万円以上過半(トレンドマイクロ)
トレンドマイクロは、「企業におけるランサムウェア実態調査 2016」の結果を発表した。
-
50 2016年の個人情報漏えい調査、件数の減少は小規模漏えいの非公表化か(JNSA)
JNSAは、「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」を公開した。
-
51 規約に同意してワンクリックでWannaCryなどを自己診断(ラック)
ラックは、自社で利用しているネットワークが、ウイルスの感染活動を検知した際に、遮断するなどの対策が施されているかを即時判定できる無料の自己診断サービス「自診(じしん)くん」を公開したと発表した。
-
52 制御システムを狙うマルウェア「CrashOverride」に注意、対象拡大のおそれも(JVN)
IPAおよびJPCERT/CCは、制御システムを攻撃対象とするマルウェア「CrashOverride」によるセキュリティ侵害の痕跡の有無を調査するための情報を米国NCCICが公表したと「JVN」で発表した。
-
53 Scan PREMIUM 登録方法
本記事では、ScanNetSecurity PREMIUM MEMBERS と、メールマガジン Scan BASIC の登録・購入決済方法を解説しています。
-
54 少人数による攻撃でも深刻な影響を与える「Slow HTTP DoS Attack」を把握(警察庁)
警察庁は、Slow HTTP DoS Attackの可能性が疑われる攻撃事例を把握したとして、「@police」において注意喚起を発表した。
-
55 「HPE SiteScope」に複数の脆弱性、認証情報取得などの影響を受けるおそれ(JVN)
IPAおよびJPCERT/CCは、Hewlett-Packard Development Company L.P.が提供する「HPE SiteScope」に複数の脆弱性が存在すると「JVN」で発表した。
-
56 ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」
脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。
-
57 国内の主要な個人情報漏えい事故をまとめた「日本情報漏えい年鑑2017」(イード)
イードは、2016年度に日本国内で発生した主要な個人情報漏えい事件・事故をまとめた「日本情報漏えい年鑑2017」を発刊したと発表した。
-
58 ハッキングで得た情報で株不正取引の中国人に罰金 9 億円、複数の法律事務所を標的にした攻撃手法(The Register)
中国人の3人の悪党が、アメリカ合衆国の法律事務所から盗んだインサイダー情報を利用し、株式市場で何百万ドルも稼いだ。
-
59 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)
2015年12月、クラウドサービスの提供および利用のための情報セキュリティ管理策を規定した国際的なガイドライン規格「ISO/IEC 27017:2015」が発行された。JIPDECはこれを受け、ISMS適合性評価精度においてクラウドセキュリティの認証を開始する。
-
60 七瀬 晶 作 「自動走行車の行方」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
実験中の、目的地を言うだけでそこへ運ぶ自動走行車が突然暴走した。バグの可能性は低い。大学生の「僕」はプログラムを書いた先輩と真相究明にあたる。
-
61 ランサムウェア「Wanna Cryptor」が世界中で猛威、業務開始前に対策を(IPA)
IPAは、「世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について」と題する注意喚起を発表した。
-
62 「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞くPR
ランサムウェアによる被害が広がっている。トレンドマイクロ株式会社の調査によれば4人に1人が勤務先の組織・企業が被害を被ったことがあるとし、その6割が身代金の支払いに応じているという。企業規模問わず狙われる可能性があるため、中小企業にとっても大きな脅威となる。
-
63 SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)
株式会社InterFM897は5月17日、同社のWebサーバへの不正アクセスによる個人情報が抜き取られたことが判明したと発表した。
-
64 「WP Job Manager」に画像をアップロードされる脆弱性、被害報告も(JVN)
IPAおよびJPCERT/CCは、Automattic Inc.が提供するWordPress用プラグイン「WP Job Manager」にアクセス制限不備の脆弱性が存在すると「JVN」で発表した。
-
65 [インタビュー] セキュリティ人材育成は日本だけの課題ではない、デロイトサイバーチーム日蘭対談PR
「3日目のハッキングゲームのときには成長して、積極的に心を開いて取り組んでいました。いろいろなことを模索、探索することは非常に重要なことですので、そうしたポジティブな変化を目にできたことはうれしい驚きでした。」
-
66 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件
「セキュリティ・キャンプ中央大会2012」の応募課題が「ハイレベル過ぎる」「ヤバい」と一部で話題になっているので紹介したい。
-
67 iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める
2014年、Appleのクラウドサービス「iCloud」を含む、複数のログインサービスから、多数のセレブや女優、モデルのプライベート画像が流出する事件が起きた。
-
68 Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)
Microsoft Windows の Win32k.sys ドライバに整数オーバーフローを引き起こしてしまう脆弱性が報告されています。
-
69 Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)
Linux ディストリビューションの一つである Ubuntu に、デフォルトで実装されているソフトウェアである Apport を経由して権限昇格されてしまう脆弱性が報告されています。
-
70 日本の個人PCにインストールされている危険ソフトのトップ3が判明(フレクセラ)
フレクセラは、同社のSecunia Researchによる「Personal Software Inspector 国別レポート - 2016 年第 4 四半期」の日本の状況について発表した。
-
71 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ
今回ピックアップするのは、顔認証と指紋認証を使ったアクセスコントロールシステム。従来のICカードを使ったシステムと比較した場合、セキュリティ面での優位性があるバイオメトリクス(生体認証)を採用したシステムは、各社が意欲的に製品開発を進めている。
-
72 「Apache Tomcat」がアップデート、情報漏えいやDoSの脆弱性に対応(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
73 BCP策定済みの企業は14.3%にとどまる、策定しない理由は「スキル不足」(帝国データバンク)
帝国データバンクは、「事業継続計画(BCP)に対する企業の意識調査(2017年5月)」の結果を発表した。
-
74 金融機関向けにカスタマイズされた「Splunk」用Appを顧客及び検討中企業へ無償提供(GSX)
GSXは、データ分析プラットフォーム「Splunk」によりセキュリティ監視強化やセキュリティ運用負荷軽減を可能にする、金融機関向け無償テンプレート「金融機関向け App for Splunk」をリリースしたと発表した。
-
75 ランサムウェアの被害件数は前年から約3.5倍、検出台数は約9.8倍に(トレンドマイクロ)
トレンドマイクロは、日本国内および海外でのセキュリティ動向を分析した報告書「2016年年間セキュリティラウンドアップ:『ランサムウェアビジネス』が法人にもたらす深刻な被害」を公開した。
-
76 Microsoft Windows の Secondary Logon サービスにおいて要求ハンドルの取り扱い不備により高い権限で任意のコードが実行されてしまう脆弱性(Scan Tech Report)
Microsoft Windows の Secondary Logon サービスに含まれる不備により、高い権限で任意のコードが実行可能となる脆弱性が報告されています。
-
77 [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)
「セキュリティ業界は、社会を守る使命感を持って入ってくる人がほとんどです。コンテストやバグバウンティへの参加は、セキュリティ専門企業だからこそできる、有志のエンジニア達を成長させるひとつの有効な方法だと思っています。(武井)」
-
78 [Security Days Spring 2017 インタビュー] ソフトバンクが惚れ込んだ標的型攻撃対策のEDR製品(サイバーリーズン・ジャパン)PR
多くの企業、組織は「入口対策」におよそ70%投資しています。しかし、どんなに強固にしても侵入は避けられません。我々のソリューションは、侵入は避けられないことを前提として、攻撃を成立させない仕組みを提供しています。
-
79 都税クレジットカード支払サイトで不正アクセス、カード情報が流出(GMOペイメントゲートウェイ)
GMOペイメントゲートウェイ株式会社は3月10日、同社が運営受託する東京都都税クレジットカード支払サイトおよび独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトで不正アクセスによる情報流出の可能性があることが判明したと発表した。
-
80 MSが6月のセキュリティリリースを公開、XPおよびServer 2003にも対応(JPCERT/CC)
JPCERT/CCは、「2017年 6月マイクロソフトセキュリティリリースに関する注意喚起」を発表した。
-
81 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)
キーを変更することができないという致命的な欠陥をもつ方式である以上、キーが破られる可能性が顕在化したら、その方式の有効性は失われたといっても過言ではないだろう。ベンダは破られないようにするというだろうが、しょせんイタチごっこである。
-
82 工藤伸治のセキュリティ事件簿シーズン6 誤算 第2回「みえすいた罠」
ようするにスパイウエアじゃないか。堂々とスパイウエアを送り込むので、インストールしてくれとはあきれた相手だ。私をなめているのか。こんな見えすいた罠を仕掛けてくるとは、なめられたものだが、相手のレベルが低いことがわかって逆に安心だ。
-
83 ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート]PR
IoT機器に対する脅威は各所で語られているが、フィッツジェラルド氏は、上記のような事象とランサムウェアなど、複数の脅威が組み合わさることで「Ronsomware of Things」とも呼べる状態が危惧されるとした。
-
84 「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞
三井物産セキュアディレクション株式会社( MBSD )は、同社が今年初めて開催した、専門学校生対象のセキュリティコンテスト「MBSD Cybersecurity Challenges」の最終審査会と入賞チームの表彰式を12月13日、都内で行った。
-
85 ロシア サイバー攻撃外交 ~ ヒラリーとマクロンのファイルしか流出させなかったプーチンの意図(The Register)
およそ国家と名の付くものは、すべて他国をスパイしている。2012年のフランス大統領選挙におけるCIAがその好例だ。しかし今回は過去に例を見ない試みが行われた。
-
86 「WannaCry」関連の攻撃ツールによるアクセスが増加(警察庁)
警察庁は、@policeにおいて「攻撃ツール『Eternalblue』をはじめとするソフトウェアの脆弱性を悪用した攻撃等と考えられるアクセスの観測について」を重要情報として発表した。
-
87 過去1年で1割近くの企業がランサムウェア被害を経験--実態調査(IDC Japan)
IDC Japanは、2017年の国内企業の情報セキュリティ対策実態調査結果を発表した。
-
88 工藤伸治のセキュリティ事件簿シーズン6 誤算 第3回「スカイプ」
たまにいるんだよね。そういう粋がった野郎がさ。『攻殻機動隊』好きだろ。それとも『王様たちのヴァイキング』か?
-
89 サイバースパイ攻撃に対して、セキュリティ対策強化に有効な情報を提供(セキュアブレイン)
セキュアブレインは、日本の政府や企業向けに特化したサイバースパイ攻撃に対して、より有効な対策を講じるための情報を提供する「サイバースパイ対策情報サービス」の販売を開始すると発表した。
-
90 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(15) 「tcptraceroute」
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
-
91 預金者の口座を許諾なしに危険にさらす「残高照会サービス」
現在、多くの銀行、信用組合などでNTTDATAの「ANSER-WEB」を使用して、オンラインで残高照会のできるサービスが提供されている。一見すると非常に便利なように見えるのだが、その実、一部の銀行では非常にリスキーな運用をしていることが判明した。
-
92 複数のWordPress用プラグインに脆弱性、最新版へのアップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、複数の「WordPress」用プラグインの脆弱性について報告が行われていると「JVN」で発表した。
-
93 インターネットバンキング不正送金に対する国際的な取り組みの効果(JPCERT/CC)
JPCERT/CCは、Avalancheボットネットに関わる国内マルウエア感染端末の現状について、「インシデントレスポンスだより」で発表した。
-
94 2016年の個人情報漏えい、「紛失・置き忘れ」原因が大きく後退(JNSA)
JNSAセキュリティ被害調査WGは、「2016年 情報セキュリティインシデントに関する調査報告書【速報版】」を公開した。
-
95 「名探偵コナン」「Kiss×sis」をShareで公開していた会社役員を逮捕(ACCS)
社団法人コンピュータソフトウェア著作権協会(ACCS)は7月7日、北海道警留萌署と旭川方面本部生活安全課、旭川方面情報通信部情報技術解析課が7月6日、ファイル共有ソフト「Share」を通じてアニメーション作品および漫画作品を権利者に無断でアップロードし送信できる状
-
96 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」
ほとんどの会社は、サイバーセキュリティのトラブルを表沙汰にしない。公的認証や認可が取り消されるとか、上場準備に支障が出るとか、取引先の信用を失うとか、そういう理由でだ。
-
97 [セキュリティ ホットトピック] ランサムウェア「WannaCry」被害概況
2017年5月中旬に、ランサムウェア「WannaCry」(別名:WannaCrypt、WannaCryptor、Wcryなど)による世界的な規模の被害が発生しました。
-
98 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、Webアプリケーションを構築するためのフレームワークである「Apache Struts 1」に複数の脆弱性が存在すると「JVN」で発表した。
-
99 アドビが「Adobe Flash Player」のセキュリティアップデートを公開(JPCERT/CC)
JPCERT/CCは、「Adobe Flash Player の脆弱性(APSB17-17)に関する注意喚起」を発表した。
-
100 ビジネスソフトの海賊版販売で有罪判決、罰金など合計約4,700万円(ACCS)
ACCSは、ビジネスソフトの海賊版を販売・所持し著作権法違反で逮捕された男性に対し、有罪判決が確定したと発表した。
-
101 ネット上のコミュニケーショントラブル根絶に向けた情報モラル教育教材を公開(LINE)
LINEは12月7日、ネット上のコミュニケーショントラブル根絶に向けた情報モラル教育教材『楽しいコミュニケーションを考えよう!「リスクの見積り」編』を公開した。教材はWebサイトよりダウンロードして授業で利用できるほか、LINEの社員による出張授業も実施している。
-
102 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト
CGC は用意されたプログラムの脆弱性を探し、それを修正するためのパッチを書く、そして敵チームのプログラムを攻撃するための攻撃コードを書き攻撃を行うという一連の行動をすべて自動化されたプログラムによって行うというものだ。
-
103 [Security Days Fall 2016セッションレポート] 境界ではなく「面」で守る~標的型攻撃にも対応、ネットワーク全体をセキュアにするジュニパーのSDSN戦略とはPR
ネットワーク機器をソフトウェアで制御することで、ウィルスの2次感染および情報窃取を防ごうという「SDSN(Software-Defined Secure Network)」を提唱するのがジュニパーネットワークスだ。
-
104 シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価
●注目を浴びるシンクライアントソリューション
-
105 29年度サイバーセキュリティ政府予算600億円、厚労省と年金機構に47億 他(NISC)
NISCは、政府のサイバーセキュリティに関する予算(平成29年度予算概算要求および平成28年度予算第2次補正)について発表した。
-
106 最多脆弱性ブラウザはChrome、最もパッチが適用されていないブラウザは(フレクセラ)
フレクセラは、同社のSecunia Researchによる「脆弱性レビュー 2017」を発表した。
-
107 「Trend Micro CTF 2017」を6月24日から開催、優勝賞金は100万円(トレンドマイクロ)
トレンドマイクロは、同社の主催による「Trend Micro CTF 2017 - Raimund Genes Cup」を開催すると発表した。
-
108 [Security Days Spring 2017 インタビュー] ユーザー視点に立ったSOCサービスで、プロバイダならではのセキュリティインテリジェンスを提供(IIJ)PR
2016年4月にセキュリティ本部を立ち上げ、IIJがこれまで築いてきたセキュリティ事業のノウハウを集積し、膨大な情報から「迅速・正確」にリスクを検知/対処するためのIIJセキュリティオぺレ―ションセンターを今年3月に刷新します。
-
109 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(11)「PwDumpシリーズ」
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
-
110 グループウェア「GroupSession」に、メールを盗み見されるなどの脆弱性(JVN)
IPAおよびJPCERT/CCは、日本トータルシステムが提供するオープンソースのグループウェア「GroupSession」にアクセス制限不備の脆弱性が存在すると「JVN」で発表した。
-
111 カーナビHDDからソフトを複製、「更新事業」していた男性を逮捕(ACCS)
社団法人コンピュータソフトウェア著作権協会(ACCS)は5月24日、千葉県警生活経済課と野田署が5月21日、著作者に無断でカーナビゲーションソフトを複製し販売していた岩手県二戸市の自動車整備士男性(32歳)を著作権法違反の疑いで逮捕し、23日に千葉地検松戸支部へ送
-
112 コネクテッドカーイベントで「Carwall」がベストセキュリティを受賞(アズジェント)
アズジェントは、「Carwall」の開発元であるKaramba Securityが、「TU-Automotive Detroit 2017」において"Best Auto Cybersecurity Product/Service of 2017"を受賞したと発表した。
-
113 仮想の企業をネットワーク上に構築、サイバー攻撃を誘引し挙動を観測(NICT)
NICTは、標的型攻撃等のサイバー攻撃対策に効果的なサイバー攻撃誘引基盤「STARDUST」を開発したと発表した。
-
114 1,696名分の個人情報が記録された業務報告用USBメモリを紛失(神奈川県川崎市)
神奈川県川崎市は、中原区役所保健福祉センターと地域包括支援センターの業務実施報告に用いるUSBメモリの所在が不明となっていることが、5月26日に判明したと発表した。
-
115 「iCloud」から流出した有名人のヌード写真に関連する詐欺に注意を呼びかけ(シマンテック)
シマンテックは4日、有名人のヌード写真流出事件に関連する詐欺に注意を呼びかけた。
-
116 ランサムウェア「WannaCry」被害が多く報道されても、パッチ非適用者は増加(フレクセラ)
フレクセラは、同社のSecunia Researchによる「Personal Software Inspector 国別レポート - 2017 年第1四半期」の日本の状況について発表した。
-
117 [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義
福森があるマルウェアを捜査中、イスラム国の中にマルウェアの感染者を発見した。当初イスラム国がマルウェアを作っていると考えたが、捜査を進めるうち「イスラム国になりすましたクルド人サイバー犯罪者」がマルウェアをばらまいていた可能性が浮上した。
-
118 「ポケモンGO」サードパーティー製ツールに対するアクセス制限を実施
ナイアンティックが開発/運営するモバイルタイトル『ポケモンGO』。本作のサードパーティー製ツールに対するアクセス制限が実施、その理由を同社CEOジョン・ハンケ氏が説明しています。
-
119 防災情報をリアルタイムに多言語翻訳して表示(ピクセラ)
ピクセラは21日、防災情報をリアルタイムに多言語翻訳して表示する「防災対応 テレビ字幕自動翻訳システム」と、家庭向けIoTサービス「Conteホームサービス」の防災応用事例を、
-
120 サイト改ざんの報告件数が前四半期の1.5倍に増加--JPCERT/CCレポート(JPCERT/CC)
JPCERT/CCは、2016年1月1日から3月31日までの四半期における「インシデント報告対応レポート」および「活動概要」を公開した。
-
121 IoT機器を狙う「Mirai」やその亜種の感染を目的とするアクセスが増加(警察庁)
警察庁は、@policeにおいて「『Mirai』ボットの亜種等からの感染活動と見られるアクセスの急増について」を発表した。
-
122 Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)
ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。
-
123 スマホの生体認証とFIDOで、IoT機器を介したクラウドサービス認証を容易に(富士通研究所)
富士通研究所は、スマートフォンが搭載する生体認証機能と近距離無線機能を活用して、IoT機器を介したクラウドサービスを安全、簡単に利用できる技術を開発したと発表した。
-
124 「CalAmp LMU 3030 シリーズ」に、CANバスに攻撃を受ける脆弱性(JVN)
IPAおよびJPCERT/CCは、車両管理のためのテレマティクス情報を提供する OBD-II デバイス「CalAmp LMU-3030デバイス」を含む構成で販売されているシステムに、SMSインタフェースにパスワードを設定していない例が複数発見されたと「JVN」で発表した。
-
125 工藤伸治のセキュリティ事件簿 シーズン1 「R式サイバーシステム」 第1回「プロローグ:身代金」
世の中のことは大概は気の持ちようだ。オレは今の生活に満足している。老後の蓄えがなくても、萌え萌えの彼女がいなくても、これでいいのだ。突然の電話で目が覚めた。携帯電話に表示されている名前は、オレのエージェントのひとりだ。
-
126 Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)
カスペルスキーは、Wi-Fiルータを狙うAndroid向けトロイの木馬「Switcher Trojan」を同社Kaspersky Labのリサーチャーが発見したと発表した。
-
127 DDoS攻撃の危険性に関する5つの誤解(アーバーネットワークス)
DDoS攻撃から組織のネットワークを防御することが長年の課題とされる中、多くの企業のネットワークは危険にさらされている。このような状況を踏まえ、企業がDDoS攻撃に対して飽きやすい主な誤解についてアーバーネットワークスがまとめた。
-
128 重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック)
ラックは、同社のサイバー救急センターが緊急対応や情報漏えい事故調査で得た情報をサイバー・グリッド研究所にて分析した「日本の重要インフラ事業者を狙った攻撃者(Cyber GRID View vol.2)」を発表した。
-
129 MUFGカード騙るフィッシングメール、新たな文面とリンク先を確認(フィッシング対策協議会)
フィッシング対策協議会は、MUFGカードを騙るフィッシングについて、更新情報を発表した。
-
130 主要Sandbox製品使用実感 第2回「FireEye、Palo Alto」
今回紹介したサンドボックス製品は、いずれもインラインに設置可能で、解析結果に基づいて以降の同種の通信を止める機能を実装できるため、標的型攻撃やゼロデイを突くマルウェアから特定のネットワークの防御が導入の主たる目的になります。
-
131 【Internet Week 2016】パスワードつきZIPによるファイル送信にどんな意味がある?
Internet Week 2016のセッションT17は「組織間の安全なファイル送受信を考える ~ 暗号化ZIPは何のため~」という内容で、専門家が議論を行った。
-
132 [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞くPR
タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。
-
133 ランサムウェア「WannaCry」感染PCによるアクセスが増加(警察庁)
警察庁は、「ランサムウェア『WannaCry』に感染したPCからの感染活動とみられる445/TCPポート宛てアクセスの観測について」を重要情報として発表した。
-
134 Apache Struts2の脆弱性を利用した不正アクセスで約2.3万人の登録情報が流出(総務省)
総務省は4月13日、政府統計の総合窓口 (e-Stat) の機能の一つである「地図による小地域分析 (jSTAT MAP) 」において第三者からの不正アクセス及び同機能における情報が搾取されたことが判明したと発表した。
-
135 複数のWiMAXルータに、デバイスの管理者権限を取得される脆弱性(JVN)
IPAおよびJPCERT/CCは、libmtk 向けの httpd プラグインを使用する複数のWiMAXルータに認証回避の脆弱性が存在すると「JVN」で発表した。
-
136 IoTサイバー攻撃、2年半の観測結果から見えてきた元凶…横浜国大 吉岡准教授
Security Days Tokyo Spring 2017、初日の基調講演で、横浜国立大学大学院 吉岡克成准教授が、2年半にわたって観測したIoT機器へのサイバー攻撃の実態についての発表を行った。
-
137 ここが変だよ日本のセキュリティ 第27回 「結果にコミットする!セキュリティ対策とダイエットの共通点!」
ちゃんと運用すれば効果はそれなりにあるはずなんだ。でも、なんで効果が出てこないか、その辺りの理由も、ダイエットとセキュリティはよく似ている。
-
138 Microsoft Windows の afd.sys ドライバに起因するメモリ領域の二重解放の脆弱性(Scan Tech Report)
Microsoft Windows の afd.sys ドライバにメモリ領域を二重に解放してしまう脆弱性が報告されています。
-
139 [Security Days Fall 2016開催直前インタビュー] イスラエルのインテリジェンスの経験と技術を民生利用、ダークネットでやりとりされる顧客への脅威を検知(KELA)PR
――KELAは 「イスラエル版NSA」 8200部隊の精鋭によって起業された会社と聞いています。 おっしゃるとおりです。KELAは、イスラエルの各諜報機関が保有する情報収集と分析技術を一般のエンタープライズ企業向けに提供することを目的に設立されました。
-
140 工藤伸治のセキュリティ事件簿シーズン6 誤算 第20回「エピローグ:下品な男」
完敗だ。この男、下品なだけじゃなかった。
-
141 Joomla! 3.7 系において com_fields コンポーネントでの値検証不備を悪用して SQL インジェクションが可能となる脆弱性(Scan Tech Report)
世界的に普及率が高い CMS ソフトウェアである Joomla! に、SQL インジェクションの脆弱性が報告されています。
-
142 緊急会見~ランサムウェア「WannaCry」特徴と対策(トレンドマイクロ)
トレンドマイクロ株式会社は5月15日、世界的な被害が報告されているランサムウェア「WannaCry(ワナクライ)」について、注意喚起のため緊急セミナーを都内で開催した。
-
143 配布終了のIPA「CASL II シミュレータ」に任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、IPAが提供する「CASL II シミュレータ(自己解凍形式)」のインストーラに、DLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
144 [Security Days Spring 2017 インタビュー] 日本がCSIRT構築より前に振り返るべきポイント(セキュアワークス・ジャパン)PR
現在のセキュリティ対策は、インシデント対応を強化するフェーズであり、その先はレジリエンスな(回復力のある)システムが注目されています。 この流れの中でCSIRT構築は重要かつ必要なことですが、日本は、検知や脆弱性スキャンの重要性を見直すべきだと思っています。
-
145 セキュリティ人材育成失敗学 第1回 「セキュリティ人材育成におけるCTFの重要性について」
従って、様々なレイヤーで必要なセキュリティ人材をまとめて育成することは難しいので、それぞれの取り組みをポジショニングをはっきりさせながら連携することが必要であり、また、日本全体として俯瞰し国際的な連携を推進する役割が必要であると強く思います。
-
146 国税庁「事前準備セットアップファイル」に任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、国税庁が提供する「事前準備セットアップファイル」のインストーラに、DLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
147 [編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断PR
NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。
-
148 ランサムウェアの基礎知識から感染事例、対策をまとめたレポートを公開(IPA)
IPAは、「IPAテクニカルウォッチ『ランサムウェアの脅威と対策~ランサムウェアによる被害を低減するために』」を公開した。
-
149 現役ペンテスト技術者が選ぶ 使えるセキュリティツール (3)「hydra」
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
-
150 Apache HTTP Server のエラーページに起因する HTTP ヘッダ情報漏えいの脆弱性(Scan Tech Report)
Apache HTTP Server に、HttpOnly 属性が指定された Cookie をエラーページに出力してしまう脆弱性が報告されました。
-
151 Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)
ハクティビスト集団Anonymousのメンバーが、地下に潜行していた幼児虐待サイトを閉鎖し、その会員名簿を暴露したと主張している。
-
152 「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)
IPAは、2016年第2四半期(4月から6月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
-
153 Mac OS X のシングルユーザモードの root アクセス(2)
〜[前号より]〜 結果として、Apple は root へのアクセスを許可する前にシングルユーザモードに root もしくは管理パスワードを必要とする何らかの措置を講じる必要がある。さらに Install CD は最初にパスワードを知らなくても、そのパスワードを再設定する唯一の方
-
154 自動運転の 3 つのセキュリティ課題を解決する「攻撃者視点」とは
Rapid7は、IoTおよび自動車へのセキュリティ脅威のトレンドと、Rapid7の新ソリューションについて記者発表を行った。
-
155 NSAの兵器から生まれたランサムウェアが世界で蔓延、MSが緊急パッチ配布 ~ 対策方法まとめ:ポート番号からサンプルまで(The Register)
このバグはかつてNSAが、監視対象のPCを乗っ取るのに利用していたものだ。この内部ツールはEternalblue (エターナルブルー)と呼ばれていた。それがNSAから盗まれ、4月にオンラインで公開された。
-
156 サポート終了の「QuickTime for Windows」に任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、Appleが提供する「QuickTime for Windows」のインストーラに、DLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
157 「Windows7」のリカバリーディスクを無断複製、販売した男性を逮捕(ACCS)
ACCSによると、北海道警生活安全企画課、サイバー犯罪対策課と江別署は、インターネットオークションを悪用し権利者に無断で複製されたコンピュータソフトを販売していた北海道釧路市の無職男性(46歳)を、著作権法違反の疑いで逮捕した。
-
158 「Apache Tomcat」に通信内容が漏えいする脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に情報漏えいの脆弱性が存在すると「JVN」で発表した。
-
159 ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」
佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。
-
160 外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素PR
外部からのサイバー犯罪に比べ異なった対策が必要とされる内部犯行。特に「正規権限を持つ内部者による犯行」は検知が困難だ。
-
161 【インタビュー】忘れられがちな内部対策、標的型サイバー攻撃対策
標的型サイバー攻撃の実態と、対策製品の種類と用途、具体的製品名称、それぞれの有効性について、最新のサイバー脅威に詳しい株式会社ラックの上級サイバー分析官、岩井博樹氏に聞いた。
-
162 Intelファームウェア搭載機器に、リモート管理機能にアクセスされる脆弱性(JVN)
IPAおよびJPCERT/CCは、Intel Corporationが提供する「Intel manageability ファームウェア」を搭載するハードウェアにアクセス制限不備の脆弱性が存在すると「JVN」で発表した。
-
163 ここが変だよ日本のセキュリティ 第26回 「最近よく聞くサイバー保険は誰を救う?」
経営者はITに詳しくない、新しい技術に疎い、なんてことを心配している次元では無くなってきた。経営者にそこまで広い知見はあるかというと、さすがに偉くなってきた、勝ち残ってきただけの優秀さは持っている。ただの50代、60代のおっさんとかとは、桁違いに切れる。
-
164 自動車へのハッキングはどうやって守るのか? カギはHSM
自動運転やコネクテッドカーのニュースがメディアを賑わしている。便利な半面ハッキングや遠隔操作といった負の側面について触れている記事も少なくない。しかし、具体的な対策まで解説している記事は少ない。
-
165 侵入した Linux から平文の認証情報を抽出するスクリプト mimipenguin.sh(Scan Tech Report)
Linux 機上にて管理者権限で実行することで、メモリ上から平文の認証情報を抽出することが可能となるスクリプトが公開されています。
-
166 Raytheon と Websense、StoneSoft が統合、日本市場への野心 ( Forcepoint )
Webセキュリティ、メールセキュリティ、DLPの3分野でソリューションを展開していたWebsenseが、Forcepointに社名を変えた。今回、川崎氏にForcepointや新たに公開された脅威レポートについてお話をうかがった。
-
167 ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話
2008年10月からTBS系列で放映開始、明日12月20日に最終回を迎えるテレビドラマ「ブラッディ・マンデイ」では、コンピュータハッキングが重要な作品要素として取り上げられています。
-
168 ネットバンキングでの本人認証、2016年度前半を目処に全ユーザーのワンタイムパスワード必須化を目指す(三菱東京UFJ銀行)
三菱東京UFJ銀行は17日、個人向けネットバンキング「三菱東京UFJダイレクト」において、振り込みなどの取引を実施する際の本人認証を、ワンタイムパスワードのみにすることを発表した。8月9日以降の新規契約者すべてに適用される。
-
169 実在するUnixコマンドを利用できるハッキングシミュレーター『Hacknet』の日本語版配信を開始
Surprise AttackはSteamにてPC/Mac/Linux向けに発売中の、Team Fractal Alligator開発のハッキングシミュレーター『Hacknet』の日本語版配信を開始しました。
-
170 自己解凍書庫ファイルなどWindowsアプリケーションに複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、複数のWindowsアプリケーションに、DLL読み込みに関する脆弱性が多数報告されていると「JVN」で発表した。
-
171 工藤伸治のセキュリティ事件簿シーズン6 誤算 第18回「クラウド捜査協力」
工藤は私の正体を知らないはずだ。だったら、このまま逃げてしまえばいい。みっともないが、それしかない。だが、膝に力が入らない。脚が小刻みに震えているのがわかる。
-
172 北海道警、制服をネット販売した巡査長を減給処分
──────────────────────────────〔Info〕─ ┯― セキュリティ [裏事情] を少しだけお教えいたします ―┯ │ インシデントをおこした企業、能力のないサーバ管理者 または │ │ そんな風にはなりたくない方
-
173 進化する古典的手法 標的型メール攻撃、多段的分析でブロックするトレンドマイクロの「DDEI」
最新の標的型メールは、メール攻撃に特徴的な「添付ファイルを用いる」「URLリンクを貼ると」いった手法そのものは変わらないのですが、“中身”が大きく変わってきています。
-
174 [RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポートPR
講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。
-
175 セキュリティ関連機器・システム/サービス市場、2019年には5,570億円に(富士経済)
富士経済は、セキュリティ関連の主要な機器・システム/サービスの市場について調査した報告書「2016 セキュリティ関連市場の将来展望」を発売した。
-
176 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)
レポートの著者3名は、会社員など内部情報に通じた者を買収する動きは「活発化している」と述べている。
-
177 工藤伸治のセキュリティ事件簿シーズン6 誤算 第19回「単純な方法」
「ウソ」 ウソのはずがない。でも、思わず言ってしまった。工藤が言っていることは本当だ。見事にだまされた。 「おいおい、ウソだったら、なんでオレがここにいるんだ。他の方法でここにたどり着いたと思うのか? そっちの方がウソだろ」
-
178 ネットワークセキュリティを強化する専用BOXを設置、対応サポートも提供(NTT東日本)
NTT東日本は、新たなセキュリティサービス「おまかせサイバーみまもり」を6月29日より提供開始すると発表した。
-
179 工藤伸治のセキュリティ事件簿シーズン6 誤算 第17回「探偵登場」
あんた、ハンパな知識でヤバイことしてるだろ。無線LANを使うのにわざわざ自宅のを使うバカはいない。追跡されにくくするには、公衆LANで認証のないサービスが一番だ。
-
180 JINS オンラインショップに不正アクセス、118万件の個人情報が流出の可能性(ジェイアイエヌ)
株式会社ジェイアイエヌは3月24日、同社が運営するJINS オンラインショップに不正アクセスがあり、個人情報が流出した可能性があることが判明したと発表した。
-
181 Active Directory導入企業における「統合認証基盤確立のシナリオ」
個人情報保護法や日本版SOX法施行の影響で、コンプライアンス対応強化が叫ばれる中、「認証・認可基盤の統合」がひとつのキーワードとなっている。なぜなら認証・認可システムが統合されていない環境でのセキュリティ対策には限界があるためだ。
-
182 「Tera Term」のインストーラに、任意のコードを実行される脆弱性(JVN)
IPAおよびJPCERT/CCは、TeraTerm Projectが提供する「Tera Term」のインストーラに、DLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
183 「Ghostscript」にコード実行の脆弱性、すでに攻撃活動を確認(JVN)
IPAおよびJPCERT/CCは、Artifex Software, Inc.が提供する「Ghostscript」に任意のコードを実行される脆弱性が存在すると「JVN」で発表した。
-
184 「東商マート」サイトに不正アクセス、約5万件の顧客情報が漏えい(ジャパン・フード&リカー・アライアンス)
ジャパン・フード&リカー・アライアンスは、同社の連結子会社である東洋商事が運営する通販サイト「東商マート」に不正アクセスがあり、個人情報が一部流出した可能性のあることが判明したと発表した。
-
185 CeCOS VIII レポート~フィッシングの特色
第8回目となるフィッシング詐欺を主とするサイバー攻撃対策ワーキンググループAPWG主催の「CeCOS VIII」が4月8、9、10日に香港で開催された。その中で特に気になった海外のフィッシング詐欺をいくつかご紹介します。
-
186 ランサムウェア「WannaCry」に感染させる攻撃ツールによるアクセスが増加(警察庁)
警察庁は、「攻撃ツール『Eternalblue』を悪用した攻撃と考えられるアクセスの観測について」を重要情報として発表した。
-
187 同業種でも攻撃や感染の数は企業により異なる、その差はリテラシー(ファイア・アイ)
ファイア・アイは、FireEyeラボが2013年に年間を通し、他のどのセキュリティ企業よりも多数のゼロデイ攻撃を検出したと発表した。
-
188 「安全教育プログラム第7集」を作成(東京都教育委員会)
東京都教育委員会は、「安全教育プログラム第7集(平成27年3月)」を作成。すべての子どもたちに危険を予測し、回避する能力などを身に付けさせる安全教育を推進するための指導資料で、平成21年から作成して今回で7集めとなる。
-
189 検査ツール「iCodeChecker」に任意のスクリプトを実行される脆弱性(JVN)
IPAおよびJPCERT/CCは、IPAが提供するソースコードセキュリティ検査ツール「iCodeChecker」にクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。
-
190 Android標準ブラウザの旧バージョンに脆弱性(JVN)
IPAおよびJPCERT/CCは、Googleが提供するAndroid用Webブラウザ(ブラウザ、AOSP Stock Browserと呼ばれる)にDoSの脆弱性が存在すると「JVN」で発表した。
-
191 テロ組織によるインターネット利用
FBI内、全米インフラ保護センター(NIPC)から、インターネット環境がテロ組織にとって「指導者不在の抵抗組織」作りに適していると最近公表。伝言板、匿名の電子メールアカウントやインターネット・リレー・チャット(IRC)など利用すれば面識のある無しに関わらず、遠隔
-
192 Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち
マクニカネットワークスの凌 翔太 氏は、ランサムウェアのシミュレーションが可能な「 Shinolocker 」と制御システム向けのマルウェアを模した「 ShinoICS 」を、神戸デジタル・ラボは、WordPress に特化したハニーポット「 OTAKU-BOT 」を紹介した。
-
193 不正アクセスによりアカウント情報約4万件が流出可能性 (法政大学)
法政大学は3月10日、同大学が管理するサーバに存在するアカウント情報が漏えいしたと発表した。
-
194 158万円の「SolidWorks Premium 2011」の海賊版を1万5千円で販売、逮捕(ACCS)
ACCSによると、インターネットオークションを悪用し、権利者に無断で複製された3Dグラフィックソフトを販売していた無職男性が著作権法違反の疑いで逮捕された。
-
195 ここが危ないインターネット クレジットカードの落とし穴
高度な技術が犯罪やサイバーテロに不可欠なわけではない。パソコンやネットの素人でもちょっとした知識と所定を踏めば簡単に犯罪やサイバーテロを行うことができる。 このシリーズでは、ほとんど技術をもたない人間でも実行可能な危険性や実例を中心にご紹介する予定
-
196 脆弱性のあるSynology社製NASを探索するアクセスが急増、対策を呼びかけ(警察庁)
警察庁は、脆弱性が存在するNASの探索と考えられる宛先ポート(5000/TCP)に対するアクセスの急増について、@policeにおいて注意喚起を発表した。
-
197 編集長の試用体験記「IBM Rational AppScan」(1)6年で進化したこと
「AppScan(アップスキャン)」という脆弱性スキャンツールを知らない本誌読者は恐らく少ないだろう。筆者ももちろん例外ではない。しかし、私がペネトレーションテストに取り組み始めた頃のAppScanといえば、フリーのスキャンツール「Paros」と同程度の信頼性しかなかった
-
198 横浜市港湾病院の元医師が患者約1万3千人分の個人情報を持ち出し
横浜市衛生局 港湾病院は1月19日、同病院の元医師である佐々木良介および森井一弘の2名が、整形外科患者の個人情報を不正利用していたことが判明したと発表した。これは、同病院の元患者に元医師からハガキが届いたとの通報により発覚したもの。1月15日に港湾病院職員
-
199 [RSA Conference 2016 USA] 数十万台のデバイスのフォレンジックを15秒で実現するEDR技術 ~ タニウム社 チーフセキュリティアーキテクトに聞くPR
タニウムのアプローチは、リニアチェイニング(linear chaining)と呼ばれています。これはネットワークをセグメント単位で分割した上で、各セグメント内の端末を数珠つなぎにして論理的な一本のチェインを形成し、伝言ゲーム形式で通信を行うというアーキテクチャです。
-
200 [レポート] インシデントレスポンスの初動から終息までのフロー ~ Trend Micro DIRECTION
Q 1.外部機関から連絡があり、自組織から不審な通信がでていると指摘された場合最初に何をすべきか? / Q 2.インシデントレスポンスは何のために実施するのか? / Q 3.終息宣言・安全宣言はどのタイミング出すのか?
