![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
1
給料、現場、成長…、セキュリティの仕事の「今」をセキュ鉄の服部氏に聞いた
九州を代表するセキュリティ勉強会「セキュ鉄」のリーダーであり、シーアイエーのCTOである服部祐一氏に、現在のセキュリティ業界についてお話をうかがった。聞き手は、デロイト トーマツ サイバーセキュリティ先端研究所の主任研究員 岩井博樹。
ニュースアクセスランキング
過去1週間に最も読まれた記事1〜10位
-
-
2暗号化を行わない「WannaCry」亜種に感染したPCによるアクセスが増加(警察庁)
警察庁は、@policeにおいて「ランサムウェア『WannaCry』の亜種に感染したPC からの感染活動とみられる445/TCPポート宛てアクセスの観測について」を重要情報として発表した。
-
3日本に精通した標的型攻撃「BRONZE BUTLER」の詳細レポートを公開(SecureWorks)
SecureWorksは、同一のサイバー攻撃グループによるものと思われる、複数の日本企業に対する標的型攻撃のホワイトペーパー「日本企業を狙う高度なサイバー攻撃の全貌 - BRONZE BUTLER」を公開した。
-
4GDPR 施行控えセキュリティ人材が超売手市場、英では給与 1.4 倍に(The Register)
GDPR(EU一般データ保護規則)の施行に伴い、ヨーロッパ中の企業と政府機関がサイバー関連の部署を増強するため、専門能力を持った人員の需要が供給を上回る。
-
5DDoS 攻撃対処3つの目線 ~ 情シス、ISP/IDC、BGP運用者
2017年6月1日、2日にかけて、「Internet Week ショーケース in 名古屋」が開催された。企業にとってかなり悩ましい課題である、企業のDDoS対策について紹介する。
-
6
ランサムウェア実被害は22%、セキュリティ投資は1千万以上が4割--実態調査(KPMGコンサルティング)
KPMGコンサルティングは、企業のサイバーセキュリティに関する実態調査「KPMGサイバーセキュリティサーベイ2017」を発表した。
-
7
「Apache HTTP Web Server」に複数の脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache HTTP Web Server」に複数の脆弱性が存在すると「JVN」で発表した。
-
8
Nレポート 第1回「北朝鮮のサイバー攻撃の調査・分析の一端」
2016年7月25日、韓国国防研究院(KIDA)のブ・ヒョンウク研究委員が、日本の防衛省防衛研究所主催の「安全保障国際シンポジウム」において、「北朝鮮のサイバー脅威評価」に関する報告を行った。
-
9
ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)
サイバーセキュリティ系スタートアップ企業のサイバーリーズン(Cybereason)は、このほどソフトバンクより1億ドルの出資を受け、成長の次の段階へと進みつつある。
-
10柳井 政和 作 「QR ―Trojan Room coffee pot―」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
そのアジトには併設の喫茶店がある。Trojan Room coffee pot。木製のテーブルに白い壁がまぶしい空間。三十一歳の善光寺良成が、切り盛りする店である。
過去1週間に最も読まれた記事11〜20位
-
11グローバルIPアドレスが割り振られているPCやサーバなどの対策を呼びかけ(JPCERT/CC)
JPCERT/CCは、「インターネット経由の攻撃を受ける可能性のあるPCやサーバに関する注意喚起」を発表した。
-
12
8社でイニシアティブ発足、クラウド時代のセキュリティ対策普及促進を目指す(日本マイクロソフト、ラック)
日本マイクロソフトとラックは、セキュリティおよびクラウド・ソリューションに取り組む計8社で「ID-based Security イニシアティブ」を発足、活動を開始したと発表した。
-
13
macOS における Disk Arbitration デーモンでの競合状態制御不備により権限が昇格可能となる脆弱性(Scan Tech Report)
Apple 社の macOS に、競合状態の制御不備を悪用して管理者権限が奪取可能となる脆弱性が報告されています。
-
14
テスラの死亡事故、ドライバーは37分間のうち36分35秒間手放し運転…米当局報告
米国の国家運輸安全委員会(NTSB)は6月20日、2016年にテスラ『モデルS』のドライバーが、自動運転モードで走行中に事故死した件に関して、報告書を公表した。
-
15
欧州で被害が確認された「Petya」など、ランサムウェアの新種や亜種に注意(JPCERT/CC)
JPCERT/CCは、「世界的に猛威を振るうランサムウエアへの注意」を発表した。
-
16日本のインターネットリスクの高さは183中155位、ただし危険なサーバは多数(Rapid7)
Rapid7は、インターネット上のリスク状況を明らかにするグローバル調査「National Exposure Index 2017」の結果を発表した。
-
17
AWS上でのPCI DSS準拠を支援するサービス、2つのメニューを提供(リンク)
リンクは、AWS上でPCI DSS準拠を支援する「PCI DSS Ready Cloud AWSモデル」の提供を2017年秋より開始すると発表した。
-
18「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)
Aimingおよびマーベラスは、大阪府警がAiming従業員を詐欺等の容疑で逮捕したことを公式サイトを通じて発表しました。
-
19
データ漏えい時に発生したコストがグローバルで10%減少、米国などは増加(日本IBM)
日本IBMは、「2017年データ漏えいコスト・レポート」の結果を発表した。
-
20遊井 かなめ 「『天使たちのシーン』は聴こえているか?」 - 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
「時代は変わった。これからはサイバーミステリとアメリカの時代だ」
過去1週間に最も読まれた記事21〜30位
-
21 「JP1」のジョブ稼働情報やサーバリソース情報をAzure上で可視化、分析(日立ソリューションズ、日本マイクロソフト)
日立ソリューションズは日本マイクロソフトと協力し、JP1導入企業向けにジョブ管理運用改善レポートサービスを6月27日から提供開始すると発表した。
-
22 文部科学省「電子入札設定チェックツール」に任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、文部科学省が提供する「電子入札設定チェックツール」にDLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
23 セキュリティとユーザーエクスペリエンスは本当にトレードオフなのか
「セキュリティとUXの◯◯な関係」という勉強会が開催された。サブタイトルに「すれ違い続けた二人の運命の邂逅~セキュリティとUXは本当にトレードオフなのか」と題されているこの会は非常に人気が高く定員を遙かにオーバーしていた。
-
24 スライドPDF作成アプリ「Marp」に情報漏えいの脆弱性(JVN)
IPAおよびJPCERT/CCは、服部雄輝氏が提供するMarkdown記法を使用してプレゼンテーション用のスライドPDFを作成するためのアプリケーション「Marp」に脆弱性が存在すると「JVN」で発表した。
-
25 AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD)
5 月 30 日から 6 月 2 日まで 4 日間にわたって開催された AWS Summit Tokyo 2017 で、AWS に特化したセキュリティサービスを提供する三井物産セキュアディレクション株式会社(MBSD)が、AWS サービス上に構築した検証環境を用いてサイバー攻撃のデモを行った。
-
26 「キャラミんOMP」のインストーラに任意コード実行の脆弱性(JVN)
IPAおよびJPCERT/CCは、キャラミん運営委員会が提供する「キャラミんOMP」のインストーラに、DLL読み込みに関する脆弱性が存在すると「JVN」で発表した。
-
27 サイバーセキュリティ経営ガイドラインがあと一歩「惜しい」理由
ガイドラインをよく読むと、「経営層」に向けているはずが、現実に経営者が気にかけるポイントと若干ずれており、「インパクトはあるけれど、内容が経営層に刺さらないのではないか。これは非常にもったいない」と、ソリトンシステムズの執行役員 長谷部 泰幸 氏は指摘する。
-
28 エンタープライズ向けに標的型攻撃対応クラウドベースソリューション(アカマイ)
アカマイは、複雑な標的型攻撃に対応するエンタープライズ向けセキュリティソリューション「Enterprise Threat Protector」を発表した。
-
29 モバイルマルウェアの倍増とMac向けアドウェアによりマルウェアが増加(マカフィー)
マカフィーは、2017年第1四半期の脅威レポート「McAfee Labs脅威レポート: 2017年6月」を発表した。
-
30 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」
それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。
-
31 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)
「違う文脈で言うなら、そのような(Tor の)挙動は、ハッキングされたアカウントが『ボットネット』を通じてアクセスしている挙動だ、と示唆されるかもしれない(しかし、それは Tor にとって正常なことだ)」
-
32 「Apache Tomcat」に、エラーページの削除や上書きが行われる脆弱性(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
33 ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」
そんな中、転職活動の中でエージェントからサイバーディフェンス研究所というとっても香ばしい社名の会社の紹介を受ける。
-
34 アイ・オー・データ製ネットワークカメラに意図しない操作をされる脆弱性(JVN)
IPAおよびJPCERT/CCは、アイ・オー・データ機器が提供する複数のネットワークカメラ製品に、CSRFの脆弱性が存在すると「JVN」で発表した。
-
35 Scan BASIC 登録方法
本記事では、無料で登録できる ScanNetSecurity BASIC MEMBERS と、メールマガジン Scan BASIC の登録方法を解説しています。所要時間は 2 分程度です。
-
36 セキュリティ対策に必要な実践的知識を学ぶ中小企業向け無料セミナー(IPA)
IPAは、「2017年度IPA中小企業情報セキュリティ講習能力養成セミナー」を全国30カ所で開催する。
-
37 クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞くPR
ISO 27017 とは? ISO 27018 との違いなどの疑問を、国内でも数少ない「ISO 27017」「ISO 27018」両方の認証取得コンサルティングサービスを取り扱う、LRM 株式会社 代表取締役 幸松哲也氏に話を聞いた。
-
38 千澤 のり子 作 「初恋さがし」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
『初恋の人の行方を知りたい方は、こちらにメールください。依頼はご内密にいたします。速やかに探します。費用は、前金で百円。現在の様子が分かったら追加で五千円。写真付きならプラス五千円。経費はご依頼主様負担でお願いします。無理だったら返金します。 荒川正歩』
-
39 中国サイバーセキュリティ法発効 ~ 非中国系企業に事業リスク(The Register)
コンテンツ配信ネットワーク「CDNetworks」のEMEA(ヨーロッパ、中東、アフリカ)担当責任者であるアレックス・ナム氏は、海外のインターネット企業は中国での取引が今後は困難になるだろうと警告した。
-
40 エンドポイントセキュリティをクラウドおよび仮想アプライアンスで提供(ファイア・アイ)
ファイア・アイは、同社のエンドポイント・セキュリティ・ソリューションに、新たにクラウドおよび仮想アプライアンスによる提供形態を発表した。
-
41 一田 和樹 作 「さよならアカウント」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
末期の重病を苦に自殺した少女のTwitterアカウントが死後復活した。フォロアーもフォローも1名だけのアカウントのツイート数は毎日増え続ける・・・
-
42 産業システム向けセキュリティ市場が前年比33.3%と高成長、25億円規模に(ITR)
ITRは、国内のCSMS/PSIRT/IoTセキュリティ構築運用支援サービス市場規模推移および予測を発表した。
-
43 ISMS認証とは何か■第1回■
プライバシーマークとよく似た第三者認証制度にISMS(Information Security Management System)適合性評価制度がある。プライバシーマーク制度と同様、事業者のセキュリティに対する取り組みを第三者が評価する一種の格付けである。しかし個人情報保護法の施行で注目が
-
44 ランサムウェア「Wanna Cryptor」が世界中で猛威、業務開始前に対策を(IPA)
IPAは、「世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について」と題する注意喚起を発表した。
-
45 日本の個人PCにインストールされている危険ソフトのトップ3が判明(フレクセラ)
フレクセラは、同社のSecunia Researchによる「Personal Software Inspector 国別レポート - 2016 年第 4 四半期」の日本の状況について発表した。
-
46 Scan PREMIUM 登録方法
本記事では、ScanNetSecurity PREMIUM MEMBERS と、メールマガジン Scan BASIC の登録・購入決済方法を解説しています。
-
47 自分の利用しているサーバの状況を確認する方法 不正中継確認
自分の使用しているサーバ(自分自身が管理しているサーバ、社内のシステム担当が管理しているサーバ、借りているレンタルサーバなど)が、不正中継をしないようちゃんと設定されているかを確認する方法について紹介します。
-
48 東芝ライテック製ホームゲートウェイに複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、東芝ライテックが提供するホームゲートウェイに複数の脆弱性が存在すると「JVN」で発表した。
-
49 「Acronis True Image」に任意コード実行の脆弱性、現状では未対策(JVN)
IPAおよびJPCERT/CCは、Acronisが提供するWindowsおよびMacシステム用のディスクバックアップユーティリティ「Acronis True Image」に更新の確認や更新データの取得がセキュアに行われていない脆弱性が存在すると「JVN」で発表した。
-
50 ランサムウェアの被害件数は前年から約3.5倍、検出台数は約9.8倍に(トレンドマイクロ)
トレンドマイクロは、日本国内および海外でのセキュリティ動向を分析した報告書「2016年年間セキュリティラウンドアップ:『ランサムウェアビジネス』が法人にもたらす深刻な被害」を公開した。
-
51 ヨーロッパ情報漏えい罰金額相場とEU一般データ保護規則施行が生むビジネスチャンス(The Register)
PwCの国際サイバーセキュリティ関係者のスチュワート・ルーム氏は、この問題に対してこれまでよりもはるかに大きく注目が集まるという理由で、GDPRを「善なる力」として歓迎した。そう言いながら、おそらく心の中では舌なめずりをしていたのだろう。
-
52 Apache Struts2 の脆弱性を利用した不正アクセスでアンケート情報流出の可能性(国土交通省)
国土交通省は6月6日、「不動産取引価格アンケート回答(電子回答)」サイトにおいて第三者による不正アクセス及び情報流出の可能性があることが判明したと発表した。
-
53 建造物侵入・現金窃盗事件で逮捕された元行員が顧客情報を持ち出し(佐賀銀行)
佐賀銀行は6月19日、同行の元行員が顧客情報を漏えいしていた事実が判明したと発表した。
-
54 少人数による攻撃でも深刻な影響を与える「Slow HTTP DoS Attack」を把握(警察庁)
警察庁は、Slow HTTP DoS Attackの可能性が疑われる攻撃事例を把握したとして、「@police」において注意喚起を発表した。
-
55 スマートフォンの利用が増える夏休み前に親子でセキュリティを考える機会を提供(トレンドマイクロ、LINE)
トレンドマイクロとLINEは、小・中学生とその保護者を対象に「安心・安全なスマホ利用のための親子セミナー」を7月8日に開催する。スマートフォンの利用が増える夏休み前に、親子で考える機会を提供する。参加は無料。申込みはWebサイトで受け付ける。
-
56 Netskopeとの販売代理店契約、CASB市場参入(サイバネットシステム)
サイバネットシステムは、クラウドセキュリティ専業企業である米Netskope Inc.(ネットスコープ社)と販売代理店契約を締結したと発表した。
-
57 Samba における IPC 通信処理の不備により悪意のあるライブラリファイルを読み込ませることが可能となる脆弱性(Scan Tech Report)
ファイル共有サービスを提供するソフトウェアとして、世界的に普及しているソフトウェアである Samba に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。
-
58 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)
2015年12月、クラウドサービスの提供および利用のための情報セキュリティ管理策を規定した国際的なガイドライン規格「ISO/IEC 27017:2015」が発行された。JIPDECはこれを受け、ISMS適合性評価精度においてクラウドセキュリティの認証を開始する。
-
59 無料の夏休み親子教室を開催、子供も注意すべき最新のサイバー犯罪手口を解説(トレンドマイクロ)
トレンドマイクロは、小学校高学年(4~6年生)の子供とその保護者を対象とした「夏休みセキュリティ教室」を開催すると発表した。
-
60 SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)
株式会社InterFM897は5月17日、同社のWebサーバへの不正アクセスによる個人情報が抜き取られたことが判明したと発表した。
-
61 4人に1人がランサムウェア被害、6割が支払いに応じ 額は300万円以上過半(トレンドマイクロ)
トレンドマイクロは、「企業におけるランサムウェア実態調査 2016」の結果を発表した。
-
62 2015年の情報セキュリティ市場は8,965億円、2017年度には9千億円超えに(JNSA)
JNSAは、セキュリティ市場調査ワーキンググループによる「2016年度 国内情報セキュリティ市場調査」を発表した。
-
63 ランサムウェア、標的型攻撃など、2016年の脅威を総括したレポート(シマンテック)
シマンテックは、「インターネットセキュリティ脅威レポート第 22号(ISTR: Internet Security Threat Report, Volume 22)」の日本語版を公開した。
-
64 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ
今回ピックアップするのは、顔認証と指紋認証を使ったアクセスコントロールシステム。従来のICカードを使ったシステムと比較した場合、セキュリティ面での優位性があるバイオメトリクス(生体認証)を採用したシステムは、各社が意欲的に製品開発を進めている。
-
65 iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める
2014年、Appleのクラウドサービス「iCloud」を含む、複数のログインサービスから、多数のセレブや女優、モデルのプライベート画像が流出する事件が起きた。
-
66 「東商マート」サイトに不正アクセス、約5万件の顧客情報が漏えい(ジャパン・フード&リカー・アライアンス)
ジャパン・フード&リカー・アライアンスは、同社の連結子会社である東洋商事が運営する通販サイト「東商マート」に不正アクセスがあり、個人情報が一部流出した可能性のあることが判明したと発表した。
-
67 規約に同意してワンクリックでWannaCryなどを自己診断(ラック)
ラックは、自社で利用しているネットワークが、ウイルスの感染活動を検知した際に、遮断するなどの対策が施されているかを即時判定できる無料の自己診断サービス「自診(じしん)くん」を公開したと発表した。
-
68 Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)
Microsoft Windows の Win32k.sys ドライバに整数オーバーフローを引き起こしてしまう脆弱性が報告されています。
-
69 [速報] Interop Tokyo 2017 Best of Show Award 2017 セキュリティカテゴリ受賞プロダクト一覧と受賞理由
本日 6 月 7 日から 6 月 9 日まで幕張メッセで開催されている Interop Tokyo 2017 で、優れた製品やサービスを選ぶ Best of Show Award 2017 が 6 月 7 日午後発表された。もっとも優れた「グランプリ」をはじめとして「準グランプリ」「審査員特別賞」が選定された。
-
70 サイバー攻撃防御機能を搭載した商業向け完全自動運転車、初の生産へ(アズジェント)
アズジェントは、「Carwall」の開発元であるKaramba Securityのソリューションが、フランスVEDECOM Techのコネクテッドカーならびに自動運転車に採用されることが決定したと発表した。
-
71 重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック)
ラックは、同社のサイバー救急センターが緊急対応や情報漏えい事故調査で得た情報をサイバー・グリッド研究所にて分析した「日本の重要インフラ事業者を狙った攻撃者(Cyber GRID View vol.2)」を発表した。
-
72 Microsoft Windows の Secondary Logon サービスにおいて要求ハンドルの取り扱い不備により高い権限で任意のコードが実行されてしまう脆弱性(Scan Tech Report)
Microsoft Windows の Secondary Logon サービスに含まれる不備により、高い権限で任意のコードが実行可能となる脆弱性が報告されています。
-
73 [インタビュー] セキュリティ人材育成は日本だけの課題ではない、デロイトサイバーチーム日蘭対談PR
「3日目のハッキングゲームのときには成長して、積極的に心を開いて取り組んでいました。いろいろなことを模索、探索することは非常に重要なことですので、そうしたポジティブな変化を目にできたことはうれしい驚きでした。」
-
74 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、Webアプリケーションを構築するためのフレームワークである「Apache Struts 1」に複数の脆弱性が存在すると「JVN」で発表した。
-
75 工藤伸治のセキュリティ事件簿シーズン6 誤算 第2回「みえすいた罠」
ようするにスパイウエアじゃないか。堂々とスパイウエアを送り込むので、インストールしてくれとはあきれた相手だ。私をなめているのか。こんな見えすいた罠を仕掛けてくるとは、なめられたものだが、相手のレベルが低いことがわかって逆に安心だ。
-
76 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件
「セキュリティ・キャンプ中央大会2012」の応募課題が「ハイレベル過ぎる」「ヤバい」と一部で話題になっているので紹介したい。
-
77 AWS 向け SaaS 型セキュリティサービス Alert Logic 概要と提供価格(MBSD)
6月1日から3日間にわたって都内で開催されたAWS Summit Tokyo 2016会場で展示と説明が行われた Alert Logic について、MBSD 戦略事業部 テクニカルコンサルタント 矢内 伸良 氏に話を聞いた。
-
78 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)
キーを変更することができないという致命的な欠陥をもつ方式である以上、キーが破られる可能性が顕在化したら、その方式の有効性は失われたといっても過言ではないだろう。ベンダは破られないようにするというだろうが、しょせんイタチごっこである。
-
79 預金者の口座を許諾なしに危険にさらす「残高照会サービス」
現在、多くの銀行、信用組合などでNTTDATAの「ANSER-WEB」を使用して、オンラインで残高照会のできるサービスが提供されている。一見すると非常に便利なように見えるのだが、その実、一部の銀行では非常にリスキーな運用をしていることが判明した。
-
80 七瀬 晶 作 「自動走行車の行方」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
実験中の、目的地を言うだけでそこへ運ぶ自動走行車が突然暴走した。バグの可能性は低い。大学生の「僕」はプログラムを書いた先輩と真相究明にあたる。
-
81 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」
ほとんどの会社は、サイバーセキュリティのトラブルを表沙汰にしない。公的認証や認可が取り消されるとか、上場準備に支障が出るとか、取引先の信用を失うとか、そういう理由でだ。
-
82 「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞くPR
ランサムウェアによる被害が広がっている。トレンドマイクロ株式会社の調査によれば4人に1人が勤務先の組織・企業が被害を被ったことがあるとし、その6割が身代金の支払いに応じているという。企業規模問わず狙われる可能性があるため、中小企業にとっても大きな脅威となる。
-
83 [数字でわかるサイバーセキュリティ]情報漏洩が企業の大きな懸案事項に、約1万5千人分の個人情報を従業員が持ち出し
人材派遣業を展開するスタッフサービスは5月9日、登録者の個人情報などが外部に流出していたことを公表しました。登録者・エントリー者15,368名分の「氏名」、および「住所」「電話番号」「メールアドレス」のいずれかが流出したとのことです。
-
84 Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)
Linux ディストリビューションの一つである Ubuntu に、デフォルトで実装されているソフトウェアである Apport を経由して権限昇格されてしまう脆弱性が報告されています。
-
85 シノアリスのメンテナンスを強制的に解除すると詐称、連携するとアカウント乗っ取り等の可能性(スクウェア・エニックス)
iOS/Androidアプリ『SINoALICE -シノアリス-』の公式Twitterアカウントにて、Twitterスパムに対する注意喚起が行われています。
-
86 国内の主要な個人情報漏えい事故をまとめた「日本情報漏えい年鑑2017」(イード)
イードは、2016年度に日本国内で発生した主要な個人情報漏えい事件・事故をまとめた「日本情報漏えい年鑑2017」を発刊したと発表した。
-
87 アジア人初の DEF CON CTF ファイナリスト集団によるハンズオントレーニング、虎ノ門ヒルズに開校PR
セキュリティ事業部 アライアンスチーム 石井 絵理 氏は、「セキュリティ製品を導入しても使いこなせる人材が少ないなど、セキュリティ人材育成のニーズはとても高い一方で、優秀な人材の取り合いになっており、ヘッドハントできる体力がない企業は深刻な状況」と語った。
-
88 KPMG , LAC流「サイバーセキュリティ経営ガイドライン」実践活用法(KPMGコンサルティング、ラック)
KPMGコンサルティングとラックは、ホワイトペーパー「サイバーセキュリティ経営実践ガイダンス」を発行、ホームページで公開したと発表した。
-
89 ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」
脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。
-
90 工藤伸治のセキュリティ事件簿シーズン6 誤算 第3回「スカイプ」
たまにいるんだよね。そういう粋がった野郎がさ。『攻殻機動隊』好きだろ。それとも『王様たちのヴァイキング』か?
-
91 2016年度の国内標的型攻撃対策支援サービス市場は前年比19.9%増の95億円(ITR)
ITRは、国内の標的型攻撃対策支援サービス市場規模推移および予測を発表した。
-
92 「WannaCry」関連の攻撃ツールによるアクセスが増加(警察庁)
警察庁は、@policeにおいて「攻撃ツール『Eternalblue』をはじめとするソフトウェアの脆弱性を悪用した攻撃等と考えられるアクセスの観測について」を重要情報として発表した。
-
93 Raytheon と Websense、StoneSoft が統合、日本市場への野心 ( Forcepoint )
Webセキュリティ、メールセキュリティ、DLPの3分野でソリューションを展開していたWebsenseが、Forcepointに社名を変えた。今回、川崎氏にForcepointや新たに公開された脅威レポートについてお話をうかがった。
-
94 NSS LabsがNGFWの性能評価マップSVMを公開――各製品の特徴を可視化
セキュリティソフトやアプライアンス製品に対して、研究機関や業界団体などが、独自の性能評価を行い、そのレポートを公開することがある。
-
95 ハッキングで得た情報で株不正取引の中国人に罰金 9 億円、複数の法律事務所を標的にした攻撃手法(The Register)
中国人の3人の悪党が、アメリカ合衆国の法律事務所から盗んだインサイダー情報を利用し、株式市場で何百万ドルも稼いだ。
-
96 MSが6月のセキュリティリリースを公開、XPおよびServer 2003にも対応(JPCERT/CC)
JPCERT/CCは、「2017年 6月マイクロソフトセキュリティリリースに関する注意喚起」を発表した。
-
97 Microsoft Internet Explorer の mshtml.dll に起因する解放済みメモリ使用の脆弱性(Scan Tech Report)
Microsoft Internet Explorer (IE) に解放済みメモリを使用してしてしまう脆弱性が報告されました。
-
98 [セキュリティ ホットトピック] ランサムウェア「WannaCry」被害概況
2017年5月中旬に、ランサムウェア「WannaCry」(別名:WannaCrypt、WannaCryptor、Wcryなど)による世界的な規模の被害が発生しました。
-
99 緊急会見~ランサムウェア「WannaCry」特徴と対策(トレンドマイクロ)
トレンドマイクロ株式会社は5月15日、世界的な被害が報告されているランサムウェア「WannaCry(ワナクライ)」について、注意喚起のため緊急セミナーを都内で開催した。
-
100 ランサムウェア「WannaCry」被害が多く報道されても、パッチ非適用者は増加(フレクセラ)
フレクセラは、同社のSecunia Researchによる「Personal Software Inspector 国別レポート - 2017 年第1四半期」の日本の状況について発表した。
-
101 DDoS攻撃の危険性に関する5つの誤解(アーバーネットワークス)
DDoS攻撃から組織のネットワークを防御することが長年の課題とされる中、多くの企業のネットワークは危険にさらされている。このような状況を踏まえ、企業がDDoS攻撃に対して飽きやすい主な誤解についてアーバーネットワークスがまとめた。
-
102 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト
CGC は用意されたプログラムの脆弱性を探し、それを修正するためのパッチを書く、そして敵チームのプログラムを攻撃するための攻撃コードを書き攻撃を行うという一連の行動をすべて自動化されたプログラムによって行うというものだ。
-
103 アジア地域のセキュリティリーダーを選ぶISLA賞を発表、本誌編集長も受賞((ISC)2)
(ISC)2は、第11回年間アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)の受賞者を発表した。
-
104 Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法
カンファレンスというイメージを持っているかもしれないが、実はそれだけではない。会場の半分以上はイベント会場になっているのだ。さまざまなワークショップや CTF、物販やカラオケなんかもある。ワークショップはその場で飛び入りで参加できるものがほとんどだ。
-
105 スマホの生体認証とFIDOで、IoT機器を介したクラウドサービス認証を容易に(富士通研究所)
富士通研究所は、スマートフォンが搭載する生体認証機能と近距離無線機能を活用して、IoT機器を介したクラウドサービスを安全、簡単に利用できる技術を開発したと発表した。
-
106 実在するUnixコマンドを利用できるハッキングシミュレーター『Hacknet』の日本語版配信を開始
Surprise AttackはSteamにてPC/Mac/Linux向けに発売中の、Team Fractal Alligator開発のハッキングシミュレーター『Hacknet』の日本語版配信を開始しました。
-
107 [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)
「セキュリティ業界は、社会を守る使命感を持って入ってくる人がほとんどです。コンテストやバグバウンティへの参加は、セキュリティ専門企業だからこそできる、有志のエンジニア達を成長させるひとつの有効な方法だと思っています。(武井)」
-
108 [Internet Week 2016] 厳選セキュリティセッション 第4回 「サイバー攻撃2016 ~正しく見抜いて対策へ~」中津留 勇 氏と品川 亮太郎 氏
「NSAのメンバーで構成されているとも言われる組織から窃取した情報として公開したデータの中に、複数ベンダのファイアウォール製品の脆弱性の攻撃ツールなどが含まれていました。0 dayを悪用するツールも含まれていたことからユーザーに大きな影響が懸念されるものでした」
-
109 金融機関を対象としたフィシングが大幅減、SNSが新たな対象として台頭(フィッシング対策協議会)
フィッシング対策協議会は、「フィッシングレポート 2017 ~ 普及が進むユーザ認証の新しい潮流 ~」を公開した。
-
110 制御システムを狙うマルウェア「CrashOverride」に注意、対象拡大のおそれも(JVN)
IPAおよびJPCERT/CCは、制御システムを攻撃対象とするマルウェア「CrashOverride」によるセキュリティ侵害の痕跡の有無を調査するための情報を米国NCCICが公表したと「JVN」で発表した。
-
111 2016年の個人情報漏えい調査、件数の減少は小規模漏えいの非公表化か(JNSA)
JNSAは、「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」を公開した。
-
112 ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート]PR
IoT機器に対する脅威は各所で語られているが、フィッツジェラルド氏は、上記のような事象とランサムウェアなど、複数の脅威が組み合わさることで「Ronsomware of Things」とも呼べる状態が危惧されるとした。
-
113 Nimda.E変種ワームが、異なるファイル名を伴って攻撃開始
概要: 複数の攻撃方法を持つNimdaワームの変形であるNimda.Eワームが登場。この変形型Nimda.EはNimda.D(10月30日付けID#106045)と共に10月30日にインターネット上で拡散している事が判明。このワームは電子メール及びネットワーク経由でパッチの充てられてい
-
114 Microsoft Windows の afd.sys ドライバに起因するメモリ領域の二重解放の脆弱性(Scan Tech Report)
Microsoft Windows の afd.sys ドライバにメモリ領域を二重に解放してしまう脆弱性が報告されています。
-
115 「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞
三井物産セキュアディレクション株式会社( MBSD )は、同社が今年初めて開催した、専門学校生対象のセキュリティコンテスト「MBSD Cybersecurity Challenges」の最終審査会と入賞チームの表彰式を12月13日、都内で行った。
-
116 有料メルマガ読者様へのおしらせ
このたび弊誌は、今年2015年夏を目処に、これまでメールマガジンだけに限定していた有料情報配信チャネルを、Webサイトにも拡充します。
-
117 自己解凍書庫ファイルなどWindowsアプリケーションに複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、複数のWindowsアプリケーションに、DLL読み込みに関する脆弱性が多数報告されていると「JVN」で発表した。
-
118 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(15) 「tcptraceroute」
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
-
119 都税クレジットカード支払サイトで不正アクセス、カード情報が流出(GMOペイメントゲートウェイ)
GMOペイメントゲートウェイ株式会社は3月10日、同社が運営受託する東京都都税クレジットカード支払サイトおよび独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトで不正アクセスによる情報流出の可能性があることが判明したと発表した。
-
120 Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)
ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。
-
121 29年度サイバーセキュリティ政府予算600億円、厚労省と年金機構に47億 他(NISC)
NISCは、政府のサイバーセキュリティに関する予算(平成29年度予算概算要求および平成28年度予算第2次補正)について発表した。
-
122 NSAの兵器から生まれたランサムウェアが世界で蔓延、MSが緊急パッチ配布 ~ 対策方法まとめ:ポート番号からサンプルまで(The Register)
このバグはかつてNSAが、監視対象のPCを乗っ取るのに利用していたものだ。この内部ツールはEternalblue (エターナルブルー)と呼ばれていた。それがNSAから盗まれ、4月にオンラインで公開された。
-
123 Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)
カスペルスキーは、Wi-Fiルータを狙うAndroid向けトロイの木馬「Switcher Trojan」を同社Kaspersky Labのリサーチャーが発見したと発表した。
-
124 「iCloud」から流出した有名人のヌード写真に関連する詐欺に注意を呼びかけ(シマンテック)
シマンテックは4日、有名人のヌード写真流出事件に関連する詐欺に注意を呼びかけた。
-
125 IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)PR
HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。
-
126 ランサムウェアの基礎知識から感染事例、対策をまとめたレポートを公開(IPA)
IPAは、「IPAテクニカルウォッチ『ランサムウェアの脅威と対策~ランサムウェアによる被害を低減するために』」を公開した。
-
127 SNSのトラブルは「LINE」と「Twitter」が突出、4人に1人がいじめ・嫌がらせを経験(プリキャンティーンズラボ)
10代の女の子に関する研究機関「プリキャンティーンズラボ」が、「いじめ・嫌がらせに関する調査」を実施。SNSのトラブルはLINEやTwitterが多く、「トラブルがあっても大人に相談したくない」と回答したのは4割にのぼった。
-
128 ビジネスソフトの海賊版販売で有罪判決、罰金など合計約4,700万円(ACCS)
ACCSは、ビジネスソフトの海賊版を販売・所持し著作権法違反で逮捕された男性に対し、有罪判決が確定したと発表した。
-
129 LINE が取り組む 10 のセキュリティ対策…インフラは? アプリ開発は? 乗っ取り対策は?
今春開催されたカンファレンスで「LINEがセキュリティの為に取り組んでいる10のこと」というセッションが行われた。スピーカーは、LINE セキュリティ室 アプリケーションセキュリティチーム マネージャー 市原尚久氏だ。
-
130 グループウェア「GroupSession」に、メールを盗み見されるなどの脆弱性(JVN)
IPAおよびJPCERT/CCは、日本トータルシステムが提供するオープンソースのグループウェア「GroupSession」にアクセス制限不備の脆弱性が存在すると「JVN」で発表した。
-
131 [RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポートPR
講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。
-
132 Mac OS X のシングルユーザモードの root アクセス(2)
〜[前号より]〜 結果として、Apple は root へのアクセスを許可する前にシングルユーザモードに root もしくは管理パスワードを必要とする何らかの措置を講じる必要がある。さらに Install CD は最初にパスワードを知らなくても、そのパスワードを再設定する唯一の方
-
133 「Apache Tomcat」がアップデート、情報漏えいやDoSの脆弱性に対応(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
134 マルウェアによる被害へも言及、「最新情報版 大学生が狙われる50の危険」を発行(全国大学生協連、三菱総合研究所)
大学生協共済連は、全国大学生協連と三菱総合研究所と協同で、「最新情報版 大学生が狙われる50の危険」を発行した。2011年2月に発行した初代、2014年2月に発行した二代目に続く三代目としている。価格は1,080円(税込)。大学生協の書籍部や一般書店などで入手可能。
-
135 横浜市港湾病院の元医師が患者約1万3千人分の個人情報を持ち出し
横浜市衛生局 港湾病院は1月19日、同病院の元医師である佐々木良介および森井一弘の2名が、整形外科患者の個人情報を不正利用していたことが判明したと発表した。これは、同病院の元患者に元医師からハガキが届いたとの通報により発覚したもの。1月15日に港湾病院職員
-
136 外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素PR
外部からのサイバー犯罪に比べ異なった対策が必要とされる内部犯行。特に「正規権限を持つ内部者による犯行」は検知が困難だ。
-
137 [Security Days Spring 2017 インタビュー] 日本がCSIRT構築より前に振り返るべきポイント(セキュアワークス・ジャパン)PR
現在のセキュリティ対策は、インシデント対応を強化するフェーズであり、その先はレジリエンスな(回復力のある)システムが注目されています。 この流れの中でCSIRT構築は重要かつ必要なことですが、日本は、検知や脆弱性スキャンの重要性を見直すべきだと思っています。
-
138 BIND 9.xに権限を昇格される緊急の脆弱性、バージョンアップを強く推奨(JPRS)
JPRSは、BIND 9.xの脆弱性(権限の昇格)について緊急の注意喚起を発表した。
-
139 158万円の「SolidWorks Premium 2011」の海賊版を1万5千円で販売、逮捕(ACCS)
ACCSによると、インターネットオークションを悪用し、権利者に無断で複製された3Dグラフィックソフトを販売していた無職男性が著作権法違反の疑いで逮捕された。
-
140 ショッピングサイト「EIC-BOOK」に不正アクセス、カード情報が漏えい(ウェブサービス)
有限会社ウェブサービスは1月19日、同社が運営するインターネットショッピングサイト「EIC-BOOK」において、利用者の個人情報が不正アクセスにより流出した可能性があると発表した。これは、過去に購入された顧客情報の一部が流出しているのではとのクレジットカード会社
-
141 治験データが記録されたUSBメモリを紛失(医薬品医療機器総合機構)
独立行政法人 医薬品医療機器総合機構は4月28日、申請企業から提出された治験データが記録されたUSBメモリ1個を同機構内で紛失したと発表した。
-
142 セキュリティ関連機器・システム/サービス市場、2019年には5,570億円に(富士経済)
富士経済は、セキュリティ関連の主要な機器・システム/サービスの市場について調査した報告書「2016 セキュリティ関連市場の将来展望」を発売した。
-
143 [Security Days Spring 2017 インタビュー] ソフトバンクが惚れ込んだ標的型攻撃対策のEDR製品(サイバーリーズン・ジャパン)PR
多くの企業、組織は「入口対策」におよそ70%投資しています。しかし、どんなに強固にしても侵入は避けられません。我々のソリューションは、侵入は避けられないことを前提として、攻撃を成立させない仕組みを提供しています。
-
144 「Ghostscript」にコード実行の脆弱性、すでに攻撃活動を確認(JVN)
IPAおよびJPCERT/CCは、Artifex Software, Inc.が提供する「Ghostscript」に任意のコードを実行される脆弱性が存在すると「JVN」で発表した。
-
145 防災情報をリアルタイムに多言語翻訳して表示(ピクセラ)
ピクセラは21日、防災情報をリアルタイムに多言語翻訳して表示する「防災対応 テレビ字幕自動翻訳システム」と、家庭向けIoTサービス「Conteホームサービス」の防災応用事例を、
-
146 スマートフォンやSNSの中学生向け安全教室開催(トレンドマイクロ)
今回取材したセキュリティ授業では、スマートフォンとSNSの2つをキーワードにして、安全に利用するためのポイントが分かりやすく説明された。
-
147 ランサムウェア「WannaCry」感染PCによるアクセスが増加(警察庁)
警察庁は、「ランサムウェア『WannaCry』に感染したPCからの感染活動とみられる445/TCPポート宛てアクセスの観測について」を重要情報として発表した。
-
148 シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価
●注目を浴びるシンクライアントソリューション
-
149 CODE BLUE 第 2 回の舞台裏を聞く~ BLUE 篠田佳奈氏インタビュー
CODE BLUEが海外の面白いカンファレンスの1つとして認識され、「思い出してもらえるカンファレンス」になったことが、すごく嬉しいです。
-
150 自動車へのハッキングはどうやって守るのか? カギはHSM
自動運転やコネクテッドカーのニュースがメディアを賑わしている。便利な半面ハッキングや遠隔操作といった負の側面について触れている記事も少なくない。しかし、具体的な対策まで解説している記事は少ない。
-
151 最多脆弱性ブラウザはChrome、最もパッチが適用されていないブラウザは(フレクセラ)
フレクセラは、同社のSecunia Researchによる「脆弱性レビュー 2017」を発表した。
-
152 加盟店はカード情報の非保持化あるいはPCI DSS準拠--実行計画まとまる(クレジット取引セキュリティ対策協議会)
クレジット取引セキュリティ対策協議会は、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」を取りまとめ、発表した。
-
153 「名探偵コナン」「Kiss×sis」をShareで公開していた会社役員を逮捕(ACCS)
社団法人コンピュータソフトウェア著作権協会(ACCS)は7月7日、北海道警留萌署と旭川方面本部生活安全課、旭川方面情報通信部情報技術解析課が7月6日、ファイル共有ソフト「Share」を通じてアニメーション作品および漫画作品を権利者に無断でアップロードし送信できる状
-
154 [インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings
「それよりも、地に足の着いた投稿の方がよっぽど信頼できて面白いと思います。『Network Defense』と『Malware』のカテゴリは、いずれも、ただ「解析してみました」、ただ「作ってみました」ぐらいのレベルでは基本的に通りません。」
-
155 IT企業を装うフィッシングサイトが急増、そして最短15分で姿を消す(ウェブルート)
ウェブルートは、2016年の1年間に収集したデータを分析した年次レポート「ウェブルート脅威レポート 2017」を発表した。
-
156 piyolog Mk-II 第11回 「佐賀県学校教育ネットワークへの不正アクセス事件を振り返り気になったコト」
今回の事件は複数の専門家から見解が示されています。しかし実際はどうだったのでしょうか。
-
157 ここが変だよ日本のセキュリティ 第27回 「結果にコミットする!セキュリティ対策とダイエットの共通点!」
ちゃんと運用すれば効果はそれなりにあるはずなんだ。でも、なんで効果が出てこないか、その辺りの理由も、ダイエットとセキュリティはよく似ている。
-
158 インターネットバンキング不正送金に対する国際的な取り組みの効果(JPCERT/CC)
JPCERT/CCは、Avalancheボットネットに関わる国内マルウエア感染端末の現状について、「インシデントレスポンスだより」で発表した。
-
159 過去1年で1割近くの企業がランサムウェア被害を経験--実態調査(IDC Japan)
IDC Japanは、2017年の国内企業の情報セキュリティ対策実態調査結果を発表した。
-
160 PCIDSS要件6.6、コードレビューとWAF導入選択の留意事項
●PCIDSSとは?
-
161 PCI DSS 関連用語集(PCI DSS対策研究所)
2要素認証 ユーザが所有しているもの(例:スマートカード、ハードウェア・トークン)、知っているもの(例:パスワード)、ユーザ自身を示すもの(例:指紋や虹彩など)のうち、2種類を使用した認証を指します。PCI DSSでは、リモートアクセスを行うための認証には2要
-
162 「Apache Tomcat」に通信内容が漏えいする脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に情報漏えいの脆弱性が存在すると「JVN」で発表した。
-
163 進化する古典的手法 標的型メール攻撃、多段的分析でブロックするトレンドマイクロの「DDEI」
最新の標的型メールは、メール攻撃に特徴的な「添付ファイルを用いる」「URLリンクを貼ると」いった手法そのものは変わらないのですが、“中身”が大きく変わってきています。
-
164 Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)
ハクティビスト集団Anonymousのメンバーが、地下に潜行していた幼児虐待サイトを閉鎖し、その会員名簿を暴露したと主張している。
-
165 ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」
佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。
-
166 Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち
マクニカネットワークスの凌 翔太 氏は、ランサムウェアのシミュレーションが可能な「 Shinolocker 」と制御システム向けのマルウェアを模した「 ShinoICS 」を、神戸デジタル・ラボは、WordPress に特化したハニーポット「 OTAKU-BOT 」を紹介した。
-
167 Apache Struts2の脆弱性を利用した不正アクセスで約2.3万人の登録情報が流出(総務省)
総務省は4月13日、政府統計の総合窓口 (e-Stat) の機能の一つである「地図による小地域分析 (jSTAT MAP) 」において第三者からの不正アクセス及び同機能における情報が搾取されたことが判明したと発表した。
-
168 IoT機器を狙う「Mirai」やその亜種の感染を目的とするアクセスが増加(警察庁)
警察庁は、@policeにおいて「『Mirai』ボットの亜種等からの感染活動と見られるアクセスの急増について」を発表した。
-
169 「WordPress」にWebサイトを改ざんされる脆弱性、すでに複数の被害を確認(JPCERT/CC、IPA)
IPAおよびJPCERT/CCは、「WordPress」の脆弱性に関する注意喚起を発表した。
-
170 [Security Days 2016 インタビュー] コンサルティングファームが提供するセキュリティの「全体最適」(KPMGコンサルティング)PR
「KPMGの強みは、全社的なセキュリティ対策を考えるとき、組織の体制づくりから、多岐にわたる課題のどこに経営資源を割り当てるのが効果的か、客観的視点で全体最適を考えることができる点にあります。」
-
171 なぜ中小企業における不正送金被害が続出しているのか 第5回「中小企業から見たUTMの利点」
情報システム管理者が不在であり、かつセキュリティ対策に大企業のような高額な設備投資ができない中小企業では、社内のコンピュータをインターネットの脅威から自動的に守る仕組みが必須だと考えています。そのために有効な手段のひとつは「UTM」を導入することです。
-
172 ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話
2008年10月からTBS系列で放映開始、明日12月20日に最終回を迎えるテレビドラマ「ブラッディ・マンデイ」では、コンピュータハッキングが重要な作品要素として取り上げられています。
-
173 勝手にGoogle Playアプリを購入し、インストールするトロイの木馬を確認(Dr.WEB)
Dr.WEBは、特定の状況下でGoogle Playアプリを購入し、インストールする機能を備えたトロイの木馬型Androidアプリを確認したと発表した。
-
174 DCOMの使用するポート135からコンピュータに侵入される危険性
先日掲載した「Internet Explorer のDCOM脆弱性」であるが、正しくは脆弱性ではないことが判明した。以前よりポート139、445経由で、Windowsは侵入される危険性があることは知られていた。今回明らかとなったのは、ポート135が開いている場合にもIEなどのアプリケーシ
-
175 仮想の企業をネットワーク上に構築、サイバー攻撃を誘引し挙動を観測(NICT)
NICTは、標的型攻撃等のサイバー攻撃対策に効果的なサイバー攻撃誘引基盤「STARDUST」を開発したと発表した。
-
176 国内セキュリティ市場は2,839億円、2021年は2020年までの反動で軟化予測(IDC Japan)
IDC Japanは、国内情報セキュリティ市場予測を発表した。これによると、2016年の国内情報セキュリティ製品市場規模は、前年比5.1%増の2,839億円から、2021年には3,477億円に拡大すると予測している。
-
177 不正アクセスによりアカウント情報約4万件が流出可能性 (法政大学)
法政大学は3月10日、同大学が管理するサーバに存在するアカウント情報が漏えいしたと発表した。
-
178 スマートテレビがランサムウェアに感染する瞬間を目撃! IoTセミナー(トレンドマイクロ)
トレンドマイクロは、「IoT時代のホームネットワークに潜む脅威解説セミナー」を開催した。
-
179 書評「Dark Territory」 (5) 莫大な情報量と単純な真実
私が本書を読んでもっとも驚いたのは、予算をつけても国家のサイバー戦能力の向上と維持には、さほど役にたたないという点だ。
-
180 「WP Job Manager」に画像をアップロードされる脆弱性、被害報告も(JVN)
IPAおよびJPCERT/CCは、Automattic Inc.が提供するWordPress用プラグイン「WP Job Manager」にアクセス制限不備の脆弱性が存在すると「JVN」で発表した。
-
181 「Apache Tomcat」のアップデートを公開、コード実行の脆弱性など修正(JVN)
IPAおよびJPCERT/CCは、「Apache Tomcat」に複数の脆弱性が存在すると「JVN」で発表した。
-
182 マイクロソフトが月例パッチを提供、セキュリティ情報としての公開は終了(IPA)
IPAは、「Microsoft製品の脆弱性対策について(2017年4月)」とする注意喚起を発表した。
-
183 スマートフォンアプリ「mobiGate」に通信を盗聴される脆弱性(JVN)
IPAおよびJPCERT/CCは、日本ユニシスが提供するスマートフォン向けアプリ「mobiGate」にSSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。
-
184 LINEを騙る新手のフィッシングを確認、「リンクの有効期間は48時間」(フィッシング対策協議会)
フィッシング対策協議会は、LINEを騙るフィッシングメールが出回っているとして注意喚起を発表した。
-
185 「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)
IPAは、2016年第2四半期(4月から6月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
-
186 「OODAループ」概念を盛り込んだトータルセキュリティソリューション(日立)
日立は、同社のセキュリティソリューション「Secureplaza」、コンサルティングからセキュリティ施策の適用、運用サービスまでをトータルに提供する「マネージド・セキュリティ・サービス」を追加した。
-
187 Microsoft Windows の OLE オートメーション機能の実装に起因する任意コード実行の脆弱性(Scan Tech Report)
Microsoft Windows の OLE オートメーション機能には、特定の配列オブジェクトの取り扱いに起因して任意のコードが実行可能な脆弱性が存在します。
-
188 貴国に割り当てる IP アドレスは無い ~ 市民のネットを遮断する反民主的政府への懲罰措置案(The Register)
議案によれば「政府が10年間に3回以上インターネットの遮断を行った場合 ‐‐ 上記の組織のすべてのIP資源を取り消し、5年間にわたって割り当てを行わない」という。
-
189 Apache HTTP Server のエラーページに起因する HTTP ヘッダ情報漏えいの脆弱性(Scan Tech Report)
Apache HTTP Server に、HttpOnly 属性が指定された Cookie をエラーページに出力してしまう脆弱性が報告されました。
-
190 2016年の個人情報漏えい、「紛失・置き忘れ」原因が大きく後退(JNSA)
JNSAセキュリティ被害調査WGは、「2016年 情報セキュリティインシデントに関する調査報告書【速報版】」を公開した。
-
191 ここが変だよ日本のセキュリティ 第26回 「最近よく聞くサイバー保険は誰を救う?」
経営者はITに詳しくない、新しい技術に疎い、なんてことを心配している次元では無くなってきた。経営者にそこまで広い知見はあるかというと、さすがに偉くなってきた、勝ち残ってきただけの優秀さは持っている。ただの50代、60代のおっさんとかとは、桁違いに切れる。
-
192 「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD)
講談社は6月22日、女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」のサーバに対して外部からの不正アクセスがあったと発表した。
-
193 「自炊代行業」の男性を逮捕、書籍の転売やデータの使い回しなども判明(ACCS)
ACCSによると、京都府警察本部生活経済課と東山警察署は、書籍を権利者の許諾なくデジタルデータ化し、さらにそれらをDVD-Rに複製し譲渡していた京都市左京区の自営業の男性を、著作権法違反の疑いで逮捕した。
-
194 工藤伸治のセキュリティ事件簿 シーズン5 「ワンタイムアタッカー」 第5回「ダダ漏れ状態」
「まあ、ワンタイムアタッカーは利用しない以外の防御方法がないとまで言われるいやなソフトだからなあ」 工藤はうなずく。
-
195 金融機関向けにカスタマイズされた「Splunk」用Appを顧客及び検討中企業へ無償提供(GSX)
GSXは、データ分析プラットフォーム「Splunk」によりセキュリティ監視強化やセキュリティ運用負荷軽減を可能にする、金融機関向け無償テンプレート「金融機関向け App for Splunk」をリリースしたと発表した。
-
196 侵入した Linux から平文の認証情報を抽出するスクリプト mimipenguin.sh(Scan Tech Report)
Linux 機上にて管理者権限で実行することで、メモリ上から平文の認証情報を抽出することが可能となるスクリプトが公開されています。
-
197 データを破壊するワイパー型マルウェアの新種を発見(カスペルスキー)
カスペルスキーは、Kaspersky Labのグローバル調査分析チーム(GReAT)のセキュリティリサーチャーが、データを破壊するワイパー型マルウェア「StoneDrill」を新たに発見したと発表した。
-
198 1917名の患者の個人情報が記録されたUSBメモリを紛失 (北里大学東病院)
北里大学東病院は1月30日、患者の個人情報が記録されたUSBメモリを紛失したと発表した。
-
199 教育現場における情報漏えい実態とその対策
学校における情報セキュリティ環境向上を支援する団体である教育ネットワーク情報セキュリティ推進委員会(ISEN)は9月1日、「平成22年度 学校・教育機関の個人情報漏えい事故の発生状況・教員の意識に関する調査」を発表した。
-
200 ネットワークセキュリティを強化する専用BOXを設置、対応サポートも提供(NTT東日本)
NTT東日本は、新たなセキュリティサービス「おまかせサイバーみまもり」を6月29日より提供開始すると発表した。
