日本ではサイバー相がPCを使えないことが議論になった。しかし、グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。
CrowdStrike 社は、中国の国家安全部職員やセキュリティ研究者、標的企業の関係者など多数の人物が関わった国家ぐるみのハッキングが、中国で開発中の航空機「 COMAC C919 」のために行われていたという実態を報告しました。
2019 年 10 月に、Microsoft Windows において、任意のファイルの操作が可能となる脆弱性が報告されています。
連邦捜査局(FBI)はこれまで、ランサムウェア攻撃を受けた企業が身代金を支払うことに否定的だったが、その断固たる姿勢を少し軟化させている。
利用するツールの数と、SOCの成熟度は比例しない」と語るガートナー バイス プレジデント アナリストのジェレミー・ドゥエン氏が、SOC運営に最適なセキュリティ・アナリティクス・ツールを選定するためのポイントを語った。
ドイツ内務省がこの度明らかにしたところによると、同省は今後、特定の IT サプライヤー(とりわけマイクロソフト)への依存を減らし、「デジタル主権」の強化を目指して行くという。
こんまりメソッドは5つのステップで考えるそうだ。後半は、前半と重複する話も含まれるけど、順を追っていこう。最後には、ラスボスが待っている。
プログラミング言語 PHP に disable_functions による実行制限を回避して、任意の PHP 関数が実行可能となる脆弱性が報告されています。
こんまりメソッドの片付けの手法でセキュリティ対策を片付けて、セキュリティでときめくことはできないか、考えてみたよ。
確率論の議論でも取り上げられる「パスカルの賭け」をサイバーセキュリティに当てはめるとどうなるのだろうか。そんな野心的な講演が「Security Days Spring 2019」の1コマで行われた。
女性テクニカルディレクターが Google を提訴した。同じ地位の男性よりも給与が少なく、当人の方が熟練しているポストに適格性に劣る男性を昇進させた、と主張している。
米国防総省はサプライチェーンに関連した脅威を重く受け止め、ペンタゴンの機密データを扱う請負業者向けに Cybersecurity Maturity Model Certification ( CMMC )を公開しました。複雑でクモの巣のようなサプライチェーンを隅々まで保護することを目的としています。
9 月 11 日、裁判記録保管システムの ITセキュリティ評価を実施するために雇われた 2 人の男が逮捕された。男らは裁判所に物理的に侵入したところを身柄確保されたものだ。
019 年 9 月に、Microsoft Windows において、任意のファイルの全アクセス権限を取得することが可能となる脆弱性が報告されています。
ソーシャルメディアの操作(ソーシャルメディアマニピュレーション)は、すでに現実の問題となっている。「いいね」やフォロワーは簡単に金で買うことができる。購入可能なフォロワーはどのように作られているのだろうか。
広く使用されているGoogleのボット検出システムを迂回する方法を研究者が示したのはこれが初めてではない。ルイジアナ大学のチームはそれを一歩進めた。
2019 年 8 月に、OS 管理ツールである Webmin に、認証を必要とせずに遠隔から任意の命令の実行を強制させることが可能となる脆弱性が報告されています。
専門家のアドバイスやシステム導入は重要だが、依頼側もすべて専門家やベンダーにおまかせというわけにはいかない。事前の知識や最低限の専門スキルがないと、提案の評価もできないし、投資が無駄になる可能性もある。
IT 管理者が、作成から 1 ヵ月未満のあらゆるウェブドメインへのアクセスを禁止すると、マルウェアをはじめとするインターネット上の怪しいコンテンツから効果的にユーザーを守ることができる。
2019 年の Blackhat USA では、中国のテンセント社の技術者が、安価な方法で FaceID を突破する方法を紹介した。
エンタープライズセキュリティ、データ分析、ハードウェア管理ツールなど、データの安全を維持するために利用されるそれらのツールは、顧客が考えるよりはるかに多くの情報を収集、共有している。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)