最新記事一覧
Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。
()
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。
()
三菱電機が「ペネトレーションテスト」のシナリオを自動生成するツール「CATSploit」(キャッツプロイト)を発表した。同様のツールは世界初という。
()
SentinelOneの研究者によると、サイバー攻撃者はWindowsやLinux、ESXiに対する攻撃のためにRustやGoのようなプログラミング言語を使用している。
()
既知の脆弱性をうまく組み合わせれば、SAP製品への攻撃ができると、セキュリティベンダーOnapsisは警鐘を鳴らす。同社が発見した恐ろしい攻撃手法とは何か。
()
Googleが発見した「Downfall」は、2018年に公開した「Spectre」「Meltdown」に続くIntel製CPUの脆弱性だ。Downfallは、何が危険なのか。発見者であるGoogleの研究者が明かす。
()
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。
()
基本的なサイバーセキュリティ対策を怠った結果、情報漏えいやサイバー攻撃の被害に遭うケースが後を絶たない。しかし、セキュリティの「基本」は思っているより難しいようだ。
()
パブリッククラウド利用を進める上で、セキュリティの観点から注意すべきことは何か。AWSのCISO室のディレクターが顧客が“やりがちなミス”を明らかにした。
()
脅威インテリジェンスを有効に活用して防御を構築するためには、まず何から始めればいいのだろうか。組織及びCISOがやるべきことをまとめた。
()
サイバーセキュリティ業界において、攻撃者と防御者のいたちごっこが続く中、防御側が優位に立つためにはどうすればいいのか。
()
ドイツのベルリン工科大学などに所属する研究者らは、テスラ(Tesla)をハッキングし、有料機能をアンロックするなどの攻撃が行える脆弱性を提案した研究報告を発表した。
()
サイバーセキュリティ会社の米IOActiveに所属する研究者らは、カジノのカードシャッフルマシンをハッキングする手法を発表した。
()
イスラエルの脅威情報企業Hudson Rockは、自身のマルウェアに感染したサイバーセキュリティ脅威者「La_Citrix」の正体を特定したと報じた。今後同様の事例の増加する可能性が指摘されている。
()
今回のコラムでは、個人のセキュリティ対策で役立つ買い物を3つピックアップしたいと思います。ぜひ次のプライムデーで購入を検討してみてはいかがでしょうか。
()
Trend Microの研究者らは、5月に開催したセキュリティイベントで「舞台裏:犯罪企業が数百万台のモバイル機器を事前に感染させる方法」という講演を行った。
()
「ProxyLogon」は始まりにすぎなかった。2020年末からMicrosoftの「Exchange Server」に見つかった脆弱性は、ProxyLogonだけではない。
()
ウクライナは活発化するロシアのサイバー攻撃にさらされながらも、抵抗を続けている。その背景には、ウクライナ政府にとっての“準備期間”の存在があるという。どういうことなのか。
()
2022年に公開したMONOist組み込み開発フォーラムの記事をランキング形式で振り返る。1位に輝いたのは、2021年も1位になった半導体不足の記事でしたが、問題解消に向けた光明も見えつつあります。
()
2022年10月27〜28日にCODE BLUE 2022が開催された。本稿は、IBM X-Forceのニール・ワイラー氏による基調講演の様子をレポートする。同氏の講演からは6つの残念なセキュリティ事例と推奨される7つの対策が明らかになった。
()
筆者の今岡通博氏がハッカーの祭典「Black Hat」に投稿した、ハードウェアの改変を中心にしたハッキングの事例を紹介する本連載。第2回は、赤外線リモコンを使ってBadUSBを遠隔操作する「IR-BadUSB」だ。
()
筆者の今岡通博氏がハッカーの祭典「Black Hat」に投稿した、ハードウェアの改変を中心にしたハッキングの事例を紹介する本連載。第1回は、LANケーブルからのスニッフィング(パケット取得)を可能とする「LANケーブルから直接パケットを取得するワイヤタッピングプローブ」だ。
()
「Python」はペネトレーションテスト担当者が学ぶのに適したプログラミング言語だと専門家は主張する。Python以外にも目を向けるべきコンピュータ言語や、学習を継続させるために重要なこととは。
()
「Python 2」と「Python 3」にはさまざまな違いがある。ペネトレーションテストでの「Python」活用を推奨する有識者が、特筆すべき両者の違いを解説する。
()
ペネトレーションテスト担当者にとって、「Python」は優先して習得すべきプログラミング言語だと専門家は推奨する。それはなぜなのか。そもそもPythonは学びやすいのか。
()
「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。
()
クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。
()
ハッキング技術コンテスト「Pwn2Own Austin 2021」では、セキュリティ研究者が名声と賞金を懸け、NASやスマートフォン、ルーター、プリンタなどのデバイスの攻撃に挑戦した。どのような結果になったのか。
()
IIJが「IIJセキュリティ教習所」を開設する。インシデントが発生時の判断、対処能力を備えたセキュリティスペシャリストを育成する。
()
Guardicoreは、Microsoftの「Exchange Server」「Exchange Online」の機能に脆弱性が存在することを報告した。その報告を受けてMicrosoftとGuardicoreの間には、ある“論争”が起こった。何が起きたのか。
()
「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。
()
強いストレスを感じる状況に置かれ、すぐに行動する衝動を抑え切れない「アクションバイアス」。企業はサイバー攻撃を受けたとき、どうすればアクションバイアスを避け、冷静に対処できるのか。
()
企業はサイバー攻撃の発覚後、即座に行動しようとする。ただし迅速に動き過ぎることはかえって適切な対処の妨げになる。どういうことなのか。理解の鍵を握るのが「アクションバイアス」だ。
()
macOSデバイスを攻撃から守るためには、Armアーキテクチャについて学習する必要があるとセキュリティ研究者は言う。それはなぜなのか。macOSマルウェアとArmアーキテクチャの関係を説く。
()
インターネットの「100ns(ナノ秒)の違い」を検出する攻撃も:セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要プレゼンまとめ PortSwigger
PortSwiggerは、セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要なプレゼンテーションをまとめたブログ記事を公開した。
()
アップデートしていない「Microsoft Exchange Server」を運用しているなら注意が必要だ。Exchange Serverの脆弱性に関する新情報が公開されたことでサイバー攻撃者の動きが活発化している。日本にも該当したExchange Serverがあるため、迅速にアップデートしてほしい。
()
米連邦政府のサイバーセキュリティ諮問機関CISAがランサムウェアと戦う新イニシアチブ「Joint Cyber Defense Collaborative」(JCDC)を発表。MicrosoftやGoogleなど、20社以上の民間企業も参加する。
()
インターネットを間接的に「grep」することでWeb脆弱性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」が公開された。
()
東芝とPeraton Labsは、脆弱性評価ツール「Automated Attack Path Planning and Validation」(A2P2V)を開発した。サイバー攻撃シナリオを自動生成して、システムを模擬的に攻撃することでセキュリティ強度を検証する。
()
東芝と米国のPeraton Labsは、発電所や受変電設備、上下水道や交通、工場・ビル施設などで稼働する産業制御システムへのサイバー攻撃に対する脆弱性評価ツール「Automated Attack Path Planning and Validation(A2P2V)」を開発。「Black Hat USA 2021 Arsenal」で発表するとともに、オープンソースソフトウェアとして公開する。
()
インターネットの安全性を支えるTLSに「アルパカ攻撃」と呼ばれるサイバー攻撃の可能性が報告された。研究者らは、安全なはずであっても攻撃を受ける可能性があるWebサイトの割合も推計している。
()
今回は、ソフトウェアコンポジション解析に重点を置く。最初に自動車業界におけるオープンソースソフトウェア(OSS)の課題の背景を説明し、次に実用的な解決策について説明する。
()
master、slave、black、white。こういった言葉がIT用語では多く使われているが、それらを是正しようという動きがある。
()
デジタルの力を駆使し、クラウドとも連携しながら新たな運転体験を提供しようと進化を続ける自動車だが、万が一サイバーセキュリティの脆弱性があれば深刻な問題となる。この課題をハードウェアレベル、半導体レベルから解決すべく、加賀FEIとエフセキュアが手を組んだ。
()
近年、サイバー攻撃対策として注目を集めるスレットインテリジェンス(脅威インテリジェンス)。「有用だと聞いてサービスを契約したが、有効な使い方が分からない」という声を聞くこともある。どう使えばよいのか。
()
リモートワーク時のVPN接続口を狙った攻撃、二重恐喝ランサムウェアによる攻撃など……コロナ禍でサイバー攻撃の様相も変化。リモートワーク環境での対応について解説する。
()
インターネット接続が可能な医療機器は進歩を続けている。普及するほどサイバー攻撃者に狙われるリスクも増す。医療IoTを標的とした侵害事例を振り返り、医療IoTセキュリティの重要性を理解する。
()
「Ripple20」と命名された19件の脆弱性は、Treckが開発したTCP/IPソフトウェアライブラリに存在する。悪用されれば、プリンタから情報が盗まれたり、輸液ポンプの動作が改ざんされたり、産業制御装置に不具合が発生したりする恐れがある。
()
2019年に公開したMONOist組み込み開発フォーラムの記事をランキング形式で振り返る。1位に輝いたのは、3年ぶりの新モデルが発売されたあの製品の解説記事でした。
()