テレワーク時の注意点も
通信の安全性を確保する手段の一つとして「拠点間VPN」がある。ニーズに合致している場合はセキュリティを向上させる有効な手段になる。一方で導入に当たって注意すべき点もある。
メールを守る主要技術【後編】
メールを安全にやりとりするためには「メール暗号化」の活用が不可欠だ。ただし利用方法によってはセキュリティ上のメリットを享受できない恐れがある。何に気を付ければよいのか。
メールを守る主要技術【前編】
メールで送信する情報を保護する手段が「メール暗号化」だ。具体的にどのようなメール暗号化技術が存在し、どのようなメリットがあるのか。主要技術「PGP」「S/MIME」の基礎を説明する。
「SASE」普及期へ【後編】
「SASE」はセキュリティとネットワークのさまざまな製品機能を集約した、新たな製品分野だ。個別の製品を組み合わせて、SASEと同様の機能を実現することも可能だが、避けるべきだと専門家は語る。それはなぜなのか。
「SASE」普及期へ【中編】
新型コロナウイルス感染症対策として在宅勤務などのテレワークが広がる中、脚光を浴びる製品分野が「SASE」だ。SASEへの関心が高まる背景と、導入の際に注意すべき点を紹介する。
「SASE」普及期へ【前編】
セキュリティとネットワークの運用を簡略化し得る新たな選択肢が、Gartnerの提唱した「SASE」だ。専門家は在宅勤務などのテレワークが企業の間に広がるとともに、SASEの採用も進むとみている。それはなぜか。
タイムアウトの設定や接続場所に注意
VPN接続が途切れる事象のトラブルシューティングでは、問題の切り分けが重要になる。どのようなステップで原因の特定と対策をすればいいのだろうか。
仕組みの違いから考える
「LAN」と「WAN」を安全に利用するためのセキュリティ対策は何が違うのか。それぞれの主要なセキュリティ対策を説明する。
ハードウェアに迫る危険【後編】
2019年11月、Armの技術「TrustZone」をベースにしたQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。その悪用は、どのような脅威をもたらすのか。
ハードウェアに迫る危険【前編】
Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。
保存データを外部に流出させない
Amazon Web Services(AWS)のセキュリティ新機能「AWS Identity and Access Management Access Analyzer」は、ユーザーが保存したデータを“うっかりミス”で漏えいさせる事態を防止するという。その詳細とは。
専門家は“大規模な攻撃の前兆”と予測
2019年11月、脆弱性「BlueKeep」を悪用した初のエクスプロイトが発見された。ベンダーやセキュリティコミュニティーが注意を促す一方で、専門家はさらなる攻撃の拡大を想定する。
2016年から存在
「Firefox」を操作できなくなる脆弱性が、2019年11月に報告された。この脆弱性は過去に修正が試みられたにもかかわらず、これを悪用した攻撃が引き続き発生しているという。それはなぜなのか。
「セキュアコンテナ」で安全性を確保
Microsoftは「Internet Explorer」「Microsoft Edge」向けに提供しているセキュリティ機能「Microsoft Defender Application Guard」と同様の機能を、「Office 365」向けにも提供する計画だ。その詳細とは。
「サイドチャネル攻撃」でデータを盗み出す
Intel製プロセッサにある脆弱性を悪用する「ZombieLoad」の新種が見つかった。発見した研究者グループによると、元々のZombieLoadへのパッチに欠陥があったことも判明したという。
専門家は脆弱性を指摘
Twitterは、二要素認証(2FA)用の電話番号を、ユーザーの許諾なしにターゲティング広告に使用していたことを明らかにした。Facebookでも明らかになった電話番号の広告利用。その影響とは。
公式な詳細情報は不明のまま
「Adobe Creative Cloud」のユーザーとAdobe従業員約750万人分のデータが公開状態となっていたことが分かった。この事件により、本番データをテスト環境で使うことの危険性が浮き彫りになったと専門家は指摘する。
Facebookの不祥事を振り返る【後編】
Facebookで相次いだセキュリティやプライバシーに関する問題に対して、CEOのマーク・ザッカーバーグ氏は改善を約束した。その約束は今でも守られているのだろうか。
Facebookの不祥事を振り返る【前編】
2018年初頭に選挙コンサルティング企業によるデータ不正利用が発覚して以来、Facebookではセキュリティやプライバシーに関する不祥事が相次いでいる。これまでの不祥事を振り返る。
脆弱なパスワードの使用を強制する
脆弱な暗号鍵をBluetoothデバイスに強制する方法が見つかった。攻撃者が「中間者攻撃」を仕掛け、デバイスから情報を盗み取る恐れがある。
「tvOS」「watchOS」のバグ報告にも報奨金
Appleはバグ報奨金プログラムの対象を「macOS」の脆弱(ぜいじゃく)性にも拡大し、同時に報奨金を引き上げる方針だ。脆弱性の種類によっては、報奨金の金額は100万ドルにもなる。
「iMessage」でマルウェアを送り込む
Googleのセキュリティチーム「Project Zero」が、「iOS」の6つの脆弱性に関する情報を公開した。その中には、ユーザーの操作なしで攻撃が実行される脆弱性のPoCコードが含まれる。
被害者はCapital One Financialだけではない?
2019年7月に発生したCapital One Financialの情報流出事件で逮捕された容疑者が、別の組織のデータを盗んだ可能性があることが「Slack」の履歴から発覚した。だが、それを裏付ける証拠は今のところ見つかっていない。
5カ月間にわたる不正アクセスの疑い
Citrix Systemsのシステムが「パスワードスプレー攻撃」を仕掛けられて不正アクセスされた。盗まれたのは一部のビジネスドキュメントのみだったとみられるが、どうすれば防ぐことができたのだろうか。
AIエンジンの判断基準を改ざんする
研究者が「純粋な人工知能(AI)活用型マルウェア対策製品」に、マルウェアを良性と誤認識させる方法を発見した。発見者は今回検証の対象となったCylance製品に限った話ではないと説明する。
過去にもたびたび発生
Amazon Web Services(AWS)のオブジェクトストレージ「Amazon S3」でデータ漏えいが発生した。その中には、Ford MotorやNetflixなどの企業に関するデータが含まれていた。何が起きたのか。
British Airwaysで何が起こっていたのか
British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。
イランのハッカー集団が関与か
米サイバー軍が、「Microsoft Outlook」の脆弱性を悪用した攻撃が頻発していると警告した。専門家からは、イランのハッカー集団がこの攻撃に関与しているとの指摘が出ている。
Rowhammer対策も無効
セキュリティ研究者が発見したRowhammer攻撃の亜種「RAMBleed」は、物理メモリからデータを盗むことが可能だ。従来の対策では被害を防ぐことができない可能性がある。
専門家の意見は真っ二つ
Appleは、ユーザーのプライバシーを重視した独自のシングルサインオンサービス「Sign In with Apple」を準備中だ。このサービスについて専門家の評価は分かれている。
Windowsのリモートデスクトップが狙われる
Windowsの「リモートデスクトップサービス」で「BlueKeep」という脆弱性が発見された。100万台近いエンドポイントが依然として無防備だという報告を受け、Microsoftはパッチの適用を再度呼び掛けた。
データベースサーバの開放ポートから侵入
攻撃者がランサムウェア「GandCrab」の標的を探して、WindowsのMySQLサーバをスキャンしていることをセキュリティ研究者が発見した。対策は比較的簡単にできる。
Windowsリモートデスクトップサービスを狙う脆弱性
複数のセキュリティ研究者が、Windowsのリモートデスクトップサービスの脆弱性「BlueKeep」を突く概念実証(PoC)エクスプロイトを作成した。その中には、リモートからコードを実行するものも含まれていた。
14年間もパスワードを平文で保存していた事案も
Googleは「G Suite」のパスワードを安全でない状態で保存していた2件の事案を公表した。そのうちの1件では、パスワードを暗号化しない状態で14年間も保存していたという。
セキュリティ専門家が語る
2017年に観測されたランサムウェア「WannaCry」は、脆弱なデバイスに拡散し続けていると専門家は説明する。ただし侵入したデバイスのデータは暗号化していないという。それはどういうことなのか。
開発者自らが語る
「MarioNet」というWebブラウザベースの攻撃を研究者が作り出した。HTML5のAPIを悪用したこの手法は、Webブラウザのタブを閉じた後でも攻撃者が標的のシステムを悪用し、botネットを作成できる。
国家レベルの組織が標的に
国家のセキュリティ機関や重要インフラを狙ったドメインネームシステム(DNS)乗っ取り攻撃が、新たなトレンドとして浮上している。専門家に話を聞いた。
多要素認証(MFA)が無意味だった可能性も
Microsoftは、同社のWebメールサービス「Outlook.com」のユーザーのうち、データが侵害された可能性のあるユーザーに警告した。同社への取材や「攻撃者からの声」だという報道を基に、攻撃の実態や被害を探る。
影響と危険度を解説
無線LANのセキュリティ規格「WPA3」に脆弱性が見つかった。「Dragonblood」の名が付いたその脆弱性は、攻撃者が「ダウングレード攻撃」「サイドチャネル攻撃」に悪用する恐れがある。
ユーザー5億人への影響は
WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ。
生体認証普及の道筋が整う
FIDO Allianceは、Android 7以降の全デバイスがFIDO2認定を取得したと発表した。これにより、パスワードの代わりに生体認証を使ってWebサイトやアプリへのログインを実現できるようになる。
パーソナライズ広告の個人データ利用が争点に
Googleは大手企業として初めてGDPRの制裁を受け、罰金5700万ドルが科せられた。今回の制裁の理由とGoogleの今後について詳しく説明する。
ソフトウェアとハードウェアの暗号化の違い
研究者が大手メーカー製SSDの暗号化の実装における脆弱(ぜいじゃく)性を発見した。この脆弱性を突いて簡単に暗号化データを復号できる。さらにMicrosoftの「BitLocker」機能がこの問題に拍車を掛けた。
Android最新バージョンへの更新は進んでいない
Googleは2018年11月に「Androidエコシステムのセキュリティ」透明性レポートを初公開した。このデータから見えることと、公開されなかったデータから推測されることについて解説する。
現状と対策を解説
米連邦捜査局(FBI)のインターネット犯罪報告書によると、2017年の「ビジネスメール詐欺」(BEC)による損失は6億7600万ドル以上に達した。BECの現状と対策のポイントを解説する。
Windows 10のセキュリティ向上に貢献
Microsoftはマルウェア対策機能「Windows Defenderウイルス対策」をサンドボックスで動作できるようにする。「Windows 10」のセキュリティ対策にどのような影響をもたらすのか。
AI技術の宿命か
セキュリティ対策に、機械学習をはじめとするAI技術を生かす動きが広がっている。ただしAI技術は万能ではなく、弱点もあることに注意が必要だ。
シミュレーションを基に学ぶ
人工知能(AI)技術をセキュリティ対策に応用する動きが広がる一方、攻撃者がAI技術を活用する「AIサイバー攻撃」の存在が意識され始めている。
IT業界でキャリアを高める
「RSA Conference 2018」でサイバーセキュリティ専門家の女性たちによるパネルディスカッションが開催された。イベントでは、最適な人材を見つける方法や優れた指導者になる方法について議論が交わされた。
ランサムウェアだけじゃなく、ソーシャル攻撃も広がる
攻撃が確認された中で最も流行している種類のマルウェアが判明した。しかし、着実に増えているその他の脅威についてもレポートは示している。