「ブルートフォース攻撃」関連の最新 ニュース・レビュー・解説 記事 まとめ

サーバ5万台に仮想通貨採掘マルウェア、安易なパスワードが最大の弱点に
「それほど高い能力を持たない犯罪集団も、今や簡単に高度なツールを利用できるようになった」とセキュリティ企業は指摘する。（2019/5/30）

Computer Weekly日本語版のお知らせ
4Gおよび5Gのネットワークプロトコルに脆弱性
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中！（2019/4/17）

実行のハードルが低い：
「WPA3」に脆弱性、最新のWi-Fiセキュリティプロトコルにもパスワード盗難の恐れあり
Wi-Fiセキュリティプロトコル「WPA3」に複数の脆弱性があり、これらを悪用した攻撃により、無線ネットワークのパスワードが盗まれる恐れがあることが明らかになった。（2019/4/15）

ITの過去から紡ぐIoTセキュリティ：
狙われるIoT機器、どう守る？　「点検ポイント」まとめたチェックシート登場
インターネットとIoTを安全に、適切に利用する際に留意すべきポイントをまとめた2つの文書を紹介。（2019/4/3）

IoTマルウェア「Mirai」の標的が企業にシフト、攻撃の威力さらに増大の恐れ
今回見つかったMiraiの亜種には、新たに法人向けのワイヤレスプレゼンテーションシステムなどの脆弱性を突くコードが組み込まれていた。（2019/3/19）

ThreatXが考える新しい世代のクラウド型WAF：
CI/CDパイプラインを妨げない形でセキュリティを実現すれば、「開発者や運用担当者に嫌われないWAF」は可能か
米国のセキュリティ企業ThreatXでは、シグネチャではなく、サイバーキルチェーンに沿ったプロファイリングとアプリケーションそのものの挙動を学習することによって脅威を検知するWAF製品を提供し、アプリケーション開発者や運用者にも好かれるWAFを目指す。（2019/3/15）

セキュリティはプロセスであって、製品ではない
「AIセキュリティ製品」を万能だと思ってはいけない、これだけの理由
ITリーダーはセキュリティレベルを引き上げる手段として、AI技術に注目している。AI技術はどの程度のセキュリティを提供できるのか。AIセキュリティ製品の利点と、現状の限界について解説する。（2019/3/8）

なぜ、宅ふぁいる便は「暗号化」していなかったのか
「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。（2019/2/22）

「安全なパスワードは難し過ぎて自分さえログインできない」問題、どう対処するのが“正解”なの？
年々、「安全なパスワード」のハードル上がってません？（2019/2/14）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（12）：
なぜ、パスワードを平文で保存するのですか？【追記あり】
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第12列車は「サービス提供側のセキュリティ」です。（2019/2/8）

「PayPayの認知、利用意向はダントツ」　ソフトバンク宮内社長
ソフトバンクの宮内社長が「PayPayの名称認知、サービス理解、利用意向はダントツ」という調査結果を発表。（2018/12/19）

PayPay、クレジットカード情報の入力回数に制限　不正利用の対策で
モバイル決済アプリ「PayPay」で、クレジットカード情報の入力回数に制限。「PayPayで、クレジットカードが不正利用された」という報告が相次いでいた。（2018/12/18）

今さら聞けない「認証」のハナシ：
強力なパスワードを作る法則とは？　意外と知らない「パスワード」のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。（2018/12/14）

架空世界で「認証」を知る：
「新世紀エヴァンゲリオン」の使徒がネルフ本部に仕掛けた“ハッキングの手口”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第5回のテーマは「パスワードハッキング」。（2018/12/7）

IoTセキュリティ：
あなたの機械、安易につなげて大丈夫？　リスクと攻撃手法を知る
トレンドマイクロは2018年11月16日、東京都内でプライベートカンファレンス「Trend Micro DIRECTION」を開催した。同イベントでは、ITネットワークとつながる産業制御システムが抱えるセキュリティリスクと想定される攻撃手段、そして攻撃に対する予防対策を示す講演が複数用意されていた。（2018/11/19）

今さら聞けない「認証」のハナシ：
「認証の回数が多いほど安全」は間違い？　二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。（2018/11/16）

デバイス大量導入時の注意点
AppleのMDM登録サービス「DEP」の認証機能を巡り議論　機能か、欠陥か
Appleが法人向けに提供するモバイル端末導入支援サービスDevice Enrollment Program（DEP）は、注意して利用しなければ組織全体が脅威にさらされる危険がある。とはいえ、このセキュリティ問題には回避策がある。（2018/10/24）

それでもパスワードは滅びぬ
弊害だらけの「複雑なパスワード」と時代遅れの「定期変更」からの解放
パスワード認証がなくなることは当分ないだろう。このパスワードとうまく付き合うには、覚えにくいパスワードや定期的な変更の強制という時代遅れな運用をやめ、多層防御に移行する必要がある。（2018/8/29）

米Google、サービス悪用の手口発見も報奨金の対象に
YouTubeやGmailといった傘下のサービスで、詐欺やスパムの対策を迂回する手口を発見した研究者に対して報奨金を支払う。（2018/8/17）

不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方（前編）
2017年12月に不正アクセスを発表した大阪大学。原因の究明を行い、再発防止に向けて歩み出した同大学は、脆弱性スキャナーの「Tenable.io」を導入した。事件を通じて、彼らが気付いたこととは。（2018/7/17）

Appleは当初から否定
「iPhoneのパスコードハッキング手法を発見」と専門家が主張、実は誤りだった？
パスコードハッキングによって「iPhone」の防御をかわすことができたというセキュリティ研究者の主張を、Appleが退けた。真実はどちらなのか。（2018/7/7）

IoTセキュリティや“脆弱パスワード”問題に対処
無線LANの新プロトコル「WPA3」　「WPA2」との違いは？
「WPA2」の後継となる、無線LANの新たなセキュリティプロトコルが「WPA3」だ。従来のWPA2とは何が違うのか。（2018/6/29）

「GitHub」で2018年2月に一般公開
iOSを起動させる「iBoot」のソースコード流出はなぜ起きた？　セキュリティへの影響を解説
iOSデバイスが搭載する「iBoot」のソースコードが2018年2月、「GitHub」で一般公開された。そのいきさつとiOSのセキュリティに及ぼす影響を解説する。（2018/6/23）

盗難対策や捜査当局によるロック解除にも有効
Apple「iOS 12」、うわさのセキュリティ機能「USB制限モード」とは？
「USB Restricted Mode（USB制限モード）」がAppleのiOS 12でデビューする。この機能では、窃盗犯や捜査当局によるブルートフォース攻撃からユーザーを守る。（2018/6/17）

JoanapとBrambul：
米政府、「北朝鮮のマルウェア」2件の情報を新たに公開
北朝鮮が関与しているとされるリモートアクセスツールの「Joanap」とSMBワームの「Brambul」は、被害者のネットワークに潜伏してセンシティブな情報を盗み出す。（2018/5/31）

パスワードだけではもう限界
モバイルアプリで実装が増える「多要素認証」（MFA）、手間を上回るメリットとは
多要素認証（MFA）を導入すると、パスワードだけに頼らず、階層型のアプローチを用いてアプリのセキュリティを強化できる。アプリにとってMFAが適切かどうかを把握するためには、その長所と短所を比較する必要がある。（2018/1/28）

狙われるパスワード
セキュリティを気にするなら最低限やっておきたい、不正アクセスを撃退する12の予防策
パスワード攻撃、不正アクセスおよび関連する脅威から防御するには予防策が不可欠だ。先を見越して守りを強化する方法について専門家が要点を解説する。（2018/1/16）

「サマーウォーズ」は現実に起こるか　内閣サイバーセキュリティセンターに聞く
インターネット上の仮想空間がサイバー攻撃を受け、現実のインフラや医療機器、人工衛星にまで被害が及ぶ――アニメ映画「サマーウォーズ」のそんなシーンが、もはや架空の話ではなくなるかもしれない。内閣サイバーセキュリティセンターに可能性を聞いた。（2017/12/20）

製造マネジメントニュース：
2017年10セキュリティ事件、1位は多くの工場に被害を与えた「WannaCry」
マカフィーは同社が実施した「2017年のセキュリティ事件に関する意識調査」の調査結果を公表。その中から「2017年の10大セキュリティ事件ランキング」を発表した。（2017/12/12）

Imgur、170万のユーザーアカウント情報が流出
Imgurのユーザーアカウント約170万件の電子メールアドレスとパスワードが2014年に流出していたことが分かった。（2017/11/28）

HelloにDynamic Lock、他には？
Windows 10は安全と言い切れる？　自衛のためのセキュリティ強化策5選
Windows 10は高いセキュリティ機能を備えているというが、それで十分なのか。またユーザー体験向上の目的で自動収集するデータは大丈夫なのか。本稿はそんな課題を持つ企業が“自衛”するための方法を紹介する。（2017/11/10）

セキュリティ・アディッショナルタイム（19）：
転んだ経験が、いつかセキュリティを進める力に
複数のサーバ群からなるサービスサイトをサイバー攻撃からリアルタイムに防ぐ演習「Hardening Project」。高いセキュリティ技術だけでは勝ち残れず、サービス本体の売り上げを高める目的がある。サービスを守る技術を競う同様の取り組みを併せて4つ紹介する。（2017/10/25）

企業ユーザーに贈るWindows 10への乗り換え案内（9）：
ID保護の強化に役立つクラウド向け／オンプレミス向けソリューション
前回は、Windows Helloの認証を中心に、Windows 10が備える企業向けのID保護機能について説明しました。今回は、企業が導入できる追加的なID保護強化ソリューションを幾つか紹介します。クラウドのAzure AD向けと、オンプレミスのActive Directory向けにソリューションが提供されています。（2017/10/16）

セキュリティ業界、1440度（20）：
20年以上前のネットワーク規格が自動車や人命をセキュリティリスクにさらす
「クルマ×セキュリティ・マップ開発の先端」セミナーと、2017年で4回目の開催となる「escar Asia」において興味深かったセッションをピックアップして紹介します。（2017/10/17）

仮想化ベースセキュリティ機能を紹介
Windows 10の知ると驚く技術、仮想化ベースのセキュリティ機能「デバイスガード」
Microsoftは「Windows 10」搭載マシンから企業情報が流出する事態を防止するため、「デバイスガード」「資格情報ガード」といった仮想化ベースのセキュリティ機能を強調している。どのような機能なのか。（2017/10/13）

木更津高専の学生らがCyberbit Rangeにチャレンジ：
セキュリティに関する知識とスキルに「心得」を演習でプラス
2017年5月に開催された「第12回情報危機管理コンテスト」で、見事に経済産業大臣賞を獲得した木更津高専チーム。今度はNiサイバーセキュリティが提供するサイバー攻撃対応トレーニングシステム「Cyberbit Range」を用いた「サイバー攻撃シミュレーション特別実践演習」に挑戦。その模様をお届けする。（2017/10/16）

ブルートフォース攻撃の餌食に
短縮URLはなぜ「使ってはいけない」といわれるのか？　セキュリティ面から考える
短縮URLは長いURLと比べて安全性が低く、攻撃者にマルウェア拡散の足掛かりを与えかねないという見方がある。それはなぜなのか。（2017/10/2）

「量子コンピュータは仮想通貨の脅威になる」──野口悠紀雄氏
9月27日に開催されたRakuten FinTech Conference 2017の「ブロックチェーンの進化とDigital通貨」で、「量子コンピュータは仮想通貨の脅威になる」と一橋大学の野口悠紀雄名誉教授。その理由は。（2017/9/28）

テクノブレーン AIセミナーレポート：
人間を超えるセンシング能力をクルマに！　デンソーが取り組むAIプロジェクト
安心、安全なクルマ社会の実現を目指し、人工知能（AI）を活用した高度運転支援システム（ADAS）／自動運転の研究開発に取り組むデンソー。その動きを加速させる同社の「AI R&Dプロジェクト」の取り組みについて、デンソー 技術企画部 担当部長／デンソーアイティーラボラトリ CTOの岩崎弘利氏が紹介した。（2017/7/21）

セキュリティ・アディッショナルタイム（17）：
情報危機管理コンテストで考える――人材は育てるもの？ それとも育つもの？
さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱（ぜいじゃく）性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた。（2017/6/21）

とにかく速いWordPress（18）：
「これだけ」はやっておこう──WordPressのセキュリティ対策、基礎中の基礎
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回から2回にわたって、WordPress管理者向けセキュリティ対策の基礎とその方法を解説します。（2017/5/24）

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる
DoS攻撃ってドスドス攻撃することではないそうです。（2017/4/28）

車載ネットワーク最新技術動向：
PR：世界中で利用される「MOST」と、CANで高度なセキュリティを実現する新技術
本稿では、2つの車載ネットワーク技術に関する最新動向を紹介する。1つは、世界中で利用が広がっている高帯域車載マルチメディアネットワークの業界標準である「MOST」の最新動向だ。もう1つは、自動車の新たな課題であるセキュリティの脅威に対抗するための最新技術動向を紹介する。（2017/4/3）

当時の“嫁”が思い出せない：
パスワードに疲れたら、考えるべきこと
破られにくくて覚えやすい、複数のパスワードを管理するには、どうすればいいだろう。それも頭の中だけで。（2017/3/31）

超入門BitLocker：
最終回　BitLockerよくある質問集
BitLockerで気になる幾つかの疑問点などについて、Q＆A形式でまとめておく。回復キーのバックアップ方法や独自のキーの作り方、互換性などについて取り上げる。（2017/3/6）

超入門BitLocker：
BitLockerとは
BitLockerの概要を知るための超入門連載（全5回）。今回は、BitLockerとは何か？ どんな種類があるのか？ 他の機能との違いは？ 仕組みは？ 使える環境は？ といった概要を説明する。（2017/2/28）

「iOS 10.1」と「iOS 10.2」では修正済み
一体なぜ？　数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
2016年、「iOS 10」のパスワード照合システムに不備があり、ハッカーがローカルバックアップを容易に解読できてしまうという問題が発覚した。どうすればこの問題は防げたのだろうか。（2017/2/23）

安易なパスワードの2016年版ランキング発表、ユーザー啓発はもう限界？
安易なパスワードの筆頭格「123456」は約17％ものユーザーが使っていたほか、「123456789」「qwerty」などのパスワードが依然として上位を独占している。（2017/1/17）

パスワードのみの認証と決別
Windows 10の“脱パスワード”が本格化、「Windows Hello for Business」とは？
Microsoftは「Windows Hello」と「Microsoft Passport」を組み合わせて「Windows Hello for Business」を創設し、2段階認証やシングルサインオンに対応した。（2017/1/12）

「Mirai」への予防策トップ5も掲示：
「2017年のオンライン不正／サイバー犯罪」予報、RSAが公開
RSAが「Quarterly AFCC NEWS」の2016年第4四半期版を公開。DDoSボット「Mirai」の詳細や、2017年に予想されるグローバルオンライン不正／犯罪の予測を取り上げた。（2016/12/13）