「ブルートフォース攻撃」関連の最新 ニュース・レビュー・解説 記事 まとめ

徳丸浩氏が8つの試練を基に解説：
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。（2020/1/28）

「過去最悪の水準」　ネットバンク不正送金、急増の理由　破られた“多要素認証の壁”
2019年9月からネットバンキングでの不正送金による被害が急増している。その背景には、多要素認証を迂回する手段が登場したことが挙げられるという。（2019/12/27）

多額の投資を行う前に：
PR：「基本に忠実、が一番強い」　企業を標的とするランサムウェア対策の第一歩は「自社の分析」
カスペルスキーのマルウェアリサーチャー、石丸傑氏によると、2019年に目立ったのは一般企業などを狙う標的型ランサムウェアによる被害だった。重要なのは基本的な予防策を徹底することに尽きると強調した。（2019/12/25）

パスワードリスト攻撃に弱い：
Microsoft、流出済みのパスワードを使用する4400万以上の同社ユーザーを発見
Microsoftは、パスワードを再利用することで被る「パスワードリスト攻撃」について、自社のサービスを利用しているユーザーを対象に調査した。その結果、4400万件ものアカウントがパスワードを再利用していたことが分かった。毎年同社が発表する「Microsoft Security Intelligence Report」を補完する内容だ。（2019/12/11）

米国政府が標準方式として採用
いまさら聞けない「DES」「AES」の違い　より危険な暗号アルゴリズムは？
機密データの暗号アルゴリズムには、「DES」（Data Encryption Standard）と「AES」（Advanced Encryption Standard）のどちらを採用すればよいだろうか。両者の違いを紹介しよう。（2019/12/6）

セキュリティ対策は「バランス」で選ぶ：
PR：使いやすくて安心……身近なのに意外と知られていない「SMS認証」のメリットとは
オンラインで展開する多種多様なサービスを不正アクセスから守る上で「本人認証」は欠かせない。さまざまな認証方法の中から、セキュリティ強度や利便性、導入・運用コストなどを検討して目的に合わせた手段を選ぶ必要がある。（2019/11/21）

2019 Cyber Threatscape Report：
ネットワークに潜入し、直接ランサムウェアを送り込む攻撃が増加　アクセンチュア
アクセンチュアが発表したサイバー攻撃の脅威に関する年次レポートによると、サイバー攻撃者の偽装手口が巧妙化している。ランサムウェアによる攻撃数も増加しており、企業ネットワークのリモートデスクトッププロトコル（RDP）へのアクセス情報も窃取されている。（2019/10/30）

ユーザー名とパスワードを分散化
クラックするのは14万倍難しい、新パスワード暗号化方式
パスワードの流出事故は後を絶たない。だがTide Foundationが発表した暗号化メカニズムを使えば、流出したパスワードが悪用されるのを防げるかもしれない。少なくとも従来のハッシュよりは強力だ。（2019/10/18）

セキュリティインシデントへのプロアクティブな対策：
PR：Office 365 攻撃シミュレーターの使い方――インシデントに強い組織を作る
「Microsoft Office 365」には、さまざまなセキュリティ機能が搭載されています。本稿ではその1つである「Office 365 攻撃シミュレーター」の目的と機能を紹介します。Office 365 攻撃シミュレーターでは、サイバー攻撃のシミュレーションを実行できるので、企業や組織はさまざまなセキュリティ対策や教育を事前に実施し、被害を防ぐことが可能になります。（2019/10/9）

「赤ずきん」オオカミの手口はフィッシング詐欺？　カスペルスキーがサイバー攻撃を童話で解説
「オオカミの雑な変装」＝「フィッシングメールの変な日本語」？（2019/9/28）

脆弱なパスワードの使用を強制する
全Bluetoothデバイスに盗聴や改ざんのリスクをもたらす「KNOB攻撃」とは？
脆弱な暗号鍵をBluetoothデバイスに強制する方法が見つかった。攻撃者が「中間者攻撃」を仕掛け、デバイスから情報を盗み取る恐れがある。（2019/9/24）

IoT家電を使うだけで仮想通貨が稼げる　そんな世の中は夢物語ではないかも
（2019/9/17）

迷惑bot事件簿：
ゲーム世界を崩壊に追い込むチートbot　1日2億件の不正ログインの実態
「迷惑bot事件簿」第9回では、現代のゲーム業界をターゲットにした不正行為が及ぼすさまざまな被害の実態と、botを使って大規模化する不正行為との戦いを取り上げる。（2019/9/3）

セキュリティクラスタ まとめのまとめ 2019年7月版：
「リスト型攻撃が原因」「二段階認証なら安全」は本当か？
2019年7月のセキュリティクラスタは、「7pay」が大きな話題となりました。スタートしてすぐに攻撃され、登録者のカード情報が悪用され、あっという間にサービスは中止。その短い間にたくさんのセキュリティ問題が見つかり、「二段階認証」が流行語となりました。そして、「クロネコメンバーズ」も攻撃を受けて、こちらも中途半端な「二段階認証」が話題となる事態に。（2019/8/20）

「7iD」のセキュリティは大丈夫？　7pay終了会見で残った疑問
不正利用問題の解決に時間がかかるとして、7payのサービス廃止を決定したセブン＆アイ・ホールディングス。ある意味で不正の「舞台」となった「7iD」は、同社グループの戦略的基盤……なのだが、安心して使い続けられるのだろうか。（2019/8/1）

＠ITセキュリティセミナー：
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「＠ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。（2019/7/24）

IoT時代のセキュリティ絶対防衛ライン：
狙われた大量のIoTデバイス　なぜ攻撃される？　有効な対応策は
各業界のIoT関連サービスが抱える問題点、そして有効な対応策とは？　セキュリティの専門機関が情勢を伝えます。（2019/7/16）

架空世界で「認証」を知る：
“スタンド使い”は見分けられる？　「ジョジョの奇妙な冒険」で学ぶ認証の極意
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第18回のテーマは「架空世界の敵味方識別」。（2019/7/8）

PR：IT担当者を疲弊させる「割に合わない」セキュリティ対策――社内の無線LANの“落とし穴”とは？
企業ネットワークでも、今や使えて当たり前の「インフラ」となった無線LAN。安定した通信環境のため、法人向け製品を選択すべきという理解が広がってきたが、それでもセキュリティに不安を抱き、IT管理者に負担を強いるような状況になっていないだろうか。実は、見落としがちな重要な技術「IEEE 802.1X」と「適切な認証方式の選択」にこそ解決の鍵がある。（2019/7/5）

サーバ5万台に仮想通貨採掘マルウェア、安易なパスワードが最大の弱点に
「それほど高い能力を持たない犯罪集団も、今や簡単に高度なツールを利用できるようになった」とセキュリティ企業は指摘する。（2019/5/30）

Computer Weekly日本語版のお知らせ
4Gおよび5Gのネットワークプロトコルに脆弱性
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中！（2019/4/17）

実行のハードルが低い：
「WPA3」に脆弱性、最新のWi-Fiセキュリティプロトコルにもパスワード盗難の恐れあり
Wi-Fiセキュリティプロトコル「WPA3」に複数の脆弱性があり、これらを悪用した攻撃により、無線ネットワークのパスワードが盗まれる恐れがあることが明らかになった。（2019/4/15）

ITの過去から紡ぐIoTセキュリティ：
狙われるIoT機器、どう守る？　「点検ポイント」まとめたチェックシート登場
インターネットとIoTを安全に、適切に利用する際に留意すべきポイントをまとめた2つの文書を紹介。（2019/4/3）

IoTマルウェア「Mirai」の標的が企業にシフト、攻撃の威力さらに増大の恐れ
今回見つかったMiraiの亜種には、新たに法人向けのワイヤレスプレゼンテーションシステムなどの脆弱性を突くコードが組み込まれていた。（2019/3/19）

ThreatXが考える新しい世代のクラウド型WAF：
CI/CDパイプラインを妨げない形でセキュリティを実現すれば、「開発者や運用担当者に嫌われないWAF」は可能か
米国のセキュリティ企業ThreatXでは、シグネチャではなく、サイバーキルチェーンに沿ったプロファイリングとアプリケーションそのものの挙動を学習することによって脅威を検知するWAF製品を提供し、アプリケーション開発者や運用者にも好かれるWAFを目指す。（2019/3/15）

セキュリティはプロセスであって、製品ではない
「AIセキュリティ製品」を万能だと思ってはいけない、これだけの理由
ITリーダーはセキュリティレベルを引き上げる手段として、AI技術に注目している。AI技術はどの程度のセキュリティを提供できるのか。AIセキュリティ製品の利点と、現状の限界について解説する。（2019/3/8）

なぜ、宅ふぁいる便は「暗号化」していなかったのか
「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。（2019/2/22）

「安全なパスワードは難し過ぎて自分さえログインできない」問題、どう対処するのが“正解”なの？
年々、「安全なパスワード」のハードル上がってません？（2019/2/14）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（12）：
なぜ、パスワードを平文で保存するのですか？【追記あり】
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第12列車は「サービス提供側のセキュリティ」です。（2019/2/8）

「PayPayの認知、利用意向はダントツ」　ソフトバンク宮内社長
ソフトバンクの宮内社長が「PayPayの名称認知、サービス理解、利用意向はダントツ」という調査結果を発表。（2018/12/19）

PayPay、クレジットカード情報の入力回数に制限　不正利用の対策で
モバイル決済アプリ「PayPay」で、クレジットカード情報の入力回数に制限。「PayPayで、クレジットカードが不正利用された」という報告が相次いでいた。（2018/12/18）

今さら聞けない「認証」のハナシ：
強力なパスワードを作る法則とは？　意外と知らない「パスワード」のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。（2018/12/14）

架空世界で「認証」を知る：
「新世紀エヴァンゲリオン」の使徒がネルフ本部に仕掛けた“ハッキングの手口”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第5回のテーマは「パスワードハッキング」。（2018/12/7）

IoTセキュリティ：
あなたの機械、安易につなげて大丈夫？　リスクと攻撃手法を知る
トレンドマイクロは2018年11月16日、東京都内でプライベートカンファレンス「Trend Micro DIRECTION」を開催した。同イベントでは、ITネットワークとつながる産業制御システムが抱えるセキュリティリスクと想定される攻撃手段、そして攻撃に対する予防対策を示す講演が複数用意されていた。（2018/11/19）

今さら聞けない「認証」のハナシ：
「認証の回数が多いほど安全」は間違い？　二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。（2018/11/16）

デバイス大量導入時の注意点
AppleのMDM登録サービス「DEP」の認証機能を巡り議論　機能か、欠陥か
Appleが法人向けに提供するモバイル端末導入支援サービスDevice Enrollment Program（DEP）は、注意して利用しなければ組織全体が脅威にさらされる危険がある。とはいえ、このセキュリティ問題には回避策がある。（2018/10/24）

米Google、サービス悪用の手口発見も報奨金の対象に
YouTubeやGmailといった傘下のサービスで、詐欺やスパムの対策を迂回する手口を発見した研究者に対して報奨金を支払う。（2018/8/17）

不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方（前編）
2017年12月に不正アクセスを発表した大阪大学。原因の究明を行い、再発防止に向けて歩み出した同大学は、脆弱性スキャナーの「Tenable.io」を導入した。事件を通じて、彼らが気付いたこととは。（2018/7/17）

Appleは当初から否定
「iPhoneのパスコードハッキング手法を発見」と専門家が主張、実は誤りだった？
パスコードハッキングによって「iPhone」の防御をかわすことができたというセキュリティ研究者の主張を、Appleが退けた。真実はどちらなのか。（2018/7/7）

IoTセキュリティや“脆弱パスワード”問題に対処
無線LANの新プロトコル「WPA3」　「WPA2」との違いは？
「WPA2」の後継となる、無線LANの新たなセキュリティプロトコルが「WPA3」だ。従来のWPA2とは何が違うのか。（2018/6/29）

「GitHub」で2018年2月に一般公開
iOSを起動させる「iBoot」のソースコード流出はなぜ起きた？　セキュリティへの影響を解説
iOSデバイスが搭載する「iBoot」のソースコードが2018年2月、「GitHub」で一般公開された。そのいきさつとiOSのセキュリティに及ぼす影響を解説する。（2018/6/23）

盗難対策や捜査当局によるロック解除にも有効
Apple「iOS 12」、うわさのセキュリティ機能「USB制限モード」とは？
「USB Restricted Mode（USB制限モード）」がAppleのiOS 12でデビューする。この機能では、窃盗犯や捜査当局によるブルートフォース攻撃からユーザーを守る。（2018/6/17）

JoanapとBrambul：
米政府、「北朝鮮のマルウェア」2件の情報を新たに公開
北朝鮮が関与しているとされるリモートアクセスツールの「Joanap」とSMBワームの「Brambul」は、被害者のネットワークに潜伏してセンシティブな情報を盗み出す。（2018/5/31）

パスワードだけではもう限界
モバイルアプリで実装が増える「多要素認証」（MFA）、手間を上回るメリットとは
多要素認証（MFA）を導入すると、パスワードだけに頼らず、階層型のアプローチを用いてアプリのセキュリティを強化できる。アプリにとってMFAが適切かどうかを把握するためには、その長所と短所を比較する必要がある。（2018/1/28）

狙われるパスワード
セキュリティを気にするなら最低限やっておきたい、不正アクセスを撃退する12の予防策
パスワード攻撃、不正アクセスおよび関連する脅威から防御するには予防策が不可欠だ。先を見越して守りを強化する方法について専門家が要点を解説する。（2018/1/16）

「サマーウォーズ」は現実に起こるか　内閣サイバーセキュリティセンターに聞く
インターネット上の仮想空間がサイバー攻撃を受け、現実のインフラや医療機器、人工衛星にまで被害が及ぶ――アニメ映画「サマーウォーズ」のそんなシーンが、もはや架空の話ではなくなるかもしれない。内閣サイバーセキュリティセンターに可能性を聞いた。（2017/12/20）

製造マネジメントニュース：
2017年10セキュリティ事件、1位は多くの工場に被害を与えた「WannaCry」
マカフィーは同社が実施した「2017年のセキュリティ事件に関する意識調査」の調査結果を公表。その中から「2017年の10大セキュリティ事件ランキング」を発表した。（2017/12/12）

Imgur、170万のユーザーアカウント情報が流出
Imgurのユーザーアカウント約170万件の電子メールアドレスとパスワードが2014年に流出していたことが分かった。（2017/11/28）

HelloにDynamic Lock、他には？
Windows 10は安全と言い切れる？　自衛のためのセキュリティ強化策5選
Windows 10は高いセキュリティ機能を備えているというが、それで十分なのか。またユーザー体験向上の目的で自動収集するデータは大丈夫なのか。本稿はそんな課題を持つ企業が“自衛”するための方法を紹介する。（2017/11/10）

セキュリティ・アディッショナルタイム（19）：
転んだ経験が、いつかセキュリティを進める力に
複数のサーバ群からなるサービスサイトをサイバー攻撃からリアルタイムに防ぐ演習「Hardening Project」。高いセキュリティ技術だけでは勝ち残れず、サービス本体の売り上げを高める目的がある。サービスを守る技術を競う同様の取り組みを併せて4つ紹介する。（2017/10/25）