「情報盗難」関連の最新 ニュース・レビュー・解説 記事 まとめ

記録的な“身代金支払い額”の謎【後編】
「サイバー攻撃開示」の義務化がむしろ“逆効果”なのはなぜ？
大規模なランサムウェア攻撃が相次ぐ中、米国はサイバー攻撃の事後報告に関する規則を施行した。だがこの規則が、企業に身代金支払いを促す原因になるという指摘がある。なぜ逆効果をもたらし得るのか。（2025/3/12）

セキュリティによくある5つの誤解【第4回】
「盗まれるデータはない」と思い込む企業は“あれ”を見落としていないか？
データを盗難や流出から守る対策は全ての組織にとって不可欠だ。しかし残念ながら、自社データのリスクを正しく判断できていない組織がある。その誤解をどう改めればいいのか。（2025/3/12）

実は危ない？　無料の充電ステーション
スマホを充電しただけなのに──マルウェア感染を招く「ジュースジャッキング」とは
公共の場所にある充電ステーションを使うと、スマートフォンがマルウェアに感染する恐れがある。こうした攻撃「ジュースジャッキング」を避ける方法はあるのか。（2025/3/5）

セキュリティニュースアラート：
Google カレンダーを悪用したサイバー攻撃に要注意　その巧妙な手口
Google カレンダーがサイバー犯罪者に標的にされている。フィッシング詐欺が主な攻撃で、偽の招待やWebサイトを通じて個人情報が盗まれる。Googleは対策を強化し、ユーザーも基本的なセキュリティ対策を心掛けることが重要とされている。（2025/2/20）

セキュリティニュースアラート：
2025年に警戒すべきフィッシング攻撃一覧　AIやPhaaSで手口はより高度化
バラクーダネットワークスはフィッシング・アズ・ア・サービス（PhaaS）に関する調査結果を発表した。PhaaSの利用が進むことで、2025年はより高度なフィッシング攻撃が仕掛けられる可能性が高い。警戒すべき攻撃を紹介しよう。（2025/2/17）

脱VPNは必要なのか【前編】
なぜVPNは「もはや時代遅れ」なのか？
VPN（仮想プライベートネットワーク）はセキュリティの観点から、安全なツールとは言い切れない。VPNにはどのようなリスクがあるのか。（2025/1/22）

セキュリティニュースアラート：
iMessageユーザーを狙う新たなフィッシング攻撃に要注意　その巧妙な手口とは？
iMessageを悪用した新たなフィッシング詐欺が急増している。Bleeping Computerによると、不明な送信者からのリンク保護機能を無効化し、返信を促す手口が増加しているという。（2025/1/15）

「Microsoft Copilot」安全利用のこつ
「Copilotの回答精度を向上させたい」が“あだ”になる？　2つの注意点とは
MicrosoftのAIアシスタントツール「Copilot」は業務効率化につながる便利な存在だが、気になるのはデータの安全性確保だ。Copilotのセキュリティ事故を防ぐにはどうすればいいのか。（2025/1/6）

セキュリティの記事ランキング（2024年）
年収2000万円も夢じゃない「有望セキュリティエンジニア」になれる認定資格は？
「セキュリティ」に関するTechTargetジャパンの記事のうち、2024年に新規会員の関心を集めたものは何だったのでしょうか。ランキングで紹介します。（2024/12/30）

DDoS攻撃やランサムウエアなど、国内で激化するサイバー攻撃　国際捜査協力で対抗
日航がサイバー攻撃を受け、混雑する年末の航空機運航に大きな影響が出た。行政機関や民間企業を標的とするサイバー攻撃は近年、頻発している。（2024/12/27）

Cybersecurity Dive：
パナソニック コネクト傘下企業のランサム被害　新興グループが攻撃を主張
パナソニック コネクトの傘下で、サプライチェーンマネジメント（SCM）ソフトウェア大手のBlue Yonderのランサムウェア被害について、新興のランサムウェアグループが攻撃を主張している。彼らが使ったと思わしき手法とは。（2024/12/23）

製造セキュリティの最前線（6）：
「パスワード」はIoT／OT環境でもまだ安全？　強固な防御実現に必要な対策
最も身近なセキュリティ対策手法である「パスワード」。しかし、製造業でIoTとOTシステムの統合が進むなか、果たしてパスワードは十分な安全性を提供し続けてくれるでしょうか。（2024/12/20）

セキュリティニュースアラート：
2024年の脅威トレンド総括　ランサムウェア活動と脆弱性の最新動向
Rapid7は、2024年のサイバー脅威動向を発表した。2024年に最も活発だったランサムウェア活動や、悪用された脆弱性などを明らかにしている。調査の中では企業が実施すべき対策についても公開している。（2024/12/19）

個人情報も無断利用？
AIのためなら「スマホの中身」を盗んでもよい？　MicrosoftとGoogleの言い分
個人のスマートフォンの中身を知らない間に企業が収集、利用している――。この是非を争点に、MicrosoftとGoogleに対する訴訟の準備を進めた法律事務所がある。データの収集や活用に関する企業の言い分を紹介する。（2024/12/4）

生成AI用セキュリティポリシーの作り方【後編】
生成AI時代のセキュリティ対策の鍵を握る「7つの防衛線」とは？
企業において、従業員の生成AIの利用による情報漏えいや権利侵害、生成AIを悪用した攻撃といったセキュリティリスクに備えるには、適切なセキュリティポリシーを設ける必要がある。効果的な防衛策を築く方法は。（2024/11/27）

生成AI用セキュリティポリシーの作り方【前編】
「生成AI」活用で見落としがちな盲点とは？　今すぐ始めるセキュリティ対策
従業員による生成AIの無秩序な利用が、企業の情報漏えいや知的財産権侵害を引き起こす恐れがある。生成AIに関するセキュリティポリシーを確立し、適切な管理体制を構築することは急務だ。どこから手を付けるべきか。（2024/11/21）

Cybersecurity Dive：
SonicWall製品に潜む脆弱性が、ランサムウェア活動のアクセスポイントになっている
Arctic Wolf Labsの研究者によると2024年8月以降、SonicWallのファイアウォール製品は少なくとも30件のランサムウェア攻撃における初期のアクセスポイントになったという。（2024/11/11）

セキュリティニュースアラート：
年末商戦シーズンには攻撃者も活発化？　生成AIを悪用した攻撃に要注意
Impervaは小売業界の年末商戦期に生成AIとLLMを悪用した攻撃が増加していると警告した。オンライン小売業者はbotやDDoS攻撃、API違反、ビジネスロジック悪用などの多様な脅威にさらされている。（2024/11/1）

セキュリティニュースアラート：
フィッシング×QRコードが融合した“クイッシング”は何が危ないのか？
Sophosは新たなフィッシング攻撃手法「クイッシング」について警告を発した。フィッシングとQRコードを組み合わせた新たな攻撃手法とされ、同社の従業員が被害に遭ったことが報告されている。（2024/10/25）

首相官邸の偽サイトを確認、青木官房副長官が注意喚起　現在はアクセスできない状態
青木一彦官房副長官は、首相官邸ホームページの偽サイトを確認したと明らかにした。「国民が誤ってアクセスし、個人情報を盗まれることがないよう、官邸のホームページやSNSで注意喚起を行った」と説明した。（2024/10/23）

生成AIツールは無防備？
Copilotが危ない？　生成AIから「認証情報が盗まれる」手口が明らかに
生成AIツールの普及に伴って新しい脅威として広がりつつあるのが、プロンプトインジェクション攻撃だ。「Copilot」などの生成AIツールのどのような機能や欠点が狙われるのか。（2024/10/17）

ITmedia Security Week 2024 夏：
誰とも代わることのできない“唯我独尊”であるが故に――「セキュリティのアレ」の3人は認証認可をどう見るか
2024年8月28日、アイティメディア主催セミナー「ITmedia Security Week 2024 夏」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「認証認可唯我独尊」と題して講演した。（2024/9/27）

FTC、YouTubeやTikTokによる消費者の「広範囲な監視」を報告
米連邦取引委員会（FTC）は、InstagramやYouTubeなどが、未成年を含む消費者から多くの個人情報を収集し、個人のプライバシーを危険にさらしているとする報告書を公開した。（2024/9/20）

セキュリティニュースアラート：
「無害そうだが、実はニセモノ」　Webで頻出する“あれ”を装った攻撃に注意
新たに発見された攻撃方法で、パスワードやWebブラウザのCookie、暗号通貨ウォレットの詳細情報が盗まれる恐れがある。この攻撃にはWebブラウザを利用する際に避けられない「あれ」が使われているという。（2024/9/19）

ITmedia Security Week 2024 夏：
徳丸氏がクラウド事故から考える、バックアップ、コンテナ、マイクロセグメンテーションを用いた本質的な「レジリエンス」とは
2024年8月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」の「クラウドセキュリティ」ゾーンで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が「クラウド環境の複雑化に伴い見えてきたセキュリティリスクと対策」と題して講演した。（2024/9/19）

宮田健の「セキュリティの道も一歩から」（101）：
製造業だからこそ真剣に考えておきたい「サイバーレジリエンス」の話
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は「サイバーレジリエンス」について取り上げる。高度化／深化するサイバー攻撃を完全に防ぐことは難しく、重要な情報を盗まれないようにすること、システムが停止してもすぐに復旧できることが大切だ。サイバーレジリエンスに役立つ資料を紹介する。（2024/9/18）

漏えいに伴うコスト増で消費者は値上げに苦しむ：
ランサムウェア被害者が法執行機関に頼って平均約100万ドル漏えいコスト削減、身代金を回避した組織は何％？　IBM調査
IBMは、データ漏えいコストに関する調査レポートを発表した。データ漏えいの世界平均コストは488万ドルに到達し、漏えい後に多くの組織で混乱が生じたという。（2024/8/20）

ITmedia Security Week 2024 春：
名和利男氏が83もの“多種多様な”アイデンティティー（ID）不正取得手法を紹介した理由
「ITmedia Security Week 2024 春」の「多要素認証から始めるID管理・統制」ゾーンで、サイバーディフェンス研究所などに所属する名和利男氏が「脅威アクターが関心を急激に高める『標的のアイデンティティー』」と題して講演した。本稿では、アイデンティティー（ID）が狙われる背景、83もの代表的な不正取得手法、取得したIDの用途、現状から得られる教訓などを紹介する。（2024/8/20）

ITmedia Security Week 2024 春：
アニメ「こうしす！」に学ぶ、「セキュリティとAI」の未来を予想しながら今からできるリスク対策とは
2024年5月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 春」で、テレビ放送も行われたアニメ作品「こうしす！　こちら京姫鉄道 広報部システム課」の監督・脚本を務める、京姫鉄道 代表社員CEO 井二かける氏が「AIブームとセキュリティ、アニメ『こうしす！』監督が考える今と未来」と題して講演した。ブームとなっているAIの業務活用にはリスクもあり、仮に全面禁止してもシャドーITのリスクがある。講演で井二氏は「AIに関する数々のリスクとどのように向き合えばよいのか」について、現場の視点と「こうしす！」流の未来予想を交えて解説した。（2024/8/13）

Cybersecurity Dive：
サイバー攻撃の初期アクセス経路の約半数は脆弱な認証情報を狙っている
Google Cloudのレポートによると、2024年の上半期におけるクラウド環境への攻撃の最初のアクセス経路として最も多かったのは、認証情報に対する誤った管理を原因とするものだった。（2024/8/10）

Cybersecurity Dive：
Snowflake、顧客の新規アカウントで多要素認証をデフォルト有効化　既存顧客は導入強制せず
100以上のSnowflakeの顧客環境を標的とした攻撃から3カ月が経過し、同社は既存顧客による多要素認証の導入を容易にする取り組みを進めている。（2024/7/20）

Cybersecurity Dive：
Exchange Onlineのハッキング被害はまだまだ拡大　Microsoftが新たな情報を公開
Microsoftは顧客に対し、2023年夏に発生した「Microsoft Exchange Online」のハッキング被害は、想定していたよりも広範囲に及んでいるとし、新たに対象となった顧客に追加で警告した。（2024/7/16）

Cybersecurity Dive：
Microsoftが“四面楚歌”　政府機関などからインシデント対応について厳しい非難の声
MicrosoftはMicrosoft Exchange Onlineのハッキング被害に関する広範な欠陥を認めるとともに、企業や業界、国が前進するために必要なステップについて説明する予定だ。（2024/6/27）

KADOKAWA夏野社長の“Xアカウント乗っ取られ疑惑”、ニコニコが経緯を説明
ドワンゴが、夏野剛社長のXアカウントからスパムとみられる投稿があった件について、ニコニコの公式Xアカウントで経緯を説明した。「代表取締役のXアカウントが乗っ取られたわけではなく、Xアカウントに連携しているアプリのいずれかよりスパムポストが投稿されてしまったものと思われる」という。（2024/6/25）

Cybersecurity Dive：
Pure Storageは、Snowflakeに関連する攻撃の早期被害者として名乗りを上げた
Pure Storageは「攻撃によって公開された情報が、顧客システムへのアクセスを得るために使用されることはない」と述べている。（2024/6/26）

「当社の情報が漏えいしました」──世間へどう発表すべき？　タイミングは？　セキュリティ専門家に根掘り葉掘り聞いてみた
「自社でインシデントが起きました」「サイバー攻撃を受け情報漏えいが起きました」の適切な発表の仕方とは？　情報を広げる当事者である記者と、インシデント発生時の情報開示に関するコンサルティングを手掛けるセキュリティ企業で話し合った。（2024/6/11）

破られ方は4つ：
パスワードは「123……」でいいの？　管理者が“少しずつ”変えるべきこと
PCやスマホのパスワードは破られる可能性があります。方法はいろいろありますが、どのように対応すればいいのでしょうか。まとめてみました。（2024/5/23）

石野純也のMobile Eye：
楽天モバイルで「身に覚えのないeSIM再発行」の危険性　緩すぎる2つのプロセスは改善すべき
楽天モバイルで、第三者がeSIMを再発行するというトラブルが起きた。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。同社はユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内しているが、これで本当に十分な対応といえるのだろうか。（2024/4/27）

Marketing Dive：
まともな広告主の邪魔をする「悪い広告」にどう対処すべきか
Forresterのレポートによると、今日のデジタル空間には悪質な広告があふれ返り、丹念に考案された広告の効果に悪影響を与えている。（2024/4/2）

ITmedia Security Week 2023 冬：
辻氏、piyokango氏、根岸氏はセキュリティレポートをどの“断面”で切り取るのか
2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、SBテクノロジー 辻伸弘氏、piyokango氏、インターネットイニシアティブ 根岸征史氏が「断面、光を当てて」と題するパネルディスカッションに登壇した。（2024/3/1）

“典型的やられサイト”で学ぶセキュリティのワナ：
対策できてる？　Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。（2024/2/13）

Cybersecurity Dive：
金融機関を狙うサイバー攻撃は連鎖的な被害を生む　その原因とは？
2023年は金融機関を狙う悪質なサイバー攻撃が活動が数多く観測された。そして、この攻撃は複数の金融機関で連鎖する可能性がある。その原因とは。（2024/1/6）

不要なスマホを安全に処分する方法は？　間違えると個人情報流出の恐れも
長年使って古くなってしまったスマホには、個人情報に関わるデータも多く残っていることでしょう。スマホは適切に処分しないと、悪意ある第三者にデータを抜き取られる可能性があります。古いスマホを処分するために必要な「データの消去（初期化）方法」と安全なスマホの処分方法をご紹介します。（2024/1/1）

Appleのサイドローディング問題、独占制限の新法は誰のための法案か
2023年は、AppleやGoogleなどのアプリストアに関する「サイドローディング」問題の動きが継続的に話題に上った。その最新の動向を林信行氏がまとめた。（2023/12/28）

「ID情報をマスクする」「アクセス許可の原則に従う」など：
FinTechでも現実に近いデータでテストしたい――データへのアクセスとセキュリティのバランスを取る方法6選
ソフトウェアテストでは実データの利用が役に立つとしても、実データのセキュリティとプライバシーを侵害しないよう注意しなければならない。本稿では、FinTechのソフトウェアテストを行う場合に中核とすべき6つの方針について説明する。（2023/12/28）

Cybersecurity Dive：
マルウェアを使わなくなった攻撃者たち　代わりに用いられる手法とは？
Huntressの調査によると、中堅・中小企業を標的とするサイバー攻撃者は従来のマルウェアを使った攻撃を実行する傾向は低くなっているという。（2023/12/23）

IAMツール「Okta」を狙った攻撃の詳細
不正アクセスは「Okta」を媒介　ユーザーが報告した“不審な動き”とは
IAMツールベンダーOktaが2023年9月に攻撃を受けた。同社による報告や、影響を受けたユーザー企業の報告から詳細が明らかになった。セキュリティ業界を揺るがしたこの攻撃では何が起きていたのか。（2023/12/19）

Appleが増大する個人情報への脅威を警告　セキュリティに関する最新報告書を公開
Appleから、セキュリティに関する報告書「The Continued Threat to Personal Data：Key Factors Behind the 2023 Increase」が公開された。その内容を林信行氏が読み解いた。（2023/12/8）

この頃、セキュリティ界隈で：
iPhoneの新機能は本当に危険？　連絡先共有できる「NameDrop」巡る誤解がSNSで拡散　そのワケは
iPhoneのユーザー同士で手軽に連絡先情報を共有できるiOS 17の新機能「NameDrop」を巡り、自分の情報が勝手に共有されてしまうかもしれないといった誤解がSNSで広まった。一体なぜこれらの投稿は広まったのか。（2023/12/7）

23andMe、690万人のDNAデータを含む個人情報が盗まれたと認める
米遺伝子検査企業の23andMeは、10月に報告した顧客情報漏えいの規模が、当初発表した1万4000人ではなく690万人だったことを認めた。顧客には2要素認証の採用を求めている。（2023/12/5）