「情報盗難」関連の最新 ニュース・レビュー・解説 記事 まとめ

半径300メートルのIT：
ユーザー側には対策不可能！？　ECサイトを狙う「Eスキミング」の怖さ
巧妙化が続く、サイバー犯罪。2019年は従来の「セキュリティの常識」がことごとく覆される1年でした。今後さらに問題になりそうなのが、カード決済システムの隙を狙う「Eスキミング」。なんと、利用者にできる対策が「ない」というのです。（2020/1/14）

10％が危険なパスワードを利用：
最悪なパスワードは？　SplashDataが2019年版を公開
パスワードセキュリティベンダーのSplashDataは、毎年公開している「最悪なパスワードリスト」の最新版「Worst Passwords of 2019」を公開した。強いパスワードを作る3原則も紹介している。（2019/12/26）

サイバー攻撃のリスクに対処する
「サイバーセキュリティ保険」の3大タイプとは？　選定に失敗しないポイント
サイバーセキュリティ保険は、適切に選択すればリスクの軽減に大きな効果が期待できる。どの保険プランが自社に適しているか見てみよう。（2019/12/11）

ユーザーとIT部門、互いの正義は両立できる
増えるクラウドサービス、衰える記憶力　ID／パスワード管理は万全ですか？
昨今、業務で使うデバイスが多様化したり、クラウドサービスを使ったりすることが当たり前になりつつある。一方IT部門の悩ましい課題としてセキュリティがある。ユーザーの働き方を強制せずに、セキュリティも確保する方法とは。（2019/12/19）

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。（2019/12/9）

「レビュー消してくれたら2倍返金するよ」 Amazonで低評価レビューを書いたらとんでもないメールが来た――　投稿者に経緯を聞いた
返品処理までの対応は誠実なものでしたが、交換品も不良品だったことをレビューに追記したところ、もみ消しを図るメールが来たそうです。（2019/12/3）

半径300メートルのIT：
待望の新サービス、サイバー犯罪者にとっては「新しい標的」か？
米国で始まった「Disney+」が、さっそくサイバー攻撃の標的にされています。もちろん一番悪いのは犯罪者なのですが、「攻撃を防げなかったのは誰だったのか」という視点で見ると……？（2019/11/26）

ITの過去から紡ぐIoTセキュリティ：
ドローンのハッキングに注意　傍受、乗っ取りも　専門家が指摘する手口
「無人飛行機やドローンはDDoS攻撃をはじめとするさまざまな悪用コードのターゲットになり得る。同時に、敵情視察や監視、スパイの手段としても非常に有効だ」──セキュリティの専門家がリスクを指摘。（2019/11/25）

半径300メートルのIT：
「Excelシートでパスワード管理」のデメリット
少し前の連載記事で紹介した「クラウドストレージのセキュアなフォルダに、パスワードのメモを置いて管理しましょう」という記事ですが……実は正直、ちょっと後ろ向きな手法だったのです。（2019/11/12）

Appleのプライバシー情報ページが一新：
Appleは何故、ここまで声高に「プライバシー」保護を叫ぶのか？
日ごろからプライバシーに関する取り組みをアピールしているAppleが、Webページのプライバシーコーナーを一新した。その意図に隠されたものは何なのだろうか。林信行氏が読み解く。（2019/11/7）

量子暗号と（k,n）しきい値秘密分散を利用：
量子暗号でサーバ室へも「顔パス」？　秘匿性の高い認証システムを開発
NICTとNECは高い秘匿性と可用性を持った顔認証システムを共同で開発した。「量子暗号」と「（k,n）しきい値秘密分散」を用いた。実証実験によって技術検証は完了したという。（2019/10/31）

無線LANにも注意が必要
固定電話「VoIP」移行の落とし穴　音声でも注意すべきセキュリティ侵害とは
アナログのPBXをVoIPに切り替える際、通話品質やセキュリティを確保するためには入念な計画が必要だ。具体的な移行の方法や、注意すべき点を解説する。（2019/10/18）

米出前サービスDoorDash、470万人の個人情報流出
米フードデリバリーサービスのDoorDashが、5月に不正アクセスがあり、470万人の顧客、配達員、パートナーの個人情報が盗まれたと発表した。住所氏名、電話番号、メールアドレス、配達員の運転免許証番号などが含まれる。（2019/9/27）

米金融機関クラッキングで1億件超の個人情報窃盗、ロシア国籍の男が罪状認める
8000万件を超える顧客情報が盗まれた金融機関もあり、1社から個人情報が盗まれた事件としては米国史上最大級の規模だった。（2019/9/25）

宮田健の「セキュリティの道も一歩から」（41）：
「脆弱性検索エンジン」が必要な理由は
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、ネットに接続された端末機器がセキュリティ的にどのような状況に置かれているかを考えてみます。（2019/9/24）

SMSを密かに送信し、位置情報を追跡するエクスプロイト「Simjacker」が発見される
SIMカードの脆弱性を悪用し、密かにSMSを送りつけた相手の位置情報を追跡するエクスプロイト「Simjacker」が発見された。AdaptiveMobile Securityは「政府と協力して個人を監視する特定の民間企業が開発したものと確信している」としている。（2019/9/13）

2019年、これまでの10大データ流出【中編】
Citrixも被害　医療や金融も狙われた2019年のデータ流出事件
さまざまな企業が舞台となるデータ流出事件。2019年7月中旬までに発生した事件を振り返る本連載の中編では、Citrix Systemsが被害者となった事件をはじめ、5つのデータ流出事件について説明する。（2019/9/10）

Appleが「iOS 12.1.4」で対処した脆弱性の詳細をGoogleが明らかに　iPhoneへの無差別攻撃に長年悪用されていた
Googleの脆弱性調査プロジェクト「Project Zero」が、Appleが2月の「iOS 12.1.4」で対処した脆弱性について説明した。これらの脆弱性を悪用するエクスプロイトは幾つかのWebサイトに仕込まれ、訪問するiOS 10以降搭載のiPhoneを無差別に攻撃していた。（2019/9/1）

特集・日本を変えるテレワーク：
テレワークを取り巻く国内外の最新事情
（2019/8/27）

MSやIntel、Red Hatなど各社も対応：
CPUの脆弱性「Spectre」に新たな亜種、これまでの対策は通用せず
Spectreは、これまでのSpectreとMeltdownに対して実装された対策を全てかわすことが可能とされ、悪用されればシステムメモリに存在する重要な情報が盗まれる恐れがある。（2019/8/8）

今さら聞けない「認証」のハナシ：
二段階認証の意味を問う　「7pay事件」を教訓に見直したい認証のハナシ
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。（2019/7/29）

無料動画プレーヤー「VLC」に未解決の脆弱性、不正な動画ファイルで悪用の恐れも
「唯一の対策は、パッチがリリースされるまでこのプレーヤーの使用を控えることかもしれない」とESETは勧告している。（2019/7/24）

半径300メートルのIT：
「二段階認証を知らない」を笑えない理由
本連載は「半径300メートル範囲内くらいの、身近なIT」をテーマにしています。連載が始まった頃には「難しすぎる」と言われていた技術も、いまや「知らないなんて！」と言われる常識レベルの知識になっていました。（2019/7/23）

調査対象の8カ国のうち51％が被害に：
「日本は実際の被害は少ないが、危機意識は諸外国より高い」　F-Secure意識調査
F-Secureの個人情報保護に関する意識調査によると、家族の誰かが何らかサイバー犯罪の被害を受けたことがあると回答した割合は51％、自分がサイバー犯罪などの被害に遭うのではないかと感じていると回答した割合は71％だった。（2019/7/11）

世界を読み解くニュース・サロン：
高度化する“監視”の目　「顔認証」が叩かれるワケ
どんどん進歩する「顔認証」技術。犯罪捜査などで役立っている一方、人権侵害や乱用の懸念も広がっている。今、世界でどんな議論が起きているのか。そして、私たちは顔認証技術の拡散をどう捉えていくべきか。（2019/7/11）

British AirwaysにGDPR侵害で約250億円の制裁金　個人情報流出で
英航空大手British Airways（BA）から昨年9月に大量の個人情報が盗まれた件で、英情報保護当局が約250億円の制裁金を検討していると発表。欧州連合（EU）の一般データ保護規則（GDPR）侵害としている。BAは不服申し立てを検討していると発表した。（2019/7/9）

Computer Weekly製品ガイド
境界のないデジタルワークプレースの実現
セキュアなデジタルワークプレースの実現に向けた手順について紹介する。（2019/6/6）

今さら聞けない「認証」のハナシ：
マイナンバーカードはどうやって認証してる？　意外と知らない「所有物認証」のハナシ
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「所有物認証」について。（2019/5/17）

パスワードが盗まれる恐れも――IntelのCPUに重要情報流出につながる新たな脆弱性が発覚
「Meltdown」「Spectre」と同様、現代的な設計のプロセッサに含まれる投機的実行の仕組みが悪用され、パスワードやWebブラウザの閲覧履歴、暗号鍵といった重要な情報が流出する恐れがある。（2019/5/15）

Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表
オープンソースCIツール「Jenkins」の脆弱性を突いて仮想通貨Moneroを採掘しようとするマルウェアが出回っているという。また、Jenkinsのプラグインの多くで脆弱性が放置されている問題も指摘された。（2019/5/9）

FIDO2でパスワードレスが加速する：
PR：利便性と高セキュリティ性を備えたFIDO2対応デバイスとは？
認証に利用するパスワードの扱いがなかなか改善しない。覚えなければならないパスワードは増える一方であり、漏えいリスクも高まっている。この状況を改善できるのが、パスワードを使わず、面倒な操作が不要なFIDO／FIDO2認証だ。カード型やUSB型など用途に応じた製品を選択できる。（2019/4/23）

組込みシステム開発技術展 春：
GHS、RTOSと仮想化技術で安全性を格段に向上
グリーン・ヒルズ・ソフトウェア（GHS：Green Hills Software）は、「第22回 組込みシステム開発技術展 春」で、リアルタイムOSと仮想化技術をベースに、システムの安全性や信頼性を格段に向上させる、いくつかのソリューションを紹介した。（2019/4/16）

「Office 365」の通知装う詐欺メールが横行、送信元偽装の手口が巧妙化
送信元を偽装したフィッシング詐欺の手口は巧妙化が進み、正規のドメインを使ったアドレスから届いたように見せかけてあるため、本物との見分けが付きにくくなっているという。（2019/4/9）

「ベアメタルクラウド」の弱点、セキュリティ企業が指摘　情報盗まれる恐れも
セキュリティ企業の米Eclypsiumによると、クラウド各社が提供する「ベアメタルクラウド」の弱点と、以前から指摘されていたBMCファームウェアの脆弱性を組み合わせれば、DoS攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるという。（2019/2/27）

基本的なセキュリティ施策が重要：
「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘
日本PHPユーザ会が開催した「PHP Conference 2018」でEGセキュアソリューションズの徳丸浩氏は、ECサイトのセキュリティ対策として「クレジットカード情報を保存しない（非保持化）」を推奨する動向に対し、「脆弱（ぜいじゃく）性があれば意味がない」と指摘する。（2019/2/13）

世界を読み解くニュース・サロン：
ファーウェイの“強気”はいつまで続くか　米国が繰り出す「次の一手」
中国・ファーウェイCFOの逮捕、起訴が注目される中、同社製品を巡る米中の攻防はさらに激しくなっている。排除の動きが広がる一方、ファーウェイ側は強気の姿勢を崩さない。熾烈なせめぎ合いは今後、どうなっていくのか。（2019/1/31）

SDNやIoT、エッジコンピューティングよりも
ネットワーク管理者が最も「心を痛める」問題はネットワークセキュリティ
ネットワーク管理者は常に多くの懸念事項を抱えている。調査によるとセキュリティが懸念事項のトップになったという。（2019/1/8）

IoTセキュリティ：
狙われるスマートスピーカー、音声コマンドと同時にバックドアが開く!?
マカフィーはが2019年の脅威動向予測について説明。6つの主な予測を基に、企業データ、家庭用IoT（モノのインターネット）デバイス、ブランドが攻撃対象となり、サイバー犯罪者は主にソーシャルメディア、クラウド、携帯電話を標的に攻撃を仕掛けてくるようになるとしている。（2018/12/12）

仮想通貨流出の次は、AI攻撃か：
2018年のセキュリティ事件認知度1位はコインチェックの「NEM流出事件」、マカフィーが10大事件を発表
マカフィーは、2018年の10大セキュリティ事件と、2019年の脅威動向予測を発表した。10大セキュリティ事件の第1位は被害額が史上最大となった仮想通貨「NEM」の流出事件。脅威動向予測では、AIによる高度な回避技術を用いたサイバー攻撃が展開されると予測した。（2018/12/12）

「危険」を認識していても「対策法」を知らない――ノートン「セキュリティ」意識調査
ノートン（Norton）ブランドで個人向けコンピューターセキュリティ製品を展開するシマンテックが、日本人を対象とするセキュリティ意識調査を実施。セキュリティリスクを認識していても、具体的にそれを低減・排除する“すべ”を知らないユーザーが一定数いることが分かった。（2018/12/7）

AWS S3のうち5.5％が危険な状態：
IaaSやPaaSに月平均2200件以上の設定ミス、マカフィーがクラウドのリスクに警笛
マカフィーが発表したクラウドのリスクに関するレポートによると、IaaSやPaaSで月平均2200件以上の設定ミスが発生し、企業が利用しているAWS S3のうち、5.5％が誰でもアクセス可能な状態になっていることが分かった。（2018/12/6）

セキュリティクラスタ まとめのまとめ 2018年10月版：
まだまだ続くブロッキング議論、なぜ進めたいのか？
2018年10月のセキュリティクラスタは「ブロッキングの議論」「個人サービスを終了したgoogle+」「スマホアプリが個人情報を過剰に取得する問題」に注目が集まりました。（2018/11/12）

British Airways乗客も24万4000人が被害：
香港の航空会社Cathay Pacificで乗客940万人の個人情報流出
乗客940万人あまりのデータを記録したCathay Pacificの情報システムが不正アクセスの被害に遭った。英British Airwaysでは乗客24万4000人の個人情報が盗まれた可能性がある。（2018/10/26）

世界を読み解くニュース・サロン：
「米粒スパイチップ」だけじゃない　中国に“情報を盗まれる”恐怖
米大手企業に対する中国のハッキング疑惑が報じられ、話題になった。しかし、その手口はこれまでも世界中で行われてきたサイバー工作だ。中国があの手この手で実践してきた、ターゲットが気付かないうちに膨大な情報を盗み出す手法とは……（2018/10/18）

内部不正よりも脅威
最新レポートで読み解く企業の「本当の敵」とは　最新レポートの結果を紹介
Ponemon Instituteの調査報告書「2018 Cost of Insider Threats」は、過去12カ月の間に内部関係者による重大な脅威インシデントの被害にあった企業で生じたコストを調べている。（2018/10/2）

ファイル暗号化を自動化せよ：
PR：各種ガイドラインで重要視される「暗号化」を再度学ぶ
各種の情報ガイドラインに従って情報漏えいを防ぎ、そのような体制を維持し続けるには、何らかの「暗号化」を導入することが望ましい。一口に暗号化と言っても、ソリューションごとにさまざまな特徴がある。中でもユーザー組織にとって望ましい特徴は2つあるだろう。一つはユーザーのうっかりミスをカバーできるソリューションであること、もう一つは導入後の運用負荷が低いことだ。（2018/9/25）

進むMFAの実装
生体認証導入で医療機関でもパスワードはなくなる？　そのメリットと課題
医療機関を狙うサイバー脅威は増加している。生体認証はパスワード管理からユーザーを開放する手段だが、セキュリティリスクとソフトウェア要件に関する懸念が伴う。（2018/9/17）

世界を読み解くニュース・サロン：
暴かれた「北朝鮮サイバー工作」の全貌　“偽メール”から始まる脅威
2014年に米国で発生した大規模サイバー攻撃の犯行メンバーとして、北朝鮮ハッカーが訴追。メールやSNSを悪用した犯行の詳細が明らかにされた。北朝鮮という「国家」によるサイバー工作の恐ろしさとは……（2018/9/13）

多要素認証（MFA）や統合エンドポイント管理（UEM）が有効
モバイルデバイスを脅威から守る基本の「き」　ユーザーに伝えることは？
モバイルデバイスへの脅威が増加している。本稿ではIT担当者が抱える問題を再検討し、従業員のモバイルデバイスをサイバー攻撃から保護する戦略のヒントと、セキュリティ技術を紹介する。（2018/8/24）

AWS、Azure、WordPressを安全に運用する
クラウドやサーバレスが浸透、IT運用チームが実践すべきセキュリティ対策は？
企業のセキュリティ対策は、クラウド化やサーバレスプラットフォームの導入に伴い、ファイアウォールといった従来の対策にとどまらなくなった。新しい環境でデータとアプリケーションのセキュリティを確保するには。（2018/8/8）