ITmedia総合  >  キーワード一覧  > 

  • 関連の記事

「ソーシャルエンジニアリング」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークシステムへの不正侵入を達成するために、必要なIDやパスワードを、物理的手段によって獲得する行為を指す。代表的な例として、侵入した企業・組織の従業員になりすましてパスワードを聞き出したり、盗み聞きしたりする行為が挙げられる。ほかにも廃棄された紙ゴミから企業・組織に関する重要情報を読み取るなどの行為もあり、これもソーシャルエンジニアリングの一種である。電話に出た子どもに対して、両親に関する個人情報を聞き出すことも立派なソーシャルエンジニアリングであり、最近よく見られる事例である。
ソーシャルエンジニアリング − @ITセキュリティ用語事典

医療機関を狙うランサムウェアの脅威と対策【前編】
病院がコロナ対策の次に「ランサムウェア」対策を真剣に考えるべき理由
米国連邦政府の各機関は、今後ランサムウェア攻撃が急増する懸念があると、医療機関のCIOに警鐘を鳴らしている。サイバーセキュリティ専門家が予想する脅威とは。(2020/12/28)

Emotet感染狙ったメールが再び活発に 感染時の影響範囲と対策は
2カ月ほど静かだったマルウェア「Emotet」の感染を狙ったメールが再び観測されるようになった。クリスマスや年末年始といった休暇のタイミングを狙って活動を再開した可能性が指摘されている。(2020/12/24)

「レッドチーム演習」入門【後編】
ブルーチーム、パープルチームの基本的な違いとは? レッドチームとの関係は
模擬的な攻撃を通じてセキュリティを強化する「レッドチーム演習」には「レッドチーム」以外のチームも存在する。それが「ブルーチーム」「パープルチーム」だ。それぞれどのような役割を持つのか。(2020/12/17)

「レッドチーム演習」入門【前編】
いまさら聞けない「レッドチーム演習」の基礎 そもそもレッドチームとは?
「レッドチーム演習」は、企業がサイバー攻撃のシミュレーションを通じて自社の防御強化につなげるセキュリティ対策だ。演習ではどのようなことをするのか。そもそもレッドチームとは何なのか。(2020/12/11)

米国COVID-19ワクチン開発プロジェクトがサイバー攻撃を受ける IBM X-Forceが警告
COVID-19ワクチン開発プロジェクトを利用したサイバー攻撃が確認された。当局は関連企業に情報確認と対策を呼びかけている。(2020/12/5)

「怖い」だけでは対処できない新しい潮流:
徳丸氏と振り返る「結局テレワークで何が危なかったのか」インシデントの真因、これからの前提
突然やってきた「強制テレワーク」でセキュリティはどう変わったか。Zoomの安全性はどのくらい「まとも」なのか。テレワークの現状と実際に起こった日本国内でのインデントから何を学べばよいか。セキュリティの専門家、徳丸 浩氏の講演かから、これからのセキュリティの「前提」をアップデートしよう。(2020/10/15)

ランサムウェアの脅威が変化:
Microsoft、サイバーセキュリティ年次レポート「Digital Defense Report」を公開
サイバーセキュリティ動向に関するMicrosoftの年次レポート「Digital Defense Report」は、攻撃者がこの1年間に手口を急速に巧妙化させているために、攻撃の検知が困難になったこと、セキュリティに詳しい人をも脅かしていることを明らかにした。最も基本的な対策の一つが多要素認証(MFA)だという。(2020/10/12)

サイバーセキュリティマネジメント海外放浪記:
タイのセキュリティコミュニティーリーダーが語る、一人ではなく皆で学ぶ本当の意義
攻撃者は攻撃者同士で情報を共有し協力し合っているが、なぜ守る側は協力し合わないのだろうか? 攻撃者の情報を早く知ることができれば、素早く私たちの情報やインフラを守ることができるだろう。(2020/10/7)

IT基礎英語:
メールで獲物を釣り上げるphishing詐欺、大物狙いの“捕鯨”も
大物狙いのwhalingという新用語もあるそうで。(2020/8/31)

IT基礎英語:
Twitterも標的に 狙いすました“targeted attack”
Twitterの著名人アカウントが乗っ取られた件は、標的型攻撃だったと言われている。今回はそのtargeted attackについて。(2020/7/27)

Twitterの大量アカウント乗っ取り続報 「攻撃者は36アカウントのDM受信箱にアクセス」
Twitterのビル・ゲイツ氏などの著名人アカウントからビットコイン詐欺のツイートが投稿された件の調査経過報告として、攻撃者が36のアカウントのDM受信ボックスにアクセスしたとTwitterが発表した。(2020/7/23)

Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人、「Twitterデータ」をダウンロードされたのは8人──公式発表
ビル・ゲイツ氏やバラク・オバマ氏など、著名人のTwitterアカウントがほぼ同時にビットコイン詐欺ツイートを投稿した事件について、Twitterが調査経過を公式ブログで報告した。詐欺ツイートをさせられたアカウントは45件で、最大8アカウントから「Twitterデータ」がダウンロードされた。(2020/7/18)

Twitterの有名人アカウント乗っ取り 社内の特権アカウントを悪用か
Twitterは、企業や有名人のアカウント乗っ取りについて、従業員が絡む「組織的なソーシャルエンジニアリング攻撃」だったとの見方を示している。(2020/7/17)

Twitterの大規模アカウントハッキング、FBIが捜査開始
Apple公式やビル・ゲイツ氏など、多数の認証済みアカウントが乗っ取られ、ビットコイン詐欺ツイートを投稿した問題について、FBIが捜査に乗り出したとReutersが報じた。Twitterは24時間体制で調査中として経過をツイートで報告している。(2020/7/17)

Twitterのセレブアカウントハック、「高権限従業員標的のソーシャルエンジニアリング攻撃」の可能性
Appleやイーロン・マスク氏など著名人(団体)のTwitterアカウントがいっせいに暗号通貨詐欺ツイートをした問題の原因を調査しているTwitterが、経過報告の中で、高い権限を持つ従業員へのソーシャルエンジニアリング攻撃らしきものを検出したと発表した。(2020/7/16)

海外で著名人のTwitterアカウントに乗っ取り被害 一時はツイート投稿機能にも不具合
調査中のようです。【更新】(2020/7/16)

脆弱性対策・管理入門(4):
現在のセキュリティ脅威に合っていない「脆弱性対策は公開サーバだけ」という実情
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策は公開サーバだけでよいのかどうかについて。(2020/6/16)

破られた二要素認証【前編】
もはや安全ではない二要素認証(2FA)と生体認証
パスワード認証を補完、強化、代替するものとして広まった二要素認証と生体認証。だが、今やそうした認証の回避策も現れ安全とは言えなくなった。(2020/6/15)

Gartner Insights Pickup(161):
COVID-19を機に、重点的に取り組むべき7つのセキュリティ課題
企業は新型コロナウイルスのパンデミック(世界的大流行)への迅速な対応を図っているが、その一方で依然としてセキュリティ侵害にもさらされている。セキュリティおよびリスク管理チームは警戒を継続し、戦略的な取り組みを推進する必要がある。(2020/6/5)

Computer Weekly日本語版
二要素認証(2FA)も生体認証も安全ではない
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!(2020/6/3)

よくわかる人工知能の基礎知識:
AIの攻撃をAIで防御、サイバーセキュリティの“いたちごっこ”最新事情
AI技術の進化によって、サイバー攻撃やそのセキュリティ対策も高度化が進んでいる。AIを悪用した攻撃や、その対応策にはどのようなものがあるのか現状をまとめた。(2020/5/22)

規制緩和でリスクが増大
新型コロナ禍で医療従事者の自宅PCがサイバー攻撃の標的に 対策は?
新型コロナウイルスの感染拡大を受け、米国の医療機関は医療従事者の在宅勤務体制を整えつつある。一方で医療従事者の自宅用PCが攻撃された場合、医療システムへの侵入口となる恐れがある。どう対処すべきか。(2020/5/4)

高度な手口で企業幹部をだますフィッシング詐欺、日本を含む150社以上で被害
詐欺メールは連絡先に登録されている取引先などから届く。攻撃者は幹部社員の氏名、電子メールアドレス、社名の入ったPDFファイルを作成し、その幹部が連絡を取っていた相手を狙ってフィッシング詐欺攻撃を仕掛けていた。(2020/5/1)

国内の防衛技術への不正アクセスを狙うサイバー攻撃も:
経済産業省が「コロナ便乗犯罪」を警告 不安に漬け込む詐欺やテレワークを狙った攻撃など
新型コロナウイルス感染症の拡大に伴う社会の混乱に便乗した犯罪が世界各国で増加している。経済産業省は国内企業に対し「産業界へのメッセージ」として注意喚起し、取り組むべき対策を提唱した。(2020/4/20)

自宅LANのセキュリティを確保する6大対策【後編】
在宅勤務を危険にする「知識不足」「モバイル」「不審ソフト」への対処法は?
インターネットに家庭内LANを介して接続する際、何に注意を払うべきだろうか。データプライバシーを保護するための対策を3つの観点に基づいて解説する。(2020/4/18)

明らかに企業の内部事情を知る犯行も:
「企業による検知は非常に困難」 国内で複雑化するビジネスメール詐欺、その実態は
JPCERTコーディネーションセンター(JPCERT/CC)は国内のビジネスメール詐欺(BEC)に関する初の実態調査報告書をまとめた。億単位の被害を出したこともあるBECだが、今さらに複雑化するその実態と、企業に要求される対策とは。(2020/4/16)

「Microsoft Teams」「GitHub」「Google Nest」などの事例を分析:
2020年2月に発生した大手Webサイトの大規模障害について解説、Uptime.com
Uptime.comは、企業Webサイトなどで2020年2月に発生した大規模なサービス停止事例をまとめたレポート「February 2020 Downtime Report」を発表した。「Microsoft Teams」「GitHub」「Google Nest」などの事例を扱っている。(2020/4/2)

ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
ZoomのMac版のインストールプロセスが、Appleのセキュリティを回避する一般にマルウェアで使われる動作になっているとセキュリティ専門家が指摘。ZoomのCEOはWeb会議参加までのステップを簡単にするためだったが改善すると表明した。(2020/4/2)

2019年の事件から考えるセキュリティ対策【後編】
「キャッシュレス」「5G」「AI」のセキュリティリスクとは? 対策を整理
「キャッシュレス決済」「5G」「AI技術」といったさまざまな技術が国内で普及する裏側で、それらを狙ったり悪用したりするサイバー攻撃が登場している。どのような脅威があるのか。どう立ち向かえばよいのか。(2020/4/2)

上手なパスワードの使い方【前編】
パスワード認証はなぜ危険なのか? 注意すべき攻撃手段とユーザーの行動
主要な認証手段として広く利用されているにもかかわらず、パスワードはセキュリティインシデントの元凶となる存在だ。どのような攻撃やエンドユーザーの行動がセキュリティを脅かすのか。(2020/3/21)

2020年の新たな脅威【前編】
「メール」はなぜ危険なのか? 取るべきセキュリティ対策は?
2019年のセキュリティ調査によれば、メールに起因する攻撃が企業を脅かしているという。なぜメールが狙われ、どのような危険があるのか。取るべき対策とともに掘り下げる。(2020/3/13)

大切なのは「持続可能」であること――4年目を迎えたNECレノボグループの「テレワーク・デイ」
NECレノボ・ジャパングループ(レノボ・ジャパン、NECパーソナルコンピュータなど)が「テレワーク・デイ」を始めてから約4年が経過した。働き方改革に加え、新型コロナウイルスの登場によって「テレワーク」への注目はより高まっているが、制度を導入するだけではテレワークは定着しない。どのような取り組みが必要なのだろうか。(2020/3/12)

セキュリティ・アディッショナルタイム(40):
2020年、サーバ証明書はどう変わる? DigiCert担当者に聞いてみた
DigiCertが2020年1月に年次カンファレンス「DigiCert 2020 Security Summit」を開催。DigiCert、そしてWebブラウザのベンダーや電子証明書発行サービスを提供する事業者からなる業界団体であるCA/Browser Forumの取り組みを聞いた。(2020/3/5)

2019年の事件から考えるセキュリティ対策【前編】
「クラウドの設定ミスで情報漏えい」はなぜ起こるのか? 取るべき対策は
2019年に「クラウドの設定ミス」が原因で大手企業の情報が漏えいしたことを受け、複数のセキュリティベンダーがそうした人為的な設定ミスへの注意を呼び掛けている。ミスが生じる理由とは。対策は。(2020/3/31)

セキュリティ意識向上トレーニングで、標的型攻撃から組織を守る“ヒューマンファイアウォール”を構築する
フィッシングメールといった標的型攻撃から身を守るためには、従業員それぞれのセキュリティ意識が重要となる。従業員自身がセキュリティ防御壁となるために、どうすればいいのだろうか。(2020/2/28)

徳丸浩氏が8つの試練を基に解説:
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。(2020/1/28)

2016年から存在
「Firefox」が操作不能になる脆弱性 ダイアログが“無限”に出現
「Firefox」を操作できなくなる脆弱性が、2019年11月に報告された。この脆弱性は過去に修正が試みられたにもかかわらず、これを悪用した攻撃が引き続き発生しているという。それはなぜなのか。(2019/12/28)

「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”
2019年9月からネットバンキングでの不正送金による被害が急増している。その背景には、多要素認証を迂回する手段が登場したことが挙げられるという。(2019/12/27)

2020年版脅威レポート:
クラウド事業者による設定ミスがサイバー脅威の要因に ソフォスが発表
ソフォスが発表した2020年版の脅威レポートでは、ランサムウェア攻撃者による自動化されたアクティブ攻撃や、マルウェア化する迷惑アプリなどを、2020年以降のサイバー脅威に影響を与えると予想される要因として挙げた。(2019/12/24)

Facebookの不祥事を振り返る【後編】
ザッカーバーグCEOの「Facebookはプライバシーを重視」の約束は守られたのか
Facebookで相次いだセキュリティやプライバシーに関する問題に対して、CEOのマーク・ザッカーバーグ氏は改善を約束した。その約束は今でも守られているのだろうか。(2019/12/7)

Facebookの不祥事を振り返る【前編】
Cambridge Analytica事件だけではない 「Facebook」の不祥事を振り返る
2018年初頭に選挙コンサルティング企業によるデータ不正利用が発覚して以来、Facebookではセキュリティやプライバシーに関する不祥事が相次いでいる。これまでの不祥事を振り返る。(2019/11/30)

Gartner Insights Pickup(132):
政府のCIOが、デジタルIDについて知っておくべきこと
政府のCIO(最高情報責任者)は、市民にとって安全かつ便利なデジタルIDを作る方法を見いだす必要がある。そのためには、ガバナンス、ID設計、技術の3つの側面で、バランスの取れた判断をする必要がある。(2019/11/8)

失敗の共有が業界にもたらすメリット
マサチューセッツ総合病院(MGH)の情報漏えい事故から得られる教訓、足りない透明性
セキュリティ専門家は、マサチューセッツ総合病院(MGH)で2019年6月に発生したデータ漏えいについて「詳細を開示すべきだ」と指摘する。詳細の開示は他の医療機関の役に立つからだ。(2019/11/7)

「House(家)」は買えても「Home(家庭)」は買えない:
レッドチーム演習から見えてきた、セキュリティ対策「3つの間違い」
F-Secureは、2019年10月2〜3日開催の「Cyber Security Nordic」に合わせて開催したプレスカンファレンスにおいて「レッドチーム演習」サービスの中身を紹介して、企業のセキュリティ対策における3つの間違いを指摘した。(2019/11/1)

東京五輪に備えるセキュリティ対策【後編】
東京五輪の“通勤地獄”を「テレワーク」で回避するのは危険? 対策は
一大イベントである東京2020オリンピック・パラリンピック競技大会に乗じたサイバー攻撃は、大きな脅威となる。大会中の混雑緩和のためにテレワークを利用する企業が気を付けるべき点とは。(2019/11/14)

ボケと笑いと学びに包まれた「セキュリティのクイズ大会」 大阪から全国へ広げるコミュニティーの輪
7月13日にクイズイベント「アルティメットサイバーセキュリティクイズ」(UCSQ)が開催された。ボケあり、ツッコミあり、学びありの実りあるイベントが開かれた背景は。(2019/10/27)

281人を容疑者として逮捕
ランサムウェアを超える勢いの「ビジネスメール詐欺」(BEC) FBIの推奨策は
2016年6月から2019年7月にかけて、世界のビジネスメール詐欺(BEC)の被害総額が260億ドルに達したことを米連邦捜査局(FBI)が明らかにした。さらに、BECに関わった容疑のある281人を逮捕したという。(2019/10/21)

守りが薄いWebアプリケーション(2):
常に偵察にさらされるWebアプリケーション、脆弱性が見つかるまで
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。前回はインターネットにはクリーンではないトラフィックが常にまん延していることを実証し、攻撃対象となる領域と、領域ごとの被害例について簡単に整理した。今回は、攻撃者の目線を交えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスに沿って、順に解説していく。(2019/10/10)

堀江貴文が語る「予防医療」:
ホリエモンが糖尿病の「不都合な真実」をホラー映画で訴える理由
ホリエモンこと堀江貴文が「予防医療」の必要性と意義を語る――。今回は堀江氏などが現在製作中の映画「糖尿病の不都合な真実」(仮)について。(2019/9/21)

半径300メートルのIT:
SNSを一度ハッキングされたら、「パスワード変更」だけで対処を終えてはいけない
InstagramやTwitterなど、SNSを狙うハッキングの被害が後を絶ちません。膨大なフォロワーを持つセレブは格好のターゲットですが、「他人事」と思うのは間違いです。その中に、実はアカウント管理の重要な教訓が隠れているのですから。(2019/9/10)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。