この頃、セキュリティ界隈で

他人のiPhoneを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いでている。「MFA爆弾」などと呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。

他人の死に付け込んで故人をしのぶ人をだまそうとするでっち上げの訃報や、クリック稼ぎを目的とするまだ生きている人の死亡記事が、ネット上で拡散して問題になっている。これらの問題は「死別詐欺」「訃報海賊」などと呼ばれているという。

米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。

GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。

スマートホーム製品を手掛ける米Wyzeの防犯カメラで、ユーザーのアプリの画面に見ず知らずの他人の家の画像や映像が表示されてしまう不具合が発生した。同じような問題は2023年にも確認されたばかりで、同社に対しては厳しい目が向けられている。

IoT電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は事実ではなかったことが判明した。実際にIoT歯ブラシがDDoS攻撃に利用される可能性はあるのか？

テイラー・スウィフトの写真をAIツールで合成したわいせつ画像がXで拡散した事件は、幅広い方面に衝撃を与えた。だがこうした問題の深刻な影響を受けるのは、SNSに気軽に自分の写真を掲載する一般人の方かもしれない。対策はあるのだろうか？

米証券取引委員会（SEC）のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。

世界経済フォーラムがまとめた「グローバルリスクレポート2024」で、「虚偽情報」が初めて今後2年の10大リスクの筆頭に浮上した。背景にあるのはAIの台頭で、選挙介入からサイバー犯罪、軍事目的などでAIが利用される危険性を指摘している。

2023年は「ChatGPT」のような生成AIが急激に台頭し、サイバー攻撃を仕掛ける側も防ぐ側も、AIの活用に注目した年だった。2024年はどのような手口が増えると予想されるか。サイバーセキュリティ各社がその予測をまとめている。

12月にオンラインで開かれる予定だったイベントにて、ゲストスピーカーの中に実在しない女性がいたことが発覚して開催中止に追い込まれた。多様性・包括性が求めらる風潮の中、こうしたイベントの主催者が講演者の確保に苦慮している様子も垣間見える。

iPhoneのユーザー同士で手軽に連絡先情報を共有できるiOS 17の新機能「NameDrop」を巡り、自分の情報が勝手に共有されてしまうかもしれないといった誤解がSNSで広まった。一体なぜこれらの投稿は広まったのか。

ランサムウェアを操る集団が自分たちで攻撃を仕掛けて情報を流出させた企業について、被害に関する届け出を怠ったとして米証券取引委員会に“告げ口”する手口が確認された。こうした手口が発覚したのは初めてとみられる。

米首都ワシントンやニューヨーク市の警察が、車の盗難防止対策としてAppleの紛失防止タグ「AirTag」を住民に無料で配布している。米国では車の盗難が急増し、警察や自治体が対応を模索していた。

組織のシステムをサイバー攻撃から守る対策を徹底すべき立場にあるIT管理者の多くが、実はエンドユーザーと同じくらい安易なパスワードを使っていた――スウェーデンのサイバーセキュリティ企業の調査でそんな実態が明らかになった。

パレスチナ自治区ガザのイスラム勢力ハマスとイスラエルの戦闘が、サイバー空間でも激化している。

米政府のサイバーセキュリティ機関が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。実際のサイバー攻撃に使われた手口などに基づきまとめたもので、それぞれについて具体的な対策も紹介している。

テレビのリアリティー番組出演者だった男性の公式Instagramアカウントに、本人の訃報が掲載された。これを見て一部メディアが男性死亡のニュースを報道。ところが翌日、本人が「私は生きている」と宣言した。

米国務省などの電子メールを狙った不正アクセスの被害が7月に発覚した。8月には、日本の機密防衛ネットワークが不正侵入を受けていたという報道も。米政府などは、いずれも中国のハッカー集団が関与していたとして警戒を強めている。

Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。これを受け、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。

名古屋港の貨物や設備を管理するシステムで発生したランサムウェア感染は、物流の混乱を招くなど大きな被害を与えた。その攻撃に使われたのは「LockBit」というランサムウェア。その攻撃の手口や特徴を解説する。

クラウド最大手の米Amazon Web Services（AWS）や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。

AIを使って本物と見分けがつかないような偽コンテンツが簡単に作成できるようになり、一部の犯罪が悪質化している。SNS上の写真からディープフェイクのわいせつ画像をでっち上げ、脅迫に使う手口が横行していると米FBIが注意喚起している。

AIを使って音声を合成する音声クローン技術が悪用される危険が強まっている。闇サイトでは、そうした悪用に手を貸す「VCaaS」と呼ばれるサービスも台頭しているという。

空港やホテルにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染する――そんなサイバー犯罪の手口について、FBIやマスコミが改めて注意を呼びかけている。しかし実はこの攻撃が実際に仕掛けられた事案は確認されていないという。

AIチャット「ChatGPT」に人格を持たせると、性差別や人種差別など不穏当な発言を連発するようになって有害性が増大する──米国の非営利研究機関「アレン人工知能研究所」はそんな研究結果を発表した。

多くの子供がプレイするスマートフォンゲーム。そんな状況の中、ゲーム内通貨を欲しがったり、優位に立ちたいと思ったりする子供心に付け込むサイバー犯罪の手口が増えているという。狙いは子供のアカウントを踏み台にして、保護者のPCだ。

パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。弱点として狙われたのは、エンジニアの自宅PCだった。

複雑化・巧妙化するサイバー攻撃に対抗するうえで欠かせない戦略として提唱されてきたゼロトラスト。しかし完全実装できているのは大企業でも1％に満たないのが実態だという。また、攻撃側がゼロトラストを警戒して手口をシフトさせる傾向も浮上している。

多彩さと便利さで話題に事欠かない対話型AIの「ChatGPT」だが、マルウェアの作成やフィッシング詐欺といった犯罪目的で利用される恐れもあると、米国のサイバーセキュリティ企業が警鐘を鳴らしている。

航空機の安全な運航に欠かせない米連邦航空局（FAA）のシステムで障害が発生し、全米で一時的に全ての便の運航が停止した。その後の調査で直接的な原因は判明したものの、FAAのシステム老朽化を懸念する声が上がっている。

米ラスベガスで開幕したCESでは、クルマが話題の中心になることが増えた。クルマ本体だけでなく、自動運転やつながるクルマなどの技術に注目が集まる一方、メーカー各社のシステムに、数多くの脆弱性が潜んでいる実態が明らかになっている。

警察による「殺人ロボット」の使用を認める方針がカリフォルニア州サンフランシスコ市議会で承認され、物議を醸した。その後反対の声が強まってこの承認は撤回されたが、かつてSFの中の話だった殺人ロボットは、現実の兵器として実用化の段階に入っている

米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する2.4TBものデータが公開された状態になっていたことを確認した。データには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたという。

転職活動や企業の人材採用などに幅広く使われているビジネス向けSNSのLinkedInで、大企業の役員や特定分野のエキスパートをかたる偽アカウントが大量に作成されているのが見つかった。誰が何の目的で仕掛けているのかは分かっていない。

米Uber Technologiesやゲームメーカーの米Rockstar Gamesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。各社とも多要素認証で従業員のアカウントを保護していたが、攻撃者はプッシュ通知を大量に送る“多要素認証疲れ”を手口に利用していた。

TwitterとFacebookで削除された不正なアカウントの解析で、フェイクニュースを投稿して世論操作を試みようとするキャンペーンが米国から展開されていたことが明らかになった。

ランサムウェア集団「LockBit」が、サイバーセキュリティ企業の米EntrustにDDoS攻撃を仕掛けられたと主張している。LockBitがEntrustから盗み出したデータを暴露しようとしたところ、サイバー攻撃を受けてリークサイトがダウンしたというのだ。

米国務省が最大1000万ドル（約13億円）の賞金をかけ、ランサムウェア集団「Conti」の幹部とされる5人についての情報提供を呼び掛けた。匿名で情報を提供できる専用のTorサーバを開設し、複数の言語で闇サイトなどに賞金情報を掲載している。

Microsoftが「Emotet」などのマルウェア対策としてマクロを遮断する措置を講じているが、これを受けて攻撃側がISO（.iso）やRAR（.rar）などのコンテナファイルを使い始めている実態が浮かび上がった。

ランサムウェアやDDoSといったサイバー攻撃を経験した企業の多くは、その後何度も被害に遭っている──。そんな実態が、イスラエルのサイバーセキュリティ企業Cymulateの調査で浮き彫りになった。

Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したりするケースもある。

「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。

セキュリティ対策の不備や、不正侵入の足掛かりとして利用された弱点について、米Verizonが2022年版データ漏えい・侵害調査報告書で解説している。

大手SNSサービスでは暴力的なコンテンツを締め出す一方で、匿名掲示板の4chanなどのWebサイトは、大手から締め出されたユーザーが過激な内容を共有できる場として存続。そこで見たコンテンツから刺激を受け、犯罪に手を染めるユーザーが後を絶たない。

人にはなかなか相談できない問題も、メンタルヘルスアプリなら心の健康を支える助けになってくれそうに思えるかもしれない。しかしそうしたアプリについて独自の調査を行ったMozillaは、32個のアプリのうち28個に「プライバシー保護に問題あり」と判定した。

世界中から流出した個人情報などのデータが大量に売買されていた大手闇取引市場「RaidForums」が、米欧の連携捜査で摘発され、創設者とされる21歳の男が逮捕された。その正体とは。

何者かが警察や捜査機関の電子メールアカウントを乗っ取って「緊急データリクエスト」と呼ばれる情報開示請求を送り付け、携帯電話会社やSNS運営会社をだまし、顧客やユーザーの情報を開示させる事件が米国などで相次いでいるという。

ロシア軍のウクライナ侵攻が、闇社会にも分断を引き起こしている。サイバー犯罪集団が情報交換や取引の場として利用するロシア語の闇フォーラムでは、犯罪集団が親ロシア派と親ウクライナ派に分かれる「前例のないイデオロギー分断」が生じている。

ロシアによるウクライナ侵攻に伴い、サイバー空間でも緊迫した状況が続いている。専門家たちはロシア支持とウクライナ支持に分かれて攻防を展開しているが、当初危惧されたほどの破壊的なサイバー攻撃は起きていないことから、ロシアの内情を巡り臆測も飛び交う。

コロナ禍で普及したオンライン会議ツールやコラボレーションツール悪用した、成り済ましの被害が増えている。従業員の電子メールアカウントを乗っ取り、オンライン会議に参加。CEOなどに成り済まして、従業員へ送金を促すという。

過去2年でサイバー攻撃が急増しているにもかかわらず、多要素認証（MFA）やパスワードレス認証などの普及がなかなか進まない状況にある──米Microsoftは、そんな実態に警鐘を鳴らしている。

米国でQRコードを使った詐欺の手口が相次いで報告されている。非接触のキャッシュレス決済での利用など便利な反面、軽い気持ちで読み取ってしまいがち。そこに付け込み、悪用するケースが増えているとして、米連邦捜査局（FBI）などが注意を呼び掛けた。

「Log4j」の脆弱性の問題は、年が明けても深刻な状況が続いている。米Microsoftは企業に対し、引き続き警戒するように注意を呼び掛けている他、米連邦取引委員会（FTC）は対策を怠った企業に対し、法的措置を講じる考えを示した。

社会を支えるインフラを脅かしたランサムウェア攻撃や、取引先との関係を悪用するサプライチェーン攻撃など、2021年も世界的な影響を及ぼすサイバー犯罪が多発した。被害を防ぐためにはどんな対策が求められるのか。2022年の動向を探る。

データを人質に取って身代金を要求するランサムウェアの被害では、やむを得ず要求に応じる企業も少なくない。その際、交渉次第では犯行グループが身代金の減額に応じることもあるという。

クラウド環境の設定ミスやセキュリティ対策の甘さを突いて攻撃を仕掛けられ、情報流出などの被害が発生する事件が後を絶たない。セキュリティ企業の実験で、そうした弱点が瞬く間に見つけられ、悪用される実態が浮き彫りになった。

闇社会で、さまざまなサイバー攻撃を請け負う「雇われハッカー」ビジネスが台頭している。Void Balaurという組織では、電子メールやSNSアカウントのハッキングサービスを展開しており、被害に遭った組織や個人は世界で3500を超す。

不正アクセスを防ぐ対策の代表である、多要素認証。ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという。

Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。

世界各地で8月から9月にかけ、過去最大級のサイバー攻撃が相次いで発生した。新手のボットネットなどによるそれらの手口や、対策方法を紹介する。

サイバーセキュリティ企業のKELAは、サイバー犯罪集団が「理想的な標的」として狙いを定める企業を調査。どのような組織の不正アクセス権を犯罪者が狙うか、傾向を発表した。

Ransomeware as a Service（サービスとしてのランサムウェア）ビジネス集団は幾つもあるが、元をたどるとそう多くはない。

ダークWebでも仁義は必要と。

Kaseya VSAのアップデートを悪用したランサムウェアは、独立記念日で手薄なところを狙い撃ち。

サイバー犯罪の分業システムという、嫌な経済圏が既に動いているようだ。

既に企業が単独で対応できるレベルではなくなってきているランサムウェアの実態。

DNDプロトコルが脆弱性につながっているという。

MicrosoftはExchange Serverの脆弱性を突いた攻撃に、さらなる方策を打ち出した。

緊急パッチを適用しても、既に不正侵入されていた場合の修復は不可能。被害に遭った組織は全世界で数十万という。

市の浄水システムに侵入し、飲料水を操作しようとした行為が見つかった。これは氷山の一角だという。

SolarWindsの管理ソフトを経由したサプライチェーン攻撃は、調べるほどにその深刻さが増している。

ランサムウェアによる情報流出被害に遭ったカプコンだけでなく、多くの日本企業がマルウェアのターゲットとなっている。

企業が「賞金稼ぎ」に依頼することへの抵抗がなくなってきたという。

わずかな時間で組織内で感染が広がる危険性をはらむWindows Active Directoryの脆弱性。

姿形を変えていく、やっかいなマルウェア「Emotet」。その実態を紹介する。

サイバー攻撃の実態として報道されているものにはバイアスがかかっているという報告。

Macの安全神話を裏付ける要素の一つ、「公証」システムが悪用されてしまった。

「ワーム可能」という脆弱性の恐ろしさを認識しておこう。

犯罪者が巣食うメッセージングサービスで欧州警察の「高度な攻撃」はどのように展開されたのか。

重要なデータを人質に取るランサムウェア。盗んだ機密情報をオークションにかけてさらに脅しをかける手口が浮上している。

虚偽投稿、フェイク画像など、5GとCOVID-19を結びつける陰謀論を信じている人がいまだにいるのはなぜか。

新型コロナウイルス感染症対策のためにただでさえ窮状にある医療機関を、サイバー攻撃が襲っている。

日本企業の幹部も狙われたという脆弱性。Appleの対応はどうか。

一部では過去の遺物とさえ言われているCOBOL。この初代高級言語が今になって注目されている原因は、やはり新型コロナウイルスだ。

新型コロナウイルスに便乗した新たな手口。

SMSプロトコルの脆弱性は厄介だ。そこに新たな脆弱性が生まれてしまった。

パスワードの常識が変わりつつある。FBIの新しい指針は？

SSL証明書でMicrosoftが大失態。その背景を解説する。

コロナウイルスに便乗したコンピュータウイルスが出現している。

セキュリティ製品では発見されにくい、進化を続けるマルウェアが登場している。その実態を探る。

Windowsの脆弱性が多方面で影響を与えている。その流れを追う。

膨大な個人情報を握るIT企業インサイダーによる不正事件が相次いでいる。その背景は。

ダークネットに逃げ込んだ児童ポルノサイトをどう摘発したのか。

データを人質にされるランサムウェアの対策は？

ディープフェイク、チープフェイクといった情報操作に対抗する術はあるのか？

SNSでつながっている「友人」の発言で入学できない。そんなことが起きている。

Google Playのセキュリティは向上してきたとはいえ、マルウェアは様々なテクニックを使って入り込んでいる。その手法と対策は？

ヘイトにあふれるSNSが問題となっている。追い出されたら彼らはどこに行くのか？

米金融大手から流出した個人情報。容疑者はAmazonの従業員だった。

お手軽に顔を加工できるアプリが人気だ。しかし、そのデータは果たして安全なの？

漫画「デスノート」に登場する死神リュークの名を冠したランサムウェアが、米国の地方自治体を食い荒らしている。このリュークの好物はリンゴではなくてお金なのだ。

Appleのセキュリティ機能「Gateway」をすり抜けたゼロデイ攻撃の手法とは？

Microsoft、NSAがBlueKeepに警告を発している。その異例な対応の根幹にあるものとは？

セキュリティニュースを追い続けている鈴木聖子さんによる、セキュリティ界隈のブリーフィング。第1回です。