検索

この頃、セキュリティ界隈で

海外のセキュリティ関連ニュースを追い続けている鈴木聖子さんによる、最近のセキュリティニュースブリーフィング。隔週でお届けします。

この頃、セキュリティ界隈で:

「Twitter.com」を「X.com」に自動変換 Xが仕様変更も、批判相次ぎすぐ撤回 ネット失笑

Xでポストした「Twitter.com」の文字列が自動的に「X.com」に変換されてしまう――。4月上旬、Xでそんな現象が発生し、詐欺に利用されかねないとしてユーザーが警戒を呼びかけた。間もなく問題は解消されたが、Xの混乱ぶりにあきれる声などが相次いでいる。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う

他人のiPhoneを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いでている。「MFA爆弾」などと呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「死別詐欺」「訃報海賊」にご用心 人の死に付け込んでクリック稼ぐ 自分の訃報を載せられた事例も

他人の死に付け込んで故人をしのぶ人をだまそうとするでっち上げの訃報や、クリック稼ぎを目的とするまだ生きている人の死亡記事が、ネット上で拡散して問題になっている。これらの問題は「死別詐欺」「訃報海賊」などと呼ばれているという。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「防犯カメラで他人の家が丸見え」──米国で問題に “話がうますぎる”スマートホーム製品に潜むリスク

スマートホーム製品を手掛ける米Wyzeの防犯カメラで、ユーザーのアプリの画面に見ず知らずの他人の家の画像や映像が表示されてしまう不具合が発生した。同じような問題は2023年にも確認されたばかりで、同社に対しては厳しい目が向けられている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」海外メディアで誤報相次ぐ “IoTテロ”は現実に起こるのか?

IoT電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は事実ではなかったことが判明した。実際にIoT歯ブラシがDDoS攻撃に利用される可能性はあるのか?

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

“テイラー・スウィフト偽AI画像”の衝撃 一般人にも広がるディープフェイクの脅威 対策は?

テイラー・スウィフトの写真をAIツールで合成したわいせつ画像がXで拡散した事件は、幅広い方面に衝撃を与えた。だがこうした問題の深刻な影響を受けるのは、SNSに気軽に自分の写真を掲載する一般人の方かもしれない。対策はあるのだろうか?

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

Xで横行する「アカウント乗っ取り」と「暗号通貨詐欺」 米SECも「ビットコインETFを承認」と偽投稿の被害に 対策は?

米証券取引委員会(SEC)のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

世界の筆頭リスクは「虚偽情報」、世界経済フォーラムが発表 AI台頭で危険増大か “AI×核兵器”にも警告

世界経済フォーラムがまとめた「グローバルリスクレポート2024」で、「虚偽情報」が初めて今後2年の10大リスクの筆頭に浮上した。背景にあるのはAIの台頭で、選挙介入からサイバー犯罪、軍事目的などでAIが利用される危険性を指摘している。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

2024年に流行るサイバー攻撃は? 注目はやはりAI それ以上に押さえておくべき基本とは

2023年は「ChatGPT」のような生成AIが急激に台頭し、サイバー攻撃を仕掛ける側も防ぐ側も、AIの活用に注目した年だった。2024年はどのような手口が増えると予想されるか。サイバーセキュリティ各社がその予測をまとめている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

イベントの出演者が“実は存在しなかった”──海外の開発者会議が中止に なぜこんな事態に?

12月にオンラインで開かれる予定だったイベントにて、ゲストスピーカーの中に実在しない女性がいたことが発覚して開催中止に追い込まれた。多様性・包括性が求めらる風潮の中、こうしたイベントの主催者が講演者の確保に苦慮している様子も垣間見える。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「あの企業、実は情報漏えいしてますよ!」──ランサムウェア集団が自ら政府機関に“告げ口” 米国で新たな手口

ランサムウェアを操る集団が自分たちで攻撃を仕掛けて情報を流出させた企業について、被害に関する届け出を怠ったとして米証券取引委員会に“告げ口”する手口が確認された。こうした手口が発覚したのは初めてとみられる。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

安易すぎるパスワード「admin」、IT管理者も使っていた 管理者用パスワードランキング、スウェーデンの企業が公開

組織のシステムをサイバー攻撃から守る対策を徹底すべき立場にあるIT管理者の多くが、実はエンドユーザーと同じくらい安易なパスワードを使っていた――スウェーデンのサイバーセキュリティ企業の調査でそんな実態が明らかになった。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「ありがちなセキュリティ設定ミス」トップ10、米国の安全保障機関が発表 あなたの組織は大丈夫?

米政府のサイバーセキュリティ機関が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。実際のサイバー攻撃に使われた手口などに基づきまとめたもので、それぞれについて具体的な対策も紹介している。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

米国タレントの公式インスタに訃報→翌日「私は生きている」 原因はアカウント乗っ取り? 偽情報に大混乱

テレビのリアリティー番組出演者だった男性の公式Instagramアカウントに、本人の訃報が掲載された。これを見て一部メディアが男性死亡のニュースを報道。ところが翌日、本人が「私は生きている」と宣言した。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

警戒高まる中国のサイバー攻撃 その狙いは? 米サイバーセキュリティ機関は名指しで非難

米国務省などの電子メールを狙った不正アクセスの被害が7月に発覚した。8月には、日本の機密防衛ネットワークが不正侵入を受けていたという報道も。米政府などは、いずれも中国のハッカー集団が関与していたとして警戒を強めている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出

Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。これを受け、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

名古屋港のシステムを停止させたランサムウェア「LockBit」とは? 攻撃の手口や特徴を解説

名古屋港の貨物や設備を管理するシステムで発生したランサムウェア感染は、物流の混乱を招くなど大きな被害を与えた。その攻撃に使われたのは「LockBit」というランサムウェア。その攻撃の手口や特徴を解説する。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

サーバダウンはなぜ起きる? AWSやMicrosoftでも発生、原因と対策は

クラウド最大手の米Amazon Web Services(AWS)や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

AI悪用で巧妙化する性的恐喝 存在しないわいせつ画像をでっち上げ 米国では自殺者も

AIを使って本物と見分けがつかないような偽コンテンツが簡単に作成できるようになり、一部の犯罪が悪質化している。SNS上の写真からディープフェイクのわいせつ画像をでっち上げ、脅迫に使う手口が横行していると米FBIが注意喚起している。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

空港の無料USB充電は危険? サイバー犯罪に警鐘も実は被害報告なし 「マスコミらが煽りすぎ」との指摘

空港やホテルにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染する――そんなサイバー犯罪の手口について、FBIやマスコミが改めて注意を呼びかけている。しかし実はこの攻撃が実際に仕掛けられた事案は確認されていないという。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「質問に答えるだけでアイテムをあげるよ」──ゲーム好きな子供への甘い誘惑に要注意 狙いは親のPC

多くの子供がプレイするスマートフォンゲーム。そんな状況の中、ゲーム内通貨を欲しがったり、優位に立ちたいと思ったりする子供心に付け込むサイバー犯罪の手口が増えているという。狙いは子供のアカウントを踏み台にして、保護者のPCだ。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

パスワード管理「LastPass」で顧客データの盗難 手口に使われた“2段階攻撃”とは? 弱点はエンジニアの自宅PC

パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。弱点として狙われたのは、エンジニアの自宅PCだった。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

“ゼロトラスト”関心あっても実現に苦慮 米Gartner「完全実装は大企業でも1%未満」 攻撃手口の変化もたらす面も

複雑化・巧妙化するサイバー攻撃に対抗するうえで欠かせない戦略として提唱されてきたゼロトラスト。しかし完全実装できているのは大企業でも1%に満たないのが実態だという。また、攻撃側がゼロトラストを警戒して手口をシフトさせる傾向も浮上している。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

9・11以来の全便運航停止 米連邦航空局のシステム障害、原因は手違い 老朽化の問題も浮上

航空機の安全な運航に欠かせない米連邦航空局(FAA)のシステムで障害が発生し、全米で一時的に全ての便の運航が停止した。その後の調査で直接的な原因は判明したものの、FAAのシステム老朽化を懸念する声が上がっている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

つながるクルマ、自動運転車に潜む脆弱性 不正な遠隔操作でロック解除や始動も

米ラスベガスで開幕したCESでは、クルマが話題の中心になることが増えた。クルマ本体だけでなく、自動運転やつながるクルマなどの技術に注目が集まる一方、メーカー各社のシステムに、数多くの脆弱性が潜んでいる実態が明らかになっている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

警察の「殺人ロボット」は命を救う手段になるか 反対派は悪用を懸念

警察による「殺人ロボット」の使用を認める方針がカリフォルニア州サンフランシスコ市議会で承認され、物議を醸した。その後反対の声が強まってこの承認は撤回されたが、かつてSFの中の話だった殺人ロボットは、現実の兵器として実用化の段階に入っている

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

Microsoft、クラウドサービスの設定ミスで顧客情報が公開状態に 対象は6万5000社? 同社は「誇張」と否定

米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する2.4TBものデータが公開された状態になっていたことを確認した。データには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたという。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

Googleもだました? LinkedInに氾濫する偽役員や偽社員、企業も対応に苦慮

転職活動や企業の人材採用などに幅広く使われているビジネス向けSNSのLinkedInで、大企業の役員や特定分野のエキスパートをかたる偽アカウントが大量に作成されているのが見つかった。誰が何の目的で仕掛けているのかは分かっていない。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う

米Uber Technologiesやゲームメーカーの米Rockstar Gamesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。各社とも多要素認証で従業員のアカウントを保護していたが、攻撃者はプッシュ通知を大量に送る“多要素認証疲れ”を手口に利用していた。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

ランサムウェア集団“に”DDoS攻撃 米サイバーセキュリティ企業が反撃? リークサイトがダウン

ランサムウェア集団「LockBit」が、サイバーセキュリティ企業の米EntrustにDDoS攻撃を仕掛けられたと主張している。LockBitがEntrustから盗み出したデータを暴露しようとしたところ、サイバー攻撃を受けてリークサイトがダウンしたというのだ。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

ランサムウェア集団「Conti」幹部はこの男――米政府が13億円の賞金、闇サイトで情報募る

米国務省が最大1000万ドル(約13億円)の賞金をかけ、ランサムウェア集団「Conti」の幹部とされる5人についての情報提供を呼び掛けた。匿名で情報を提供できる専用のTorサーバを開設し、複数の言語で闇サイトなどに賞金情報を掲載している。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

悪用続く「Log4Shell」 対応放置の企業はランサムウェア感染など二次被害 「パッチ適用を怠れば、コストは増大」

Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したりするケースもある。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

悪用多発のゼロデイ脆弱性「Follina」 外部の研究者が危険性指摘、Microsoftの対応巡り批判も

「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

言論の自由かコンテンツ規制か――銃撃映像ネットで拡散、模倣犯後を絶たず

大手SNSサービスでは暴力的なコンテンツを締め出す一方で、匿名掲示板の4chanなどのWebサイトは、大手から締め出されたユーザーが過激な内容を共有できる場として存続。そこで見たコンテンツから刺激を受け、犯罪に手を染めるユーザーが後を絶たない。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

「薄気味悪い」心の健康ケアアプリにMozillaが警鐘 貪欲な個人情報収集、プライバシーはないがしろ?

人にはなかなか相談できない問題も、メンタルヘルスアプリなら心の健康を支える助けになってくれそうに思えるかもしれない。しかしそうしたアプリについて独自の調査を行ったMozillaは、32個のアプリのうち28個に「プライバシー保護に問題あり」と判定した。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

AppleもMetaもだまされた? 警察から届く偽の「緊急要請」、悪用する手口が横行

何者かが警察や捜査機関の電子メールアカウントを乗っ取って「緊急データリクエスト」と呼ばれる情報開示請求を送り付け、携帯電話会社やSNS運営会社をだまし、顧客やユーザーの情報を開示させる事件が米国などで相次いでいるという。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

ウクライナ侵攻で、闇社会にも分断 親ロシア派と親ウクライナ派に分かれるサイバー犯罪集団

ロシア軍のウクライナ侵攻が、闇社会にも分断を引き起こしている。サイバー犯罪集団が情報交換や取引の場として利用するロシア語の闇フォーラムでは、犯罪集団が親ロシア派と親ウクライナ派に分かれる「前例のないイデオロギー分断」が生じている。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

ウクライナ巡るサイバー空間の攻防、ロシアの「控えめな攻撃」に驚く声も そのワケは?

ロシアによるウクライナ侵攻に伴い、サイバー空間でも緊迫した状況が続いている。専門家たちはロシア支持とウクライナ支持に分かれて攻防を展開しているが、当初危惧されたほどの破壊的なサイバー攻撃は起きていないことから、ロシアの内情を巡り臆測も飛び交う。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

相手は本物のCEO? ビデオ会議やコラボツール悪用の成り済ましにFBIが注意喚起

コロナ禍で普及したオンライン会議ツールやコラボレーションツール悪用した、成り済ましの被害が増えている。従業員の電子メールアカウントを乗っ取り、オンライン会議に参加。CEOなどに成り済まして、従業員へ送金を促すという。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

そのQRコードは大丈夫? 詐欺目的の利用増加、キャッシュレス決済の普及を逆手に

米国でQRコードを使った詐欺の手口が相次いで報告されている。非接触のキャッシュレス決済での利用など便利な反面、軽い気持ちで読み取ってしまいがち。そこに付け込み、悪用するケースが増えているとして、米連邦捜査局(FBI)などが注意を呼び掛けた。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

狙われるクラウド、恐喝の手口は悪質化 2022年のセキュリティ動向予測

社会を支えるインフラを脅かしたランサムウェア攻撃や、取引先との関係を悪用するサプライチェーン攻撃など、2021年も世界的な影響を及ぼすサイバー犯罪が多発した。被害を防ぐためにはどんな対策が求められるのか。2022年の動向を探る。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

攻撃を招くクラウド環境の設定ミス、わずか数分で悪用も 米セキュリティ企業がおとり調査

クラウド環境の設定ミスやセキュリティ対策の甘さを突いて攻撃を仕掛けられ、情報流出などの被害が発生する事件が後を絶たない。セキュリティ企業の実験で、そうした弱点が瞬く間に見つけられ、悪用される実態が浮き彫りになった。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

不正侵入からスパイ活動まで、闇社会で台頭する「雇われハッカー」ビジネス

闇社会で、さまざまなサイバー攻撃を請け負う「雇われハッカー」ビジネスが台頭している。Void Balaurという組織では、電子メールやSNSアカウントのハッキングサービスを展開しており、被害に遭った組織や個人は世界で3500を超す。

鈴木聖子, ITmedia
この頃、セキュリティ界隈で:

闇市場で売買される不正アクセス権、標的にされる企業とは

サイバーセキュリティ企業のKELAは、サイバー犯罪集団が「理想的な標的」として狙いを定める企業を調査。どのような組織の不正アクセス権を犯罪者が狙うか、傾向を発表した。

鈴木聖子, ITmedia
新連載「この頃、セキュリティ界隈で」:

変わるパスワードの常識、変わらない実態

セキュリティニュースを追い続けている鈴木聖子さんによる、セキュリティ界隈のブリーフィング。第1回です。

鈴木聖子, ITmedia
ITmedia NEWS 連載一覧に戻る
ページトップに戻る