セキュリティ
ITの普及によって便利になる生活。その光の一方、セキュリティの重要性も増しています。今すべきセキュリティとは何なのでしょうか――。
個人情報保護委員会がJapanTaxiに行政指導。タクシーに搭載したタブレットのカメラで乗客の顔写真を撮影して性別を推定していたことについて「カメラの存在や利用目的の通知が不十分」と指導を受けたという。
架空世界で「認証」を知る:
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第12回のテーマは架空世界の「スター・ウォーズの認証」について。
仮想通貨の保管サイトから、当時の価値で約1500万円相当の仮想通貨「モナコイン」をだまし取ったなどとして、電子計算機使用詐欺と組織犯罪処罰法違反の疑いで宇都宮市の18歳のハッカー少年を書類送検した事件。システムの欠陥を狙った犯行で、元日に“犯行声明”も出ていたことが話題になったが、専門家は「完全な狙い撃ちだ」と指摘する。
Facebookが、Facebook、Instagram、Facebook Liteの数億人分のパスワードが社内に可読な状態で保存されていることに1月に気づき、修正したと発表した。該当したユーザーにはこれから連絡する。不正アクセスなどはなかったとしている。
Webブラウザベースの攻撃阻止を目的とした拡張機能「Windows Defender Application Guard」を、Googleの「Chrome」と、Mozillaの「Firefox」向けに提供する。
今回見つかったMiraiの亜種には、新たに法人向けのワイヤレスプレゼンテーションシステムなどの脆弱性を突くコードが組み込まれていた。
チケット通販サイト「キョードー東京チケットオンライン」にアクセスしたユーザーに、誤って他のユーザーの情報を表示する問題が16日朝に起きていた。高負荷の対策を行った際のミスが原因という。
ユーザーが安全ではないWebサイトを開こうとするとサンドボックスに移動するMicrosoft Edgeの機能をChromeとFirefoxでも使えるようにする拡張機能がWindow Insider向けに公開された。利用するにはEdgeもインストールする必要がある。
大規模なユーザー情報漏えいが発覚した、大容量ファイル送信サービス「宅ふぁいる便」について、運営元のオージス総研は3月14日、「サービスを当面休止する」と発表した。
FGOの課金アイテム「聖晶石」の購入明細を装ったフィッシングメールが確認されているとして、FGO運営チームが注意を呼び掛けた。FGOで遊んだ覚えがない人にも送信されているという。
感染アプリがインストールされると、バックグラウンド広告を表示したり、Webブラウザを開いて指定されたURLを表示したりする。
IoT時代のセキュリティ絶対防衛ライン:
各業界のIoT関連サービスが抱える問題点、そして有効な対応策とは? セキュリティの専門機関が情勢を伝えます。
JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ3人が摘発された事件。「何がセーフで何がアウトか分からない」とエンジニアの間で困惑が広がる中、あるセキュリティエンジニアが兵庫県警に対して、どういった内容が摘発対象になるか説明を求める情報公開請求を行った。
ITりてらしぃのすゝめ:
サイバー犯罪が増える中、「これは犯罪なのか?」というグレーゾーンにまで警察が踏み込んできている。私たちにできることは何があるのだろうか。
Google Chromeで発覚したゼロデイ攻撃では、その時点で未解決だったChromeの脆弱性と、Windowsの未解決の脆弱性を組み合わせて悪用していた。
FBIは国際サイバー犯罪集団による不正アクセスと見て捜査している。攻撃には、弱いパスワードを突く「パスワードスプレー」と呼ばれる手口が使われた公算が大きい。
海外で「標的型ランサムウェア」による被害が広がっている。ランサムウェアというと「脆弱性が存在するPCやIT機器を無差別に襲うもの」というイメージもあるが、違うタイプという。対策は。
架空世界で「認証」を知る:
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第11回のテーマは架空世界の「政府機関によるハッキング」について。
ドコモは、普段利用しない環境から「dアカウント」へのログインがあった場合、その旨をアカウントの持ち主にメールで知らせる機能の提供を、28日から始める。セキュリティ強化の一環。
「警告!!パスワードの入力は数回間違いました。」――こんな件名で、Appleをかたって偽のiCloudサイトにサインインするよう求めるフィッシングメールが出回っているという。
警察庁が保有しているIPアドレスで平成30年に検知したネット上の不審なアクセスが、1日平均で1カ所当たり2752.8件に上り、前年(1893.0件)の約1.5倍で過去最多だったことが7日、警察庁のまとめで分かった。
Googleは「Chrome 72」の更新版で修正した脆弱性について、悪用コードが出回っているとの報告が入っていたことを明らかにした。
2019年2月に発覚した脆弱性が悪用され、仮想通貨の採掘に利用されているDockerホストが多数見つかったと伝えた。
デスクトップ向けのアップデートでは、危険度「高」の脆弱性が修正された。
Androidの3月の月例セキュリティアップデートでは、11件の「Critical」を含む多数の脆弱性が修正される。
Google Chromeで問題のPDFファイルを開くと、そのユーザーの情報が、本人の知らないうちに外部に送られてしまう可能性があるという。
米Dow Jonesがまとめた世界の要注意人物に関するデータベースが、誰にでも閲覧できてしまう状態でAWSのサーバ上に置かれていたという。
ITりてらしぃのすゝめ:
「接続はプライベートではありません」――Webブラウザ上でこんなメッセージを見たことはありませんか? 今回は「SSLサーバ証明書エラー」の危険性について解説します。
オンライン決済サービス「PayPal」をかたるフィッシングメールが出回っているとして、フィッシング対策協議会が注意を呼び掛けている
Drupalの「極めて重大」な脆弱性を修正する更新版が公開されたのは2月20日。翌日にはこの脆弱性を突くコードが公開され、25日には集中的な攻撃の横行が報告された。
セキュリティ企業の米Eclypsiumによると、クラウド各社が提供する「ベアメタルクラウド」の弱点と、以前から指摘されていたBMCファームウェアの脆弱性を組み合わせれば、DoS攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるという。
10連休まであと2カ月に迫り、企業の警戒感が強まってきた。一斉休業でお金の動きが滞ればATMの現金や釣り銭が不足する恐れがある。小売店ではアルバイト従業員が相次いで休暇を取り人手不足が一層深刻化しそうだ。市場の混乱やサイバー攻撃の懸念もあり、企業は対応に追われている。
DNSの主要部分に対する「現在進行中の重大なリスク」が存在するとICANNは警告。DNSSECを使えばDNS情報の不正な改ざんは検知できるとしている。
IoT時代のセキュリティ絶対防衛ライン:
各業界のIoT関連サービスが抱える問題点、そして有効な対応策とは? セキュリティの専門機関が情勢を伝えます。
ダウンロード数は合計1000万回超:
Google Playで提供されていた人気アプリに不正な動画広告を再生させるコードを仕込み、月間10Gバイトものデータ量を浪費させてしまうモバイル広告詐欺の手口が見つかった。
Windows 10とWindows Server 2016に影響:
Microsoftによると、IISを実行しているWindows Serverに不正なHTTP/2リクエストを送り付けることにより、一時的にCPUの使用率を100%まで上昇させることができてしまう可能性がある。
「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。
研究者によると、パスワードが簡単に抽出されてしまいかねない問題が各ツールに見つかった。しかしそれでも、パスワード管理ツールを使った方がいいという前提は変わらない。
Check Point Softwareによると、この脆弱性を悪用すれば、被害者のコンピュータを完全に制御することも可能だったといい、5億人以上のユーザーが危険にさらされた状態だった。
RANKING
ITmediaはアイティメディア株式会社の登録商標です。