最新記事一覧
「また情報漏えいか」と思った人ほど見過ごしてはいけないインシデントが起きました。なんと犯行はネット経由ではなく“目の前のPCを直接操作された”という極めてアナログな手口。原因を踏まえつつ教訓を探しましょう。
()
年末の“ITお掃除”で定番の「X」(旧Twitter)のアプリ連携。そのリスクは過去のものになりつつありますが、実はここに今求められる「認可」の守り方のヒントがあります。便利さの裏に潜む“見えにくいリスク”に迫ります。
()
Yubicoの年次調査によると、日本の二要素認証導入率は20%と他国と比べて大幅に遅れているそうです。なぜこんなに遅れているのか、筆者はその最大のハードルを「めんどくささ」にあると考えています。ではこれをどう打破すればいいでしょうか。
()
ランサムウェア攻撃の背後でいま静かに広がっているのが“ネットワーク機器”を踏み台にした侵入です。VPN機器や家庭用ルーター、さらにはスマート家電まで──常時接続のデバイスが全て攻撃対象になる中、現実的な備えはあるのでしょうか。
()
多様なアプリストアを選択可能にすることでOSベンダーの寡占状態を脱し、競争の促進を狙う「スマホ新法」が2025年12月に施行されます。これにはもちろん多くのメリットがありますが、セキュリティ観点でデメリットもあることを忘れてはいけません。
()
パスワードに代わる安全な認証手段として注目を集めているパスキー。普及が期待されているこの技術は本当に素晴らしいものですが、そこにはあるリスクが存在します。「X」が発表した“要請”からそれをひもときましょう。
()
大きなセキュリティ事故が多発している昨今。もしインシデントが起きたら、ミスをした当事者を処罰するという方針は果たして効果があるのでしょうか。筆者の経験を踏まえて、再発防止策のあるべき姿を考えてみたいと思います。
()
最近ランサムウェア被害の影響が私たちユーザーの日常にまで浸食してきているように思えます。この原因はもしかしたら現行のシステム構成に課題があるのかも。そこで今回はランサムウェアに強い“隙のないシステム”とは何かを考えてみましょう。
()
新型iPhoneへの機種変更は昔と比べると随分簡単になりました。ただ筆者は便利なものを見ると逆に「これ、セキュリティ大丈夫なのかな……」と思ってしまいます。この簡単になった移行作業は果たして安全なのでしょうか。
()
ランサムウェアインシデントが大きく世間を騒がせています。もはやいつ被害に遭うかどうか分からない今、事前対策の強化は必要不可欠です。このための画期的なドキュメントが登場したので紹介したいと思います。
()
昔と違って、OSに標準搭載された無償のアンチウイルスソフトは進化しており、もはや有償製品をわざわざ導入する必要もなくなっています。ただ無償のソフトを使うなら少し注意しておきたい点も。今回はそちらを解説します。
()
サイバー犯罪者はあなたの資産を奪うためにありとあらゆる手口を使ってきます。今回は直近で公開されたセキュリティ関連の資料から、サイバー脅威の最新動向を見つつ、今実施すべき効果的な対策について考えていきたいと思います。
()
Felicaに関する脆弱性が大きな話題になりました。ただ今回は脆弱性そのものというよりはその情報が明らかになったプロセスが議論を呼んでいます。これは非常に悩ましい問題ですので、筆者としても見解を述べてみようと思います。
()
タレントの「Instagram」が乗っ取られた事件がセンセーショナルに報道されています。有名人に限らず被害に遭った方が多く存在するこの事件、攻撃者は一体どのような手口を駆使しているのでしょうか。攻撃手法を踏まえた対策を考えます。
()
証券会社の不正アクセス事案で注目を集めたインフォスティーラー。最近激増しているこのマルウェアですが実は対策が困難です。辻伸弘氏の講演から対策の問題点とやるべきことをまとめました。
()
セキュリティエンジニア必見のハッカーイベント「DEF CON 33」が開催されました。たくさんの講演がある中で筆者が注目したのは、守りの要である「パスワード管理ソフト」を標的にした“古くて新しい攻撃”でした。一体どんなものなのでしょうか。
()
「セキュリティを前進させるには経営層への働きかけが不可欠」とよく言われますが、いざ実践となるとそう簡単にはいきません。今回はこれに本気で取り組む貴重な事例を紹介します。セキュリティ担当者必見です。
()
世間を大きく騒がせたオンライン証券会社に対する不正アクセス/不正取引被害。各社は対策に動くとともに、被害者に対する金銭補償を発表しました。ただ、その割合が問題で……。今回は補償の妥当性と個人が取るべき対策を考えていきます。
()
「二要素認証を使っていれば安心」と思っていませんか? 最新の攻撃が登場したことで実は今、その“安全神話”が崩れ、正しい対策をしているつもりでも突破される事例が多数報告されています。では、どうすればいいのかを筆者と共に考えましょう。
()
中古スマホやPCを安価に購入して使用する人が増える中、考えたいのがOSやアプリの「サポート期限切れ」によって、突然使えなくなるリスクです。ライフラインであるスマホが使えなくなれば生活に支障を来す可能性も。対策はあるのでしょうか。
()
QRコードを悪用したフィッシング「クイッシング」は遷移先のWebサイトなどを目視で判別できず、不正対策が難しいものです。そこで筆者が考えるQRコードに代わる新たな代替策とは。
()
インフォスティーラーの脅威が本格化しつつある中、組織と個人ともに改めてマルウェア対策を再考する必要がありそうです。ただ最近、「有料のウイルス対策ソフト不要説」がちらほらと出ているようです。一体どういうことでしょうか。
()
国内でのフィッシング被害が激化する中、多要素認証を突破する攻撃も登場しています。こうした高度な攻撃に対処するには個人を含めた組織全体でセキュリティリテラシーを向上させる必要があります。ではそのためにはどうすればいいのでしょうか。
()
最近最も話題になっているサイバー攻撃といえば、個人的にはマルウェアより詐欺だと思います。テクノロジーだけで防ぐのは難しいこの攻撃に対抗するにはまずは手法を知ることが非常に重要です。その助けとなる書籍を紹介しましょう。
()
筆者は常日頃から「自腹でお金を払ってでも使う」ことを推奨したいセキュリティ対策として「パスワード管理ソフト」を挙げています。ただ、このツールなかなか普及しないのも事実……。そこで今回あらためてメリットを紹介しましょう。
()
サイバー攻撃が激化する今、IT以外の業界にこそセキュリティの知識が必要とされる時代が来ています。セキュリティ人材が他業界に進出する中、私たち一般の従業員が“ちょっとセキュアになる”ためにできることは何でしょうか。
()
クラウドサービスに対するアクセスキーを不正使用してランサムウェア攻撃を仕掛ける手法がついに日本でも確認されました。攻撃が今後本格化する可能性もあるため、アクセスキーを巡る運用のポイントを一緒に再確認しましょう。
()
証券会社を狙う不正取引が引き続き世間を大きく騒がせています。今のところその攻撃手口が判明しているわけではないのですが、少しずつ見えてきた事実もありますので、あらためて今こそやるべき“5つの対策”を紹介します。
()
世の中には詐欺被害撲滅に向けた数多くのコンテンツが発信されていますが、この情報を本当に知ってほしい“被害者予備軍”の人には届いていない厳しい実態があります。今回は少々“過激”なやり方で情報を発信したある事例を紹介します。
()
フィッシング攻撃が激増しています。対策としては事業者側での多要素認証の導入などが挙がっているものの、これを回避する事例なども話題になっており十分とはいえません。大荒れするサイバー空間で個人ができることはあるのでしょうか。
()
フィッシングの激化に伴い、サービスを提供する側の責任として、事業者が多要素認証を必須とする流れが進んでいます。では、なぜここまで多要素認証の重要性が高まっているのでしょうか。攻撃者の動向を踏まえつつ、この技術をあらためて解説します。
()
多くのランサムウェア攻撃が中堅・中小企業を狙う現状がある一方で、これらの企業はなかなか対策を“ジブンゴト化”できません。このマインドを変革するにはどうすればいいのか。“きれいごとではないランサム対策と考え方”を探ります。
()
国内証券会社を狙ったフィッシング詐欺が増加しています。フィッシング手法がAIなどの発展によってますます増加・高度化する今、従来の「見極める」という対策はもはや対策としては機能していません。本稿で真にやるべきことを解説します。
()
フジテレビで発生した不祥事について「第三者委員会調査報告書」が公開されました。この報告書で注目されたのがデジタル・フォレンジックです。本稿はデジタル・フォレンジックの重要性を踏まえて内部不正対策の勘所を考えます。
()
インフォスティーラー(情報窃取型マルウェア)が流行しています。このマルウェアは基本的な対策だけでは防ぐのがなかなか難しい厄介なものです。特に従業員のWebブラウザの利用次第で感染を拡大させるリスクも……。詳細を解説します。
()
マイナンバーカードの電子証明書周りの話はなかなか複雑で理解が難しい部分でもあります。本稿は、電子証明書によってどのようなメリットが得られるか、またはどのようなリスクがあるのかを解説します。
()
楽天証券で保有していた株式が売却され、身に覚えのない海外株式を大量に購入されたという報告が相次いでいます。この原因はフィッシングやインフォスティーラーなど諸説ありますが、私たちはこの脅威を防ぐためにどう対策すればいいのでしょうか。
()
サイバー攻撃はこれまで見たこともなかった未知のものだけでなく、既に浸透している手法に少し手を加えてユーザーをだまそうとしています。今回は筆者が気になった古典的でありながら“新しい手口”を紹介します。
()
マルウェアや脆弱性を全く使わず、Amazon S3の標準機能を悪用するだけでランサム攻撃を実行する新型の手法が登場しました。今回はこの巧妙な手口の詳細を解説します。
()
「相次ぐサイバー攻撃の報道を受けて中小企業のセキュリティ対策意欲は高まっている」、そう思っていましたが、どうやら現実は厳しいようです。今回はIPAの実態調査から中小企業のセキュリティ対策のリアルを解き明かします。
()
岡山県精神科医療センターにおけるランサムウェア事案調査報告書が大きな反響を巻き起こしています。その至らなさを赤裸々に語ったこの報告書は学びの宝庫です。今回は同ランサム事案の問題点を徹底的に解説していきましょう。
()
岡山県の病院が公開した「ランサムウェア事案調査報告書」に注目が集まっています。この報告書では“あまりにもお粗末なセキュリティの実態”が包み隠さず明らかにされていますが、これを笑える人は一体どのくらいいるのでしょうか。
()
毎年2月は「サイバーセキュリティ月間」です。IPAの「情報セキュリティ10大脅威」で触れられている脅威に対抗し、組織全体のセキュリティを強化するきっかけとして、今回は今すぐできて、しかも“無料”の対策を紹介します。
()
IPAから2025年版の「情報セキュリティ10大脅威」が公開されました。「組織編」では今回、前年と比較して新たに2つの脅威がランクインしています。このコラムではこれを踏まえて注目すべき脅威とその対策を考えます。
()
JPRSが「サブドメインの乗っ取り」に関する注意喚起を公開しました。これは非常に深刻な問題ですが、「DNS周辺はよく分からん」という人も多く、対策するには重い腰を上げなければならないのも事実。そんな人に向けてやるべきことをお伝えします。
()
世間には多くの役に立つセキュリティのドキュメントが公開されていますが、これらを読了するのは正直に言って骨が折れます。今回は筆者オススメの資料の中から“5ページ”だけに絞って、その魅力を紹介しようと思います。
()
ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。
()
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
()
2024年もそろそろおしまいです。IPAは本年も「年末年始における情報セキュリティに関する注意喚起」を公開しました。注意喚起の中でもスルーされがちですが。実は重要なポイントについてこのコラムで解説します。
()
Ransomware as a Service(RaaS)などの登場によってサイバー犯罪を実行するハードルは大きく下がっています。最近は、中学生でも気軽に依頼できてしまうサイバー犯罪サービスが登場しているようです。一体どのようなものなのでしょうか。
()
ランサムウェアが企業規模にかかわらず全ての企業を標的にする今、中堅・中小企業にとってもセキュリティ対策は必須となっています。今回は、小さい組織ならではで、かつ大企業には絶対にマネできない非常に強力なランサムウェア対策を紹介します。
()
2024年11月は、Androidユーザーを狙うマルウェアやEDR製品による検知を回避する技術、クレジットカードの不正利用など最新の攻撃手法などが話題を集めた。前月の注目ニュースを一気に振り返る。
()
個人が膨大なデータやサービスアカウントを所有する時代、不慮の事故に備えて「デジタル終活」をきちんとしておくことが重要です。では具体的に何をすればいいのでしょうか。個人だけではなく、組織人がすべきデジタル終活の作法をお伝えします。
()
サイバー攻撃は個人にとっても無関係ではありません。特にフィッシング攻撃の進化は著しく、新しい手法が日々確認されています。今回は筆者が気になる最新のフィッシング手法を紹介しましょう。
()
「BYOD(Bring Your Own Device)」を採用している多くの企業で「組織の一員」と「個人」の線引きが曖昧になった結果、思わぬ情報漏えい被害が生まれています。今回は最近増加している“意外”なマルウェア感染事例を紹介します。
()
話題のキーワード「アタックサーフェスマネジメント」への理解を深める有用なドキュメントが公開されました。「アタックサーフェスマネジメントってよく聞くけど脆弱性診断と何が違うの?」という方は必見です。本稿ではその触りを解説します。
()
脆弱性管理の重要性については皆さん理解しているかと思いますが、これをどう進めればいいのか高い解像度を持って実行できている企業は多くない気がします。こうした中、待望のドキュメントが登場したので紹介します。
()
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。
()
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。
()
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。
()
NTTドコモが提供するSIMカードの一部で通信不良が発生することが判明し、回収騒動となっています。ドコモユーザーは今利用しているSIMが該当するかどうかをまず確認しましょう。今回はこの騒動に乗じて詐欺師たちがどんな攻撃を仕掛ける可能性があるかを考えます。
()
IPAの「情報セキュリティ10大脅威」でも長くランクインしていることから分かるように、内部不正は実は深刻なリスクです。これにどう対処すればいいか企業が頭を悩ませる中、直近で2つの“興味深い”内部不正事案が発生しました。
()
海外出張や海外旅行に仕事用のPCやタブレットを持っていくとき、厳密にセキュリティ管理をしている人はどのくらいいるでしょうか。最近起きた“怖い”事件から端末のデータをどう守るかを考えます。
()
最近注目のキーワードとして「FinOps」があります。セキュリティ担当者からするとなじみの薄い概念かもしれませんが、セキュリティ運用においても共通する課題の解消を目指すものですので、ぜひこのコラムで勉強してみましょう。
()
セキュリティ業界で注目のキーワードである「サイバーレジリエンス」。IPAが公開した資料によると、これを実現するためにはセキュリティ担当者は“3つのコミュ力”を鍛える必要があるそうです。
()
ランサムウェア対応においては「身代金を支払うべきかどうか」がしばしば議論に上ります。支払いの是非については、それぞれの主張があるため甲乙つけがたいですが、調査から攻撃者側の最新事情も見えてきたので紹介したいと思います。
()
サイバー攻撃者たちの攻撃手法は日々巧妙化しています。何と最近、頼みの綱だった2要素認証ですら突破された事例まで報告されました。サイバー攻撃者は果たしてどのような手法を使ったのでしょうか。
()
サプライチェーンの脆弱性が話題の昨今、脆弱性管理をしっかりと実施することは非常に大事です。ただ、これさえやれば大丈夫かと言われると少し懸念が残ります。攻撃者が狙うのを「めんどくさい」と思う組織になるにはどうすればいいのでしょうか。
()
セキュリティ業界にあふれる“片仮名のバズワード”。これらについて「重要なのは認識しているがイマイチ意味が分からない」という方もいることでしょう。今回は「アタックサーフェスマネジメント」を例に“正しく理解するコツ”を考えます。
()
クラウドに重要データを保存するのが当たり前になった今、ユーザーが大事な情報を守るためにはクラウドにアクセスするアカウントをまず保護するのが先決です。本コラムはそのためのはじめの一歩を紹介します。
()
インターネット関連の詐欺手法は日々進化しています。特にサポート詐欺の相談件数は増加傾向にあるため注意が必要です。今回はそれらの中でも偽広告を表示してユーザーをだます手口について考えます。
()
CrowdStrikeのセキュリティ製品に起因する大規模インシデントから約1週間が経過し、事態の全容が徐々に明らかになってきました。今回は筆者が感じたこの事件における教訓とユーザーができることをお伝えします。
()
JNSAが「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」というストレートなタイトルの資料を公開しました。この資料から企業が次にやるべきことが見えてきました。
()
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。
()
サイバー攻撃が激化する昨今、企業はもちろん、個人でもセキュリティ対策を講じる必要があります。今回は「基本的な対策だけでは心配」という方に向けて筆者が実践している“ちょっと発展的な対策”を紹介します。
()
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。
()
皆さんは社内システムエンジニアの悲哀を描く技術系コメディーアニメ作品『こうしす!』をご存じでしょうか。今回はセキュリティ担当者であれば思わず「あるある……」とうなってしまうこのアニメから得られる教訓を紹介します。
()
セキュリティ対策を語る上でパスワードに関する議論は避けては通れません。最近は、これまで常識だと思っていたパスワード対策が実は推奨されていないこともあります。知識をアップデートし、現状に即した“本当に有効な対策”を考えましょう。
()
生成AIはセキュリティ業務でどのように活用できるのでしょうか。複数の事例からその現在地と、今後のセキュリティ担当者に求められるスキルが見えてきました。
()
ルーターを“交換不要で使い続けるもの”と考えていると、脆弱性が生まれてサイバー攻撃の被害に遭ってしまう可能性があります。そこでこれを消耗品と捉えて定期的に買い替える必要がありますが、その際の製品選定のポイントは何でしょうか。
()
Microsoftは、脅威グループが同社の顧客の電子メールにアクセスした大規模なインシデントを受けて、従業員に向けて“ある宣言”を発表しました。これを受けて私たちユーザーはどのような視点を持つべきでしょうか。
()
ルーターをはじめとしたIoT機器を乗っ取り、“ゾンビルーター”としてDDoS攻撃などに利用する手口が問題となっています。この“ゾンビルーター問題”、個人向けの脅威と思われがちですが、組織にだって無関係ではないのです。
()
このコラムでも度々話題にしているサポート詐欺。トレンドマイクロからこの巧妙な攻撃の詳細をまとめた「国内サポート詐欺レポート 2024年版」が公開されました。今回はこのレポートを基に、サポート詐欺の“アタックサーフェス”を考えます。
()
「セキュリティは経営課題」という認識は経営層の間で少しずつ広まりつつありますが、投資家はこれに対してどのように考えているのでしょうか。PwC Japanグループが公開した興味深い調査結果を紹介します。
()
遠隔から電話などで被害者をだましてマルウェアのインストールなどに誘導する“サポート詐欺”が頻発しています。GoogleやMetaのような広告プラットフォーマーが対処に乗り出さない以上、自分たちで身を守るしかありませんが、さてどうすればいいでしょうか。
()
非対面で本人であることを証明するために「eKYC」をはじめとした新たな技術が登場する中、攻撃者もこれを攻略するためにあらゆる手をこまねいています。今回は「当人認証」の現在地と筆者が予測する将来を紹介します。
()
悪意のあるSMS経由で認証情報の窃取を狙う「スミッシング」が流行中です。一歩間違えば自らが“加害者”にもなりかねないこの攻撃。“加害者”にならないための究極の対策を紹介します。
()
もうすぐ新卒入社の時期です。最近の学生は下手をすればわれわれよりもITの知識が豊富かもしれませんが、セキュリティについてはそうとも言い切れません。そこで今回は動画も含めた新入社員にお薦めのセキュリティコンテンツを紹介します。
()
サイバー攻撃が盛んな今、「重要データのバックアップを取得しなければ」と思う方もいることでしょう。しかしただこれを取得していれば十分かと言われるとそうではありません。今回は筆者の失敗談から、理想のバックアップ環境を考えます。
()
NCSCが公開したブログが非常に示唆に富んでいます。ネットワーク製品を痛烈に批判するその内容と、われわれが目指すべきセキュリティの形、そのためにベンダーに要求すべきことを解説します。
()
IPAから「情報セキュリティ10大脅威 2024」に関連した解説資料が公開されました。セキュリティ担当者必須の書とはいえ、「業務が忙しくてまだ読めていない」という方もいるかもしれません。そこで今回は筆者の“推しポイント”を紹介します。
()
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。
()
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。
()
最近、企業組織が運営する「X」をはじめとしたSNSアカウントの乗っ取り被害をよく聞きます。なぜこれを防げないのでしょうか。そこには運用面での“欠陥”が存在するようです。
()
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。
()
IPAは「情報セキュリティ10大脅威 2024」の概要を公開しました。毎年恒例のこの脅威リストですが、今回は見逃せない大きな変化と小さな変化がありました。これにはどのような意図があるのか。筆者が考察します。
()
クラウドサービスの急な仕様変更などへの対応は、利用する上で避けられないものですが、「電子メール」にもついにこの波がやってきました。送信者側として取るべき対策は何でしょうか。
()
米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。
()
新年第1回目の本コラムでは、セキュリティベンダー各社が公開している2024年のサイバーセキュリティ脅威予測の中でも筆者が興味深いと感じたものをピックアップして紹介します。
()
最近非常に手口が巧妙化している“サポート詐欺”。これを疑似体験できるWebサイトをIPAが公開しました。その手口を知ることでこうしたフィッシングに冷静に対処していきましょう。
()
フィッシングが激化する昨今、「Gmail」などのメールサービスにおいて電子メール送信者の要件が変更になります。これを踏まえてサービス事業者はどのような対策を講じればいいのでしょうか。
()
端末のデータ保護を担う暗号化技術として筆者が最近注目しているのが「E2EE」(End to End Encryption)です。意外に普及していないこの技術のメリットや、LINEやiCloudでこれを設定する方法を紹介します。
()
最近はITに詳しくない人でも「ランサムウェア」という言葉を聞く機会は少なくないでしょう。ここまでサイバー攻撃が身近になった今、従来の侵入を防ぐセキュリティ対策だけでは不十分だと筆者は言います。
()
2023年ももうすぐ終わりが近づいてきました。年末には大掃除をするのが定番ですが、これを機にPCの中身もあらためて整理してみましょう。
()
いなげややオートバックスセブンの2次元バーコード読み取りで発生した事件には、実は根深い問題が隠れていると筆者は考えます。企業はこれにどう対処すればいいのでしょうか。
()
個人を狙うランサムウェア攻撃は一時期と比べて減少し、攻撃の主軸はフィッシングへとシフトしています。高度化する詐欺に私たちはどう対抗すればいいのでしょうか。
()
今やスマホは生活必需品です。これを拾うまたは落とした場合にはどうするのが正解なのでしょうか。筆者の身近で起こったスマホ紛失の経験からノウハウをお伝えします。
()
会社の「顔」ともいえる「ドメイン」ですが、「重要な情報であり奪われてはならない資産」という認識を持っていない方もいます。これを盗まれるとどうなってしまうのでしょうか。
()
警察庁が最近公開したレポートである言葉がちょっとした話題になりました。それは「ノーウェアランサム」。一体どういった攻撃手法なのでしょうか。
()
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。
()
このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。
()
中国が支援する脅威グループBlackTechについて、日米政府機関が合同で注意喚起を発表しました。なかなか大事のように思えますが、企業または個人にはどのような影響があるのでしょうか。
()
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。
()
サイバー攻撃の中でもフィッシングは古典的ゆえに根絶が難しいものの一つです。この対策を従業員任せにするのではなく仕組みで守るためにはどうすればいいのでしょうか。
()
サイバー攻撃は日々高度化、複雑化しており、想像もつかないような手口で私たちをだまそうとしてきます。今回はJPCERT/CCが注意喚起している奇妙な攻撃について紹介します。
()
新型iPhoneをはじめスマートフォンの新製品が発表される時期が間もなく訪れます。今回は筆者が、スマートフォンに必須だと思う機能を紹介します。買い替えを検討している方は参考にしてください。
()
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。
()
pictBLandのパスワード漏えいインシデントが話題です。本件はログイン時のパスワードの保管方法について問題視されていますが、筆者としては別のポイントに注目したいと思います。
()
動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。
()
今や多くのセキュリティソリューションが世の中に出回っていますが、有料でも入れるべきだと筆者が主張するのが「パスワード管理ソフトウェア」です。これを使うことでどのような世界が開けるのでしょうか。
()
IPAは2023年の「情報セキュリティ白書」を公開しました。PDF版は無償でダウンロードできます。本コラムではセキュリティに関わる方必見の見どころを紹介します。
()
ランサムウェア被害の報告書にはしばしば、「再発防止策として従業員のリテラシーを向上を図る」などと書かれますが、筆者はこれに違和感を覚えます。一体なぜでしょうか。
()
今回のコラムでは、個人のセキュリティ対策で役立つ買い物を3つピックアップしたいと思います。ぜひ次のプライムデーで購入を検討してみてはいかがでしょうか。
()
ランサムウェア対策の重要性が叫ばれる今こそ、"机上の空論"にならないセキュリティ対策が必要です。そして今すぐできる対策として筆者はバックアップを推奨しています。しかしただ「取るだけ」では意味がありません。
()
現役の凄腕セキュリティリサーチャーであるWithSecureのミッコ・ヒッポネン氏が初の邦訳著書の出版を記念して来日しました。40年間インターネットの最前線で活動してきた同氏は本書で何を語ったのでしょうか。
()
毎日のようにランサムウェアなどによる不正アクセス被害のニュースが聞こえてくる昨今、もはや「被害に遭う」前提で企業は対策を進める必要があります。この際にまずやるべきことが「アカウント管理」です。
()
多くの国内企業が企業規模に問わずランサムウェア被害に遭っています。もはや「ウチには重要な情報はない」だとか「ランサムウェア対策は何からすれば……」などとは言っていられない状況です。すぐさま対策に移るための秘策を紹介しましょう。
()
先日、料理研究家のリュウジ氏がWordPressの改ざんを受けた件について報告していました。筆者としては同氏の気持ちは分かるものの、どうもWordPressに関する誤解が広がっているようにも感じます。
()
セキュリティは大変奥深いもので、登山に例えると頂上付近には濃霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を与えます。ただしそんな領域にも第一歩を踏み出すためのドキュメントが用意されているのです。
()
パスワードの使い回しはユーザーにとってはもちろん、サービス運営側にとってもリスクです。ではサービス運営側はこれに向けてどのような対策を講じればいいのでしょうか。その鍵はパスワード使い回しを前提としたサービス設計にあります。
()
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。
()
セキュリティ対策では“普段できていると思っていること”を見直すのも非常に重要です。今回は筆者が実践した“保険”と“バックアップ”対策を紹介します。
()
サイバー攻撃が高度化し、パスワードを使ったセキュリティ対策が万全とは呼ばれなくなった今、新たな手段として注目されているのが「パスキー」です。これによってどのようなメリットが得られるのでしょうか。Googleのパスキーを試してみました。
()
ランサムウェア対策は決して簡単ではありません。「どうするべきか」と悩む企業のヒントになるかもしれない本が登場しました。
()
AIの進化でさまざまな業務を効率的に行えるようになってきていますが、同じ変化はサイバー攻撃者にも起きています。これまでと同じ感覚ではあなたが被害に遭うかもしれません。
()
アプリケーションやOSの脆弱性に「どこまで対応すればよいのだろうか」と悩む担当者は多いでしょう。今回はセキュリティパッチの提供タイミングからヒントを見つける方法を考えます。
()
家にあるルーターが犯罪に使用されるケースが出ています。自分のルーターが悪用される前にできることをやっておきましょう。
()
警視庁が家庭用ルーターの不正利用に関する注意喚起を公開しました。ルーターの設定不備を狙ったサイバー攻撃が発生している今、対策を講じることは非常に大事ですが、“言うは易く行うは難し”かもしれません。
()
DXの一環で自社のECサイト構築を考えている企業もいることでしょう。ただし、その際にセキュリティをおろそかにすると、クレジットカードなどの顧客情報が漏えいして恐ろしい事態に発展することも。そんな悲劇を回避するにはどうすればいいのでしょうか。
()
複数のセキュリティベンダーがマルウェアEmotetの活動再開を報じています。今回も新たな攻撃手法を駆使しているらしく十分な警戒が必要ですが、対策を講じる前にあらためてチェックしておくべき項目を紹介しましょう。
()
IPAによる2023年版「情報セキュリティ10大脅威」の解説書が公開されました。10大脅威はランキングを知るだけで満足してしまいがちですが、本当に大切なのはこの後。解説書に書かれた対策を実践することなのです。
()
最近、CISOやCSIRT担当者、現場のセキュリティ担当者のための資料やドキュメントが充実してきたように感じます。今回はその中でも「セキュリティ対応組織の教科書」について紹介しましょう。手探りでセキュリティを進めている担当者は必見です。
()
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。
()
ランサムウェア被害が拡大する今、大企業だけでなく中小企業にとってセキュリティ対策を講じることは急務となっています。しかし、なかなか対策が進まない背景には何があるのでしょうか。
()
2023年版の「情報セキュリティ10大脅威」が公開されました。個人部門、組織部門ともに大きな変化はないように思えますが、筆者はここから“悪い兆候”を読み取りました。
()
自社のセキュリティ戦略をどう進めるべきかに悩むCISOや経営者の強い味方となる書籍が発売されました。その名も「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」です。本書の“何がすごいのか”を紹介していきましょう。
()
埼玉県の病院で、業務中に音声を生配信してしまった情報漏えいインシデントが発生しました。“うっかりミス”を防ぐために私たちにできることは何でしょうか。対策のヒントをお伝えします。
()
新たな年が始まり、セキュリティ企業各社が2023年のセキュリティ予測を発表しています。今回はその中でも個人的に気になるトピックを幾つかピックアップしました。
()
2023年が始まりました。変わらずサイバー攻撃は激化の一途をたどっています。企業としては「新しいセキュリティ対策」や「完璧なセキュリティ対策」といった言葉についつい踊らされてしまいますが、まずは「基本の徹底」から確認しましょう。
()
2022年も間もなく終わりを迎えます。読者の皆さん、セキュリティ対策は十分でしょうか。少し気が早いかもしれませんが、2023年に向けてやるべき“セキュリティ対策の基礎”を紹介しましょう。
()
IPAが公開する「情報セキュリティ10大脅威」には長い歴史があります。変化の激しいセキュリティの世界、ランクインした脅威の変遷を見ていると新たな発見があるかもしれません。
()
サプライチェーン攻撃が話題に挙がる昨今、小さな組織とってもセキュリティ対策は無縁ではありません。しかし何から始めればいいのか分からない、そういった企業に向けた2つの対策をおすすめします。
()
尼崎市は2022年11月28日、同年6月に発生したUSBメモリの紛失事案に関する調査報告書を公開しました。今回はそれを読んで筆者が考えたことをお伝えします。
()
ITの世界では製品導入において常々「ベンダーロックイン」vs.「ベスト・オブ・ブリード」の議論が持ち上がります。セキュリティ業界においてはこれをどう考えるべきなのでしょうか。
()
イーロン・マスク氏の買収によってTwitterに激震が走っています。一部ではサービス終了のニュースも出ており、ユーザーとしても今後の動向が気になるところでしょう。今回の騒動を受け、私たちはどのようなセキュリティ対策を講じるべきでしょうか。
()
コロナ禍も少し落ち着きを見せ、日本から海外に向かう旅行者が少しずつ増えていくかと思います。米国に行く人にとって、少し注意してほしいセキュリティ問題が発生しました。
()
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。
()
子どもたちがインターネットに触れるタイミングが低年齢化している昨今、彼らが安全にインターネットを利用するには大人のサポートが必要不可欠です。ただこのサポートでも意外と学ぶことは多いかもしれません。
()
欧米で流行していた「SIMスワップ」というサイバー攻撃手法が日本でも流行の兆しをみせています。そもそもSIMスワップとは何か。なぜこのサイバー攻撃に注意すべきなのかを筆者が解説します。
()
Fortinetの複数製品における管理画面の脆弱性(CVE-2022-40684)が話題を集めています。既にサイバー攻撃についてのPoCも公開されているため、喫緊の対策が求められています。企業が今すぐできることとは何でしょうか。
()
セキュリティ脅威が活発化する今、偽のWebサイトやフィッシングメールを見破る方法などがSNSで拡散されるケースがあります。確かにこうした一目で判断できる基準があればいいのですが、現実はそう簡単にはいきません。
()
意外なところで脆弱(ぜいじゃく)性が見つかっています。サプライチェーンでのサイバー攻撃を防ぐために、企業はどのように取り組むべきなのでしょうか。
()
注目すべき2つのセキュリティ機能がiOS 16に追加されました。使いこなせばセキュリティを高めるものの、知らずに使うと逆効果かもしれません。
()
人気アプリが起こした一件の騒動が、私たちに大切なことを教えてくれるかもしれません。情報漏えいの危険を減らすためには少しの工夫が必要です。めんどくさいと思ってもまずはトライしてみましょう。
()
セキュリティ領域で注目なキーワードといえば何を思い浮かべるでしょうか。攻撃を素早く検知して被害を最小限にするための「EDR」や、境界防御を一新して認証の考え方を根本的に変える「ゼロトラスト」などが思い浮かぶでしょう。今回はそれらのキーワードよりも新しい「SBOM」を考えてみたいと思います。
()
これまで多く存在したセキュリティに関する指南書ですが、読者の疑問を的確に反映したものは多くありませんでした。今回のIPAによる指南書は他とはアプローチが異なり、楽しく理解を深められるかもしれません。
()
KDDIの通信障害やAppleの脆弱(ぜいじゃく)性に関する発表など、現代の生活において「必要不可欠になっているデバイス」に関わる障害は私たちに大きな影響を与えます。今後も増えると予想されるセキュリティ問題に、私たちは個人としてどのように取り組むべきなのでしょうか。
()
サイバー攻撃は企業に対してだけでなく、私たちの身近なところでも当たり前のように起きています。企業が標的とされたSNSでのサイバー攻撃の事例を基に、身近に起きる攻撃への対応策を考えましょう。
()
組織のセキュリティと同じように、サイバー攻撃も巧妙化しています。2要素認証において、組織に重要な取り組みとマインドセットを解説します。
()
インターネット普及期には大きなメリットがあった独自ドメインの取得ですが、「Gmail」などの使い勝手がいい無償の電子メールサービスが登場してからはあまり魅力がなくなってきています。今回は個人で取得したドメインの“終活”についてお話ししましょう。
()
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。
()
脱PPAPの流れから、電子メールの添付ファイルを受け取り拒否する企業も増えてきています。「電子メールは届いて当たり前」という考え方を見直すべき時代が来ているのかもしれません。
()
Windows 8.1が2023年1月10日でサポートを終了します。Internet Explorerのときと同様の混乱も予想されますので、しっかり準備しておきましょう。“サポート切れOSでも使えるから使う”という考えはあらためる必要がありますよ。
()
先日、ディスクユニオンがパスワードを含む、オンラインショップで登録された個人情報が流出したと発表しました。私たちが利用するサービスのセキュリティレベルは一見判断しづらい部分です。これに向けてどう対策を講じればいいのでしょうか。
()
兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。
()
近年、Webサイトやメールを利用したフィッシングはますます高度化し、一見しただけでは本物と偽物の区別が付かないケースも出てきています。さらに自社のWebサイトが検索トップに表示されるなんてことも起きたらどうすればいいのでしょうか。
()
警察庁はマルウェア「Emotet」に新機能が追加されたと発表しました。「Emotetは企業を標的にしたもので自分には関係ない」と感じていた人たちにとって、この新機能の追加は、脅威を自分ごととして考え直すきっかけになるかもしれません。
()
コロナ禍を経て多くの企業がテレワークに移行したかと思いますが、セキュリティ対策は十分でしょうか。今回は中小企業向けに総務省が公開した資料を紹介します。
()
NASを標的にしたサイバー攻撃がたびたび話題になっています。CISAの「既知の悪用された脆弱性カタログ」にもNASの脆弱性が登録されている今、これに向けた対策は個人、組織を問わず喫緊の課題です。では、まず何から始めればいいのでしょうか。
()
「既知の悪用された脆弱性カタログ」を公開するCISAは、5月を「MFAMay」、つまり多要素認証の強化月間に設定しています。これを機に皆さん、多要素認証を導入しませんか。
()
Emotetの脅威が活発化していますが、これを確実に防げるソリューションというのは現状は残念ながら存在しません。今回はソリューション頼みのセキュリティ対策から脱却するための第一歩を考えます。
()
最近のサイバーセキュリティ環境ではEmotetばかりに注目が集まっていますが、当然他にも重大な脅威は存在します。今回はUPnPにまつわる2つのセキュリティトピックを紹介しましょう。
()
5月の大型連休が近づいてきました。Emotetやサポート詐欺といった脅威が活発化していますが、連休前のセキュリティチェックは十分でしょうか。今回は「十分ではないがどうしよう」という企業に向けて、注意すべきたった一つのことを紹介します。
()
脅威が高度化し、見ただけでは本物かどうか区別できないメールやSMS、Webサイトが増加しています。フィッシング対策の中には、これらを目視で見分ける方法を教えるものもありますが、本質的な問題解決に役立つのでしょうか。
()
IPAが「組織における内部不正防止ガイドライン 第5版」を公開しました。内部不正に関する豊富な事例と企業が抑えるべきポイントを紹介します。「ウチの従業員は信頼できる」と考えている経営者こそ目を通すべき資料です。
()
小島プレス工業が不正アクセス被害に関する調査報告書を公開しました。本稿は、報告書を読み解きつつ、サプライチェーン攻撃に備えて企業がまずやるべきことを明らかにします。
()
サイバー攻撃の中でも、ひときわ進化のスピードが著しい分野が「フィッシング」でしょう。新たなテーマが見つかるとこれに乗じた攻撃が流行する恐れがあるため、日常的な情報収集が必要不可欠です。今回は「えきねっと」に関連した詐欺を紹介します。
()
サイバー攻撃はもはや情報システム部門だけではなく、従業員一人一人が当事者意識を持って対処すべき深刻な経営リスクです。今回は「こんなの当たり前だよ」と思っていることでも意外とできていないセキュリティのポイントを3つ紹介します。
()
依然猛威を振るうマルウェア「Emotet」ですが、個人的にはまだまだ対策が進んでいないと感じます。「自分は関係ない」と思わず、当事者意識を持って対策を講じるにはどうすればいいのでしょうか。
()
トヨタ自動車のサプライチェーンを標的にしたサイバー攻撃やマルウェア「Emotet」の活発化など外部脅威の激化がとどまるところを知りません。現状を踏まえて私たちはどのような対策を講じればいいのでしょうか。
()
メールでの「パスワード付き圧縮ファイル」の仕組み、いわゆる「PPAP」を悪用したEmotetといったマルウェアの感染拡大が活発化しています。サービス提供企業が対策を講じる中、「脱PPAP」を進めるための代替策とその課題を考えてみました。
()
今月は「サイバーセキュリティ月間」ということで、子どもにも理解できるセキュリティ資料を2つ紹介します。“子ども向け”だからといって侮ってはいけません。大人ことこうした資料の中に意外な学びを発見できるはずです。
()
Gmailのユーザーにとってログインの度にパスワードを入力するのは安全である一方で面倒な作業です。何とかこれを楽にできないか調べてみたところスマートフォンを活用した方法が見つかりました。
()
確定申告時にマイナンバーカードとスマホを活用した新たな認証方式が導入されました。面倒な作業を簡略化してよりセキュリティを強化したこの仕組みを詳しく解説していきます。
()
政府機関や各種団体は、毎年2月をサイバーセキュリティ月間として定めています。今回はIPAの2022年情報セキュリティ10大脅威を始めとした今学ぶべきセキュリティトピックを紹介します。
()
2022年1月15日(日本時間)に発生したトンガ海底火山の噴火は日本にも影響を及ぼしました。特にITの世界では、神奈川県の津波注意報に伴う緊急速報メールが“プログラム設定ミス”で複数配信されたことが話題を集めています。私たちはこの事件から何を学べばいいのでしょうか。
()
フリーマーケットで販売されていたHDDに、企業のビジネス文書が含まれていたとして話題になりました。これを教訓に今回は個人でできるバックアップHDDの安全な運用管理を考えていきます。
()
年末年始読者の皆さんはどう過ごされたでしょうか。筆者は1冊の本を読んでセキュリティと国内の法律に関する学びを得ました。「エンジニアはITの知識だけあればいい」という時代は過去のものとなりつつあるのかもしれません。
()
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。
()
Windows 11へのアップグレードでは、TPM 2.0相当の機構がシステム要件の一部となっています。ではこのTPM 2.0=“セキュリティチップ”はどの程度セキュリティに有効なのでしょうか。
()