最新記事一覧
2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。
()
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。
()
Microsoftは生成AIソリューションSecurity Copilotをセキュリティ業務にどう活用するか、そのユースケースを発表した。この中では同社が実践している、安全なAI利用に向けたフレームワークの整備などについても語られた。
()
IPAは、情報セキュリティ10大脅威 2024に関連した3つの解説書を追加公開した。脅威の詳細と具体的な対策、ドキュメントの活用法などがまとめられている。
()
IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。
()
SaaS事業者がサイバー攻撃の被害を受けてサービスを停止したり、ヒューマンエラーなどによって個人情報が漏えいしたりといったセキュリティ事案が発生している。安心、安全なSaaSを見極めてセキュリティ性を適切に評価するポイントを探ります。
()
ランサムウェアの脅威はかつてないほど深刻で、予防策は依然として不十分であり、新たなインシデント報告とコンプライアンス規制の波が押し寄せている。専門家たちが2024年に注目する5つのセキュリティトレンドとは。
()
サイバーレジリエンスを詳細に解説してきた本連載。最終回はこれを高める14の手法のうち、これだけはやっておきたい3つの対策を紹介します。
()
IPAは「情報セキュリティ10大脅威 2024」の概要を公開しました。毎年恒例のこの脅威リストですが、今回は見逃せない大きな変化と小さな変化がありました。これにはどのような意図があるのか。筆者が考察します。
()
IPAは2023年に社会的影響を与えたセキュリティの脅威を「情報セキュリティ10大脅威 2024」として公表した。
()
IPAは「情報セキュリティ10大脅威 2024」を公表した。2023年に発生した情報セキュリティ事案から、社会的に影響が大きかったトピックを「個人」の立場と「組織」の立場のそれぞれに選出した。
()
文中リンクを踏んでしまう前に、URLを読むクセを付けるしかない……。
()
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。
()
通販サイト「ケーズデンキオンラインショップ」が不正ログインを受け、なりすまし注文が17件発生。
()
米証券取引委員会(SEC)のXの公式アカウントが乗っ取られ、ビットコインのETFを承認したと偽のポストをした件で、XはSECへのSIMスワップ攻撃が原因であり、Xのシステムが侵害されたわけではないと説明した。SECは翌日、ETF承認を正式に発表したがXにはポストしていない。
()
米証券取引委員会(SEC)のXアカウントに何者かが不正にアクセスし、暗号資産(仮想通貨)ビットコインの現物に連動する上場投資信託(ETF)を承認したとの偽メッセージが投稿された。20分後に削除され、当局と協力して調査するとしている。
()
Microsoftは、政府機関を含む25の顧客の電子メールアカウントがハッキング被害を受けた件で、クラウドセキュリティログ機能を無償で提供していたが、この機能のデフォルト保存期間を延長した。
()
情報システム部門は必要なセキュリティ対策を全て導入したい。一方、経営陣にとっては事業継続に必要な最小限の投資にとどめたい。両者に折り合いがつく「ちょうどいい」セキュリティ対策とは。近年、次々と機能アップデートを仕掛けるHENNGE Oneのプロダクトマネジャーに話を聞いた。
()
NECは「NECサプライチェーンセキュリティマネジメント for ネットワーク」のサービス版を提供する。ソフトウェア版にはない幾つかの新機能を追加している。
()
国土交通省港湾局は「コンテナターミナルにおける情報セキュリティ対策等検討委員会」第2回委員会を開催した。この委員会は、2023年7月4日に発生した名古屋港のコンテナターミナルにおけるシステム障害の原因を究明するとともに、再発防止に必要な情報セキュリティ対策について検討することを目的としている。
()
「えきねっと」で、11月1日から2段階認証が導入される。えきねっとをかたるフィッシング詐欺が相次ぐ中、セキュリティを強化する。
()
パスワード管理ツールの定番「1Password」のiOS版が、パスワードレス認証「パスキー」に対応した。
()
ニンテンドーアカウントにパスキー認証機能が追加。スマートフォンやPCから生体認証などを使ってニンテンドーアカウントにログインできる。
()
テレビのリアリティー番組出演者だった男性の公式Instagramアカウントに、本人の訃報が掲載された。これを見て一部メディアが男性死亡のニュースを報道。ところが翌日、本人が「私は生きている」と宣言した。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月27日週を中心に公開された主なニュースを一気にチェックしましょう!
()
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。
()
pictBLandのパスワード漏えいインシデントが話題です。本件はログイン時のパスワードの保管方法について問題視されていますが、筆者としては別のポイントに注目したいと思います。
()
Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。
()
セキュリティガバガバお嬢様が「平文保存」について疑問を抱いています。
()
バイデン政権はIoTデバイスの保護を目的とした消費者向けのラベリングプログラムを発表した。ホームルーターの脆弱性などを狙ったサイバー攻撃が絶えない今、IoTセキュリティを強化する。
()
GMW(名古屋市)が運営する、ボーイズラブ(BL)に特化したSNS「pictBLand」(ピクトブランド/ピクブラ)にて、IDやパスワードを含む個人情報の漏えいが発覚した件に関し、ニコニコやピクシブといったクリエイターとの親和性が高いサービス各社が、ID・パスワードを使いまわしているユーザーに対し、早急な変更を呼びかけている。
()
セキュリティガバガバお嬢様がまた何かやらかしたようです。
()
BLに特化したSNS「pictBLand」(ピクブラ)が不正アクセスを受け、ユーザーのメールアドレスやパスワードが流出した可能性。被害範囲は明らかにしていないが、サービスの累計ユーザーは130万という。
()
「パスキー」(Passkey)の活用により、パスワードによる認証を段階的になくそうとするGoogle。同社はなぜ「脱パスワード」を推し進めるのか。パスワードレス認証の普及に対する、セキュリティ専門家の見方は。
()
ログインメールアドレス、ログインパスワードが流出した可能性があるとしています。
()
クラウド/クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第3回はMicrosoft Azureプラットフォームログのセキュリティモニタリングについて解説する。
()
AppleやGoogleも一気に対応を進めつつある「パスキー」。具体的にどのような仕組みなのか? パスワードレスの技術として広まってきた従来のFIDO認証とは何が違うのか? Interop Tokyo 2023でFIDOアライアンスの土屋敦裕氏が解説した。
()
高度化、巧妙化するサイバー攻撃が頻発する中、データを暗号化して、金銭的脅迫をするランサムウェアが猛威を振るっている。従来はバックアップを取得することが対策の定石だったが、昨今はバックアップデータ自体が狙われることもある。現実的かつ費用対効果の高い施策を実施するにはどうすればよいのか。
()
本連載では、ガイドラインが示す、今必要な工場セキュリティ対策を解説する。最終回となる今回は、ランサムウェアの被害事例を基に、ガイドラインに沿ったセキュリティ対策を紹介する。
()
セガが「ファンタシースターオンライン2 ニュージェネシス Ver.2」のユーザーアカウントを対象としたパスワードリスト型攻撃を検知したとして注意喚起。認証情報を他サービスから使い回しているユーザーに対策を呼び掛けている。
()
NTTドコモが身に覚えのない携帯電話の契約に気をつけるよう呼びかけている。何者かが大手企業などを装い、フィッシングサイトへ誘導する事例や、何者かが契約者本人になりすまし、不正に契約する事例もある。ドコモはフィッシング詐欺に関するケースと対処法も公開している。
()
2023年6月、ITmedia Security Week 2023 夏で、日本ハッカー協会 代表理事 杉浦隆幸氏が「クラウドサービスの怖い話」と題して講演した。
()
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。
()
パスワード管理はセキュリティ対策の基本。でも10以上のSaaSのパスワードを管理することがあなたにはできるだろうか。多くの場合、パスワードを使い回したり、同じような文字列を用いて下2桁の数字を変える程度のバリエーションになってしまうのではないだろうか。これを解決してくれるのが今回紹介するパスワード管理ツールだ。
()
パスワードの使い回しはユーザーにとってはもちろん、サービス運営側にとってもリスクです。ではサービス運営側はこれに向けてどのような対策を講じればいいのでしょうか。その鍵はパスワード使い回しを前提としたサービス設計にあります。
()
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。
()
エーザイが、同社グループの取引先情報約1万1000件が漏えいした可能性を発表。何者かが海外法人に勤める社員のアカウントに不正ログインし、グループ横断で使っていたクラウドサービスにアクセスしたという。
()
サイバー攻撃が高度化し、パスワードを使ったセキュリティ対策が万全とは呼ばれなくなった今、新たな手段として注目されているのが「パスキー」です。これによってどのようなメリットが得られるのでしょうか。Googleのパスキーを試してみました。
()
活発化するサイバー攻撃。次は「どこが」「何が」狙われるのだろうか。IBMの調査レポートから今後とるべき対策が示された。
()