2024年4月(4月1日~4月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。 国内マルウェア検出数*1の推移 (2023年11月の全検出数を100%として比較) *1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
4月に検出数が急増。意図せずインストールされる「PUA」とは?
2024年4月(4月1日~4月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。 国内マルウェア検出数*1の推移 (2023年11月の全検出数を100%として比較) *1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
CISAのランサムウェア警告を半数以上が“無視” なぜ重要インフラ組織は動けないのか?
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ランサムウェア攻撃を受ける可能性がある組織に直接警告をしたが、システム内の脆弱(ぜいじゃく)なデバイスを減らすための行動を取ったのは半数以下だった(注1)。 通知企業の半数しか対策せず なぜ重要インフラ組織は動けないのか? CISAは2023年、ランサムウェア防止プログラム「RVWP」(Ransomware Vulnerability Warning Pilot)の一環として、インターネットにアクセス可能な脆弱なデバイスを運用する(電力やガス、鉄道、空港などの)重要インフラ組織に対して、ランサムウェアの脆弱性に関する警告を1754件送信した。 同庁は「私たちの調査結果によると、1754件のうち852件は、CISAからの通知を受けてパッチが適用されたり、対応策が実施されたり、オフラインにされたりした」と述
結局アナログが1番。このカードのおかげでパスワードの生成・管理が一気にラクになった | ライフハッカー・ジャパン
使い回しを避けたり定期的に変更したりといった、パスワードの運用法に頭を悩ませている方も多いのではないでしょうか。 いくらセキュリティ上の観点からは重要だとわかっていても、複雑なパスワードが増えすぎると覚えておくのも大変。自らかけたカギでサービスから締め出されるくらいなら、脆弱性に目をつむったほうがまし、とのリスキーな思想に陥ってしまいがちです。 「PassCard」は、アナログでパスワード生成できるアイデアプロダクト。強力なパスワードを実質無限に生成できる「PassCard」を試してみたところ、シンプルにパスワード管理できそうだとわかったので内容をご紹介していきます。 生成するパスワードが安心安全Photo: 山田洋路サービスごとに一意なパスワードを生成する手法として、「置換暗号」を利用したものがあります。アルファベット配列やキー配列をもとに、“右に1字ずらす”といったルールを設けて文字列
ウクライナ人に偽情報を広めるスパムメール「Texonto作戦」
ESET社の調査により、ウクライナの人々を標的にスパムメールを利用して偽情報を広める心理作戦が行われていたことがわかりました。その詳細を解説します。 ESET社の研究者と製品は、長年にわたってウクライナのITインフラを保護してきました。2022年2月にロシアがウクライナに侵攻してから、ESET社はロシアとつながりのあるサイバー攻撃組織による膨大な数の攻撃を阻止し、調査してきました。また、WeLiveSecurityでも注意が必要な重要ないくつかの調査結果を発表しています。 ・https://www.eset.com/jp/blog/welivesecurity/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/ ・https://www.eset.com/jp/blog/welivesecurity/industroyer2-in
AWS Configのコストを95%削減しつつ記録を残すことを諦めない - Nealle Developer's Blog
はじめに SREチームの大木( @2357gi )です。 ECS Serviceのオートスケーリングやバッチなど、ECS Taskの起動停止が頻繁に行われる環境でAWS Configを有効にしていると、AWS Configのコストが無邪気に跳ね上がってしまうことがあります。 インターネット上では特定のリソースを対象外にすることによりコストを抑える手法が多くの記事として見かけますが、対象外にするとAWS Config側で「リソースタイムラインの表示」ができなくなったり、Security hubで使用する情報の記録を行うことができなくなってしまいます。 そこで、特定のリソースを「記録から除外」するのではなく、「日時記録に設定」することにより前述した懸念点を解消しつつ、コスト削減をすることができたので紹介します。 経緯 我々のプロダクトでもサービスのスケールや機能拡大に伴い AWS Config
225万円のロレックス、偽造マイナカードで勝手に購入 “目視”ベースの本人確認が抜け穴に
スマホを勝手に機種変更される、225万円するロレックスを勝手に購入されるなど、偽造マイナンバーカードを使った被害が後をたたない。 東京都の風間ゆたか都議は、4月17日に偽造マイナンバーカードを悪用されて携帯電話を乗っ取られたとXで明かした。その後もPayPayで勝手にチャージや決済の操作をされた上、クレジットカードで10万円を超える被害にあったという。 大阪府八尾市の松田憲幸市議は5月2日、偽造マイナンバーカードを使った犯罪に巻き込まれたことをやはりXで明かした。4月30日に偽造カードを使ってスマホを機種変更されていたことがわかり、5月1日にはオンラインショップで225万円もするロレックスの腕時計「デイトナ」を購入される被害にあったという。 なぜこんなことが起きるのか。テクノロジーを悪用した犯罪に詳しいITジャーナリストの三上洋氏は、携帯電話会社やショッピングサイトの本人確認が簡素になって
家で使っているルーターが乗っ取られて「ゾンビ」になる!? 気をつけることは
家庭のルーターはサイバー犯罪者の標的になる スマートフォンやPCを使うとき、オンラインで利用しないというケースはめずらしいだろう。インターネットにつなぐのは当たり前の時代、ルーターを保有している家庭も多いはずだ。 しかし、セキュリティ意識が必ずしも高くない環境で利用されている家庭用ルーターは、悪意のある人間にとっては標的にしやすいもの。第三者にルーターを不正利用され、踏み台にされてしまうサイバー犯罪もあることに注意が必要だ。 総務省、国立研究開発法人情報通信研究機構(NICT)、一般社団法人ICT-ISACが運営する、IoT機器のセキュリティ対策向上プロジェクト「NOTICE」(National Operation Towards IoT Clean Environment)をご存知だろうか。 NOTICEでは、家庭のルーターやネットワークカメラなどIoT機器の安全啓発のための動画を、Yo
「フレームワークで脆弱性対策されているのに現実のアプリケーションに脆弱性が減らないワケ」EGセキュアソリューションズ 徳丸 浩 | Forkwell Press | フォークウェルプレス
本日のテーマは「フレームワークでは脆弱性を担保する素晴らしい機能があるのにどうして脆弱性が残ってしまうのか?」です。先に答えを言ってしまうと、勝手に安全になるものと、フレームワークでは担保されておらず、開発者自身が意識しないといけないものがあるからです。開発者が意識すべき脆弱性を見ていきましょう。 『よくわかるPHPの教科書』を検証してみる 『よくわかるPHPの教科書』で紹介されているソースコードの一部を実際にデモで動かしてみます。 // ここまでで、認証済みであるこの検査が済んでいる $id = $_REQUEST['id']; // 投稿を検査する $sql = sprintf('SELECT * FROM posts WHERE id=%d', mysql_real_escape_string($id)); $record = mysql_query($sql) or die(mys
「三菱UFJ銀行」と「メルカリ」のフィッシング詐欺が増加――BBソフトサービス調査
BBソフトサービスが、詐欺サイト専用セキュリティソフトで検知・収集したデータを基に、インターネット詐欺サイトの傾向を分析しました。 ソフトバンクグループでセキュリティ製品・サービスをISPや携帯電話会社などの通信事業者を通じて提供しているBBソフトサービスは、2023年3月度のインターネット詐欺リポートを公開しました。同社が提供するネット詐欺専用セキュリティソフト「詐欺ウォール」による検知・収集データを基にインターネット詐欺の傾向を分析しています。 2024年3月の詐欺ウォールによる詐欺サイト検知数は410万490件で、2024年2月と比較すると、90万8833件減少しました。 3月度の傾向としては「三菱UFJ銀行」と「メルカリ」のフィッシング(実在する組織を騙ってユーザIDやアカウント、銀行口座の暗証番号、クレジットカード番号などを詐取する行為)が急増しました。三菱UFJ銀行は実数で30
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか? 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方(通称徳丸本)」を出したのが2011年3月でして、それから13年以
「認証」を整理する | IIJ Engineers Blog
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
データサイエンティストがセキュリティを学ぶポジティブな理由 - Qiita
はじめに ◆この記事は何? セキュリティを学んで良かったこと、セキュリティを学ぶ理由について紹介する記事です。 ◆この記事のねらい セキュリティを勉強する際のモチベーション向上につながれば幸いです。 先に結論 データサイエンティストの私がセキュリティを学ぶ理由 市場価値を高めるため 実装力を高めるため 学習効率を上げるため セキュリティを学んで良かったこと コンピュータサイエンスの基礎が広く学べる いろんなエンジニアと、なんとなく会話できるようになった セキュリティに対して主体的になった 背景 2024年春に、情報処理技術者試験の情報処理安全確保支援士試験(旧セキュリティスペシャリスト試験)を受験しました。 お恥ずかしながら、これまで時間をかけてセキュリティを学んではいませんでした。 応用情報やAWS認定資格などの資格取得のため必要になったら学ぶ、業務で必要になったら調べる、程度の勉強でし
ゼロトラストの最新トレンド5つをガートナーが発表
ガートナージャパン(以下、ガートナー)は2024年4月22日、ゼロトラストの最新トレンドを発表した。 セキュリティリーダーが押さえるべきゼロトラストの最新トレンド 同社は2024年3月に国内の組織を対象に、2020年の新型コロナウイルス感染症の感染拡大以降、「ゼロトラスト」の名目で実施したセキュリティ対策について聞いた。これによると企業が見直しまたは強化したセキュリティ対策として以下の3つが上位にランクインしたという。 アイデンティティーおよびアクセス管理: 国内企業における認証強化、ユーザーのアクセス管理、特権アクセス管理は、コロナ禍におけるテレワークの急増に呼応する形で大幅に進んだ。ユーザーのアクセス管理については、対策の実施を急いだ結果、最低限の機能しか有していないツールを導入したケースも散見されており、今後対策見直しの動きが出てきている SASE: ネットワークセキュリティへの関心
エンジニアというITの専門家でありながら、小賢しいWeb系の詐欺に80%ぐらいはまって死にかけた話 - Qiita
みなさんこんにちは!記事を読んでくださりありがとうございます。 Qiitaには初投稿なので、簡単に自己紹介をさせてください。 自己紹介 ・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています ・2024年7月に日本に帰国し、プロダクトオーナーに転身します ・大阪出身です 何が起こったかの概要 タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。 時系列での解説と違和感ポイント みなさん、Facebookには「マーケットプレイス」という機能があるのをご存知でしょうか?日本で言うジモティーのような機能です。カナダでは不用品の売買でFBのマーケットプレイスが非常によく利用されます。私は2ヶ月後に日本へ引
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「パスワードは定期変更の必要なし」総務省が国民向けサイトで正式見解【やじうまWatch】
複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう
マイナンバーカードの電子証明書の更新に行ってきた ~いたって簡単、青色申告の個人事業主は注意~
Gmailにメールが届かなくなる!? 5月中にやるべき対応策をマンガで教えてください!WACUL安藤健作さんに聞いてきた | Webのコト、教えてホシイの!
