新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS（ソフトウエア・アズ・ア・サービス）の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年

日本の防衛関連企業がサイバー攻撃に遭っていた事実が明らかになった。原因はセキュリティー製品に潜む「未知の脆弱性」にあった。日本企業は世界から狙われており、全ての企業が対策を急ぐ必要がある。防衛情報に不正アクセス三菱電機は1月20日、一部報道を認める形で、2019年6月に検知したサイバー攻撃により一部の業務情報や個人情報8122人分が流出していたと公表した。NECも1月31日、16年以降に受け

Microsoftの更新サービス、2020年も苦いスタートを切る：その知識、ホントに正しい？ Windowsにまつわる都市伝説（155） Microsoftが毎月、Windowsやその他の製品に対して提供する「品質更新プログラム」。ここ数年、品質更新プログラムが“品質を向上する更新”ではなく、“品質を低下させる更新”なんじゃないかという状況が続いているように感じます（個人の感想です）。2020年に入って2カ月、幾つかの品質更新プログラムがさまざまな問題を引き起こしているようですが、Microsoftが認識し、公表しているものをまとめてみました。なお、Microsoftから公表されていないものの、ユーザーフォーラムなどでは2020年2月のセキュリティ更新を原因とする他の深刻な問題（ユーザープロファイルやデータの消失、起動不能になるなど）も指摘されているようです。ご注意ください。

NHK総合「クローズアップ現代＋」で、3月4日22時より「追跡！ネット広告の闇　“アカウント売買”～気づかぬうちに個人情報が売りさばかれる～」が放送されます。Twitterなどで見かける「フォロー＆リツイートで現金プレゼント！」といった「プレゼント企画」の裏に潜む、アカウント売買の実態や危険性について迫る内容。 フォローとリツイートから詐欺に巻き込まれる可能性が これまでにも「ネット広告の闇」として、「やらせレビュー」や「水増しインフルエンサー」などの話題を取り扱ってきたシリーズ特集企画の一環。今回はSNSで乱立する、フォローとリツイートを条件に現金を配布するという「現金プレゼント企画」の裏側を追っています。 公開されている予告ページによると、プレゼントに応募した人からは「手数料をだまし取られた」「投資話に巻き込まれた」といった報告が後をたたないとのこと。また、企画運営者の真の目的は「アカ

ダークウェブ上にビットコインの取引に利用するアカウント販売の書き込みを行っていたとして京都府警は千葉県の男を逮捕しました。府警を含む合同捜査本部は2018年11月以降ダークウェブ上の違法取引に対して全国的な一斉摘発を行っています。ここでは関連する情報をまとめます。 オニオンちゃんねるへのアカウント売却の投稿 千葉県の男が摘発されたのは「オニオンちゃんねる」へ行った2018年5月17日の投稿から。京都府警は同月にサイバーパトロールでこの投稿を発見。 ビットコイン取引に必要な他人名義のアカウント情報（ID、パスワード）の販売を持ち掛けるものだった。販売額は2万円。*1 今回売却が呼びかけられた他人名義のアカウントは購入には至っていなかった。*2 男は知り合いに頼み、仮想通貨取引用のアカウントを作成させていた。*3 容疑は犯罪収益移転防止法違反（仮想通貨の広告規制）で、正当な理由なく有償提供の広

パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局（FBI）のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所（NIST）がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。 これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。 そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げ

スマートフォンやノートPCで幅広く使用されるWi-Fiは、セキュリティプロトコルのひとつである「WPA2」などによって通信を暗号化することでセキュアな通信を実現しています。しかし、そのWi-Fiを利用する端末に通信を傍受される新たな脆弱性を発見したと、セキュリティ会社のESETが発表しました。この脆弱性の影響を受けるデバイスは10億を超えるとされています。 kr00k | ESET https://www.eset.com/int/kr00k/ New Kr00k vulnerability lets attackers decrypt WiFi packets | ZDNet https://www.zdnet.com/article/new-kr00k-vulnerability-lets-attackers-decrypt-wifi-packets/ 「Kr00k」と名付けられたこの

OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。

運営するサイトにマイニングソフト「Coinhive（コインハイブ）」を設置したとして、Webデザイナーのモロさんが不正指令電磁的記録 取得・保管罪（通称：ウイルス罪）に問われている裁判で2月7日、東京高等裁判所は一審での無罪判決を破棄し、モロさんに罰金10万円の支払いを命じる有罪判決を言い渡しました。なぜ高裁は逆転有罪の判断を下したのか、判決文を解説します。 家宅捜索を受けた際に公開された被告・モロさんのブログ（ブログより） 事件のあらまし サイト訪問者のPCのCPUを使ってWebブラウザ上で仮想通貨をマイニング（採掘）させる「Coinhive」を設置したとして、複数の検挙者が出た本事件（通称：コインハイブ事件）。ねとらぼでは1月30日に「なぜコインハイブ『だけ』が標的に　警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満」との記事を、2月16日に「『お前やってることは法律に

内部告発サイトとして数々の話題を提供してきた「WikiLeaks」の創業者であるジュリアン・アサンジ被告は、イラクとアフガニスタンにおけるアメリカの軍事・外交機密を公開した容疑でアメリカ側から起訴されています。同氏の身柄引き渡しをめぐる審理前の聴聞会の中で、同被告の弁護士が、トランプ大統領陣営から恩赦を提案されていたことが明らかになり、話題を呼んでいます。 Trump Offered Assange Pardon if He Covered Up Russian Hack, WikiLeaks Founder’s Lawyer Claims https://www.thedailybeast.com/trump-offered-assange-pardon-if-he-covered-up-russian-hack-court-hears Assange says Trump offere

前橋市教育委員会において、サーバーシステムへの不正アクセスに伴い、個人情報の流出の可能性が高い事態を招いたことを受けて、「前橋市学校教育ネットワークセキュリティ調査対策検討委員会」（第三者委員会）を4月16日に設置し、情報技術・情報セキュリティの観点からの調査と原因究明、今後の対策について検証が行われてきました。 6月25日に同委員会から教育長へ報告された検証報告書を掲載します。

LINE社は2月26日、メッセージアプリ「LINE」で、4000人を超えるユーザーが2月に不正ログインの被害に遭ったと発表した。被害を受けたアカウントでは、購買に誘導するスパムの投稿があった他、アカウントを完全に乗っ取るためのURLも投稿されており、被害アカウントから二次被害が発生し得る状況だという。同社は被害発生を受け、不正ログインが起きないよう技術的に対応したとしている。 同社によると、最初の問題が報告されたのは2月13日。報告を受けて被害状況を調査したところ、不正ログイン後にユーザーの意図しない投稿が行われていたケースが4225件確認できたという。ほとんどは日本での事例だが、台湾で81件、タイで2件など、海外でも被害があったという。 【修正履歴：2020年2月28日午後4時　最初の問題の報告があった日付を2月16日と表記していましたが、LINE社が日付を13日と改めたため、それに併せ

2019年10月以降、日本国内にてEmotetの感染事例が急増しています。JPCERT/CCでは、次の通り注意喚起を発行しています。 JPCERT/CC: マルウエア Emotet の感染に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190044.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染活動について https://www.jpcert.or.jp/newsflash/2019112701.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報) https://www.jpcert.or.jp/newsflash/2020072001.html JPCERT/CC: CyberNewsFlash マルウェ

.animate; cls: uk-animation-slide-bottom-small uk-invisible; delay: 300"> JSAC2025 January 21-22, 2025

2020年2月19日、前橋市は2018年3月の不正アクセス事案を受け、委託先のNTT東日本に対し損害賠償請求の提訴をすることを明らかにしました。ここでは関連する情報をまとめます。 約1億7700万円を請求 前橋市教育委員会が被害を受けた不正アクセス事案に対し、適切な管理を行っていなかったとして委託先のNTT東日本に対し民事訴訟を提訴するというもの。債務不履行、不法行為責任に基づく損害賠償を請求する。請求額は復旧対応費や弁護士費用、損害遅延金支払いなど約1億7735万円。*1 前橋市が2月19日に開催された教育福祉常任委員会にて明らかにされた。（同会議題「訴えの提起について（損賠賠償請求）」） 不正アクセス被害を受けたのはMENETと呼称された市教育委員会のネットワーク。児童・生徒の個人情報など約4万7千人が影響を受けた。当時の状況は以下にてまとめている。 piyolog.hatenadia