台湾のネットワーク機器メーカーであるZyxel製のファイアウォール機器やVPNゲートウェイに、第三者が管理者権限でログインできてしまう「バックドアアカウント」が発見されました。これにより影響を受けるデバイスは、全世界で10万台以上に達すると推測されており、セキュリティ研究者は所有者に対してすみやかなファームウェアのアップデートを推奨しています。 Zyxel security advisory for hardcoded credential vulnerability | Zyxel https://www.zyxel.com/support/CVE-2020-29583.shtml Undocumented user account in Zyxel products (CVE-2020-29583) - EYE https://www.eyecontrol.nl/blog/undocu

川崎重工業は12月28日、同社の海外拠点から日本国内のデータセンターへ不正アクセスがあり、一部の情報が外部に流出した可能性があると発表した。 同社は6月、社内で実施したシステム監査で、本来は発生しないタイ拠点から日本国内のデータセンターへのアクセスを発見。同日中に不正アクセスと判断して通信を遮断した。その後、インドネシア、フィリピン、米国の各拠点からも不正アクセスがあったと判明したため、各拠点との接続を遮断、または通信を制限したという。 外部の専門機関と原因などを調査する中で、データセンターの一部情報が海外拠点を通じて外部に流出した可能性があると分かったが、内容などの特定はできていないとしている。現在は海外、日本国内の各拠点とも通信環境に異常はないという。 川崎重工は「個人情報や社会インフラ関連などの機密情報を扱うため、セキュリティ対策は最重要課題として取り組んできたが、今回の不正アクセス

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 2016年にリリースされた「Android 7.1 Nougat」以前の「Android」を搭載しているデバイスは2021年9月1日以降、Let's Encryptが発行したSSL/TLS証明書を使用しているウェブサイトにアクセスできなくなるという問題が報じられていた。同証明書の有効期限が到来するためだ。しかし同社は米国時間12月21日、この事態を回避するための対策を見出したと発表した。 既存のAndroidスマートフォンの3割ほどが、Let's Encryptに保護されているウェブサイトからエラーメッセージが表示されるようになるとされていたが、Let's Encryptはこの問題を回避する手段を用意した。 この問題の根源は、Let's

米Microsoftや米McAfeeなどの19組織が、ランサムウェア（Ransomware）対策のためのタスクフォース「Ransomware Task Force」（RTF）を結成した。メンバーの1社である米Institute for Security and Technologyが12月21日（現地時間）に発表した。 ランサムウェアとは、攻撃者が何らかの方法で被害者のPCを“人質”にとり、身代金（ransom）を請求するために使うマルウェアの総称。メールのリンク先や添付メールをクリックすることで感染することが多く、その手口は年々高度化している。 現在、ランサムウェア対策はさまざまだが、そのギャップの調整が必要だ。RTFは、業界全体のコンセンサスに基づいたランサムウェア攻撃対策のフレームワーク標準化を目指す。そのために専門家に論文を依頼し、業界全体の利害関係者を関与させて、対策を統合してい

Iconiq Capital has raised $5.15 billion across two funds associated with the seventh growth fund family, according to SEC filings. The firm, which launched in 2011 as a private office managing capital

国内企業アスツール株式会社は、スマートフォン専用ブラウザアプリ「Smooz」の配信を停止したと発表しました。停止理由として「指摘により新たな問題が見つかった」としています。 指摘は国内ブログ「reliphone」やSNSユーザーが行ってきました。同ブログは12月17日、「Smooz」が設定・操作・閲覧情報、ユーザーID、デバイスID、検索窓に入力中の文字列（検索ボタンを押さずとも）、検索内容を送信。しかも「サービス利用データの提供設定をオフ」や「プライベートモード」でも、閲覧情報の送信を止めることができない仕様であるとの記事を公開しました。 これに対し、12月18日、Smoozを運営するアスツール株式会社の代表の加藤氏は以下の通りの反論を行いました。 (1)Smoozは、おすすめ記事をパーソナライズしブラウジング体験を快適なものとするために、行動履歴や検索履歴のデータを収集しております。ご

この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 （この内容は記事の最後にテキスト情報としても掲載しておきます） URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする

昨今、サイバーセキュリティ業界のあちこちで耳にするようになったキーワードが「ゼロトラスト」だ。だが、そこで本当に求められるものは具体的に何なのだろうか。 セキュリティに長年関わり、現在はセキュリティサービス企業パロンゴの最高技術責任者を務める林 達也氏は、アイティメディア主催のオンラインイベント「ITmedia Security Week 2020冬」において「精緻化するセキュリティ環境における認証管理の重要性―ゼロトラストの幻想を超えて―」と題するセッションを開催した。同氏は、「攻撃者優位の未成熟な世界」において安全を守るために何が必要か、今や必要不可欠なアイデンティティーマネジメントや認証といった技術にどう向き合うべきかを解説した。 ゼロトラストは「性善説から性悪説への移行」ではない あちらの記事でもこちらのセミナーでも「ゼロトラスト」という言葉が踊り、まるで「ゼロトラストがあればセキ

平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。 プライバシーマーク制度を運営する日本情報経済社会推進協会（JIPDEC）は、2020年11月18日に「メール

調べた事実を列挙してみる。 ・デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている ・検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている ・検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている ・サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている ・プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている ・https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている 様々な設定を調べたが、どのようにしても外部への閲覧情報送信を止めることはできなかった。 あなたが何を調べ、何を買おうとしているのか、何で遊び、どこへ行こうとしているのか。それらはあなたの知ら

暗号化した添付ファイルを送って、その直後にパスワードが来るPPAPと言われる日本特有のメールの悪慣習。 セキュリティ上も意味がないと言われているし、管理を煩雑にしている。 行政はPPAPをやめるとともに、PPAPメールは受け取らないとしたらどうか。

2020年11月4日、カプコンは第三者からの不正アクセスにより社内システムの一部に障害が発生したと発表しました。ここでは関連する情報をまとめます。 不正アクセス起因の社内システム障害（2020年11月4日 初報） www.capcom.co.jp 2020年11月2日未明より、カプコン社内のグループシステム（メールシステム、ファイルサーバー）の一部でアクセス障害が発生。 障害に関連して第三者からの不正アクセス行為が確認されていると発表。 2020年11月4日時点で顧客情報の流出は確認されていない。 カプコン社ゲームをプレイするためのインターネット接続、自社サイトへの悪影響は発生していない。 システム障害同日に大阪府警に被害を相談。*1 発掘されたマルウェアから標的型ランサム被害の可能性が浮上（2020年11月5日） www.bleepingcomputer.com 11月5日に海外テックメ

セキュリティ企業のCheck Point Softwareがこのほどまとめた2020年9月版のマルウェアランキングでは、Emotetが3カ月連続でトップに立ち、世界の組織の14％に影響を及ぼしていた。 被害が後を絶たない理由は、Emotetが継続的に手口を進化させ、アップデートを繰り返して姿形を変え続けていることにある。 例えば不正な添付ファイルがウイルス対策ソフトに検出されるようになると、パスワードで保護された「.zip」などのアーカイブファイルを添付する手口に切り替えて、検出を免れるようになった。 被害者をだましてマクロを有効にさせる手口も巧妙化している。.zipファイルを添付する手口の場合、メールの本文に記載されたパスワードをユーザーが入力すると悪質なマクロが展開され、Emotetがダウンロードされる仕組みだった。 また、「このファイルはAndroidで作成されたものなので、操作を完

2020年10月19日 富士通株式会社 東京証券取引所様の株式売買システム「arrowhead」で発生した障害の原因と対策について 本日、株式会社東京証券取引所（以下、東京証券取引所）様より、さる10月1日に発生した東京証券取引所様の株式売買システム「arrowhead」の障害に関しての発表がありました。 東京証券取引所様、ならびに投資家の皆様、市場関係者をはじめ多くの皆様方に多大なるご迷惑をおかけいたしましたこと、あらためてお詫び申し上げます。 下記のとおり、本障害の根本原因および当社の品質保証体制の強化について、ご説明させていただきます。今後こうした事態を二度と起こさぬよう、再発防止に向け、全力を挙げてまいります。 記 東京証券取引所様の株式売買システム「arrowhead」障害の根本原因について （1）発生事象について 東京証券取引所様に共有ディスク装置として納入した当社ストレージ製

GitHubは2020年9月30日（米国時間）、コードを本番環境に展開する前にコードの脆弱（ぜいじゃく）性を簡単に発見できるコードスキャン機能の一般提供を開始した。 GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。 β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行（RCE）やSQLインジェクション、クロスサイトスクリプティング（XSS）といった脆弱性を含む2万以上のセキュリティ問題が見つかった。 マージ前のプルリクエストで報告があったセキュリティ上の問題の72％を、報告から30日以内に

security.txt A proposed standard which allows websites to define security policies. Summary “When security risks in web services are discovered by independent security researchers who understand the severity of the risk, they often lack the channels to disclose them properly. As a result, security issues may be left unreported. security.txt defines a standard to help organizations define the proce

開発者向けのソースコード共有サービスGitHubは、コードのセキュリティ脆弱性を自動検出できる「Code Scanning」を、このほど正式公開した。ソースコードをスキャンし、脆弱性やエラーが見つかると、Pull Requestで修正を促す。 昨年買収したSammleのコード解析エンジン「CodeQL」の機能をGitHubに統合したサービス。 5月にβ版をリリースし、これまでに1万2000以上のレポジトリに対して140万回のスキャンを行い、2万件以上のセキュリティエラーを発見したという。 パブリックリポジトリなら無料で利用できる。プライベートリポジトリの場合は、GitHub Enterprise向けのGitHub Advanced Security機能をオプション購入すれば利用できる。 関連記事 GitHub、チーム向け無料プランや有料プランの値下げを発表 Microsoft傘下のGitH