「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」公表 ~ セキュリティ・トランスペアレンシー・コンソーシアム | ScanNetSecurity日本電信電話株式会社(NTT)は10月21日、「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」を公表した。
北朝鮮のハッカーがNFTゲームを通じて暗号を盗む新しい方法
北朝鮮のハッカーグループLazarus Groupは、NFTゲームを使用してマルウェアを広め、ユーザーのウォレットから暗号資産を盗むことができます。(写真;ドキュメント。コインライブ) ジャカルタ - 有名な北朝鮮のハッカーグループ、Lazarus Groupは、偽のNFTゲームを通じてマルウェアを拡散したと報告された後、再び騒動を引き起こしました。この最新のサイバー攻撃では、Google Chromeブラウザのセキュリティギャップを悪用して、ユーザーの重要なデータ、特に暗号ウォレットの資格情報にアクセスしたと伝えられています。 この攻撃は、人気のあるプレイ・トゥ・アーン(P2E)コンセプトを提供しているように見えるゲームを通じてユーザーを標的にしますが、被害者のデータとデジタルマネーを盗む隠れにすぎません。 カスペルスキー研究所のサイバーセキュリティ専門家であるボリス・ラリン氏とヴァシリ
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
動向が気になるニュースが流れてきました。京都大学で2024年11月に開催される学園祭のポータルサイトが不正アクセスを受け、データが削除されたことが発表されました。なお、削除されたデータはバックアップを取得していたとのことです。 筆者はこのインシデント聞いたとき、サイバー攻撃が本当に"見境がなくなっている"と感じました。かつては中小企業のセキュリティ対策が進まない理由として、社長が「ウチに重要な情報などないので、ハッカーが狙うことはない」と考えている時代もありました。 しかし昨今は、例え学園祭のポータルサイトという、一部の人だけが知っているようなシステムすらもサイバー攻撃の標的になってしまうのです。脆弱(ぜいじゃく)なシステムを運用していても、サイバー攻撃者に見つからなければ攻撃を受けないという甘えはもう通用せず、インターネットにつながった瞬間から、全てのシステムが標的になっていると考えた方
ネット未接続の“隔離PC”へのハッキングの歴史 エアギャップPCから機密データを盗む6つの方法
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 イスラエルのネゲヴ・ベン・グリオン大学に所属するMordechai Guriさんが発表した論文「Mind The Gap: Can Air-Gaps Keep Your Private Data Secure?」は、インターネットに接続していない物理的に隔離したコンピュータから機密データを盗む攻撃をまとめた研究報告である。 現代において、個人情報は価値のある資産の一つとなっている。これには個人識別情報、医療記録、法的情報、生体認証データ、私的通信などが含まれる。こうした機密データを保護するため、多くの組織が「エアギャップ」と呼ばれる物理的に隔離されたネ
統合進むセキュリティーサービス、XDRやSWGなど複数機能の連携がカギ
「2023年9月に米CrowdStrike(クラウドストライク)がAI(人工知能)などを統合した製品を発表した。これがプラットフォーム化の口火を切った」。IDC Japanの赤間健一Infrastructure&Devicesリサーチマネージャーは、こう指摘する。セキュリティーサービスを提供するベンダーの間で、「セキュリティープラットフォーム」や「統合セキュリティーサービス」といったうたい文句がトレンドになっている。 セキュリティー分野では、これまでも機能の統合が進んできた。例えばログ情報などを分析して攻撃を検知し対応するXDR(eXtended Detection and Response)は、エンドポイントを監視対象とするEDR(Endpoint Detection and Response)からカバー範囲を広げ、ネットワーク機器などを対象とするNDR(Network Detectio
IBMがクラウドセキュリティ調査を公開 最も警戒が必要な攻撃は何か?
IBMは2024年10月1日(現地時間)、クラウドインシデントを分析し、保護するための重要な洞察と実践的なストラテジーをまとめた「2024 IBM X-Force Cloud Threat Landscape Report」を公開した。 同レポートでは脅威インテリジェンスやインシデント対応を基に攻撃者がクラウドインフラストラクチャをどのように侵害するかについての詳細に分析している。 クラウドを狙ったサイバー攻撃で最も注意すべきものとは? 主な調査結果は以下の通りだ。 クラウド関連のインシデントの33%がフィッシング攻撃に関連しており、攻撃者はフィッシングを通じて中間者攻撃(AITM)を実施し、認証情報を収集している クラウドインフラへの攻撃の39%がビジネスメール詐欺(BEC)攻撃であり、攻撃者は企業のメールアカウントを乗っ取って不正行為を実行している ダークWeb市場でのクラウド認証情報
「社長がセキュリティに無関心」の心理を解剖 ~ IISEC 稲葉 緑 准教授 | ScanNetSecurity
認識を誤らせる心理に「確率的な損失と確定的な損失」の評価の違いがある。たとえば、100 %の確率で 1,000 万円損失するリスクと、10 %の確率で 1 億円を失うリスクがあった場合、一般的な人は後者を選ぶだろう。だが、期待値はどちらも同じ(1000万円)である。確率的な損失なら「自分は助かる側に入る」と、のんきに楽観性バイアスが語る幻想を信じてしまう。
パスキーのクレデンシャルがベンダ間で交換可能に、業界標準「Credential Exchange Specifications」ワーキングドラフトをFIDOアライアンスが公開
パスキーのクレデンシャルがベンダ間で交換可能に、業界標準「Credential Exchange Specifications」ワーキングドラフトをFIDOアライアンスが公開 パスワードレスを実現する業界標準「パスキー」(Passkey)の仕様策定や推進を行っているFIDOアライアンス(ファイドアライアンス)は、クレデンシャルを安全に交換するための新仕様「Credential Exchange Specifications」のワーキングドラフトを発表しました。 これによりユーザーはパスキーやその他すべてのクレデンシャルを、異なるベンダ間であっても安全に移動や交換できるようになります。 例えば、Googleパスワードマネージャに保存されたパスキーのクレデンシャルをAppleアカウントのiCloudキーチェーンへ移動してiPhoneでパスキーを使う、あるいは1Passwordなど他のパスワード
グーグル「Android 15」正式リリース、Pixelで利用可能に 盗難防止機能を強化
グーグルは現地時間10月15日、「Android 15」の正式リリースを発表した。まずは同社製の「Pixel」デバイスに向けて展開が開始されている。システムアップデートが利用可能になると通知がある。 Android 15 新機能はプライバシーとセキュリティー強化 Android 15では、セキュリティ機能が大幅に強化された。新搭載の「盗難検出ロック」は、AIを活用した盗難防止機能。誰かが端末を奪って走ったり、自転車や車で逃げようとしているのを感知すると、自動的に端末をロックする。 プライバシー保護機能「プライベートスペース」も追加された。デバイス内に金庫のような空間を作り、ユーザーがソーシャルネットワーク、デーティング、バンキングなどのセンシティブなアプリを他人の目から隠すことができる。 カメラ機能も強化され、低光量条件下での撮影性能が向上した。また、サードパーティーアプリでのフラッシュ制
未来のポケモン情報が大量に流出? ゲームフリークは個人情報の漏えいを公表も関連は不明
「ポケットモンスター」シリーズの開発元として知られるゲームフリークから大規模な情報流出があったとSNSなどで騒ぎになっている。当のゲームフリークは10月10日付で「外部からの不正アクセスにより社員の個人情報などが漏えいした」と公表しているが、13日時点で関係は分かっていない。 【その他の画像】 ゲームフリークが公表した文書によると、8月に第三者からの不正アクセスを受け、個人情報の漏えいが判明したという。漏えいした個人情報は従業員の氏名や社用メールアドレスなど2606件で、これには退職した元従業員や委託社員を含んでいる。 同社は「サーバの再構築・再点検はすでに実施したが、セキュリティ対策をより一層強化することで再発防止に努める」としている。 一方、海外の掲示板やリーカーを名乗るXアカウントなどは、ゲームフリークの「Gigaleak」「TERAleak」(大規模な情報漏えいの意味)などとして出
PPTP and L2TP deprecation: A new era of secure connectivity
As technology advances, so must our security protocols. As part of our ongoing commitment to provide the highest level of security and performance, we are deprecating the PPTP (Point-to-Point Tunneling Protocol) and L2TP (Layer 2 Tunneling Protocol) protocols from future Windows Server versions. While these protocols have served us well over the years and will still be available to users, it is ti
ガートナーがセキュリティのハイプサイクル2024年版を公開 黎明期に加わった新項目とは?
ガートナージャパン(以下、ガートナー)は2024年10月9日、「日本におけるセキュリティ(リスク管理、アプリ/データ、プライバシー)のハイプ・サイクル:2024年」を発表した。 ハイプ・サイクルは、イノベーションが「過度な期待」のピーク期(もてはやされる時期)を経て幻滅期を迎え、最終的に市場や分野でその重要性や役割が理解されるという段階で「進化」する共通のパターンを描いたものだ。 今回のハイプ・サイクルでは、法規制への対応も含めたリスクマネジメント、セキュアなアプリケーション/データの構築・運用、プライバシー対応を実現し、企業のビジネスやサービス、データを保護するテクノロジーや手法を取り上げている。 セキュリティのハイプサイクル2024年版が公開 新たに加わった項目は? 今回発表されたハイプ・サイクルは以下の通りだ。 2024年版では「サイバーセキュリティの継続的なコンプライアンスの自動化
インターネットと隔離されたPCからUSBドライブ経由でデータを盗むハッカー集団「GoldenJackal」の手口とは?
エアギャップとは、特定のネットワークやコンピューターをインターネットなどから物理的に切り離してセキュリティを高める方法の1つです。主に投票システムや電力をコントロールする産業用制御システムなど、機密性の高いシステムがエアギャップによって保護されています。このエアギャップを突破して政府機関を攻撃するハッカーグループ「GoldenJackal」が用いるツールセットについて、セキュリティ企業のESETが報告しました。 Mind the (air) gap: GoldenJackal gooses government guardrails https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/ GoldenJackalは少なくとも2019年から活
ECOVACS製ロボットをハッキングして家の中をリアルタイムで監視できる脆弱性はまだ修正されていない
2024年8月に発表されたECOVACS製ロボットをハッキングできる脆弱(ぜいじゃく)性が一部のモデルではまだ修正されておらず、ハッキング可能な状態が続いているとオーストラリアの公共ニュース配信サービスのABC Newsが報じました。 We hacked a robot vacuum — and could watch live through its camera - ABC News https://www.abc.net.au/news/2024-10-04/robot-vacuum-hacked-photos-camera-audio/104414020 2024年8月にラスベガスで行われたセキュリティイベントのDEF CONにおいて、セキュリティ研究者のデニス・ギース氏とブレイリン氏がECOVACS製ロボットに存在している脆弱性について発表しました。 ECOVACS製ロボットにハ
IPAがIoT機器のセキュリティー評価制度を運用開始へ、2025年3月から申請受け付け
情報処理推進機構(IPA)は2024年9月30日、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を2025年3月から開始すると発表した。同制度はIoT(インターネット・オブ・シングズ)製品のセキュリティー機能を評価し、適合基準を満たす製品に適合ラベルを付与する。 JC-STARは、経済産業省が2024年8月に公表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づいて設定される。適合基準は評価手順や対応製品の範囲によって「★1(レベル1)」から「★4(レベル4)」までの4段階に分かれている。2025年3月から申請を受け付けるのは、★1(レベル1)だ。このレベルの基準に適合する製品は「製品として共通して求められる最低限のセキュリティ要件を定め、それを満たすことをIoT製品ベンダーが自ら宣言するもの」と位置づけられる。★1(レベル1)の申請手続きの詳細は2
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界的権威が「ランサムウェアの歴史」をひも解く──AIDS TrojanからContiまで
「CrowdStrike」搭載環境でまた問題、「Windows 11 24H2」でOfficeアプリなどが応答不能に/今年7月には大規模なブルースクリーン問題を引き起こす
2つの鍵を使ってパスワードレスを実現する「パスキー」、弱点と補い方
https://www.securityweek.com/mitre-announces-ai-incident-sharing-project/