セキュリティ対策は後退している 中小企業はもうあきらめの境地なのか
2月にIPA(独立行政法人 情報処理推進機構)が発表した中小企業のセキュリティ実態調査はなかなか刺激的だった。サイバー攻撃の被害額や攻撃の手口、被害を受けた企業への影響など調査項目はいろいろあるが、個人的に注目したのは中小企業のセキュリティ対策がどんどん後退しているという点だ(関連記事:わかっちゃいるけど… 中小企業の約6割が「セキュリティに未投資」、3年前よりも後退)。簡単に言えば、投資が以前に比べて減っているのである。 今回の調査では情報セキュリティ対策に「投資していない」企業は62.6%に上った。4年前の2021年には33.1%だったので、投資していない企業はほぼ倍に増えていることになる。投資をしていない理由としては、「必要性を感じていない」が44.3%ともっとも多く、ほかにも「費用対効果が見えない」(24.2%)、「コストがかかりすぎる」(21.7%)も挙げられている。 実際にある
UTM 機器へのブルートフォース攻撃後に RDP 接続で侵入 ~ 東京損保鑑定へのランサムウェア攻撃 | ScanNetSecurity
東京損保鑑定株式会社は2024年12月25日、10月7日に公表した第三者からの不正アクセスによる個人情報漏えいの可能性について、調査結果を発表した。
中高生による大量の楽天モバイル回線不正転売事案についてまとめてみた - piyolog
2025年2月27日、警視庁は他人の楽天モバイルアカウントに不正アクセスを行い、通信回線の契約を行っていたとして中高生3人を逮捕したと発表しました。不正契約した回線は転売し暗号資産を得ていたと報じられています。ここでは関連する情報をまとめます。 不正契約した大量の楽天モバイル回線を転売 逮捕されたのは中学生2名と高校生1名計3名で、容疑は不正アクセス禁止法違反と電子計算機使用詐欺。2024年5月から8月にかけて、11人分の楽天モバイルのID、パスワードを用いてシステムに不正にログインし、105件のeSIMの回線契約を行った疑い*1がある。中学生Aは「2023年12月以降1000件以上の回線契約を行った」と供述している。 不正に契約して得た通信回線(少なくとも2500回線と報道)は複数の人物に転売を行っており、1回線あたり1000円から3000円で取引され、計750万円相当の暗号資産を得てい
Web3開発者をねらったハッキング手口の全て(わたしは全て抜かれました...)
はじめに 本当に悔しいし許せないし、エンジニアとして不甲斐ないです。2025年2月26日深夜にハッキングにあいました。どのように相手と繋がり、どのような手口でハッカーに資産を抜かれたか、コードベースで全てお伝えします。今後同じ被害に遭う方が少しでも減ることがあればこんな嬉しいことはないです。 コード解説、さらに対策案も書いていきます。もし他に良い対策案などあればコメントでご教示ください。 ハッカーとのやりとりの流れ ハッカーとは Linkedin でブロックチェーンを使ったプロジェクトを手伝ってくれないかという連絡がりそこからやりとりが始まりました。そして移行の大まかな流れは下記のような感じです。 Linkedinでプロジェクトを手伝ってほしいと言う内容でDMがくる Githubリポを見て実装できそうか確認してほしいと言われる 自分のGithubアカウントを共有してプライベートリポジトリに
SMSを使った二要素認証、Googleが廃止へ--なぜ? 「実は安全ではない」が業界の常識
Gmailの二要素認証がまもなく大きく変わる。GoogleはSMSで認証コードを送付する方式を廃止し、パスキーやQRコードに切り替える方針だ。 このニュースはForbesが最初に報じた。 SMSによる二要素認証は悪用されるケースが報告されている。Google セキュリティ・プライバシー広報担当のロス・リッチェンドルファー氏はCNETの取材に対し、「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた。 Googleは今後数カ月以内に電話番号認証の方法を一新する予定だ。Gmailやその他のGoogleサービスは、SMSで6桁のコードを送る方式から、ユーザーが手元の端末でスキャンできるQRコードを表示する方式に変わる。 この変更は、ユーザーが詐欺師にSMSコードを教えてしまうリスクをなくし、通信事業者が侵入経路となる可能性を排除するためだ。ま
ChromeにAIベースのセキュリティ新機能 危険なWebサイトを検知・警告
セキュリティニュースメディア「Cybersecurity News」は2025年2月17日(現地時間)、「Google Chrome」(以下、Chrome)のAIを活用したセキュリティ機能が全ユーザー向けに提供開始されたことを報じた。新機能は高度な機械学習を活用し、オンラインの安全性を大幅に向上させるものとされている。 ChromeにAIベースのセキュリティ新機能 危険なWebサイトを検知・警告 今回導入されたセキュリティ機能ではAIがWebサイトの情報を分析し、従来のデータベースに登録されていない危険なWebサイトでもリアルタイムで脅威を警告する。これによってフィッシング詐欺やマルウェア感染のリスクが大きく軽減される。またダウンロード時にはファイルの詳細なスキャンを実施し、疑わしいものを検出した際にはユーザーに警告を発する仕組みとなっている。 Googleアカウントにログインしている場合
新型マルウェア「FINALDRAFT」の脅威 Outlookの下書きを悪用した高度な攻撃手法
Elasticの脅威インテリジェンスチーム「Elastic Security Labs」は2025年2月13日(現地時間)、高度なマルウェア「FINALDRAFT」の存在を明らかにした。 このマルウェアは「Microsoft Graph API」を利用して「Microsoft Outlook」(以下、Outlook)の下書きメールを通信チャネルとして悪用するとされており、国家機関への攻撃に使用された可能性がある。 Outlookメールの下書きでC2通信、FINALDRAFTの攻撃手法 FINALDRAFTはカスタムローダー「PATHLOADER」と連携しており、標的システムに侵入する。PATHLOADERは外部サーバから暗号化されたシェルコードをダウンロードし、実行する「Windows PE」ファイルとされている。APIハッシュ化や文字列難読化を使って静的解析を困難にする手法が取られており
「スマホが会話を盗み聞きする」は本当か 不気味なほど正確な広告を出す仕組み
世界を読み解くニュース・サロン: 本連載は、国際情勢やビジネス動向を深掘り、グローバルな課題とそれが企業に与える影響を分析する。米中関係やテクノロジー業界の変動、地政学的リスクに焦点を当て、複雑な要素を多角的に捉えながら、現代社会の重要な問題を分析。読者にとって成功への洞察を提供していく。 2025年1月、米国でAppleが提供している音声認識機能「Siri」をめぐる集団訴訟が示談で終わることがニュースになった。この裁判では、スマートフォンなどに搭載されているSiriが利用者の会話を無断で記録していることをAppleが認め、利用者に9500万ドル(約150億円)の和解金を支払うことで合意した(記録はSiriの性能向上が目的で、不正行為はなかったと同社は主張している)。 スマホやスマートウォッチなどのデジタルデバイスは今や、私たちの日常になくてはならないものになった。だが最近、便利になりすぎ
「Webhookは本質的に安全ではない」 知らないと危険なリスクと対策を解説
CI/CD(継続的インテグレーション/継続的デリバリー)パイプライン、チャットアプリケーション、eコマースプラットフォーム、IoT(Internet of Things)デバイスなど、Webhookは、多くのシステムにおいてリアルタイムの更新を実現するシンプルかつ効果的な仕組みとして利用されている。 Webhookはイベント駆動型アーキテクチャにおいて効率的な通信を実現する。だが、外部に公開されるコンポーネントである以上、Webhookエンドポイントは慎重に実装し、正規のリクエストのみを処理できるようにしなければならない。また、潜在的なセキュリティ脅威から保護する対策も不可欠だ。 Webhookは安全なのか Webhookは本質的に安全なものではない。WebhookのURLは、外部サービスからのリクエストを受け取るサーバのエンドポイントだからだ。 通常、エンドポイントは公開されているため、
OpenAIアカウントが2,000万件流出、サイバー攻撃者が主張
Malwarebytesは2月7日(米国時間)、「20 Million OpenAI accounts offered for sale|Malwarebytes」において、2,000万件のOpenAIアカウントが売りに出されたと報じた。 20 Million OpenAI accounts offered for sale|Malwarebytes OpenAIが侵害された可能性 OpenAIアカウントの販売は、ダークWebの情報流出フォーラムへの投稿で明らかになった。Malwarebytesによると、「emirking」と名乗る脅威アクターはロシア語で次のように述べ、希望者に連絡するよう求めたという。
24時間無料で利用可能 GMOインターネットグループがセキュリティ診断を提供
GMOインターネットグループは2025年2月6日、幅広い企業のセキュリティ強化に向けた新たな取り組みとして「ネットのセキュリティもGMO」を開始した。第1弾として「パスワード漏洩・Webサイトリスク診断」と「セキュリティ相談AIチャットボット」という2つのサービスを提供する。なおこれらのサービスは24時間無料で利用可能だ。 サイバー攻撃が激化する今、セキュリティ対策が不可欠になっている。GMOインターネットグループの熊谷正寿氏(グループ代表)は「セキュリティ事業は同グループにおける新しい柱になる」と語る。 24時間365日無料で利用できるセキュリティ診断サービスを提供 「パスワード漏洩・Webサイトリスク診断」は同Webサイトに診断したい電子メールアドレスやURLを入力すると、アカウントやURLに関連したセキュリティリスクがあるかどうかを、脆弱(ぜいじゃく)性やクラウド利用、なりすまし、盗
NETGEARのルータに緊急脆弱性、アップデートを
NETGEARは2月1日(米国時間)、同社のルータおよびアクセスポイントに緊急の脆弱性が存在するとしてアップデートを公開した。脆弱性は2件で、それぞれ異なる製品群から発見されている。 NETGEARの発表は次のとおり。 Security Advisory for Unauthenticated RCE on Some WiFi Routers, PSV-2023-0039 - NETGEAR Support Security Advisory for Authentication Bypass on Some Wireless Access Points, PSV-2024-0117 - NETGEAR Support Security Advisory for Unauthenticated RCE on Some WiFi Routers, PSV-2023-0039 - NETGEA
DeepSeekのiOSアプリが暗号化されていないデータをByteDanceが管理するサーバーに送信していることが明らかに
セキュリティ企業NowSecureが実施した調査により、中国に本社を置くDeepSeekのiOSアプリにセキュリティおよびプライバシーに関する特定のリスクがあることがわかりました。 NowSecure Uncovers Multiple Security and Privacy Flaws in DeepSeek iOS Mobile App - NowSecure https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/ DeepSeek iOS app sends data unencrypted to ByteDance-controlled servers - Ars Technica htt
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本企業の約8割が「VPN利用を継続」。一方、ゼロトラスト導入済み企業は2割を超える NRIセキュア
サイバー対策、国産ソフト優先調達 脱海外依存で新戦略 - 日本経済新聞
生成AI悪用し楽天モバイルに不正アクセス、1000件以上の回線入手し転売か…容疑で中高生3人逮捕(読売新聞オンライン) - Yahoo!ニュース
セッション|Security Days Spring 2025 Osaka
中小企業の 6 割「情報セキュリティ対策投資をしていない」 ~ 2024年度中小企業実態調査 速報 | ScanNetSecurity
シャープのデジタル複合機、米 Keypoint Intelligence 社のセキュリティ評価「Device Penetration Testing」合格 | ScanNetSecurity
「能動的サイバー防御」導入に向け、政府が法案を閣議決定 
