ランサム集団「ロックビット」摘発 国際共同捜査で2人逮捕―警察庁:時事ドットコム
ランサム集団「ロックビット」摘発 国際共同捜査で2人逮捕―警察庁 2024年02月20日21時41分配信 国際共同捜査で閉鎖される前のロックビットのリークサイト(画像上)と閉鎖後(同下)(警察庁提供) 身代金目的でデータを暗号化するウイルス「ランサムウエア」を使い、世界各国の重要インフラに被害を与えたグループ「LockBit(ロックビット)」のメンバー2人が逮捕されたことが20日、警察庁への取材で分かった。欧州警察機関(ユーロポール)が主導し、日本を含む10カ国で国際共同捜査が行われた。 国際共同捜査でランサム開発者逮捕 カプコン被害関与か、日本も協力 警察庁などによると、2人はポーランドとウクライナでそれぞれ逮捕された。欧州を含む世界各国の重要インフラにランサムウエア「ロックビット」で攻撃をした疑いが持たれている。逮捕容疑には日本の被害は含まれておらず、今後関連を捜査する。 共同捜査では
Cactusランサムウェア、シュナイダーエレクトリックのデータ1.5TBを盗んだと主張 | Codebook|Security News
Wyzeの防犯カメラに不具合 1万3,000人のユーザーが他人の家をのぞき見れる状態にBleepingComputer – February 19, 2024 Wyze社は多くのユーザーに影響を与えた16日のセキュリティインシデントの詳細を明らかにし、ほかのユーザーの家をのぞき見ることができた可能性のあるユーザー数は少なくとも1万3,000人に及ぶと述べた。 このインシデントの原因は同社システムに最近追加されたサードパーティのキャッシュクライアントライブラリで、先週の大規模障害発生後に多くのカメラが一斉にオンラインとなった際の処理に問題が発生。デバイスIDとユーザーIDのマッピングが混乱し、特定のデータが誤ったユーザーアカウントに接続されたため、ほかのユーザーのサムネイルやビデオフィードが表示される状態になったと説明された。 同社はその後、ユーザーとデバイスの関係をチェックするためのキャッ
Google、国連サイバー犯罪条約は「サイバーセキュリティの取り組みを脅かす」と主張
Googleは2024年2月1日(米国時間)に公式ブログで「UN Cybercrime Treaty Could Endanger Web Security」(国連サイバー犯罪条約がWebセキュリティを脅かす可能性)と題する記事を公開した。 国連加盟国が数年にわたって締結に向けて議論している「Countering the Use of Information and Communications Technologies for Criminal Purposes(情報通信技術の犯罪目的利用の防止)」は、サイバーセキュリティの取り組みを脅かす可能性があると主張している。 ブログ記事を執筆したのは、Googleのプライバシー、安全性、セキュリティエンジニアリング担当バイスプレジデントであるロイヤル・ハンセン氏だ。 デジタル証拠に注目する法執行機関 国際的な枠組みが求められる理由 関連記事 2
LockBitランサムウェアの活動を複数国が停止、リークサイトなど差し押さえ | Codebook|Security News
(情報源:BleepingComputer – February 19, 2024) 悪名高きランサムウェアグループLockBitの活動が、11か国の法執行機関の参加する合同作戦「Operation Cronos」によって停止させられたとの報道。同グループのデータリークサイトには現在、このサイトが英国の国家犯罪対策庁(NCA)の制御下に置かれていることを伝えるバナーが表示されており、「我々は、Lockbitのサービスが国際法執行機関による措置の結果として停止されたことをここに確証します – これは現在も進行中の作戦です」というメッセージなども記されている。 なおOperation Chronosに関わった当局は、日本時間2月20日20:30に合同プレスリリースを公開する見込みだという。
MITRE System of Trustを解説|フレームワークの構成要素と利用上の注意点
サプライチェーンにかかるセキュリティ対策が急務といえる昨今において、複数のお客様からリスク分析や対策計画の立案(ロードマップの策定)のご相談を多数いただいております。 本記事では、そうした悩みの解決策の一つとなりえるサプライチェーンセキュリティのリスク分析に利用可能なフレームワークであるMITRE System of Trustについて、実際に利用する際に知っておきたいポイントをご紹介します。System of Trustの概要については、MITRE System of Trust とは?サプライチェーンセキュリティのリスク分析を効率化するフレームワーク【概要編】をご参照ください。 MITRE System of Trustの概要 MITRE System of Trustとは、別の記事「MITRE ATT&CKとは?机上評価のメリットと活用方法|フレームワークで防御の穴を可視化」で紹介し
名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる
アメリカの連邦捜査局(FBI)やイギリスの国家犯罪対策庁(NCA)をはじめとする合計10カ国の法執行機関が参加した作戦が成功し、悪名高いランサムウェア集団「LockBit」のウェブサイトが押収されました。 FBI, UK National Crime Agency Say They Have Disrupted LockBit Hacking Gang - Bloomberg https://www.bloomberg.com/news/articles/2024-02-19/fbi-uk-crime-agency-say-they-have-disrupted-lockbit-hacking-gang LockBit ransomware disrupted by global police operation https://www.bleepingcomputer.com/news/
スマホ指紋認証の“摩擦音”を録音→指紋を復元する攻撃 中国の研究者らが開発
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の華中科技大学などに所属する研究者らが発表した論文「PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound」は、スマートフォンによる指紋認証時の摩擦音を録音し解析することで、その指紋を復元する自動指紋識別システム(AFIS)へのサイドチャネル攻撃を提案した研究報告である。 この攻撃手法は、ユーザーの画面上でのスワイプ動作を利用して指紋の特徴を抽出し、これらの特徴に基づいて、ユーザーの指紋
AI時代の要注意脅威アクターとは? Microsoftが調査レポート「Cyber Signals」を公開
Microsoftは2024年2月14日(現地時間)、セキュリティ調査レポート「Cyber Signals」(2024年2月版)の第6版を公開した。 今回のレポートではサイバーセキュリティ業界がAI(人工知能)の登場によって大きな変革を迎えていることを指摘するとともに、AIを使ったサイバー攻撃への対処、AIを活用したセキュリティ人材不足への対応、脅威アクターの情報などを伝えている。 Forest Blizzard(STRONTIUM): ロシア連邦軍参謀本部情報総局(лавное разведывательное управление)。「26165部隊」に連なる非常に効果的なロシア軍事情報機関。ロシア政府にとって戦術的または戦略的に関心のある被害者を標的としている。活動は防衛や輸送・物流、政府、エネルギー、NGO、情報技術などさまざまな分野に及んでいる Emerald Sleet(Vel
有事に飛び交う偽情報、IIJ谷脇副社長が語る「ネットの混沌」の行く末 | Japan Innovation Review powered by JBpress
生成AIやブロックチェーンなど革新的な新技術が誕生する一方、災害時に広がる「偽情報」や社会を混乱に陥れる「サイバー攻撃」といった問題も日々勃発し、インターネットは大きな転換点を迎えようとしている。世界のインターネットの最前線では何が起きており、これからどこへ向かおうとしているのか――。2023年9月に書籍『教養としてのインターネット論 世界の最先端を知る「10の論点」』(日経BP)を上梓したインターネットイニシアティブ(IIJ) 取締役副社長・谷脇康彦氏に、インターネットが直面している課題と、その先にある新たな社会像について話を聞いた。(前編/全2回) ■【前編】有事に飛び交う偽情報、IIJ谷脇副社長が語る「ネットの混沌」の行く末(今回) ■【後編】日米欧が「NO」を突き付けた、中国が提案する新たなインターネットの仕組み <著者フォロー機能のご案内> ●無料会員に登録すれば、本記事の下部に
史上初のiOSに対応したトロイの木馬「GoldPickaxe」が発見される
開発者がアプリを実験的にリリースするための仕組み「TestFlight」等を悪用して端末に侵入する史上初のiOS版トロイの木馬が発見されました。報告によると、「GoldPickaxe」と名付けられた当該マルウェアは、被害者の銀行口座から資金を引き出すために利用されるそうです。 Face Off | Group-IB Blog https://www.group-ib.com/blog/goldfactory-ios-trojan/ First ever iOS trojan discovered — and it’s stealing Face ID data to break into bank accounts | Tom's Guide https://www.tomsguide.com/computing/malware-adware/first-ever-ios-trojan-d
NTTら10社がセキュリティ推進団体を設立--SBOMの課題解決と活用へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。 新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケー
2024年施行予定の「欧州サイバーレジリエンス法案」、日本企業に与える影響の大きさ | LAC WATCH
あらゆるデジタル製品にサイバーセキュリティ対策を義務付ける欧州連合(EU)の「欧州サイバーレジリエンス法(EU Cyber Resilience Act:CRA)」が、成立に向けて大詰めを迎えています。 製造業者に対して、製品の安全を確保し、適合証明書を取得することを義務付けるほか、長期間のサポートも要求します。ハードウェア、ソフトウェアともに対象で、日本を含めて幅広い企業に影響が及ぶと予想されています。 欧州サイバーレジリエンス法は導入まではまだ期間があるものの、規制が多岐にわたっているため、大枠が決まった今の段階からしっかり準備を進めてゆくのが得策です。欧州サイバーレジリエンス法について、知っておくべきポイントをまとめます。 「デジタルの要素を持つ製品」が対象 まず、欧州サイバーレジリエンス法とはどのようなものかを見てみましょう。欧州サイバーレジリエンス法とはEUで審議されている新しい
ISC2とIBMがセキュリティ専門家育成に向けたトレーニングコースを提供
IT専門家向けのソーシャルコミュニティー「TechRepublic」は2024年2月14日(現地時間)、ISC2とIBMが共同で「IBM and ISC2 Cybersecurity Specialist Professional Certificate」というサイバーセキュリティスペシャリスト向けのプロフェッショナル認定コースを開始したと発表した。 ISC2とIBMが共同で提供するトレーニングコースの中身は? このコースは4カ月間の初級レベルトレーニングコースとされており、サイバーセキュリティスペシャリストとしてのキャリアを積むための教育を受けられる。 IBM and ISC2 Cybersecurity Specialist Professional Certificateで学べる主な内容は以下の通りだ。 サイバーセキュリティ業務には高い需要があり、依然として人材が不足している。ISC
一番分かりやすい OAuth の説明 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の
2024年2月公開のMicrosoft SmartScreen関連の脆弱性の概要とは | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
「Symantec World 2024」開催へ SBテクノロジー辻氏などによる32講演を用意
Broadcom、SB C&S、マクニカの3社は、年に1度のシマンテックのサイバーセキュリティカンファレンス「Symantec World 2024」を3月に開催する。 本イベントのテーマは「シマンテックのゼロトラスト」。ゼロトラストの考え方をベースに、デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの観点で32講演を用意。3月15日はオフライン、3月19日~22日はオンラインの会場を用意しているという。 19日の招待講演には、多数メディアで活躍するSBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏が登壇。辻氏は、昨今重要視されている「侵入前提」を意識しすぎるがあまり、それ以前に行うべきことが疎かになっていないかと問いかけ、その“前段階”で必要なことについて解説予定。自組織がどのような状態であるかを知り、どう守るのかという「アタックサーフェスマネジメント」に
鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃 シンガポール国立大「SpiKey」発表
この方法により、推定したビッティング間の距離から鍵のビッティングパターンを推測できる。この手法で、大量の鍵の中から特定の鍵を効率的に絞り込むことが可能となる。実験により、33万以上の鍵の中から最も可能性の高い3つの候補鍵を特定することに成功している。 SpiKeyの最大の利点は、特殊な道具や技術を必要とせず、スマートフォンさえあれば誰でも利用できる点である。また、従来のロックピッキングに比べて疑いをかけられにくく、最新のアンチピッキング機能を備えた錠前に対しても有効である。 Source and Image Credits: Soundarya Ramesh, Harini Ramprasad, and Jun Han. 2020. Listen to Your Key: Towards Acoustics-based Physical Key Inference. In Proceedi
FortiOSの脆弱性 CVE-2024-21762 についてまとめてみた - piyolog
2024年2月8日(現地時間)、FortinetはFortiOSにおいて深刻な脆弱性 CVE-2024-21762 が確認されたとしてセキュリティ情報を公開し、同製品を利用する組織へ対応を呼びかけました。ここでは関連する情報をまとめます。 脆弱性の概要 Fortinetはセキュリティ情報 FG-IR-24-015を公開し、利用組織へ対応を呼びかけ。詳細は開示されていないが、既に脆弱性が悪用されている可能性について当該情報で記載している他、米国CISAはKEVカタログにこの脆弱性を追加している。国内でもJPCERT/CC、IPAが注意喚起を発出している。 CVE-2024-21762は境界外の書き込みが可能な脆弱性(CWE-787)。悪用された場合、特別に細工したHTTPリクエストを介して任意のコード(またはコマンド)が実行される恐れがある。認証の必要なく攻撃を行うことが可能。 影響を受ける
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Flatt Security が GMOインターネットグループに参画 | ScanNetSecurity
【速報】LINEで個人情報流出 新たに約7万9000件の流出が判明 「スタンプ購入履歴」など計52万件近くが流出 | TBS NEWS DIG
