The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register

いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか？ コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ （編集履歴はqiitaの機能で見れると思います） 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え

私のこと、勝手に診断しないでください：こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（43） 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第43列車は「無料セキュリティ診断」です。※このマンガはフィクションです。

2023年は「ChatGPT」のような生成AIが急激に台頭し、サイバー攻撃を仕掛ける側も防ぐ側も、AIの活用に注目した年だった。国際的な対立が深まる中で、国家が関与する攻撃や政治的動機に基づくハッキング活動が多発。ランサムウェアの猛威が収まる気配はなく、恐喝の手口はますます妙化化・悪質化の一途をたどっている。 2024年はどんな年になるのか。サイバーセキュリティ各社がその予測をまとめている。 “AI利用”のサイバー攻撃が増加の見込み 各社が筆頭に挙げているのがAIを利用したサイバー犯罪の悪質化・巧妙化だった。NortonやAvastなどを提供するサイバーセキュリティ企業の米Gen Digital（Gen）は、文字を動画に変換するなどのマルチメディア生成ツールが犯罪に利用されるようになり、動画が本物なのか生成されたものなのか見分けがつきにくくなると予想する。 そうしたAI生成コンテンツは、S

2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。

「私、セキュリティ担当者！　監視ツールを覗いていたら、社員がものすごい頻度で不審なアダルトサイトを見ていることが分かっちゃったの！」 ……だいぶ、いや、かなり考えたくない事態だ。しかし、クラウド会計ツールで知られるfreeeではこの問題が実際に起きたという。同社はどう対応したのか、12月6日公開のテックブログで紹介している。 ブログによれば、事態に気付いたのはセキュリティインシデントに対応する社内組織「CSIRT」のメンバー。監視ツールを確認していたところ、不審な通信が繰り返し発生していることに気付いた。 送信元を調べたところ、原因はある社員の端末。送信先はアダルトサイトだった。しかも、頻度が異常に高かったという。 とはいえ、さすがに会社の端末でアダルトサイトを見ているのはおかしい。違和感を抱いたCSIRTがより詳しく調査したところ、実際は社員がアダルトサイトを見ているわけではないことが分

2023年12月4日、マイナンバーカードの偽造などを行っていたとして有印公文書偽造と入管難民法違反の容疑で女が逮捕されました。ここでは関連する情報をまとめます。 初のマイナンバーカード偽造事案 警視庁と兵庫県警など6の府県警によって有印公文書偽造と入管難民法違反の容疑で再逮捕されたのは中国籍の女。他者と共謀し2023年11月12日頃に自宅で在留カード13枚とベトナムやインドネシア国籍の外国人名義のマイナンバーカード9枚の偽造を行っていた疑い。*1 マイナンバーカードの偽造により摘発された事案は今回が初めて。女は「9月頃からマイナンバーカードの依頼が増えた」などと供述し容疑を認めている。 知人の紹介を受け中国から届いたPC、プリンターを使用して2023年6月頃より女は1日20～60枚のカードの偽造を繰り返していたとみられている。*2 偽造に必要なデータ（顔写真、住所）はWeChatを通じて送

「退職した人から管理者アカウント引き継げなかった、どうしよう……」　AWS公式Q＆Aのよくある質問が地獄すぎる AWSの公式Q＆Aが“地獄過ぎる”──X（元Twitter）上でそんな投稿が話題だ。「AWSアカウントの管理者が退職しました。このAWSアカウントにアクセスする方法を教えてください」に対する公式の回答が話題を集めている。

2023年11月29日、今年夏ころに宇宙航空研究開発機構に対し不正アクセスが行われていたとして複数の報道機関が報じました。また2024年6月21日には、2023年の不正アクセス事案の詳細や2024年以降も不正アクセスが発生していたことが報じられました。ここでは関連する情報をまとめます。 ネットワーク機器の脆弱性を悪用しクラウドまで一連の攻撃か 宇宙航空研究開発機構（JAXA）で不正アクセスが確認されたのは調布航空宇宙センターのネットワークや事務処理に用いられる端末が接続されたネットワーク（JAXAnet）、そして同機構が利用しているクラウドサービス（Microsoft 365）で、JAXAnetにおいては管理（アクティブディレクトリ）サーバーも被害にあったと報じられている。攻撃者は外部からネットワークにアクセスし、内部の情報を閲覧ないしは窃取していた可能性がある。*1 *2 JAXAは20

全国的に普及している二次元コード（QRコード）を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。 全国的に普及している二次元コード（QRコード）を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。従来の「フィッシング」詐欺は、メールやショートメールから不正サイトにリンクさせて個人情報を入力させる手口。一方で、メール内の不正サイトへのURLリンクをQRコードに置き換えたケースは「クイッシング」とも呼ばれ、情報セキュリティ会社は警戒を呼びかけている。 決済情報の入力を要求 学習院大は、2023年5月から配布している「大学案内2024」に掲載されていた「受験生応援サイトintro！」のQRコードが、不正なリンク先に転送されていることが判明したと10月30日に発表。正しいURLを直接入力す

LINEヤフーは11月27日、委託先企業への第三者による不正アクセスにより、ユーザー情報、取引先情報、従業員などに関する情報漏えいが判明したと発表した。該当情報は合計で最大約44万件に上る。 漏えいのうち最大30万2569件が「ユーザーに関する利用情報」。そのうちLINE IDとは別に、内部でユーザーを識別する文字列にひも付く、サービス利用履歴などが4万9751件。メッセージなど特定の人とのやり取りに関するような通信の秘密に該当する情報が2万2239件。日本に限ると漏えいしたユーザー利用情報は最大12万9894件で、ユーザー識別子にひも付くサービス利用履歴が1万5454件、通信の秘密に該当する情報が8981件。 なお、口座情報やクレジットカード情報、LINEアプリにおけるトーク内容は含まれないとしている。 取引先に関する個人情報は最大8万6105件が該当。そのうち、取引先などの従業員の氏名

気付かないうちに意図しない判断に誘導される「ダークパターン」と呼ばれるウェブデザインについて、専門家による大規模な調査結果がまとまりました。回答者の半数近くが「不利益を被ったことがある」と回答していて、専門家は、対策を強化する必要があるとしています。 ショッピングサイトで商品を購入する際に、▽定期購入であることが小さく表示されて意図せずに申し込んでしまったり、▽選択肢が「はい」と「あとで回答する」しかなく何度も表示されたりするケースなど、消費者が意図しない判断に誘導されるウェブデザインは「ダークパターン」と呼ばれ、対策の必要性が指摘されています。 こうした中、ウェブデザインのコンサルティングなどを行う企業が「ダークパターン」の実態について大規模調査を行い、このほど結果がまとまりました。 調査はことし8月にアンケート形式で行われ、ウェブサービスの利用者およそ800人から回答を得ました。 その

「会社に恨みがあった」。以前勤務していた会社のシステムに侵入し、取引先に誹謗（ひぼう）中傷を流布していた男が、警視庁に逮捕された。職場でトラブルを抱え、自主退職させられた男は、匿名通信システムなども駆使し、憂さを晴らしていたという。隠微な復讐が明るみに出た理由は、不正アクセスの際に残された「痕跡」だった。 「会社に恨みがあった」。以前勤務していた会社のシステムに侵入し、取引先に誹謗（ひぼう）中傷を流布していた男が11月、警視庁に逮捕された。職場でトラブルを抱え、自主退職させられた男は、匿名通信システムなども駆使し、憂さを晴らしていたという。隠微な復讐が明るみに出た理由は、不正アクセスの際に残された「痕跡」だった。 ID、パスワードを記憶 不正アクセス禁止法違反容疑で11月16日、警視庁久松署に逮捕された東京都狛江市に住む元会社員の男（39）が侵入したのは、2023年4月まで勤務していた都内

オートバックスセブンは11月13日、会員向けダイレクトメールで会員制度のリニューアルのページを案内するQRコードから、予定していない広告サイトに飛ばされる事例が発生しているとして、読み取りを行わないように呼び掛けた。一部の顧客は、カード番号など決済情報の入力を求められたという。 学習院大学では、5月から配布している「大学案内2024」に掲載した「受験生応援サイトintro！」のQRコードから不正なリンク先へ転送されていることが判明。QRコードを使わず、併記したURLを直接入力してほしいと呼び掛けている。 リンク先が後から変えられた？ いずれも最初から不正なサイトに飛ばされていたのではなく、途中からリンク先が変わったとみられるが、なぜそのようなことが起こるのか。パスワード管理サービス「Keeper」の国内販売などを手掛けるZUNDA（東京都渋谷区）の澤田翔代表は自身のXアカウントで、いなげや

SNS（交流サイト）の何気ない書き込みから投稿者の個人情報を特定され、勝手に公表される事件が後を絶たない。多くの人は書き込みに個人情報を含めないように注意しているだろう。だが犯人は書き込み中の間接的な情報を手掛かりに、投稿者の住所や年齢などを特定する。 犯人は個人とは限らない。世間で話題になった書き込みについては、多数の人がネット上で「特定班」を組織し、人海戦術で投稿者を特定する場合もある。 ここでの特定班とは、一時的に組織されるネット上のグループ。様々な手段を駆使して対象となる人物の個人情報を調べ上げ、その情報を共有及び公開する。 この作業に生成AI（人工知能）が使われると、人手よりも効率的に特定されてしまうのではないだろうか――。スイスのチューリヒ工科大学に所属する研究者グループは、主要な9つのLLM（大規模言語モデル）と大量のサンプルデータを用いて実験し、その結果を2023年10月に

日本の平均的なプライバシーポリシーは、読了に約22分かかる――セキュリティ企業・NordVPNがこんな調査を発表した。日本人が1カ月に訪問する約96のサイト全てのプライバシーポリシーを読むには、35時間が必要になる計算だという。 読了時間は、プライバシーポリシーを英語に機械翻訳して単語数を数えた上で、読みやすさをチェックする「Coleman-Liauテスト」などを使って評価した。 日本の平均的なプライバシーポリシーは5209語で構成されており、読むのに22分強かかるという（1分間に読める平均単語数・約238語で計算）。 計測したサービスの中で、最もプライバシーポリシーが長かったのは、MetaのSNS（FacebookとInstagram）で1万9434語。読み切るには82分近くかかる計算だ。 最も読みやすいと評価されたのはX（旧Twitter）や、Reddit、Discord。Xのプライバ

宿泊予約サイト大手の「ブッキング・ドットコム」のシステムに不正に侵入し、宿泊施設を予約した人にうそのメッセージを送ってクレジットカード情報を盗む手口の被害が、日本を含む世界規模で確認されていることが分かり、観光庁は会社に対し速やかに注意喚起を行うよう指示しました。 観光庁と会社によりますと、オランダに本社がある宿泊予約サイト大手の「ブッキング・ドットコム」のシステムに不正に侵入し、その後、宿泊施設を予約した人のクレジットカード情報を盗む手口の被害が確認されているということです。 手口は、何者かが旅行者を装ってホテルなどの宿泊施設にメールを送ってコンピューターウイルスに感染させ、予約サイトのIDやパスワードを盗み取ります。 そして、盗み取ったIDなどを使って予約サイトのシステムに不正に侵入し、予約した人を特定したうえで「事前決済が必要だ」などといううそのメッセージを送って偽のサイトに誘導し、