情報セキュリティ事業者のリチェルカセキュリティ（東京都文京区）は7月14日、TBS金曜ドラマ「トリリオンゲーム」に登場するハッキングシーン作成の舞台裏を公開した。このシーンは現実的に可能なハッキングシナリオをベースに作ってあるという。 トリリオンゲームは主人公の2人が1兆ドル獲得を目指して起業するストーリー。第1話では主人公が防犯カメラをハッキングする他、資金集めのために世界トップレベルのハッカーが集まる大会「セキュリティチャンピオンシップ」に参加する。 技術監修はFlatt Security（東京都文京区）が担当し、リチェルカセキュリティは技術協力で参加。設定や脚本、演出の監修はFlatt Security、ハッキングの詳細な手口やセキュリティチャンピオンシップの問題、撮影で使うソフトウェアなどはリチェルカセキュリティが実際に考案・開発した。 主人公が防犯カメラをハッキングするシーンの撮

ニュースサイト「電ファミニコゲーマー」を運営するマレ（東京都千代田区）は7月11日、同サイト閲覧中に悪質な広告が表示されることがあるとして注意喚起した。 強制的に広告を表示する「リダイレクト広告」を悪用したものとみられる。スマートフォンなどのプレゼントキャンペーンに当選したなどとして個人情報などを入力させるもの。同社は、広告が表示されても情報を入力せずにページを閉じるよう呼び掛けている。 マレは一時的にネットワーク広告を全面停止。今後は広告事業者側と協議して対応していくとしている。同様の問題は角川アスキー総合研究所のメディア「ASCII.jp」でも発生している。 関連記事 ASCII閲覧中、偽サイトに飛ばされる問題　情報入力しないよう注意喚起 角川アスキー総合研究所・ASCII編集部は、同社メディア「ASCII.jp」で、閲覧中に外部の偽サイトに遷移してしまう現象が発生しているとして注意喚

角川アスキー総合研究所・ASCII編集部は7月10日、同社メディア「ASCII.jp」で、閲覧中に外部の偽サイトに遷移してしまう現象が発生しているとして注意喚起した。 問題が発生したのは7月初頭。閲覧中に「○○名様当選のロイヤリティプログラムに選ばれました」とする偽サイトが表示され、アンケートへの回答や個人情報の入力を求められるという。同社は「絶対に個人情報などの入力をせず、サイトを閉じていただくようお願いします」と案内している。 広告配信システムを悪用されたのが原因。問題の広告は遮断済みで、今後は再発防止に向けて調査と回収を進めるとしている。 関連記事 日本最大級のビーズ・アクセサリーパーツ通販サイトで個人情報漏えい　クレカ不正利用の可能性も 「Beads&Parts通販サイト」を運営するビーピークラフトは16日、第三者による不正アクセスを受け、個人情報2821件が漏えいした可能性がある

The Hacker Newsは7月6日(現地時間)、「Researchers Uncover New Linux Kernel 'StackRot' Privilege Escalation Vulnerability」において、Linuxカーネルに深刻な脆弱性が発見されたと伝えた。新たに見つかった脆弱性は「StackRot」と名付けられており、現時点ではこの欠陥が悪用された形跡はないと報告している。 StackRotは「 CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。Linuxのバージョン6.1から6.4に影響を与える可能性があり、Red Hat Customer Portalによる共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値では7.8と分類され、深刻度は重要(High)と評価さ

AWSを使うなら見ておきたいチェック項目20選 AWSを実務で触られている方で「セキュリティ対策はばっちしだ💪」と言い切れる人はどれくらいいるでしょうか。特に創業間もないベンチャー企業や内製化直後のエンジニア組織の場合、サービスローンチや追加機能開発がビジネス上の最優先事項になってしまい、セキュリティ対策などの非機能要件のレビュー、設定などは後回しにされがちです。 そこで今回は、"時間がない人"でも注意したいセキュリティ脆弱性を生みやすい設定や設計の凡ミス集をまとめてみました。また、参考になりそうな記事も併せて紹介しています。 ご注意ください 筆者はAWSリソースに関するセキュリティの専門家ではありません。また本記事では、最低限の内容にとどめているためより詳細な内容は、公式ドキュメントや以下の資料をご覧ください。 1. IAM ポリシーの広すぎる権限 IAMポリシーに適切でない広い範囲の

多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあげてセキュリティアナリストのダニエル・マツモトさんがブログで解説しています。 Hunting for Nginx Alias Traversals in the wild https://labs.hakaioffsec.com/nginx-alias-traversal/ Nginxの設定には、特定のURLへのアクセスをどう処理するべきかを記述できる「location」というディレクティブが存在しており、URLをサーバー内のファイルに対応させるのによく利用されています。例

2023年7月5日、名古屋港統一ターミナルシステム（NUTS / Nagoya United Terminal System）でシステム障害が発生しており、システムを管理する名古屋港湾協会は障害原因がランサムウエアによるものと公表しました。ここでは関連する情報をまとめます。 ランサムウエアによる国内初の物流影響事例か システム障害が起きたのは名古屋港湾協会が管理する名古屋港統一ターミナルシステム(NUTS)。名古屋港の5つのターミナル（飛鳥ふ頭北、NCB、飛鳥ふ頭南、TCB、鍋田ふ頭）と集中管理ゲート、荷役機器、NACCS、NUTS-Webをネットワークでつなぎ、船からの積み下ろし、プランニング、コンテナ保管、搬出入、ヤード作業、保税管理を行うシステム。*1 NUTSは1999年に導入されこれまで大きな障害が起きたことがなく、また2022年8月からシステム移行が行われ2023年1月に新シス

2023年6月8日、ガス関連の住宅設備など製造するパーパスは、同社がエネルギー事業者向けに提供している管理サービス「クラウドAZタワー」が稼働するデータセンター内のサーバーでマルウエアの感染を確認したとして、同サービスの停止などを行ったことを公表しました。その後パーパスによる復旧作業が行われ、同サービスは6月18日に復旧しました。ここでは関連する情報をまとめます。 利用者になりすました侵入者がシステム破壊 不正アクセスの被害にあい10日間にわたってサービスが停止したのはパーパスがエネルギー事業者向けに提供している管理サービス「クラウドAZタワー」で顧客や販売、検針など9つの基本機能から構成される。同サービスは約1,100社の事業者が利用しており、今回の10日間のサービス停止による影響で多数の事業者から顧客向けに関連する案内が行われていた。また今回の不正アクセスを受けて、同一のサーバー上で稼

富士通Japanのコンビニ証明書交付サービスをめぐっては、別人の住民票の写しを交付したり、抹消済みの印鑑登録証明書を誤交付したりといったトラブルが相次いでいた。 これを受け、河野大臣は富士通Japanにシステムの一時停止し、再点検を行うよう要請していた。 関連記事 富士通、コンビニ交付システムを一斉点検へ　最大で6月4日まで　証明書発行は利用不可に 富士通は5月23日、コンビニエンスストアの証明書交付サービスの誤発行を巡り、富士通Japanが提供するシステムを一斉点検すると発表した。最大で6月4日まで証明書交付サービスを停止するという。 富士通、相次ぐコンビニ交付サービス不具合に謝罪　「行政サービスへの信頼損ねた」　再発防止策を開示 富士通は、富士通Japan製システムで相次いで発生しているコンビニ交付サービスの不具合などについて謝罪した。一連のトラブルについて「住民が利用する行政サービス

米Microsoftは6月16日（現地時間）、同月初旬に発生したOutlookやOneDriveのアクセス障害の原因が、同社が「Storm-1359」と命名する脅威アクターによるDDoS攻撃だったと発表した。「進行中のDDoS攻撃の追跡を開始した」。 この攻撃により、顧客データがアクセスされたり流出したりした証拠は確認されていないとしている。 このアクセス障害は、まずOutlookで5日に発生し、約1日で収束した。9日には同様の障害がOneDriveで、10日にはAzure Portalで発生した。 Microsoftは公式Twitterアカウントでのツイートやステータスページで障害対策については報告していたが、DDoS攻撃を受けていることは16日まで公表していなかった。 この攻撃は、「レンタルクラウドインフラ、オープンプロキシ、DDoSツールと組み合わせた複数のVPSへのアクセスを悪用し

スマートフォンが手元にないとGoogleアカウントの2段階認証が行えない？ Googleアカウントの2段階認証プロセスでは、スマートフォンに送られてきたセキュリティ通知で［はい、私です］ボタンをタップする必要がある。しかし、スマートフォンが手元にないと、セキュリティ通知に対応できない。スマートフォンが手元になくても、2段階認証プロセスをパスできるようにする方法を紹介しよう。 Googleアカウントでは、セキュリティのため2段階認証を設定することが推奨されている。そのため、Googleアカウントに2段階認証を設定している人も多いのではないだろうか。 Googleアカウントの2段階認証プロセスでは、「新しいデバイスでのログインなど、重要な操作を検知した場合」などに、デフォルトではスマートフォンにGoogleからのメッセージ（セキュリティ通知）が表示され、そこで操作を行わないと、ログインできない

DNS水責め攻撃、食らっちゃいました：こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（37） 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第37列車は「DNS水責め攻撃」です。※このマンガはフィクションです。

2023年3月以降、富士通Japanが提供する地方公共団体向けの住民情報ソリューションである「MICJET」(ミックジェット)において、プログラム不具合に起因するシステム障害によりコンビニ交付サービスで他人の証明書が出力されるなどの誤交付が相次ぎ発生しています。ここでは関連する情報をまとめます。 証明書の誤交付が発生した地方公共団体 富士通Japanが提供する住民情報ソリューション「MICJET」に関連した誤交付が生じたのはこれまでに8つの地方公共団体。MICJETのコンビニ交付サービスにおいて住民票の写し、印鑑登録証明書などで誤交付が発生した。MICJETを導入している地方公共団体は全国で123。*1 誤交付を行った地方公共団体 誤交付された対象 誤交付を行っていた時期 横浜市 他人の住民票（個人番号あり）の写し1件(1名) 他人の住民票（個人番号無し）の写し5件(11名) 住民票記載事

2023年5月16日（現地時間）、米国司法省が3種のランサムウエアを用いて米国内の医療機関をはじめとした複数の分野に対して攻撃を行ったとして、ロシア国籍の男を起訴したことを公表しました。また日本の警察庁も捜査協力を行ったことが報じられています。ここでは関連する情報をまとめます。 ランサムウエアの展開に関わっていた男を起訴 ワシントンDC、ニュージャージー州地区より起訴*1 *2されたのはWazawaka、m1x、Boriselcin、Uhodiransomwarというハンドルネームを使用していたロシア国籍の30歳の男で、Lockbit、Babuk、Hiveの3種類のランサムウエアを使用したアフィリエイトとして主に活動に参加していた疑い(Babukは開発も関わっていた疑い)がある。次の表は起訴状に記載されていた被害組織の事例。男はランサムウエアの展開だけでなく、被害組織に対して身代金要求を行

5月11日から、マイナンバーカードの電子証明書機能をAndroid端末に搭載できるようになった。これを受け、ヤフーが運営するオークションサイト「ヤフオク！」は、中古スマートフォン出品の際、事前にスマホ用電子証明書の失効手続きを行うよう案内している。 スマホ用電子証明書は、端末の初期化だけでは削除できず、マイナポータルアプリから失効申請を行う必要がある。マイナカードの電子証明書機能を使っていたスマホを出品する際には、必ずこの手続きを行うよう呼び掛けている。 関連記事 マイナカードをAndroidスマホに入れてみた　何が便利で何ができる？　iPhone対応は？ 5月11日に、マイナンバーカードのスマホ用電子証明書搭載サービス、いわゆる「カード機能のスマホ搭載」がスタートした。「マイナカードがスマホに入る」なんて言われているが、何ができて何ができないのか。実際にスマホにマイナカードを搭載してみた

空港の無料USB充電は危険？　サイバー犯罪に警鐘も実は被害報告なし　「マスコミらが煽りすぎ」との指摘：この頃、セキュリティ界隈で 空港やホテルにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染する――そんなサイバー犯罪の手口について、FBIやマスコミが改めて注意を呼びかけている。しかし実はこの攻撃が実際に仕掛けられた事案は確認されていないという。 空港やホテルのロビーにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染し、個人情報やパスワードを盗まれてしまう――「ジュースジャッキング」と呼ばれるそんなサイバー犯罪の手口について、米連邦通信委員会（FCC）や米連邦捜査局（FBI）が改めて注意を呼びかけた。 しかし実はこの攻撃が実際に仕掛けられた事案は確認されておらず、今更の警告は不必要な不安をあおるだけだという意見もある。 ジュースジャッキングを巡っ