アサヒグループHD、ランサムウェア攻撃によるシステム障害について、調査が完了した内容と再発防止策を公開 取引先や従業員の情報約11万5000件の漏えいを確認
アスクルがデータ流出の拡大を発表、調査は継続中
アスクルは11月11日、情報流出に関する続報を発表した。同社は10月19日に発生したランサムウェア被害により一部データを外部に流出しているが、今回はその被害の拡大が確認されたという。 公式発表:(PDF) 情報流出に関するお知らせとお詫び (ランサムウェア攻撃によるシステム障害関連・第7報) 関連記事: 「アスクル、本格復旧は12月上旬以降 - 復旧計画を公開 | TECH+(テックプラス)」 「アスクル、ランサムウェア攻撃によるデータ漏洩発表 - 問い合わせ情報など | TECH+(テックプラス)」 「アスクルが問い合わせフォームを再開、犯行声明の把握を表明 | TECH+ (テックプラス)」 「アスクルがシステム障害について第3報を発表、手作業で一部出荷を開始 | TECH+ (テックプラス)」 「アスクルがランサムウェア被害に関するFAQ公開、フィッシングメールに注意 | TECH+
Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基盤の実装に不備があると、依然としてアカウント乗っ取りを含む従来のセキュリティリスクを払拭できません。 本記事では、W3CのWorking Draft(2025年5月現在)である Web Authentication: An API for accessing Public Key Credentials Level 3 を読み解き、Relying Party(RP)としてPasskey認証を導入する際に実装で注意すべき点を説明いたします。 はじめに Passkey認証でも生まれ得るセキュリティリ
経産省が情報処理安全確保支援士を「5年で5万人」の策、実務で8万円の講習不要に
経済産業省は情報処理安全確保支援士(登録セキスペ、以降「支援士」と記載)を2030年までに現在の倍となる登録者数5万人に増やすと掲げた。同省が2025年5月14日に公表した「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」に明記した。最終取りまとめは、セキュリティー人材の裾野を拡大するため、同省が有識者を集めて2024年7月から開催してきた検討会の結果をまとめたものだ。 経産省は達成のため、いくつかの策も打ち出している。「2030年に5万人」は達成できる数値なのか、そして同省はどんな策を打つのかを解説する。 達成には純増ペースを「7.8倍」にする必要 そもそもなぜ5万人か。経産省の商務情報政策局サイバーセキュリティ課は「(5万人は)精緻な予測に基づいた目標ではない」とし、「国内でセキュリティー人材が11万人不足しているという民間調査の結果もあり、需要が高まっている。そうした
「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加
Action1は2025年5月15日(現地時間)、2025年版「Software Vulnerability Ratings Report」を発表し、2024年におけるソフトウェア脆弱(ぜいじゃく)性の発見数が前年比で61%増加し、既知の悪用された脆弱性も96%増加したことを明らかにした。 この報告書は、米国国立標準技術研究所(NIST)が管理している脆弱性情報データベース(NVD)およびCVEdetails.comのデータに基づいており、ソフトウェアカテゴリーごとの脆弱性傾向とリスクの高い分野を分析している。 「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加 報告書によれば、「Linux」に関連する脆弱性は前年比で967%増加し、「macOS」に関する脆弱性も95%増加した。これらの増加は、UNIXベースのシステムが攻撃者の主要な標的となっていることを示してい
「サイバー人材」5万人へ、30年までに倍増方針…政府が育成策・企業とのマッチング後押しも
【読売新聞】 政府は、国内企業や官公庁に対するサイバー攻撃に対応するため、2030年までに防御策の作成ができる国家資格取得者を現在の2倍の5万人に増やす方針を決めた。資格維持に必要な費用負担を軽減し、企業での活躍の場を広げる。サイバ
ハッシュ化だけではもう古い ソルト&ペッパーという技術
昨今、生成AIの発展とともに、情報の不正な取得を試みる攻撃パターンが急速に多様化しています。このため、企業は残念ながらいつか情報漏洩するという前提で必要な対策を行う必要があります。 一般的なウェブシステムにおける暗号化の限界点 そのため普遍的に用いられる技術の一つが「暗号化」ですが、ウェブシステムの場合完全な対策は難しいのが実情です。例えばデータベースを暗号化しても、フロントエンドなど、システムのどこかに必ず暗号を復号できるノードが存在します。フロントエンドに侵入されれば、データベースの暗号化だけでは情報漏洩を防ぐことは困難です。TDE(Transparent Data Encryption:透過的データ暗号化)という、高価な専用ハードウェアを用いて特定のカラムを暗号化する手法もありますが、それにしてもフロントエンドに侵入されるケースを考えると復号化は懸念されます。 ハッシュ化による対策
高級ホテルの客室タブレットに潜む危険:他客室も操作、盗聴可能だった脆弱性を発見するまで - ラック・セキュリティごった煮ブログ
しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問題はIPAを通して開発者に報告し、報告から2年の年月を経て影響する全ホテルへの改修が完了し、公表されました。 本記事ではキオスクアプリ開発者がよりセキュアなシステムを構成できるように、発見した脆弱性の原因と対策を解説します。 客室に設置されていた脆弱性を有するタブレット ※今回は稼働中システムに対する調査という背景を鑑み、他者の情報・資産を侵害しないよう細心の注意をもって調査しており、他者の情報が関連するセンシティブな問題についてはアクセスなどの実際の検証を行わず、複数の間接的な証跡をもって報告し
【セキュリティ ニュース】QNAP製NAS向けの複数ツールに深刻な脆弱性 - アップデートを(1ページ目 / 全1ページ):Security NEXT
QNAP SystemsのNAS製品向けに提供されているファイル共有やバックアップツールに深刻な脆弱性が明らかとなった。 2件の脆弱性「CVE-2024-50387」「CVE-2024-50388」について、10月29日、30日にアドバイザリを公表したもの。いずれもバグバウンティコンテスト「Pwn2Own 2024」で報告を受けたという。 「CVE-2024-50387」は、ファイルやプリンタの共有に用いられる「SMB Service」に明らかとなった脆弱性で、同社は「同4.15.002」および「同h4.15.002」にて修正した。 またバックアップ機能を提供するアプリ「HBS 3 Hybrid Backup Sync」に「CVE-2024-50388」が判明。「同25.1.1.673」以降で解消されている。 いずれもアドバイザリで脆弱性の具体的な影響について言及していないが、重要度を4段
130万台のAndroid TVからマルウェア検出、確認と対策を
Doctor Webは29月12日(現地時間)、「Void captures over a million Android TV boxes」において、Android TVボックスから新しいマルウェア「Android.Vo1d」を発見したと報じた。すでに世界中のデバイスに感染していることが確認されており注意が必要。 Void captures over a million Android TV boxes マルウェア「Android.Vo1d」 Doctor Webの分析によるとマルウェア「Android.Vo1d」はトロイの木馬とされる。3つのコンポーネントで構成され、複数の手段で永続性を確保する。これまでのところ、初期の感染経路は明らかになっていない。 攻撃者は何らかの方法でデバイスへのアクセスを確保し、管理者権限を取得してマルウェアを展開したとみられている。被害報告のあったデバイスに
陸自にサイバー専門の幹部候補生を採用する制度 設置へ 防衛省 | NHK
防衛省は、サイバー分野の人材を確保するため、陸上自衛隊に、入隊時から関連業務を専門とする幹部候補生を採用する制度を設けることになりました。 防衛省は、高度で複雑化するサイバー攻撃などに対応するため、自衛隊の専門部隊を今の2200人あまりから、2027年度に4000人に拡充することを目標にしています。 今回、それに向けた人材確保の総合戦略を策定し、この中では、陸上自衛隊に、入隊時からサイバー分野の業務を専門とし、最終的には部隊の隊長なども務めることができる幹部候補生を採用する制度を設けるとしています。 また、専門的な技能を持つ人を予備自衛官として数多く採用できるよう、入隊時の体力検査の基準を緩和することも盛り込まれています。 木原防衛大臣は「社会全体でサイバー人材の重要性が高まっている中、防衛省としても人材確保は喫緊の課題だ。サイバー防衛能力の強化に向け、スピード感を持ってさまざまな施策を進
Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - GMO Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアkoyuriが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対する複数の脆弱性を報告しました。 本日(2024/04/09(訳者注: これは英語版記事の公開日です))、影響を受けるベンダーがこれらの脆弱性に関するアドバイザリーを公表しました。 その影響は限定的なもののCVSSスコアは非常に高く、混乱が予想されるため、脆弱性に関する詳細を本記事にまとめます。 はじめに TL;DR CVSSスコア 技術詳解 根本原因 CreateProcessのラッパー cmd.exeのパース規則
KADOKAWA襲った身代金要求ウイルス、日本企業の感染被害率は突出して低く
パソコン内のデータを開けなくしたり、盗んだりして、復元や暴露回避のための金銭を要求する「ランサムウェア(身代金要求型ウイルス)」の被害企業が後を絶たず、8日のKADOKAWAグループへのサイバー攻撃では今も大きな影響が出ている。一方、民間調査で日本は同ウイルスの感染率が急減しており、主要15カ国の中で突出して低いことが判明。理由に身代金を支払う割合が低いことが挙げられ、「日本を狙っても割に合わない」との評価が広がり、攻撃回数自体が減った可能性もある。 完全復旧まで1カ月超か「ただ今、システム障害のため、お問い合わせをお受けすることができません」 KADOKAWA本社に電話をすると、19日時点で自動音声が流れる。 8日に同社グループ内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受け、グループの広範な事業が停止に追い込まれた。同社は完全復旧まで1カ月以上かかると見通す。 ランサムウェ
え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ
え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ:“典型的やられサイト”で学ぶセキュリティのワナ(1/3 ページ) ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本記事に登場する企業・団体及び人物は全て架空の存在である。 荒井考人(あらいこうと):入社したばかりの新人
マイナンバーカード偽造事案についてまとめてみた - piyolog
2023年12月4日、マイナンバーカードの偽造などを行っていたとして有印公文書偽造と入管難民法違反の容疑で女が逮捕されました。ここでは関連する情報をまとめます。 初のマイナンバーカード偽造事案 警視庁と兵庫県警など6の府県警によって有印公文書偽造と入管難民法違反の容疑で再逮捕されたのは中国籍の女。他者と共謀し2023年11月12日頃に自宅で在留カード13枚とベトナムやインドネシア国籍の外国人名義のマイナンバーカード9枚の偽造を行っていた疑い。*1 マイナンバーカードの偽造により摘発された事案は今回が初めて。女は「9月頃からマイナンバーカードの依頼が増えた」などと供述し容疑を認めている。 知人の紹介を受け中国から届いたPC、プリンターを使用して2023年6月頃より女は1日20~60枚のカードの偽造を繰り返していたとみられている。*2 偽造に必要なデータ(顔写真、住所)はWeChatを通じて送
Steamでゲームのアップデートにマルウェアが仕込まれる事態が発生、対策のためSMS認証を必須にするとSteamが発表
Steamの自動アップデート機能が悪用され、開発者のアカウントを通じて悪意あるソフトウェアが混入したゲームが少数のユーザーに配信されていたことがわかりました。再発防止のため、Steamを運営するValveは開発者らにSMS認証を義務づけると発表しています。 Steam :: Steamworks Development :: 近日公開:ビルドおよびSteamworksユーザーの管理におけるセキュリティ強化 https://steamcommunity.com/groups/steamworks/announcements/detail/3749866608167579206 Valve adds new security check after attackers compromise Steam accounts of multiple game devs and update thei
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 特集:Webコンテンツの守り方 情報漏えい対策術 経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本
英国政府が全世界のエンドツーエンド暗号化を破壊する » p2ptk[.]org
Electronic Frontier Foundation 英国議会が世界のプライバシーを崩壊させかねないインターネット規制法案を推進している。現在、貴族院での可決を目前に控えた「オンライン安全法案」は、メッセージングサービスにバックドアを強制する権限を英国政府に与え、エンド・ツー・エンド暗号化を破壊するものとなる。法案の最も危険視されている部分を軽減する修正案は全く受け入れられていない。 オンライン安全法案が可決されれば、世界のプライバシー、そして民主主義そのものを後退させることになるだろう。我々が使用するメッセージングサービスに政府承認ソフトウェアの導入を義務づける悪しき前例を生み出すことになる。さらに、このオンライン安全法がもたらす害は英国国内にとどまらない。 オンライン安全法案は4年以上前の「オンライン上の危害」に関する白書から生まれた。そして、史上最も広範囲におよぶインターネッ
![英国政府が全世界のエンドツーエンド暗号化を破壊する » p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/73f622e8d394647776960695a6d3e78fbc17326a/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2023%2F08%2Fdefend-encryption-cyan-1_0.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Docker が俺の Postgres を勝手に全世界に公開しやがって色々怒られた話 - Qiita
