16万円送金しようとATMに行ったら思いの外苦労した話「今全国こんな風なの?」澤田愛子 @aiko33151709 16万円送金しようとATMに。金額が大きすぎ送れぬと機械音。窓口に行ったら身分証明書を要求。健康保険証を差し出すと写真がないので駄目だと。で運転免許証を持ってないなら別の身分証明書をもう一通持ってくるようにと!汗だくで家に帰り介護保険証を取ってきてようやくOK。今全国こんな風なの? 2023-12-15 19:38:15
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
サイバー人材確保「『給与の壁』を政治主導でぶち破れ」|FNNプライムオンライン
13日のフジテレビ系「日曜報道 THE PRIME」では、「能動的サイバー防御」やサイバー人材の確保などをめぐって、与野党の論客が議論した。 「能動的サイバー防御(アクティブサイバーディフェンス)」とは、サイバー空間での安全保障を強化するため、攻撃者を監視して先手を打つなどの対抗措置を取ることで、昨年12月に政府が閣議決定した「国家安全保障戦略」などに明記されている。 自民党の佐藤正久元外務副大臣は、「サイバーは、攻撃側が圧倒的に有利だ。守る方は大変だ」とした上で、「日ごろから怪しいと思ったら、そこを見ておく。1回攻撃を受けたら攻撃側を特定し、(場合によってはマルウェアを送って)無力化しないと、二の矢、三の矢を防ぐことができない」と指摘した。 そして、能動的サイバー防御の法整備の必要性を強調し、「立憲民主党が賛成したら、議論は加速化される」と述べた。 立憲民主党の中谷一馬衆院議員 この記事
Apple、英当局のプライバシー新方針にノー〜iMessageのサービス停止を勧告 - iPhone Mania
Apple、英当局のプライバシー新方針にノー〜iMessageのサービス停止を勧告 2023 7/21 Appleは、英国政府がメッセージングサービスにエンドツーエンド暗号化のバックドアを提供することを義務付ける法案が成立する可能性に直面し、英国内でiMessageおよびFaceTimeをサービス停止する、と勧告しました。 ■3行で分かる、この記事のポイント 1. 英政府はメッセージングサービスのプライバシーを弱める新法案を審議中。 2. Appleは全面的にノーを突きつけており、意見書も提出している。 3. 英国内でのみiMessageとFaceTimeがサービス停止となる可能性がある。 Appleは9ページにわたる意見書を提出 英国内で新しいオンライン安全法案が現在審議されていますが、Apple、WhatsApp、Signal、その他のサービスは、この提案に反対の声を上げています。 英
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 | 日本ネット経済新聞|新聞×ウェブでEC&流通のデジタル化をリード
2023.01.24 経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 0 経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。 ECサイトと本人認証の仕組みの導入の義務化は、「クレジットカード決済システムのセキュリティ対策強化検討会」の第6回会合で提出された報告書案に盛り込まれた。 報告書案では、クレジットカード番号の不正利用被害が増え続ける問題を背景に、「ECサイトからクレジットカード情報が漏洩することへの対策」「漏洩したクレジットカード情報が不正に使われることへの対策」の2点を盛り込んだ。 具体的には、「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱
個人データ持ち出しにGPS付き専用ケース 尼崎USB紛失受け名取市が導入 | 河北新報オンライン
宮城県名取市は29日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できる。 兵庫県尼崎市で全市民約46万人分の個人情報が入ったUSBメモリーが紛失したのを受け、情報管理態勢のさらなる…
ゼロトラストは攻撃者から見たら実はセキュアではない ペンテスターの目線から考える、監視システムの現状
自己紹介 牧田誠氏(以下、牧田):それでは対談に入っていきたいと思います。川口さん、ルスランさんお願いします。 川口洋氏(以下、川口):はい。自己紹介です。私は川口設計という会社を経営しています。川口です。何だかんだでイエラエの顧問をやっていて、お付き合いがあります。私はともかくとして、みなさんはルスランさんのお話を聞きたいと思うので、ルスランさんよろしくお願いします。 ルスラン・サイフィエフ氏(以下、ルスラン):GMOサイバーセキュリティ byイエラエのオフェンシブセキュリティ部 部長と執行役員をやっているルスランと申します。私と私たちの部という意味では、ペンテストやアプリケーションセキュリティを随時やっています。 川口:今日は3つのテーマを用意しているので、いろいろとルスランさんに聞いていきたいなと思います。(スライドを示して)ペンテスターであるルスランさんから見た最近のセキュリティの
市民3万人分の個人情報流出 釜石市職員2人が懲戒免職|NHK 岩手県のニュース
釜石市は、市民全員にあたるおよそ3万人分の氏名や住所などの個人情報のデータを自宅のパソコンにメールで送るなどして持ち出したとして、職員2人を懲戒免職にしました。 これは、釜石市の野田武則市長が記者会見して明らかにしたものです。 それによりますと、総務企画部の40代の女性の係長と建設部の40代の男性の主査が、氏名や住所、生年月日などが記載された住民基本台帳や業務上作成した表計算ソフトのデータを、少なくとも7年前から21回にわたって、自宅のパソコンのメールアドレスに送ったり、お互いに送り合っていたということです。 データが持ち出されたのは、市の人口全体にあたるおよそ3万人分にも上るということです。 このうち、おととし分のデータ持ち出しについて、女性係長は住民基本台帳システムの閲覧権限がありませんでしたが、権限のあった男性主査に頼み、データをメールで送信させていたということで、市は2人を住民基本
自治体から迷惑メール91万件 SBテクノロジーのセキュリティクラウド、設定ミス突かれ踏み台に
SBテクノロジーは3月21日、同社が提供する自治体向け情報セキュリティクラウドが、メール中継システムの設定ミスにより、迷惑メールの踏み台になったと発表した。 不正送信されたメールは91万2299件(.jpドメイン向け2467件、それ以外のドメイン向け90万9832件)。メール中継システムが受信拒否リストに登録され、自治体の一部メールが送信できない問題も発生していた。 システムを利用している秋田県などが被害を公表した。個人情報など自治体内の情報漏えいは確認していないという。 SBテクノロジーによると、3月18日午後、メール中継システムで送信障害が発生。メンテナンスで約1時間後に解消したが、メンテナンスの際のアクセスコントロールリスト(ACL)設定でミスがあり、第三者から外部にメール送信できる「オープンリレー」を許可してしまっていた。 その約2時間半後、メール中継システムの異常を検知。オープン
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
自社のクラウド環境に侵入され、データベースから経営に欠かせないデータを持ち出される。バックアップも消され、データを取り戻したければ、身代金を支払うよう要求される──企業にとって絶対に直面したくない事態の一つだ。しかしこのシチュエーションをあえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。クラウド会計サービスを提供するfreeeだ。 freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求したという。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。 訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあったという。同社のPSIRTが取り組んだ
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
APIセキュリティ入門(2):APIの認証と認可をスケールする手法 - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回は、APIをエッジで処理する有効性について説明した。第2回の本稿では、APIの認証と認可をエッジでどのようにスケールさせるかを説明したい。 APIのタイプには、パブリックとプライベートがある。パブリックなものは、誰でもAPIを呼び出すことができ、大概は一定期間キャッシュできるため、コンテンツ配信ネットワーク(CDN)のような仕組みは非常に有効だ。例えば、検索結果を返すAPIは、バックエンドのデータベース情報が変わらなければ常に同じ結果を返すので、エッジでキャッシュできればエンドユーザーの操作性はかなり良くなる。また、毎回オリジンサーバにリクエストが届かなくなるので、クラウド基盤のコンピュータリソースもコスト削減できる。 問題なのは、
APIセキュリティ入門(1):APIをエッジで制御する意味とは何か
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます モノからコトへと人々の価値観が変化、多様化していく中で、自社の発想だけでのユーザー囲い込みは、よほどの強力な製品やプラットフォームがなければ生き残り続けるのは厳しい。コストもかかる。多くの企業はビジネスのアジリティを高めるために、従来のモノリシックなシステム構造から脱却し、クライアントからのデータアクセスをAPIで提供している。そして、APIはマネタイズ(収益化)するための重要な企業戦略になる可能性を秘めている。APIは「Application Programming Interface」の略だが、「A Profit Increase」だという解釈もあるようにAPIは利益を生み出すのだ。 日々、約3兆のリクエストをインターネットで処理し
NTTぷららの委託先で個人情報流出の可能性--最大で800万件
NTTぷららは7月2日、サービス機器配送などの委託先で個人情報が流出した可能性があると発表した。現時点で最大800万件の個人情報が流出した可能性があるとしている。 NTTぷららが機器配送業務を委託しているエヌ・ティ・ティ・ロジスコ(NTTロジスコ)が第三者による不正アクセスを受け、個人情報が滅失し、流出している可能性が判明したとのこと。7月1日の9時56分に発覚したという。 発生場所は、エヌ・ティ・ティ・ロジスコ 千葉物流センターA棟で、流出した可能性がある個人情報は、NTTロジスコに配送業務を委託する上で必要となる配送先情報に含まれている、氏名、住所、電話番号、DRMID(STBが保有する数字16桁固有の番号)、ひかりTVの契約番号となる基本契約番号、お客様番号。なお、クレジットカード情報および金融機関口座情報などの決済関連情報は一切含まれていないとしている。 NTTロジスコに委託してい
ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
無料でロシアのハッカーを退散させられる「トリック」とは?
アメリカ最大の石油パイプラインを、数日間にわたり停止させる大規模なランサムウェア攻撃を行ったハッカー集団「DarkSide」など、ロシアを拠点とするハッカーの活動は世界的な脅威となりつつあります。そんなロシアのハッカー対策に有効だと指摘されている防御手法について、セキュリティ情報サイト・KrebsOnSecurityが解説しました。 Try This One Weird Trick Russian Hackers Hate – Krebs on Security https://krebsonsecurity.com/2021/05/try-this-one-weird-trick-russian-hackers-hate/ KrebsOnSecurityが提唱する、ロシア由来のマルウェアを回避する手法とは、「キリル文字のキーボードをPCにインストールする」というもの。 by Denis
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft changes signing key system breached by Chinese hackers to steal US gov’t data
数多くのPCで採用されているInsyde H2O UEFI BIOSに23個の脆弱性。開示で修正へ
徳丸 浩 on Twitter: "これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 https://t.co/tHyQuPSvjw"
「習近平のID番号でユーザー登録すると…」ダメ警官が指導者の個人情報を転売、中国“最強監視社会”のショボい裏側 | 文春オンライン
