こんにちは。エンジニアの @wa6sn です。開発組織を横断した課題を解決する Platform Unit というところに所属し、色々をやっています。 主にエンジニアとして新しく入社された方へ、オンボーディングの一環で「プロダクトセキュリティ」という講義を行っています。その資料を公開します。 speakerdeck.com なぜ、資料を公開するのか 弊社では、エンジニアバリューの一つに 「知見を贈り合う」 というものを掲げています。この資料を作成するにあたり、私も日経新聞社様のものや、MIXI 様のものをはじめ、たくさんの文献を参考にさせていただきました。公開版ゆえカットした部分がそれなりにあるものの、今回の資料が何らかの形で他の誰かの役に立てば良いなと思い、公開することとしました。 新卒エンジニア研修2023（セキュリティ）- 日本経済新聞社 セキュリティ研修【MIXI 23新卒技術研修

サイバーセキュリティインシデントはここ数年、増加し続けており、毎日のように被害が公表されている。 本稿では、IIJがこれまでに調査・支援してきたインシデントのなかから留意すべきポイントや有益な知見を抽出して紹介する。 ここ数年、ニュースでも大きく取り上げられており、経営上の大きな問題になっているのがランサムウェア被害です。 IIJへの被害相談でも（暗号化まで行なわれた）ランサムウェア被害、もしくは（ネットワーク内に侵入されたものの）ランサムウェア展開前に気付いて暗号化は免れたというケースが多くを占めています。以前は前者のケースがほとんどでしたが、最近では後者のケースも増えています。これはセキュリティ監視を強化した効果と見られます。 警察庁が公開している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、感染経路の81パーセントはVPN機器とリモートデスクトップが占めており

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は、石光商事のランサムウエア被害と、RIZAPの顧客情報流出、ヤンマーホールディングスのドメインを使ったスパムメール送信を取り上げる。 外部に転送したデータに個人情報は含まれない 食品商社の石光商事は2024年11月1日、2024年9月20日に公表していたランサムウエア被害の調査が完了したとして、調査結果や対応状況を説明した。 攻撃は、グループ会社で使用していたSIMカード搭載のノートパソコンへのリモートデスクトップを介して侵入されたと説明。さらに一部のサーバーが不正アクセスを受け、ランサムウエアによってデータを暗号化されたと見ている。 データを外部に転送する痕跡も確認したが、攻撃者のアクセス範囲を特定できたことから流出データに個人情報が含まれていないとしている。また、

2024/11/11〜12 に行われた JPAAWG 7th General Meeting で発表した資料です https://meetings.jpaawg.org/

2024年10月、米国ディズニー元従業員の男が同社への不正アクセスの疑いで逮捕されました。男はレストランのメニュー作成システムの担当者で、メニューシステムを停止させたり、アレルギー情報の改ざんなど危険な行為にも及んでいたとされます。ここでは訴状に記載された内容を主に、関連する情報についてまとめます。 元従業員によるシステム破壊 訴状や報道*1によれば、FBIが逮捕した男は、米国ディズニーの元従業員。米国ディズニーワールドの全レストランのメニュー作成や公開を担当しており、解雇前はメニュープロダクションマネージャーという役職についていた。 男は2024年6月の解雇後から約3か月にわたり同社サーバーに繰り返し侵入し、メニューの改ざん（アレルギー情報を含む）や当該行為の影響を受けシステム停止が発生したほか、同僚や上司の従業員アカウントを強制ロックさせたり、ある従業員の自宅に訪問を行うなどの行為を行

Okta Japan株式会社は11月7日、「Passkeys」の基本を学べる開発者向け入門サイト「Passkeys Playground」を公開したと発表した。

近年クレジットカードの不正利用に関する犯罪が増えているが、その利用スタイルの変化や対策手段の登場にともない、以前とは違う形での不正利用が増加している現状がある。 以前までであればスキミングや番号の盗み見などの手段で入手したカード番号を元に偽造カードを作成する手法が多かったと思われるが、ICチップ利用の必須化により偽造カード作成は困難になり、盗んだカード番号をオンライン取引で利用するケースが一般化してきている。 まずユーザーにフィッシングメールを送信してカード情報の入力を促したり、あるいは決済サービスを提供する企業のサイトをハッキングしておき、そこに入力された情報をかすめ取るといった手法だ。 このようにして盗んだカード番号をオンラインの決済で利用して換金性の高い商品を購入し、売却することで利益を得るのが犯人の狙いだが、もともとオンラインでの取引は、人と人が店頭で行う対面取引に比べても不正利用

2024年8月8日、米国で開催されたBlackhat USAに登壇したAtropos CTOのVangelis Stykas氏は、ランサムウェアグループが悪用するWebパネルやC2サーバーなどに対する攻撃に関する方法論を披露し、さらに実践して見せた。これに成功すればサイバーセキュリティーにおける脅威との継続的な戦いに形勢逆転という一石を投じることになる。 ランサムウェアとは？　その手口、市場、組織、収益モデル 世界中でランサムウェアによる被害が多発している。ランサムウェアによる被害額や情報漏洩の件数は莫大なものになる。2024年は、国内でも出版大手のKADOKAWAがランサムウェアの被害を受け、子会社の運営する動画配信サービス「ニコニコ動画」などのコンテンツが提供不能になり話題となった。他にもイセトー、関通など公的機関や大企業、国民の情報を預かる組織がランサムウェアの被害を受け、多くの情報

function greet(name) { alert("Hello, " + name + "!"); } greet("Harunobu"); (function(_0x3ab8b5,_0x2842b0){var _0x5e0b57=_0x3b16;while(!![]){try{var _0x210edb=parseInt(_0x5e0b57(0x156))/0x1+parseInt(_0x5e0b57(0x157))/0x2+parseInt(_0x5e0b57(0x158))/0x3+parseInt(_0x5e0b57(0x159))/0x4+parseInt(_0x5e0b57(0x15a))/0x5;if(_0x210edb===_0x2842b0)break;else _0x3ab8b5['push'](_0x3ab8b5['shift']());}catch(_0x2

サイバー脅威の見積もり、できてるつもり？　辻氏、piyokango氏、根岸氏が3つのトピックで問い掛ける：ITmedia Security Week 2024 春 2024年5月29日、アイティメディア主催セミナー「ITmedia Security Week 2024 春」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「脅威の見積もり できてるつもり？」と題して講演した。「攻撃手順、手法の変化」「脆弱性の悪用傾向」「ありふれた不正アクセス事例で共通していた、ある“暗黙の了解”」という3つのトピックを取り上げ、サイバー脅威に対して正しい見積もりができている“つもり”状態を解消するためのヒントを探るパネルディスカッションとなった。

名和氏は、従来の講演では、社内ですぐ転用できるよう、分かりやすさに配慮した視覚的なスライド作りを心掛けてきた。本講演では“アイデンティティー”（ID）に関する現状の恐ろしさを鑑み、身近で起きている事象の全体像を整理し、膨大なテキストで網羅的に解説することにしたという。 「アイデンティティー」が狙われる背景 最近の脅威アクターは、サイバー活動における情報収集やソーシャルエンジニアリング、闇市場での売買、身代金要求、政治的・社会的動機などによって「標的のアイデンティティー」の有効性が高くなっていることに気付き、以前にも増して積極的な窃取努力をしている。 攻撃者による標的のアイデンティティーへの関心が急激に高まった背景として、名和氏は「データ価値の増大」を挙げる。個人情報や認証情報といったアイデンティティー情報は、金融情報や医療情報と並び「非常に価値が高いデータ」と見なされているとともに、重要な

Last Updated on 2024-11-05 13:28 by admin OWASPは2024年10月31日、生成AI（GenAI）に関する3つの新しいセキュリティガイダンスを発表しました。このプロジェクトには世界110社以上から500人以上の専門家が参加し、5,500人以上のコミュニティメンバーを持つ規模に成長しています。 主な対策ガイドライン ガイドでは4つの主要なディープフェイクシナリオを想定し、それぞれに対する具体的な対策を提示しています： 経営者になりすました金融詐欺 不正アクセスのためのソーシャルエンジニアリング 評判や市場操作のための誤情報拡散 採用面接での成りすまし from:OWASP Beefs Up GenAI Security Guidance Amid Growing Deepfakes 【編集部解説】 ディープフェイク対策に関する今回のOWASPの発表

いみじくも手塚は、取材開始から 12 分 30 秒ほど経過したところで、スリーシェイクのメンバーは運用者であり、日々運用に向き合って苦しんでいるため、言い方は良くないかもしれないが「いやいやセキュリティをやっている」という言葉を残している。なんと。セキュリティ担当者がセキュリティを「いやいや」やっているとは。

アクセスするためにTorをはじめとする特定のソフトウェアなどが必要なダークウェブは、情報が規制されている国に向けてBBCがミラーサイトを開設するなどの健全な使用も行われている一方で、犯罪者による違法取引などにも使われています。パスポートの写真や軍事ドローンの機密文書などが売買されているダークウェブにおける「2020年の物価」について、サイバーセキュリティの専門家であるミゲル・ゴメス氏が解説しています。 Dark Web Price Index 2020. Check all 2020 Dark Web Prices https://www.privacyaffairs.com/dark-web-price-index-2020/ ゴメス氏らの研究チームがダークウェブにおけるマーケットプレイスやフォーラムをスキャンし、さまざまなデータの平均価格について算出した結果は以下のようになっています。

2024年10月31日（現地時間）、米国サイバーセキュリティ・社会基盤安全保障庁（以下米国CISAと表記）は、国外の脅威アクターがRDP構成ファイルを添付した大規模なスピアフィッシングキャンペーンを行っているとして注意を呼びかけました。同キャンペーンの分析を行ったMicrosoftによれば、対象国の1つには日本も含まれています。ここでは関連する情報をまとめます。 RDP構成ファイルで攻撃者のサーバーに接続させる手口 米国CISAが注意を呼びかけたのはRDP構成ファイル(拡張子.rdp)が添付されたフィッシングメール。CERT-UA、Microsoft、Amazonなどが対処・分析報告や注意喚起を行っている。*1 *2 *3 各報告によれば、一連のフィッシングは諜報活動を目的に行われたもの分析されており、さらにMicrosoftはこの活動が継続中であると分析している。 今回悪用されたRDP構

OpenAIは2024年10月9日（米国時間）、同社の脅威インテリジェンスレポートの最新版「Influence and cyber operations: an update, October 2024」を発表した。 同レポートは、脅威アクターがどのようにOpenAIの生成AI（人工知能）を悪用しようとしているのか把握するため、2024年10月時点でOpenAIが阻止した活動を分析し、一連の脅威の傾向を特定したものだ。OpenAIによると、2024年初頭から同社の生成AIを悪用しようとしてきた世界中の20以上のサイバーオペレーションや「Deceptive network（欺瞞的なネットワーク）」を阻止してきたという。 OpenAIはレポートの中で、サイバーオペレーションを行っていた脅威アクターを次のように説明している。 OpenAIの生成AIを悪用していた脅威アクターとは？　どう悪用してい