LINEを使わない情シスなんてあり得ない
“中小企業の情報システム担当が「LINEを知らない」「使ったことがない」なんていうのはあり得ません”――こんなことを書くと、脊髄がピクッとする読者が多いことでしょう。 しかし、情報システム担当者こそ、LINEをはじめとするネット上の便利なサービスを、いち早く体感しておく必要があります。 個人で使って便利なサービスは、仕事でも使いたい スマホの普及とともにチャットツールを使う人が増えました。リアルタイムに会話できるチャットは、家族や知人同士の連絡には大変便利なもの。一度使いだすと、以前のコミュニケーションツールに戻れなくなるというのも分かります。 実は、チャットはビジネスシーンでも便利なのです。メールでは必須といわれる「いつもお世話になっております」「どうぞよろしくお願いいたします」といった、余計で堅苦しいあいさつを抜きに、本題のみをやりとりできるからです。TPOに応じた使い分けですね。 仕
サイバーセキュリティ基本法が成立
サイバー攻撃への対応に国が責務を持つとした「サイバーセキュリティ基本法」が11月6日、衆院本会議で可決・成立した。 同法では国に対し「サイバーセキュリティに関する総合的な施策を策定し、および実施する責務を有する」と規定。国がサイバー攻撃の監視と分析を行い、関係省庁には攻撃について情報提供を義務付ける。また、官房長官をトップとしたサイバーセキュリティ戦略本部を設置し、セキュリティ戦略を策定する。 民間のIT関連事業者に対しても、セキュリティの確保と、国や自治体のセキュリティ関連施策に協力するとの努力義務を盛り込んだ。 法案は6月の通常国会で衆院で可決されていたが、参院で継続審議に。今国会では参院先議となり、参院を通過で後で衆院で審議していた。
Google、「Chrome 40」でSSL 3.0を完全無効化へ
「Chrome 39」でSSL 3.0へのフォールバック機能をデフォルトで無効化。「Chrome 40」ではSSL 3.0が完全に無効になる。 SSL 3.0に「POODLE」と呼ばれる深刻な脆弱性が見つかった問題で、米Googleは12月下旬にリリースする予定のWebブラウザChromeの安定版「Chrome 40」でSSL 3.0を完全に無効にする計画を明らかにした。 Googleのセキュリティ担当者によると、まずChrome次期バージョンの「Chrome 39」でSSL 3.0へのフォールバック機能をデフォルトで無効にする。この機能が有効になった状態では、HTTPSサーバのバグによりページに接続できない場合、攻撃者がネットワーク経由でSSL 3.0を使ったHTTPS接続を強要することが可能だった。 安定版のChrome 39は11月18日ごろにリリースされる見通し。SSL 3.0への
「不正侵入の検知はログしかないですね?」 面倒くさい社長の質問
「不正侵入の検知はログしかないですね?」 面倒くさい社長の質問:萩原栄幸の情報セキュリティ相談室(1/2 ページ) セキュリティのコンサルティングをしていると、しばし経営者から「セキュリティって何が難しいのかそもそも分からない」「要はログの問題じゃないの?」と言われる。しかし、そうではないのだが……。 情報セキュリティを主体にしたコンサルタントをしている中で、企業の経営者と頻繁に打ち合わせをする機会が多い。中にはどうにも理解してもらえないことがある。今回もその1つを紹介したい。父親から社長業を任された中堅スーパーにおける出来事だ。 面倒くさい社長の質問 この企業は関西を基盤にしたスーパーマーケットである。大規模ではないが、地域に密着した着実な経営で有名だった。数年前に父親から家業を継いで経営者となった社長は、任されるまで精密部品メーカーの技術者であり、国立大学工学部出身の優秀な人物だったら
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
bash脆弱性、国内メーカーの対応まとめ(10月3日夜現在)
LinuxなどUNIX系OSで使われているシェル「bash」にOSコマンドインジェクションの深刻な脆弱性が発覚した問題で、国内メーカーなどの対応状況を10月3日午後8時半現在で取りまとめた。なお、編集部で確認できた範囲のため、情報が網羅されているわけでないことをあらかじめお断りしておく。脆弱性の詳細などについて、JPCERT コーディネーションセンターが情報を公開している。 メーカー 10月3日午後8時半更新 アイ・オー・データ機器(注記1) 影響を受ける製品(対策ファームウェアあり)……HDL-XR/XRW シリーズ、HDL-XR2U/XR2UW シリーズ、HDL-XV/XVW シリーズ、HDL-A/AH シリーズ、HDL2-A/AH シリーズ、HDL-S シリーズ、HDL2-S シリーズ、HDLP-S シリーズ、HDLP-G シリーズ、ASD-XR4.0、HVL-A/AT/ATA シリ
GoogleやDropbox、使いやすいセキュリティツールを開発へ
「セキュリティ技術がどれほど効果的であっても、使いやすく分かりやすいものにしない限りは使ってもらえない」という考えから、新組織「Simply Secure」を設立した。 米DropboxやGoogleが参加して9月18日、一般ユーザーにも使いやすいオープンセキュリティツールの開発を目指す組織「Simply Secure」の創設を発表した。 設立の背景として同組織は、現在のコンシューマー向けセキュリティツールは平均的なユーザーにとっては不便だったり分かりにくかったりして採用が進まないと指摘する。2段階認証なども多くのオンラインサービスで提供されているが、あまり普及していないのが現状だという。 そこで「セキュリティ技術がどれほど効果的であっても、使いやすく分かりやすいものにしない限りは使ってもらえない」という考えから、オープンソースコミュニティと連携して、高度な知識がないユーザーにも使いやすく
Gmailアドレスとパスワード約500万件が流出か
ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載された。アドレスは大部分がGmailのものだったが、Yahoo!やHotmailなども含まれるという。 GoogleのGmailなどのメールアドレスとパスワードを組み合わせた情報約500万件がロシア語の掲示板サイトに公開されたという。同国のニュースサイトCNewsの報道を引用してメディア各社が9月10日付で伝えた。 ロシアのセキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この情報はロシア語のビットコインセキュリティフォーラムサイトに9日夜に掲載された。メールアドレスは大部分がGmailのものだったが、Yahoo!やHotmailなどのアドレスも含まれるという。 流出したのは主に英語、スペイン語、ロシア語のアカウントの情報だったとThe Next Web(TNW
Windows UpdateのPC起動不能トラブルがもたらす「別の大きな問題」とは?
Windows 7にインストールされた8月12日公開の更新プログラム「2982791」。Windowsが異常終了したり、再起動を繰り返してPCが起動しなくなるトラブルを引き起こす可能性が発覚し、この更新プログラムは更新が停止された 2014年8月、世界中のPCユーザーが騒然となった。Windows OSに8月12日(米国時間)公開の更新プログラムを導入することで、PCが起動不能になってしまう不具合が一部で発生したのだ。 Microsoftは8月27日に問題となる更新プログラムの1つを修正するアップデートの自動配信を開始し、さらに9月2日には残りの更新プログラムのアップデートについても配信を始めた。 これにより、1カ月近く続いてきたWindowsのアップデートに関するトラブルは落ち着いたように思える。今回はこの詳細と経緯をまとめたうえで、今後考えられる新たな問題について考えてみたい。 Mic
セレブ写真流出は標的型攻撃が原因――Appleが調査結果を発表
写真の流出についてAppleは、「iCloudやFind my iPhoneを含むAppleのシステムが破られたことが原因ではなかった」と説明している。 米女優のジェニファー・ローレンスさんなど有名人多数の個人的な写真が流出した事件で、米Appleは9月2日、流出は標的型攻撃によるもので、iCloudなどが破られたことが原因ではなかったとする調査結果を発表した。 Appleによると、事件の発覚を受けて同社は直ちに社内のエンジニアに流出元を調べるよう指示。約40時間の調査の結果、特定の有名人のアカウントが、ユーザー名、パスワード、セキュリティの質問を狙った標的型攻撃によって侵害されていたことが分かったという。 Appleはこうした標的型攻撃について「インターネットでは極めて一般的になっている」と述べ、「われわれが調査したケースはいずれも、iCloudやFind my iPhoneを含むApp
日産のWebサイトで改ざん見つかる、発覚まで約2カ月も
日産自動車は8月26日、同社の運営する「下取り参考価格シミュレーション」サイトで一部プログラムが改ざんされていたと発表した。同日時点でその他サーバへの侵入や個人情報などの漏えいは確認されていないという。 改ざんは第三者の不正アクセスが原因とみられている。同社は改ざんが見つかったサーバと、このサーバで運用している「他メーカー比較」サイトのサービスを停止し、セキュリティ専門会社による詳細調査を行っている。「他メーカー比較」サイトは改ざんされていなかった。 改ざんされた期間は、6月30日午前4時21分から8月22日午後11時22分までの約2カ月間。閲覧者が第三者のWebサイトに誘導されてしまうことが分かり、一部の閲覧者ではコンピュータに意図しないファイルがダウンロードされた可能性もあるとして、同社は最新状態のセキュリティソフトでウイルス感染の有無を確認してほしいと呼び掛けている。
Windows 9(仮)の発表イベントは9月30日?──The Verge報道
米Microsoftが次期Windows(正式発表はないが、コードネームは「Threshold」、バージョンは「Windows 9」とみられる)の発表イベントを9月30日(現地時間)に予定していると、The Vergeが8月21日、この件に詳しい筋の情報として伝えた。 日付は多少ずれる可能性はあるが、少なくとも次期Windowsのプレビュー版が9月30日あるいはその直後にリリースされるという。米ZDNetも17日、9月末あるいは10月初旬に「テクニカルプレビュー」が公開されると報じている。 このイベントではまだ正式名称は発表されず、「ミニスタートメニュー」などの新機能の説明とテクニカルプレビューの公開を発表するという。 また、Windows RTとWindows Phoneを統合した新たなモバイル版Windowsについても発表するとしている。同社は以前から、PC、タブレット、スマートフォン
「Suicaポイントクラブ」に不正ログイン 試行30万件、756アカウントが被害
JR東日本は8月18日、電子マネー「Suica」のポイントを管理するネットサービス「Suicaポイントクラブ」で、756アカウントが不正ログインを受け、ユーザーの氏名や生年月日などの情報が閲覧された可能性があると発表した。 15日午前1時29分、SuicaポイントプログラムのWebサイトに約29万6000件のログイン試行があったことを確認。同日午前5時35分から同サイトのサービスを停止し、調査したところ、756アカウントが不正ログインを受けたことが分かった。 不正ログインを受けたアカウントでは、ユーザーの氏名や性別、生年月日、メールアドレス、郵便番号などの情報を閲覧された可能性があるという。登録情報の改ざんやポイント不正利用などは確認していない。 不正ログインを受けたユーザーのアカウントは停止し、個別に連絡してパスワードの変更を呼び掛けている。それ以外のユーザーでも当面の間、平日の午前10
ANAマイレージクラブに「英数字8~16けた」の新パスワード 数字4けたから強化
全日本空輸(ANA)は8月18日、「ANAマイレージクラブ」会員が公式サイトにログインする際、現行のパスワードと異なる「Webパスワード」を、9月4日から新たに導入すると発表した。「お客様に安心してご利用いただくため」としている。 現行では、マイレージ番号と数字4けたのパスワードのみでログインでき、「不正ログインに対して脆弱だ」と指摘されていた。 新たに導入するWebパスワードは8~16けたで、任意の英文字(大小)と数字で構成。ユーザーはWebパスワードを新規に設定する必要がある。 12月3日までは移行期間として現行のパスワードも利用できるが、12月4日以降はWebパスワードのみの利用に切り替わる。 現行のパスワードは引き続き「ANA予約センター」への問い合わせ時や空港の自動チェックイン機などで必要となるため、Webパスワードとあわせて管理するよう呼び掛けている。 関連記事 ANAマイレー
ワイモバイル、1321人分の個人情報を漏えい
旧イー・モバイルの業務委託先企業の社員が、「つながるマップ」の利用者情報が含まれるPCを紛失していたことが分かった。 ワイモバイルは8月15日、業務委託先企業でのPC紛失により、1321人分の個人情報が漏えいしたと発表した。漏えいした情報は、旧イー・モバイルが2013年1月28日から2014年1月24日まで提供していたコミュニティサイト「つながるマップ」の利用者に関する住所、氏名、生年月日、メールアドレスなどだとしている。 PCを紛失したのは、「つながるマップ」の運営委託先企業の社員。8月2日未明に紛失し、12日夜に「つながるマップ」利用者の情報が含まれていることが判明したという。委託先企業が警察に遺失物届を提出しているが、PCはまだ見つかっていない。 PCにはパスワードが設定され、現時点で情報悪用の事実は確認していないという。ワイモバイルは該当者へ個別に連絡すると説明している。
Androidユーザーをだまし続けるFlash Playerの詐欺アプリ
正規アプリはAdobeの公式サイトから無償ダウンロードできるが、ユーザーに金銭を要求する詐欺アプリが後を絶たない。 Android端末でFlashコンテンツを視聴したいというユーザーは今も多いようだ。こうしたユーザーをだまして金銭を不正に入手しようとする詐欺アプリがGoogle Playにしばし登場しているとして、McAfeeが注意を呼び掛けている。 McAfeeによれば、Flash PlayerはAndroidマルウェアの偽装によく使われているという。これまで海外などは高額SMSを使うマルウェアやそれらを端末などに呼び込む「ドロッパー」が存在した。 2013年末以降は「Flash Playerのインストールするため」と称してユーザーにPayPalで支払わせる詐欺アプリがGoogle Playに出現。公開後に削除されたものの、7月末以降にFlash Playerのインストーラを称する複数の
Facebook、Android版メッセンジャーでなぜ「録音」などの権限が必要かを説明
米Facebookは8月8日(現地時間)、英語版ヘルプセンターに「なぜMessengerアプリはAndroid端末の機能へのアクセス権限を求めるのか」についての説明ページを追加した。 同社は近日中に、モバイル版公式Facebookアプリのメッセージング機能を削除し、モバイルでのメッセージングは専用アプリ「Facebook Messenger」あるいはWebブラウザ経由でのみ利用できるようにすると告知している。 実際にはFacebookアプリの方がMessengerよりも権限の要求件数が多く(45件)、Messengerアプリで必要な権限はすべてFacebookアプリでも必要なものばかりだが、改めてMessengerをインストールしようとした際に多くの権限を要求されることに気づいたユーザーらが不満の声を上げていることに対応したものとみられる。 Android版Messengerは現在、インス
Microsoft、脆弱性緩和ツール「EMET 5.0」を正式公開
「EMET 5.0」では新たに「Attack Surface Reduction」「Export Address Table Filtering Plus」などの新機能が加わった。 米Microsoftは7月31日、脆弱性緩和ツールの新バージョン「Enhanced Mitigation Experience Toolkit(EMET) 5.0」の正式版(GA)リリースを発表した。 EMETはサイバー攻撃の一般的な手口を阻止して多層防御戦略を支援するツール。5.0は2月にプレビュー版が公開されていたもので、新たに2つの緩和策が追加された。 このうち「Attack Surface Reduction」(ASR)では、特定の状況下で特定のモジュールやプラグインをブロックする仕組みを提供する。例えば、外部のWebサイト上ではブラウザ経由でJavaプラグインが読み込まれるのを防ぐ一方で、社内サイトで
「Windows XPをまだ使う」 金融機関にみる残念な言い訳
2014年4月でサポートが終了したWindows XPを使い続けることは、重大なセキュリティリスクを伴う。特にセキュリティ意識が高い(と思われがちな)金融機関では移行対応が進んでいるようにみられるが、その内情は恐るべき実態がある。 読者もご存じの通り、今年4月をもってMicrosoftによるWindows XPのサポートが終了した。筆者は金融機関向けのコンサルタントを主業務としているので、様々な金融機関からWindows XP対応の報告が届いている。その結果をみると、金融機関の現状は、筆者の予想とはずいぶん違うものだ。その警告の意味も含めて実際のところを紹介したい。 Windows XPがこの世に出た2001年、正確にいえばMicrosoftはその前からWindows XPのライフサイクルを提示していた。つまり、企業はWindows XPの移行対応作業をかなり前から計画・実施できるはずだっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired