不審なサイトで個人情報を入力したり、入場チケットを注文すると、個人情報が不正に取得される恐れがあるとしている。 万博の公式サイトのドメインには「expo2025.or.jp」が含まれている。アクセスする時はURLを確認してほしいと述べている。 関連記事 空飛ぶトラック、自動おにぎり製造マシン……町工場の技術と知恵を万博で全世界へ発信 世界の「困りごと」を大阪の町工場が解決──。4月13日に開幕する大阪・関西万博で、中小企業74社が19のグループをつくり、各社の技術や知恵を結集して国内外の社会課題の解決策を示すプロジェクトが進んでいる。 万博の空飛ぶクルマ、「飛ばない期間」があることが判明　誘客に影響も 2025年大阪・関西万博を運営する日本国際博覧会協会は3日、万博の目玉と位置付ける「空飛ぶクルマ」について、飛行を行わない期間があると明らかにした。各社の飛行が通期で行われず限定的なため、い

「Oracle Cloud」のSSOログインサーバの侵害を巡る問題が深刻化している。コンピュータ情報サイト「Bleeping Computer」が2025年3月21日（現地時間、以下同）に報じたこのインシデントは、脅威アクター「rose87168」が600万件の認証データおよび暗号化されたパスワードを窃取したと主張し、ハッキングフォーラムで販売を試みたことから始まっている。Oracleは一貫して侵害は発生していないとの立場を取っているが、後に明らかになった情報によってその主張の正当性に疑問が生じている。 Oracle Cloudのインシデント　セキュリティメディアがOracleの隠蔽工作を主張 Bleeping Computerはさらに複数の企業が流出したデータの正当性を認めたことを2025年3月26日に報じている。脅威アクターは、影響を受けた企業や政府機関のドメインリストやLDAPデータ

ランサムウェアをはじめとしたサイバー脅威が高度化・複雑化し、世間でも大きな話題を集めている。組織がランサムウェア被害に遭う可能性が「万が一」ではなくなっている今、インシデントを適切に対応するためにはCSIRTのような専任組織を立ち上げ、しっかりと運用することがますます重要になっている。 一方で企業の中には「CSIRTをはじめとしたインシデント対応に特化した組織を立ち上げられていない」「CSIRTを構築したもののうまく運用できていない」「セキュリティ業務を統括する責任者がいない」「責任者にどのように旗を振ってもらえばいいか分からない」などセキュリティ対策に当たる組織の構築・運用において悩みを抱えるところも多い。 そこで「ITmedia エンタープライズ」では現役のCSIRT担当者を招き、2024年のサイバーセキュリティ状況や気になったトピックを振り返りつつ、それらが自社のCSIRTに与えた影

東京都の板橋区は、3月21日の午後1時28分に送信した緊急速報は誤配信だったと謝罪した。本来はX（旧Twitter）で告知すべきイベント情報を、誤って緊急速報メールで配信してしまったという。 緊急速報に件名はなく、本文は月内に区内の商業施設で実施する子ども向けの「春休みあんぜんあんしんイベント」の告知だった。 緊急速報は大音量のアラーム音を伴うため、緊急性のない告知に使ってはいけない。キャリアが作成した自治体向けの資料では、頻繁に緊急速報メールを配信するとユーザーがオフにしてしまい、危険にさらすことになりかねないと指摘している。 X上では、お昼時に鳴り響いたアラーム音に驚いた人が多く、中には「板橋区は緊急速報で（あんぜんあんしん）イベント告知するほど治安悪いんですか」といった声もあった。

川口弘行合同会社代表社員。芝浦工業大学大学院博士（後期）課程修了。博士（工学）。2009年高知県CIO補佐官に着任して以来、省庁、地方自治体のデジタル化に関わる。 2016年、佐賀県情報企画監として在任中に開発したファイル無害化システム「サニタイザー」が全国の自治体に採用され、任期満了後に事業化、約700団体で使用されている。 2023年、公共機関の調達事務を生成型AIで支援するサービス「プロキュアテック」を開始。公共機関の調達事務をデジタル、アナログの両輪でサポートしている。 現在は、全国のいくつかの自治体のCIO補佐官、アドバイザーとして活動中。総務省地域情報化アドバイザー。公式Webサイト：川口弘行合同会社、公式X：@kawaguchi_com こんにちは。全国の自治体のデジタル化を支援している川口弘行です。 筒井康隆氏の『ホンキイ・トンク』という短編小説をご存じでしょうか。 この作

ビジネスパーソンが“今”知りたいデジタル戦略の最前線を探求します。デジタル経営戦略やAI活用、業務効率化など、多岐にわたるビジネス課題を解決。 【注目の基調講演】生成AIを社員約1.8万人が利用、平均3.3時間を削減――パーソルHDの“AI推進大作戦”、その舞台裏 川口弘行合同会社代表社員。芝浦工業大学大学院博士（後期）課程修了。博士（工学）。2009年高知県CIO補佐官に着任して以来、省庁、地方自治体のデジタル化に関わる。 2016年、佐賀県情報企画監として在任中に開発したファイル無害化システム「サニタイザー」が全国の自治体に採用され、任期満了後に事業化、約700団体で使用されている。 2023年、公共機関の調達事務を生成型AIで支援するサービス「プロキュアテック」を開始。公共機関の調達事務をデジタル、アナログの両輪でサポートしている。 現在は、全国のいくつかの自治体のCIO補佐官、アド

個人情報保護委員会は2月3日、中国のAIベンチャーが開発した生成AI「DeepSeek」のプライバシーポリシーに書かれている内容について説明し、注意喚起した。これを受け、4日の会見で林官房長官も「こうした情報提供に留意してほしい」としている。 個人情報保護委員会は、DeepSeekのプライバシーポリシーが中国語と英語の表記しかない点を指摘。注意が必要な内容を紹介した。 一つは、DeepSeekが取得した個人情報などは中国にあるサーバに保存されること。そして取得したデータには中国の法令が適用されることだ。 DeepSeekが取得した情報には「中華人民共和国個人情報保護法」を始め、中国の「サイバーセキュリティ法」「データセキュリティ法」「中華人民共和国国家情報法」などが適用されるとみられるが、これらの法律では中国の国家安全機関や公安機関などが犯罪捜査などの目的に限らず、個人に広範な情報を提供さ

内閣サイバーセキュリティセンター（NISC）は2月4日、2024年12月～25年1月にかけてDDoS攻撃が相次いでいることを受け、各事業者に注意を呼びかけた。これらのDDoS攻撃は、IoT端末を攻撃者の支配下に置いて攻撃に使用する「IoTボットネット」によるもので、今後も大規模な攻撃が発生する可能性があると指摘。NISCはDDoS攻撃に対し、複数の対策を紹介している。 NISCは、DDoS被害を抑えるための対策の1つとして、海外に割り当てられたIPアドレスからの通信の遮断を挙げる。マルウェアに感染している端末が多い国やドメインからの通信を拒否することで、攻撃の影響を緩和できるとしている。 また、DDoS攻撃の影響を排除・低減するための対策装置やサービスとして、Webアプリに特化したファイアウォール「WAF」（Web Application Firewall）や、不正アクセスを検知・防止する

DNSに関する設定は大変重要ですが、設定を変更することはほとんどなく、見直されることもないのが実情です。かつては何らかのキャンペーンやプロモーションが実施されるたびに、新しいドメインを取得し終わったら解約することが大きな問題となっていました。しかし、これについては徐々に新規ドメインを取得するのではなく、サブドメインで処理するという運用が浸透してきたかと思います。ただ、サブドメインはサブドメインで、運用終了時にDNS設定も見直す必要があることが抜けてしまっている組織は多いのではないでしょうか。 DNS周りはなかなか基礎的な知識を持つ人も少なく、「サーバ切り替え時にはDNS浸透のため時間がかかる」という話を信じているエンジニアも多数見かけます。専門的な知識が必要なエリアであり、かつ設定ミスが攻撃に直結するかもしれない部分です。恐らく今後も定期的に話題になるかと思いますが、定期的に話題になるのは

watchTowr Labsは2025年1月28日（現地時間）、Fortinetの「FortiOS」に存在する認証バイパスの脆弱（ぜいじゃく）性（CVE-2024-55591）に関するPoC（概念実証）を公開した。調査によると、この脆弱性は単なる認証バイパスにとどまらず、複数の問題が連鎖して発生する可能性があるとしている。 FortiOSの脆弱性に関するPoCが公開　急ぎアップデートを推奨 CVE-2024-55591はFortinetのSSL VPNアプライアンスである「FortiGate」に影響を及ぼす深刻な認証バイパスの脆弱性だ。同社のFortiOSおよび「FortiProxy」の一部バージョンが影響を受けるとされ、リモートの攻撃者が細工したリクエストをNode.jsのWebSocketモジュールに送信することで管理者権限を不正に取得できる可能性がある。 CVE-2024-55591

ビジネスパーソンが“今”知りたいデジタル戦略の最前線を探求します。デジタル経営戦略やAI活用、業務効率化など、多岐にわたるビジネス課題を解決。 【注目の基調講演】生成AIを社員約1.8万人が利用、平均3.3時間を削減――パーソルHDの“AI推進大作戦”、その舞台裏 川口弘行合同会社代表社員。芝浦工業大学大学院博士（後期）課程修了。博士（工学）。2009年高知県CIO補佐官に着任して以来、省庁、地方自治体のデジタル化に関わる。 2016年、佐賀県情報企画監として在任中に開発したファイル無害化システム「サニタイザー」が全国の自治体に採用され、任期満了後に事業化、約700団体で使用されている。 2023年、公共機関の調達事務を生成型AIで支援するサービス「プロキュアテック」を開始。公共機関の調達事務をデジタル、アナログの両輪でサポートしている。 現在は、全国のいくつかの自治体のCIO補佐官、アド

世界経済フォーラムは「Global Cybersecurity Outlook for 2025（世界におけるサイバーセキュリティの展望 2025年版）」の中で「2025年における最も重大なサイバーリスクはランサムウェアである」と述べた（注1）。毎年実施される世界的な調査の回答者のおよそ半数が「最大の懸念事項はランサムウェア攻撃だ」と答えている。 この調査は、57カ国の400人以上の経営幹部による回答に基づくものだ。 大企業の半数が語ったサイバーレジリエンス向上における“最大の障壁” CEOやCISO（最高情報セキュリティ責任者）の間でもランサムウェアが最も重大なサイバーリスクとして認識されている。しかし報告書によると、両者の懸念の度合いには大きな差があるという。「懸念すべき最大のサイバーリスクはランサムウェアである」と回答したCEOはおよそ3人に1人だったが、同様の回答をしたCISOは半

同資料は2017年にも一度このコラムで紹介していますが、その最新版が改めてまとめられています。大きな変化はないようでしたが、まだ読んだことのない方にとっては非常によくまとまった、正に中小規模の企業にふさわしい解説書です。 ただ、このように紹介してもなかなか届いて欲しいところにこそ届かないのがセキュリティの情報です。そこで今回は、全文をしっかり読んでほしいという正直な思いをグッとこらえ、少しでも興味を持ってもらうために、このドキュメントのオススメページを5ページだけ紹介しようと思います。 1～2ページ目：サイバー攻撃で「経営者に問われる責任」を理解せよ まずは、経営者が知っているつもりでなかなか腹落ちしていない、「経営者に問われる責任」についてまとめられたページです。もはや多くの報道で感覚がマヒしつつありますが、情報漏えいやサービス停止により、ビジネスが停止してしまうだけでなく法的責任が経営

期間限定のWebサイトでDNS設定をそのままにしていないか？──.jpドメインのレジストリである日本レジストリサービス（JPRS）は1月21日、サブドメインの管理方法に関する注意喚起を発表した。期間限定のキャンペーンサイトなどの公開後、DNS設定を残したままだと、第三者に悪用されサブドメインを乗っ取られる可能性があるという。 レンタルサーバやCDNなどの事業者のサービスを利用して、自身のドメイン名のサブドメインで新たにWebサイトを公開できる。その際、事業者のサーバを参照するDNS設定を自身のドメイン名の権威DNSサーバに追加することで、Webサイトを提供できる状態になる。 しかしWebサイトの公開終了後も、追加したDNS設定を削除・変更しないでいると、DNS設定が悪用され、サブドメインが乗っ取られる場合があるという。このようなDNS設定が残っている状態は「ダングリングレコード」と呼ばれ、

「ドロップキャッチ」という言葉をご存じだろうか。更新されなかったドメイン名が再登録できるようになった瞬間を狙って登録する行為のことで、登録者は前の使用者が築いたドメインパワーにただ乗りできてしまう。 前の使用者には“なりすまし”やブランド毀損など、使われ方によって様々なリスクが生じる。しかし、そうしたリスクについて啓蒙しているセキュリティベンダーも完全には防げなかったようだ。 2024年の年末、以前マカフィーが日本向けにセキュリティ情報を発信する技術ブログに使用していた「blogs.mcafee.jp」というドメインが、いつの間にか「パパ活アプリ」のアフィリエイトブログサイトに変わっていると、X上で話題になった。 最初に指摘したのは、以前の技術ブログをRSSリーダーに登録していたXユーザーだった。このように外部からリンクが張られるなど参照される機会が多いドメインほど狙われやすく、被害も広が

2025年がスタートしました。セキュリティにおいては季節による変動要素というよりも、攻撃者が活発に動くかどうかが影響します。攻撃者が年末年始を「気が緩む時期」と捉えていれば、大量のフィッシングメールなどであなたの気の緩みを狙うかもしれません。普段通り、焦らずに対応をお願いします。 年初ということで、今回は少々緩めに2025年こそ流行ってほしい3つのセキュリティ技術を取り上げたいと思います。 1．パスキー　パスワードレスの世界を2025年こそ実現しよう 1つ目は、徐々に浸透しつつある「パスキー」です。これは、皆さんが持つスマートフォンを生体認証デバイスとし、ログイン時にIDと生体認証を使うという本人認証の仕組みです。大手サービスが対応し始めていることで、皆さんも1つくらいはパスキー登録したサービスがあるのではないでしょうか。 ゲーム機を製造する任天堂は早くからパスキー対応を表明しており、大人

今回はデジタルとは直接関係のない話から始めます。 筆者は業務の関係で全国の自治体を訪問しています。その際、役所のトイレを利用することがあるのですが、昨年あたりから男性用トイレの個室に「サニタリーボックス」が設置されているところが増えていることに気付きました。 男性でも病気や加齢により、尿漏れパッドなどの衛生製品を使う方もいらっしゃるので、このような配慮が広がっていくのは大変素晴らしいことです。 ただ、不思議だと思ったのが、特定の自治体や地域でこの動きがあるのではなく、全国各地で同じ時期に急激に設置が進んでいるということです。 2022年11月10日の一般社団法人「日本トイレ協会」の記事では74市町村での導入とあり、衛生サービスを手掛ける日本カルミックによると、およそ230を超える自治体の庁舎や公共施設などで設置されているとのことです。 法律や通達で設置を努力義務にしているわけでもなさそうな

2024年も年の瀬を迎えました。セキュリティにおいて、年の瀬といえば……と思いながらネタを探していたのですが、どうもしっくりくるものが浮かびません。 例えば、情報処理推進機構（以下、IPA）は、年末年始に限らず夏季休暇やゴールデンウィークに、定期的に注意喚起をしています。つい先日もその案内が公開されました。こちらは皆さんもチェックしているでしょうか。今回はこのIPAの注意喚起を掘り下げていこうと思います。 IPAの注意喚起は、年末年始においては「システム管理者が長期間不在になるなど、いつもとは違う状況になりがちです」と述べており、これこそが私たちが気を付けるべきポイントです。 特に2020年以降はテレワークが当たり前となり、PCを持ち出すことや従業員個人のPCを仕事に使うなどのシーンが増えてきています。忘年会にPCを持ち出すなとしている企業がほとんどですが、従業員目線では「自分だけは大丈夫

米国立標準技術研究所（NIST）は2024年12月4日（現地時間）、情報セキュリティ測定に関する包括的なガイド「Measurement Guide for Information Security（情報セキュリティ測定ガイド）」の最終版となる特別刊行物（SP）を公開した。 SP 800-55v1およびSP 800-55v2と名付けられたこれらのガイドは組織が実施する情報セキュリティ施策の成果を評価し、データに基づく意思決定を支援することを目的としている。 情報セキュリティ施策の評価および優先順位付けのガイドラインをNISTが公開 SP 800-55v1では情報セキュリティ対策の選定や優先順位付けに向けた柔軟なアプローチを提示している。定量的および定性的な評価を基にした対策選定を支援し、データ分析手法や影響と可能性のモデリングについての基本的なガイダンスが提供されている。 対策の開発やテスト

TableCheckは12月2日、同社が提供するレストラン予約システムで、キャッシュ設定の不備により、一部のユーザーの個人情報が他のユーザーに表示される不具合があったと発表した。 一部の機能でキャッシュ設定にミスがあったことが原因。影響を受けた件数は合計500件以下とみている。 対象は、「特集ページ」機能を利用していた709店舗で、誤表示されたのは、予約時に入力したユーザーの氏名、メールアドレス、電話番号。 同機能は、スターバックスコーヒージャパンが運営する「STARBUCKS RESERVER ROASTERY TOKYO」（東京都目黒区）も利用しており、2024年6月21日～9月1日までのイベントを予約した最大18人が影響を受けた可能性があるという。 「特集ページ」は、イベントや特定のプランのみを予約ページに表示する機能。誤表示は、予約情報を処理するための約100のサーバプロセスのうち