字幕ファイルでハッキング、動画プレーヤー多数に脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ストリーミング機能を備えた動画プレーヤーでは、ユーザーがインターネット上から字幕ファイルを取り込むことができる。この際の処理に起因する脆弱性を突いて、端末をハッキングできる手法をCheck Point Software Technologiesが報告した。 同社によると、この問題では映画などの字幕ファイルが公開されたレポジトリが悪用される。ユーザーは動画再生時にプレーヤーからレポジトリにアクセスし、評価の高い翻訳ファイルを手動あるいは自動的にダウンロードして、利用することができる。 攻撃者はこの仕組みに便乗し、細工した翻訳ファイルをレポジトリにアップロードする。ファイルに対する評価も偽装しておく。ユーザーがファイルをダウンロード、再生す
次の「WannaCry」を防ぐ5つの方法(劇薬2案を含む)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「PC」とは「パーソナルコンピュータ」、つまり個人のコンピュータという意味だ。この個人化の考え方は拡大され続け、コンピュータの定義には、スマートフォンなどのモバイルデバイスも含まれるようになった。われわれはこれらのデバイスを常に持ち運んでおり、自分の体の延長だと見なすようになっている。おそらく皆さんのスマートフォンは、今も手を伸ばせば届くところにあるだろう。そうでなくとも、同じ部屋の中にはあるはずだ。 デバイスの重要性が高まるにつれ、デジタル化された生活(オンラインバンキングの情報、個人的な写真や動画、友人や同僚とやりとりしたメッセージ、パスワードなど)を安全に保つことは、最優先事項になった。しかし、デジタルの安全を保つのは大変な仕事だ
「私の情報は広告のためのものではない」--個人主導データ流通がもたらす変革
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます データに関するキーワードはさまざまあるが、「マイデータ」という言葉が世界中で使われ始めているのをご存知だろうか。 欧米では、2010年前半からパーソナルデータ活用のプライバシー問題についての議論が積極的に行われ、消費者の権限強化の必要性が一般に共有されてきた。具体的には政府・民間保有個人データの個人還元や自己情報コントロールをテーマとしたMyData/midata(マイデータ)と名付けられたプロジェクトが政府主導で立ち上がっている。 民間主導でも2016年8月にフィンランドで「MyData 2016」が開催され、主にヨーロッパを中心とした企業や世界中から数百人が参加し、今年も8月に開催が決まっている。 これらのプロジェクトは政府主導・民
NSAから流出のバックドア「DOUBLEPULSAR」、世界で感染急増
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Shadow Brokers」を名乗るハッカー集団が米国家安全保障局(NSA)のハッキングツールを公開した問題で、「DOUBLEPULSAR」と呼ばれる新たなバックドアの大量感染が報告されている。感染規模は観測によって異なるが、数万台から十数万台に達するもようだ。 この問題では、米国時間4月14日にShadow BrokersがNSAの開発によるとされる多数のハッキングツールを公開した。幾つかツールではWindowsの脆弱性を悪用することが判明し、Microsoftが更新プログラムで対応した。Shadow Brokersは、「Fuzzbunch」と呼ばれる脆弱性検証ツールも公開していた。 Fuzzbunchについて調査したセキュリティ
「Windows 10」の機能アップデート、3月と9月の年2回リリースへ
これまでは、「Windows 10」や「Office」の次期機能アップグレードの時期を予想することも、ITプロフェッショナルの仕事の1つだった。しかし2017年9月からは、もっと予想しやすくなる。 米国時間4月20日、Microsoftは今後、Windows 10とOffice 365 ProPlusの機能アップデートを、毎年3月と9月の2回提供すると発表した。 Windows 10の次期機能アップデート「Redstone 3」は2017年9月にリリースされることになる(これまで、「Redstone 3」のリリース時期については「2017年秋」という情報しかなかった)。この情報に基づくと、「Redstone 4」は2018年3月に提供されるだろう。 Microsoftは従来、Windows 10の機能アップデートを、1年に2回から3回提供する計画だと説明していた(2016年には、「Wind
「Windows 10 Creators Update」、BashやWSLの機能が充実
「Windows 10」の最新機能アップデートである「Windows 10 Creators Update」への移行を考えるうえで、新しい「Paint 3D」(ペイント3D)アプリや、ゲームストリーミングサービス「Beam」はそれほど魅力的ではないという人もいるかもしれない。しかし、Bashや「Windows Subsystem for Linux」(WSL)、Windowsコンソールに追加された豊富な機能は魅力的だと思うかもしれない。 MicrosoftのシニアプログラムマネージャーであるRich Turner氏が米国時間4月11日付けのブログ投稿で述べたところによると、WSLは2016年夏に初めてリリースされた時点で「まだ完璧にはほど遠いものだった」という。 しかしこのリリース以降、WSLチームとWindowsコンソールチームは、機能修正や機能追加に関するユーザーからの意見を積極的に取
日本で注意され始めた「ビジネスメール詐欺」--傾向と対策は?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 近年、海外を中心に巧妙なメールのやり取りを通じて企業が多額の金銭をだまし取られる「ビジネスメール詐欺」(BEC)の被害が深刻化している。国内でも情報処理推進機構(IPA)が注意を呼び掛けるなど、危険性が高まっているようだ。BECの手口や対策について、トレンドマイクロ 上級セキュリティエバンジェリストの染谷征良氏に聞いた。 ランサムウェアよりもうかるBEC BECの名前は、英語の「Business Email Compromise」の頭文字を取ったもので、直訳では「ビジネスメール侵害」となる。文字通り、犯罪者がビジネスに関わるメールを悪用する手口という意味だが、染谷氏は「最終的には金銭をだまし取られるので、『詐欺』との表現が実態に即してい
MS、「Windows 10」で収集する診断データに関するさらなる詳細を説明
「Windows 10 Creators Update」のリリースが来週に迫る中、Microsoftは「Windows 10」で収集する診断データの種類について、さらなる詳細を明かした。 Microsoftは米国時間4月5日、ユーザーがプライバシー設定で「Basic」レベルを選んだ場合と「Full」レベルを選んだ場合に収集される診断データの種類について、リストを公開した。Microsoftは「BasicとFullの両方の診断レベルでユーザーから収集するデータの詳細なサマリー」を提供すると同社の関係者は5日のブログ記事で述べた。 「Basic」選択時に具体的に何が収集されるのかについて、TechNetの記事に情報が掲載されている。同記事には、「Basicレベルでは、デバイスとその設定の理解に不可欠な一定の情報が収集される。それには、デバイスに関する基本情報や品質に関連する情報、アプリ互換性、
上司に「AIをやれ」といわれたら--機械学習プロジェクトで成果を出すために(前編)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 機械学習などAIテクノロジやデータ分析・データ活用が有効な分野といえば、主にインターネットで事業を展開している企業に限定された話だと思っている方も多いかもしれません。 事実、これらの技術を活用するには大量のデータが必要となり、IT技術をフル活用するインターネット系の業界で先行して発達してきました。 しかし、AIや機械学習の波は、どのような業界にも押し寄せています。多くの企業は既にデータウェアハウスやデータマートの整備を進めており、販売データやマーケティングデータなど、デジタル化しやすいものから活用を始めています。 2017年はIoTの進展により、これまで保管や利用が十分でなかったアナログデータのデジタル化と活用の取り組みが一段と進むでし
営業秘密の漏えいは企業の8.6%が経験--IPA調べ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は3月17日、企業での営業秘密に管理実態について調べた結果を発表した。漏えい経験は2012年の前回調査時に比べて減少したものの、社員のミスなどが原因となるケースが増加している。 過去5年間に技術情報や顧客情報などの営業秘密の漏えいを経験(可能性を含む)した企業は8.6%で、前回調査の13.5%から減少した。このうち従業員301人以上の製造業は14.1%と、非製造や同300人以下の企業に比べて高い割合だった。同3001人以上の大企業では28.1%が漏えいを経験していた。 漏えいルートは、現職の従業員などのミスが43.8%(前回調査時26.9%)で最も多く、以下は退職した正社員の24.8%(同50.3%)、取引先や
グーグル、Androidマルウェア「Chamois」のブロックを発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間3月13日、膨大な数の「Android」デバイスに感染した可能性があるマルウェアをブロックしたと発表した。このマルウェアは、同社によって「Chamois」(ヤギの一種であるシャモアに由来する)と命名された。 Chamoisは、モバイル向け広告を用いた大規模な詐欺のためにAndroidデバイスを乗っ取ろうとする新たな試みだ。この他にも、ここ1年で見ると「HummingBad」を含む同様の試みがあった。HummingBadは、ピーク時に1000万台ものデバイスに感染し、それらデバイス上の不正な広告を通じて1カ月あたり推定30万ドルの利益を生み出していた。 それぞれのマルウェアファミリは、悪意のあるさまざまなアプリに潜ん
脆弱性のあるJavaScriptライブラリを使用するウェブサイトが多数?--米大学調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ノースイースタン大学の研究チームが13万3000以上のウェブサイトを分析した結果、その37%に既知の脆弱性を含むJavaScriptライブラリが少なくとも1つはあることが分かった。 研究チームは2014年の調査結果について、追跡調査を行っている。2014年の調査では、「jQuery」など、古くなったバージョンのJavaScriptライブラリや「AngularJS」フレームワークをブラウザ内で読み込むことで発生する潜在的なセキュリティリスクに注目が集まった。 ノースイースタン大学の研究チームが最新の論文の中で示しているように、脆弱性のあるライブラリは条件がそろえば実害を及ぼすおそれがある。研究チームが指摘したのは、jQueryの古いクロス
Apache Struts 2に脆弱性報告--既に攻撃発生も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JavaのウェブアプリケーションフレームワークのApache Struts 2で深刻な脆弱性が報告された。既に脆弱性悪用攻撃が発生しているとみられ、情報処理推進機構(IPA)などが注意喚起している。 IPAによると、Apache Struts 2.3.5から2.3.31および同2.5から2.5.10のバージョンには、「Jakarta Multipart parser」のファイルアップロード処理に起因して、リモートから任意のコードが実行される恐れのある脆弱性が見つかった。 既に開発元のApache Software Foundationが脆弱性を修正した最新版のApache Struts 2.3.32および2.3.32をリリース済み。最新
ハッカーの多くは標的システムに半日以内で侵入可能--Nuix
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2017-03-09 07:15 新たに発表された調査によれば、大半のハッカーは、サイバーセキュリティの防御を破って標的のシステムに侵入するのに数時間しかかからないという。 セキュリティに関する多くのレポートでは統計や数字しか示されていないが、Nuixが発表した「Black Report」では、研究者の観点だけでなく、侵入テストを実施する側の観点からセキュリティにアプローチしようとしている。2月に公開されたこのレポートでは、Nuixの調査に対して、5分の4以上のハッカー(合計88%)が、12時間以内に大半のネットワークの防御を破れると回答している。 また、合計で約3分の1が、活動が被害者に気づかれることはないと述べており、17%が2時間以内で標的に侵入できると主張している。 70人のハッカ
グーグル、SHA-1衝突攻撃に成功--同一ハッシュ値の2つのPDFも公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます GoogleはSHA-1を現実的なリソースで破る手法を考案したと発表し、その証明として実際に同じSHA-1のハッシュ値を持つ2つのPDF文書を公表した。 SHA-1は多くのプロトコルやアプリケーションで採用されているハッシュ関数だ。ハッシュ関数はブラウザの安全性確保をはじめとして、多くのセキュリティ保護の仕組みの根幹を成しているが、2005年に総当たり攻撃よりも効率的な攻撃方法が考案されて以降、攻撃側の計算能力向上に伴って、近い将来安全性が保証できなくなる可能性があると指摘されていた。今回のGoogleの発表は、その懸念が現実になりうることを証明した。 Googleの使用した手法は、2013年にセキュリティ研究者のMarc Steven
デジタルコマースの10大トレンドを提示--ガートナーのギレスピー氏
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「デジタルコマースではカスタマー体験が重要だ。ウェブ上では同じような商品を複数のショップで買えるからだ。価格勝負は難しい。コンシューマライゼーションも重要で、B2CだけでなくB2Bでもカスタマー体験が求められる」ーー。 「ガートナーカスタマー360サミット2017」の1セッションとして2月21日、ガートナーのリサーチ部門でリサーチディレクターを務めるペニー・ギレスピー氏が登壇。「デジタル・コマース2020: 明日の売り上げをもたらすトレンドのトップ10」と題して講演した。 ギレスピー氏がデジタルコマースの顧客に提案していることは2つあるという。1つは、競合他社が何をやっているかを知ること。もう1つは、業界外で起こっているイノベーションを
悪意ある権限者への対応--性善説がどこまで通用するか:CSIRT座談会(4)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバー攻撃による情報漏えいなど、セキュリティインシデントが発生した際に対応するCSIRT(Computer Security Incident Response Team)の有効性が認識され始めている。 CSIRTに焦点を当て、実際に自社内にCSIRTを立ちあげたユーザー企業に集まってもらい、座談会を開催した。今回は第4回(第1回)(第2回)(第3回)。 参加者は以下の通り。 デロイト トーマツ リスクサービス株式会社 サイバーリスクサービス シニアマネージャー 岩井博樹 株式会社バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課アシスタントマネージャー堤光伸 株式会社ディー・エヌ・エー システム本部セキュリティ部部
サイバー犯罪者が昔ながらのテクニックに回帰?--スパムが再び増加傾向にある理由
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます スパムメールによる攻撃の成功率が再び増加しているなか、先進のテクニックを使って標的を狙う必要などあるのだろうか? いつの世にも昔ながらの手法が一番だと確信している人々がいる。そのせいか、技術が進歩し、日進月歩の勢いで進歩している分野にあるにもかかわらず、10年前に使われていた戦略に立ち戻るサイバー犯罪者の数が増えているようだ。 攻撃対象に送り込むペイロードの中身は変わってきているかもしれないが、サイバー犯罪者らはそれを送り込む手段として、ここ数年は下火になっていたスパムメールという、昔ながらの実績あるやり方を再び採用するようになってきており、その数は2010年の水準にまで戻っている。これにより、マルウェアやランサムウェアの類いを送り込む
NISTが警告、SMSでの二段階認証が危険な理由
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「SMSでシークレットコードを送信するのはやめてください。安全ではありません」――。これは、米国立標準技術研究所(NIST)が2016年の夏前に発信したメッセージの内容ですが、この件についてさまざまな意見や疑問、戸惑いの声があがりました。この件に関する問題を整理してみたいと思います。 まず、事の経緯についてですが、NISTは「Digital Authentication Guideline」(デジタル認証ガイドライン)の草案を公開し、一般からの意見を募集しました。このガイドラインの最終版は2017年9月に発行の予定です。 ガイドラインの「Section 5.1.3.2」では「Out-of-Band verifiers」(帯域外検証者)に
2016年のPC出荷台数、5年連続で減少--ガートナー
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Gartnerはが2016年の世界PC出荷台数(速報値)を発表した。5年連続の減少となった。 Gartnerによると、2016年のPC出荷台数は2億6970万台にとどまり、2015年から6.2%減少した。第4四半期(10-12月期)の出荷台数は7260万台で、これも前年同期から3.7%のマイナスだ。 IDCの数字も同じようなものとなっている。同社のPC出荷台数(速報値)は2億6000万台で、2015年から5.7%減少した。第4四半期の出荷台数は7020万台で、前年同期から1.5%減少している。 GartnerのアナリストのMikako Kitagawa氏は、PC出荷台数の減少は「PCの購入行動が土台から変化している」ことを表しているとプ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
