VPNに注意、マルウェアの侵入経路になっている
zscalerは1月7日(米国時間)、「Remote Access VPNs Have Ransomware on Their Hands|blog」において、VPNがサイバー攻撃の標的になっており、VPNを経由してネットワーク内部へマルウェア感染などが行われていると指摘した。パッチの適用されていないVPNサーバが攻撃の入り口になっていると説明しており、注意を呼びかけている。 zscalerは「どこからでもリモートアクセスができるVPNは、導入された30年前は先見の明のある革新的なものだった」と説明。当時は、ほとんどのアプリがデータセンターで実行されており、複数のネットワークアプライアンスでVPNアクセスを制御でき、保護機能も現実的なものだったとしている。 Remote Access VPNs Have Ransomware on Their Hands|blog しかし現在、サイバー攻撃
色々使えそうなRaspberry Pi 4が登場! 使い勝手を試してみた!!
やっと技適が取れて日本で販売開始 Raspberry Piの最新版が「Raspberry Pi 4(以下RPI4と略記)」が11月25日になってようやく日本で正式発売となった。と、言うのもすでにRPI4は6月24日に発売開始な一方、Raspberry Pi 3+から無線LANとBluetoothを内蔵したため、無線の技術適合審査に時間がかかっていたから、というのが実態だ(海外の認定機関を使った相互認証制度があるのに遅れるのは変だと思っていたのだが、RPI4の技適は日本国内で認証している)。 ということでRSコンポーネンツから買ってきた(国内発送で翌日には届いた)。ちょっと使ってみた感想は「ちょっと手を入れてやるだけで色々な使い道がありそう」というのが実感だ。 5ヶ月遅れて日本発売されたRaspberryPi 4 Model B。まず4GB版が発売され、現在は2GB版も販売中だ 基板表面。S
サイバー脅威、本当に恐いのはインサイダーの犯行
Malwarebytesは12月5日(米国時間)、「Report: Organizations remain vulnerable to increasing insider threats|Malwarebytes Labs」において、組織の多くが内部の犯行によるサイバー攻撃に対して脆弱な状態にあると報告した。 ロシアや中国には組織の機密データ取引するための市場が存在しており、企業内部の人間が窃取したデータの販売が可能であることから、こうした犯行が収まることがない状況が存在していると指摘されている。 Malwarebytesが公開した調査結果のポイントは次のとおり。 調査対象組織の58%が、インサイダーの犯行に関しては監視、検出、対応といった仕組みが機能していないと回答 調査対象組織の63%が、特権を持ったITユーザーが最大のセキュリティリスクになると考えている 調査対象組織の68%が、
スマホをつないでいるUSBポートは安全? ジュースジャッキング攻撃に注意
スマートフォンのバッテリーがなくなってくると、空港やホテルに設置されているUSBポートにケーブルを差し込んで充電したい欲求にかられるかもしれない。しかし、その操作によって、スマートフォンからデータを盗まれたり、マルウェアをインストールされたりする危険性があるのだ。 こうした危険性について、Malwarebytesが11月21日(米国時間)、「Explained: juice jacking - Malwarebytes Labs|Malwarebytes Labs」において、対策を紹介した。 このような攻撃は「ジュースジャッキング(Juice Jacking)」と呼ばれている。見た目には通常の充電用USBポートと変わらない細工されたUSBポートにスマートフォンを接続すると、スマートフォンからデータが窃取されたり、マルウェアをインストールされたりしてしまう。こうした操作を行うためのアプリも多
コネクテッドカーのセキュリティを提案するキヤノンITS - ET/IoT 2019
キヤノンITソリューションズ(キヤノンITS)は、11月20日~22日にかけて神奈川県・パシフィコ横浜にて開催されている組込み総合技術展 & IoT総合技術展「ET&IoT Technology 2019」にて、車載セキュリティに向けた開発サービスの紹介などを行っている。 超音波をつかった自動走行デモも実施中。標識を発見すると、自動的に決められた秒数だけ停止するというものとなっている 自動車のエレクトロニクス化により、自動運転やコネクテッドカーに注目が集まっているが、その一方でハッキングによる車両事故のリスクなども高まりを見せている。しかし、自動車(OEM)メーカーやティア1メーカーが自動車の外のクラウドや無線通信といった分野に詳しいとは限らない。 キヤノンITSでは、そうしたOEMやティア1の事情を踏まえ、車載セキュリティサービスの提供を推進しているという。例えば要求分析段階における共通
トレンドマイクロ、産業制御システム向けセキュリティソリューション
トレンドマイクロは11月12日、産業制御システム向けのセキュリティソリューションを拡充し、2020年1月14日から順次各国で受注を開始すると発表した。これにより、新たに産業制御機器(SCADA、HMI、PLC、EWSなど、制御ネットワークにおいてフィールド機器を制御する機器)の可視化およびネットワーク保護が可能になるという。 今回、従来から提供している既存のソリューションと新たに拡充したソリューションを組み合わせることで、工場がインターネットにつながることで多様化した攻撃の侵入口をレイヤごとに保護できるようになり、スマートファクトリーの継続的な安定稼働を実現するという。同社では、新ソリューションを拡充するにあたりMoxaとの合弁会社であるTXOne Networksが開発した製品群を採用。 近年、ドイツのIndustry 4.0や日本が推進するConnected Industriesにより
送金アプリ「Cash App」を悪用した詐欺行為のリスクとは?
Tenableはこのほど、Squareが提供する人ピア・ツー・ピア(P2P) の決済サービスアプリケーション「Cash App」を悪用した詐欺行為に関する調査結果を公開した。 Cash Appは毎週金曜日に、#CashAppFridayまたは#SuperCashAppFridayを用いて、InstagramやTwitter上でプレゼントに関する投稿を行う。ユーザーは、お金を送受信できるようにするための一意のIDである$cashtagを添付してストーリーに共有したり、投稿にリツイートや返信したりすることで、プレゼント企画に参加できる。当選者はランダムに選ばれ、金額を伏せてCash Appアカウントに入金される。 #SuperCashAppFridayというCash Appのプレゼント企画 しかし、Tenableは「Cash Appの正規のプレゼントは詐欺師の温床」と指摘している。詐欺師は、プ
サポートが終了したソフトウェア一覧が公開、チェックを
United States Computer Emergency Readiness Team (US-CERT)は2019年10月30日(米国時間)、「MS-ISAC Releases EOS Software Report List|CISA」において、米国多州間情報共有・分析センター(MS-ISAC: Multi-State Information Sharing and Analysis Center)が2019年および2020年にサポートが終了するソフトウェアの一覧を公開したと伝えた。 公開された一覧は次のページからダウンロードできる。 End-of-Support Software Report List 一覧には、アドビシステムズ、アトラシアン、チェック・ポイント・ソフトウェア・テクノロジーズ、シスコシステムズ、IBM、オラクル、マイクロソフト、トレンドマイクロ、ヴイエムウェ
増加するIoT機器への攻撃 - パナソニックが進めるセキュリティの見える化
パナソニックは10月25日、都内で同社が進める家電を中心としたIoT機器に対する攻撃への対処に向けた取り組みを公開した。 IoT機器への悪意を持った攻撃は年々増加の一途をたどっており、日本政府の統計では、2018年のサイバー攻撃の約半数はIoT機器をターゲットとしたものとされている(この場合のIoT機器はWebカメラやルータなども含む)。また、それと併せるようにIoT機器を狙ったマルウェアの数も爆発的に増加していることも報告されている。 IoT機器がこうした攻撃にさらされ、例えばマルウェアに感染したとしても、リッチなディスプレイが搭載されているわけではないので、一見して感染していることが分かりずらい。悪意のある攻撃者は、それを良いことに、乗っ取ったIoT機器を踏み台にして、標的に対する攻撃を行うといった行動をとることも知られている。一方で、販売前の製品にセキュリティホールが見つかれば、出荷
MS、PCセキュリティの泣き所"ファームウェア攻撃"も防ぐ「Secured-core PC」
近年増加しているファームウェア攻撃も防げるように、PC電源投入後から信頼を確保する「Secured-core PC」についてMicrosoftがセキュリティブログで解説している。同社はCPUメーカーやPCメーカーと協力して、OSとハードウェアを融合させたソリューションを設計。「Surface Pro X for Business」のほか、第7世代の「Lenovo ThinkPad X1 Carbon」「Panasonic TOUGHBOOK 55」「Dell Latitude 7400 2-in-1」「Dynabook TECRA X50-F/X40-F」など、Secured-coreに従ったPCが登場している。 OSにセキュリティアップデートが継続的に提供される仕組みが整えられているのに対して、ファームウェアは特権的なレベルで実行されるのにも関わらずWindows Updateのようなセ
Androidに新たなゼロデイ脆弱性、アップデートに注目
Googleの開発者らがこのほど、Androidにゼロデイの脆弱性が存在すると伝えた。脆弱性の詳細は、GoogleのProject Zeroにおいて「Issue 1942 - project-zero - Project Zero - Monorail」として公開されている。 この脆弱性はすでに悪用が確認されており、攻撃者によってルートアクセスが取得される可能性があり注意が必要。アップデートは、Google Pixel向けが一番先に提供されると考えられる。 脆弱性が存在するデバイスは次のとおり。 Google Pixel 1 Google Pixel 2 Huawei P20 Xiaomi Redmi 5A Xiaomi Redmi Note 5 Xiaomi A1 Oppo A3 Moto Z3 Oreo LG Samsung S7 Samsung S8 Samsung S9 Issue
アフィリエイトがいつの間にか広告に、ドメイン切れの悪用に注意
Sucuriは8月22日(米国時間)、「How Domain Expiration Can Potentially Disrupt Other Websites」において、意図的か偶然かその真意は不明としながらも、期限が切れたドメインがポップアップ広告の挿入に使われた事例が発見されたと伝えた。 SucuriはWebサイトの所有者に対し、Webサイトを構成しているすべてのソフトウェア(テーマやプラグイン、コンポーネントなども含む)を最新の状態に更新するとともに、定期的に監査することを推奨している。 We clean and protect your website このインシデントはWebページのどこかをクリックした時に広告がポップアップするようになったという問い合わせによって明らかになったという。調査の結果、これまでアフィリエイト・トラッキングの目的で挿入されていたJavaScriptで取
"身分証明書付きセルフィー"に警戒すべき理由 - Kaspersky daily
サービス利用のために登録する時、一部のオンラインサービスがユーザーに対し、IDを手にセルフィーをアップロードするよう求めるものがある。身分証明書を持った自分を撮ってアップロードする、後は管理者がアカウントを承認するのを待つだけという手軽なものだが合法的なサイトだけなく、フィッシング詐欺を考える者も関心を持っている。詐欺犯罪者にID付きセルフィーを送ってしまった場合、犯罪者はあなたの名前でアカウントを作ることができれば、例えば、仮想通貨取引所でアカウントを作り、マネーロンダリングに使うかもしれないとカスペルスキーのオウンドメディアKaspersky dailyは、注意喚起している。 メールやSNSなど公式サイトを偽装し、相手にセルフィーを求めるしかけはフィッシングサイトと同じだが、勝手に自分になりすまされ、犯罪容疑がかけられたらたまったものではない。注意すべき傾向は以下の通り。 1.エラーと
DevOpsの課題は部門間コミュニケーションとセキュリティ
トレンドマイクロが8月22日に発表した「DevOpsに関する実態調査 2019」によると、DevOps(開発部門と運用部門が連携するシステム開発)を実施または実施意向がある国内法人組織のIT部門責任者のうち、95.0%が開発部門と運用部門間のコミュニケーションに改善の必要があると考えているという。 組織内の開発部門と運用部門間のコミュニケーションにおける改善の要否 同調査は同社が、DevOpsを実施または実施意向がある,従業員500人以上の法人組織におけるIT部門の責任者1310人(日本を含む16か国、うち日本の法人組織は100人)を対象として、2019年4月から5月にかけて実施したもの。 調査対象国は、イギリス、フランス、ドイツ、イタリア、スペイン、デンマーク、ノルウェイ、スウェーデン、スイス、アメリカ、ブラジル、メキシコ、カナダ、オーストラリア、ニュージーランド、日本。 開発部門と運用
マイクロソフト、ゼロトラストに向け年内に「Azure Sentinel」提供
日本マイクロソフトは8月6日、Windows Server 2008/2008 R2のサポート終了が半年後の2020年1月14日に迫る中、インフラのクラウド移行に関する説明会を開催。この中で、Azure向けの新たなセキュリティソリューションとして「Azure Sentinel」を年内に提供することを発表した。なお、「Azure Sentinel」は、現在、プレビュー版が提供されている。 「Azure Sentinel」の全体像 Azure Sentinelは、Azure上で提供する「SIEM(Security Information and Event Management)」。Office 365 ATP、Windows Defender ATP、Azure AD、Azure ATP、Microsoft Cloud App Security、Azure Security Centerなど
なぜAWSはAzureに負けたのか、勝利のカギは目に見えない無償ソフト - OSSに生きるマーケター吉政が語る「IT市場深読み」(1)
そして、上記のガートナーの発表から1年がたち、 Synergy Research Groupが2019年5月に新たな調査データを発表した。 Cloud Provide Competitive Positioning 資料:Synergy Research Group リソースが違うデータを比べてはいけないが、やはり、AWSの成長率は市場成長率と同じだった。AWSのシェアは伸びていない(売上は前年比で伸びているが、成長率が平均ということ)。これに対し、Azureは70%伸びている。ここで言えるのは、AWSとAzureによる2強の傾向にあるということだ。 このようにAWSとAzureの逆転劇を招いた要因として、筆者は以下のように推測する。 サービス力(機能、価格、品質)が拮抗してきた 両社の戦略の違い キラーソリューションをマイクロソフトが大量にもっている 「サービス力の拮抗」は市場が成熟して
スマートホームコントローラの脆弱性を実証実験で発見 - Kaspersky
Kasperskyの調査チームは、自社の社員の住宅に設置されているスマートホーム全体の運用を管理できるFIBAROのコントローラ「Home Center Lite」を対象に脆弱性がないかの検証を行った結果、重大な脆弱性を複数発見したほか、対象となったコントローラの販売企業がセキュリティプロトコルのアップデートを行い、対応を完了したことを明らかにした。 今回、検証の対象となったのは、ホームオートメーションに広く採用されている無線通信プロトコル「Z-Wave」、管理パネルのWebインタフェース、クラウドインフラストラクチャで、デバイスからの要求に対する処理方法を調査したところ、認証プロセスに脆弱性があり、リモートコード実行される恐れがあることが判明。クラウドインフラストラクチャを今回の実験での有効な攻撃経路と判断したとする。 具体的には、これらを組み合わせた攻撃により、システム上では何の権限も
偽のjQueryに注意、4年ぶりに観測
Malwarebytesは6月27日(米国時間)、「Fake jquery campaign leads to malvertising and ad fraud schemes - Malwarebytes Labs|Malwarebytes Labs」において、偽のjQueryを使った広告キャンペーンが展開されていると伝えた。 侵害されているWebサイトの数からすると、このキャンペーンなかなりの量のトラフィックを集めて広告詐欺につながるおそれがあると注意を促している。 偽のjQueryを使ったサイバー攻撃が行われていることは4年ほど前にSucuriによって報告されている(「偽のjQueryに注意 - Sucuri」)。現在でも偽のjQueryを含んだWebサイトは数千という規模に上ると見られているが、以前とは状況が異なっているという。jQueryが空のコンテンツになっており何も動作しな
約100万台のWindowsマシンに脆弱性、WannaCry級の攻撃発生のおそれ
セキュリティ研究者グループ「Errata Security」が5月28日、MASSCANやrdpscanといったツールを使って行ったWindowsのリモートデスクトップ機能に存在する脆弱性(CVE-2019-0708)に関する調査結果「Errata Security: Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)」を公開された。 報告によると、この脆弱性を抱える約100万台のWindowsマシンがインターネットに接続しており、リモートデスクトップ攻撃に対して脆弱な状態にあることがわかったという。 Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708) この脆弱性はBlueKeepと呼ばれている。本稿執筆時点ではBlueKeepを突いた大規模な
使ってはいけないパスワードトップ10万が発表、第1位は?
National Cyber Security Centre (NCSC: 英国国家サイバーセキュリティセンター)は4月21日(米国時間)、「National Cyber Security Centre - Passwords, passwords everywhere」において、Troy Hunt氏と協力して、同氏が過去に漏洩したパスワードを収集しているWebサイト「Have I Been Pwned」のデータから使ってはいけないパスワードトップ10万を公開した。 データはPwnedPasswordTop100k.txtにおいてテキストファイルで公開されており、このファイルに使っているパスワードが含まれている場合は直ちにパスワードの変更を実施したほうがよいとされている。 National Cyber Security Centre - Passwords, passwords every
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
