自動運転進展でセキュリティー本格化、電動化に新商機、提案相次ぐ
2018年1月に都内で開催した自動車技術展示会「オートモーティブワールド2018」。セキュリティー技術をはじめ、自動運転と電動化の進展に併せて新しく採用が広がりそうな技術を部品メーカー各社が披露した注)。 注)本誌は2018年10月3~4日に自動車セキュリティーの国際会議「escar Asia 2018」を都内で開催。同年3月1日から5月7日まで、論文を公募します。詳細は「エスカーアジア 論文公募」で検索ください。 車載リアルタイムOS「QNX」を手がけるカナダBlackBerry社は、ECU(電子制御ユニット)のソフトウエア(バイナリーコード)を分析し、セキュリティー上の潜在的な脆弱性を抽出するツール「Jarvis」を出展した(図1)。OSはQNXに加えて、「Linux」や「Android」に対応する。他社製ツールに比べて、検出項目が多く、深く分析できる点が特徴とする。
IoTセキュリティ市場は3割増、専門組織PSIRTの新設ブームも
2018年はIoT(インターネット・オブ・シングズ)機器の情報セキュリティを高める動きが活発化し、サイバー攻撃などへの対応スピードが速くなる。 「川上」、つまり製品開発での注目は産学官が参画する「IoT推進コンソーシアム」。2017年12月に情報機器や白物家電などのセキュリティ認証に関する議論を始めた。2016年7月に発表した「IoTセキュリティガイドライン」を普及させつつ、海外動向を踏まえて認証の実施時期などを決める。 製品出荷後の「川下」で注目なのは、自動車や電機の大手企業の大半が、自社製品にセキュリティ上の問題が発生したときに対応する専門組織を相次ぎ設置すること。「PSIRT(プロダクト・セキュリティ・インシデント・レスポンス・チーム、ピーサート)」である。 例えば、東芝は2017年10月にPSIRT機能を持つ部署を新設した。NRIセキュアテクノロジーズの山口雅史ストラテジーコンサル
《日経Robo》なぜディープラーニングがうまく学習できるのか
TED Conferenceの一種「TEDYouth 2013」で講演している様子である。(写真:TEDYouth 2013, New Orleans, Louisiana, Civic Center, November 16, 2013. Photo: Ryan Lash、米TED Conferencesの許可を得て掲載) (1)低次の多項式 世の中の問題の多くは低い次数の多項式モデルで説明することができる。例えば、重力を支配するニュートン方程式、電磁気学を支配するマクスウェル方程式、流体力学を支配するナビエ・ストークス方程式などの最大次数はたかだか4である。また、画像において意味を変えないような回転や並行移動などの変換は線形変換であり、次数を増やすことはない。 ニューラルネットワークは低次の多項式を近似することが得意である。例えば、4つのニューロンからなるニューラルネットワークで乗算1
サプライチェーンアタックが新たな脅威になる
2017年は、サイバーセキュリティの分野において大きな動きのあった年だった。世界的な動向では、ハッカーグループThe Shadow Brokersによる米NSA(国家安全保障局)の攻撃ツール群のリークが印象的だった。流出したツールの一部は、5月に話題となったWannaCryの攻撃に悪用され、世界的に影響を及ぼした。このような大規模感染の事案は、2000年代前半に見られたワーム以来のことだろう。 日本国内の特定企業に対してのサイバー攻撃も、従来とは様相が変わってきた。例えば、クライアント管理ツール「SKYSEA Client View」の脆弱性を悪用した侵害は、メール以外を攻撃経路としており、従来見られなかったケースだ。このツールのユーザーがモバイル端末にグローバルIPアドレスを付与するタイプのデータ通信機器を利用すると、攻撃者は細工したパケットを使って、マルウエアをユーザーに送信し実行する
Web検索を信じるな、いまどきの偽サイト
2017年12月下旬、ショッピングサイトを装った詐欺サイトに関わったとみられる43人が一斉に摘発された。詐欺サイトの特徴は、特定の商品名で検索すると、検索サイトの上位に表示されること。検索サイトの表示順は信頼度を表すものではない。うのみにするのは危険だ。 詐欺サイトが2万件 人気の商品を販売すると偽って代金をだまし取る詐欺サイトが相次いで出現している。警察庁と日本サイバー犯罪対策センター(JC3)は12月21日、ショッピングサイトに見せかけた詐欺サイトを1万9834件発見したと発表。併せて、詐欺サイトの振込先となっていた銀行口座を売買した43人を摘発したことを明らかにした。 今回発表された詐欺サイトの特徴は次の2点。(1)改ざんした一般のWebサイトを経由して詐欺サイトへユーザーを誘導することと、(2)改ざんサイトが検索サイトの上位に表示されるようにしていたことである。ユーザーをだますには
Office文書にリンク埋め込むDDEを悪用、攻撃の影響は広範囲に及ぶ
2017年10月頃から、中国、ロシアの攻撃グループが一斉に悪用し始めた攻撃手口が話題だ。Dynamic Data Exchange(DDE)と呼ばれるMicrosoft Officeの機能を悪用する。攻撃者はマクロやVBAなどを利用せずに、マルウエアのダウンロードや実行が可能となる。WordやExcelのほかに電子メールソフトのOutlookへも影響が及ぶため、攻撃パターンは多岐にわたる。 DDEはWindows OS上でWordやExcelなどのアプリケーション間でデータを交換したり、コマンドを発行したりするためのプロセス間通信のメカニズムだ。その歴史は古く、1987年に発表されている。後継のOLE(Object Linking and Embedding)の登場以降利用する機会は減ったものの、現在でも利用可能な機能である。具体的には、Excelに埋め込まれたリンクをクリックするとPow
企業を狙う振り込め詐欺、セキュリティ製品で防げるか
ビジネスメール詐欺(BEC:Business E-mail Compromise)が国内企業を本格的に襲い始めた。ビジネスメール詐欺は企業版の振り込め詐欺。取引先などをかたった偽のメールを企業や組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる。 欧米では、既に大きな脅威となっている。米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)によると、2013年10月から2016年12月までのビジネスメール詐欺による被害は50億ドルに達するという。 ビジネスメール詐欺は国内でも確認されているが、それほど深刻だとは思われていなかった。だが、もはや対岸の火事ではない。本格的に上陸したと考えるべきだ。 ビジネスメール詐欺は、サイバー攻撃というより純然たる詐欺だ。言葉巧みに担当者をだまして金銭を振り込ませる。担当者がだま
日本のIT人材は「IoT初心者」、エンジニア2000人調査で判明
業種を問わず急ピッチでIoT(インターネット・オブ・シングズ)の活用が進むにつれて、IoTの導入を担うエンジニア不足の問題が浮上している。経済産業省はIoTや人工知能(AI)を担う先端IT人材が2020年に4万8000人不足すると予測している。 現在のIT人材は「IoTエンジニア」として必要なスキルをどれだけ持っており、どのような意識でIoTに臨んでいるのか。どんなスキルを強化したいと考えているのか──。IT人材のスキルキャリアを研究するNPO法人「ITスキル研究フォーラム(iSRF)」はこれらを明らかにするため、国内初となる本格的なIoTエンジニア調査を実施した。その結果を報告する。 IoTエンジニアの多岐に渡る役割 一口にIoTエンジニアと言っても、役割は企画・戦略立案からシステムの開発・運用、プロジェクト運営まで多岐にわたる。iSRFはIoTエンジニアの人材像や必要なスキルを定義した
「IoT機器への攻撃増加」、トレンドマイクロが2018年を予測
トレンドマイクロは2017年12月14日、2018年のサイバー攻撃動向を予測したレポートを公表した。ランサムウエアを使った手口が定着するのに加え、IoT(インターネット・オブ・シングズ)機器へのサイバー攻撃が拡大すると、注意喚起している。今後IoT機器の普及に伴い、脅威は深刻化するとみられる。 トレンドマイクロはレポート内で、「IoT機器のすべてがセキュリティを考慮して設計されたものではない」と指摘する。しかも、PCに比べて更新プログラムを適用する際の作業が複雑だ。IoT機器が、ネットワークに侵入するための入り口になり得ると見込む。過去には、IoT機器を狙ったマルウエア「Mirai」が猛威を振るい、Miraiの亜種も確認されている。 一例として挙げるのがドローンだ。配達用途などで使用するドローンの乗っ取りが懸念されるという。ドローンの悪用も考えられる。ハッキングツールを搭載したドローンを飛
できの悪いソースコードをAIで発見、富士通が不採算案件の抑制へ
富士通が人工知能(AI)などを活用し、システム開発プロセスの改革に本腰を入れ始めた。システム構築・運用支援のツール群を「KIWare(ケーアイウェア)」として体系化し、2017年11月に50件の開発プロジェクトに本格適用を開始した。時間を浪費しがちな開発業務をAIで効率化し、システムエンジニア(SE)が、開発業務の様々な作業や成果物の品質の向上に充てる時間を捻出する狙いである。 富士通がAIの活用に本腰を入れる背景には、開発プロジェクトの作業や成果物の品質の低さが課題になっていることがある。「品質を現場の人任せではなく、技術で底上げする。それによって品質が原因の不採算の案件を減らしたい」(富士通の粟津正輝サービステクノロジー本部 本部長代理 兼 先端技術統括部長 兼 SE変革推進室長代理)。 システム開発において、不採算案件につながる要因は様々だ。設計書の不備による手戻りが発生したり、ソー
セキュリティ強化が進むWindows 10、それでも企業が移行を躊躇する理由
米マイクロソフトは2017年10月17日、Windows 10の最新版である「Windows 10 Fall Creators Update(1709)」の提供を始めた。Windows 10は半年ごとに大型更新をしており、4月上旬の「1703」以来となる。 いまだ多くの企業が使っているWindows 7はそのサポートがおよそ2年後の2020年1月に終了する。日本マイクロソフトの藤原正三エグゼクティブプロダクトマネージャーは「今、Windows 10に移行して損することは何もない」と訴えるが、移行を考えているユーザーはWindows 10の最新版である1709を見送って、半年後の大型更新版を待つ選択肢もある。1709はセキュリティ関連の機能を大幅に強化したが、企業がPCを運用するのに役立つ機能のいくつかは搭載されず、来春まで持ち越されたからだ。 仮想ブラウザーなど実装 1709で新機能として
Twitterの犯罪対策を検証、何ができて何ができなかったのか
2017年1月、ニューヨーク。米ツイッターのジャック・ドーシーCEO(最高経営責任者)は、世界各国のグローバルマネージャーを前にこう語った。「今年は『安全なサービス』の実現を第1のプライオリティ(優先事項)とする」――。 児童ポルノや援助交際など未成年への性的搾取、自殺への勧誘、見知らぬ他人への罵倒やヘイトスピーチ…誰もが使えるオープンなコミュニケーション基盤「Twitter」には当時、世界規模で無法行為が蔓延しつつあった。 他人同士を結びつけるSNS(ソーシャル・ネットワーキング・サービス)の機能は、ときに犯罪者と被害者をひもづける「出会い」の手段にもなる。 同社はこの1年、監視体制の強化など様々な手を打った。だがこれらの施策も、神奈川県座間市で発生した殺人事件の容疑者と9人の被害者との「出会い」を防ぐことはできなかった。 ツイッターには何ができ、何ができなかったのか。同社の対策を検証す
偽ニュースの蔓延を防ぐ、スマートニュースの一手
自民党と公明党からなる与党が3分の2を超える議席を獲得して幕を閉じた先の衆院選。選挙戦の裏で、民主主義を揺るがしかねないフェイク(偽)情報を見破る戦いが繰り広げられていた。主導したのは、ニュースアプリ「SmartNews」を運営するスマートニュースなどが立ち上げた協議会「ファクトチェック・イニシアティブ(FIJ:FactCheck Initiative Japan)」だ。 衆院選の偽ニュースをチェック スマートニュースの藤村厚夫執行役員は、大学教授やNPOの法人代表とFIJを2017年6月21日に発足させた。9月末に衆院が解散して総選挙が決まると、選挙関連の記事や政治家の発言、ネット上の言説について事実か否かを確認する「総選挙ファクトチェックプロジェクト 」を始めた。BuzzFeed Japan、Japan Indepth、ニュースのタネ、GoHooなどのニュース関連サイトが参加した。 F
北朝鮮が韓国のATMをハッキング、高まるサイバー攻撃力
2017年9月に韓国警察庁より興味深い報告書が公表されたのをご存知だろうかだろうか。報告書によれば、北朝鮮のサイバー攻撃グループが韓国国内のATM(現金自動預け払い機)をハッキングし、金銭を不正に引き出したという。 北朝鮮のサイバー攻撃グループの関与が比較的早い段階で判明した。これは、攻撃手口は過去のケースと類似しているうえに、悪用されたマルウエア(悪意のあるソフトウエア)が2016年に使われたものと同一だったためだ。 報告書では明示していないが、報告された手口やマルウエアから攻撃グループを推察すると、朝鮮労働党の配下とされる「Lazarus(ラザルス)」が思い浮かぶ。ラザルスは世界の大手金融機関でつくる国際銀行間通信協会(スイフト)の送金システムをハッキングしている。2016年2月にはバングラディシュ銀行(同国の中央銀行)を攻撃し、同行の米ニューヨーク連邦準備銀行の口座から約10億ドルを
PCの操作を丸ごと録画、社内不正を防ぐ番人システム
東芝の不正会計、神戸製鋼所の品質不正、日産自動車の不正検査、商工中金の不正融資――。名だたる大企業が社内不正の問題に揺れている。 どの不正にも共通するのが発見の遅れだ。発覚した段階で既に社内でまん延しており、大きな問題に発展した。不正の傷を小さくするには、未然の防止策や素早い発見が欠かせない。社内不正の予防や発見に寄与するITを、この特集では「番人システム」と呼ぶ。 今回は、従業員のPCを監視して不正行為を見つけ出す番人システムを取り上げる。PC操作を見張る監視カメラのようなものだ。PC上で行われる社員の不正行為を見つけ出し、PC画面を「録画」して証拠として利用できるようにする。従業員への牽制として機能すれば、不正を未然に防げる可能性もある。 入国審査官の不正を監視する番人システム ある国の入力管理局では、入国審査官のPCの全操作を監視するために番人システムを導入した。賄賂を受け取り、デー
セキュリティ会社の社員逮捕、ウイルス拡散が疑われるも残る疑問
京都府警サイバー犯罪対策課などは2017年10月31日、ファイル共有ソフト「Share」を介して他人から得た「暴露ウイルス」と呼ばれる情報流出型のマルウエア(悪意のあるソフトウエア、以下ウイルス)を業務用PCに保管したとして、セキュリティ会社ディアイティの社員を不正指令電磁的記録(ウイルス)保管容疑で逮捕した。 同社は顧客企業の依頼を受け、複数のShareで構築されたPeer to Peer(ピア・ツー・ピア、P2P)ネットワークに、顧客企業に関する情報が流出していないかを監視するサービスを提供している。Shareなどで拡散するファイルにはウイルスを内包する悪質なものが多く、不用意に扱うと感染するリスクが高い。 そのため、P2Pネットワークへの情報漏洩を懸念する企業はディアイティのようなセキュリティ会社に監視業務を委託するのが一般的だ。逮捕された社員はそうしたサービスを1人で担っていた。
ディープラーニングにもセキュリティ問題、AIをだます手口に注意
ディープラーニング(深層学習)にもセキュリティ問題が存在する。データからルールを導き出す「訓練」に使用するデータに不正なものを紛れ込ませたり、認識に用いるデータにある種のノイズを加えたりすることで、AI(人工知能)に誤検出させようとする。AIの信頼性に関わる問題だけに、米Googleなどが対策に動き出している。 「AIが判断を間違えると、大変な問題を引き起こす恐れがある。AIをどうやって防御するかが、大きな課題になっている」。Googleに所属するAI研究者であるIan Goodfellow氏はそう語る。2017年10月にシリコンバレーで開催されたディープラーニングに関するカンファレンス「BayLearn 2017」でも、セキュリティ問題が大きなテーマになった。 GoogleのGoodfellow氏によれば、機械学習ベースの画像認識技術に対する攻撃手法には「アドバーサリアル・エグザンプル(
ウインドリバーがIoTセキュリティ説明会、「ウクライナの大停電は当社製品なら防げた」
ウインドリバーは2017年11月10日、IoT(インターネット・オブ・シングズ)セキュリティへの取り組みに関する説明会を開催した。米ウインドリバーでOS関係製品プロダクトマネージメント担当ダイレクターを務めるティム・スカット氏が北米から中継で登壇し、「今まで外部とネット接続していなかった様々なエッジデバイスが、クラウド環境下でリアルタイムに、かつシームレスに接続するインダストリアルIoTの動きがある」と現状を説明した。 そうしたなか、「エンド・ツー・エンドのセキュリティの重要性が高まっている」と指摘。さらに、同社はIoTセキュリティについて、組み込み系から企業情報システム向けまで包括する製品群とサポートサービスを充実させるという方向性を示した。
アカマイ、ボットの不正ログインを検知・遮断する「Bot Manager Premier」を発売
アカマイ・テクノロジーズは2017年11月10日、アクセス制御ツールの新版「Bot Manager Premier」を同日から発売すると発表した。Webサイトやスマートフォン(スマホ)アプリに対する操作を分析し、ボット(マルウエアに感染した端末)による不正ログインの試行のみを検知して遮断する。利用料は個別見積もり。 ユーザーがPCやスマホなどでWebサイトやスマホアプリを表示している際、キーボードやマウスの入力、マウスポインターの軌跡、端末やWebブラウザーの種類、スマホでは画面へのタッチ、加速度センサーやジャイロセンサーの測定値などを1ミリ秒単位で記録する。それらのデータの推移が規則的か否かといった判断基準で、人が実際に操作しているのか、ボットによる自動操作なのかを識別する。ボットと判断した場合、アクセスを遮断したりワンタイムパスワードやCAPTCHAなどの2要素認証を要求したりできる。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ログインの約7割がボットネットのなりすまし」、アカマイが調査
