狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(1/2 ページ) 不正アクセスを防ぐ対策の代表である、多要素認証。ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという。 ネット上のアカウントに対する不正アクセスを防ぐため、今や多要素認証は欠かせない対策となった。たとえIDとパスワードが盗まれたとしても、ワンタイムパスワードの入力が必要な状態にしておけば、アカウントは守られるという想定だ。ところがその仕組みを突破しようとする攻撃が増えつつある。 暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。 BleepingComputerによると、2021年3月~5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を
全社員6人がテレワークへ移行したソフトウェア会社に起きた実録トラブル集
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 アクタスソフトウェア(東京都新宿区)の坂下秀 代表取締役(以下、坂下氏)が発表した「コロナ禍において,小規模ソフトウェア会社での在宅勤務移行時に発生したさまざまな事象の報告」は、社員全員がテレワークを余儀なくされたソフトウェア会社が経験した多様な事象を時系列に記載した報告書だ。 同社は取締役含め社員6人、ソフトウェア開発を主な業務とする2003年創業の小さなチームだ。そんな小規模な会社が新型コロナウイルスの拡大に伴い、2020年初めからテレワーク環境に移行し、2021年初めには全従業員が在宅勤務となった。 決定当初の坂下氏は、技術面からは在宅勤務の実施に大きな問題はないと考えていた。自分で
Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表
Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表:この頃、セキュリティ界隈で(1/2 ページ) 安全性とプライバシー重視の姿勢を強調するApple。ところがそのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイ(未知・未解決)の脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。 セキュリティ研究者のillusionofchaosことデニス・トカレフ氏は9月24日のブログで、AppleのiOSに存在する4件の脆弱性に関する詳細を公表した。いずれもAppleのセキュリティバウンティプログラム(脆弱性情報に賞金を支払う制度)を通じて2021年3月10日~5月4日に報告した脆弱性だった。 ところがトカレフ氏によると、そのうち3件は最新バージョンのiOS 15.0でもまだ修正されないままだという。1件は14.7で修正
YouTube、ワクチン全般の誤情報禁止 著名チャンネルも停止
米Google傘下のYouTubeは9月29日(現地時間)、医療誤報ポリシーを拡大し、保険当局が承認したワクチンが危険あるいは機能しないと主張する動画を禁止すると発表した。同社は昨年10月から新型コロナウイルスワクチンに関する誤情報を禁止しているが、禁止範囲を拡大する。 昨年以来、新型コロナワクチンポリシーに違反したとして13万本以上の動画を削除したという。 新ポリシーでは、インフルエンザ、HPVワクチン、はしか、おたふく風邪、風疹などのワクチンに関する誤情報も禁止する。例えば、風疹のワクチンが自閉症を、インフルエンザの予防接種が不妊症を引き起こすと主張する動画は許可されない。 ただし、予防接種に関する個人的な経験を共有する動画は引き続き許可する。また、動画に医療専門家の発言などの他のコンテキストが含まれている場合、ポリシーに違反する情報を含む動画でも許可する。 同社は米Washingto
Epic対Apple訴訟に判決 Appleにアプリ内購入の強制禁止命令もEpicは控訴か
Epic Games対Appleの、「Fortnite」(フォートナイト)のApp Storeからの削除をめぐる米カリフォルニア州北部地区連邦地裁での裁判が9月10日(現地時間)、終結した。 イボンヌ・ゴンザレス・ロジャーズ判事は、永久的差止命令で、AppleのApp Storeのルールに新たな制限を課した。また、Epicに対しては、Appleとの契約に違反したとして、違反期間中の収益の30%(アップル税に当たる率)の支払いを命じた。およそ350万ドル(約3億8500万円)に上る。 App Storeへの新たな制限とは、App Store登録アプリに、App Store以外での支払いオプションにユーザーを誘導する権利を与えるというもの。ロジャース判事が担当した別の裁判での和解条件と同じだ。 この命令は90日後に有効になる。つまり、12月9日までにAppleは(米国の)App Storeのル
「今、ゲーミングPCを組むなら15万円」――1年前から変わった常識
「今、ゲーミングPCを組むなら15万円」――1年前から変わった常識:古田雄介のアキバPick UP!(1/4 ページ) 夏休みはPCパーツの一式買い需要が増える。ただ、2021年の8月は「思っていた予算でゲーミングPCが組めずに涙をのんだ学生さんがいました」という話をちらほら聞いた。 原因は9割方グラフィックスカード――夏休みに涙をのんだ学生さんも 2021年に入ってPCパーツ、特にグラフィックスカードの値上がりが続いており、ゲーミングPCを組むトータルコストが上昇していることが背景にある。あるショップは「1年前は『予算10万円でゲーミング!』と売り出していたんですが、今はほぼ不可能なお題になってしまいましたね」と嘆く。 振り返れば、2020年6月には特別定額給付金(10万円)を元手に自作マシンを組むブームが起きていた。あれから、ゲーミングPCの最低ラインによく挙げられるGeForce G
日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン(東証一部上場)は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4~6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ
この3年で4回の著作権法改正、いったいどこがどう変わったのか 忘れられがちな改正内容を整理する
TPPの頃は著作権議論もかなり盛り上がって、大いに注目を集めたものだが、昨今はもう著作権どころではなくなっていて、改正もあまり話題にならないところである。そこで今回は、平成30年からの4回の改正ポイントのうち、主だったところを整理してみたいと思う。 この記事について この記事は、毎週月曜日に配信されているメールマガジン『小寺・西田の「マンデーランチビュッフェ」』から、一部を転載したものです。今回の記事は2021年8月1日に配信されたものです。メールマガジン購読(月額660円・税込)の申し込みはこちらから。さらにコンテンツを追加したnote版『小寺・西田のコラムビュッフェ』(月額980円・税込)もスタート。 大胆に変わった平成30年改正 まず平成30年の、通常の著作権法改正内容から見ていくと、以下の4点が柱になる。 デジタル化・ネットワーク化の進展に対応した柔軟な権利制限規定の整備(第30条
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」【訂正あり】
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理推進機構)は5月18日、取材に対し「一般論ではあるが、脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。 【修正履歴:2021年5月18日午後9時25分 IPAがITmedia NEWSの取材に回答したものであるため、表現を一部変更しました】 【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】 【訂正履歴:2021年5月21日午後1時 IP
1年間で4万台以上! ネットワークカメラ「ATOM Cam」が売れている秘密
1年間で4万台以上! ネットワークカメラ「ATOM Cam」が売れている秘密:あの会社のこの商品(1/6 ページ) 防犯、家族やペットの見守りのためにネットワークカメラの導入を検討したものの、値段が高くて断念したことはないだろうか? しかしアトムテックの「ATOM Cam」なら、値段を理由に諦めることはないだろう。1台2500円と激安だからだ。 2020年5月に一般販売された「ATOM Cam」は、撮影した映像をスマートフォンやPCでリアルタイムに見ることが可能。Wi-Fiに接続して、専用スマートフォンアプリで簡単に設定することができる。ほかにも次のような特徴を持っている。 1080PフルHDに対応した高画質 高感度CMOSセンサー搭載で、月明かり程度の光があればカラー撮影可能 赤外線ナイトビジョン搭載で、暗闇でも9メートル先まで鮮明に映せる 動体検知機能で留守中の子どもやペットの動き、屋
5.33億人のFacebookユーザーの電話番号を含む個人情報、犯罪フォーラムで公開
米Facebookの日本を含む世界のユーザー5億3300万人の個人情報が、誰でもアクセスできるサイバー犯罪フォーラムで公開されていると、米Recordなど複数のメディアが4月3日(現地時間)に報じた。Facebookはメディアに対し、「これは2019年に報告された古いデータで、このデータが流出した原因の脆弱性は同年8月に修正済みだ」と語った。 データは国別にダウンロードできるようになっており、日本のデータは42万8625人分だ。 フォーラム上で公開されているデータには、Facebookユーザーが「基本データ」に登録したもので、例えば携帯電話番号を非公開設定にしていたとしても含まれている。 2019年に流出した個人データは同年9月、誰でもアクセスできるデータベースに保存されていた。このデータベースはその後アクセスできなくなったが、今年1月にはTelegramのbotでFacebookユーザー
LINEの個人情報問題、本当の“問題”はどこにあったのか
3月17日の報道以降、LINEの個人情報取り扱いについて懸念の声が上がっている。23日夜には同社が会見を開き、LINEに関するデータ保存を国内に全て移管することを軸とした対策を発表した。 これで問題解決……と考えてはいけない。データ保存の国内移管は一つの方策にすぎないし、個人情報を取り扱う上での万能薬でもないからだ。 さらに言えば、今回の問題の本質は、問題そのものの見通しの悪さと、消費者側の認識とのズレにある。 では、LINEが本当に抱えていた課題とはなんなのかを考えてみよう。 LINEではデータがどう扱われていたのか 会見でLINEの出澤剛代表取締役CEOは、「ユーザーの皆さまにご迷惑とご心配をおかけしたこと、ユーザーの信頼を損なうこととなったことをおわびします」と謝罪した。 ただこれは、あくまで「ご心配をおかけしたこと」と「信頼を損なったこと」への謝罪であり、データが漏れた、という話で
TwitterのドーシーCEO、トランプ氏のアカウント凍結について11連投ツイートで語る
米Twitterのジャック・ドーシーCEOは1月13日(現地時間)、同社を含む多数のインターネット上のサービスがドナルド・トランプ米大統領をサービスから排除したことについて、長い連投ツイートで語った。「トランプ氏のTwitterアカウントを永久凍結したことについて、私は称えることも誇らしく思うこともない。Twitterは同氏に警告した後、入手した情報に基づいてアカウントの持続がTwitter内外での安全に対する脅威になると判断した。これは正しかっただろうか?」というのが最初のツイートだ。 「インターネットと世界規模の公共の会話は、人類の共通の理解と地球の平和構築のための最善かつ最適な方法だと信じている。だが、現在はそうなっていないことも認識している。われわれは今回学んだことに基づいて、改善していく必要がある」 「Twitterでアカウントを凍結することには重大な影響が伴う。アカウント凍結は
Googleフォトの容量無制限無料バックアップ、2021年5月末で終了
米Googleは11月11日(現地時間)、「Googleフォト」で提供している「高画質」画像の無料・無制限バックアップサービスを2021年5月末に終了すると発表した。「今後もより多くの写真を余裕をもって安全に保管していただけるよう、このたびストレージポリシーを変更」したとしている。 同日発表したGoogleアカウントのストレージに関する変更の一環だ。 現在、Googleフォトの高画質画像や動画はGoogleアカウント付属のGoogleドライブ(無料で15GB)の容量としてカウントされていないが、2021年6月1日以降にアップロードする画像や動画はGmailなどの他のサービスのファイル同様にカウントされるようになる。これは有料版の「Google One」でも同じだ。 6月1日以前にアップロードしたコンテンツはこのポリシーの影響を受けない。また、オリジナルスマートフォンPixel1~5からアッ
Appleのネットサービスで大規模な接続障害が発生【復旧済み】
米AppleのクラウドサービスであるiCloudをはじめとするネットワークサービスの多くで、9月30日(日本時間)朝から一部のユーザーで認証問題、接続障害が発生していた(日本時間午前9時46分時点)。現在(日本時間午後12時11分)は復旧している。 AppleのSystem Statusページによれば、App Store、Apple Arcade、Apple Music、Apple TV+、Radio、Find My、Game Center、iCloud Backup、iCloud Calendar、iCloud Ccntacts、iCloud Web Apps、iWork for iCloud、Photosで接続できないユーザーがいる模様だ。
総務省、テレワーク前提のセキュリティ対策でチェックリスト 中小企業向けに公開
総務省は9月11日、中小企業向けにテレワーク導入時のサイバーセキュリティ対策をまとめた手引き書を公開した。テレワーク時に想定される脅威やセキュリティ対策チェックリストなどの内容を収録している。 総務省はこれまで、テレワーク導入に向けた考え方や対策例を示した「テレワークセキュリティガイドライン」を公開してきた。新たに公開したチェックリストは、サイバーセキュリティの専任担当者がいない中小企業のシステム管理者などに向け、具体的な対策を示すのが目的。 関連記事 総務省、テレワークのサイバーセキュリティ相談窓口設置 専門家が無料で回答 総務省が、テレワーク実施中の企業などサイバーセキュリティについて無料で相談できる窓口を設置したと発表した。相談にはサイバーセキュリティ企業のラックが答える。 「テレワークマナーの教科書」発売 Web会議でとるべき行動など収録 あさ出版が、マナー講師・西出ひろ子さんの書
「ドコモの甘さが大きな原因」 ドコモ口座謝罪会見、銀行不在の違和感
「われわれの認識が甘かった」──NTTドコモは9月10日、電子決済サービス「ドコモ口座」を利用した銀行口座からの不正出金について緊急の記者会見を開き、被害者やサービスの利用者に対して謝罪した。非を認めるドコモが頭を下げる一方、当事者のもう片方である銀行の姿はなかった。 左からドコモの田原努部長(ウォレットビジネス部)、丸山誠治副社長(代表取締役)、前田義晃本部長(常務執行役員 マーケティングプラットフォーム本部) 「悪意を持つユーザーを排除する仕組みが欠落していた」 「今回の不正利用は、ドコモ口座の作成に当たってドコモ側の本人確認が不十分だったことが原因であると認識している。おわびを申し上げたい」。ドコモの丸山誠治副社長(代表取締役)は会見冒頭で、ドコモのセキュリティ体制に問題があったという認識を示した。 8月から9月10日までの被害件数は、被害が確認された11銀行を合わせて66件。被害総
ダイソーの電源タップに発火・発煙の恐れ 自主回収を開始 既に約25万3000個を販売
大創産業は8月28日、100円ショップ「ダイソー」で販売したコード付き電源タップを自主回収すると発表した。内部の金具に緩みがあり、発煙や発火の恐れがあるという。全国のダイソー店舗からの撤去は完了しており、販売済みの約25万3000個の一部を回収する。 回収するのは「コード付タップ 2.5m 3個口 VCTFKL665」「コード付タップ 1.5m 3個口 VCTFKL665」のうち、電源タップの裏側に「(株)大創産業」「L665」という刻印が、ケーブルに「CA03」「CA04」「CA05」「CA06」「2020/02」「2020/01」というロット番号の記載があるもの。返品は、店舗への持ち込みか郵送で受け付ける。
イーサリアム2.0の足音 あなたが知らないブロックチェーン最前線
イーサリアム2.0の足音 あなたが知らないブロックチェーン最前線:星暁雄「21世紀のイノベーションのジレンマ」(1/4 ページ) 2020年8月4日、イーサリアム(Ethereum)の次世代版であるイーサリアム2.0の公開テストが始まった。イーサリアムはビットコインに次ぐ有力な暗号通貨であり、同時に有力なブロックチェーン技術のひとつだ。その技術の世代交代が始まろうとしている。 数年後、計画がすべて実現すればイーサリアム2.0は事実上、無制限に近い処理能力を獲得し、デジタル時代の社会インフラとなれる能力を備える。計画がすべて実現しない場合でも、現状の混雑を解決できる高速化は達成する方向で開発が進んでいる。 とはいえ難易度は高い。公開テスト開始後10日で深刻なトラブルが発生し、ブロックチェーンが機能を止めた。いわばロケットエンジンの地上テスト中に爆発したようなものだ。公開テストの目的は、こうし
セキュリティを丸投げしたい! と思ってしまったときに見るべき指南書
サイバー犯罪は、日々高度化と複雑化を続けています。守る側はそれに追いつくために新技術を取り入れ、最新の攻撃にも対応できる柔軟な仕組みを構築し、どんな脅威にも即応できるセキュリティ人材を組織内で育てるべきである。……というのは、一部の大企業でしか実現できない夢物語かもしれません。そんな「一部の大企業」ではない大半の企業が頼れる先として「マネージドセキュリティサービス」(MSS)があります。 MSSとはセキュリティ対策をアウトソースし、企業内に設置した機器の監視をしてもらうものです。特にセキュリティ人材が不足しがちな中堅中小企業において、レベルの高いセキュリティ対策を実現できるのが魅力といえるでしょう。 しかし「MSSに全て任せれば、プロの集団による的確で適切な対策が手に入る」と思ってしまってはいけません。丸投げでは最適解にはたどり着けないのです。それでは、何を考えておけばいいのでしょうか。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
