全ての無線LAN機器を脅かす脆弱性が見つかる
無線LAN(Local Area Network)を利用する全てのパソコンやスマートフォン(Wi-Fiクライアント)が影響を受ける新しい脆弱性が報告された。悪用すれば、ユーザーが本来接続しようとしていたネットワークよりも安全性が低いネットワークに誘導できる。Wi-FiクライアントのVPN(Virtual Private Network:仮想閉域網)機能を無効にされる場合もある。一体、どのような脆弱性なのか。 原因はWi-Fiの標準規格 今回の脆弱性は、VPN製品などを評価するサイト「Top10VPN」が2024年5月14日に公表した*1。脆弱性の識別番号は「CVE-2023-52424」だ。 原因は、Wi-Fiの標準規格「IEEE 802.11」に存在する。そのためOS(Operating System)やメーカーによらず全てのWi-Fiクライアントが影響を受ける。 IEEE 802.11
PHPの深刻な脆弱性、IPAが「ネットワーク貫通型攻撃」の悪用に注意喚起
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のシステムトラブル関連トピックを取り上げる。情報処理推進機構の注意喚起と、ユニテックフーズの不正アクセス被害、新日本製薬のランサムウエア被害である。 国内外で悪用を確認された深刻な脆弱性 情報処理推進機構(IPA)は2024年7月5日、PHPの脆弱性を悪用する活動が国内で確認されたとしてPHPの利用者に注意を呼び掛けた。 脆弱性は6月7日に情報公開され、識別子として「CVE-2024-4577」が採番された。Windows上で脆弱性が存在するバージョンのPHPをCGIモードで稼働させていると、外部からシステムが乗っ取られたり、機密情報が流出したりする恐れがある。 IPAによれば、国内の複数組織が当該脆弱性を悪用した攻撃を受け、Webサービス上にバックドアが仕掛けら
KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず
出版大手のKADOKAWAが大規模なサイバー攻撃を受けた。ランサムウエアによって複数サーバーのデータが暗号化。子会社のドワンゴが運営する「ニコニコ動画」などがサービス停止に追い込まれた。KADOKAWAの業務サーバーも使えなくなり、業務に影響が出た。取引先や従業員の情報漏洩も確認されている。 KADOKAWAへの大規模なサイバー攻撃が分かったのは、2024年6月8日土曜日の午前3時30分ごろ。グループ内の複数サーバーにアクセスできない障害が発生していることが検知された。 子会社のドワンゴが運営する動画配信サービス「ニコニコ動画」「ニコニコ生放送」をはじめとする一連の「ニコニコ」サービスのほか、チケット販売の「ドワンゴチケット」などが提供不能になった。 8日午前8時ごろには、不具合の原因がランサムウエアを含むサイバー攻撃であることを確認。グループ企業のデータセンター内におけるサーバー間通信の
「IoTルート」の無線標準規格が発効、水道もガスも電力スマートメーターで検針へ
情報通信研究機構(NICT)などは2024年6月12日、Wi-SUN enhanced HAN規格を国際無線通信規格化団体Wi-SUNアライアンスにおいて正式に制定したと発表した。電力スマートメーターシステムを利用してガスと水道のメーター、取引した電力量を計測する特例計量器の検針を共同で実施するのが目的だ。NICTと東芝、ルネサス エレクトロニクス、ランディス&ギアジャパン、アイ・エス・ビー、OKI(沖電気工業)が共同で実施した。 NICTなどが標準規格に制定したWi-SUN enhanced HAN規格は、水道やガスのメーターにおける検針データを、電気のメーターを経由して収集する「IoTルート」用の無線標準規格だ。経済産業省次世代スマートメーター制度検討会で採用された。情報通信技術委員会(TTC)が制定するホームネットワーク通信インターフェースの標準規格TTC JJ-300.10を改定し
4人のセキュリティー専門家に聞く、脆弱性対応の秘訣
セキュリティーに「絶対大丈夫」はない。そして、企業ごとにシステムやネットワークの構成、事業内容などは様々。1つの脆弱性への対応をとっても、ケース・バイ・ケースで難しい。そんな難しい脆弱性対応で失敗しないためにはどんな策があるか。4人のセキュリティー専門家へのインタビューを掲載する。 佐々木 勇人氏 JPCERTコーディネーションセンター 政策担当部長兼早期警戒グループマネージャー脅威アナリスト 脆弱性の深刻度を測るCVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)の値は個別の悪用の蓋然性を正確に示し切れていない課題はあるものの、年間に大量の脆弱性をユーザーがさばかなければならない際の指標にはなる。一定の目安として採用する手はある。 ただ、システムに与える影響は各社で判断するしかない。脆弱性情報を見て理解できるだけの知見が必要なので、ベ
バッファロー製無線LANルーターでボット感染急増、NICTが発表
情報通信研究機構(NICT)は2024年5月21日、NICTのサイバーセキュリティ研究室 解析チームのX(旧Twitter)公式アカウント「NICTER解析チーム」で、2024年5月20日からバッファロー製無線LANルーターのボット感染が増加していると発表した。50ホスト以上の感染を観測したとする。 感染が目立つのは「WSR-1166DHP」シリーズで、感染経路は特定できていない。NICTの久保正樹サイバーセキュリティ研究所サイバーセキュリティネクサス上席研究技術員は「感染したルーターはDDoS攻撃の踏み台として攻撃者に悪用されると考えられる。感染するとスキャンパケットを外部に送信し、感染を広げる可能性がある」と指摘する。NICTは利用者にファームウエアのアップデートや、管理画面の公開設定の見直しを呼びかけている。 バッファローはNICTが発表した事象について、2024年5月21日午後6時
猶予はわずか1日、金曜公開の脆弱性が週末にはサイバー攻撃に悪用される
「以前であれば『一部の攻撃者による限定的な悪用ならまだ猶予はある。直ちに慌てる状況ではない』と判断していたが、最近はその想定が通用しなくなった」――。JPCERTコーディネーションセンター(JPCERT/CC)の佐々木勇人政策担当部長兼早期警戒グループマネージャー脅威アナリストは、脆弱性を突く攻撃者の変化をこう話す。 米Palo Alto Networks(パロアルトネットワークス)製品に脆弱性が見つかり、その情報が米国の脆弱性情報データベースNVD(National Vulunerability Database)に2024年4月12日金曜日(米国時間)に掲載された。JPCERT/CCでは同日夕方から準備に取りかかり、4月13日土曜日に日本国内の企業や組織に向けて注意喚起を発出した。「週明けの注意喚起では、企業などの対応が間に合わなくなると判断した」(佐々木脅威アナリスト)という。 実際
もはやデジタル後進国ではない、意外と進んでいる日本の生成AI活用
生成AI(人工知能)の活用で、どうやら日本は欧米などの海外から後れを取っているわけではなさそうだ。「むしろ私の感触では、日本の方が進んでいるかもしれない」――。2024年3月、生成AIに関するイベントでそう話した講演者の発言に、招聘(しょうへい)した筆者自身が少し驚いた。デジタル活用の不十分さがよく指摘される日本にあって、こと生成AI活用に関しては先進的だというのだ。 たしかに日本の積極的な取り組みを示す資料がある。PwC Japanグループは2024年3月19日、「第27回CEO意識調査」に基づく生成AI活用の現状と日本の状況分析を公表した。その関連資料には、「日本は生成AIの業務活用において主要各国に先行。背景にあるのは事業継続への危機感、サイロ化文化と生成AIとの親和性の高さ」と記されている。 毎年恒例のCEO(最高経営責任者)調査の中で、自社の業務に生成AIがどれだけ受け入れられて
PHPやNode.jsなどに任意コマンド実行の脆弱性、原因はWindows仕様の理解不足
多くのプログラミング言語の処理系に、攻撃者が任意のコマンドを実行できる深刻な脆弱性が見つかった。JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」で2024年4月15日に公開された。 脆弱性が確認されたのは「PHP」「Rust」「Haskell」の各言語処理系とJavaScript/TypeScriptの処理系「Node.js」、音声や動画をダウンロードできる高機能なコマンド「yt-dlp」である。ただし、この脆弱性の影響を受けるOSはWindowsだけで、LinuxやmacOSなどの他のOSには影響しない。 多くのプログラミング言語は、プログラムの中からOS上でコマンドを実行する機能を持つ。Windowsでは言語処理系が「CreateProces
総務省が富士通に行政指導、高松市でまたもコンビニ誤交付トラブル
総務省は2024年4月16日、富士通Japan製システムを導入した高松市において住民票の写しが誤って交付された件で、親会社の富士通に対して行政指導を実施したと発表した。富士通に原因究明と再発防止策の徹底、その実施状況の報告を求めた。富士通Japanは高松市に提供したコンビニ証明書交付システム「Fujitsu MICJET コンビニ交付」で、申請者と異なる住民の住民票を発行したことを同日明らかにしている。 富士通広報によると、誤交付が発覚した経緯は以下の通りだ。2024年4月4日に高松市が「コンビニ証明書交付システムでエラーが発生している」と富士通Japanに問い合わせた。高松市がエラーの対象となった住民を特定し、事態を確認したところ、住民票が誤交付されていたことが発覚した。富士通広報が把握している限り、誤交付はこの住民向けの1件だけであるという。 誤交付の原因として富士通Japanは「複数
情シス子会社がなぜ「めちゃコミ」を始めたのか、インフォコムの悪戦苦闘史
大手電子コミックストアの1つである「めちゃコミック」、通称めちゃコミには意外な一面がある。サービス運営会社のアムタスが、大手化学メーカー帝人の情報システム子会社であるインフォコムの100%子会社なのだ。 なぜ化学メーカーの情報システム子会社が、電子コミック事業を手掛けるに至ったのか。本特集の第2回は、インフォコムの悪戦苦闘の歴史を振り返ろう。 日本には大手企業の情報システム子会社が多数存在するが、その中でもインフォコムは異例の存在である。同社は売上高の3分の2を占める電子コミック事業以外にも、外部の企業向けのソフトウエア事業やサービス事業を擁しているため、親会社向けのビジネスが売上高に占める割合は1割に満たないのである。 インフォコムの2023年3月期決算では、連結売上高703億4000万円のうち、電子コミック事業である「ネットビジネス」セグメントの売上高が462億4000万円と3分の2を
マルカワみそで個人情報約9万人分が流出、原因は決済アプリの改ざん
老舗味噌メーカーのマルカワみそは2024年4月2日、自社が運営する「マルカワみそ公式サイト」に第三者の不正アクセスがあり、顧客のクレジットカード情報5447件分、個人情報8万9673人分が漏洩した可能性があると発表した。原因は第三者からの不正アクセスによるペイメントアプリケーションの改ざんだったという。 クレジットカード情報が漏洩した可能性があるのは、2023年3月11日~11月13日の間、公式サイトでクレジットカード決済した顧客およびサイトのマイページでクレジットカード情報を登録・変更した顧客4851人(5447件)。カード名義人名やクレジットカード番号、有効期限、セキュリティーコードの情報が漏洩した可能性があるという。また個人情報が漏洩した可能性があるのは、公式サイトの立ち上げから2023年11月13日までの間、同サイトで購入した顧客またはサイトのマイページに登録した顧客8万9673人
「HTTPSレコード」が技術標準のRFCに、高速通信を普及させる起爆剤となるか
Google ChromeやEdge、FirefoxなどのWebブラウザーを利用してWebサイトを閲覧したり、メールの送信先をアドレスで指定したりするときに欠かせないのがDNS(Domain Name System)だ。URLやメールアドレスに含まれるドメインからサーバーのIPアドレスを調べる「名前解決」に使う。 DNSサーバーには、名前解決に使うアドレスを示すレコード(AやAAAA)やメールサーバーのホストを示すレコード(MX)のほかに、メールのセキュリティー機能などに使うテキスト情報のレコード(TXT)、特定の用途(プロトコル)に使うホスト名やポート番号などを示すレコード(SRV)などが登録されている。このDNSに新しいレコード「HTTPSリソースレコード」が追加され、利用される機会が増えている。 インターネットイニシアティブ(IIJ)が調査した結果によると、同社のDNSサーバーへの問
Windowsのスタートメニューは使い慣れた左下へ、タスクバーの邪魔者は一掃
スタートメニューやタスクバーはWindowsの使い勝手を左右する操作の要。Windows 11では多くの改善が図られたが、ユーザーによっては歓迎できない変更も目立つ。 特に激変したのがスタートメニューだ(図1)。スタートメニューとスタートボタンの定位置は、長年デスクトップ画面左下だった。だが、11では突然中央に配置換えされてしまった。また、ピン留めされているアプリや機能もマイクロソフトの押し付け。最近追加したアプリやお薦めの機能まで表示されるのもお節介に感じる。 図1 Windows 11ではスタートメニューが中央に配置され、タイルが廃止されるなど大きく変更されたので戸惑うことも多々ある。押し付けに近い提案が表示されるのも迷惑だ。気に入らない機能は個別に見直していこう
なぜギリギリになったのか、メール配信事業者によるGmailガイドライン対応の舞台裏
迷惑メール対策を強化した米Google(グーグル)によるGmailの「メール送信者のガイドライン(Email sender guidelines)」が適用されてから1カ月が経過した。現在では特に大きな問題は発生していないようだが、適用開始の2024年2月1日に向けて企業や組織は対応に追われた。 特に大変だったと思われるのは、大量のメールを送信する顧客を抱えるメール配信事業者だ。リリースなどを見る限りでは、適用直前の2024年1月末にガイドラインへの対応が完了した事業者は多かった。 グーグルがガイドラインを発表したのは2023年10月3日(米国時間)なので、4カ月の猶予があった。それにもかかわらず、なぜ対応がギリギリになってしまったのだろうか。業界大手2社への取材を基に、ガイドライン対応の舞台裏を探った。 送信ドメイン認証の全てに要対応 今回適用されたガイドラインのポイントは、1日当たりのG
バックアップ機能を切るとフォルダー構成が変わるOneDrive、ファイル移動が必要
OneDriveの容量は足りないが、有料プランは御免──。そんなユーザーは設定を変えるだけで快適に使える。すなわち、OneDriveのバックアップ機能をオフにし、同期したいファイルだけ「OneDrive」フォルダーに保存するのだ。ただし、単に機能を停止するだけではうまくいかない。 まずは、バックアップの設定画面を開き、「ドキュメント」「写真」「デスクトップ」をオフにする(図1)。 図1 OneDriveのバックアップ機能が不要ならオフにしよう。同期の設定画面を開き、「ドキュメント」「写真」「デスクトップ」の設定を順にオフにする(1)(2) 注意したいのは、この操作をするとWindowsのフォルダー構成が変わること(図2)。それまでは「OneDrive」フォルダーの直下にある「ドキュメント」「ピクチャ」「デスクトップ」が標準の保存先に設定されているが、機能をオフにするとユーザー名フォルダーの
40代技術者はどこにいる?「就業構造基本調査」で見る年齢構成のゆがみ
『日経ものづくり』2024年2月号の特集テーマは「シニア再始動」。社会的な労働力不足により、雇用延長などによってシニアを退職させず活用する動きを紹介した。業種にもよるが、早期退職させるよりも労働力として維持する選択肢のほうが主流になりつつある。 同特集で、シニアが活躍する企業として登場するHIOKI(日置電機)と住友電設に共通していたのが「40歳代の従業者が特に少ない」ことだった。企業や産業の高齢化を表現するときは、普通は「高齢就業者数(65歳以上)は20年間で32万人増加」(2023年版ものづくり白書)のように、一定年齢以上の人数なり割合なりが増えた、などと形容される場合が多い。しかし実態はもう一歩複雑で、単に若手が少ないのではなく、次世代のリーダーを担う中間の年齢層が特に少ないのだという。 これまでも、同じような話を取材で耳にしたことはあった。40歳代といえば、就職氷河期といわれる20
止まらない内部不正、NTTグループ「USBメモリー全面禁止」の真意
「ルールはあったがガバナンスが効いていなかった」――。NTT西日本子会社の元派遣社員による顧客情報約928万件流出事案について、NTTの島田明社長は2023年11月7日、同社の決算説明会で反省をこう語った。 悪意を持って企業などの組織の重要情報を盗み、持ち出す「内部不正」。企業は、今こそ自社の内部不正対策の現状を把握しなければならない。NTT西子会社の事案から学べることは何か。 世間を騒がせるニュースが毎年発生 個人情報の漏洩は企業としての信頼を落とし、重要な企業秘密の漏洩は企業の競争力低下の原因となる。企業が保有する「情報」は重要な資産であり、これらを守ることは、経営上のリスク管理の1つになると言っても過言ではない。 過去5年を振り返っても、内部不正に起因する情報漏洩事案は後を絶たない。元派遣社員による不正持ち出しや、元社員の転職時の営業秘密の持ち出しなど、世間を騒がせるようなニュースが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パナソニックインダストリーがUL不正40年、日本企業に道を誤らせる「闇」
[PC]1位はSSDの劣化のメカニズムと解消法を解説、Microsoft関連の記事も上位に![[PC]1位はSSDの劣化のメカニズムと解消法を解説、Microsoft関連の記事も上位に](https://cdn-ak-scissors.b.st-hatena.com/image/square/1be501f1851a27e2047c2f9c006d1cc953113bb6/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fcolumn%2F18%2F02671%2F113000004%2Ftopm.jpg%3F20220512)
