ラック、セキュリティ専門家が発刊する「LAC Security Insight 第5号 2023 夏」を公開(2023年9月27日)| 株式会社ラック
本レポートは、日々発生している実際の攻撃やインシデントに根ざしています。日本の企業や団体を狙った脅威を中心にまとめているため、セキュリティ担当者が、自組織が直面しているサイバー攻撃や脅威を的確に把握できます。 サイバー119で出動したインシデント傾向 2023年4月~6月の出動傾向 当該期間においては、マルウェア関連、およびサーバ不正侵入により被害を受けた組織からの相談が78%を占める状況となっています。マルウェア関連に関する出動の中でも、ランサムウェアによる被害(16%)は引き続き高い割合となっています。 JSOCで観測したサイバー攻撃傾向 重要インシデントのトピックス 当該期間に発生した重要インシデントの合計件数は92件でした。内訳はインターネットからの攻撃によるインシデントが5件、ネットワーク内部からの通信によるインシデントが87件であり、前四半期と比較してネットワーク内部からの通信
AWS Lambdaで300万円以上課金されてしまった怖い話 | LAC WATCH
各サービスに加え、サポート費用、消費税諸々含め300万以上の課金が発生しました。 幸い今回の事象はラックの検証環境上で発生した事象のため、お客様への影響はなかったものの、これが「もしお客様環境で起きていたら......」と考えると背筋が凍ります。 事象の原因 今回上記(A)(B)の仕組みを定期的に実行する想定で各々EventBridgeルールの設定をしましたが、(B)のEventBridgeルールの設定に考慮漏れがありました。 具体的には、以下のように記載をしていました。 EventBridgeルールの作成時、イベントパターンのフォームから生成したJSONとなります。 ※ S3にオブジェクトが配置されたら後続処理を実施するというテンプレートを使用しました。 テンプレートの内容を深く理解せず、そのまま流用したことが本事象の発端となっていました。 ※ ただ、EventBridgeでは、ルールが
2021年も増加傾向のランサムウェア、被害に関する共通点とは | LAC WATCH
サイバー救急センターの髙源です。 2021年3月、独立行政法人のIPAが毎年発表している『情報セキュリティ10大脅威』の最新のレポート(2021)にて、「ランサムウェアによる被害」が組織部門で1位(2020では5位)に位置し、組織を標的にしたランサムウェアによる攻撃に警戒を促しています。 情報セキュリティ10大脅威 2021 実際に2021年の2月から3月にかけて、サイバー救急センターでもランサムウェアによる被害の問い合わせが増加しています。そこで、注意喚起を目的としてランサムウェアの動向と、インシデントのご相談から見えた共通点をご紹介します。 ランサムウェアの動向について 図1は、2016年以降のランサムウェアの傾向と、サイバー救急センターの脅威分析チームにて確認しているランサムウェアの種類です。攻撃は年々進化しており、2019年以降は様々な種類のランサムウェアを確認しています。 図1
自由って不自由だね...クラウド環境のセキュリティ管理者に希望の光は差し込むのか? | LAC WATCH
自由って素晴らしい!でもみんなが自由に好き勝手やってしまって、収拾がつかない! そんな悩みをお持ちのクラウドシステム管理者の方、いらっしゃいますよね? こんにちは、ラック金融事業部の七沢です。 この記事のタイトルが目に入ったあなた、きっと同じ悩みに共感できる境遇にあるのではないかと思います。 DXやテレワークなど、世の中は目まぐるしく変化しています。その変化に伴うようにして、クラウド環境を用いたシステム開発も広がりを見せています。しかし、クラウド環境では簡単にシステム構築ができてしまうが故に起きてしまった重大な情報漏えい事故など、クラウド環境にまつわるインシデントが多数発生しています。 はたして、クラウド管理者の皆さんは、ご自身が管理されている環境のセキュリティ統制、キチンと実施できているのでしょうか?管理者に見えないところに、いくつもの知られざるシステムが潜んでいたり、簡単な設定ミスを見
学校や家庭でのICT活用を支援する「情報リテラシー啓発のための羅針盤(コンパス) 情報活用編」を公開 | LAC WATCH
2019年に発行した「情報リテラシー啓発のための羅針盤(コンパス)(以下、本編)に続き、私たちにとって身近なものとなった情報通信技術であるICTをより活用したいと考えている方に向けて、「情報リテラシー啓発のための羅針盤 情報活用編(以下、情報活用編)」を制作しました。 最近では、新学習指導要領が約10年ぶりに改訂され、「学習の基盤となる資質・能力」の1つに情報活用能力(情報モラルを含む)も位置付けられるようになりました。このため、今後は自分自身が実際に情報機器を所持したり、扱ったりする年齢に達する前の児童や生徒も、早い時期から情報モラルを学び、今後生活の中で情報を自らの力で取り扱うことができる知識の習得が一層求められると思われます。 情報活用編では、あらゆる世代の人がICTを利用するシーンを想定し、構成を分類、検討しました。また、学術的根拠及び法教育の視点に基づき、法学研究者の監修を受けて
技術者でない人のためのTerraform入門 | LAC WATCH
HashiCorp社が提供するTerraformは、大量のコンピュータやネットワーク機器の構築を自動化するツール(プロビジョニング※ツール)として、エンジニアにとても人気があります。しかし、そのメリットや必要性を技術者でない上司にうまく説明するのはなかなか難しいものです。そこで今回は、「技術者でない人のためのTerraform入門」と題した記事を日本語訳してお届けします。 著者のSean CarolanはHashiCorpのテクノロジー・スペシャリストで、技術者だけでなくビジネスサイドにも技術をわかりやすく説明することを得意としています。とても参考になりますので、ぜひご一読ください。 ※ プロビジョニング:「準備、提供、設備」の意味。一般には、コンピュータやネットワーク機器などが利用可能なように準備しておくこと。 Terraformは、皆さんの身近にあるWebサイトやアプリケーションの多く
【注意喚起】iOS標準メール、『受信しただけ』で被害の恐れ。メール受信設定の一時無効化を推奨 | LAC WATCH
デジタルペンテストサービス部の仲上です。 iPhoneやiPadに搭載されている標準メールアプリにおいて、メールを受信しただけで保存されているメールが漏洩したり、意図しないコードが実行されたりする脆弱性の存在が公表されました。 米国のセキュリティ企業ZecOps社が2020年4月22日(現地時間)にブログで発表した情報によると、最新のiOS(13.4.1)を含むiOS6以降のすべてのバージョンに脆弱性が存在し、この脆弱性が悪用されるとメール内容の漏洩、改ざん、削除が行われる恐れがあります。また、確認されていませんが、他の脆弱性と組み合わせることでデバイスが乗っ取られる可能性があります。 悪用された際の挙動はiOSのバージョンごとに異なり、 特にiOS13(13.4.1)ではバックグラウンドでメールを受信しただけでも攻撃が成功するため、 「0-click(ゼロクリック)」とも呼ばれています。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
