ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
2024年6月8日に「ニコニコ」関連のサービスで発生したインシデントに注目が集まっています。現時点では「正確な復旧時期は被害状況の調査結果次第となりますが、1カ月以上かかる見込みで、再開できるサービスから順次再開していく予定」とあるように、大変な状況にあることが分かります。 報告では、このサービス停止の原因について「ランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になりました」と述べられており、日本においてもここまでの被害が発生することに、何ともいえない気持ちになります。 同インシデントは親会社であるKADOKAWAの株価低下も招いており、想定以上の被害が生まれています。まずは復旧に向けて動いている担当者を応援するとともに、対応が完了した後に事故対応レポートが公開され、それが多くの企業の役に立つことを期待したいと思います。 12分の動画で明らかになったニコニ
ランサムウエア対策に不可欠、バックアップの「3-2-1ルール」とは?
出典:日経クロステック、2021年3月8日 (記事は執筆時の情報に基づいており、現在では異なる場合があります) バックアップの重要性がかつてないほど高まっている。企業が保護すべきデータの容量が増え続ける一方で、データを暗号化して身代金を要求するランサムウエアによるサイバー攻撃などが広がっているためだ。そうした中で改めて注目されているのが、バックアップにおける「3-2-1ルール」だ。 バックアップの3-2-1ルールとは、重要なデータを保護するのであれば「ファイルのコピーは3個(プライマリー1個とバックアップ2個)を保管して、ファイルを保管する記録メディアは異なる2種類を採用して、コピーのうちの1個はオフサイトに保管すべし」とするルールのことである。 3-2-1ルールは米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)が運営するセキュリティー組織であ
2万5000人がテレワークしたLIXIL、「VPN渋滞」とは無縁だった理由
出典:日経クロステック、2020年5月27日 (記事は執筆時の情報に基づいており、現在では異なる場合があります) LIXILは最大2万5000人、NTTコミュニケーションズは1万4000人――。この2社で2020年4月から、膨大な数の従業員がテレワークをしている。それでも他の企業で起きた「VPN渋滞」とは無縁だった。その秘密とは。 「もし当社のセキュリティー対策が従来のままだったら、テレワーク急増には到底対処できなかった。VPN(仮想私設網)が足かせとなり、多くの業務が支障をきたしていた」――。建材・住設機器大手LIXILの安井卓デジタルテクノロジーセンター センター長は、安堵の表情を浮かべてこう語る。 LIXILグループは新型コロナウイルスの感染拡大を受けて2020年4月から、本社オフィスで働く従業員の99%を在宅勤務に移行した。グループ全体では最大2万5000人が、同社が主にオンプレミ
スパイは社員に紛れている! 三菱電機、ソフトバンクの情報漏洩が人ごとではない理由
スパイは社員に紛れている! 三菱電機、ソフトバンクの情報漏洩が人ごとではない理由:世界を読み解くニュース・サロン(1/5 ページ) やはり、というしかない。 朝日新聞の報道を受けて、三菱電機がサイバー攻撃を受けていたことを認めたのは1月20日のこと。同社は、「当社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があることを確認している」と発表し、防衛やインフラなど機密性の高い情報は漏れていないと主張した。 だが、2月10日に防衛省が「自衛隊の装備品の試作に関する入札の情報が流出した可能性がある」(共同通信、2月10日付)、また「防衛装備品に関する『機微な情報』が含まれていた」(朝日新聞、2月10日)と公表。案の定と言うべきか、漏れていた可能性が出てきた。 また1月25日には、ソフトバンクの元社員、荒木豊容疑者が、5G(第5世代移動通信システム)にから
もう、「パスワードを覚える」のは諦めませんか?
パスワードにまつわる事故は、収まる気配がありません。2017年10月、米Yahoo!のほぼ全てのアカウント数に相当する、30億のアカウント情報が漏えいしていたことが明らかになりました。 30億件というと大変センセーショナルな数字ですが、これはあくまで2013年8月に起きた情報漏えい事故における過去の調査結果であること、現時点では日本のYahoo!とは無関係であることは頭に入れておいてください。 ただし、日本人に全く関係ないかというとそうでもなく、写真共有サービスとして優れていた「Flickr」を日本から使うために米Yahoo!アカウントを作った人も多いはず。今回の事件だけでなく、多くのサービスが情報漏えいを起こしていることを考えると、もはやパスワードは“漏えいする前提”で考えるべき時代になったのかもしれません。 「使い回しをやめよう」といわれても…… “パスワードが漏えいする前提”で被害を
第8回 「進撃の巨人」で知るインシデント対応 3兵団とセキュリティ実態の関係
第8回 「進撃の巨人」で知るインシデント対応 3兵団とセキュリティ実態の関係:日本型セキュリティの現実と理想(1/3 ページ) 標的型攻撃などのセキュリティインシデントに対応するCSIRTやSOCが注目を集めている。これらはどのような存在なのだろうか。まずは「進撃の巨人」を例に解説しよう。 欧米などより遅れてしまっているが、日本でもセキュリティ対策の新たな動きとして「CSIRT」(Computer Security Incident Response Team)や「SOC」(Security Operation Center)などを組織内に設置するという機運が高まっている。 セキュリティの専門家にとってこれらの存在や機能は常識であるものの、一般の方にはなじみのないものだろう。今回は、本連載でも触れた「進撃の巨人」を例に、これらについて解説してみたい。まずはこの物語の世界に登場する「憲兵団」
エフセキュアブログ : 内部告発して生き残る方法
内部告発して生き残る方法 2014年11月06日08:00 ツイート fsecure_blog ヘルシンキ発 内部告発者によって世界は変わってきており、一般の人が本来知るべき秘密が依然として数多く隠されていることがわかってきました。スノーデン、マニング、アサンジ各氏のような注目を集めた情報漏洩者は世界的にその名が知られるようになり、勇気と引き換えに大きな代償を払っています。しかし公に情報をリークするほどまでに勇敢な人はほんのわずかで、内部告発者のほとんどは普通の生活を送り、匿名のままでいることを望んでいます。スノーデン氏が他の内部告発者に道筋を示したことは間違いありません。すでに何人もの人が名前は明かしていませんが、同氏に続いて情報のリークを試みています。内部告発は簡単ではなく、非常に大きなリスクを負います。このことは、FBIが1人の情報漏洩者を発見したという最近のニュースを見ても明らかで
数年でパスワードのない世界に――PayPal幹部が認証変革
多くのユーザーは、クライアントPCやモバイル端末の画面に「ユーザー名」「パスワード」という言葉が現れると、思わず身構える。大文字/小文字を取り混ぜたアルファベットと数字を組み合わせたパスワードや、PIN(暗証番号)をさまざまなアカウントごとに思い出すのは、多くの人にとって容易ではない。一方、指紋のような固有の識別子を使って本人認証ができるとしたら、どうだろうか。 米PayPalの最高情報セキュリティ責任者(CISO)で、公認情報セキュリティマネジャー(CISM)とセキュリティプロフェッショナル認定(CISSP)の資格を持つマイケル・バレット氏は、2013年5月上旬に米国ラスベガスで開催された「Interop」の基調講演で、よく使われる弱いパスワードを多数紹介した。 パスワードがない世界は想像し難いかもしれないが、インターネットはこうした方向に向かっていると同氏は述べる。「パスワードは面倒で
ログアウト機能の目的と実現方法
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/7241c583676d54fc052c4388a6edd25e4c7f280b/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2Fgihyojp-ogp.png)
攻撃はまるでレーザービーム
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、この手の攻撃は、人に教育さえしておけば防げるものなのでしょうか?(編集部) 「セキュリティ元年」から変化したもの、しないもの 筆者の記憶によると、「セキュリティ元年」という言葉が登場したのは2000年ごろのことだ。 この当時、ADSLのサービスが開始され、「ITバブル」をキーワードに株価は上昇。中小企業においても「eコマース」という言葉がもてはやされ、通販サイトなども乱立した。インターネット華やかなりしころである。 しかし、ITへの投資は増えたものの、それに対する「システムとしてのセキュリティ」はコストと見なされ後回しにされてきた。そして、2000年にはLoveLetterウイルスが蔓延、2001年にはCodeRedによる感染活動によりトラフィックが激増した。この日は「インターネットがまひした日」とされてい
Android OSから見たセキュリティ対策ソフトの制約
Android OSから見たセキュリティ対策ソフトの制約:萩原栄幸が斬る! IT時事刻々(1/2 ページ) スマートフォンブームの影で、特にAndroidスマートフォンを狙う不正プログラムの増加が指摘されている。対策ソフトなども数多く登場しているが、これらは本当に有効なのだろうか――。 今回は恐らく世界で初めてこの効果について検証結果を添えて述べたい。あらかじめお断りするが、本稿の内容は一部の対策ソフトメーカーを非難するものではなく、現在(調査時点)における傾向と事実を明らかにしたにすぎない。また、ここでの結論は調査範囲の中で得たものであり、批判があるかもしれない。後述で指摘していくさまざまな課題は、これから改善が進むことになるだろうし、ぜひそうなってほしい。まずは読者に現実を冷静に知っていただきたいというのが、筆者の希望である。 ここでの調査結果はKDDIおよびKDDI研究所が安心・安全
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
「カレログ」、川端総務相が問題点検討を表明
カレログについて川端総務相が言及。個人情報保護の観点から「しっかり研究したい」と述べ、総務省が問題点を検討する方針を明らかにした。 Androidアプリ「カレログ」について、川端達夫総務相は9月13日の閣議後の記者会見で、「同じようなことが当然起こりうるので、一度しっかり研究したい」と述べ、総務省が個人情報保護の観点から問題点を検討する方針を明らかにした。 カレログは、インストールしたスマートフォンの持ち主の位置情報や通話履歴、バッテリー情報をPCで確認できるようにするアプリ。犯罪に悪用される危険性やプライバシー保護上の問題点が指摘され、セキュリティ対策ソフト会社のMcAfeeが「スパイウェア」と認定していた(改善されたバージョンについては認定を留保)。 川端総務相は「本人の同意が明確にあるということをどう担保できるのかということが一番の要点だ。サービス改善の中で検討しているようなので、様
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog
昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。 このエントリでは、検証の様子を報告します。 なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方(この方)から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました(参考のやりとり)。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。 確かにJavaScrip
書籍購入者に全文PDFファイルを提供して見えてきたこと
先日、ITmediaで拙著「インサイド・ドキュメント“3D世界規格を作れ!”」を紹介していただいて以降、紙の書籍を購入した読者に電子データを提供するという試みについて、多くの方から励ましと意見をいただいた。ちょうど、そのダウンロードサービスの期間を延長するという発表を行うタイミングで、コラム執筆のチャンスを得た。 当時、掲載いただいた記事にもあるとおり、この本では書籍にユニークコードを印刷しておき、そのコードをWebサイトで入力することで、全文のPDFファイルをダウンロード可能にするという仕掛けを盛り込んだ。本を購入いただいた読者には、紙でもeBook端末でも、その時々や好みに応じて自由なスタイルで読んでほしいと考えたからだ。 今回のコラムは、その経緯や将来の課題について書き進めたいと思う。 どうやって全文PDFファイルをダウンロードしてもらうのか? 書籍購入者に全文PDFファイルを無償で
安全性のために、便利さ・快適さを捨てられるか
いま、編集部の記者がスマートフォンをテーマにした特集を書こうとしている。といっても、ただ「スマートフォンって素敵」という記事ではない。企業でスマートフォンをどうやって使えばいいか、がメインテーマである。もちろん、スマートフォンから派生した感のある、iPadのようなタブレット端末(スレートPC)も視野に入る。 携帯電話の企業利用は、珍しいものではない。従来から、携帯電話を業務に使うという話はあったし、筆者も記事を書いたことがある。それでも今なお、携帯電話の業務利用が広く浸透しているという印象はない。ただ、iPhoneやAndroid端末といった新手のスマートフォンの登場によって、企業ユーザーの利用が活発化してきた。携帯電話事業者やシステムインテグレータに取材してみると、かなり引き合いは多くなっているらしい。NTTドコモでは、全加入者のうち現状では1割程度の法人ユーザーを、2012年には2割に
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マカフィー株式会社 | McAfee Blog - 偽セキュリティソフト、再び拡大の恐れ
Engadget | Technology News & Reviews
