個人情報保護委員会は9月21日、BIPROGY 株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について発表した。 兵庫県尼崎市では6月21日に、同市が住民税非課税世帯等に対する臨時給付金支給事務を委託するBIPROGY株式会社関西支社の関係社員が吹田市のコールセンターでのデータ移管作業のために必要なデータを記録したUSBメモリをかばんへ入れて尼崎市市政情報センターから持ち出し、データ移管作業完了後に、飲食店に立ち寄り食事を済ませた後の帰宅時に当該USBメモリを入れたかばんを紛失したことを公表しており、BIPROGYも7月1日に外部の専門家から構成される第三者委員会を設置したと発表していた。
NullMixerはドロッパーです。 ドロッパーは名前の通り感染したシステムにマルウェアをインストールします。 こんな感じで動きます。 脅威アクターはコンテンツを用意する ソフトウェアを違法にダウンロードするための情報などを含むコンテンツを用意します。 脅威アクターはSEO対策を実施する 用意したコンテンツが検索エンジンで上位に表示されるようにSEO対策を実施します。 仕掛けられるキーワードは「cracks」や「keygens」です。 実際にこの手のコンテンツを欲しい人が検索するキーワードがこういったものであることが多いということでしょうか。 被害者がファイルをダウンロードする ソフトウェアを違法に入手しようとした人は脅威アクターの用意したコンテンツから何かのファイルを入手します。 そのファイルにはNullMixerが含まれています。 そのファイルはパスワード保護されているzipファイルに
コンテンツマネジメントシステム(CMS)の「PukiWiki」に複数の脆弱性が明らかとなった。 パストラバーサルの脆弱性「CVE-2022-34486」をはじめ、格納型クロスサイトスクリプティング(XSS)の脆弱性「CVE-2022-36350」、反射型XSSの脆弱性「CVE-2022-27637」が明らかとなったもの。 共通脆弱性評価システム「CVSSv3」のベーススコアは「CVE-2022-34486」が「7.7」、それ以外の2件については「6.1」と評価されている。 いずれも外部研究者が報告したもので、3月30日にリリースした「同1.5.4」はこれら脆弱性の影響を受けないとしており、同バージョンにアップデートするか、回避策の実施を呼びかけている。 (Security NEXT - 2022/08/30 ) ツイート
ログの集約機能を提供する「Apache Flume」に深刻な脆弱性が明らかとなった。 「同1.4.0」以降において「JNDI(Java Naming and Directory Interface)」を処理する「JMSMessageConsumer」に脆弱性「CVE-2022-34916」が明らかとなったもの。細工されたLDAPのURIデータを処理するとリモートよりコードを実行されるおそれがある。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。 開発チームでは、8月16日に機能の強化や脆弱性の修正を行った「同1.10.1」をリリースした。 (Security NEXT - 2022/08/31 ) ツイート
福岡県小竹町は、20人以上の職員のIDとパスワードを用いて、繰り返し同町システムに不正アクセスを行った職員を8月4日付で停職処分とした。 複数職員のIDとパスワードを悪用して不正アクセスを行い、同町システムにおいて情報を閲覧していたもの。同町システムでは、誕生日4桁がパスワードの初期設定となっており、変更せずそのまま利用していると容易に予想できる状態だった。 具体的には、2019年4月より2022年3月にかけて文書の起案や予算、人事管理など行う「総合行政システム」に対し、人事管理権限のある複数職員のIDとパスワードを用いて352回にわたり不正アクセスを行い、4516件の人事情報を閲覧。さらに有給休暇の繰り越し日数を増やすために取得情報2件を削除していた。 さらに2020年5月から2022年3月にかけて所属していた総務課において業務とは関係ないファイルを閲覧し、誕生日などの情報を入手。 20
QNAP Systems製NASの画像管理アプリを標的とするランサムウェアのあらたな攻撃キャンペーンが確認された。同社はアップデートをリリースし、脆弱性を修正するよう利用者に注意を呼びかけている。 同社NAS製品で利用できる画像管理アプリ「Photo Station」に脆弱性が存在し、インターネット上へ公開された同アプリを狙う攻撃が発生しているもの。 以前より同社製NASは、ランサムウェア「DeadBolt」の標的となっているが、現地時間9月3日に同アプリを狙ったあらたな攻撃キャンペーンを検知したという。 同社は脆弱性の重要度を「クリティカル(Critical)」とレーティング。ファームウェア「QTS」の各バージョン向けに脆弱性を修正した「Photo Station 6.1.2」「同6.0.22」「同5.7.18」「同5.4.15」「同5.2.14」を9月4日にリリースし、利用者にアップデ
フィッシング対策協議会は、8月に報告を受けたフィッシング攻撃の状況を取りまとめた。フィッシングサイトの件数が過去最多を更新し、2カ月連続で5万件近いURLが報告されている。 同協議会によると、同月に寄せられたフィッシング攻撃の報告は9万4973件。前月から1万2975件減となった。減少したものの前月についで2番目に多い件数となる。1日あたりの報告数は、前月比418.6件減となる約3063.6件。 報告数が減少する一方、重複を除いたフィッシングサイトのURLは4万9221件で、先月からわずかながらも増加となり過去最多を更新した。1日あたりに換算すると約1587.8件。1分間あたり1.1件の報告が寄せられたことになる。 大量のドメインにサブドメインを組み合わせたケースが約84.0%にのぼった。こうしたフィッシングサイトの多くは同一のIPアドレス上に設置されており、稼働が確認できたケースではわず
政府の複数関連サイトで閲覧障害が発生した。SNS上に攻撃をほのめかす書き込みも行われており、政府では原因について調査を進めている。 9月6日夕方よりデジタル庁が所管する電子政府の総合窓口である「e-Gov」をはじめ、総務省、文部科学省、宮内庁など4省庁23サイトでアクセス障害が発生したもの。総務省の関連団体である地方税共同機構が運営するeLTAXのウェブサイトも閲覧できない状態となった。 アクセス障害に関しては、攻撃グループ「Killnet」がサイバー攻撃を示唆する投稿をSNS上に行っているが、松野博一内閣官房長官は、各サイトにおいて6日夜より順次回復しており、アクセス障害との関連や具体的な原因については、DDoS攻撃の可能性を含めて確認中であると説明。 「e-Gov」に関しては、同月7日にもログインできない状態が生じており、前日6日に生じた障害との関連性も含めて調査を進めている。松野内閣
玄関マットなどの製造、販売を手がけるクリーンテックス・ジャパンがサイバー攻撃を受けた問題で、同社は原因や個人情報への影響など調査結果を取りまとめた。 7月に複数の同社サーバで、第三者によりデータを暗号化される被害が発生したもの。同月8日に従業員が社内システムにアクセスできないことへ気が付き、問題が発覚した。 サーバの内部には、顧客や配送先の氏名、住所、電話番号、注文商品など個人情報最大4万600件が保存されており、同社では情報流出の可能性も視野に入れ、外部事業者によるフォレンジック調査を行っていた。 調査の結果、7月1日から8日未明にかけて、攻撃者が断続的に同社の社内ネットワークへアクセスしていた痕跡を確認した。VPN機器の脆弱性により流出した従業員の認証情報を悪用されたと見られる。 内部ネットワークに対するアクセスには、複数のプログラムが用いられたが、外部にデータが流出した可能性を示す痕
ロジテックINAソリューションズは、インシデントが発生した企業などを対象にデジタルフォレンジックサービスを9月12日より提供開始する。 同サービスは、情報漏洩や不正アクセス、データ改ざん、内部不正などが発生した企業に対し、関連する機器やメディアのデータに対する証拠保全や被害内容、原因などの調査、分析を提供するもの。企業の内部調査部門や弁護士などの利用を想定している。 パソコン、SSD、外付けハードディスク、USBメモリ、SDメモリカード、MicroSDメモリカード、ドライブレコーダー、監視カメラ、スマートフォンなど、メーカーを問わずあらゆる機器に対応。ただし、暗号やセキュリティ対策を講じている媒体については解除パスワードが必要となる。 データ復旧のノウハウなどを活かし、サービス化したもので、改ざんや消失防止などデータ保全を重視しているという。料金や調査期間は個別見積もりとなり、収集する情報
リクルートの個人向けオンライン学習サービス「スタディサプリ 中学講座」のブラウザ版に、関係ない別の利用者としてログイン状態となる不具合が複数存在したことがわかった。 同社によれば、同サービスにおいてアクセストークンの取り扱いに不備があり、本来の利用者とは異なる利用者としてアクセスが行われる複数の不具合が明らかとなったもの。 8月10日に保護者から問い合わせがあり、調査を行ったところ、一部ページへアクセスすると、ログイン時に割り当てられるアクセストークンに問題があり、他利用者としてログインする状態となっていることが同月22日にわかった。 同不具合へ対策を講じた上でさらに調査を進めたところ、ログアウト操作やパスワードリセットを行っても、アクセストークンが正しく削除されないため、特定のログアウト操作を行わないかぎり正しくログアウトできず、ログインした状態のままとなることが同月29日に判明。複数の
Appleは、同社スマートデバイス向けにOSの最新版となる「iOS 16」を現地時間9月12日にリリースした。あわせて「iOS 15.7」「iPadOS 15.7」の提供も開始し、すでに悪用が確認されている脆弱性などへ対処している。 今回のアップデートでは、カーネルに関する3件の脆弱性や、ブラウザ関連の脆弱性4件をはじめ、あわせて11件の脆弱性を修正した。 アプリケーションよりカーネルの権限でコードの実行が可能となる脆弱性「CVE-2022-32917」については、すでに悪用されているとの報告があるという。 コード実行につながる脆弱性のほか、連絡先においてプライバシー設定をバイパスされる脆弱性「CVE-2022-32854」やマップにおいてアプリより位置情報を読み取られるおそれがある脆弱性「CVE-2022-32883」などについても解消している。 「iOS 16」「iOS 15.7」「i
Appleは、現地時間9月12日にmacOSの最新版となる「macOS Monterey 12.6」「macOS Big Sur 11.7」をリリースし、複数の脆弱性を修正した。一部脆弱性は悪用が確認されている。 「macOS Monterey 12.6」では、カーネルに関する脆弱性をはじめ、あわせて8件の脆弱性に対応した。 アプリケーションよりカーネルの権限でコードの実行が可能となる脆弱性「CVE-2022-32917」については、すでに悪用が確認されている。同脆弱性を含む5件については同日公開された「iOS」にて修正された脆弱性と重複している。 さらに「macOS Big Sur 11.7」では、「macOS Monterey 12.6」で修正された8件の脆弱性にくわえ、追加で2件の脆弱性「CVE-2022-32854」「CVE-2022-32894」を解消した。 なかでもカーネルに明
SonicWallのSMB向けリモートアクセス製品「SonicWall SMA100」に脆弱性が明らかとなった。 ヒープベースのバッファオーバーフローの脆弱性「CVE-2022-2915」が明らかとなったもの。同脆弱性は認証されたユーザーによって悪用できる脆弱性で、リモートよりコードを実行されたり、サービス拒否を引き起こされるおそれがある。 同脆弱性は、ファームウェアが「10.2.1.5-34sv」および以前のバージョンに影響があり、同社は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.2」、重要度を「高(High)」とレーティングしている。 同社では、悪用するには高い権限が必要であると評価しているが、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、低い権限でも悪用が可能であるとし、CVSS基本値を「8.8」と評価している。 また同製品には、ファームウ
マイクロソフトは、9月の月例セキュリティ更新プログラムを公開し、CVEベースであわせて63件の脆弱性に対処した。一部脆弱性はすでに悪用が確認されている。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせ、月例セキュリティ更新プログラムをリリースしたもの。 今回のアップデートでは、「Windows」「Office」をはじめ、「Microsoft Dynamics」「Azure」「Windows Defender」「Windows ALPC」「Windows Codecs Library」「.NET」「Visual Studio」などに明らかとなった脆弱性へ対応した。 63件の脆弱性における最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は5件。のこる58件については次に高い「重要(Import
デジタル庁が所管する電子政府の総合窓口「e-Gov」において9月6日、7日に発生した障害の原因が明らかとなった。 同月13日の閣議後記者会見で河野太郎デジタル改革担当大臣が明らかにしたもの。同月6日夕方より夜にかけて発生した閲覧障害について調査を進めていたが、DDoS攻撃による影響の可能性が高いとの見方を示した。 攻撃の発信元について河野大臣は、把握している情報や対応状況について明かすことは相手に利することになるとし、コメントを避けた。 一方、「e-Gov」では翌7日にもログイン障害が発生したが、システム内部の問題に起因した障害であると説明。DDoS攻撃など外部からの攻撃による影響を否定した。 今回の問題を受け、監視体制の強化やセキュリティの再点検を行っており、内閣サイバーセキュリティセンターなどとも連携しつつ、セキュリティの強化を進めていくという。 (Security NEXT - 20
Adobeは、複数の製品向けにセキュリティアップデートをリリースした。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせ、7製品においてセキュリティアップデートをリリースしたもの。いずれも脆弱性の悪用は確認されていない。 「Adobe Bridge」「Adobe InDesign」「Adobe Photoshop」「Adobe Illustrator」「Adobe InCopy」「Adobe Animate」に関しては、重要度が3段階中もっとも高い「クリティカル(Critical)」とされる脆弱性の修正が含まれる。 また「Adobe Animate」以外の製品については、重要度が2番目に高い「重要(Important)」とされる脆弱性の修正を行った。 適用優先度に関しては、いずれの製品も3段階中もっとも低い「3」とレーティングしてお
三重県四日市市は、「Instagram」において同市公式アカウントに見せかけた偽アカウントが確認されたとして注意喚起を行った。 同市によれば、公式アカウントが「@yokkaichi_style」なのに対し、偽アカウントでは「@yokkaichi__style」とアンダーバーが二重となっていた。 同市では「四日市特産品プレゼントキャンペーン」を開催しているが、偽アカウントではこれに便乗し、偽の「当選DM」を一部ユーザーに送りつけていた。 同市では現在もキャンペーン期間は終了しておらず、DM送付は行っていないと説明。DMを送付する場合も景品送付先以外の個人情報を求めることはないとして、クレジットカード情報など誤って提供しないよう注意を呼びかけている。 同市では、運営者に対しなりすましアカウントの報告を行い、削除を求めている。また類似したなりすましに注意するよう呼びかけた。 (Security
福岡県北九州市が管理する「北九州市買い物応援ウェブサイト」で改ざん被害が発生した。児童ポルノに関するリンクが掲載されたという。 同市によれば、9月13日11時半ごろ、外部事業者から同サイトが改ざんされ、児童ポルノに対するリンクが掲載されているとの連絡を受け、問題が発覚したもの。 同市では、ウェブサイトの運営を委託する事業者へ公開を停止し、原因究明を行うよう求めた。 9月12日19時57分から13日4時46分にかけて、サイトの「お知らせ」や「かわら版」といったコーナーに8回の不正な書き込みが行われたことを確認した。 同サイトでは個人情報を取り扱っておらず、情報流出の被害については否定した。また同市の他サイトにおいて同様の被害は確認されていない。 (Security NEXT - 2022/09/15 ) ツイート
世界ではPCよりはるかに多くのモバイルデイバイスが使われており、自宅などリモートで仕事をする機会が増えていることから、従業員が持つ携帯端末は企業にとって主要な攻撃ベクトルとなりつつあります。セキュリティサービス大手のCloudflareが、見落とされがちなモバイルデイバイスのセキュリティをゼロトラストで保護する「Zero Trust SIM」を発表しました。 The first Zero Trust SIM https://blog.cloudflare.com/the-first-zero-trust-sim/ Securing the Internet of Things https://blog.cloudflare.com/rethinking-internet-of-things-security/ Cloudflare launches an eSIM to secure mo
オンライン会議サービスを提供するZoomの「Zoom On-Premise Meeting Connector MMR」に3件の脆弱性が明らかとなった。アップデートが提供されている。 オンプレミス環境でオンライン会議を行う際に用いるマルチメディアルータにアクセス制御の不備に起因する脆弱性3件「CVE-2022-28758」「CVE-2022-28759」「CVE-2022-28760」が明らかとなったもの。いずれも同社セキュリティチームが発見したという。 「CVE-2022-28758」「CVE-2022-28759」を悪用することで、参加権限のない会議の音声やビデオフィードを取得したり、会議を途絶させることが可能となるという。 同社は、これら脆弱性について共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.2」、重要度は「高(High)」とレーティングしている。 また許可され
次世代医療基盤法の認定事業である「千年カルテ」において、一部医療情報を本人へ通知することなく取得、利用していたことがわかった。 同サービスは、同法に基づき、医療機関より提供を受けた患者の医療情報について統計処理や匿名加工を行った上で製薬会社や研究機関などに提供するデータベースサービス。 同事業はライフデータイニシアティブ(LDI)が認定匿名加工医療情報作成事業者となり、2019年にスタート。認定受託事業者であるNTTデータがシステムを運用している。2022年8月末の時点で168万件の二次利用可能な患者の医療情報が登録されている。 同法では認定事業者が医療情報を取得する際、提供元の医療機関が本人に対して事前に通知することを定めているが、プログラムに不具合があり、電子カルテシステムやレセプトシステムよりNTTデータが収集したデータに、患者本人に対して通知を行っていない医療情報最大約9万5000
個人情報保護員会は、尼崎市で発生したUSBメモリの紛失事故を受け、業務を受託していたBIPROGY(旧日本ユニシス)に対し、個人情報保護法にもとづく行政指導を行った。現行法において自治体は監督対象外だが、2023年4月以降は自治体も同法の適用対象となることから、個情委では各自治体に対して今回のケースを参考に対策を推進するよう促している。 問題となった事故は、6月に発生したもの。同市コールセンターにおいてデータの移管作業を実施するため、同社協力会社の従業員が同月21日17時ごろ、USBメモリをカバンへ入れて持ち出したが、作業後もデータを削除することなく持ち歩き飲食。 帰宅途中に路上で眠り込み、翌22日にUSBメモリを入れていたカバンごと紛失したことが明らかとなった。カバンは6月24日に吹田市内にあるマンション敷地内で見つかり、回収されている。 問題のUSBメモリ内部には、臨時特別給付金支給事
Internet Systems Consortium(ISC)が提供するDNSサーバ「BIND」に複数の脆弱性が明らかとなった。アップデートが提供されている。 バージョンや利用環境によって脆弱性の影響は異なるが、メモリリークが生じる「CVE-2022-2906」「CVE-2022-38177」「CVE-2022-38178」や、特定の設定においてサービス拒否が生じるおそれがある「CVE-2022-3080」など、あわせて6件の脆弱性が判明した。 今回の更新において重要度がもっとも高い「クリティカル(Critical)」とされる脆弱性は含まれておらず、悪用なども確認されていない。 「CVE-2022-2906」「CVE-2022-3080」「CVE-2022-38177」「CVE-2022-38178」の4件については、いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7
ニトリホールディングスは、ニトリの会員向けサービスに対し、第三者が利用者になりすましてログインを試行する不正アクセスが行われたことを明らかにした。一部ユーザーがログインを許したという。 同社によれば、同社が提供するスマートフォン向けアプリ「ニトリアプリ」を通じて、「ニトリネット」のサーバに対し、第三者が大量のIDやパスワードのリストを用いてログインを試行するいわゆる「パスワードリスト攻撃」が行われたもの。9月19日に判明した。 9月15日から20日にかけて「ニトリネット」や「ニトリアプリ」にくわえて、連動する子会社島忠が提供する「シマホネット」「シマホアプリ」などのアカウント約13万2000件が、第三者によるログインを許した可能性がある。 ログインを許した場合、氏名、住所、電話番号、生年月日、性別、メールアドレス、パスワード、一部をマスキングしたクレジットカード番号、有効期限などを閲覧され
LINEは、コミュニケーションアプリ「LINE」に投稿されたURLに対するプレビュー機能が正しく動作していなかったことを明らかにした。限定公開のURLが第三者に漏洩した可能性もあるとして注意を呼びかけている。 同社によれば、9月6日0時半ごろから7日12時半ごろにかけて、同アプリのトークなどへユーザーやLINE公式アカウントより投稿されたURLに対し、一部誤った内容のプレビュー表示を行っていたもの。 プレビュー機能を提供するサーバにおいてエラーが発生し、異なるユーザーの投稿に対するプレビュー情報を出力していた。メモリ不足により異常終了した際の処理が正しく行われていなかったという。 影響を受けた正確な規模はわかっておらず、プレビュー出力の約0.5%から0.6%が影響を受け、出力回数は約360万回にのぼると同社では推定している。 プレビュー表示が行われるURLは、同社サーバよりアクセス可能なも
トヨタ自動車の子会社で電動車向けバッテリーの製造などを手がけるプライムアースEVエナジーは、ウェブサイトが不正アクセスを受け、一時改ざんされる被害に遭った。 同社によれば、9月7日16時ごろに不正アクセスを受け、サイト内の1ページが改ざんされたもの。同日16時20分ごろにウェブサイトを閲覧した関係先より通報があり、被害が判明した。 検索サイト経由で問題のページにアクセスすると、無関係のページへリダイレクトするよう改ざんされていたという。 同社は同日18時ごろにサイトを停止。調査を行ったところ、パスワードを解読され、サーバに侵入を受けていたことが判明した。 改ざんの発生より早い段階で閲覧制限を行ったことから、閲覧者は少なく、被害の報告なども寄せられていないという。不正アクセスにともなう顧客の情報流出なども確認されていないとしている。 同社ではサイトを修復し、同月9日17時にサイトを再開した。
XMLパーサーのライブラリ「Expat(libexpat)」に深刻な脆弱性「CVE-2022-40674」が明らかとなった。 一部関数に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2022-40674」が明らかとなったもの。 細工されたXMLファイルを処理すると任意のコードを実行されたり、サービス拒否が生じるおそれがある。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングした。 開発チームでは、9月20日にリリースした「同2.4.9」にて同脆弱性を修正している。 (Security NEXT - 2022/09/27 ) ツイート
電力サービス「みんな電力」などを提供するUPDATER(旧みんな電力)は、ファイルサーバがランサムウェアに感染し、顧客や取引先など関係者の個人情報が流出した可能性があることを明らかにした。 同社によれば、9月18日深夜にファイルサーバがランサムウェアに感染したことを同社従業員が確認。サーバを停止し、ネットワークを遮断して、外部協力のもと原因や被害状況などを調査したところ、外部に情報が流出した可能性があることがわかった。 流出の可能性があるのは、個人や法人の顧客、電力需給管理業務など同社受託事業の顧客、発電事業者および取引先における氏名、社名、住所、電話番号、メールアドレス、契約内容、金融機関の口座情報。 さらに株主の氏名や住所、電話番号のほか、退職者を含む従業員情報なども被害に遭った可能性がある。 顧客向けに提供している「みんな電力マイページ」に関しては、被害が確認されたファイルサーバと異
コロナ禍のリモートワークや趣味のオンラインゲームなどで、少しでも快適にインターネットを利用したいと考えている方は多いのではないでしょうか? インターネット環境は、どの光回線を選択するかで大きく変わりますが、通信速度や月々の料金、スマホとのセット割など何を基準に選べば良いか迷ってしまうものです。 そこで、検討していただきたいのが通信速度や安定性などのスペックに大きく影響する「通信規格」。 フレッツ光やauひかりなど多くの光回線は「GE-PON」という通信規格を採用していますが、NURO光は「G-PON」と呼ばれる別の規格を採用することで、下り最大2.4Gbps、上り最大1.2Gbpsを実現しています。 この記事では、「G-PON」のメリットとデメリット、NURO光が「G-PON」を採用した理由について紹介します。 PONは「Passive Optical Network」の略語で、一本の光フ
それに伴い、Macbook(Apple社のPC)を使う人も増えてきました。 Macbookを購入、使用する際には「M1」、「M2」チップという言葉をよく耳にします。 ですが、M1、M2チップ=「何かPCの性能を表す難しい専門用語」の理解で止まってしまっている方も多いのではないのでしょうか? この記事では、近年話題のAppleのM1、M2チップについて詳しく解説をしていきます。 Appleのチップは「CPU」、「GPU」、「メモリ」に分けられる CPUとは、コンピューターの全体制御を司る大脳 GPUとは、コンピューターの映像、画像を司る大脳 メモリは、データを一時保存しておく場所 「超高画質の映像編集」や「超高画質のネットゲーム」を日常的に行っている上級者にとっては、M1とM2の違いは大きいが、初心者〜中級者にはあまり変化はない
人によっては「電気、ガス、水道」と並ぶライフラインの1つと数える人もいます。 実際、auやdocomoといった通信業者に障害が起きると、電気やガス、水道が止まった時と同程度に匹敵する影響が出ました。 ですが、インターネットがどういった仕組みで動いているか、あまり理解出来ていない方も多いのではないでしょうか? 普段当たり前に使っているインターネットの仕組みについて、可能な限り専門用語を使わず、初心者にも分かりやすく解説をしていきます。 Webサイトで何かURLを入力すると、ブラウザが自動的に「リクエストメッセージ」(「このサイトが見たい」と書かれた手紙の内容のようなもの)を作成する 同時に、ブラウザはIPアドレス(サイトの情報が格納された住所のようなもの)も調べる その後、リクエストメッセージとIPアドレスが一つになった「パケット」がブラウザによって作成される 「パケット」はインターネット回
デジタルペンテスト部の北原です。 本日は、Windows OS への侵入に成功した攻撃者が管理者権限を奪取した後に悪用する、Token Stealing という手法について解説します。 要点 技術的な詳細に興味がない読者向けに、先に要点を書きます。 要点は以下の3点です: ログオンしている Windows OS の管理者権限の奪取に成功した場合、Token Stealing の手法により他のプロセスの実行アカウントの権限を借用できます。 Active Directory のドメインに参加している Windows OS の場合、他のドメイン端末で使用するアカウントで起動しているプロセスが存在すると、Token Stealing によりそのプロセスのアカウントの権限が借用できるため、攻撃者の侵入範囲の拡大につながります。ドメインに参加している端末の管理のために各端末にプロセスを実行する場合は、
セーフィーは9月28日、エッジAIカメラ「Safie One(セーフィー ワン)」を販売を開始した。 映像データを活用し課題解決に貢献することを目的に開発された同社初のエッジAIカメラという。エッジAIを実現するためにカメラ本体に、Qualcomm Technologies, Inc. のSoCs「QCS410」を搭載。撮影した映像データをクラウドに送る前に、画像分析が可能となるほか、カメラ自体にアプリケーションの実装が可能なため、ユーザーが使用したいアプリケーションをインストールできる設計となっている。 エッジAIを利用したアプリケーション群「AI-App(アイアップ)」をインストールして使用する。AI-Appは、1台のカメラに複数のアプリケーションをインストールでき、利用者の用途に応じてカメラのアプリケーションを切り替えると様々な機能が使えるようになり、カメラが賢くなるもの。AI-Ap
はじめまして、デジタルペンテスト部2年目のれーじです。 1年目はIoTペネトレ、2年目の現在はスマホアプリ診断を担当しています。先輩も後輩も化物みたいな人しかいないため、足を引っ張らないように必死です。 先日友人から「フリーwifiとかって危ないって聞くけど実際どうなの?」と聞かれました。「危ないよ!」と即答したのはいいものの具体的にどう危ないかの説明に困ったため、それを機にwifiハッキングについて少し勉強し、実験した内容をブログにしました。 はじめてのブログですので色々ご容赦ください。 これからの内容は絶対に自身の環境以外で試さないでください。「不正アクセス禁止法」に引っかかる可能性があります。 wifiハッキングって何するの? 隣の家のwifiを不正利用 実験環境 事前準備 kaliにwifiインタフェースを認識させる。 実験内容(手順) wifiインタフェースをMonitor mo
2022/08/31 10:00 SecurityInsight IPA(情報処理推進機構)は8月26日、コンピュータウイルス・不正アクセスの届出事例[2022年上半期(1月~6月)]を発表した。そのうち、届出事例の傾向の概要については以下のとおり。 今期は、先期の2021年下半期(7月~12月)まで届出数が減少傾向にあったウイルスの検知・感染の被害の届出が大幅に増加した。中でもEmotetに関する届出が大半を占めた。2021年1月に攻撃基盤の停止が報じられて以降、しばらく攻撃が観測されていなかったEmotetだが、2021年11月頃より攻撃者の活動が再開したとの情報があった。 ウイルス届出においても2021年12月からEmotetに関する届出が寄せられるようになり、特に2022年2月から届出が急増し、7月頃まで継続して多数の届出を受理していた。ただし、7月になるとEmotetの届出は減少
2022/08/31 10:30 SecurityInsight フランスVade(ヴェイド)社は8月29日、2022年第2四半期(4月~6月)のフィッシングおよびマルウェアの検出状況をまとめた「2022年第2四半期フィッシングおよびマルウェアレポート」を公開することを発表した。その概要は以下のとおり。 第2四半期にマルウェアに感染したメールは前四半期比で21%増加。フィッシングメールの数は第2四半期を通して前月比で増加し、6月には2022年1月以降最も多いフィッシングメール数を記録した。 マルウェアの活動は3月に前月比で201%の大幅な増加を見せた後、4月に減少。しかし、5月には著しく増加傾向に転じ(前月比31%増)、6月にも再び増加した(前月比29%増)。Vadeは合計で6,830万件のマルウェアに感染したメールを検出した。 フィッシングメールは4月に前月と比較して23%増加し、5月に
HOME ニュースDigest Newsデジタルアーツ、2022年上半期に収集した国内外のフィッシングサイトURLのドメインを集計したレポ... 2022/09/01 10:00 SecurityInsight デジタルアーツは8月30日、2022年上半期に収集した国内外のフィッシングサイトURLのドメインを集計したレポートを公開したことを発表した。その概要は以下のとおり。 2022年上半期のフィッシングサイトURL総数は、前年同期比で約1.5倍も増えていた。TLDのシェア(該当年度期間のフィッシングサイトURL総数を100%として算出)では、「cn」が最も多く、約23%だった。「cn」は前年4位で約4%から急増しており、「cn」は上半期全体を通して常に使用され続けていた。 前年1位の「com」は約48%から約21%へとシェアを下げ、3位には前年はランク圏外だった「ci」が突如として出現し
HOME ニュースDigest Newsカスペルスキー、APT攻撃グループ「Kimsuky」の攻撃基盤拡大と感染チェーン「GoldDragon」クラス... 2022/09/09 11:00 SecurityInsight カスペルスキーは9月8日、同社のグローバル調査分析チーム(GReAT)が、主に韓国のシンクタンクを標的として積極的なサイバースパイ活動を行なう、国家が支援するとみられるAPT攻撃グループ「Kimsuky」の攻撃基盤の拡大と、新たな感染チェーン「GoldDragon」クラスターを確認したことを発表した。 GReATのリサーチャーは、同グループのこれまでの活動から、日本を含むアジア太平洋地域の政府機関や外交機関、報道機関、暗号資産関連企業は、この脅威を警戒する必要があると述べている。 Kimsukyが世界各地のさまざまな商用ホスティングサービスを使用して、継続的にマルチステ
2022/09/21 10:00 SecurityInsight 伊藤忠テクノソリューションズ(CTC)は9月15日、企業のインターネット上の脅威情報を監視する「脅威インテリジェンスモニタリングサービス」の提供を開始することを発表した。 このサービスは、米Recorded Future社のSaaS型のサービス「Recorded Future Intelligence Cloud プラットフォーム」を活用して、不法な情報の売買や攻撃予告などが行なわれるダークウェブを含めて監視し、新たな脅威を早期に発見して、迅速な対応につなげるというもの。CTCのサイバーセキュリティ運用サービス「CTCマネージド・セキュリティ・サービス(CTC-MSS)」から提供される。 インターネット上での脅威動向をダークウェブも含めて監視し、ユーザー企業に関連する機密情報の流出状況や、サイバー攻撃の計画や手法などの動向と
2022/09/26 10:30 SecurityInsight トレンドマイクロは9月15日、日本および海外における最新のセキュリティ動向を分析した報告書「2022年上半期サイバーセキュリティレポート 『侵入』する脅威が浮き彫りにする『サプライチェーンリスク』」を公開したことを発表した。その主なトピックスは以下のとおり。 1.サプライチェーンリスクが国内で具体化、被害原因はネットワークに直接侵入 トレンドマイクロが対応した国内のインシデント調査では、外部から直接侵入された事例が目立っており、主に以下の3つの原因を確認している。 ・VPNやRDPなどの外部からアクセスを受ける接点においてセキュリティ対策・脆弱性対応が不十分なことによる侵入 ・テレワークなどで外部に持ち出したPCが、USB接続のモバイルWi-FiやSIMなどグローバルIPが付与された状態でインターネット接続していたことによる
2022/09/27 10:00 SecurityInsight 三井物産セキュアディレクション(MBSD)は9月21日、同社の上級マルウェア解析技術者が執筆した書籍「マルウエアの教科書」が発売されたことを発表した。本書の概要は以下のとおり。 この本は、「そもそもマルウエアとは何か」といった“超”基礎から学びたい一般の人から、マルウエアの具体的な手口/実例/仕組みまでしっかり理解したいIT担当者、これからマルウエア解析を始めようとするエンジニアまで、さまざまな読者に向けた幅広い領域を網羅。 「ランサムウエア」についても、同様に「ランサムウエアとは?」という基本から、最新手口の詳細や実例、対策、攻撃組織の内情に至るまでカバーしている。 ■目次(全472ページ) 第1章 マルウエアの概要 第2章 様々なマルウエア 第3章 マルウエアの巧妙な手口 第4章 マルウエアの検知回避術 第5章 マルウエ
piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ:特集:1P情シスのための脆弱性管理/対策の現実解(2) いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。 脆弱(ぜいじゃく)性が企業組織に与える影響は、想像よりも大きく、想像よりも“面倒くさい”状況にある。そもそも「脆弱性」という言葉の認識も、もしかしたら人によって大きく異なり、対処を想定していない脆弱性が存在する可能性もある。 インシデント情報をまとめ記
MITRE ATT&CK徹底活用――クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分け:MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(5) ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分けなどを紹介する。 ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック。以下、ATT&CK)について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。前回は、MITRE ATT&CK(以下、ATT&CK)を使って特定のランサムウェ
パッチ適用の時間を短縮する「自動化」について解説する本連載「こっそり始めるパッチマネジメント自動化入門」。前回はパッチマネジメントの重要性について説明しました。今回はパッチ適用を円滑にするための自動化についてお話しします。 自動化のスコープ 本稿のスコープ(範囲)は次の通りです。 基盤環境構築、単体試験の自動化 パッチマネジメントを正しく運用するには試験環境でのパッチ適用試験が必須です。パッチ適用試験環境をタイムリーに短時間で構築するには、基盤環境の構築および単体試験の自動化が欠かせません。 ここではCI/CD(Continuous Integration/Continuous Delivery)ツールを組み合わせた基盤環境の自動化ソリューションを検討します。 基本になるのは構成管理ツール「Ansible」 「Ansible」(アンシブル)は、Red Hatが開発するオープンソースソフトウ
Googleは2022年9月8日(米国時間)、オープンソースソフトウェア(OSS)向けファジングサービス「OSS-Fuzz」の事例を発表した。「TinyGLTF」プロジェクトの重大な脆弱(ぜいじゃく)性(CVE-2022-3008)を発見したことだ。ファジングツールにはこれまで以上に広範な脆弱性を発見する能力があるのだという。 ファジングとは、ソースコードを直接解析するのではなく、極端に長い文字列や不正な形式の値などさまざまな入力データを与えてコードを実行し、意図的に予期せぬ動作やクラッシュを引き起こすテスト手法だ。 OSS-Fuzzはオープンソースプロジェクト向けにファジングツール(ファザー)を実行し、検出されたバグを非公開で開発者に知らせる無償サービスだ。約700の重要なオープンソースプロジェクトにバグがないかどうか、定期的にチェックしている。Googleが開発し、オープンソースコミュ
@IT編集部は2022年8月22日、デジタルイベント「@IT ソフトウェア品質向上セミナー」を開催した。基調講演では、「SBOMによるサプライチェーン攻撃対策~自社ソフトウェアのリスク、把握していますか?~」と題して、JFrog Japanの横田紋奈氏(デベロッパーアドボケイト兼Java女子部・JJUG運営)が、企業におけるオープンソースソフトウェア(OSS)の使用に潜むリスクにはどのようなものがあり、それにどう対処していけばよいかについて解説した。 ソフトウェアのセキュリティで注目されるソフトウェアサプライチェーン攻撃 SBOMとソフトウェアサプライチェーンの話題の前に、横田氏はDevSecOpsとは何かから話を始めた。DevOpsは、開発者と運用者が協力してサービスを改善していくもの。ユーザーからのフィードバックなどを受けて取り組みを繰り返し、改善を継続する。そのための考え方であり、組
フォーティネットジャパンは2022年9月20日、2022年上半期版グローバル脅威レポートを発表した。このレポートは、Fortinetのリサーチ部門であるFortiGuard Labsが2022年上半期に観測した数十億件の脅威を分析して得たインテリジェンスをまとめたもの。 攻撃対象は「エンドポイント」と「OT」 レポートによると、「RaaS」(Ransomware as a Service)の登場によって新たなランサムウェア亜種が次々と作成されており、FortiGuard Labsは2022年上半期中に1万666件のランサムウェア亜種を確認しているという。その数は2021年下半期に比べてほぼ倍になっていた。
セキュリティのハイプサイクルでは、特にセキュアなインフラとリスクマネジメントを実現しながら企業のビジネスやサービス、データを保護する24の技術と手法、概念を取り上げている。2022年版は、新たに「アタックサーフェスマネジメント」(ASM)、「セキュリティレーティングサービス」(SRS)、「侵入/攻撃シミュレーション」(BAS)、「セキュリティサービスエッジ」(SSE)、「サイバーセキュリティメッシュアーキテクチャ」(CSMA)の5項目が追加されている。 ポイントは「分散型セキュリティをどう確保し、管理するか」 オンプレミスやクラウド、IoT(Internet of Things)など、企業のデジタル資産は各所に分散しており、「どんな資産が」「どこに」「どういった形で存在しているのか」を把握するのが難しくなっている。ASMはそうしたデジタル資産とそこに向けられる脅威を可視化する。 SRSは、
ニュース 2022.08.31 ヘルステック研究所とTIS、診断結果をリアルタイムにスマホのアプリで見れるシステムを開発。 株式会社ヘルステック研究所とTIS株式会社は、8月23日、健康診断を受けた人が自分の診断結果などをスマホのアプリでリアルタイムに見ることができるシステムを開発したと発表した。 事前に必要な作業は、『健康日記』アプリをインストールし、健診機関から届く個別のIDとパスワードを入力しておくだけだといい、後は、当日に健診を受ければ、結果が出るたびに確認できるのだという。 他にも、健康診断を予約した日時などがアプリのホーム画面で確認できるため、「受診するのを忘れてしまった」という事態を防ぐことができる機能があるとしている。 使用するアプリ『健康日記』は、ヘルステック研究所と京都大学が共同で研究したもので、体重や服薬についての記録ができる機能や、女性特有の不調をサポートする機能も
セキュリティ診断サービスを手掛けているラックとユービーセキュア社は、システム開発を実施するお客様のセキュリティ対策について、共通の課題認識がありました。それは「システム開発のスピードを落とさずにセキュリティ診断を行うにはどうすれば良いか?」ということでした。 そこで、「診断内製化の次を行く!これからのアプリケーション開発のセキュリティ対策とは!?」と題したセミナーを開催しましたので、レポートをお届けします。 開発の早い段階で開発チームがセキュリティ対策に取り組んでいく 最初のセッションでは、ラックの執行役員CTOである倉持が、最近のアプリケーション開発のセキュリティ対策に関するトピックスについて振り返りました。 倉持 ラックのセキュリティ診断レポート※1では、ラックが診断したシステムのうち40%のWebアプリケーションに重大な脆弱性を発見しています。Webアプリケーションに対するセキュリテ
株式会社セナネットワークス、脆弱性診断ツールベンダーSyhunt社と日本総代理店契約を締結。脆弱性診断ツール「Syhunt」国内向けサポートの提供を開始ソフトウェア開発ライフサイクルの初期からセキュリティを組込むことでセキュアな開発(DevSecOps)を実現。 株式会社セナネットワークス(本社:大阪市北区、代表取締役 山下大介、以下「当社」)は、世界のWebアプリケーションセキュリティ分野でリーディングカンパニーとして地位を確立する脆弱性診断ツールベンダーSyhunt社(所在地:ブラジル・リオデジャネイロ、CVO:Felipe Daragon、以下Syhunt社)と7月17日(日)に日本総代理店契約を締結。Syhunt社が提供する「Syhunt」の国内向けサポートの提供を本日より開始いたしました。 株式会社セナネットワークス、脆弱性診断ツールベンダーSyhunt社と日本総代理店契約を締結
千葉県南房総市で、公立小中学校が使っているサーバがランサムウェアに感染し、成績や住所、氏名などの個人情報を暗号化される事案が発生した。同市教育委員会は攻撃者の交渉に応じず、バックアップなどから情報の復元を行っている。 児童生徒の情報を保管しているサーバがランサムウェアに感染。12校に通う約2000人分の成績、住所、氏名、保護者連絡先、身長や体重といった保健データなどが暗号化された。サーバの管理を担当している委託業者が攻撃を確認したのは7月17日。19日には記者会見を開き、保護者らにも報告済み。 攻撃者は「Lockbit」と呼ばれるグループとみられ、交渉に応じなければ暗号化した情報を一般公開するとしている。教育委員会は千葉県警察とサーバ管理委託先とともに情報の復元に当たっている。 Lockbitは医療機関などを対象にランサムウェア攻撃を仕掛けているグループ。日本では徳島県のつるぎ町立半田病院
米VMwareは8月25日、クラウド基盤(PaaS)などの設定ミスをチェックできるツール「CloudHealth Secure State」の無料版を提供すると発表した。 AWS、Microsoft Azure、Google Cloud Platform、Kubernetesなどの設定ミスを検知して通知する。エンタープライズ版に比べ、チェックできるクラウドアカウントの数や更新頻度、データ保管期間などを制限している。 クラウドの設定ミスは、情報漏えいやマルウェア感染などのリスクになる。2022年にはエイチームや研修サービスを提供するリスクモンスターなどで、情報漏えい事案が発生した。こうした問題を防ぐツールは「CSPM」(Cloud Security Posture Management:クラウドセキュリティ動態管理)と呼ばれ、VMwareなどいくつかの情報セキュリティ企業が提供を始めている。
この記事は新野淳一氏のブログ「Publickey」に掲載された「Google Cloud、暗号資産を無断採掘されているインスタンスのプロセスを検出する「VM threat detection」正式リリース。ハイパーバイザレベルでメモリをスキャンし検出」(2022年8月30日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米Google Cloudは、暗号資産を無断採掘されているインスタンスを自動的に検出してくれる「Virtual Machine Threat Detection」(以下VM Threat Detection)を正式な機能としてリリースしたことを発表しました。 Google CloudのCompute Engineで実行されているインスタンスで、セキュリティホールなどの脆弱性を突かれて暗号資産を無断採掘されている場合、そのインスタンスのプロセスを特定
Web接客ツール「KARTE」などを提供するプレイド(東京都中央区)は8月29日、従業員や取引先といった関係者2555人分のメールアドレスなどが漏えいした可能性があると発表した。同社が採用しているコミュニケーションツール「Slack」の提供元である米Slack Technologiesが誤って別の米国企業に共有したという。誤送信した情報はすでに削除済みとしている。 漏えいした可能性があるのは、従業員や取引先といった関係者のメールアドレスに加え、Slack上でのユーザー名、各ユーザーが参加しているチャンネル名など。漏えいした可能性のある情報が悪用された事例は確認していないという。 事態はSlack Technologiesの報告で発覚した。Slack Technologiesは7月11日、米国企業1社から、Slackのサービスに関する情報提供の依頼を受けた。Slack Technologie
ランサムウェア集団“に”DDoS攻撃 米サイバーセキュリティ企業が反撃? リークサイトがダウン:この頃、セキュリティ界隈で(1/2 ページ) 世界各国で企業や病院などを恐喝して身代金を脅し取っているランサムウェア集団「LockBit」が、サイバーセキュリティ企業の米EntrustにDDoS攻撃を仕掛けられたと主張している。LockBitがEntrustから盗み出したデータを暴露しようとしたところ、サイバー攻撃を受けてリークサイトがダウンしたというのだ。 EntrustはID管理製品やサービスを提供するサイバーセキュリティ企業。顧客には米政府機関なども名を連ねる。データ流出の被害に遭っていたことは、研究者がTwitterに投稿した同社の顧客宛ての通知で発覚した。 7月6日付の通知の中でEntrustは、「社内業務に使用しているシステムに何者かが不正アクセスしていたことが6月18日に判明した」
JPCERT/CCは8月31日、これまでに確認できたフィッシング詐欺サイトのURLの一覧をGitHubで公開した。「今後のフィッシング詐欺への対策や状況把握のお役に立てれば」としている。 公開したのは2019年1月から22年6月の間に確認したフィッシング詐欺サイトのURL、確認日、かたられたブランドのリスト。確認したサイト数の遷移や使われているドメインの割合などのデータも掲載する。 掲載しているフィッシング詐欺サイトの現在の稼働状況は不明なため、利用する際は注意が必要としている。 関連記事 Twilioフィッシング攻撃はOktaになりすました大規模キャンペーンの一環──Group-IB報告 Twilioがデータを盗まれたフィッシング攻撃は、130以上の組織が対象の大規模キャンペーンの一環だったとGroup-IBが報告。Oktaになりすました攻撃は、米3大キャリアやMicrosoftも標的だ
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う:この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 イスラエルにあるBen-Gurion University of the Negevの研究者が発表した「GAIROSCOPE: Injecting Data from Air-Gapped Computers to Nearby Gyroscopes」は、インターネットに接続されていない「エアギャップ・ネットワーク」内のコンピュータから機密データを盗む攻撃を説明した研究報告だ。 エアギャップされたコンピュータ上で動作するマルウェア(あらかじめマルウェアを仕込んでおく必要がある)が、超音波の周波数を介して数メートル先のスマートフォン(ターゲットのコンピュータを操作する従業員などのスマートフォ
人気アプリTikTokのAndroid版に、1クリックでアカウントを侵害できてしまう深刻度の高い脆弱性があったと、米Microsoftが8月31日(現地時間)に発表した。MicrosoftはTikTokに2月に報告し、TikTokは「脆弱性に対処するための修正をリリースすることで迅速に対応した」としている。 影響を受けるAndroid版TikTokアプリは、これまでに累計15億回以上インストールされている。MicrosoftはAndroid版TikTokアプリのユーザーに対し、アプリの最新版にアップデートすることを勧めている。この脆弱性が実際に悪用された証拠は見つからなかったとしている。 ユーザーが仕掛けられたリンクをクリックするとアカウントが乗っ取られる。攻撃者は被害者のアカウントで動画を投稿したり他のユーザーにメッセージを送信できるだけでなく、アカウントに保存されている非公開の動画の表
クレジットカードの不正利用で毎月数億円規模の被害に悩まされていたメルカリ。ところが、22年7月の被害額は21年12月の10分の1まで減少した。9月1日に開催された「フィッシング、クレジットカード不正の現状と対策を考える会」に登壇したメルカリの篠原孝明執行役員は2月に導入した「EMV-3Dセキュア」の効果について胸を張った。 同社は2月、不正を未然に防止するためEMV-3Dセキュアを導入した。3DセキュアはVISAやMastercard、JCBなどが推進するユーザー認証サービス。2段階認証やパスワード入力による本人確認でクレジットカード決済時の不正を防ぐための仕組みで、もし不正利用が起きた場合も、認証ができていれば加盟店側で補填する必要がない。 しかし、VISAなどのカードブランドは「3Dセキュア2.0」とも呼ばれるEMV-3Dセキュアへの全面移行をEC事業者などに求めている。22年10月以
米Googleは9月2日(現地時間)、Chromeブラウザのバージョン105.0.5195.102をWindows、Mac、Linux向けにリリースした。8月31日に105にメジャーアップデートしたばかりだが、「エクスプロイトが実際に存在すると報告」された1件のセキュリティ修正が含まれる。 修正される脆弱性「CVE-2022-3075」の重要度は上から2番めの「High」だが、匿名の研究者から既に悪用されたという報告があった。プロセス間のメッセージパッシングのためのランタイムライブラリコレクション「Mojo」に関連する脆弱性という。詳細は「大多数のユーザーが問題を修正するまで」制限するとしている。 この脆弱性は、Microsoft Edge、Brave、Operaなど、Chromiumベースの他のブラウザにも影響する。各ブラウザはそれぞれ、アップデートで対応している。 関連記事 Googl
Telegram上のチャンネル「WE ARE KILLNET」では午後4時34分ごろ、日本国旗の絵文字と“OFFLINE”という文言とともに、e-Govや地方税ポータルシステム「eLTAX」の4つのURLを投稿。eLTAXには午後9時40分現在も、サイトにアクセスできない状態になっている。 午後5時17分ごろには「汚いサムライに蹴りをいれる」という説明文と、JCBの公式Webサイトにサイバー攻撃を仕掛けたと思われる画像を投稿した。その後も「国内で2番目に人気のあるSNSであるmixiをノックアウトした」としてmixiや、国税ポータルサイト「e-Tax」などにも攻撃したと思われる投稿が見られている。 また「最も重要な日本の電子サービスを教えてください」という投稿や、この事態を報じている記事をチャンネル内で共有している様子も見られている。 デジタル庁は午後6時13分ごろ「システム障害により、e
ロシアを支持するハッカー集団「KILLNET」が日本のWebサービスにサイバー攻撃を行ったと主張している件で、影響を受けたとみられる各サイトの状況が明らかになった。ミクシィは「大量のアクセスがあり、サービスに接続しづらくなった」と明らかにした。 KILLNETが攻撃したとしているのは、日本政府運営の行政情報の総合窓口サイト「e-Gov」、地方税ポータルシステム「eLTAX」、mixi、JCBのWebサイトなど。9月6日から各Webサイトで接続障害などが発生している。e-Govとmixiは6日中にほぼ回復。eLTAXと「JCBブランドサイト」は7日午前11時の時点でもアクセスできない状態になっている。 ITmedia NEWSの取材に対し、eLTAXのサポート窓口は「原因は調査中。ダウンロード版『PCdesk』は通常通り使える」とのみ答えた。JCB日本法人は「犯行声明があったのは認識している
ロシアを支持するハッカー集団「KILLNET」が日本のWebサービスにサイバー攻撃を仕掛けていると主張している問題で、mixiなど攻撃を受けたとみられるサービスの一部が復旧した。JCBやデジタル庁が管理する「e-Gov」では、9月8日午前10時の時点でも接続障害が続いている。 mixiでは6日に接続障害が発生したが、7日午前11時ごろに「平常通りに戻った」と報告。地方税ポータルシステム「eLTAX」は6日午後4時30分ごろからWebサイトにアクセスできない状態が続いていたが「8日朝に復旧した」と発表した。 一方、「JCBブランドサイト」は8日午前10時の時点でも接続障害が続いている。e-Govは6日、7日とも電子申請サービスでログインや申請ができない状態が発生。デジタル庁の公式Twitterには8日になっても復旧の報告が上がっていない。 KILLNETはメッセージアプリ「Telegram」
宣戦布告の表明した動画では、白い仮面を着けた人物がスピーチしており、日本語字幕では下記のようなメッセージを送っている。 「今日、日本政府の全体構成は、世界の状況に注意を向けるべきです!ロシアはウクライナで犯罪を犯していません.ロシアは、ヨーロッパの価値観と米国が思いついた危険なゲームから国民を保護しています.日本人は知っているが、いまだに反ロシアキャンペーンを行っている! 私たちはロシア政府ではなく、もはやだれにも警告していません。日本政府全体に宣戦布告 私たちはロシア人です… 私たちはキルネットです…」(原文ママ) KILLNETは6日、デジタル庁が管理する「e-Gov」やmixi、JCBなどに対してサイバー攻撃を行ったと表明。KILLNETとの関連性は不明なものの、攻撃対象に挙げられたサイトではアクセス障害などが発生。e-GovやJCBなどでは8日午前10時時点でも障害が続いている。
米AT&TのセキュリティラボAlien Labsは9月6日(現地時間)、Linux搭載のサーバやIoTを標的とする新たなマルウェア「Shikitega」を発見したと発表した。脆弱性を悪用して権限を昇格させ、感染した端末で暗号資産マイニングを実行したり、システムを完全に制御したりする。 Shikitegaは強力なMetasploitである「Mettle」をダウンロードして実行することで、Webカメラ制御やシェルコマンドの実行など、様々な攻撃を可能にする。 攻撃のプロセスは、「Shikata Ga Nai」(仕方がない)と名付けられたポリモーフィックXOR加法的フィードバックエンコーダを使ってデコードループを実行し、最終的なシェルコードペイロードがデコードされて実行されるまで、デコードを続ける。 デコードが完了すると、シェルコードが実行されてマルウェアのサーバに接続し、追加のコマンドを受信する
9月4日だけ、ロシアから大量のSQLインジェクション攻撃があった──WAF(Webアプリケーション用ファイアウォール)開発のサイバーセキュリティクラウドが13日、こんな観測結果を発表した。攻撃数は観測期間中の平均値の3倍に及んだ。 同社は8月1日から9月8日にかけて、同社製WAFなどで観測したサイバー攻撃を調査した。検知した攻撃の総数は約1047万件。4日には90万件近いSQLインジェクション攻撃を観測した。期間中、ロシアからSQLインジェクション攻撃があったのも4日のみ。ロシアからの攻撃件数は当日だけで20万件以上だった。 日本では8日ごろから、ロシアを支持するサイバー攻撃集団「KILLNET」によるものとみられるDDoS攻撃が相次いでいるが、関連は不明としている。 SQLインジェクションは外部からデータベースを不正に操作する攻撃手法。被害を受けると、個人情報などが漏えいする恐れがある。
不正に取得したau PAYアカウントを使ってコンビニで加熱式たばこをだまし取られる被害が相次いでいる。フィッシングに、アカウントの所有者が気づかぬまま犯行が行われる実態が浮き彫りとなっている。 不正に取得したKDDIの電子決済サービス「au PAY」の他人名義のアカウントを使ってコンビニで加熱式たばこをだまし取られる被害が相次いでいる。偽メールから正規サイトに酷似した偽サイトに誘導しIDやパスワードをだまし取る手法に、アカウントの所有者が気づかぬまま犯行が行われる実態が浮き彫りとなっている。 6月4日午後、2人の男が京都市西京区のコンビニエンスストア2店でそれぞれ「au PAY」のQRコードを店員に示し加熱式たばこ4カートンなど(計2万3780円)を購入した。QRコードはともに他人から盗んだアカウントのものだった。 京都府警は9月12日、他人名義のアカウントで商品を不正に購入したとして詐欺
情報処理推進機構(IPA)は9月13日、トレンドマイクロ製品の一部に複数の脆弱性が存在するとして注意喚起した。すでに悪用を確認したものや、影響度を示すCVSS v3のベーススコアが10点中8.2(重要レベル)のものも含まれる。 脆弱性が見つかったのはエンドポイントセキュリティ製品「Trend Micro Apex One」「Trend Micro Apex One SaaS」。悪用されると(1)ログイン認証を回避される、(2)システムにログインできる第三者にDoS攻撃される、(3)管理者権限を盗まれる、(4)管理画面にログインできる第三者に任意のコードを実行される、(5)遠隔地から情報を盗まれる──といった恐れがある。 情報セキュリティ修正パッチは公開済み。IPAはできるだけ早急にパッチを適用するよう呼び掛けている。 関連記事 Microsoftの月例セキュリティ更新パッチ適用を ゼロデイ
会社が認めていないクラウドサービスで業務のデータを保管・共有している人が多い業界は?──セキュリティの訓練サービスを提供する米KnowBe4が世界規模で調査した結果、最も多いのは「教育機関」(42.8%)だった。 2位は「建設」(35.5%)、3位は「官公庁」(33.4%)。逆に最も少ないのは「銀行・金融機関」(17.7%)だった。2番目に少ないのは「金融サービス」(20.5%)、3番目が「テクノロジー」(21.3%)だった。 地域別で見ると、最も多いのは日本含むアジア(32.6%)。逆に最も少ないのは南米(20.4%)だった。調査は2021年7月までに実施。南米、アフリカ、欧州、北米、オセアニア、アジアエリアで、業種を問わず43万5000人以上にアンケートを取り、22年3月に発表した。 関連記事 背筋も凍るITホラー 気付いたら“野良SaaS”のコストが4倍に 「SaaSのお片付け」真っ
YouTubeへの投稿は数時間後には削除された。URLには「この動画はTake 2 Interactiveによる著作権侵害の申し立てにより視聴できません」と表示される。 ソースコードのダウンロードリンクは約19時間公開されていたが、既に削除された。teapotuberhackerも参加していたTelegaramのチャンネルによると、リンクとTelegramのアカウントは本人が削除したという。 GTAシリーズの最新作は2013年リリースのGTA 5で、GTA 6は2024年に公開されるのではないかという噂の段階だ。 teapotuberhackerは非公式のGTAフォーラム、GTAForumに前述のメッセージを投稿した。本物かどうかという疑問に対し、コードのスクリーンショットを複数投稿し、フォーラム上で本物だと認定された。teapotuberhackerは、15日にUberに侵入したのも自分
米Uber Technologiesは9月19日(現地時間)、15日に受けたサイバー攻撃についての公式ブログを更新した。攻撃者は、MicrosoftやOktaなどへの侵害で知られるサイバー犯罪グループ「Lapsus$に所属していると考えられる」としている。 Uberは「週末には、同じ攻撃者がRockstar Gamesに侵入したという報告もある。われわれはこの問題について米連邦捜査局(FBI)および米司法省(DoJ)と緊密に連携しており、その取り組みを支援していく」と語った。Rockstarはシステムに侵入されたことは認めたが、攻撃者やその手口についてはまだ言及していない。 米New York Timesなどによると、Uberへの侵入者はUberに対し、自分は18歳で、Uberのシステムに侵入したのは同社のセキュリティが脆弱だったからだと述べたという。また、Rockstarに侵入したという
国税庁をかたって「あなたは税金を滞納している」などと脅し、クレジットカード番号などを詐取しようとするフィッシングメールが出回っているとし、フィッシング対策協議会が9月20日、注意を呼び掛けた。 メールの件名は「税務署からのお知らせ【申告に関するお知らせ】」など。本文には「国税に関する申告の参考情報をe-Taxのメッセージボックスに格納した」などと記載され、偽サイトのURLに誘導する。 URLをクリックすると、国税庁のサイトに似せた偽サイトを表示。「差押最終通知」などと書かれ、「滞納金」を支払うためにクレジットカード情報を入力するよう求められる。 協議会は、こういったサイトにカード情報などを入力しないよう、注意を呼び掛けている。また、サービスにログインする際は日ごろから、メールからではなく公式アプリやWebブラウザのブックマークから行うことを案内している。
家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。 不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット/ニトリアプリ/シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。 攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」(リスト型攻撃)と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。 流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別(戸建/集合住宅)、エレベーターの有無
ジブリ映画のテーマパーク「ジブリパーク」の運営を担当する中日新聞社傘下のジブリパーク社は9月24日、スタッフ募集に応募した1525人の個人情報が流出したと発表した。委託先企業が金銭を要求される事件に発展している。 不正アクセスがあったのは9月22日。ジブリパークがスタッフの派遣を委託しているテツコーポレーションの採用管理システムから応募者の氏名や住所といった個人情報が盗み出され、その後テツコーポレーションに対して金銭を要求してきたという。 テツコーポレーションは警察に報告するとともに被害に遭った応募者に連絡をとり始めた。ジブリパーク社は「今回の事態を重く受け止め、委託先を含めた情報管理の一層の強化を図り、再発防止に努める」としている。 ジブリパークは愛知県が事業主体となり、「愛・地球博記念公園」に建設を勧めているジブリ映画のテーマパーク。企画監修と開発をスタジオジブリ、管理運営を中日新聞社
LINEは9月22日、LINEアプリのトークなどで、ユーザーがURLを送信・投稿するとプレビューが表示される機能で、異なるページのプレビューを誤表示する不具合が、9月6日から7日にかけて一部で発生していたと発表した。限定公開のURLにアクセス可能になるケースも一部にあり、対象のURLを共有した人には、URLの非公開化や再発行を呼び掛けている。 不具合の原因は、プレビュー情報を処理する一部のサーバーで、メモリ不足による異常終了の際の処理に誤りがあったこと。9月6日午前0時32分から7日12時24分にかけ、約360万回の誤表示があったと推定している(発生確率0.5~0.6%)。 誤表示された情報取得元のURLがYouTubeまたはLINE LIVEだった場合はアクセス可能だったが、それ以外の場合はアクセスできなかった。ただ、一部サービスの特定の状況下ではアクセス可能なケースがあったという。 こ
通信事業者のファイバーゲート(東京都港区)が提供するマンション入居者用の無料Wi-Fiサービスで9月20日から1週間にわたり通信障害が続いている。サイバー攻撃によりトラフィックが増加したことで回線に制限がかかったとしている。 障害が発生したのは9月20日の午前0時。通信が不安定な状態が続き、一部では通信できない状況になっている。 影響範囲は東海地方、中国地方、四国地方、九州地方、北海道。東海、九州、北海道は25日までに復旧したが、中四国の完全復旧は28日になる見込み。 ファイバーゲートによると、何者かによるサイバー攻撃により、同社が上位回線事業者から提供を受けている回線でトラフィックが上昇。上位回線事業者が速度制限や回線の停止などを行ったことが原因という。 復旧に向け上位回線事業者との交渉や現場での対応を進めている。上位回線事業者については「情報が正式に把握できていない」として詳細を明らか
CIS Controlsを用いたアセスメント事例 IT環境の急激な変化や攻撃の高度化に伴い、企業組織の情報セキュリティ担当者の管理領域は大きく広がっています。クラウドコンピューティングやモビリティ、サプライチェーン、テレワーク環境など様々なセキュリティ対策の必要性が生じています。CIS Controlsは、これらの環境変化に対応するために近年注目されているゼロトラスト・アーキテクチャを強く意識した構成となっており、そこに書かれているベストプラクティスを参考にすることで、クラウドやテレワーク時代のセキュリティ対策や新しい攻撃手法にも対応できます。 CIS Controlsの概要や構成の説明については「セキュリティ対策、どこまでやる?CIS Controls version8を翻訳」をご参照ください。 CIS Controlsを自社で使ってみよう ラックでは以前からCIS Controlsを用
ソフトウェア型はサーバにインストールすることで導入できるため、比較的容易に環境構築が可能ですが、設定や運用についてはWebサーバ全体の運用保守に含めた対応をする必要があります。 ネットワーク型は専用ハードウェアをネットワーク境界に設置し、Webサーバと分けて管理ができます。しかし、導入コストが高く、運用面でも専用機器であり、高機能な分だけ専門知識や経験を必要とする傾向にあります。 クラウド型はプラットフォーム事業者が提供するネイティブ機能として利用が行えるなど、サービス利用申し込みを行えば特別な導入手順が不要ですぐに利用することができ、保守はサービス提供側に任せることが可能となるため、導入が容易です。低コストで利用できる点は魅力ですが、機能面で物足りないケースもあるため、ネイティブ機能で足りない部分を補う際にはサードパーティ製のSaaS(Software as a Service)を利用す
ゴールデンウイークやお盆、年末年始など長期休暇明けは、コンピュータウイルスの感染が拡大しやすいタイミングです。Emotetは大規模な感染被害こそ落ち着いていますが、引き続き注意が必要な脅威です。そこでラックは、Emotetの感染被害の調査を無料で実施する取り組みを始めました。 Emotetの概要 2021年11月中旬より活動が再開されたマルウェアEmotetは、大量なメールの発信により感染被害を拡大することで知られています。感染者のメール関連情報を悪用してなりすましや、メールタイトルを悪用し新しい感染拡大用のメールを作成、送信することで感染を拡大させています。2022年4月には、ショートカットファイルを添付する形態に変化しました。ショートカットファイルは、ウイルス対策製品の検知から逃れる為にパスワード付きZIPファイルに暗号化し添付されています。 2022年8月には新たなメール配信による感
「経済財政運営と改革の基本方針2022(骨太方針2022)」において、「医療DX推進本部(仮称)」を設置することが提示され、医療DXへの関心が高まっています。この政策では、医療情報の基盤整備を進めるとともに、医療機関等情報支援システム(G-MIS)やレセプトデータ等を活用し、病床確保や使用率、オンライン診療実績など医療体制の稼働状況の把握に取り組むとされています。 ※ 経済財政運営と改革の基本方針2022 - 内閣府 一方で、医療機関に向けたサイバー攻撃の被害が頻発するなど、コロナ禍で医療体制が疲弊している中でのセキュリティインシデントが懸念されています。IT技術を活用することで医療・介護分野における効率化や質の向上を目指す試みは歓迎すべきものですが、サイバー攻撃への対応の重要さも指摘されています。 このような背景を踏まえ、「医療現場の情報セキュリティ〜変化する医療ITとサイバー攻撃への備
こんにちは、デジタルペンテスト部の藤原です。 IoT機器やIoTシステムのセキュリティ上の問題を調査するIoTデバイスペネトレーションテストを提供しています。 お客様との打ち合わせで、私たちは「守りたいものは何ですか?」と必ず確認します。お客様からは、「機器に保管される情報」とお答えいただくことが頻繁にあります。この「守りたい情報」は、「暗号化して保管」すれば大丈夫でしょうか? この記事では、多くのIoT機器の調査に対応した実績から得た知見の1つをご紹介します。 守りたい情報とは? IoT機器で守りたい情報の例として、以下のものがあります。 パスワード 機器固有の識別番号 顧客情報 認証情報 これらを「機密情報」と呼ぶことにします。 機密情報を機器に保管する場合、どのように保管していますか? 暗号化して保管すれば大丈夫? IoT機器では、基板上のSoC(System-on-a-chip)や
主な調査内容は、個人向けに提供されているインターネットバンキングサービスにおける利用申し込み、ワンタイムパスワード(以下、OTP※1)の利用登録、送金・振込などの決済を伴う取引といった手続の中で採用されているユーザ認証の強度です。なお、今回の調査は、各銀行がホームページで公開している情報(ご利用案内等)を収集したものであり、ここから把握することのできない要素は加味されておりません。 ※1 ワンタイムパスワード(One Time Password):1度きり利用可能なものとして発行されるパスワードと、これを利用した認証の仕組み。 調査結果と、そこから見えてきた脆弱なポイント 調査結果 今回の調査結果については、以下の4つのポイントにまとめてお伝えします。 ①インターネットバンキングサービスの初回申し込み/登録時における認証 ②OTPの採用と、OTP利用登録時における認証 ③送金・振込など決済
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く