危険な公衆無線LAN(無料Wi-Fi) アカウント乗っ取りの手口 Trusteerでセキュリティ対策を考えよう!
島田市は28日、農林課の複数の職員がフリーメールを業務使用して不正アクセスを受け、2446件、約1800人分の個人情報が流出した可能性があると発表した。対象者への通知を始めているが、28日時点で漏えいに伴う被害は確認されていない。 市によると、原則フリーメールを業務で使わないとする内規があるが、他の3課でもフリーメールを使用していた。他の3課については「不正アクセスされた形跡がないことを確認した」として明らかにしていない。 市によると、農林課は2015年10月からフリーメールを使用。複数の職員がスキャナーなどで取り込んだ文書やデータをフリーメールで個々の執務用パソコンに送付していた。漏えいした可能性があるのは、住所や氏名、電話番号などが書かれた補助金申請書や関係団体の名簿、免許証など。金融機関の口座情報12件については、自宅訪問するなどして説明している。 18日に職員が不正アクセスの警告メ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます iPhoneやiPadなどのiOSデバイスを対象にしたウイルス対策アプリは存在せず、セキュリティアプリというくくりでなら存在する。その理由をカスペルスキーがブログでセキュリティソフトメーカーの立場から説明している。 同社によると、iOS向けのウイルス対策アプリが存在しないのは、Appleがセキュリティを核にしてiOSを設計しているためであり、同社がウイルス対策アプリは不要との立場から、App Storeで厳密な意味でのウイルス対策アプリの販売を認めていないためだという。 Appleの立場にカスペルスキーは、「マーケティング的には筋が通っている」として、その理由にiOSのアプリが隔離された独自のサンドボックス内で実行されることから、悪質な
「セキュリティ診断レポート」は、ラックが提供している診断サービスの結果を分析し、傾向や知見をまとめたレポートです。システム担当者や情報セキュリティ担当者に向けた、リスク管理に役立つ内容となっています。 セキュリティ診断レポート 2018 秋の内容 2018秋号は『標的型攻撃メール訓練「成功の秘訣」』と題して、訓練の事例やノウハウを紹介しています。メール訓練担当者や情報セキュリティ担当者が、自組織で訓練を実施する際にも役立つ内容となっています。 700組織の事例からみえた「メール訓練の傾向」 訓練担当者が知るべき「メール訓練のコツ」 目次 はじめに 「サイバー攻撃を疑似体験する」 標的型攻撃メール訓練という選択 傾向分析 700組織の訓練事例が示す 「メール訓練の効果」と「組織の改善点」 Point1 標的型攻撃対策の1つとしてメール訓練が定着 Point2 訓練継続により社員の理解度が向上
はじめに @no1zy_sec氏がnginxの設定ミスで起こる脆弱性の翻訳記事を先日公開しました。 検証する機会があったため、再現できる検証環境と確認手順をまとめました。 各脆弱性に関する詳細や対策については、翻訳記事または原文をご確認ください。 検証できる脆弱性一覧 以下の脆弱性を検証することができます。 nginxの設定ミスで起こるHTTP Splitting nginxの設定ミスで起こるパス トラバーサル nginxの設定ミスで起こるSSRF nginxの設定ミスで起こるレスポンスヘッダの出力不備 nginxの設定ミスで起こるMultiline response headers nginxの設定ミスで起こるreferer/origin検証の問題 nginxの設定ミスで起こるリファラの検証不備 nginxの設定ミスで起こるHostヘッダフォージェリ 原文 Hostヘッダフォージェリに関
A History of system-level offensive security researches: How is your system compromised by nation state hacking, APT attack はじめに 企業や個人に対するサイバー攻撃の頻度は年々増加の一途を辿っているが、これらはskiddyによる悪戯程度の物から、企業を標的とした高度な標的型攻撃、あるいは政府による諜報活動に至るまで多岐にわたっている。 特に大規模な組織や政府による綿密に練られたサイバー攻撃は、確実に目的を果たすために高度な手段が講じられる事が多い。 本記事では高度標的型攻撃や政府による諜報活動で用いられる手法の一つとして、"システムソフトウェアに対する攻撃"について紹介する。 これはオペレーティングシステム (OS) や仮想マシン、ファームウェアといった基盤システムを
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 なぜ日本でセキュリティの人材需要が高まるのか 2020年に東京でオリンピック・パラリンピックが開催される。このような世界的なイベントは、全世界に自らの主義主張などのメッセージを伝える良い機会と考える人々が一定数おり、非常に残念だが過去の大会ではテロなどが発生している例がある。そして、その対象が近年はサイバーの世界にシフトしている。ウェブサイトのサービス妨害や乗っ取りなどを実行することがそれであり、これらは「サイバーテロ」と呼ばれ、この言葉自体が完全に定着してしまった。
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
フリマアプリ「メルカリ」の安全性向上のために、セキュリティチームはプロダクト開発における技術的サポートだけでなく、社内メンバーのトレーニングや業務支援などを日々行っています。 そこで今回のメルカンは、2018年1月~3月期のAll for One賞を受賞した、同チームの八木橋優さん(@yagihashoo)にインタビュー。透明性の高い環境にいるからこそ直面する、セキュリティエンジニア特有の悩みとは…? 八木橋優(Yu Yagihashi) 大学卒業後、大手セキュリティベンダーに入社。セキュリティコンサルタントとして主に金融業界の技術的課題解決に携わる。2018年1月にメルカリへジョインし、メルカリ/メルペイ/ソウゾウの多岐にわたるセキュリティエンジニアリングに従事。 オープンすぎるメルカリにカルチャーショック ーまずはAll for One賞、おめでとうございます! 八木橋さんがメルカリへ
2018.06.07 コンサルティングサービス事業本部 サイバーインテリジェンスグループ 吉川 孝志、菅原 圭 今年もはや6月になりましたが、年始から毎月絶えず、警視庁・警察庁からマルウェア添付不審メールに対する注意喚起がSNSなどを通して日々行われています。 今回我々は、それら注意喚起されている不審メールのうち、今年4月から5月中頃に全国的に広く配布された不審メールを一つ選定し、今一度どのような感染が行われるのか調査しました。 調査対象とした不審メールを経由してユーザーが最終的に感染するのは「DreamBot(Ursnif/Gozi)」(ドリームボットまたはアースニフ/本記事では以降DreamBotで統一記載)と呼ばれるマルウェアであり、長年オンラインバンキングに関する認証情報を狙ったマルウェアとしてその名を轟かせてきたメジャーなマルウェアの一つです。 オンラインバンキングの取引における
日立製作所、日立インフォメーションアカデミー、トレンドマイクロが、サイバーセキュリティ分野での人材育成で協業。最初の取り組みとして「サイバー攻撃対応研修」を2018年10月に提供開始する。 日立製作所(以下、日立)と日立インフォメーションアカデミー、トレンドマイクロの3社は2018年6月6日、国内で不足するセキュリティ人材の育成加速を目的に、サイバーセキュリティ分野での人材育成に関する協業で基本合意書を締結したと発表した。 昨今、重要インフラや機密情報を標的にしたサイバー攻撃のリスクが高まっている一方、セキュリティ人材は2020年に国内で約20万人不足する(出典:経済産業省「IT人材の最新動向と将来推計に関する調査結果」)といわれており、その育成が急務であると3社は説明。協業により、各社のナレッジを相互活用して、セキュリティ人材育成に関する共同事業を立ち上げる。 具体的には、トレンドマイク
インフラストラクチャー部セキュリティグループの水谷 (@m_mizutani) です。 現在、クックパッドのセキュリティグループではセキュリティ監視を高度化に対して取り組んでいます。サービスに関連する部分の監視は以前からやってきたのですが、ここしばらくはそれ以外のインフラやオフィスで発生するセキュリティ侵害を検知することを目的とした監視基盤の構築に力を入れています。 昔は一般的にオフィス、インフラのセキュリティ監視と言えば、イントラネット内に閉じた環境でのログ収集から分析まで完結していたケースも少なくなったと考えられます。しかし現在だとインフラとしてクラウドサービスを多用したり、業務で使うツールをSaaSによって提供するという場面も増えているかと思います。このような状況だとセキュリティ監視のために見るべき箇所がばらけてしまうといったことが起こります。クックパッドでも積極的にSaaSやAWS
セキュリティ研究者向けのLinuxディストリビューションであるParrot System開発チームは5月21日、最新のメジャーリリース版となる「Parrot Security 4.0」を発表した。初となる公式Dockerイメージも公開している。 Parrot Systemは、DebianをベースとしたLinuxディストリビューション。セキュリティとプライバシーを特徴とし、ペネトレーションテストなどに利用できるツールを提供する。また、エディタや各種プログラミング言語のサポートなど開発スタックも備える。軽量、高速で、古いハードウェアやリソースが限られたハードウェアでも快適に動くとしている。 Parrot 4.0は、2016年に公開された3系に続くメジャーリリース。Linuxカーネルは4.16となり、AMDGPUの修正などの重要な機能強化を利用できるとしている。 本バージョンではDockerテン
■ 緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない Coinhiveを設置したことで警察の捜査を受けているとの情報提供が、複数寄せられています。 Librahack事件の再来です。 Coinhiveの使用は不正指令電磁的記録供用の罪に該当しないとするべきです。 警察庁は、Coinhive使用の不正指令電磁的記録供用罪該当性をよく吟味してください。 各都道府県の警察本部は、Coinhiveの使用を犯罪とすることが適正なのか、警察庁によく相談してください。 近日中*1に、なぜCoinhiveの使用を不正指令電磁的記録供用の罪としてはいけないのかについて、ここで論ずるつもりです。 同様の捜査の対象になった方は、私 blog@takagi-hiromitsu.jp まで情報をお寄せください*2。 *1 本務先の降って湧いた火の車業務の終了に目処がつき次第。 *2 なお、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く