骨伝導イヤフォンの売上が2020年比で約2.5倍、19年比では約25倍に増えた──イヤフォン専門店「e☆イヤホン」を運営するタイムマシーンは11月25日、2021年の売上ランキング（1月1日から10月31日まで）の中で明らかにした。人気の理由は「テレワーク」という。 全カテゴリーを対象とした売上金額トップ10では3位、4位、7位を「AfterShokz」（アフターショックス）ブランドの骨伝導イヤフォンが占めた。売上数量トップ10でも第6位にランクインしている。 タイムマシーンは「耳をふさがない骨伝導イヤフォンはテレワーク中でも家族からの呼びかけや玄関の呼び鈴に気づける。構造上、耳穴が蒸れたり痛くなったりもしないことから人気となった」と話す。 骨伝導イヤフォンは、振動を頭蓋骨へ伝えて内耳にある蝸牛を刺激し、脳に音として感知させる。鼓膜を刺激しないため長時間の使用でも難聴を予防できる他、音漏れ

スピン経済の歩き方： 日本ではあまり馴染みがないが、海外では政治家や企業が自分に有利な情報操作を行うことを「スピンコントロール」と呼ぶ。企業戦略には実はこの「スピン」という視点が欠かすことができない。 「情報操作」というと日本ではネガティブなイメージが強いが、ビジネスにおいて自社の商品やサービスの優位性を顧客や社会に伝えるのは当然だ。裏を返せばヒットしている商品や成功している企業は「スピン」がうまく機能をしている、と言えるのかもしれない。 そこで、本連載では私たちが普段何気なく接している経済情報、企業のプロモーション、PRにいったいどのような狙いがあり、緻密な戦略があるのかという「スピン」に迫っていきたい。 ダウンタウンの松本人志さんが、「パワハラは必要悪」と発言したことが物議を醸している。 そもそもの発端は、お笑い芸人の狩野英孝さんが未成年者への淫行疑惑で活動自粛を発表、それを扱った『ア

こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。 突然ですが、読者の皆さんは自社の情報セキュリティをどのようにして評価していますか？　規模はさまざまだと思いますが、何かしらの対策や決まりごと、はたまた暗黙なルールや自制心などがあるのではないでしょうか。 情報セキュリティが担保できているかどうかを評価するためには「一定の基準」が必要になります。その基準を用意してくれるのが外部の監査機関です。 “史上最強”の情報セキュリティ監査――「SOC2」って何ですか？ セキュリティ監査と言えば、日本国内ではプライバシーマーク制度が有名ですが、これはあくまでも国内に限った話ですし、個人情報の取り扱いについてのみ言及されているもので、プライバシーマークを取得している企業だからといって、情報セキュリティが担保されていることの証明にはなりません。 そこでISOを

品川区は自治体情報セキュリティ対策の強化に向けて、情報漏えいを防止する新たなセキュリティ機能を構築した。 東京都品川区が標的型サイバー攻撃などによる情報漏えいを防止するための新たなセキュリティ機能を構築した。これを手掛けたNECが6月29日に発表した。 品川区が講じた新たな対策機能は、「インターネット分離」と「ファイル暗号化」の2種。インターネット環境とイントラネット環境を分離することでWebサイト閲覧によるウイルス感染を防止するとともに、さまざまな形式のファイルを自動的に暗号化し、保護することで意図しない情報の流出を防ぐ。これらの機能は、2016年4月から稼働を開始しているという。 品川区では、2015年にSDNによる全庁ネットワーク基盤を稼働させており、プライベートクラウドである全庁仮想化共通基盤も導入済みであることから、新しい機能を低コストで短期導入できた。 インターネット分離では、

世界105カ国に設置された防犯カメラ2万5000台を踏み台にして、大量のトラフィックを特定の標的に送り付ける分散型サービス妨害（DDoS）攻撃が仕掛けられる事件が発生した。セキュリティ企業のSucuriが6月27日のブログで報告した。 それによると、発端は宝飾店のWebサイトに対するDDoS攻撃だった。このWebサイトに毎秒3万5000件近いHTTPリクエストが送り付けられてダウンしていたといい、Sucuriが対応に当たって復旧させた。 ところが同サイトが復旧すると攻撃はさらに激化。ピーク時で毎秒5万近いリクエストの“洪水”状態が何日も続いたという。 Sucuriが詳しく調べたところ、この攻撃は防犯カメラのみで形成するボットネットから仕掛けられていたことが分かった。モノのインターネット（IoT）デバイスを踏み台にした攻撃は珍しくなくなったものの、防犯カメラのみを使ったこれほど長時間かつ大規

こうしたフィッシング攻撃によって漏えいしたデータの多くを認証情報が占める。このうち63％は、平易なパスワードやIT製品・サービスなどの初期設定パスワードなどだった。漏えいした認証情報の大半は、攻撃者によるハッキングやマルウェア感染、機密情報の搾取、マルウェアと攻撃者サーバとの通信といった行為に悪用されていた。 フィッシングメールは、標的型サイバー攻撃などの常とう手段とされ、国内で確認される事案でも手口の上位となっている。その対策では以前から「あやしいメールを開くな」といった呼び掛けが繰り返されてきたものの、こうした実情に「効果のない対策であり、メールを開いてしまうことを前提に別の対策手段を講じるべきだ」と指摘するセキュリティの専門家は多い。 報告書の内容を説明したグローバルセキュリティサービス／リスクチーム マネージングディレクターのブライアン・サーティン氏は、企業や組織の従業員にあやしい

パスワードが露呈したTwitterアカウントは凍結する措置を取り、アカウント保持者にパスワードのリセットを求めているという。 Twitterユーザーのパスワードなど3000万件あまりの情報が闇サイトで取引されていると伝えられた問題で、米Twitterは6月10日、被害に遭ったアカウントを凍結してユーザーにパスワードのリセットを促していることを明らかにした。 ただし闇サイトで出回っている情報は、Twitterのサーバがハッキングされて取得されたものではないと同社は断言。他の情報流出事件や、被害者のマシンに感染したマルウェアによって盗まれた可能性が大きいと指摘した。 今回流出した情報をTwitterの記録と照らし合わせた結果、一致するTwitterアカウントが多数確認されたという。このためパスワードが露呈したアカウントは凍結する措置を取り、アカウント保持者にパスワードのリセットを求めている。リ

JTBが標的型メール攻撃を受け、顧客のパスポート番号約4300件が漏えいした可能性があることが6月14日に分かった。漏れた番号を悪用し、パスポートが偽造されるリスクはあるのか――外務省旅券課に聞いた。 JTBから漏えいした可能性があるのは、顧客の個人情報約793万人分で、住所と氏名、性別、生年月日など。パスポート番号と取得日も一部含まれており、現在も有効なものは約4300件あったという。「この規模のパスポート番号の漏えいは過去に聞いたことがない」と旅券課の担当者は話す。 ただ、パスポート番号・取得日だけの流出なら「過剰な心配には及ばない」という。悪用で最も心配なのはパスポートの偽造だが、「番号と取得日という情報のみでパスポートが偽造される可能性はあまり高くないだろうと考えている」。 パスポートに記載されているのは、番号・取得日に加え、氏名、生年月日、本籍、本人サイン、顔写真――など。今回漏

経済産業省は6月10日、国内IT人材の最新動向と将来推計に関する調査結果を発表した。IT人材は現時点で17万人超が不足しており、今後人口減少に伴い深刻化すると予測。各国と比較して管理職クラスの割合や理系出身者が少ない傾向があり、年収も500万円前後に集中していることが分かった。 経済産業省によると、IT人材（IT企業と、ユーザー企業の情報システム部門に所属する人材の合計）は現在91.9万人なのに対し、17.1万人が不足していると推計。人口減少に伴い、退職者が就職者を上回ることで19年から先は減少に転じる一方、IT需要の拡大が見込まれるため、人材ギャップは悪化。IT市場が高率で成長した場合、30年にはIT人材数が85.7万人なのに対し、不足数は78.9万人に上ると予測している。 市場拡大が見込まれるセキュリティ分野の人材は現時点で28.1万人、人工知能などの先端分野は9.7万人と推計。セキュ

米CERT/CCによると、Office 2010～2013のインタフェースでは、マクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう公算が大きくなった。 Microsoft Wordのマクロ経由で感染するマルウェアが復活しているとして、米セキュリティ機関のCERT/CCが6月8日のブログで企業などに対策を促した。マクロが悪用される責任の一端はMicrosoft Officeのユーザーインタフェースにもあると指摘している。 マクロ経由で感染するウイルス「Melissa」が猛威を振るったのは1999年。しかしその後、マクロウイルスは影を潜めていた。これが再浮上した一因としてCERT/CCの研究者は、マクロに対するOfficeの警告表示の変化を挙げる。 Officeでマクロを実行するためには、まず複数の手順を経てマクロを有効にする必要がある。Office 97ではマクロの危

サイバー攻撃や内部不正などの調査ではログが手掛かりになるため、ログ管理製品の導入が注目を集める。製品形態ごとの実装パターンや価格などをIPAが取りまとめた。 情報処理推進機構（IPA）は6月9日、「企業における情報システムのログ管理に関する実態調査」の報告書を公開した。サイバー攻撃や内部不正などの重大インシデントの調査ではログが手掛かりなることから、ログ管理製品の適用や価格などの実態を調べている。 調査ではベンダーやサービス事業者20社とユーザー企業11社、有識者3人にインタビューを行い、ログの利用目的に応じた製品の適用の可否や、ログの活用ステージごとに必要となる製品の構成と導入価格といった実態を明らかにした。 例えば、標的型攻撃を原因とする情報漏えいでインターネットと社内システム間の不審な通信を検知しようとする場合、報告書で分類した4種類のログ管理製品全てを適用できるという。一方、リアル

あるイベントの講演で、日本の消費者のプライバシーとセキュリティ感覚に関する興味深い調査結果があり、出典元の“EMC Privacy Index 2014”を見てみました。 “EMC Privacy Index”は、世界15の国と地域、1万5000人の消費者を対象に、オンラインプライバシーに対する消費者の意識と動向を調査したものです。 さまざまな調査項目（質問項目）があるのですが、日本人の意識に焦点を当ててピックアップしてみると、その極端さが浮き彫りとなりました。 “自分のプライバシー”は誰が守るのか？ 日本人は調査対象の15カ国中、最もプライバシーに関して保守的であり、情報漏えいを恐れ、また政府の対応を最も不満足に思っているのです。しかしながら、個人個人のプライバシー対策に関しては、15カ国中最も対策を行っていないという調査結果となっています。 「プライバシーを一番気にしているが、プライバ

ビジネスSNSのLinkedInから流出したユーザーのパスワードなどの情報がインターネットで流通している問題に関連して、TumblrやMyspaceから過去に流出した情報も大量に出回り始めたことが分かった。 米Time傘下のMyspaceは5月31日、ユーザーのログイン情報が同社から盗まれ、オンラインハッカーフォーラムで5月28日ごろから提供されていることを確認したと発表した。 盗まれたのは、2013年6月11日より前にMyspaceの旧プラットフォームで作成されたアカウントのメールアドレス、ユーザー名、パスワードなどの情報。被害に遭ったアカウントについては全てのパスワードを無効にする措置を取り、ユーザーにリセットを促している。 Myspaceによれば、今回の情報流出については、LinkedInやTumblrに対しても攻撃を仕掛けたとされるロシアのハッカー「Peace」が関与を認めていると

「Microsoft Account」でユーザーが安易なパスワードを入力しようとすると、リセット画面が表示されて「推測されにくいパスワードを選んでください」と促される。 ビジネスSNS「LinkedIn」から会員のパスワードが流出してネットで出回るなど、ユーザー情報の大量流出被害が後を絶たない。それでも安易なパスワードを使い続けるユーザーが一向に減らないことから、米Microsoftは「Microsoft Account」などのサービスで、安易なパスワードを使えなくする措置を講じていることを明らかにした。 LinkedInの情報流出事件でも、「123456」などの安易なパスワードが多様されていた実態が伝えられている。攻撃側はこうした情報を分析して使用頻度の高いパスワードを洗い出し、その情報を使って総当たり式の「ブルートフォース攻撃」を仕掛けるなどしてパスワードを破ろうとする。 Micros

2012年にビジネスSNS「LinkedIn」のユーザーのパスワードなどの情報が流出した問題で、被害に遭ったユーザーは当初伝えられた650万人にとどまらず、1億1700万人を超えていたとみられることが分かった。LinkedInは5月18日、被害に遭ったアカウントのパスワードを失効させ、ユーザーにリセットを呼び掛けていることを明らかにした。 Motherboardなどの報道によると、闇市場でこのほど、2012年の事件で流出したLinkedInのユーザー約1億1700万人の電子メールとパスワードを含むアカウント情報が5ビットコイン（約2200ドル相当）で売りに出された。パスワードはSHA-1を使ってハッシュ化されているものの、強度を高めるためのソルトは行われていなかったという。 LinkedInは18日のブログで、新たに1億人を超すユーザーの電子メールとハッシュ化されたパスワードの組み合わせが

2015年あたりから猛威を振るっているランサムウェア。今回はランサムウェアの仕組みや一般にはあまり知られていない意外な歴史をひも解いてみたい。 実は昔からあったランサムウェア ランサムウェアとは、身代金を意味する「Ransom」と「Software」を組み合わせた造語であり、非常に迷惑な不正プログラムだ。いまはPCに保存されているファイルを勝手に暗号化して読み取れなくしてしまうタイプが流行っている。しかも、暗号化したファイルやロックされたPCに金銭を要求する文面と金額を表示し、ユーザーがその金額を支払わない（多くはビットコイン）と、データを復元できない。まさにランサムウェアの名前の通り、データを人質に身代金を要求する誘拐事件のような手口だ。 直近では暗号化したファイルの拡張子を全て「.vvv」にしてしまう「vvvウイルス」が非常に有名だが、それ以外にも「CryptLocker」「KeyRa

SAPは2010年に脆弱性を修正しているが、ユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けているという。 SAPのビジネスアプリケーションで5年前に修正された脆弱性が悪用されている形跡があることが分かり、米セキュリティ機関US-CERTが5月11日、セキュリティ情報を出して注意を呼び掛けた。日本を含む各国のグローバル企業がこの問題を突く攻撃の被害に遭っていたことも判明したという。 US-CERTやこの問題を発見したセキュリティ企業Onapsisによると、脆弱性はSAPのJavaプラットフォームに組み込まれた「Invoker Servlet」という機能に存在し、SAPが2010年に修正していた。ところがユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けていることが判明した。 この問題はSAPのEnterprise Resource

サイバーエージェントは5月11日、「Ameba」がリスト型攻撃を受け、7日までに約5万件の不正ログインがあったと発表した。不正ログインの試行回数は223万回にのぼるといい、全ユーザーにパスワードの変更を呼び掛けている。 リスト型攻撃は、流出したID、パスワードのリストを使い、別のサービスに不正ログインを試みる攻撃。Amebaは4月29日夜から断続的に攻撃を受けているという。 不正ログインを受けたアカウントのパスワードはリセットし、ユーザーに報告した。対象のアカウントは、ニックネームやメールアドレス、生年月日などが第三者に閲覧された可能性がある。クレジットカード情報はシステムで保有していないという。 同社は、不正ログインを受けていないユーザーも含め、全ユーザーにパスワード変更を呼び掛けている。他社サービスと異なるID・パスワードにしたり、パスワードに同じ文字の連続を使わない――などをすすめて

OpenSSLプロジェクトチームは5月3日、OpenSSLの更新版となるバージョン1.0.1tと1.0.2hを公開し、複数の脆弱性に対処した。 OpenSSLのセキュリティ情報によると、今回の更新版では危険度「高」の脆弱性2件、「低」の脆弱性4件を修正した。 悪用された場合、リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする可能性が指摘されている。 米セキュリティ機関SANS Internet Storm Centerによれば、3日時点でこの脆弱性を突く攻撃が出回っている形跡はないものの、中間者攻撃の脆弱性についてはコンセプト実証コードが公開されたという。 関連記事 （更新）Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開 悪用された場合に任意のコードを実行される恐れがある。 NTPに複数の脆弱性、更新版で修正 悪用