安全なパスワードの長さは?その質問自体が間違っているかも
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます パスワードが長い方が安全であるのは、常識だと言っていいだろう。パスワードが長くなるほど、あり得る組み合わせが増える。つまり、自動化システムであらゆる組み合わせを試していくことでパスワードを破る「総当たり攻撃」にかかる時間も、それだけ長くなるわけだ。 セキュリティの専門家は、もはや8文字のパスワードでは短すぎ、ゲーミングPCに使われるGPUのような、簡単に入るハードウェアでも簡単に破れると考えている。例えばHive Systemsの計算では、NVIDIAの「GeForce RTX 4090」を使用した場合、8文字のアルファベット(大文字と小文字)、数字、記号のすべての組み合わせを調べたとしても1時間もかからないという。これは2年前に主流だ
カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」--Snyk調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 脆弱性管理プラットフォームを提供するSnykは、2022年のカスタムコード脆弱性Top10を発表した。 これによると、「JavaScript」「Java」「Python」「Go」「PHP」「Ruby」「C#」の7つの開発言語において、2022年によく見られたカスタムコードの脆弱性1位は「ディレクトリトラバーサル」だった。 ディレクトリトラバーサルは別名パストラバーサルと呼ばれる攻撃手法で、意図したフォルダー以外に格納されているファイルやディレクトリーにアクセスすることを目的とするものだ。 2位以下は、「クロスサイトスクリプティング」「ハードコードされた認証情報の使用」「オープンリダイレクト」「安全ではないハッシュ」「クロスサイトリクエス
12年前から存在する「Polkit」の脆弱性、主要な「Linux」ディストリビューションに影響
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2022-01-27 12:26 Linux関連のセキュリティ脆弱性がまたしても発見された。Linuxカーネルのfs/fs_context.cプログラムに潜んでいたヒープオーバーフローのバグという問題が発見、修正された後、一息つく間もなく新たなセキュリティの問題が見つかった。Qualysが、Polkit(旧称「PolicyKit」)のpkexecに存在する危険なメモリー破壊の脆弱性(CVE-2021-4034)「PwnKit」を発見したと報告している。 この脆弱性の悪用は簡単だという。そして、デフォルト設定の状態で利用できるこの脆弱性を悪用することで、一般ユーザーであっても脆弱なコンピューターで完全なルート権限が得られるようになる。Qualysは概略説明の中で、「この脆弱性
ランサムウェアの身代金支払い額、日本は平均で約1億2300万円
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ランサムウェア攻撃(マルウェアなどを使った脅迫型サイバー攻撃)の脅威が世界的にまん延する中、セキュリティ企業のクラウドストライクの調査によれば、直近1年で日本企業の52%がこの攻撃を経験し、32%が身代金を支払っていたことが分かった。支払い額は平均で117万ドル(約1億2300万円)だった。 調査は、8~9月に12カ国の企業のIT意思決定者やセキュリティ担当者にアンケート行い、約2200人(うち日本は200人)が回答した。結果を「2020年度版 CrowdStrikeグローバルセキュリティ意識調査」として発表している。 これによると、ランサムウェアの脅威が高まるとした回答者は、2019年の前回調査から12ポイント増えて54%に上った。1
セキュリティ教育機関で2.8万件のデータ侵害、フィッシングが原因に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ教育機関のSANS Instituteは、職員が受信したフィッシングメールを通じて一部に個人を特定可能な情報を含む約2万8000件のデータが侵害されたことを明らかにした。 SANSによると、データ侵害は8月6日に発覚した。電子メールの設定やルールの監査を行ったところ不審なメール転送が分かり、513通のメールが不審な外部のメールアドレスに送られていた。このメールには、氏名や企業名、肩書き、職場の電話番号、業種、住所、居住地域名などの情報を含むファイルが添付されていたという。この中にパスワードや金銭に関する情報は含まれていないとしている。 調査からデータ侵害は、1人の職員が受信したフィッシングメールが原因と判明した。攻撃者は外部
「Windows DNS Server」の深刻な脆弱性、DHSが緊急指令でパッチ適用を呼びかけ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米政府の国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁(DHS CISA)は米国時間7月16日、「Windows Server」に深刻な影響を与えるバグに対処するため、全ての政府機関へパッチ適用もしくは回避策を24時間以内に講じるよう指示する緊急指令(ED 20-03)を発表した。 Check Pointの研究者が発見したこの脆弱性は「SIGRed」と呼ばれ、緊急指令はMicrosoftが14日にリリースした月例セキュリティパッチ(Patch Tuesday)を施すよう、政府機関に呼びかけている。 このバグは、2003~2019年までにリリースされたWindows Serverの全バージョンに同梱されているDNS
「ブラックハット」も差別連想?--用語変更についてセキュリティコミュニティで議論に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報セキュリティコミュニティは、「ブラックハット」「ホワイトハット」という用語を放棄するよう求める声に、これらの用語は人種に対する偏見とは無関係だとして強く反発した。 この議論は、米国時間7月3日の夜に、Googleのエンジニアリング担当バイスプレジデントであり、AndroidやGoogle Playストアのセキュリティ責任者を務めるDavid Kleidermacher氏が、8月に予定されているセキュリティカンファレンス「Black Hat USA 2020」で行うはずだった講演を取りやめるとしたことをきっかけに始まった。 Kleidermacher氏は講演を取りやめると発表したツイートの中で、情報セキュリティ業界に対し、「ブラックハ
ハッカーがデバイス攻撃時に最初に試すパスワードとは
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 弱いパスワードやデフォルトのパスワードを使うのは間違いであることを示す証拠が、また1つ増えたと言っていいだろう。ハッカーがデバイスを乗っ取ろうとする時、実際に最初に試すのがその種のパスワードであることが、調査によって明らかになった。 セキュリティ会社のF-Secureは、世界中の国に「おとりサーバー」(ハニーポット)を配置し、サイバー攻撃のパターンを調べている。これらのサーバーに入ってくるトラフィックの大半は、不正アクセスの標的とするサーバーを見つけるためにインターネットをスキャンしているハッカーが、おとりに掛かった結果として集まったものだ。 同社によれば、これらのハニーポットに対するトラフィックは、2019年に大幅に増加したという。同
英、キャセイパシフィック航空に約6900万円の罰金--顧客情報流出で
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 香港に本社を置く航空会社Cathay Pacificは、顧客情報の保護を怠ったとして50万ポンド(約6900万円)の罰金を科された。 英国の情報コミッショナー事務局(ICO)の発表によると、Cathay Pacificは2014年10月から2018年5月の間、同社のコンピューターシステムに適切なセキュリティ対策を講じておらず、結果として約940万人の顧客情報への不正アクセスが発生した。そのうち英国人は11万1578人だった。ICOは、Cathay Pacificがシステムのセキュリティ対策を怠ったために、乗客の個人情報(氏名、パスポート番号、IDカード番号、生年月日、郵便番号、Eメールアドレス、電話番号、渡航履歴など)への不正アクセスが
CISOむしばむストレスや燃え尽き症候群--平均在職期間はわずか26カ月
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 新たに行われた調査によれば、最高情報セキュリティ責任者(CISO)は強いストレスを受けている。 調査では、回答者の多くが、強いストレスによってメンタルヘルスの問題や身体的な健康問題、人間関係の問題、薬やアルコールの乱用などの問題を抱えていると答えており、燃え尽き症候群を経験したと答えたケースもあった。CISOの平均在任期間は26カ月だった。 Nominetの調査で明らかになった数字は、CISOが置かれている厳しい現状が悪化していることを示している。情報セキュリティの世界では、こうした問題があることはよく知られていたが、これまではほとんど無視されてきた。しかしこの問題は、企業内で情報セキュリティ関連の役職の重要性が高まるにつれて、徐々に顕
アップル、157ページに及ぶ詳細なセキュリティガイドを公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Appleは、「プラットフォームセキュリティ」について詳しく説明した157ページの長大な文書を公開した。この文書では、ハードウェアと生体認証のセキュリティ、システムセキュリティ、暗号化、アプリのセキュリティ、サービスのセキュリティ、ネットワークのセキュリティに関する同社の取り組みが紹介されている。 この新しい文書は、新しいセキュリティ技術への投資や一般に開放されたばかりのバグ報奨金プログラムを含む、Appleのセキュリティ強化策の一環だ。これまで、同社のバグ報奨金プログラム(報奨金の最高額は150万ドル:約1億6400万円)でバグを報告できるのは、承認されたセキュリティ研究者だけだった。 同社は新しい文書で、セキュリティ分野のさまざまな
NGINX強制捜査めぐる非難受け、Ramblerが刑事告訴を撤回へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Ramblerは、オープンソースコミュニティやロシア国内の技術コミュニティからの激しい反発を受けて、世界的に利用されているウェブサーバーの開発元であるNGINX, Incに対する刑事告訴を撤回することになったという。 同社は今後、民事訴訟でNGINXのソースコードの所有権を追求する考えだとRamblerの広報担当者は米ZDNetに述べた。 この決定は、現地時間12月16日午前に開催されたRamblerの取締役会で下された。この取締役会は、ロシア最大の銀行の1つであり、Ramblerの筆頭株主(持ち株比率46.5%)でもあるSberbankの求めで開かれたものだ。 Sberbankが招集した取締役会に先立つ週末には、ロシアの技術コミュニテ
中国IT業界の急激な変革で消えるエンジニアの悲痛な叫び
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 中国のミニブログ「微博(Weibo)」で、36歳になるデータベース管理者が投稿した悲痛な書き込みが、多くのITエンジニアの間で共感された。今回の記事は、変化の激しい中国ITに携わって直面した問題をつづったこの文章を紹介したい。 上海でデータベース管理者(DBA)をやっている。妻と娘がいる。36歳になるまで仕事は順調だったと思っている。働いている企業は小さく、人間関係もうまくいっている。中国の中でもプログラマーの所得が高いことは知られているが、DBAはその上流工程なので所得もいい。“BAT”こと百度(Baidu)、阿里巴巴(Alibaba)、騰訊(Tencent)ほどはすごくはないが十分だ。不動産の価格が毎年高くなる上海で、早めに家を買え
米金融大手Capital One情報漏えいの容疑者、さらに30社超からデータ盗難の疑い
米金融大手Capital Oneへの不正アクセスの罪に問われているハッカーPaige A. Thompson容疑者は、さらに30社以上の企業からデータを盗んでいた疑いがあるという。米国時間8月14日に裁判所に提出され、米ZDNetが入手した新しい書類の中で、検察官はそう述べている。 米当局は、Thompson容疑者の勾留期間延長を求める意見書で、「2週間にわたる政府の捜査から、Capital Oneのデータの窃盗が、Thompson容疑者による犯罪行為の一部にすぎないことが明らかになった」と述べている。 「Thompson容疑者の自宅の捜査中に同容疑者の寝室から押収されたサーバーには、Capital Oneから盗まれたデータだけでなく、他に30社以上の企業や教育機関などから盗まれた数テラバイトのデータもあった」(同意見書) 検察によると、「データは種類も量もかなりばらばら」だが、現在確認で
グーグル、「robots.txt」プロトコルの仕様標準化を推進
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2019-07-03 11:39 Googleは米国時間7月1日、Robots Exclusion Protocol(REP)が将来安定したインターネット標準になることを願って、「Google Robots.txt Parser and Matcher Library」をオープンソースコミュニティに向けて公開した。REPはrobots.txtを使う際の仕様で、その解析やマッチングに使われてきたC++のライブラリなどが公開されている。 REPはウェブ管理者がサイトを巡回するクローラーの行動を制御するためのものだ。考案者のMartijn Koster氏は、自分のウェブサイトがクローラーの巡回にあい、サーバーの負荷を減らすために1994年に最初の標準を開発した。 テキストファイルにはクローラーへの指
Windowsではパスワードの定期的な再設定は不要--MSがガイドラインの改定へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます パスワードに有効期限を設定することは、ユーザーアカウントを保護する方法としては時代遅れであり、有害無益だとさえ言えるかも知れない。30日か60日ごとにパスワードの変更を迫られることは、新しいパスワードをひねり出して覚えておかなければならないユーザーにとって頭痛の種である上に、セキュリティの向上にもほとんど役に立たない。 今ではMicrosoftもスタンスを変え、「Windows 10」と「Windows Server」のセキュリティベースラインに含まれていた、パスワードに期限を設定すべきであるという推奨事項を削除することになった。米ZDNetのLiam Tung記者が別の記事でも書いた通り、Microsoftは、新しいガイドラインのドラ
グーグル、大規模クラウド障害に関する詳細な情報を明らかに
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間6月6日、2日に発生した大規模障害についての詳細な技術情報を公表した。障害は約4時間にわたって続き、米国東部などで「Google Cloud」を利用する大手IT企業が提供するサービスや、「YouTube」「Gmail」などの同社が提供するサービスが影響を受けた。 すでに4日にGoogleのエンジニアリング担当バイスプレジデントBenjamin Treynor Sloss氏はブログ記事を公開して顧客に謝罪し、設定ミスに端を発するこの問題の修正に、同社が目標としていた数分間よりも「はるかに長時間」を要したことを認めた。「全体としては、YouTubeは1時間で視聴が2.5%減少し、Google Cloud Storage
実際に悪用される脆弱性はわずか?--研究者が調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 脆弱性の悪用について状況を明らかにすることが強く求められている中、先週発表された新しい調査結果でその一端が明らかになった。過去10年間に発見されたすべてのセキュリティ脆弱性のうち、実際にどれほど悪用されたのかが判明した。 バージニア工科大学の研究者らによるこの調査では、2009~2018年の間に発見された合計7万6000件の脆弱性のうち、実際に悪用されたのはわずか4183件だったことが分かった。調査はこの種のものとしてはこれまでで最も広範なものだと考えられている。 さらに、パブリックウェブサイトでの概念実証(PoC)エクスプロイトコードの公開とそれを悪用する試みが開始されることとの間に相関関係がないようだということも明らかになった。 研
Stack Overflowがセキュリティ侵害を公表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Stack Overflowは米国時間5月16日夜、セキュリティ侵害を受けたことを明かし、17日にはその調査について最新情報を発表した。これによると、ハッカーは2週間前にStack Overflowに侵入し、ユーザーアカウントのデータへのアクセスに成功したという。 調査内容が発表されたことで、2週間前に同社のサーバー上で何が起きたのかがある程度明らかになった。Stack Overflowは16日、非常に短いメッセージを投稿して、同社の本番システムで深刻なセキュリティ侵害が発生したことを発表し、多くのユーザーを困惑させた。 Stack Overflowは当初、ハッカーがユーザーデータにアクセスしたことを示す証拠はないと述べていたが、17日
オラクルが富士通データセンターでのクラウド「間借り」運営を解消へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米Oracleおよび日本オラクル(以下、オラクル)は、国内で自社運営のデータセンター(以下、DC)を間もなく開設するのに伴い、富士通の国内DC内に設置しているクラウドサービス「Oracle Cloud」を利用する顧客企業に対し、自社DCへ移行するように交渉を進めていることが、関係者の話で分かった。 3年近く前に大々的に発表された両社のクラウド事業提携 オラクルは2019年の初め、国内でOracle Cloudを提供するための自社DCを、「今年(2019年)半ばに東京、年末までに大阪に開設する」(日本オラクルのFrank Obermeier 取締役 執行役社長CEO)と明言していた。これに伴い、現在富士通の国内DC内に設置しているOrac
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
