2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
今年のトップニュースはマイナンバーの紐付けに相次ぐトラブルで、政府が総点検本部を組織して取り組むことになったが、単に人的ミスとは片付けられない問題をはらんでいる。第4位のAIのセキュリティリスクや第10位のパスキーの採用など、新たな切り口のニュースも出てきてはいるが、全体としては相変わらずのニュースで既視感が強いのは、際立つような重大事件等がなかった証であろう。プラス思考で考えれば、これは日本のサイバーセキュリティへの取り組みはそこそこうまくいっている証左とみることもできる。サイバー空間が社会に浸透して一体化してきた結果、それなりに事件事故は起こるものの、安定してきていることを示していると安心してもいいのかもしれない。 しかし、本当だろうかと疑いの目を向けてみると、今年のニュースには、「だんご三兄弟」とも揶揄されそうな事件・事故が並んでいる。これらのニュースの背後を深掘りしてみると、サイバ
法令順守は企業にとって当たり前のこと。だが“当たり前”であるゆえに、単なる掛け声に終わってしまってはいないだろうか。 「2011年4月、ソニーのゲームや映画などのインターネット配信サービスから、のべ1億人以上の顧客情報が盗まれる事件がありました」。「とりわけ、ソニーほどの大企業が、情報流出の原因として『公表されている脆弱性を、システム管理者が認識していなかった』と認めたのは驚きでした。もとより、管理する個人情報が多くなればなるほど、いったん事故が起きたときの損害は甚大なものとなります」―― 昨今、オリンパスの損失計上先送り、大王製紙の元会長への貸付金問題など、企業の不祥事が相次いでいる。本書「コンプライアンスの実践知識」は、そうした状況にかんがみ、すっかり耳慣れた「コンプライアンス」という言葉の真意を振り返り、その取り組み方を基礎から解説した作品である。 とりわけ著者が強調するのは、コンプ
ボットネットを形成・管理するツールキットとして目される「SpyEye」が、勢いを増し続けている。ユーザーが数回クリックするだけで金銭を奪い取れるような手口を実現できるほど機能性、利便性が高い点が特徴だ。本稿では、改めてこのツールキットをじっくりと確認しながら、「なぜこのようなツールキットが作成されたか」「どのような変化をとげているのか」といった点について見ていく。 SpyEyeは、適正価格で入手しやすいというだけでなく、機能面でもツールキット「ZeuS」を凌駕する多彩さを備えている。SpyEyeのコンソール画面を見ると、以下のような機能があることが分かる。 「Create task for billing」:収集されたクレジットカードに対して、金銭の請求を行う「Bots Monitoring button」:配下にあるボットPCの情報(バージョンやオンラインになっているかなど)を確認する
第2回 本当の多層防御を考える:標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと (このコンテンツはマカフィー「McAfee Blog」からの転載です。一部を変更しています。) 昨年は国内企業や官公庁における特定の人物や情報をターゲットとしたサイバー攻撃が猛威を振るいました。企業活動がITに依存し効率化するに伴い、重要な戦略や研究データなど、知的財産と言われる電子化された情報は企業規模に問わず増えてきています。それらが何者かに詐取されれば、顧客や取引先を含む、企業へのダメージは計り知れません。 標的型サイバー攻撃が会社にとってどのような脅威なのか、また自社を守るために企業としてこれから何を優先的に取り組み、取るべき対策とは何なのか。 マカフィーでは、全4回にわたって標的型サイバー攻撃をテーマとした情報を、さまざまな視点からお伝えします。企業の重要情報や社員を守るための事前
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人情報処理推進機構(IPA)は、新たな潮流が見え始めたコンピュータへの脅威を調査分析し、「新しいタイプの攻撃」の概要や背景を報告している。また、対策を講じるための指針となる情報や資料を公開し、警戒を呼びかけている。 2011年の脅威の動向とともに、2012年にIT管理者やセキュリティ担当者が注意すべき点について、IPA セキュリティセンター 情報セキュリティ技術ラボラトリー 研究員の大森雅司氏と、同 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー 脆弱性分析エンジニアの相馬基邦氏に聞く。 不審メールだと気づかせない新たな攻撃が出現 --新しいタイプの攻撃とはどのようなものか 大森:特定の組織などを攻撃し、ウイル
Googleの抗議ページ:「Please don't censor the web!」として、「End Piracy, Not Liberty ? Google」のページへ誘導 MozillaはFirefoxのスタートページで抗議を訴えた 音楽共有サービス「Grooveshark」はトップページで反対を呼びかけて、「PROTECT IP Act Breaks the Internet」のサイトへリンク Wikipedia(米国)はサイトを閉鎖 WordPressはトップページで抗議、反対を呼びかけた。ビデオも用意。 BoingBoingはサイト閉鎖 全米家電協会(CEA)はトップページで反対を訴えた 電子フロンティア財団(EFF)はトップページで反対を訴えた 米議会で審議中の新著作権保護法案を巡る議論や抗議行動が最高潮に達している。オンラインにおける著作権侵害行為を防止する法案として、上院
大塚商会は1月18日、標的型攻撃でウイルスに感染したPCがボットネットによる不正通信が行っているかどうかを診断する「標的型攻撃ボットネット簡易検診サービス」の提供を開始すると発表した。価格は20万円(税別)。 同サービスは、標的型攻撃によってウイルス感染したPCが外部に対して行われる不正な通信をレポート化して感染の可能性が考えられる端末を洗い出し、今後のセキュリティ対策の方向性をアドバイスするというもの。 具体的には、顧客のネットワークに調査用PCを数日間設置し、社内のネットワークトラフィック情報を収集する。収集した情報は同社技術者が解析し、既存のウイルス対策で検知できないボットネットから発信される通信や外部の不正なサーバへの通信と考えられるトラフィックをレポートにまとめ、説明する。このレポートにより顧客企業は、「標的型攻撃で感染したボットネットがないか」「ネットワーク内部でバックドア型ウ
サイバーゼネコンに牛耳られた住基ネット 税金や年金など社会保障に関する個人情報を一つにまとめる「国民共通番号制度」導入に向けた検討作業が進んでいる。今年2月に大臣クラスによる「共通番号制度に関する閣僚級検討会」が発足、6月末には素案ともいえる中間報告が発表された。 それによると、使用する番号には3つの案がある。具体的には、(1)基礎年金番号、(2)住基ネット(住民基本台帳ネットワーク)上の住民票コード、(3)新たな番号の創設、だ。中でも、(2)の住民票コードを活用して新しい番号を割り振る案が最も有力視されている。 共通番号の利用範囲についても、「税金のみ」「税金+年金などの社会保障」「幅広い行政分野に利用」という3つの選択肢から絞り込んでいくという。 私はこの問題について、かねてからこう提唱してきた。国民全員にID番号を持たせ、税金や社会保障のみならず、運転免許証や健康保険証、パスポート、
夫婦であっても、お互いに独立した個人ですし、相手は自分の所有物ではありません。互いに家庭外の生活や秘密事項があって当然ですし、携帯電話の行動履歴や通信履歴は個人のプライバシーの一部です。 したがって、妻が夫の同意なしに携帯メールをチェックした場合、プライバシー侵害として損害賠償の原因となることがあります。これはケースにもよりますが、夫婦であろうが他人同士であろうが原則的には同じです。 もちろん、最近話題の行動監視ツール「カレログ」などを夫の携帯電話やスマートフォンにこっそりインストールして利用するのも違法になります。 その行動監視結果を不用意に第三者に公表した場合には、名誉毀損が成立し、損害賠償や処罰の対象となることもあるでしょう。 行動監視ツールは、 (1)本人の同意がなければ物理的にインストール不可能な仕様になっており、かつ、 (2)現に本人の同意があるのでない限り、違法な
2011年、特定の企業や組織を対象としたサイバー攻撃である「標的型攻撃」が次々と明るみに出た。大企業や防衛産業といった重要情報を握る企業だけでなく、そうした企業に関連する中堅・中小規模の企業や組織も標的になっており、決して他人ごとでは済まされない。 関連記事 標的型攻撃の“常とう手段”、送信者詐称メールにどう対処すべきか 標的型攻撃の被害も防ぐ? 「プレゼンテーション仮想化」の意外な効果 TechTargetジャパンは2011年12月5日から18日にかけて、TechTargetジャパン会員を対象に標的型攻撃対策に関するアンケート調査を実施した。ユーザー企業の標的型攻撃対策の現状はどうか。対策に当たっての課題は何か。本稿は、アンケート調査から明らかになった実態の一部を抜粋して紹介する。 調査概要 目的:TechTargetジャパン会員の企業における標的型攻撃対策について調査するため 方法:W
宇宙航空研究開発機構(JAXA)の職員の端末がコンピュータウイルスに感染し、情報が外部に漏えいした問題で、JAXAは1月13日夜に記者会見を開き、調査状況などについて説明した。 JAXAによると、コンピュータウイルスの感染原因は、2011年7月6日に職員の知人の名前で送り付けられたメールである可能性が高いという。このメールには飲み会への参加を誘う件名が付けられ、日本語で本文が記載されていた。PDFファイルも添付されていたという。同様のメールが他の職員数人にも送信されていたが開封はしておらず、当該職員は送信者名が知人だったことから添付ファイルを開いてしまった可能性があるという。メールの文章が途切れているなど不自然な点があり、送信アドレスは職員の知人のものではなかった。 同年8月11日に、職員の端末にインストールされているセキュリティ対策ソフトが不正サイトへの通信を検知した。JAXAでは直ちに
Naohiro Fujie @phr_eidentity IdPとしての信頼が。。。/ 日本年金機構によると、保険証発行の 際は、事業主が本人確認を済ませて申請 することが制度の前提と... <平田容疑者>斎藤容疑者の保険証 勤務先の整骨院が申請 http://t.co/Y6y7JeVA Masanori Kusunoki / 楠 正憲 @masanork 偽名の健康保険証をこんな簡単に取得でき、それを身分証として使えることに驚き。本人確認法制が未整備で、LoAを定義していない弊害は大きい。国民ID以前にやるべきことは多い / “【衝撃事件の核心】愛の証「290円のり弁」 逃避行17年「…” http://t.co/EvvJyEit
出典:日経コミュニケーション 2011年12月号 p.11 (記事は執筆時の情報に基づいており、現在では異なる場合があります) 防衛関連企業や国会議員など、国の重要機密を意図的に狙って仕掛けられたと見られるサイバー攻撃が発覚した。いずれも、知り合いや取引先を装ったメールなどを使って攻撃を仕掛け、最終的に重要情報を盗み取る「標的型攻撃」と見られる。無差別に送ってくるスパムメールと違い、受信者に関連のある内容を装うため、警戒していても被害を受けやすい。 今回は、こうした標的を絞った攻撃を受けた経験について尋ねた。まず、標的型攻撃と思われるメールを、社内で受信したことがあるかどうかを聞いたところ、「ある」という回答が6.6%、「おそらくある」という回答が8.7%と、合計15.3%に上った。 受信したことがないという回答が53.6%と最も多かったが、「分からない」という回答も31.1%とそれに次い
米司法省と米連邦捜査局(FBI)は1月19日、オンラインストレージサービスのMegauploadの運営者を、著作権侵害で起訴したことを明らかにした。同サービスは停止している。 Megauploadはアクセスできない状態 同省は、Megauploadでは映画や音楽、テレビ番組などの著作物が無断で配布されており、同サイトは1億7500万ドルを超える不正な収益を得て、著作権者に50億ドルを超える損害をもたらしたとしている。同サイトは登録会員数1億5000万人以上、広告収入や有料アカウントの会費により収益を得ていた。 同省は同サイトの運営にかかわる7人と2社を、著作権侵害のほか共謀、マネーロンダリングなどの容疑で起訴。運営者らは欧州やニュージーランド在住だが、現地警察の捜査で4人が逮捕された。捜査により約5000ドル相当の資産と18の関連ドメインを押収し、Megaupload.comにはアクセスで
米議会に提出されている著作権侵害防止法案と人気の高いファイルホスティングサイト「Megaupload」の運営者の起訴に憤慨したオンライン活動家たちが、米司法省(DOJ)やUniversal Music、全米映画協会(MPAA)のサイトを一時ダウンさせ、さらに多くのサイトを標的にしている。 TwitterアカウントのAnonDailyには、「Anonymousによるこれまでで最大規模の攻撃。5635人が#LOICを使ってさまざまなサイトをダウンさせたことが確認された」と投稿した。LOICとは、Anonymous支持者が標的のサイトに分散型サービス拒否(DDoS)攻撃を仕掛ける際に用いる「Low Orbit Ion Cannon」ツールのことだ。 Anonymous集団が使用するIRCチャットでは、DOJサイトがダウンしていることや、標的にすべきほかの米政府関連サイトが話し合われており、これら
(1) スマートフォンをめぐる現状と課題 (2) 関係者からのプレゼンテーション 野村総合研究所上席コンサルタント 北 俊一 氏 KDDI研究所研究主査 竹森 敬祐 氏 (3) その他
米連邦議会の上院と下院はそれぞれ1月20日(現地時間)、著作権保護法案の採決を当面延期すると発表した。18日にはWikipediaや米Googleをはじめとする多数のネット企業が、これらの法案がネットの自由を侵害するとして“ストライキ”を敢行した。 まず上院多数党院内総務のハリー・リード上院議員(ネバダ州選出・民主党)が、「最近の出来事を踏まえ」1月24日に予定されていたPIPA(PROTECT IP Act:知的財産保護法案)の採決を延期すると発表した。 これを受け、下院司法委員会委員長のラマー・スミス下院議員(テキサス州選出・共和党)も「われわれは批評家らのSOPA(Stop Online Piracy Act:オンライン海賊行為防止法)に関する懸念を真摯に受け止めた」とし、より広範な合意が得られるまで法案採決を延期すると発表した。同氏は「下院司法委員会は引き続き著作権保有者とインター
『LucidChart』はブラウザー上でさまざまな図を手早く簡単に作成できる作図ツールだ。豊富なテンプレートを元に、さまざまなシェイプをドラッグ・アンド・ドロップで配置。シェイプどうしを線でつないだり色分けすることで、専用ソフトにもひけを取らない本格的な作図を行なえる。
総務省は1月23日から、著作権侵害対策として、P2Pネットワークにおとりファイルを流してユーザーに注意喚起する実証実験を行う。 権利者団体からの注意喚起文を含むファイルを、テレビ番組などのコンテンツに見せかけたファイル名でWinnyとShareに流通させる。著作権侵害ファイルをダウンロードしようとするユーザーに、直接メッセージを届けることで注意喚起と啓発を狙う。実験は29日まで行う。 注意喚起文には、「著作権法上保護されたコンテンツの電子ファイルを著作権者の同意を得ることなく、インターネットを通じてアップロードすることはもちろん、違法にアップロードされたものだと知りつつダウンロードする行為も著作権法違反を構成しますので、即刻中止してください」といったメッセージが書かれている。 実験により、注意喚起ファイルがどのくらい実際にダウンロードされ、それらが著作権侵害ファイルのダウンロード抑止につな
2011年の「Global State of Information Security Survey」において、実に約4割もの回答企業の最高経営幹部やIT担当役員が自社のセキュリティへの取り組みが優れていると考えていることが分かった。 サイバー攻撃が頻発する中で 自信過剰なCIOが多すぎる この1年間に発生し、大いに注目された重大なデータ侵害の事例には事欠かない。被害にあった企業も多岐にわたる。例えば、セキュリティ・ベンダーの米国RSAセキュリティからHBゲーリー・フェデラル、防衛関連企業のロッキード・マーティンやノースロップ・グラマン、エンターテインメント大手のソニー、大手小売業者、ヘルスケア企業、マーケティング企業まで実にさまざまだ。 このようにサイバー攻撃は多発しているが、CIO Magazine米国版とCSO Magazine米国版が米国プライスウォーターハウスクーパース(PwC
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く