連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
記事:平凡社 パレスチナ・イスラエル問題に関するオンラインセミナー「パレスチナ連続講座」に登壇する東京経済大学教授の早尾貴紀さん 書籍情報はこちら 《前編はこちらから》 ホロコーストを経験したユダヤ人とイスラエル 「ホロコーストを経験したユダヤ人が、どうしてジェノサイドをする側になるのか」という質問をよく受けます。そのことについて、2023年に日本でも公開された『6月0日 アイヒマンが処刑された日』という映画を例にお話しします。ナチスの戦犯アドルフ・アイヒマンは1960年に逮捕され、62年にイスラエルで処刑されました。映画ではその死体を焼却する炉を作る過程が描かれます。映画に登場する鉄工所の社長、作業員、臨時に雇われた少年工は、それぞれ、「イスラエル国民」を構成する3階層のユダヤ人グループに属しています。 1つめのグループは、イスラエルの建国運動を中心的に担った人たちです。ヨーロッパ出身で
本日10/23発売の「絵で見てわかるLinuxカーネルの仕組み」という本を自分含め6人で書きましたので、宣伝します。 絵で見てわかるLinuxカーネルの仕組み 作者:市川 正美,大岩 尚宏,島本 裕志,武内 覚,田中 隆久,丸山 翔平翔泳社Amazon 本書はIT技術のさまざまな分野について視覚的に理解するための翔泳社の「絵で見てわかる」シリーズの中の一冊です。 www.shoeisha.co.jp このシリーズは、これまでに「ITインフラの仕組み」、「Webアプリ開発の仕組み」、「マイクロサービスの仕組み」など、さまざまなものを扱ってきました。本書は「Linuxカーネル*1の仕組み」を扱います。Linuxカーネルを絵から理解するというコンセプトの本です。 Linuxカーネルは Red Hat Enterprise LinuxやUbuntuといったLinuxディストリビューションの核(カー
NTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」|BUSINESS NETWORK
<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたちNTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」 NTTグループ サイバーセキュリティ戦記 セキュリティ サイバー攻撃を疑似的に仕掛け、ターゲット組織のサイバーセキュリティに関する弱点を見つけ出すレッドチーム。NTTグループでは、2019年からグループ内向けのレッドチーム「Team V」が活動している。NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第18回に登場するのは、Team Vの精鋭メンバーの1人であるNTTセキュリティ・ジャパンの羽田大樹だ。 対象組織の社員が標的型メールに引っ掛かり、一般社員のPCが攻撃者に掌握されてしまった――。これが、NTTグループのレッドチーム「Team V」によるサイバー攻撃演習の前提
デジタルペンテスト部の北原です。 今回は、Windowsでのツール開発者にとっては重要なハンドルの内部について解説します。 Windowsでは、ファイルやプロセスから始まりすべてのリソースはオブジェクトとして扱われ、ファイルの削除やメモリの確保にはハンドルを取得する必要があります。 ツールやアプリケーションの開発者にとっては、日常的にハンドルを操作する機会がありますが、通常の利用者にとってはあまり意識するものではありません。 本記事では、Windows OSでのハンドルの役割と、OS内部でどの様に管理されているのかについて解説します。 記事の構成は以下の通りです。 ハンドルの役割とアクセス権限 ハンドルへの情報の問い合わせと操作 カーネル空間でのハンドル管理 応用例1 - オブジェクトをロックしているプロセスの特定 応用例2 - カーネルモードルートキット 本記事は以下の読者層を想定してい
WordPress開発に14年以上参加してきたエンジニアが離脱を表明、「Automatticの周囲にカルトが形成されている」
WordPressのオープンソース開発プロジェクトであるWordPress.orgの所有者でAutomatticのCEOでもあるマット・マレンウェッグ氏の発言をきっかけに、WordPress.orgならびにAutomatticがウェブホスティングサービスを提供するWP Engineと激しい論争を繰り広げ、争いの舞台はついに法廷にまで発展しています。そんな中、WordPress.orgに14年以上にわたって貢献してきたエンジニアのクリス・ウィーグマン氏が、WordPressとの決別を宣言しました。 So Long WordPress - Chris Wiegman https://chriswiegman.com/2024/10/so-long-wordpress/ ウィーグマン氏はセキュリティ技術企業のSuperFileでエンジニアリング担当バイスプレジデントを務めています。同時に14年以
ヨーロッパ問題としてのパレスチナ問題――ガザのジェノサイドと近代500年の植民地主義 早稲田大学文学学術院教授・岡真理 | 長周新聞
京都大学で13日、自由と平和のための京大有志の会などの主催による公開セミナー「人文学の死――ガザのジェノサイドと近代500年のヨーロッパの植民地主義」が開催された。昨年10月7日から始まったパレスチナ・ガザ地区に対するイスラエルの破壊と殺戮が苛烈さを増すなか、人文学の視点からこの暴力の歴史的根源に迫った。オンラインも含め約600人が参加した。今号では、岡真理・早稲田大学文学学術院教授による基調講演「ヨーロッパ問題としてのパレスチナ問題」の内容を紹介する。 ◇ ◇ 本セミナーは、この4カ月間、今なおガザで生起している出来事――イスラエルによるジェノサイド(大量殺戮)、ドミサイド(大量破壊)を、この暴力の根源に遡って理解することを企図している。 昨年10月7日、ガザ地区――マスメディアでは「イスラム組織ハマス」あるいは「イスラム原理主義組織ハマス」が実効支配するガザ地区と説明されるが
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 北海道科学大学に所属する研究者らが発表した論文「ChatGPTを用いたマルウェア実装」は、コーディング作業を極力せずに、GPT-4を用いてマルウェアが作れるかを実際に検証した研究報告である。 先行研究では、高度なセキュリティ技術を持つ研究者がChatGPTの脱獄(ジェイルブレーク)を行うことでマルウェアを作成できることを示した。今回は、GPT-4に対して、脱獄を行わずにプロンプトによる指示を出すだけで、セキュリティ技術に熟練していない人でも高度なマルウェアを作成できるかを検証する。 具体的には、以下の4種類のマルウェアをPythonで作成する
『情報セキュリティの敗北史』を読んだ - chroju.dev
https://www.hakuyo-sha.co.jp/science/security/ 面白かった。タイトル通り歴史をつづった本であり、純粋な技術書というよりは読み物としての性格が強い。具体的なセキュリティインシデントも当然登場するが、その技術背景が詳しく掘り下げられるわけではない。「SQLインジェクション」「カーネル」など、専門家にとっては基本的な用語にも注釈がついているので、むしろ専門外の方でも広く読めるようにした文芸書に近いのかもしれない。ちょっと違う気はするが、『失敗の本質』情報セキュリティ版、みたいな趣だろうか。 歴史の範囲はENIACの誕生から2020年前後までであり、およそ現代における電子計算機の発展の歴史を概観する形になる。複数ユーザが1つのコンピュータを共有するタイムシェアリングシステムの確立、数多のコンピュータがネットワークで接続されたインターネットの誕生、急速に
メール送信者への警鐘:DMARC がもはや「Nice to have」と言えなくなった理由 - Cisco Japan Blog
この記事は、Security Product Marketing の Leader Gabrielle Bridgers によるブログ「Return to Sender: Why DMARC is no longer a “nice to have”」(2023/11/27)の抄訳です。 Eメールの脆弱性は依然として広がっており、高度なエンタープライズ DMARC ソリューションの必要性が高まっています。DMARC ソリューションによって、シスコのお客様は高いレベルの実装とサポートを受けながら自社のドメインを迅速に保護し、最小限の労力でEメールセキュリティのニーズを効率的に管理できるようになります。 先月、Google と Yahoo はそれぞれ Eメールの配信に関する新たな一連の要件(英語)を発表しました。この発表は Eメールセキュリティの重大な変化を示し、業界が認めるベストプラクティス
www.itmedia.co.jp KDDIは11月7日、セキュリティ企業のラックに対し、普通株式の公開買付(TOB)を実施し、完全子会社化すると発表した。買付価格は1株あたり1160円、買付総額は約246億円におよぶという。 昨日のSCSKによるネットワンシステムズの買収も驚いたが、こちらの件も驚いた。これはもうブームになりつつあるのではないか。専業で手を動かせる中小規模の会社はどんどん大型の資本に吸い込まれていく気がする。 それだけ、人の手を確保するのが競争になっている。競争に買ったところで単価は値上がりするだけなので、もう企業ごと押さえた方がいい。それはその通りである。この件はセキュリティー技術、である。 何かデジタルで新しく構築する際には、必ずセキュリティー的な担保が必要となってくる。そこをサボればどうなるか。安く仕上げることはできるかもしれないが、その後何かあった時のリスクが顕在
大規模検証環境でのインシデント対応演習について - NTT Communications Engineers' Blog
こんにちは、NTT Comイノベーションセンターの小崎です。検証網を活用したセキュリティ技術の評価、運用などを担当しています。この記事では、イノベーションセンターで運用する検証網内でのインシデント発生を想定したインシデント対応演習についてご紹介します。 目次 目次 検証網について インシデント対応演習の目的 演習検討の進め方 検討のステップ 参加者について シナリオ検討の前提条件 演習の準備 演習 演習からの課題 まとめ 検証網について イノベーションセンターでは、新技術の評価などを目的とした全社検証網を運用しています。この検証網は国内に約30の拠点を持ち、1000台以上のノードなどによって構成されています。 インシデント対応演習の目的 インシデント対応演習は、大きく2つの目的で検討、準備を進めました。 自組織でインシデント(恐れ)が発生した際の連絡体制を確認する、インシデント対応者からの
ASM導入検討を進めるためのガイダンス(基礎編) #本ドキュメントの目的 #「Attack Surface Management(ASM、攻撃対象領域管理、攻撃表面管理)」への注目が高まるとともに、様々なサービスやドキュメントが登場しています。 しかし、「ASM」には複数の取り組み方法が存在し、用語の定義やドキュメントを解釈するのが難しく、「ASM」を活用したい組織が目的に沿ってツールやサービスを見分けることが難しくなっています。 本ドキュメントは、「ASM」に関連する用語や活用方法を理解し、目的に沿ったサービスを選定することや、既存のドキュメント(様々な組織が作成したドキュメント)を読み解く上で助けとなる情報の提供を目的としています。 執筆者一覧 #執筆者 #大塚 淳平(NRIセキュアテクノロジーズ株式会社)洲崎 俊(三井物産セキュアディレクション株式会社)高江洲 勲(三井物産セキュアデ
MEIJコメンタリーNo.8 明治学院大学法学部政治学科准教授 溝渕正季 はじめに アメリカとイスラエルはしばしば「特別な関係(Special Relationship)」にあるといわれることがある。この言葉を最初に用いたのはジョン・F・ケネディ大統領であった。1962年12月、彼はイスラエルのゴルダ・メイア外相に会い、こう告げたといわれる。「アメリカはイスラエルと特別な関係を築いている。かつて、そして今も英国とそうであるように」。 実際、アメリカはかつても現在も変わらず、イスラエルにとって大恩人である。1948年にイスラエルが建国されて以来、アメリカは外交面でも経済面でも一貫してイスラエルを力強く支持してきた。イスラエルは第二次世界大戦後、アメリカの対外援助を最も多く受けた国であり、これまでにおよそ3,100億ドル(インフレ調整後)の経済的・軍事的援助を受けている。1970年代から200
SLSA (Supply-chain Levels for Software Artifacts) について - SIOS SECURITY BLOG
SLSA (Supply-chain Levels for Software Artifacts) についてSBOMとの関係を調べるうちにいくつかわかったこと・翻訳などをまとめておきます。 SLSAとは SLSAとはGoogleが提唱しているソフトウェアのサプライチェーンにおける完全性を確保するためのセキュリティフレームワークです。SLSAの主な目的は、ソフトウェアの開発から顧客が使用までの一連の流れであるサプライチェーンを保護し、改ざんやインシデントからソフトウェアを保護することです。SLSAのフレームワークは、成熟度によってレベル1から4に分類されており、各段階ごとにソフトウェア・サプライチェーンの安全性を強化する事項が定められています。 SLSAが必要な理由 ここら辺はGoogleの「What is SLSA?」の翻訳+抜書きになりますので先にご承知おきください。 ソフトウェア開発に
情報処理推進機構(IPA)は4月8日、「セキュリティ・キャンプ2024 全国大会/ネクスト/ジュニア」のエントリー受付を開始した。IPAとセキュリティ・キャンプ協議会(東京都千代田区)が主催し、8月12日から17日の6日間、東京都府中市にて開催する。エントリーは5月13日まで、応募課題の提出は5月20日まで。参加費は交通費、宿泊費を含み無料。 同イベントは情報セキュリティに関する高度な技術教育と倫理教育を目的に、審査に通過した日本国内の学校に在籍する学生や生徒、児童を対象に実施。それぞれ募集年齢やレベルの異なる「全国大会」「ネクスト」「ジュニア」の3種類で募集する。 全国大会は、セキュリティ分野に興味を持ち、将来同分野で活躍したいという意志を持つ13~22歳の学生、生徒が対象。高度な情報セキュリティ技術やモラル、自律的な学習意識の習得機会を提供する。2004年度のスタート以来、23年度まで
「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab
はじめまして、中島明日香(@AsuNa_jp)です! 私は14歳の頃にハッカーに憧れてセキュリティの世界に飛び込んで以来、セキュリティひと筋なキャリアを歩んできました。大学でセキュリティを学び、卒業後も研究開発者として10年以上さまざまなセキュリティの研究開発に携わってきました。 本記事では、私自身のキャリアの歩みについて紹介します。今までどのような仕事に携わってきたかだけでなく、大学卒業時の就職や一昨年に経験した転職など、キャリアの節目においてどのように考え、選択してきたのかについても触れています。 私のこれまでの歩みが、皆様が自分らしいキャリアを歩む参考になればたいへん嬉(うれ)しく思います。 ▲ Black Hat Asia 2023のロックノート(閉会時基調講演)となるパネルセッションに登壇する筆者(左から2人目) ハッカーに憧れてセキュリティの世界に飛び込む 「世界を広く良くした
AppleのアシスタントAI「Apple Intelligence」に使われるAI処理サーバー「Private Cloud Compute」の安全性への取り組みをAppleが説明
Appleが2024年6月11日に発表したAIアシスタント「Apple Intelligence」は、デバイス上で処理しきれない高負荷タスクをAppleのサーバー上で実行します。AppleはAI処理実行サーバーを「Private Cloud Compute(PCC)」と名付けており、PCCの安全性への取り組みを公式ブログで説明しています。 Blog - Private Cloud Compute: A new frontier for AI privacy in the cloud - Apple Security Research https://security.apple.com/blog/private-cloud-compute/ Apple IntelligenceはiPhoneやMacなどのApple製デバイスに統合されるAIアシスタントで、通知の要約やコンテンツの生成など多
スマートフォン向けのセキュリティ製品を提供するiVerifyが、2017年9月以降に出荷されたGoogleのPixelデバイスには、非常に高い確率でリモートコード実行やリモートパッケージインストール機能を含む過剰なシステム権限を持つAndroidパッケージ「Showcase.apk」が含まれていると指摘しています。 iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world 2024年初頭、iVerifyのセキュリティツールであるEDR
Appleがついに日本で「iPhoneのタッチ決済」を提供開始、専用デバイスや決済端末なしのiPhoneのみで手軽にタッチ決済を導入可能に
2024年5月16日、AppleがiPhoneさえあればタッチ決済を導入できるようになる「iPhoneのタッチ決済」の提供を日本でも開始したと発表しました。これにより小売店や事業者は、Squareリーダーのようなクレジットカード読み取りデバイスや決済端末なしで、簡単にタッチ決済を導入可能となります。 Apple、iPhoneのタッチ決済を日本で提供開始 - Apple (日本) https://www.apple.com/jp/newsroom/2024/05/apple-introduces-tap-to-pay-on-iphone-in-japan/ 「iPhoneのタッチ決済」で誰でも簡単に非接触決済に対応する方法 - YouTube 「iPhoneのタッチ決済」は、iPhoneを使ってシームレスかつ安全に非接触決済のクレジットカードやデビットカード(一部の非接触決済カードは利用でき
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTデータグループは12月15日、「2023年サイバーセキュリティ動向総ざらいとNTTデータグループの取り組み紹介」と題するプレス向け説明会を開催した。 まず、技術革新統括本部 システム技術本部 サイバーセキュリティ技術部 エグゼクティブ・セキュリティ・アナリストの新井悠氏が「2023年のサイバーセキュリティ概況総括と将来予測」というテーマで説明を行った。同氏は、NTTデータグループ内の情報セキュリティの事案の対応や、その対応のための人材育成を担当する立場である。 また、NTTセキュリティマスターという資格も保持しているとのこと。国内に約30万人の従業員を擁するNTTグループの内部で実施されているセキュリティ資格認定の最上位がNTTセ
「このような悲劇が二度と繰り返されることがないよう祈ります」 2021年8月6日、広島市で行われた平和式典に駐日イスラエル大使が参加し、イスラエル大使館の公式Twitter(現X)は、このようなメッセージを投稿した。その前年も、さらに前の年にも、ほぼ同様の文言が発信されている。 そして今、イスラエルは、ガザでの凄惨な虐殺を続けている。 イスラエル駐日代表は2009年から広島市の平和式典に参加し、今年も出席の意向だ。ネット上ではXを中心に、招待を取り消すよう「ランチタイム・ツイデモ」が連日行われている。他方、パレスチナ暫定自治政府の駐日代表部には、今年も招待状が送られていない。 長崎市は、8月9日に行われる平和祈念式典について、イスラエル駐日大使への招待状送付を「保留」としている。一方、これまでと同様、パレスチナ代表部には招待状を送るとした。 広島市の対応はなぜ問題か。中東地域研究を専門とす
当社子会社(SCSK株式会社、証券コード9719)によるネットワンシステムズ株式会社(証券コード7518)に対する公開買付け開始に関するお知らせ
2024 年 11 月 6 日 各 位 会社名 住友商事株式会社 代表者名 代表取締役 社長執行役員 CEO 上野 真吾 (コード番号:8053、東証プライム) 問合せ先 広報部長 長澤 修一 (TEL:03-6285-3100) 当社子会社(SCSK 株式会社、証券コード 9719)によるネットワンシステムズ株式会社(証券コード 7518)に対する公開買付け開始に関するお知らせ 当社連結子会社である SCSK 株式会社が、ネットワンシステムズ株式会社の普通株式等を対象とす る公開買付けを開始することを 2024 年 11 月 6 日に決定いたしましたので、お知らせします。 SCSK株式会社の概要 所在地 東京都江東区豊洲三丁目2番20号 代表者の役職・氏名 代表取締役 執行役員 社長 當麻 隆昭 事業内容 ソフトウェア開発、 情報処理サービス、 通信ネットワークサービス、 パッケージ・
サイバーセキュリティの近未来|NSA 2023 Cybersecurity Year in Reviewから読み解く今後の動向
2023年12月19日、NSA(National Security Agency:アメリカ国家安全保障局)が「NSA 2023 Cybersecurity Year in Review[i]」を公開しました。この資料では、NSAの2023年のサイバーセキュリティに関連する取り組みや成果を紹介しています。 NSA自身の1年の成果報告書のような位置づけの資料ですが、この内容を読み取ることで、世界でも最先端のサイバーセキュリティ技術を有するアメリカが、現在どこで戦っていて、どのような未来に注目しているのかなどの貴重な情報が得られます。本ブログでは、このレポートの内容から気になるポイントをいくつかピックアップしてご紹介しつつ、個人的な感想も交えながら、そこから読み取れるサイバーセキュリティ業界の動向について解説します。
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 技術解説 > 対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] セキュリティ セキュリティ記事一覧へ [技術解説] 対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] 送信ドメイン認証対応は“推奨”から“義務”へ 2024年1月16日(火)増田 幸美(日本プルーフポイント チーフ エバンジェリスト) リスト メールを介したサイバー攻撃や詐欺行為が増加の一途をたどる中、防御策として、送信ドメイン認証技術「DMARC(ディーマーク)」の重要性が増している。利用者の多いGmailとYahoo!メールの場合、2024年2月1日から送信ドメイン認証を義務付けるなど、メールの安全な送受信に不可欠な仕組みとして、行政機関やさまざまな業界で対応が急務となっている。本稿では前編・後編の2回
![対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] | IT Leaders](https://cdn-ak-scissors.b.st-hatena.com/image/square/96d4ca9cd7ed88ff561f31b92299e984c5190754/height=288;version=1;width=512/https%3A%2F%2Fit.impress.co.jp%2Fmwimgs%2Fc%2Fb%2F400%2Fimg_cbe1b76a4b618539eed1820bbb741c6a277629.png)
303人のセキュリティリーダーを対象とした調査に基づき、Gartnerが2024年4月22日(現地時間)に発表したレポートによると(注1)、全世界の組織のほぼ3分の2がゼロトラストセキュリティ戦略を完全または部分的に導入しているという。 ゼロトラストセキュリティはいいことばかりではない? 導入のデメリット ゼロトラストセキュリティを完全または部分的に導入している組織のうち、約80%の企業が成功を測定するための戦略的な指標を持っている。そのうちの約90%はリスクを測定するための指標も持っている。 Gartnerの調査によると、ゼロトラストセキュリティ構築後、5社に3社はコストが増加すると予測し、5社に2社はスタッフの人数が増加する可能性が高いと予測している。 悪質なサイバー攻撃の急増を受けて、ゼロトラストセキュリティ戦略を採用する企業が増えている。テレワークやハイブリッドワークなど、1週間を
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの松本隆志です。今回は、オープンソースの自動マルウェア解析システムの1つである「CAPEv2」について紹介します。 注意: 本ブログの内容の悪用は厳禁です。本ブログの内容を使用したことによって発生する不利益等について筆者はいかなる責任も負いません。 CAPE(Config And Payload Extraction)[1]は、Cuckoo Sandbox [2]を基に開発されたマルウェア自動解析システムの1つです。CAPEは、これまでのCuckoo Sandboxと異なり、マルウェアのペイロードや設定情報の抽出を行う機能が追加されていることが特長です。もともとはPython 2をベースにCAPEv1 [3]の開発が進められていましたが、2019年10月20日にPython3に対応したCAPEv2が公開されました。現在はこちらのバ
iPhoneとAndroidでは、どちらのほうがセキュリティがより強固で、プライバシーが保護されているのか? 長年にわたるこの問題についてサイバーセキュリティ技術を扱うメディアのCybernewsが実際に検証し、結果を報告しました。 ↑セキュリティ能力がより高いのは… 今回の検証では、ドイツのApp StoreとGoogle Playストアからトップ100のアプリを、それぞれ工場出荷状態にリセットしたiPhone SEとAndroidスマートフォンにインストール。その後、両方のスマホをアイドル状態にしておき、外部サーバーにアクセスする頻度と、そのサーバーがどこにあるかをチェックしています。 その結果、iPhoneは1日あたり平均3308クエリ(問い合わせ)を外部サーバーに送信したのに対し、Androidは2323クエリを送信。つまり、前者が後者より42%多く情報を外部とやり取りしていたこと
Windows 10や11の「Smart App Control」と「SmartScreen」をすり抜けて警告なしでプログラムが起動できる不具合の存在が判明
Windowsに搭載されているセキュリティ機能である「Smart App Control」と「SmartScreen」に、セキュリティ警告やポップアップ表示なしでプログラムを起動できる設計上の欠陥があることが、セキュリティ企業のElastic Security Labsによって発見されました。 Dismantling Smart App Control — Elastic Security Labs https://www.elastic.co/security-labs/dismantling-smart-app-control Researchers Uncover Flaws in Windows Smart App Control and SmartScreen https://thehackernews.com/2024/08/researchers-uncover-flaws-
Microsoftは5月20日(米国時間)、「New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog」において、Windows 11に追加予定の新しいセキュリティ対策を発表した。これは「Secure Future Initiative」の取り組みに基づいたWindowsのセキュリティ強化プログラムとされる。 New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog Windows 11に組み込まれる新しいセキュリティ対策 Microsoftが発表したWindows 11
こんにちはantakaです。 5月16日、米IT大手アップルが日本で新たに導入するサービス「Tap to Pay on iPhone」を発表しました。 これにより、iPhoneが決済端末として直接使用できるようになります。 この記事では、この新機能の利点や影響について、ポジティブな面とネガティブな面の両方を踏まえながら、読者の関心を引く形で解説していきます。 ポジティブな要素 1. 簡単な導入と高いモビリティ 2. 安全でシームレスな決済体験 ネガティブな要素 1. 限られた端末の使用 2. 初期投資の削減効果が限定的 3. ポイントの二重取りが困難に 4. クレジットカード手数料は依然発生 まとめ ポジティブな要素 まずは、この新機能がもたらすポジティブな要素を見ていきましょう。 1. 簡単な導入と高いモビリティ 新機能はiPhone 10以降のモデルで利用可能です。 iPhoneを持っ
先日の記事で、取得している情報セキュリティ管理士の更新研修を受けたことを書きました。 研修のなかの話で印象的だったのは、情報セキュリティのインシデントのはじまりを90年代のバブル崩壊後に設定していたことです。 実際、1990年代に相次いだリストラの中で、退職者による経営情報や個人情報を売り渡す事件が多発したようです。 確かにあの頃を思い返すと、理不尽なリストラが多くありました。 わたしは会社のシステム部門に所属してました。経営が危うくなり、会社がスリム化をはかるため、組織の再編を行いました。その一環で、それまでは「部」であった、システム部門は「課」に格下げされました。そしてなぜかシステム課は経理部の配下におかれました。 とても違和感がありました。 確かに経理業務はシステムの重要な対象領域です。でも、一部でしかありません。当時わたしが関わっていたプロジェクトは、工場の生産管理業務を新たなシス
CrowdStrike問題を受けセキュリティベンダーがWindowsカーネル外で活動できるようにすることをMicrosoftが検討
2024年7月に発生したCrouwdStrikeによるWindows PCの大規模障害を受けて、Microsoftは2024年9月10日にセキュリティサミットを開催しました。サミットの中でMicrosoftは「アンチウイルス監視用の特別なプラットフォームを作成し、セキュリティ製品をカーネルから引き離す」ことについて議論したことを明かしました。 Taking steps that drive resiliency and security for Windows customers | Windows Experience Blog https://blogs.windows.com/windowsexperience/2024/09/12/taking-steps-that-drive-resiliency-and-security-for-windows-customers/ Micro
AIセキュリティ 情報発信ポータル
本ポータルはAIの開発者や利用者の皆様に対し、AIに対する攻撃手法と防御手法を発信することを目的としており、AIの開発時・利用時に認識しておくべきセキュリティのポイントを体系的に纏めていきます。なお、本ポータルは、総務省様の「5G端末等におけるセキュリティ確保のための技術課題の整理と情報発信」の一環として運用されています。 近年、ディープラーニングをはじめとする様々な機械学習を活用したAI*1の発展に伴い、日本国内においても顔認証システムや防犯システム、自動運転技術など、様々な分野でAIの社会実装が進んでいます。 その一方で、AIに対する攻撃手法も数多く生まれており、「AIを防御する技術」の確立が急務となっています。 しかし、AIに対する攻撃手法は既存システムに対する攻撃手法とは根本的に原理が異なるものが多く、従来のセキュリティ技術のみで対策することは非常に困難です。 そこで本ポータルでは
脆弱性管理の重要性については皆さん理解しているかと思いますが、これをどう進めればいいのか高い解像度を持って実行できている企業は多くない気がします。こうした中、待望のドキュメントが登場したので紹介します。 筆者は、最新のセキュリティ技術にも関心を持っていますが、やはり重要なのは「基礎」だと考えています。基礎は地味で目立たず、皆知っているという前提になっていることが多いため、メディアでも大きく取り上げられません。 例えば個人的には大変重要であると思っている「バックアップ」などは特集されることはまれですし、「最小権限の原則」などはセキュリティの基礎の基礎だけに、既に知っているということになっています(実際は別として……)。これはセキュリティ分野に限らない現象だと思っていますが、もはや「ゼロトラスト」の概念や「脆弱性(ぜいじゃく)管理」すら、基礎とされつつあり、注目が薄れているように思えます。 筆
こんにちは!セキュリティサービス部セキュリティ開発グループの今村です。 今回のブログでは、私が2023年8月に IPA に報告した脆弱性についての内容、また報告から公表までの経緯や脆弱性の探し方などをご紹介します。 <免責事項> 本記事は脆弱性情報を扱う性質上、攻撃手法の一部に触れますが、違法行為を助長するものではなく脆弱性の発見により安全なソフトウェアが増えることを目的としております。 本記事に掲載した行為を自身の管理下にないネットワーク・コンピューターに行った場合は、攻撃行為と判断される場合があり、法的措置を取られる可能性があります。脆弱性の検証を行う場合は、くれぐれも許可を取ったうえで自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 はじめに 自己紹介 私は、23卒として SBテクノロジーに入社し、普段は主に、セキュリティ監視に使用するログ分析基盤の担当エンジニア
プロフェッショナルTLS&PKI 改題第2版
紙書籍とPDFをお読みいただけます。PDFのみ必要な方はこちらからPDF単体が購入できます PDFは購入後すぐにダウンロード可能です 紙書籍は通常は注文から2~3営業日で発送(年末年始や大型連休などは1週間から10日程度の配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください) TLSとPKIの実像を理解し、サーバとアプリを安全にする Ivan Ristić 著、齋藤孝道 監訳 488ページ B5判 ISBN:978-4-908686-19-1 電子書籍の形式:PDF 2023年12月4日 第2版第1刷 発行 現代生活を支えるインターネットでは暗号化が不可欠です。しかし実際にサーバやアプリで通信の暗号化を適切に利用するには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルであるTLSとそのWebでの応用、さらには基盤となる信頼モデルであるPKIについての幅広い知識と
Hack The Boxで、実践的なペネトレーションテスト技術者のスキルを学ぼう | サイバーセキュリティ情報局
ペネトレーションテストは、システムの脆弱性やセキュリティ上の問題点を洗い出すための侵入テストです。またHack The Boxは、ペネトレーションテスト技術者に必要な知識やスキルを、実際に手を動かして、楽しみながら学べるサイトです。脆弱性がどのように攻撃に利用されるのか、といった具体例を理解できるため、サイバーセキュリティ技術をこれから学びたい方にもお勧めです。 ペネトレーションテストは「侵入テスト」とも呼ばれており、その名のとおり対象のシステムに対して実際にサイバー攻撃の各種手法を用いて侵入を試みることで、システムの脆弱性やセキュリティ上の問題点を洗い出すテスト手法だ。そのため、ペンテスター(ペネトレーションテストの技術者)は、さまざまな攻撃手法に関する知識やスキルを習得する必要がある。 今回紹介する「Hack The Box」は、実際に手を動かして、ペンテスターに必要な知識やスキルを学
情シスは1人じゃない コーポレートエンジニアや情報システムに興味のある人同士の情報共有、相談等を目的としています。 現在4,000名を超える参加者が集い、PCの箱の処分方法から最新のセキュリティ技術まで、情シス特有の知見や悩みなど生の声を共有しています。 スタンプを付ける、シェアする、繋がる、質問する、答える、など。自由に情シスSlackを活用し楽しんでください。 ・相手の同意を得ていない状態でのダイレクトメッセージ、資料送付等の営業活動は禁止です。 ・宣伝はお控えください。ただし、情シス業務に関連するようなプロダクトやコミュニティ内で話にあがる分野、製品については節度を守って投稿下さい。 詳しくは 情シスSlackに参加後、#all-readmeをご覧ください。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
イスラエルはどうしてあんなにひどいことができるの? 早尾貴紀——後編|じんぶん堂
「絵で見てわかるLinuxカーネルの仕組み」という本の宣伝 - 覚書
Windowsカーネルから見るオブジェクトハンドル - ラック・セキュリティごった煮ブログ
学生が生成AIでマルウェアをつくってみた――ほぼコーディングせず脱獄もなし 北海道科学大が検証
KDDIがラックを買収した件 - orangeitems thinks that...
ASM導入検討を進めるためのガイダンス(基礎編)
なぜアメリカのイスラエル支持はかくも盤石なのか?|公益財団法人 中東調査会
「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開 | ScanNetSecurity
IPA、情報セキュリティを学べる合宿開催 小学生~大学院生対象、参加費は無料
世界中の何百万台ものPixelデバイスに影響を与えるAndroidの脆弱性が発見される
NTTデータグループ、2023年のサイバーセキュリティ概況総括と対策解説
広島平和式典、イスラエル参加はなぜ問題か?――「全ての国を招待すべき」の落とし穴
対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果[前編] | IT Leaders
ゼロトラストはいいことばかりではない? Gartnerが指摘するデメリット
オープンソースの自動マルウェア解析システム「CAPEv2」のご紹介
iPhone対Android、セキュリティはどっちが上? 明白な差が判明 | GetNavi web ゲットナビ
Windows 11の新しいセキュリティ対策を発表、NTLMの非推奨など
iPhoneが決済端末に!新機能「Tap to Pay on iPhone」の本当の価値とは? - smileブログ
組織の情報セキュリティと「ヴィジランテ」 - 叡智の三猿
知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう
実録 脆弱性発見から報告まで 〜CVE 保持者になりたくて〜 | SBテクノロジー (SBT)
corp-engr|コーポレートエンジニアコミュニティ 通称:情シスSlack