YouTubeの非公開動画をGoogle従業員が閲覧 任天堂のゲームがリークされた経緯、海外メディアが報じる
YouTubeに非公開でアップした情報がリークされる――2017年に発生した任天堂「ヨッシークラフトワールド」の米Redditへのリーク投稿に関して、YouTubeで働いていたGoogleのTVC従業員(TVC:臨時・出向・契約社員を指す略称)が関与していたことが、Googleの社内文書から判明したという。米404 Mediaが報じた。 このリークは、ゲーム展示会「E3」で、任天堂が2017年に発表予定だった「ヨッシークラフトワールド」(2019年公開)の情報が、E3よりも前にRedditに投稿されたというもの。リーク画像には「Yoshi for Nintendo Switch - Official Game Trailer - Nintendo E3 2017」という動画のサムネイルがMacBookの画面に写っており、アドレスバーにはYouTubeの管理用URLが表示されていたという。
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
ソフトウェア開発におけるサプライチェーンセキュリティの実践 - NTT Communications Engineers' Blog
この記事は NTTコミュニケーションズ Advent Calendar 2023 の14日目の記事です。 こんにちは、イノベーションセンター所属の志村です。 Metemcyberプロジェクトで脅威インテリジェンスに関する内製開発や、Network Analytics for Security (以下、NA4Sec)プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 ソフトウェア開発プロセスにおけるセキュリティに関心が高まりつつあり、サプライチェーンセキュリティという言葉も広く使われるようになってきました。 またMetemcyberプロジェクトではSBOMに関する取り組みを行っていますが、SBOMもサプライチェーンセキュリティの分野での活用が期待されている概念となります。 そこで本記事ではサプライチェーンセキュリティとはそもそも何か、具体的にどのような対策が存在するのか
デジタル庁: 官公庁のガバメントクラウド利用申請システムを Cloud Run、Firestore でフル サーバーレスに実現 | Google Cloud 公式ブログ
デジタル庁: 官公庁のガバメントクラウド利用申請システムを Cloud Run、Firestore でフル サーバーレスに実現 「デジタル社会の形成に関する内閣の事務を内閣官房と共に助け」、その「行政事務の迅速かつ重点的な遂行を図る」(デジタル庁設置法より)ことを任務として 2021 年 9 月に設立されたデジタル庁。行政のデジタル変革を推進する役割のほか、国の情報システムの一部を預かり、利便性を高めた形で国民に提供するという役割も担っています。そんなデジタル庁で 2022 年 12 月からスタートした Google Cloud を用いたガバメントクラウド利用申請システムのプロジェクトについて、同庁クラウドユニットの皆さんに伺いました。 利用しているサービス: Cloud Identity, Cloud Run, Firestore, Cloud Logging, Cloud Monito
ブラウザのパスワード保存機能は使っても大丈夫か?
Malwarebytesは11月2日(米国時間)、「Should you allow your browser to remember your passwords?|Malwarebytes」において、ブラウザにパスワードを記憶させるべきか否かについて説明した。一般的に認証に用いるパスワードは強力で一意なものが推奨されており、比較的安全にこれを実現するためにパスワードマネージャが利用される。ブラウザにもパスワードマネージャと呼ばれるパスワードの管理機能があるが、Malwarebytesはこのブラウザのパスワードマネージャの是非について考察している。 Should you allow your browser to remember your passwords?|Malwarebytes Malwarebytesはブラウザのパスワードマネージャのメリットとデメリットとして、以下を挙げてい
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった
全国的に普及している二次元コード(QRコード)を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。 全国的に普及している二次元コード(QRコード)を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。従来の「フィッシング」詐欺は、メールやショートメールから不正サイトにリンクさせて個人情報を入力させる手口。一方で、メール内の不正サイトへのURLリンクをQRコードに置き換えたケースは「クイッシング」とも呼ばれ、情報セキュリティ会社は警戒を呼びかけている。 決済情報の入力を要求 学習院大は、2023年5月から配布している「大学案内2024」に掲載されていた「受験生応援サイトintro!」のQRコードが、不正なリンク先に転送されていることが判明したと10月30日に発表。正しいURLを直接入力す
ChatGPTによる「フィッシング詐欺に遭遇した人」をテーマとした物語 数年前、私はフィッシング詐欺の被害者になりました。それは私の人生において一番後悔している奇妙なの一つです。 ある日、私は普段通りにメールをチェックしていました。 そこで私が利用している銀行からの通知が届いていました。 タイトルには「緊急のセキュリティ確認が必要です」と書いてあります。本文には「あなたのアカウントに不正アクセスの試行がされました。アカウントのロックを解除するために以下のリンクをクリックしてください」という内容が書かれていました。 私は一瞬の判断ミスで、恐れていたセキュリティ問題を解決しようと思いました。その瞬間、恐れと焦りが私を支配しました。そして、メールに書かれたリンクをクリックしました。 その瞬間、私の人生は一変しました。 リンクをクリックすると、偽の銀行ウェブサイトに誘導されました。 ウェブサイ
警察庁は2023年9月27日、「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について」という注意喚起を発表しました。同庁はこれまで、状況証拠がある場合でも、こうした情報を公開しないケースが多かったのですが、今回は、国名を明記した形での注意喚起となっています。これは無視できるものではありません。 今回の注意喚起は警察庁やNISCだけでなく、何と米国連邦調査局(FBI)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)など、米国政府機関の名前も連なっています。その上で、中国を名指ししたものとなっているのですから穏やかではありません。 ここで名指しされているサイバー攻撃グループBlackTechはかなり前から日本をターゲットに活動しており、2020年1月に発生した三菱電機への不正アクセスにも関与していたとされています。セキュリティベ
安易すぎるパスワード「admin」、IT管理者も使っていた 管理者用パスワードランキング、スウェーデンの企業が公開
組織のシステムをサイバー攻撃から守る対策を徹底すべき立場にあるIT管理者の多くが、実はエンドユーザーと同じくらい安易なパスワードを使っていた――スウェーデンのサイバーセキュリティ企業のOutpost24の調査でそんな実態が明らかになった。 Outpost24は法人向けセキュリティサービス「Threat Compass」を通じて1月~9月に収集した管理者パスワード180万件のデータを分析した。その結果、最も多かったパスワードは「admin」で、180万件のうち4万件を超えていた。 Threat Compassを通じて収集した管理者パスワードの1位は「admin」に。以降、トップ10までには、2位「123456」、3位「12345678」、4位「1234」、5位「Password」、6位「123」、7位「12345」、8位「admin123」、9位「123456789」、10位「adminis
米Microsoftは5月2日(現地時間)、コンシューマー向けのMicrosoftアカウントで、パスワードレス認証「パスキー(Passkey)」を用いたサインインのサポートを開始した。2日より、Microsoft 365やCopilotなど、MicrosoftのアプリケーションおよびWebサイト(デスクトップ、モバイル)のサインインにパスキーが使用可能になった。数週間以内に、パスキーを使ったモバイルアプリへのサインインもサポートする予定である。 同社は2015年、Windows 10でWindows Helloを使ったサインインのサポートを開始し、FIDOセキュリティキー、Microsoft Authenticatorアプリなど、パスワードレスへの移行を推進してきた。2021年9月には、Microsoftアカウントからパスワードを削除し、パスワードなしで使うオプションの提供も開始した。 パ
Amazon Web Services(AWS)は、セキュリティの強化の一環として、AWS Organizations管理アカウントのrootユーザーでマネジメントコンソールにサインインする場合、2024年半ばから多要素認証を必須にすることを明らかにしました。 Not using MFA? You should be. Starting in 2024, we're enhancing our MFA requirements to further strengthen our customers' default security posture. Learn more in this blog post. #securebydesign #MFA #security #protect #shieldsuphttps://t.co/2nBtdxFoxj pic.twitter.com/E
中国政府と関係のあるハッカーらがアメリカの水道・ガス・電気などを攻撃して停止させた上に公益事業や交通システムも標的にしていると安全保障当局者らが警告
中国の人民解放軍所属のハッキンググループが、アメリカの電力・水道・通信・交通システムなど主要インフラを破壊するための工作を行っているとワシントン・ポストが報じています。 China’s cyber intrusions have hit ports and utilities, officials say - The Washington Post https://www.washingtonpost.com/technology/2023/12/11/china-hacking-hawaii-pacific-taiwan-conflict/ ワシントン・ポストによると、ハワイ州の水道施設やアメリカ西海岸の主要港、石油やガスのパイプラインといった約24もの重要組織のネットワークに、中国人民解放軍に所属するハッカーが侵入した形跡が確認されているとのこと。こうした侵入は、アメリカと中国の間で戦
この記事は BASE Advent Calendar 2023 の10日目の記事です。 ちわ BASEから代わりまして、PAY株式会社(BASE株式会社グループ会社)のクリス @x86_64 です。数か月前、絵を買うよう執拗に勧めてくる人に言いくるめられ、額縁入りのライザのアトリエ複製原画だのデジタルアートブック特典付きのアーマード・コア6だのを入手しました。 この記事は私がセキュリティエンジニアとして日頃感じることや昔話、将来のイメージについてろくろを回しまくり、なんか宣誓を立てるものです。少しはPCI DSS v4.0の話もしますがあとは自分の話しかしません。 PAY株式会社とは BASE株式会社グループ会社で、同社をはじめとして国内のスタートアップなど多くの加盟店にクレジットカード決済サービス「PAY.JP」を提供する会社です。クレジットカード情報を加盟店のみなさまに完全に代わって安
日本中央競馬会(JRA)の公式スマートフォンアプリ「JRAアプリ」が、認証基盤にOracle Cloudのサービスを採用した。IDaaS「OCI Identity and Access Management」を活用し、100万人規模の利用を想定した大規模認証基盤を構築したという。日本オラクルが1月18日に発表した。 JRAアプリは、出馬表が見られる機能やレースのライブ配信を視聴できる機能などを提供するアプリ。2023年末の時点で約70万人が利用しているという。システム開発に当たっては、日本オラクルやNECグループのNECネッツエスアイが協力した。 認証基盤の選定に当たっては、多要素認証機能の搭載可否やアクセス集中を想定したスケール性能、データ保存の地理的な条件などが要件だった。一連の要件を満たした上で、政府のクラウドサービス登録制度「ISMAP」に登録されていることや、国内のリージョンがあ
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月26日(米国時間)、「CISA, NCSC-UK, and Partners Release Advisory on Russian SVR Actors Targeting Cloud Infrastructure|CISA」において、英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)およびその他の米国、国際パートナーと協力して共同アドバイザリー「SVR Cyber Actors Adapt Tactics for Initial Cloud Access | CISA」を発表した。 このアドバイザリ
情シス300人に聞く、過去に遭遇したクラウド関連トラブル 2位は「利用しているサービスにサイバー攻撃→漏えいリスク」 1位は?
情シス300人に聞く、過去に遭遇したクラウド関連トラブル 2位は「利用しているサービスにサイバー攻撃→漏えいリスク」 1位は? 過去に遭遇したことのあるクラウド関連のトラブルは?──セキュリティ評価サービス「Assured」を提供するアシュアード(東京都渋谷区)は8月16日、企業の情報システム担当者300人を対象に実施した調査の結果を発表した。1位は「アクセス権限の誤設定」(17.7%)だった。 2位は「利用しているサービスがサイバー攻撃を受け、自社の機密情報にも漏えいの可能性があった」(14.3%)。3位は「機密情報を保存しているクラウドサービスにアクセス可能なスマートフォンなどの紛失」(12.3%)だった。 4位は「退職した元社員のアカウントが削除できていなかった」(10.3%)、5位は「シャドーITの発覚」(10%)、6位は「クラウドサービスに意図せず機密情報を保存していた」(8.3
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で Open Source Security(OpenSSF)とOpen JS Foundationは、先日発生したXZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起を行っています。 注意喚起の中では、オープンソースプロジェクトの乗っ取りをはかる動きは現在もいくつかのプロジェクトで起きつつある可能性があることが示され、ソーシャルエンジニアリングによる乗っ取りを防ぐためのガイドラインが紹介されています。 XZ Utilsのようなプロジェクトの乗っ取りはいまも起きている XZ Utilsのインシデントでは、正体不明の人物がメンテナとしてプロ
コロナ禍を経て、SaaSを中心とした企業のクラウドサービス利用は拡大し続けている。ただ、これに比例するようにクラウドサービス利用に起因するセキュリティインシデントが増えている。どうすればこのような事態を防げるのか。 クラウドサービスの利用で起こるセキュリティインシデントの多くは情報漏えいだ。その原因のひとつに、設定や運用の不備がある。テナント構築時に、運用ルールの作成や対策を講じないまま情報の外部共有設定レベルをデフォルトの「全公開」にしていたり、管理者やユーザーに過剰な権限を付与したりするケースが後を絶たない。一度定めた共有設定レベルを長い間見直さずに使い続けることのリスクを、今あらためて把握するタイミングが訪れている。 対策するには、クラウドサービスを現在「どう使っているのか」を探る必要がある。利用者が多いMicrosoft 365(以下、M365)のコミュニケーションツールを例に、外
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告:攻撃方法の詳細は分析中 Cisco Systemsは2023年8月24日(米国時間)、多要素認証が設定されていないCisco VPNを標的にしたランサムウェア「Akira」の攻撃で、同社顧客のシステムが被害を受けたと発表した。 VPNの実装、利用において多要素認証(MFA)を有効にすることの重要性は明らかだ。MFAを導入することで、組織はランサムウェア感染を含め、不正アクセスのリスクを大幅に低減できる。ブルートフォースアタック(総当たり攻撃)により、攻撃者がユーザーのVPN認証情報を取得した場合でも、MFAなどの追加の保護を設定することで攻撃者がVPNに不正アクセスすることを防げると、Ciscoは述べている。 ランサムウェアのAkiraとは Ciscoによると、Akiraの最初の報告は2023年3月にさかのぼる。A
警視庁、サイバー攻撃集団「BlackTech」に注意喚起 日本のIT企業など標的、海外子会社のルータから侵入も
警察庁と内閣サイバーセキュリティセンターは9月27日、日本のIT企業などをターゲットに攻撃を繰り返している、中国を背景にしたサイバー攻撃グループ「BlackTech」の手口と対策について、米連邦捜査局(FBI)などと共同で注意喚起した。 発表によるBlackTechは、2010年ごろから、日本を含む東アジアと米国の政府、産業、技術、エレクトロニクス、メディア、電気通信分野を狙って情報窃取を目的にサイバー攻撃を行っているという。 手口としてはまず、インターネットに接続されたネットワーク機器のソフトウェア脆弱性を狙ったり、不十分な設定、サポートの切れた機器・ソフトなど脆弱な点を攻撃したりして侵入し、最初の足がかりを作る。 さらに、海外子会社の拠点で本社との接続のために使用される小型のルータを、攻撃者の通信を中継するインフラとして利用。信頼された内部のルータを通じて本社や別の拠点のネットワークへ
米Okta(オクタ)は2023年11月28日(米国時間)、同社のカスタマーサポート管理システムが9月から10月に受けた不正アクセスについて情報を更新した。当初は全体の1%未満のユーザー企業の情報が漏洩したとしていたが、今回、一部を除くほとんどのユーザー企業の情報が漏洩したことを確認したと発表した。 攻撃者は、オクタのIDaaS(アイデンティティー・アズ・ア・サービス)製品である「Workforce Identity Cloud」と「Customer Identity Solution」においてユーザー企業向けに提供しているカスタマーサポート管理システム「Okta Help Center」に不正アクセスした。Okta Help Centerは、主にユーザー企業のシステム管理者が使用するものだ。 攻撃者はシステムが備えるリポート機能を使って、オクタの顧客データを盗み出した。盗み出されたデータに
安全ではない「多要素認証」 5つの攻撃手法と防御策
多くのサービスや業務システムで多要素認証が広く使われている。キーマンズネットが実施した「ID/パスワードに関するアンケート」では、回答者の半数以上が「多要素認証を採用している」と回答した(2024年2月時点)。パスワードと比較してよりセキュアなログインが可能になるからだ。 だが多要素認証をただ導入しただけでは、安全を保つことができない。実際に2022年以降、多要素認証を突破する攻撃が急増しており、全世界で月間200万件以上の事例が報告されている。 多要素認証を安全に使う方法、攻撃に対応する方法を把握し、従業員がそれを理解して実践することが重要だ。 本ブックレット(全17ページ)では、多要素認証を突破する攻撃手法とそれを防ぐ方法、攻撃事例、多要素認証を導入する際に留意すべきポイントを紹介する。
レッドハット、「Red Hat Enterprise Linux 9.4」を一般提供--「RHEL 7.9」に4年間の追加サポートも
レッドハット、「Red Hat Enterprise Linux 9.4」を一般提供--「RHEL 7.9」に4年間の追加サポートも Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2024-05-02 10:03 Red Hatは米国時間5月1日、同社OSの最新版「Red Hat Enterprise Linux(RHEL)9.4」をリリースした。また、「RHEL 7.9」のサポートを4年延長することも発表した。 他のバージョンのRHELではこのような延長サポートは期待できないだろう。CanonicalがUbuntuの長期サポート(LTS)版に12年間のサポートを提供しているのとは異なり、Red Hatは「RHEL 7 Extended Life Cycle Support(ELS)」に1回限りの4年間の追加サポートを
オーストラリアの空港や国内線の機内に偽の無料Wi-Fiアクセスポイントを設置して他人の個人情報を盗んだとして、42歳の男が逮捕・起訴されました。オーストラリア連邦警察は、公共の無料Wi-Fiに安易にアクセスすることを控えるよう警鐘を鳴らしています。 WA man set up fake free wifi at Australian airports and on flights to steal people’s data, police allege | Cybercrime | The Guardian https://www.theguardian.com/technology/article/2024/jun/28/wa-man-fake-free-wifi-airports-data-theft-ntwnfb Australian charged for ‘Evil Twin’
フィッシング耐性の高いMFA実装の解説 | ドクセル
CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開 フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説 MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida
はじめに 本記事はMicrosoft Security Advent Calendar 2023、11日目の記事になります。 シリーズ3部作です。 IdP基盤を整理したことによるメリット IdP基盤をオンプレADとEntra IDのみの構成に整えることができたことで、Entra IDを中心にアカウント保護やSSOを考えていくことができるようになりました。 IdP基盤を整理することのメリットはいくつもありますが、セキュリティ目線で考えると、 ユーザーリスク サインインリスク の検知があげられます。 IdPがバラバラだった場合 以下のようにユーザーからのアクセスがあった場合、認証基盤がバラバラだった場合はそれぞれなにも検知できず、紛れ込んでいる悪意のあるユーザーもサービスを利用することができてしまいます。 IdPを統一した場合 上記のサインインをまとめて把握することができると、以下のように、ど
ショートメッセージサービス(SMS)はスマートフォンで広く使われている。個人的なメッセージはもちろん、多要素認証のコードを受け取る場合もあるだろう。Googleによればここにワナが待ち受けているという。どんなワナだろうか。 Googleによればショートメッセージサービス(SMS)はあまりにも古い技術を使っているため、セキュリティが時代遅れになっていて、危険な状態にあるという。 2023年9月27日、Googleは安全性認証・試験機関のDekraが公開したホワイトペーパーを取り上げ、SMSのセキュリティの欠点を紹介した。どのような欠点があるのだろうか。 SMSのセキュリティはひどすぎる 友人とメッセージを交換したり、家族の写真を共有したり、銀行口座の機密データにアクセスするための多要素認証コードを受け取ったりするために、ユーザーは日々SMSを利用している。生成AI(人工知能)のような最新技術
Amazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
従来の境界型防御は、最新の攻撃手法には無力だった――。サイバー攻撃の被害企業は、事件を転機にセキュリティー対策を大きく転換させた。被害企業が得た苦い教訓とその後の対策は、多くの企業にとって参考になる。 「セキュリティー対策は常に進化させる必要があると痛感した」。三菱電機の三谷英一郎常務執行役CIO(最高情報責任者)は、4年前の2019年にサイバー攻撃の被害に遭った教訓をこう語る。 同社は2020年1月、不正アクセスの被害を受けたと発表した。防衛省による2021年12月の発表によれば、三菱電機から流出したファイルの中には、防衛に関連するものが2万件あり、その中には安全保障に影響を及ぼす恐れのあるファイルが59件含まれていたとする。 攻撃者は2019年3月、ウイルス対策ソフトなどの脆弱性を突いて三菱電機の中国拠点に侵入し、その後に日本拠点にも侵入するなど不正アクセスの範囲を広げていった。「(当
Introduction 在宅勤務の増加に伴い普及したVPN(仮想私設網)機器が国内でのサイバー防衛の「抜け穴」となっている。ランサムウエア(身代金要求型ウイルス)に侵入を許す原因の7割を占め、港湾や病院といった大規模攻撃の端緒にもあげられる。企業はどう対処すべきなのか。弁護士で、内閣サイバーセキュリティセンター(NISC)タスクフォース構成員などをつとめた山岡裕明氏が解説する。(聞き手はサイバーセキュリティーエディター 岩沢明信)
パスワードを使わずに安全かつ負担なく認証できる手法の1つとして、コンシューマーを中心に「パスキー」(Passkey)が広がりつつある。この認証手段、企業ユースへの展開はあるのだろうか。 パスワードを使わずに安全かつ負担なく認証できる手法の1つとして、コンシューマーを中心に「パスキー」(Passkey)が広がりつつある。この認証手段、企業ユースへの展開はあるのだろうか。パスキーの基礎解説と、企業で運用する際のポイントなどを解説する。 パスワードレスの認証手段、パスキーとは? パスキーは、FIDO Allianceが進めるFIDO標準の仕様に基づく、パスワードを利用しないアクセス方法として注目されている。特定のユーザーがWebサイトやアプリへサインインする際に、迅速かつ簡単に、安全にアクセスできる仕組みだ。業界標準のAPIとプロトコルに基づく公開鍵暗号を用いることで、面倒なログイン名とパスワー
従来型の境界型防御を脱し、セキュリティーを強化するにはどうすればいいか。理想像は既に示されている。「ゼロトラスト」に基づく対策だ。ただし日本企業にとって道のりは長い。まずは足元の対策を固めよう。 本特集の第3回で取り上げたような基本的なセキュリティー対策を徹底すれば、VPNの脆弱性を総当たり式で狙うようなサイバー攻撃はある程度防げるだろう。 しかし大企業や著名な組織を狙った標的型攻撃となると、話は別だ。三菱電機や富士フイルムホールディングス(HD)は基本的なセキュリティー対策を講じていたが、境界型防御のわずかな弱点を攻撃者に突かれて社内ネットワークに侵入され、防御が弱かった境界内のサーバーを狙われた。 標的型攻撃にはゼロトラスト 高度化する一方である標的型攻撃にはどう備えるべきか。三菱電機と富士フイルムHDがサイバー攻撃の被害に遭った後に実施したセキュリティー対策の強化が参考になる。境界型
先月末、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認されたとして大きな波紋を呼んでいる。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。 今回はすんでのところで気づいた人がおり(SSHによるログインが僅かに遅延することに違和感を持ったのがきっかけだったという)、全世界に配布される直前にストップがかけられたが、もしかすると気づいていないだけですでに商用で利用されているOSS製品に似たような悪意ある脆弱性が仕込まれているのではないか、という不安混じりの疑念を持った人は少なくないと思う。 実際に、OSSではないが多くの企業や政府機関で利用され
X(旧ツイッター)のオーナー、イーロン・マスク氏がユーザーと広告主の双方から信頼を取り戻そうとする中で、米証券取引委員会(SEC)のX公式アカウントが一時乗っ取られるという事件が9日に起きた。 SECがビットコイン現物投資型の上場投資信託(ETF)を初めて承認するかどうか判断が待たれる状況にあって、承認した旨の虚偽の投稿が一時表示されたが、当局は直ちにそれを否定した。 2022年のツイッター買収後、マスク氏はコストを減らすため攻撃的または有害なコンテンツに対処していたスタッフを削減したが、こうした人員縮小が定期的なバグや障害の発生につながっている。 センチネルワンのチーフトラストオフィサーで、メタ・フラットフォームズのセキュリティー責任者だったアレックス・ステイモス氏は今回の事件について、「盗まれたツイッターアカウントのこれまでで最も洗練された使われ方であるのは間違いない。少なくとも、これ
この記事は新野淳一氏のブログ「Publickey」に掲載された「AWS、マネジメントコンソールへのrootでのサインインに多要素認証を必須に。2024年半ばから」(2023年10月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米Amazon Web Services(AWS)は、セキュリティの強化の一環として、AWS Organizations管理アカウントのrootユーザーでマネジメントコンソールにサインインする場合、2024年半ばから多要素認証を必須にすることを明らかにしました。 下記はブログ「Secure by Design: AWS to enhance MFA requirements in 2024」からの引用です。 Beginning in mid-2024, customers signing in to the AWS Managemen
インターネットで調べものがしたいとき、Google(グーグル)を使って調べるのは、多くの人にとっての日常です。 検索エンジンも、いずれは、Chat GPT のような 対話型AI にとって代わられるかもしれませんが、今日明日という状況ではないです。 検索エンジンといえば Google を連想する方が大半だと思います。総務省が公表している「世界における検索エンジンのシェアの推移」を見ると、Googleの強さが際立っていることが分かります。 世界における検索エンジンのシェアの推移2位以下との開きが余りにも大きいので、Googleを除いてシェアを見るとこうなります。Microsoft Bingが伸ばしていることが分かりますが、Googleとの開きは依然として大きいようです。 世界における検索エンジンのシェアの推移(Googleを除く)Googleのキーワード検索で上位にくれば、そのサイトは該当する
米Oktaは11月28日(現地時間)、10月に発生したネットワーク侵入について、ハッカーが顧客サポートシステムの全ユーザーに関する情報を盗んでいたことを発表した。 サンフランシスコに拠点を置く同社は顧客に対し、顧客サポートシステムを使用する全顧客の名前やメールアドレスを含むレポートを、ハッカーがダウンロードしていたと知らせた。 Oktaの株価は10月に急落した。ハッカーが侵入し、特定の顧客がアップロードしたファイルの閲覧を許したと発表したためだ。 Oktaは「情報が積極的に悪用されているという直接的な証拠はないが、フィッシングやソーシャルエンジニアリングのリスクが高まっていることを全顧客に通知している」と述べた。 Oktaは、米Microsoftが支援するOpenAIなどに、オンラインアプリケーションやWebサイトのログインを安全にするためのシングルサインオンや多要素認証といったサービスを
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 | スラド IT
QRコードから不正サイト誘導、被害相次ぐ 「クイッシング」と呼ばれる手口も
頭が真っ白になる恐怖 - 叡智の三猿
警察庁が名指しで注意喚起 高い技術力を持つBlackTechにどう対処する?
Microsoftアカウントがパスキーに対応、パスワードなしで安全にサインイン
AWS、マネジメントコンソールへのrootでのサインインに多要素認証を必須に。2024年半ばから
われはセキュリティの子 - BASEプロダクトチームブログ
JRA、スマホアプリにOracle Cloud採用 100万人の利用を想定した認証基盤で
ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意
「はてなID」が「パスキー」と多要素認証の「TOTP」に対応/従来よりも安全にアカウントを運用できるように
Microsoft 365における情報漏えいをどう防ぐ? 外部共有レベルをマークせよ
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告
Oktaで大量の顧客情報漏洩、カスタマーサポート管理システムへの不正アクセス
偽の無料Wi-Fiアクセスポイントを空港や飛行機内に設置して個人情報を盗んだ男が逮捕される
社内をパスワードレスにするため頑張った話(中編) - Qiita
Googleが「SMSのセキュリティは穴だらけ」と批判する理由
パスキーがAWS IAMの多要素認証として利用可能に
三菱電機と富士フイルムHDに聞く、サイバー攻撃被害の教訓とその後の対策
ランサムウェア侵入、「VPN」が7割 多要素認証で被害抑制を - 日本経済新聞
話題の認証方法「パスキー」とは何か? 基礎解説と企業活用の是非
理想のセキュリティー対策は「ゼロトラスト」だが、現実は長い道のり
Solorigate事件の教訓 - サプライチェーンアタックを防ぐことは可能か|ミック
マスク氏のX、チーム空洞化懸念-米証券取引委アカウント乗っ取り
AWS、マネジメントコンソールへのrootでのサインインは多要素認証が必須に 2024年半ばから
SEO対策とユーザーの錯覚 - 叡智の三猿
顧客サポートシステムに関する全ユーザーの情報が漏えいか Okta、10月のネットワーク侵入で