各種報道およびSNSなどでご案内の通り、今般のフィッシング詐欺を通じた不正取引の発生に関し、お客様には大変なご心配をお掛けしております。改めて、本件に関する、当社の対応状況およびセキュリティ強化のお願いについてご案内いたします。 不正取引の被害については、お客様ごとにご事情をお伺いし、金融商品取引法等の法令を遵守しながら、迅速かつ誠実に対応をさせていただきます。 不正取引の手口とセキュリティ対策のお願い 発生事象について 直近増加しているフィッシング詐欺に加え、スパイウェア・マルウェアなどいずれかの手法により、悪意のある第三者がログインID、パスワード、取引暗証番号を抜き取り、不正な取引が行われた事案が発生しております。 犯罪の手口と対策 お客様へのセキュリティ強化のお願い お客様ご自身でのパスワードなどの情報の厳重な管理 ログインパスワードの再設定 取引暗証番号の再設定 ログイン追加認証
260億件の流出したデータ確認、ブラウザでパスワード流出を確認する方法(2024年6月6日)|BIGLOBEニュース
ESETは6月3日(現地時間)、「The murky world of password leaks – and how to check if you’ve been hit」において、パスワードの流出について、確認する方法や防衛策について伝えた。 ○約260億件の漏洩データを確認 ESETは最近、LinkedInやX(旧Twitter)などのオンラインサービスから流出したとみられる膨大な漏洩データの報告書を確認したという。このデータにはログイン資格情報や機密情報が含まれ、約260億件のレコードが存在したと報告されている。260億件という世界人口を上回る膨大な件数は、これまでに報告された漏洩データの件数を上回るとされる。 このようにユーザーの知らない所で認証情報や機密情報は日々流出しており、被害を軽減するために流出を確認することは重要とされる。ESETは流出の有無を手軽に確認する方法とし
RAGやナレッジ検索アプローチの進化 生成AIによる情報検索精度が大幅アップ | AMP[アンプ] - ビジネスインスピレーションメディア
生成AIの検索アプローチ、従来の「RAG」 企業での生成AI活用においては、企業独自の文脈に沿った回答を生成させることが求められる。これには、大きく2つのアプローチがある。RAG(Retrieval Augmented Generation)とファインチューニングだ。後者は若干手間のかかるアプローチである一方、より少ないリソース/ステップで、企業独自の情報を活用できるとしてRAGアプローチを採用するケースが非常に多い。 RAGとは、大規模言語モデル(LLM)による生成と、外部情報ソースを組み合わせるアプローチ。LLMが有していない企業独自の情報をモデルに与え、企業の文脈に沿った回答を生成させることが可能となる。 RAGアプローチの中核となるのが、Similarity Search(類似性検索)だ。これは、テキストデータを数値ベクトルに変換し、類似性に基づいて検索を行う手法。ユーザーの質問や
![RAGやナレッジ検索アプローチの進化 生成AIによる情報検索精度が大幅アップ | AMP[アンプ] - ビジネスインスピレーションメディア](https://cdn-ak-scissors.b.st-hatena.com/image/square/e7f2290958d0fabb90e945b93825246b1c81594d/height=288;version=1;width=512/https%3A%2F%2Fampmedia.jp%2Fwp-content%2Fuploads%2F2024%2F07%2Fshutterstock_2453842259.jpg)
Google Cloud Next Tokyo '24 速報レポート(ガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリング) - G-gen Tech Blog
G-gen の武井です。当記事では、Google Cloud Next Tokyo '24「ガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリング」に関する速報レポートをお届けします。 セッションレポートなど、Google Cloud Next Tokyo '24 の関連記事は Google Cloud Next Tokyo '24 の記事一覧からご覧いただけます。 概要 前提知識 ガバメントクラウド GCAS 全体像 ガバナンス ゼロトラストセキュリティ ガードレールと予防的統制 発見的統制 プラットフォームエンジニアリング 関連記事 概要 本セッションでは、デジタル庁様のガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリングについて、デジタル庁クラウドユニットの高島 涼 氏、本間 裕大 氏より紹介されました。 前提知識 ガバメントクラウド ガバメントクラ
Zabbix 7.0 インストールと管理画面のSSL設定メモ
2024年6月4日 Zabbix 7.0 がリリース されました。約2年4ヶ月ぶりのメジャーバージョンアップです。Zabbix 7.0 は、長期サポート(LTS)リリースのためサポート期間が5年と長いのが特徴です。Zabbix 7.0 では、ブラウザベースのシナリオ監視、Zabbixプロキシの冗長化と負荷分散、多要素認証など魅力的な機能がたくさん追加されています。そこで今回は、Zabbix 7.0 インストール手順と、Zabbix管理画面(フロントエンド)の SSL設定手順をまとめてみました。 Zabbix 7.0 の新機能と変更点 Zabbix 7.0 の新機能や変更点は以下の公式ドキュメントをご参照ください。 What's new in Zabbix 7.0 5 What's new in Zabbix 7.0.0 | Zabbix Documentation 7.0 Zabbix 7
Cohesity Japanは2024年データセキュリティおよびデータ管理に関する調査を発表した。同調査は、対象企業のサイバーレジリエンスの成熟度やランサムウェアの身代金対応について踏み込んだ質問を聞いている。 Cohesity Japanは2024年7月30日、2024年データセキュリティおよびデータ管理に関する調査結果について記者発表会を開催した。 同調査は、Cohesityが調査会社Censuswideに委託し、2024年6月27日~7月18日に実施された。調査は日本のITおよびセキュリティ分野の意思決定者301人を対象にしており、回答者が自社の業務を最もよく表す業種として選んだ上位4業種は、IT・通信と金融サービス(保険会社を含む)、製造、病院・ヘルスケアだ。 調査から見えた企業のランサムウェア対策における深刻な矛盾 この調査では、対象企業のサイバーレジリエンスの成熟度を図るととも
Oktaは2025年に予想されるアイデンティティー攻撃の傾向と、攻撃に備えるためのアドバイスを発表した。 サイバー空間には常に新たな脅威が生まれている。攻撃者の進化は止まらず、検出を回避し、脆弱(ぜいじゃく)性を悪用する。Oktaによると、この流れを変えることは困難であり、攻撃手法を予測することも難しい実態があるが、アイデンティティー攻撃の傾向は特定可能だという。 認証回避を狙った攻撃が進化を遂げる Oktaが予想する2025年の攻撃傾向 アイデンティティー攻撃の代表格といえば、認証情報の窃取を目的としたフィッシング攻撃だ。Oktaは2025年の予測トップにフィッシングキットの巧妙化を挙げた。 現在、フィッシングキットの中にはbotネット端末などを使用した住宅プロキシを提供するものが既に存在する。これはアクセス元の地域がユーザーの滞在地域と一致しているかどうかを検証するリスクベース認証を回
みなさんは「ランサムウェア」と言えば一般的に PC 端末上や、そこからネットワーク経由でアクセスできるファイルを暗号化して、復旧のための身代金を要求するマルウェア、と思い浮かぶかもしれません。しかしながら最近になって VMware ESXi に侵入し、その上で稼働する仮想マシン自体を標的とするランサムウェアがいくつか報告されています。 ちなみに、多くのお客様の環境に対して具体的に脅威が差し迫っているというわけではないと思いますし、このブログはそれを伝えることを目的としていません。 そのためここでは具体的な脅威については取り扱いませんが、もし興味をお持ちの場合は VMware ESXi を標的とするランサムウェアの攻撃を受けた被害者に何が起こるのかを紹介したこちらのブログをご覧ください。 HelloKitty: The Victim’s Perspective https://blogs.v
![[TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには](https://cdn-ak-scissors.b.st-hatena.com/image/square/69fa864c722d4fe0bd27315aa6427afa2f259419/height=288;version=1;width=512/https%3A%2F%2Fblogs.vmware.com%2Fvmware-japan%2Ffiles%2F2021%2F10%2F0-Thumb-Security-Icon-e1634522315888.png){kind=icon}
スマホやパソコンに潜伏して悪意のある行動を行うマルウェアには、さまざまなタイプがある。中でも、近年よく知られるようになったものの1つとしてインフォスティーラーが挙げられる。この記事では、情報を窃取するマルウェアであるインフォスティーラーについて、その概要や種類、有効な対策について解説する。 インフォスティーラー(Infostealer)とは「Information Stealer」の略称であり、日本語に直訳すると「情報を窃取する者」となり、一般的には情報窃取型マルウェアと呼ばれる。すなわち、情報を窃取する機能を有するマルウェアはすべて、インフォスティーラーに該当するとも言えるため、その範囲は広い。例えば、ネットバンキングやSNS、Webサービスのログイン情報、デバイス内の写真やテキスト情報なども窃取される場合がある。こうした情報を悪用して攻撃者は利益につなげるのだ。 最近では、マルウェアの
RADIUSプロトコルには、Message-Authenticator属性が設定されていない場合、攻撃者によって認証レスポンスを偽造される可能性があります。 RADIUSプロトコルのパケットが送信されているネットワークにアクセスできる攻撃者は、UDPベースのRADIUSレスポンスパケットを偽造することで、RADIUSクライアントとサーバー間の共有秘密鍵を知らなくても、RejectをAcceptにすることが可能です。この問題は、RADIUSサーバーからの認証レスポンスを検証する際の暗号的に安全でない整合性チェックに起因します。 RFC 3579で規定されているEAP(Extensible Authentication Protocol)を実行するRADIUSサーバーは、Message-Authenticator属性を必要とするので影響を受けません。また、TLS(またはDTLS)暗号化を使用す
タレスジャパンは2024年8月1日、2024年度の「クラウドセキュリティ調査」の日本語版を公開した。この年次レポートは、18カ国37の業界における約3000人のITおよびセキュリティ専門家を対象に実施された調査を基にクラウドセキュリティの実態やトレンド、新たなリスクについての洞察がまとめられている。 ここだけは押さえておきたいクラウドデータ侵害の主な原因とは? 主な調査結果は以下の通りだ。 クラウドセキュリティへの支出が他の全てのセキュリティ支出カテゴリーを上回った クラウドに保存される企業データの約半数(世界:47%、日本:46%)が機密情報だった 世界の44%、日本の38%の組織がクラウドデータの侵害を経験しており、過去1年間では14%(日本:14%)の組織が経験している 世界の企業の約半数(世界:51%、日本:46%)が「クラウドのコンプライアンスとプライバシー管理はオンプレミスより
国立研究開発法人量子科学技術研究開発機構(以下「QST」という。)のQST病院(千葉市稲毛区)が、診療業務用ネットワークとは独立したネットワークで運用管理しているシステム(重粒子線治療多施設共同臨床研究システム(J-CROS)、放射線治療症例全国登録システム(JROD)。以下「本システム」という。)において、ランサムウェア(注1)被害が発生しました。 本システムに登録されている症例情報は全て匿名化されており、患者さんの個人情報は含まれておりません(注2)。また、診療業務を含むQST病院の業務に影響はありません。 <本システムの概要> 全国の重粒子線治療施設が連携して実施する臨床試験の支援を目的としたJ-CROSと、放射線治療の実態調査研究等を目的としたJRODの2つのシステムから構成されています。本システムは、各事業に参加している全国の医療機関から重粒子線治療や放射線治療の匿名化された症例
認証と認可:その違いは?
認証と認可の主な違いは、認証はユーザーの身元を確認することであるのに対し、認可はユーザーにリソースにアクセスする権利を与えるということです。 どちらも、セキュリティ侵害から機密データを保護する上で重要な役割を果たします。 不正アクセスから組織を保護するためにも、認証と認可を導入する必要があります。 ここでは、認証と認可、それらの主な違い、組織を保護するために両方を導入する重要性について、さらに詳しく説明します。 認証(Authentication)とは 認証は、ネットワーク、アカウント、アプリケーション、システムやその他のリソースへのアクセスを許可する前に、ユーザーの身元を確認するプロセスです。 認証中、ユーザーは通常ユーザー名である身元確認の形式を提供し、自分が何者かを証明します。 彼らは、パスワード、トークン、生体認証などで身元を証明します。 これにより、許可されたユーザーのみが特定の
社内向けの公式SNS運用ガイドラインを一から作成した話
皆さんの会社で、このようなこと起こっていませんか? 新サービスのSNSが立ち上がったが、運用が担当者に任せっきりになっている 運用中のSNSアカウントでの返信やリアクションが許可されているか決まっていない 運用中のSNSアカウントが炎上した際、どのように対応するかイメージできていない MICINでは、そのような様々なSNS運用についての基本的な考え方やルールをまとめた公式SNS運用ガイドラインを2024年7月に作成し、制定しました。 この記事では、MICINが社内向けの公式SNS運用のガイドラインを作成した経緯や、作成のプロセスについて解説し、実際に作成したガイドラインの内容をほぼそのまま公開します。SNS運用の管理や統制でお困りの広報担当や情報システム・セキュリティ担当の方々にとって少しでも参考になればと思います。 ガイドライン作成の経緯 近年、企業SNSアカウントに対する乗っ取り被害が
2024年7月17日(現地時間)に発表した最新の「Threat Horizons Report」において、Google Cloudは「2024年の上半期におけるネットワーク侵入4件のうち3件は、クラウドシステム全体に関する脆弱(ぜいじゃく)な認証情報と設定ミスが原因だった」と述べた(注1)。 クラウド狙いのサイバー攻撃の約半数が認証情報の問題に起因 Google Cloudによると、認証情報が脆弱なシステムまたは認証情報が存在しないシステムが攻撃の初期アクセス経路として最も多く、2024年の上半期におけるクラウド環境への攻撃の47%を占めた。これは、2023年後半の51%からわずかに減少している(注2)。 2024年の上半期に起こったクラウド環境に対する攻撃のうち初期アクセスの30%は、クラウドの設定ミスに起因している。これは2023年後半の17%から大幅に増加している。 認証情報管理の脆
多要素認証じゃダメ?ritouさん、Auth屋さんに聞く 認証技術の最前線 ~パスワードレスとは~ (2025/04/17 19:00〜)
📢イベント概要 ユーザー登録やログインは、ほとんどのサービスで欠かせない要素です。 これまで、ユーザー認証といえばパスワードによる方法が一般的でしたが、現在ではセキュリティ強化のために、二段階認証や多要素認証が標準になりつつあります。 さらにはパスワードレス認証として、「パスキー」を利用する例や、はたまたパスワードの登録を不要にして「メールによるコード認証のみ」といった例も見かけるようになりました。 では認証方法は多様化している中で、私たちはどの技術を選ぶべきなのでしょうか。 そこで今回は、認証技術の専門家であるAuth屋さんとritouさんをお招きし、それぞれの認証技術の成り立ちから認証を検討する際の技術選定方法について伺います。また、パスワードレス認証を採用するメリットや、各技術ののセキュリティ面での違いについても伺う予定です。 最新の認証技術をキャッチアップできていない方、各技術の
大塚商会、Microsoft 365製品で緊急アナウンス 管理者権限を持つユーザーのアカウントが侵害(アスキー) - Yahoo!ニュース
大塚商会は11月15日、同社が提供する「たよれーる Microsoft 365」において、一部ユーザーへのセキュリティ侵害が発生していると発表した。 大塚商会は11月15日、同社が提供する「たよれーる Microsoft 365」において、一部ユーザーへのセキュリティ侵害が発生していると発表した。 具体的には悪意のある第三者からの不正アクセスにより、管理者権限を持つユーザーのアカウントが侵害され、以下のような被害を受ける可能性があるとしている。 ■発生する可能性のある被害 ・Microsoft 365内のデータ削除や搾取による情報漏洩 ・テナント内の設定済みアカウントの削除 ・サイバー攻撃の踏み台として取引先などへの迷惑メール送信 対応策として同社は、管理者権限アカウントの多要素認証設定を有効化するよう案内。具体的な設定手順については、「FAQID: 320062([Microsoft36
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 「◯aaS」系のサービスは非常に多く、 聞き慣れないワードがどんどん出てきて戸惑う方も多いのではないでしょうか。 こちらの投稿↓によるとネタ系やマイナー系も含むと「910個ある」とも言われており、すべてを把握するのは不可能です。 そこで、今回は特にエンジニア視点でよく耳にしたり、重要と考える「◯aaS」を厳選して解説します! 「知っておくべき度」 として5つ星で評価したので、4つ星以上のサービスは目を通しておくと、実務で使える知識の引き出しが広がると思います。 カテゴリ説明 今回紹介する「◯aaS」は、以下の4つのカテゴリに分
IIJは、MVNOサービスにおけるmioIDのログインについて、多要素認証の導入について未定だと明かしました。 これは楽天モバイルで発生したeSIM不正発行事案を受けて、憂慮するIIJ利用者の質問に回答したもの。 導入を予定していない背景には、経済圏を持つMNO提供アカウントと異なり、mioIDには経済的な旨味がないことから、mioIDがフィッシング詐欺等の詐取の対象とまでなっていないことを挙げました。 現時点では、mioIDの他要素認証については未定となります。こちらについては、MNOの提供するアカウント(○○経済圏と言われるように様々な経済的行為を可能とするもの)に比べ、mioIDに経済的な旨味がないことから、mioIDがフィッシング詐欺等の詐取の対象とまでなっていないためとなります。 — IIJmio (@iijmio) April 23, 2024 所謂「SIMハイジャック攻撃(S
Apple ID パスワードリセット攻撃の裏側セキュリティ専門家であるKrebs on Securityによると、悪意のある人物が、Appleユーザーに対して「パスワードリセットのリクエストをスパムすることで攻撃している」とのこと。 これらのポップアップは、「許可する」または「許可しない」のオプションで閉じたり操作しない限り、消えません。 つまり、デバイスを使用し続けるためには、常に「許可しない」をタップし続ける必要があります。 これらのポップアップ自体には必ずしも悪意があるわけではありません。これは、Appleが信頼されていないデバイスやウェブ上でApple IDのパスワードを変更できるようにするための仕組みです。 たとえば、Apple IDのパスワードを忘れてAppleのパスワードリセットウェブサイトからリセットしようとすると、適切な情報を入力したあと、Appleはリセットプロセスを承
誰が、どういった理由であなたのインターネット活動を追跡しているのでしょうか?(簡易ver.) - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? オンライン上のあなたの行動はすべて追跡されている。分散型VPNは、私たちのプライバシーをよりよく守ることができます。全てのオンライン活動は痕跡を残します。日常的なブラウジング、クリック、電子決済、通話やメッセージング、さらにはポケットに入れたスマホを持って街を歩くことまで、ますます高度な方法で追跡されています。それでは、オンラインでのプライバシーと匿名性はどのようにして可能なのでしょうか? 今日のインターネットトラッキング 大規模なデータ収集 2018年、英国のコンサルティング会社ケンブリッジ・アナリティカが8700万人のFaceboo
今や企業と顧客の接点は、リアルからWebへと移行し、複数のWebサービスを展開する企業も増えてきた。これまで多くの企業ではWebサービスを立ち上げるごとに、認証認可の機能も作ってきた。そのため「認証基盤のサイロ化」「属人的なメンテナンス」「複雑な認証トレンドの追随」などの課題が立ちはだかっている。これらの課題を解決する手段として注目を集めているのが、IDaaSである。IDaaSでどんなことが解決できるのか。また事例からわかる導入のポイントなどについて、マクニカ ネットワークスカンパニーの池田将司氏と、TC3の中村誠氏が解説した。 複雑化する認証基盤、昨今のトレンドは? 「もう苦労しない!事例から学ぶ認証基盤開発のベストプラクティスとは?」というテーマで行われたマクニカ ネットワークスカンパニーの池田氏のセッションは、IDaaSソリューションの一つ、「Okta Customer Identi
【セキュリティ ニュース】SonicWall製ファイアウォールに脆弱性 - 認証回避や権限昇格のおそれ(1ページ目 / 全1ページ):Security NEXT
SonicWall製ファイアウォールに搭載されている「SonicOS」に複数の脆弱性が明らかとなった。 2025年1月7日から8日にかけて4件のセキュリティアドバイザリを公開し、利用者に注意を呼びかけたもの。アドバイザリの重要度を1件については「高(High)」、のこる3件は「中(Medium)」とレーティングしている。これらアドバイザリであわせて9件の脆弱性に対処した。 個々の脆弱性を見ると「SSL VPN」において認証のバイパスが可能となる「CVE-2024-53704」や、SSHの設定において権限昇格が可能となる「CVE-2024-53706」、認証トークンにおける脆弱な疑似乱数ジェネレータの利用「CVE-2024-40762」、「SSL VPN」における多要素認証のバイパス「CVE-2024-12802」などが判明した。 共通脆弱性評価システム「CVSSv3.0」のベーススコアを見
セキュリティを高める!AWS WAFのカスタム設定活用法
目次[非表示] 1.はじめに 2.カスタム設定の基本 2.1.リクエストコンポーネント 2.2.一致ルール(抜粋) 3.正規表現で特定のエンドポイントを守る 3.1.ユースケース:人事専用ページのみIP制限をかける 3.1.1.実装例 4.カスタムヘッダーを使ってネットワーク別にアクセスをコントロール 4.1.ユースケース:内部システムと外部パートナーのアクセス管理 4.1.1.実装例 5.リファラー(Referer)チェックで限定コンテンツを保護 5.1.ユースケース:限定キャンペーンの不正利用防止 5.1.1.実装例 6.ファイルアップロードの制御 6.1.ユースケース:サイズ制限によるDDoS攻撃対策 6.1.1.実装例 7.おわりに 8.お悩みご相談ください 9.参考記事 はじめにこんにちは。株式会社divxのエンジニア、龍満です。 今回のテーマはAWS WAFです。 みなさんはA
はじめに: Amazon Web Services (AWS) は、ウェブ開発の世界に革命をもたらしました。クラウドコンピューティングの力を活用することで、開発者は柔軟性、スケーラビリティ、そしてコスト効率の高いソリューションを構築できるようになりました。この記事では、AWSを使用したウェブ開発のベストプラクティスを20の章に分けて詳しく解説します。各章では、具体的なコード例と詳細な説明を提供し、日本の開発者の皆さんがAWSの力を最大限に活用できるようサポートします。 第1章: AWSアカウントのセットアップと基本的なセキュリティ設定 AWSを使い始める最初のステップは、適切にセキュリティ設定されたアカウントを作成することです。多要素認証(MFA)の設定、ルートユーザーの保護、IAMユーザーとグループの作成は、セキュアな環境を構築する上で不可欠です。以下のコードは、AWS CLIを使用して
警察庁サイバー警察局は2025年3月13日付の資料で、「令和6年におけるサイバー空間をめぐる脅威の情勢等について」を公開した。同報告では、国内のサイバー犯罪の発生状況やサイバー攻撃の傾向、警察の対応状況、国際的な協力の取り組みについて詳細に分析している。 警察庁が明らかにする国内外のサイバー動向 フィッシング詐欺が激増 報告によると、2024年のサイバー犯罪検挙件数は前年と比べて増加しており、特にインターネットバンキングを標的とした不正送金やフィッシング詐欺が深刻な問題となっている。フィッシング詐欺の報告件数は約172万件に達し、前年から大幅に増加している。 また、不正アクセス禁止法違反の検挙件数も増加し、企業や自治体を狙ったサイバー攻撃が後を絶たない状況にある。加えて、ランサムウェア攻撃の被害報告も相次ぎ、多くの企業や団体がデータの暗号化による業務停止や多額の身代金要求に直面している。
Amazon Web Services ブログ Amazon S3 でオブジェクトの意図しない暗号化を防止する このブログは 2025 年 1 月 15 日に Steve de Vera(AWS Customer Incident Response Team)と Jennifer Paz(AWS Customer Incident Response Team)によって執筆された内容を日本語化したものです。原文はこちらを参照してください。 2025 年 1 月 17 日: 本投稿で詳解されている不正な方法のリスクを軽減するために、一時的な認証情報を使用することの重要性を強調するために、原文は更新されました。 Amazon Web Services(AWS)では、お客様のデータセキュリティが最優先事項であり、今後もそれは変わりません。AWS Customer Incident Response
こんにちは。情シスの @kaze3desu です。 このたびROUTE06では、ゼロトラストセキュリティの実現に向けて、Jamf Connectを導入しました。 Jamf Connectの導入を検討している方向けに、ポイントをまとめました。 Jamf Connectとは Jamf Connectは、Appleデバイス向けに特化したツールで、IdP(アイデンティティプロバイダー)との連携を実現します。 Jamf Connectを使用することで、ユーザーはOktaなどのIdPを通じてMacにサインインでき、セキュリティと利便性が向上します。また、Jamf ProやJamf Protectとの連携により、デバイス管理やセキュリティポリシーの適用がスムーズに行われます。 このように、Appleデバイスを多く使用する企業にとって、ゼロトラストセキュリティの実現に大きく貢献するツールです。 Jamf
関連キーワード シャドーIT | セキュリティ | セキュリティリスク ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃が後を絶たない状況下で、攻撃を招きかねない「シャドーIT」(IT部門が関与しないIT活用)に関する注意がこれまで以上に重要になっている。「会社から支給されるツールが使いにくい」といった理由から生じるシャドーITを防ぐことは簡単ではないが、セキュリティの観点からシャドーITを決して許してはいけない。それはなぜなのか。シャドーITの「7つの危険性」を見てみよう。 「シャドーIT」を許してはいけない7つの理由 併せて読みたいお薦め記事 シャドーITはなぜ危険なのか 「シャドーIT」のリスクは“セキュリティだけ”だと考えていないか? データ活用に本気の企業ほど「シャドーIT」を放置してはいけない理由 1.システムへの侵入 シャドーITを原因に攻撃者が組織のシステムに侵入
楽天証券の不正アクセス被害が広がっているとして、X(旧Twitter)ユーザーの「あかんやつマン🥦」さん(@kabuakan)が注意喚起の投稿をしました。 投稿によると、不正ログインの後に保有している金融商品をすべて売却され、その資金で見知らぬ中国株を購入される被害が相次いでいるとのことです。 あかんやつマンさんは、パスワードの変更や多要素認証の設定を強く推奨しています。 話題のポスト 楽天証券への不正アクセスが流行りつつあるようです。 不正ログイン後に保有している金融商品をすべて売却し、謎の中国株を買われる模様。 パスワード変更や、多要素認証を設定しておくことをおすすめしますhttps://t.co/U08LWwBbUz pic.twitter.com/B2GWUgAgMR — あかんやつマン🥦 (@kabuakan) March 20, 2025 これ、メール経由のフィッシングサイ
Last Updated on 2025-04-04 15:26 by admin 中国関連のサイバースパイグループUNC5221が、Ivanti社の特定製品における脆弱性(CVE-2025-22457)を積極的に悪用している。この脆弱性は、Ivanti Connect Secure(バージョン22.7R2.5以前)、Policy Secure、ZTAゲートウェイ、およびサポート終了済みのPulse Connect Secure 9.xに影響する。 Ivanti社は2025年2月に脆弱性を修正したが、当初は低リスクと評価していた。しかし、4月3日に発表されたセキュリティアドバイザリでは、脅威アクターが高度な手法でこの脆弱性を悪用してリモートコード実行を行っていることが判明したため、CVSSスケールで10段階中9という重大な深刻度に評価を引き上げた。 Google傘下のMandiantセキュ
クラウドサービスを攻撃するサイバー攻撃に対抗するにはどうすればよいのだろうか。いろいろな対策が考えられる。基本は認証回りを固めることだろう。 Googleは2024年11月4日(現地時間、以下同)、クラウドサービス「Google Cloud」の認証を変えていくと発表した。クラウドサービスに対するサイバー攻撃に対抗するには認証回りを固めることが早道だからだ。 Googleは何を義務付けたのか それではGoogle Cloudのユーザーはどうすればよいのだろうか。「Amazon Web Services」(AWS)や「Microsoft Azure」のユーザーとっても関係ない話ではないようだ。 Google Cloudが発表した内容を一言で表すと「全ユーザーに多要素認証(MFA)を義務付ける」ということだ(注1)。2025年末までにMFAを段階的に実装していく予定だ。 同社によると、同サービス
ニセ従業員など新たな手口をふくめ、AIを悪用する詐欺をESETがまとめて指摘 どう対策すればいいのか?
ESETは2025年3月10日(スロバキア時間)に公式ブログで、AI(人工知能)の悪用による詐欺が企業にとって新たな脅威となっている状況を解説し、「人」「プロセス」「技術」に焦点を当てた多層的な対応の必要性を指摘した。 企業におけるAIの利用は、効率化やコスト削減、顧客サービスの向上、意思決定の改善など、さまざまな分野で有益な成果をもたらしている。だが、サイバー犯罪者もAIを悪用して新手の詐欺を仕掛けており、企業にとって大きな脅威となっていると、ESETは指摘している。 最新のAIとディープフェイクの脅威 ESETは、サイバー犯罪者がAIやディープフェイクを悪用する手口の例として、以下を挙げている。 偽従業員 北朝鮮の工作員がAIツールを使って履歴書などを偽造し、採用時の身元調査をクリアして、テレワークのITフリーランサーとして企業に潜入する事例が報告されている。こうした工作員の目的は、北
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた | DevelopersIO
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた はじめに AWS IAM Identity CenterのMFA(多要素認証)タイプで組み込みの認証アプリを試してみました。 Identity Centerのユーザーの管理(ID管理)が独自の ID ストアの場合、MFAタイプには以下のオプションがあります。 FIDO2 認証機能 組み込みの認証機能 セキュリティキー パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能 仮想認証アプリ ワンタイムパスワード (OTP) ベースのサードパーティー認証アプリ RADIUS MFA AWS Managed Microsoft ADを介して利用 今回は、組み込みの認証機能のTouch IDによるログインを試してみます。 前提条件 AWS Identity Centerのユ
Amazon Cognito で検証メッセージの自動送信を無効化していますが、メッセージが自動送信されるのはなぜですか? | DevelopersIO
Amazon Cognito で検証メッセージの自動送信を無効化していますが、メッセージが自動送信されるのはなぜですか? 聞きたいこと 以下の設定でAmazon Cognito ユーザープールを作成しました。 MFA登録時にメッセージが自動送信されましたが、検証メッセージの自動送信を無効化していたにもかかわらず、なぜメッセージが送信されたのか理由を教えてください。 設定内容 サインインオプション:Eメールアドレスのみ 多要素認証(MFA):SMSメッセージを有効化 自己登録:無効 Hosted UI:有効 検証メッセージの自動送信:無効 事象の流れ ユーザーを作成し、パスワードを含む招待メールをユーザーのメールアドレスに送信 ユーザーがログイン画面でEメールアドレスと受け取ったパスワードを入力 ユーザーがパスワードを変更し、MFAのSMS登録のために電話番号を入力 検証メッセージの自動送信
関連キーワード アクセス管理 | サイバー攻撃 | セキュリティ ユーザーのIDやアクセス制御を管理する「IAM」(IDおよびアクセス管理)は、システムへの不正侵入を防ぐ上では極めて重要だ。攻撃が活発な状況が続く中で、IAMに精通するセキュリティ担当者の需要が高まっている。IAMに求められるスキルとは何か。セキュリティ分野でキャリアアップすることにも役立つ、IAMに必要な基礎的な知識とスキルをまとめた。 IAMに求められる基礎知識とスキルはこれだ 併せて読みたいお薦め記事 そもそも「IAM」とは いまさら聞けない「IAM」が「クラウド利用」に欠かせない理由 AWS、Azure、Googleの「IAM」を比較 見落としがちな“微妙な違い”とは システムが複雑化するほど、IDの管理は煩雑な作業になりがちだ。ID管理の不備は、不正アクセスを招き、ランサムウェア(身代金要求型マルウェア)をはじめと
前置き 前回の「インフラ歴2ヶ月がつまづいたアカウント運用管理入門」に引き続き、アカウント運用管理発展です。 案件を通じて学んだIAM OrganizationsとIAM Identity Centerについて、どのような仕組みのサービスなのかを説明していきます。 前回と同様、具体的な実装手段の説明はせず、用語の説明、概念的理解の補助に努める記事となっていますので、その点ご了承ください。 前提知識 アカウント運用の基礎知識 前回記事でも紹介した、AWS IAMとスイッチロールの知識を確認して欲しいです。 インフラ初心者がつまづいたアカウント運用管理入門 マルチアカウント戦略 複数のAWSアカウントを利用して、異なるプロジェクト、部門、または環境(開発、テスト、本番など)を管理する方法のことを指します。 前回の記事でも、環境が3つあることを仮定して話を進めたところがありました。それをイメージ
マイクロソフト警告:税金関連フィッシングがPDF・QRコードでマルウェア配布 – RaccoonO365の脅威拡大 - イノベトピア
Last Updated on 2025-04-04 15:40 by admin マイクロソフトは2025年4月、税金関連のテーマを悪用した複数のフィッシングキャンペーンについて警告を発した。これらの攻撃では、PDFやQRコードを使用してマルウェアの配布や認証情報の窃取が行われている。 攻撃の特徴として、URL短縮サービスやQRコードなどのリダイレクト方法を悪意のある添付ファイルに含め、ファイルホスティングサービスやビジネスプロフィールページなどの正規サービスを悪用して検出を回避している。また、2024年12月初頭に発見されたRaccoonO365というフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを通じてフィッシングページに誘導する手法が使われている。 マイクロソフトが2025年2月6日に発見したキャンペーンでは、米国の確定申告シーズンを前に数百通のメールが送信され、B
2024年10月2日、総務省より「地方公共団体における情報セキュリティポリシーに関するガイドライン」(令和6年10月2日改定)が発表されました。今回の改定は、急速に進む自治体のデジタルトランスフォーメーション(DX)を推進しながら、情報管理とセキュリティの強化を図るためのものです。本記事では、自治体DXに与える影響について、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」の構成員としてガイドライン策定に携わる合同会社KUコンサルティング・代表の髙橋 邦夫氏に話を伺いました。 ガイドラインの概要と改定のポイント ― 2024年10月に公表された「地方公共団体における情報セキュリティポリシーに関するガイドライン」(以下、ガイドライン)の改定では、自治体が情報を適切に管理しながらDXを推進するための変更が加えられました。今回の改定における主な変更点
Amazon Cognito Hosted UIで、認証ユーザーごとにアップロードするS3バケットのプレフィックスを分けてみた | DevelopersIO
はじめに Amazon Cognito Hosted UIを利用して、1つのS3バケットに対して、認証されたユーザーごとにアップロードするプレフィックスを分ける方法について解説します。この手法により、各ユーザーのファイルを効率的に管理することが可能になります。 構成としては以下の通りです。 ALBがユーザーの認証に成功すると、EC2インスタンスへのリクエスト転送時に追加のHTTPヘッダーを含めます。このヘッダーにはx-amzn-oidc-identityが含まれており、これはユーザーの一意の識別子(ユーザーID)であり、Cognitoのsubクレームに相当します。 アプリケーションコードでは、このx-amzn-oidc-identityの値を利用して、S3バケット内でユーザーごとに固有のプレフィックス(ユーザーID)を生成し、そのプレフィックス配下にファイルをアップロードします。 EC2イ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フィッシング詐欺などによる不正取引発生を受けた当社の取り組みとセキュリティ強化のお願い
ランサムウェア身代金「支払う」が8割 実態調査で見えた“深刻な矛盾”
MFA回避は当然に? Oktaが2025年のアイデンティティー攻撃に関する5つの予想を発表
[TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには
インフォスティーラーとは?国内で暗躍するXLoaderとは何か? | サイバーセキュリティ情報局
JVNVU#99565539: RADIUSプロトコルにおける認証レスポンスを偽造可能な問題
クラウドデータ侵害の主な原因は何か? タレスがグローバル調査を発表
QST病院の独立ネットワークのシステムにおけるランサムウェア被害について - 量子科学技術研究開発機構
サイバー攻撃の初期アクセス経路の約半数は脆弱な認証情報を狙っている
【2025年最新版】◯aaS系(IaaS,PaaS,SaaS,AIaaS,SECaaS等)を整理してみた - Qiita
IIJ、mioIDの多要素認証導入「現時点で未定」 - すまほん!!
Appleデバイスの「パスワードをリセット」通知にご用心。アカウント乗っ取りを防ぐには? | ライフハッカー・ジャパン
IDaaSの活用で「顧客体験」「セキュリティ」「データ活用」を両立!認証基盤開発のベストプラクティス
AWSを活用したウェブ開発のベストプラクティス - Boto3を使ってAWSを操作しよう! - Qiita
警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」を公開
Amazon S3 でオブジェクトの意図しない暗号化を防止する | Amazon Web Services
ROUTE06 で Jamf Connect を導入しました - ROUTE06 Tech Blog
公認ツールが不評でも「シャドーIT」を許してはいけない“7つの理由”
楽天証券、不正アクセス拡大か… 保有している金融商品が全て売却され『謎の中国株』を買われる被害が続出
Ivanti脆弱性を中国系ハッカーが悪用 – 低リスク評価から一転、重大な脅威に - イノベトピア
Google、AWS、Microsoftが顧客にこぞって義務付ける「あるセキュリティ対策」とは?
「IDとアクセス管理」(IAM)の仕事は将来有望? 求められる基礎知識は
インフラ初心者がつまづいたアカウント運用管理発展 - Qiita
【2024年10月公表】地方公共団体における情報セキュリティポリシーに関するガイドライン改定のポイント