SMS傍受：　サイバー攻撃者は携帯通信会社のネットワークの脆弱（ぜいじゃく）性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング：　サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証（MFA）がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS

米Microsoftは7月11日（現地時間）、クラウド型の認証管理サービス「Microsoft Azure Active Directory」（Azure AD）の名前を変更すると発表した。新しい名称は「Microsoft Entra ID」。変わるのは名前だけで、機能や料金はこれまで通りという。 関連するサービスの名称も変更する。例えば、無料で利用するときのプラン名「Azure Active Directory Free」は「Microsoft Entra ID Free」に変える。2023年末にかけて、Webサイトやサービス内での表記を順次書き換えていくという。

MicrosoftがIDガバナンスを強化へ　セキュリティ新ブランド「Microsoft Entra」発表：マルチクラウドアクセスを想定、CIEMも提供 Microsoftは、ID管理とアクセス管理の新たな製品群「Microsoft Entra」を発表した。既存のAzureADに、新たにCIEMや分散型ID管理を加え、IDガバナンスソリューションとして統合する。

米Yahoo!の元エンジニアが、従業員のアクセス権限を悪用して何千人ものYahoo!アカウントに侵入した罪を認めた。米カリフォルニア州北部地区連邦地裁が9月30日（現地時間）に発表した。 レイエス・ダニエル・ルイス被告（34）は、主に若い女性ユーザーをターゲットに約6000人のYahoo!アカウントのパスワードを解読し、個人データの中から主に性的な写真や動画をコピーし、自宅のPCに保存していた。ターゲットには個人的な友人や同僚も含まれていた。 ルイス被告はYahoo!アカウントを踏み台に、iCloud、Facebook、Gmail、Dropboxなどにも侵入し、「よりプライベートな」画像や動画を集めたことを認めた。被告は、Yahoo!がこうした行為の調査を始めた際、画像を保存したPCとHDDを破壊した。 被告は4月4日にコンピュータ侵入などの罪で起訴された。現在は20万ドルで保釈中。来年2

「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン（東証一部上場）は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4～6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ

米Amazon.com傘下のRingは9月24日（現地時間）、自律型ドローンのセキュリティカメラ「Ring Always Home Cam」を発表した。価格は249ドル（約2万6000円）。米連邦通信委員会（FCC）の承認を得られ次第発売する計画だ。 顧客から、数台のセキュリティカメラを設置しても家全体が見えないというフィードバックが多かったことから開発したという。 Ring Always Home Camは、予め覚えさせた屋内のルートを飛びながら録画する。プライバシーに配慮し、飛行中にのみ録画し、飛行中は一定の音を発するので、人がいれば録画していることに気づけるようになっている。また、手動で制御はできず、決めたルート以外から録画することもない。それでもルート上に障害物があれば、回避する。 Ringのホームセキュリティシステム「Ring Alarm」と連携させれば、例えば窓に設置したアラー

私見ですが、日本ではどうも「プライバシー」に対するこだわりが薄い気がします。プライバシーの話をすると、「自分の個人情報が漏れたところで、何の問題もないよ？」や、「悪いことをしていなければ問題はない」と返されます。人は生活をする上で、さまざまな「情報」を作り出します。例えば購入したもの、歩いた場所や食べたもの。その一部は自らが写真などの形でSNSに投稿し、公開状態にしていたりもするでしょう。その感覚の延長線上に、そういった「プライバシーなんてそこまで気にするもの？」という考え方があるのかもしれません。 果たしてこのような情報に無頓着でいいのでしょうか。今回は多くの方がおそらくよく知らないまま利用している、Webブラウザのとある機能から、パーソナルデータとプライバシーについて考えてみましょう。 毎日食べているけど目に見えない？　「クッキー」とは何か Webブラウザにおける「クッキー」というもの

この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第17回『現代的スパイと認証の嗜み【キングスマン】」（2018年3月8日掲載）を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 「007」を強烈に意識したブッ飛びスパイ映画 ……それでは講義を始める。 前回は「カードキャプターさくら」などを題材に、魔法少女と認証をこじつけ……いや、解明する試みを行った。いかがだっただろうか。 一概に魔法少女といっても、夢と希望で魔法を使うものから、理屈とロジックで戦う少女までいることが分かったと思う。諸君らの好きな魔法少女がどのような認証を使っているのか、あるいは認証などぶっ飛ばしているのかを報告してくれるとうれしい。 さて、今回はあの大ヒットスパイ映画を

紙の上でスライドさせると、文字や画像などを印刷できる――そんな手のひらサイズのプリンタ「RICOH Handy Printer」を、リコーが4月17日に発売する。本体の底にインクの吐き出し口があり、はがきに名前や住所を印字したり、段ボールの表面にバーコードをプリントしたりと、さまざまな用途に使える。 紙の上でスライドさせると、文字や画像などを印刷できる「RICOH Handy Printer」。スマートフォンアプリ（Android）か、PCの専用アプリからBluetooth、USB経由で印刷データをプリンタ本体に送って使う。Windowsアプリは5月末、iOSアプリは今夏リリース予定 ネット上では「プリンタに用紙を投入して印刷する」のではなく「プリンタ本体を動かして印刷する」という発想の転換が話題を呼んでいる。同社が4日に製品を発表したところ、Twitter上では「すごい」「革命ではないか

USB接続に対応したボリュームつまみ。手元でPCの音量をコントロールできる他、つまみを押し込むことでミュート操作も行える。 本体サイズは50（幅）×65（奥行き）×39（高さ）mm、重量は約64g。対応OSはWindows 7／8／10、mac OS Xだ。 関連記事 どこでも手軽に身長を調べられる超音波式測定器 ドスパラは、超音波式のポータブル身長測定器「DN-915520」の取り扱いを発表した。 税別2599円のハイブリッドドライバー搭載カナル型イヤフォン ドスパラは、2基のドライバを搭載したカナル型イヤフォン「DN-915508」の取り扱いを開始した。 キーボードもすっぽり収納できるゲーミングデバイス用バックパック ドスパラは、ゲーミングデバイス収納用のバックパック「DN-915454」の取り扱いを開始した。 リモコンも使える3入力対応のHDMI切り替え器　税別999円 ドスパラは、

ただ、botが情報を自動照会したり予約、買い占めする行為自体は「サイバー攻撃」とまでは言い難い。さらに日本では規制する法律がまだなく、まさに無法地帯の状態で、企業は自衛するしか対抗する手段がない。 米国では、botによって買い占めたチケットの転売を禁止するBOTS法（Better Online Ticket Sales Act）が2016年に成立している。しかし、そのような法律が日本で将来成立した場合でも、まずはbotによるアクセスか人間のアクセスなのかを、botの作り手を上回る技術を用いて判別し、可視化する必要はあるだろう。 JALのbot対策では、検知に加えてbotを適切にコントロールすることに成功している。迷惑なbotによる無駄なリクエストを抑え、外部サービスへの課金が抑制された結果、「まさに桁違いのコストを一気に削減できた」（JAL）という。 botのアクセスを単純にファイアウォー

あなたたちは、本当に「AI開発プロジェクト」をやる気があるのか？：真説・人工知能に関する12の誤解【特別編】（1/3 ページ） データもない、分析技術もない、開発するエンジニアもいない――。AIを開発しようという企業には「3つのカベ」が立ちはだかるといわれていますが、それよりももっと根本的な「当事者意識」の問題があるのを知っていますか？ 第3次AIブームを背景に、最近では多くの企業がAIの導入を検討しています。今や大企業の4社に1社がAIを導入しているという調査もあるほどです。メディアを通じて成功事例が知られるようになってきましたが、AIの導入はそんなに簡単な話ではありません。例えば、次の会話のような状況でプロジェクトを始めると、どうなるでしょうか。 A：AIで新製品の需要予測をしたいんですけども、どうしたらいいですか？ B：予測して、その後どうするんですか？ A：えっ……分析してから考え

米ソーシャルニュースサイトのredditは2018年8月1日（米国時間）、同社のシステムが何者かに不正侵入され、一部ユーザーの電子メールなどの情報にアクセスされたと発表した。 redditの説明によると、6月14日から18日にかけて、複数の従業員が使っていたクラウドプロバイダーやソースコードホスティングプロバイダーのアカウントが何者かに不正侵入されていたことが、6月19日になって発覚したという。 同社は、コードやインフラへのアクセスに対して二要素認証（Two-Factor Authentication：2FA）を義務付けていたにもかかわらず、SMS（ショートメッセージサービス）ベースの認証では守り切れずに、SMSインターセプトを通じて攻撃を仕掛けられたという。同社はこの事態を受け、トークンベースの2FAへの切り替えを促している。 ただ、攻撃者が取得したのは、バックアップデータやソースコード

異なるドメイン間での認証連携規格「SAML」を使った複数のシングルサインオン（SSO）サービスに脆弱性が発見され、米セキュリティ機関CERT/CCが2月27日に脆弱性情報を公開した。 CERT/CCによると、この脆弱性を悪用された場合、リモートの攻撃者によってSAMLコンテンツが改ざんされ、SAMLサービスプロバイダーの認証をかわされてしまう恐れがある。 この問題は、SSOツールなどを提供するDuo Securityが発見した。2月27日の時点で、同社の「Duo Network Gateway（DNG）」のほか、OneLoginの「python-saml」「ruby-saml」、Cleverの「saml2-js」など、複数のベンダーのSAML処理ライブラリで脆弱性が確認されている。 CERT/CCの脆弱性情報では、CiscoやGitHub、Google、Microsoftなどが影響を受ける

さらば、パスワード　Slackも採用したパスワードレス認証とは：半径300メートルのIT（1/2 ページ） セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。 パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。 そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。 これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”という

GMOペイメントゲートウェイは3月10日、受託運営する東京都の都税支払いサイトと、住宅金融支援機構の団体信用生命保険特約料支払いサイトに不正アクセスがあり、クレジットカード番号など計約6万2000件が流出した可能性があると発表した。 流出した可能性があるのは、 （1）「都税クレジットカードお支払いサイト」を利用したユーザーのクレジットカード番号と有効期限が6万1661件と、これに加えメールアドレス61万4629件 （2）「団信特約料クレジットカード払い」を利用したユーザーのクレジットカード番号・有効期限・セキュリティコードと住所氏名など個人情報が622件、これに加えメールアドレスなど計4万2918件 不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用したもの。脆弱性について、 独立行政法人・情報処理推進機構（IPA）などが9日に注意喚起をしたのを受け

スマートフォンゲーム「Pokemon GO」の影響で、キロをマイルに換算する「5km to miles」などのフレーズのGoogle検索数が米国で急増したと、米Business Insiderが報じている。同ゲームは距離を「メートル」で表記しており、それに慣れない米国人ユーザーが換算方法を検索しているようだ。 Pokemon GOは、スマホの位置情報を活用し、現実世界でポケモンを捕まえるなどして遊べるゲーム。ポケモンと任天堂、米Niantic Labsが共同開発し、7月6日に米国などで先行公開した。 同ゲームでは、手に入れたポケモンの卵をふ化させるために、2キロ、5キロ、10キロのいずれかの距離を実際に歩く必要がある（関連記事）。だが米国では、距離の表記にヤード・ポンド法が使われており、慣れないメートル法にユーザーが悪戦苦闘。キロをマイルに換算する「2km to miles」「5km to

第1巻は第1～6回放送の長崎、金沢、鎌倉、第2巻ではスペシャル版として放送した東京駅、富士山、大河ドラマ「真田丸」の舞台でもある長野県上田と群馬県沼田を取り上げる。第1～2巻は7月下旬、3～4巻を9月末、5～6巻を11月末に刊行予定。 関連記事 「ボカロで覚える参考書」異例のヒット　1カ月で10万部突破 人気VOCALOID曲の替え歌で学べる中学生向け学習参考書「ボカロで覚える」シリーズが10万部を突破。「教育業界で異例の大ヒット」という。 TBSラジオ、ポッドキャスト終了　10年超の歴史に幕　「収益化のめどが立たないため」 TBSラジオが6月末でポッドキャスト配信を終了。ストリーミング型の新サービス「TBSクラウドラジオ」に移行する。 Ingressを観光振興に　岩手県が初の試み　「エージェントのみなさん、ポータル申請しに遊びに来て」 スマホの位置情報を利用したゲーム「Ingress」を

米国でブログメディア「Gizmodo」「Lifehacker」などを運営するGawker Mediaが米破産法11条の適用を申請し、再建の手続きに入った。両サイトとも運営は続けるとしており、日本版「ギズモード・ジャパン」と「ライフハッカー［日本版］」の運営にも影響はないという。 Gawkerは、記事のプライバシー侵害をめぐる訴訟に敗訴し、1億ドル以上の賠償を命じられたことで破産申請を余儀なくされた。同社はメディア企業のZiff Davisに身売りする見通しだ。 米国の「Gizmodo」「Lifehacker」はそれぞれ、「運営を続ける」とコメントを発表した。 Gawker Mediaからライセンスを受け、両サイトの日本版を運営しているメディアジーンは、「「サイトの運営に影響はないことを確認した」とコメント。Gawker Mediaが事業を売却した後も、メディアジーンが保有するライセンスはそ

テラダ・ミュージック・スコアは6月3日、電子ペーパーを2画面に搭載し、楽譜を見開きで表示する専用端末「GVIDO」を開発したと発表した。発売時期、価格などは未定。 電子ペーパー「Mobius」（E-INK製、13.3インチ）を2画面つなぎ合わせ、デジタル化した楽譜を見開きで表示する。8Gバイトの内蔵メモリに加え、micro SDカードスロットを搭載し、電子楽譜を持ち運べる。本体サイズは、480（幅）×310（高さ）×5.9（厚さ）ミリ、重さは約650グラム。