米Signal Messengerのプレジデント、メレディス・ウィテカー氏は6月17日（現地時間）、欧州連合（EU）で提案されている児童性的虐待コンテンツ（CSAM）対策法案を、アップロードモデレーション（アップロード前に投稿に不適切な問題がないか確認する方法）で推進しようとする動きを批判する声明を発表した。同氏は、この法案がエンドツーエンド暗号化（E2EE）を弱体化させ、プライバシーとセキュリティを危険にさらすものだと主張している。 Signal Messengerは、E2EEメッセージングアプリ「Signal」を提供する非営利団体。ユーザーの個人情報を集めず、広告も有料サービスもなく、運営は寄付で成り立っている。ウィテカー氏は米Googleで長年AI関連の幹部を務めていたが、2019年に同社を退社。2022年にSignal Messengerのプレジデントに就任した。 EUの欧州委員会

皆さんは社内システムエンジニアの悲哀を描く技術系コメディーアニメ作品『こうしす！』をご存じでしょうか。今回はセキュリティ担当者であれば思わず「あるある……」とうなってしまうこのアニメから得られる教訓を紹介します。

個人運営のWeb小説投稿サイトとしてしられる「ハーメルン」は6月17日、DDoS攻撃を受けたと公表した。これと前後して「小説家になろう」「カクヨム」でも障害が発生しており、SNS上では関連を疑う声が上がっている。 ハーメルンの発表によると、攻撃を受けたのは、6月16日の午後5時17分から17日の午前1時ごろまで。DDoS攻撃によりページを表示できない状態になった。その後、一部の国からのアクセスを遮断。仮の対策を施し、現在は「様子見」の状態だ。 一方、KADOKAWAが運営する「カクヨム」でも16日の午後4時30分ごろから一時的につながりにくくなった。その後、一度は解消したものの、午後6時ごろに再度つながりにくくなり、午後8時ごろまで続いた。 さらに、ヒナプロジェクトが運営する「小説家になろう」でも16日の午後9時30分ごろから50分ごろまで、一部サーバに障害が発生し、小説の閲覧が困難になっ

オランダ国立サイバーセキュリティセンター（NCSC: Nationaal Cyber Security Centrum）は2024年6月10日（現地時間）、中国当局から支援を受けているとみられる脅威アクターのサイバースパイ活動が、「以前考えられていたよりもはるかに広範囲に影響を及ぼしている」と警告した。 「FortiGate」の脆弱性を悪用　影響を受けている範囲とは？ NCSCによると、今回の発表はオランダの軍事情報安全保安局（MIVD）と一般情報安全保障局（AIVD）の共同調査報告書に基づいている。MIVDは2024年2月にも「FortiGate」を標的とした脅威キャンペーンについて発表しており、同局は2024年2月以降も中国の脅威アクターによるサイバースパイ活動に関する調査を進めてきた。 中国の脅威アクターによる活動の影響が及ぶ範囲とは具体的にどのぐらいなのだろうか。 今回の発表による

クレジットカードの決済手段を巡っては、DMM.comが2022年7月にMastercardの利用停止にしたのを皮切りに、突然一時利用停止にする動きが増えている。直近では虎の穴が運営するクリエイター支援サービス「ファンティア」や、ニコニコ、DLsiteなどが海外ブランドのカードの利用を一時停止している。 関連記事 海外ブランドクレカの成人コンテンツ決済停止、長期化の様相　サービス継続を断念するケースも 海外クレジットカードブランドによる成人向けコンテンツの決済停止が相次いでいる問題で、エイシスは「当面の間」は再開できないという見通しを明らかにした。一方、サービスの継続を諦める企業も出てきた。 「ファンティア」、Visa・Mastercardの利用を突如一時停止　「とらコイン」も両クレカでの購入不可に 同人ショップ「とらのあな」などを運営する虎の穴は5月21日、同社のクリエイター支援サービス「

総務省が、6月12日に開催した「競争ルールの検証に関するWG（第57回）」にて、ミリ波対応端末の割引制限を緩和する案を示した。 2023年12月に改訂された電気通信事業法のガイドラインでは、スマートフォンの割引は端末単体購入の場合も含め、上限が4万円（税別、以下同）に制限されている。 30GHz～300GHz帯のミリ波は、日本では28GHz帯が活用されており、NTTドコモ、KDDI、ソフトバンク、楽天モバイルが400MHz幅ずつ運用している。6GHz以下のSub-6に比べて広い帯域を確保でき、より高速・大容量の通信ができるのが特徴だ。今後、5Gのトラフィックがさらに増大することを考えると、5G普及においてミリ波の重要性は増している。 一方、2023年に出荷されたスマートフォンに占めるミリ波対応端末の割合は5.2％にとどまっているという調査結果もあり、対応機種が少ないことが課題となっている。

54.9%のクラウドサービスがアクセス権限変更を事前通知せず アシュアードが公表したのは、クラウドサービスの安全性を評価するプラットフォーム「Assured」が持つ独自データに基づいて各種クラウドサービスの機能や権限に関する設定の調査結果だ。専門知識を持つセキュリティ評価チームが主要なガイドラインに基づき、クラウドサービスのセキュリティ対策を調査し、その結果をデータベースに集約したものとされている。 主な調査結果として、54.9%のクラウドサービスがアクセス権限変更を事前通知していないことが判明した。他サービスとの連携機能を持つクラウドサービスの30.7%が管理者権限で設定できず、情報漏えいリスクが指摘されている。また、預託データの外部公開機能については22.1%が管理者権限で設定できないとされている。さらに、50.9%のクラウドサービスでサービス利用者がログイン履歴や操作ログを確認できな

ドワンゴは6月14日、ニコニコのサービス全般が利用できない状況になっている障害について、「ランサムウェアを含む大規模なサイバー攻撃によるものであることが確認された」と明らかにした。今後は段階的な復旧を目指すが、1カ月以上かかる見通しだという。 今月8日、グループ企業のデータセンターがランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になった。その後も攻撃は繰り返し行われ、遠隔でプライベートクラウド内のサーバをシャットダウンしても、攻撃者が遠隔起動させて感染拡大を図るなど攻防が続いたという。 このため、サーバの電源ケーブルや通信ケーブルを物理的に抜いて封鎖したが、グループ企業が提供するデータセンターに設置されているサーバはすべて使用できなくなった。 「冗長構成とかバックアップというのは当然用意しておりましたし、セキュリティ対策というのも様々に実施してはいたのです

2003年に摘発を受けた指定暴力団山口組五菱会（当時）系ヤミ金グループの元メンバーの男らが逮捕された事件で、男らが顧客の信用情報を照会できるサイトを利用していたことが6月12日、捜査関係者への取材で分かった。サイトはグループを統括する「センター」が運営しており、警視庁生活経済課は現在も残存する五菱会系のヤミ金組織が、これらのツールを運用しながら情報を共有してヤミ金業を営んでいるとみて調べている。 同課によると、サイトは「金融業者専用情報交換サイト　casuumo（カスーモ）」の名前で運用。顧客の名前と生年月日、住所を入力すると、他のグループでの借り入れ、返済状況が閲覧でき、月額5万円の利用料に加え、10件の「つけ」（照会）ごとに1万円を課金する仕組みだった。 同課は男のグループで現金の運び屋をしていた他、自身も超高金利でヤミ金を営んだとして、貸金業法違反（無登録営業）などの疑いで、横浜市西

ツールの拡張機能に紛れ込む悪意のあるコードは多くの企業にとって脅威となる。英語圏のユーザーを中心に利用されているブログサイト「Medium」で、ソースコードエディタ「Visual Studio Code」（以下、VSCode）の拡張機能を公開する「Visual Studio Marketplace」を対象としたセキュリティ調査の結果が発表された（注1）。 マーケットプレイスのトレンドに躍り出た「偽の拡張機能」 この調査では、まず「悪意のあるVSCodeの拡張機能を作成できるかどうか」と「悪意のある拡張機能をVisual Studio Marketplaceで公開できるかどうか」の2つを実施、評価した。その上で、Visual Studio Marketplaceで実際に偽の拡張機能をダウンロードする企業がどの程度あるかを実験した。この一連の調査はVSCodeおよびVisual Studio

NTT（持ち株会社）は6月7日、AI活用をめぐり、グループと社員が心がけておくべき基本的な方針をまとめた「AI憲章「NTTグループAI憲章」を制定したと発表した。 AIに関する最高責任者「Co-Chief Artificial Intelligence Officer」（Co-CAIO）も配置したほか、AIガバナンス室も新設し、AI活用のリスクを管理する。 AI憲章に加え、AIリスクを定義し、AIガバナンスの整備・運用ポリシーを定めた「AIガバナンスポリシー」、生成AI利用リスクと対策を示した「生成AI利用ガイドライン」を制定した。 新設したCo-CAIOは、適切なAI利用の推進とAIリスクへの対応を統制。AIガバナンス室はCo-CAIOを補佐し、グループのAIガバナンス規程類の整備や、会社のAIリスクマネジメント状況の評価を行う。 リスクマネジメント手法には、リスクベース・アプローチを採

Tenableは2024年6月3日（現地時間）、「Microsoft Azure」（以下、Azure）に深刻な脆弱（ぜいじゃく）性が存在すると伝えた。この脆弱性を悪用することで、信頼できるサービスからのリクエストを偽造し、攻撃者がAzureサービスタグに基づくファイアウォールルールを回避できるとされている。 複数のAzureサービスに見つかった脆弱性　Tenableが警告 Azureサービスタグは、特定のAzureサービスのIP範囲をグループ化することでAzure内のネットワーク分離を簡素化する。ネットワークセキュリティルールを定義して複数のAzureリソースに一貫して適用することが可能とされ、ファイアウォールルールやネットワークセキュリティグループ（NSG）の構成などのアクセス制御を管理するのに便利な機能とされている。 発見された脆弱性は当初、監視ソリューション「Azure Monito

「もう限界です」──82の国立大学法人が参加する国立大学協会は6月7日、日本の国立大学の財務状況に関する声明を発表した。物価高騰や円安などの影響で、国立大学の財務状況は悪化し続けているという。 国立大学法人の収入源は、学生からの納付金や病院収入などの自己収入、受託研究費や寄付金、研究者個人に与えられる科学研究費補助金などの他に、国からの運営費交付金と呼ばれる資金がある。運営費交付金は活動資金の中でも大きな割合を占めているが、2004年度以降、減少傾向という。

他にも、学部学生のレポートや一部の大学院入試の採点表、ある年度の一部学生のGPA（成績平均値）などが公開されていたことも大学側の調査で判明している。大学院入試の試験問題も閲覧できる状態だったが「不正に使用された事実は確認できなかった」として「合否判定については変更しない」という。 22年10月の発覚後、公表が1月となったが、琉球大は「Teams上の全てのファイルを調査したり、該当者に謝罪する準備をする必要があった」と釈明した。 「このような事態を招き、関係する皆さまに、ご迷惑とご心配をおかけしたことを深くお詫び申し上げる。今回の事態を受け、情報管理の一層の強化を図り、再発防止に全力で取り組む」（琉球大） 関連記事 ソニーの「着るエアコン」“バカ売れ”　猛暑追い風に「想定以上で推移」 連日の猛暑が続く中、ソニーグループ（ソニーG）が4月に発売した、充電式の冷温デバイス「REON POCKET

会議資料や大学院の入試資料304件を、本来権限を持たない学生・職員が閲覧できた。このうち273件には、学生436人、職員67人、その他398人の個人情報が含まれていたという。含まれていた個人情報は氏名、メールアドレス、成績情報など。最も古いファイルは2020年4月のものだった。 2022年10月6日に学生からの指摘で発覚。設定は同年10月11日に修正済みで、すでに担当者以外には閲覧できない状態という。 閲覧できた入試資料には、すでに実施した入試の問題も含まれていた。ただし資料・個人情報の不正利用や漏えいを確認していないことから「入試の公平性・公正性に鑑み、当該大学院入試について精査を行ったが、合否判定については変更しない扱いにした」（琉球大）という。 試験問題が閲覧可能だった大学院の研究科名は公表しない方針。「平穏な教育研究環境に影響が生じることを避ける」（同大）としている。今後はパスワー

資産運用会社のあいざわアセットマネジメント（東京都港区）は5月31日、個人情報の流出があったと発表した。特定の社員のメールが不正にダウンロードされ、その情報をもとに社外の関係者らへ投資を促すスパムメールが送信されたという。 同社によると、5月12日から13日の間に、特定の社員が使用していたクラウド型eメールサービスから、メールサーバに保存していた約2年分のメールが不正にダウンロードされたおそれがあるという。これには顧客9件や同社従業員、社外関係者を含む1000件を超える個人情報が含まれていた。名前やメールアドレス、会社名、部署名、電話番号などが流出した可能性がある。 13日には、その情報を基に社外の関係者へ約800通の投資を促すスパムメールが送信された。ウイルスなどの添付はなかったことは確認しているものの、BCCで一斉配信されており「その影響の範囲を特定するに至っていない」。このため顧客や

日本は「デジタル小作人」のままでいいのか　海外クラウド“高依存”の不安：世界を読み解くニュース・サロン（1/4 ページ） 「デジタル赤字」という言葉を聞いたことがあるだろうか。 三菱総合研究所によれば、「日本銀行のレポートを参考に、国際収支統計からデジタル関連収支を計算すると、23年のデジタル関連収支は5.5兆円の赤字となった。23年はインバウンドの回復により旅行収支が3.4兆円の黒字となったが、デジタル赤字がそれを上回った」という。 つまり、観光などで外国人が日本で落とすお金以上に、日本が外国のデジタルサービスなどに使うお金が多いということだ。実は、デジタル赤字は何年も前から起きているが、近年は赤字がどんどん増加している。それだけ日本人の富が流出していることになる。 とはいえ、この流れはもう誰にも止めることができないのが現実だ。 この状況について三菱総研は「デジタル赤字の拡大は、日本がデ

Huaweiの新ハイエンドスマホ「Pura 70 Ultra」を試す　制裁下でこの性能は“魔法を使っている”と思わせるほど（1/4 ページ） GalaxyやXiaomiといった新型スマートフォンに沸き立つ中、中国ではHuaweiの最新スマートフォン「Pura 70」シリーズが話題を集めている。Puraシリーズは、従来の「P」シリーズから名称を変更したハイエンド系のシリーズ。 今回、筆者は「Pura 70 Ultra」の実機を入手したので、レビューしよう。今回のレビューは電波法第103条の6の解釈のもと「海外で開通した携帯電話」を持ち込んで確認を行った。 中国製造のKirin 9010を搭載して制裁を回避　十分なパフォーマンスを発揮 まずは、主なスペックを見ていこう。 プロセッサ：HiSilicon Kirin 9010 メモリ：12GB ストレージ：512GB/1TB 画面：6.76型 フ

カオナビ子会社で、3月に約15万人分のユーザー情報漏えいを発表したワークスタイルテック（東京都港区）は5月31日、漏えいした情報の中にクレジットカードやデビットカードの情報が含まれることを発表した。調査の結果詳細が分かったとして、当初発表した漏えい件数も変更した。 ワークスタイルテックは当初、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像など16万2830人分の情報が2020年1月5日から24年3月22日にかけて外部から一時閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたと発表していたが、これを修正。 正しくは、顧客がWelcomeHRを通してクラウドストレージにアップロードしていた身分証のPDF

「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。