ベルギーの消費者団体Testaankoopはこのほど、「Routers van Linksys maken je kwetsbaar voor hackers」において、LinksysのメッシュWi-Fiルータが初期設定時に機密情報を暗号化せずAmazonサーバに送信していると報じた。 Routers van Linksys maken je kwetsbaar voor hackers 問題の概要 TestaankoopによるとLinksysの「Velop Pro 6E」および「Velop Pro 7」は初期設定時にSSIDとパスワードを含む機密情報を暗号化せずに米国のAmazonサーバに送信するという。これは中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者が情報を窃取できることを意味しており、通信の傍受または改ざんにつながる可能性がある。 問題の影

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント「情報セキュリティ事故対応アワード」。第9回となる今回は、2023年を対象にインシデントレスポンスが優れていた企業を選定した。6月11日には、受賞企業の表彰と審査員によるパネルディスカッションが行われた。本稿ではその様子の一部をレポートする。 審査員 SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏 EGセキュアソリューションズ 取締役 CTO　独立行政法人情報処理推進機構(IPA)非常勤研究員　技術士(情報工学部門) 徳丸浩氏 NTTセキュリティ・ジャパン コンサルティングサービス部 北河拓士氏 インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏 piyokango氏 2023年は、優秀賞2件・特別賞1件・審査員長特別賞2件 本アワードは、セキュリティ事故への

サイバーセキュリティクラウドは7月5日、国内の2万4000以上のサイトを対象とした調査の結果、6月7日以降にPHP CGIの脆弱性（CVE-2024-4577）を狙ったサイバー攻撃が急増していることを確認したと発表した。同社は早急な脆弱性への対応とダークウェブへの不用意なアクセスについて注意喚起している。 最大10倍程度の攻撃を確認 調査によると、PHPの脆弱性（CVE-2024-4577）を悪用した攻撃は、6月7日以降急激に増加しているという。直近3カ月の平均を比べると最大10倍の攻撃が検知されており、多くのWebサイトが攻撃のリスクに晒されていることが明らかになった。 この脆弱性を利用したマルウェアの存在も確認されており、ランサムウェアとしてすでに被害が発生してもおかしくない状況とのことだ。企業サイトや個人情報を扱うサイトは脆弱性を放置せず早急な対策が必要だとしている。 CVE-202

2023年11月、米BroadcomによるVMwareの買収が完了した。その結果、ライセンス販売が終了し、サブスクリプション型に全面移行するなど、利用者にとって判断が難しい局面が続いている。ユーザーはこうした状況において、いかにして対応すべきだろうか? VMwareが買収されたことで、ライセンス形態にもいくつかの変更が行われた。 機能別の提供からエディションで集約する提供になったり、CPU単位の永続ライセンスからコア単位のサブスクリプションへ変わったり、顧客が購入できるエディションに制限が加えられたりしている。 しかもいまだ確定しないことが多いため、この状況をどう判断してよいかわからず、戸惑っているユーザーもいることだろう。 アルファテック・ソリューションズ、デル・テクノロジーズ　提供資料 VMware影響に対する施策・ソリューション ＞ ＞ 資料ダウンロードはこちら 「脱VMware」か

Sansecは6月25日(現地時間)、「Polyfill supply chain attack hits 100K+ sites」において、オープンソースのJavaScriptライブラリ「Polyfill.io」が改変され、10万以上のWebサイトに展開されたと報じた。 Polyfill supply chain attack hits 100K+ sites Polyfill.ioの買収 Polyfill.ioはAndrew Betts氏が開発した人気のJavaScriptライブラリ。古いWebブラウザをサポートし、JSTOR、Intuit、世界経済フォーラムを含む10万以上のWebサイトに利用されている。 Polyfill.ioは2024年2月、中国を拠点とするコンテンツデリバリーネットワーク(CDN: Content Delivery Network)企業の「Funnull」に買収

Defiantはこのほど、「Several WordPress.org Plugins ＜= Various Versions - Injected Backdoor」において、複数のWordPressプラグインにバックドアが挿入されたと報じた。影響を受けたプラグインをインストールしているWebサイトには、不正な管理者ユーザーが作成され、Webサイト全体にSEOスパム(Search Engine Optimization SPAM)を挿入される可能性がある。 詳細は次のページにまとまっている。 Supply Chain Attack on WordPress.org Plugins Leads to 5 Maliciously Compromised WordPress Plugins Several WordPress.org Plugins ＜= Various Versions -

ロジテックINAソリューションズは5月16日、カードタイプのiPhone用スマートトラッカーを発表した。ワイヤレス充電に対応しており、コイン電池を購入したり交換する必要がない。価格はオープンで、実売価格は3,800円前後。量販店モデル「LGT-WCSTC01BK」を5月20日より、Web販売モデル「LGT-LWCSTCW01DB」を5月16日より発売する。 ワイヤレス充電に対応したAirTag互換のカード型紛失防止タグをロジテックが発表。電池交換の手間なく使える 本体にはストラップホールを備える クレジットカード2枚分の厚さのカード型スマートトラッカー。スマートトラッカーは紛失防止タグのことで、失くしたくないものに付けておくことで位置を特定し見つけ出せる。BluetoothでiPhoneと連携して「探す」アプリに登録すると、位置が地図上に表示され、位置が特定できる。iPhoneのBluet

この連載でこれまで何度か取り上げてきた本人確認の問題（第43回、第47回）。eKYCを悪用した銀行口座の問題に続いて、店頭での本人確認を回避した携帯電話の機種変更が話題になりました。いかに本人確認を確実にするのか、改めて確認したいと思います。 スマートフォンに挿入するICカードが、今回問題になったSIMカードです 勝手に機種変更されて携帯を乗っ取られる「SIMスワップ」 今回の問題は、東京都の風間ゆたか都議と大阪府八尾市の松田憲幸市議が相次いで被害に遭い、それをXに投稿したことで明るみに出ました。 2人とも、政治家として有権者の声を聞くために携帯電話番号を公開していたところ、その携帯電話の機種変更が他人の手によって行われ、SIMカードが交換されたことで「携帯電話の乗っ取り」が発生したという経緯のようです。 SIMカードは、携帯電話の契約情報が書き込まれたICチップです。SIMカードを入れ替

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月10日、「JVNTA#94876636: DHCPのオプション121を利用したVPNのカプセル化回避の問題」において、VPN(Virtual Private Network)接続をバイパスする新しいサイバー攻撃手法「TunnelVision」について注意を喚起した。この攻撃手法の詳細は「VPN接続をバイパスする新しい攻撃手法「TunnelVision」、通信の傍受が可能 | TECH+（テックプラス）」にて解説している。 JVNTA#94876636: DHCPのオプション121を利用したVPNのカプセル化回避の問題 VPN接続のバイパスとは TunnelVisionは、DHCPのオプション121(クラスレ

米IBMとHashiCorpは4月24日(現地時間)、IBMが1株あたり35ドル、企業価値64億ドル(日本円換算で約1兆円)でHashiCorpの買収について、確定的な合意に達したと発表した。HashiCorpの製品群は、企業がハイブリッドクラウドとマルチクラウド環境を自動化するためのインフラストラクチャライフサイクル管理とセキュリティライフサイクル管理を可能としている。 買収に伴う各者のコメント IBM 会長兼CEOのArvind Krishna氏は「エンタープライズのお客さまは、公共クラウド、プライベートクラウド、オンプレミス環境を含むインフラストラクチャとアプリケーションの前例のない拡大に取り組んでいます。生成AIを巡る世界的な興奮はこれらの課題を悪化させ、CIO(Chief Information Officer)と開発者は彼らの技術戦略における劇的な複雑さに直面しています。Has

MailGuardは4月19日(現地時間)、「Beware Office 365 Password Reset Hoax」において、Microsoft 365（旧Office 365）のパスワードリセットを促すフィッシングメールを確認したとして注意を喚起した。 Beware Office 365 Password Reset Hoax フィッシングメールの概要 MailGuardが確認したフィッシングメールは「Office 365」アカウントのパスワード期限切れを通知する内容で、アカウントの認証情報を窃取する目的があったとされる。しかしながら、文法のレベルが低いためだます試みは失敗したという。MailGuardは、Microsoftアカウントが頻繁に標的にされているとして注意を促すために情報を公開したとしている。 MailGuardが確認したフィッシングメールの例　引用：MailGuard

Kaspersky Labは4月12日(現地時間)、「Kaspersky analysis of the backdoor in XZ｜Securelist」において、圧縮ツールおよびライブラリ「xz」から発見された悪意のあるコードの分析結果を公開した。この問題の概要は「緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を | TECH+（テックプラス）」にて報じている。 Kaspersky analysis of the backdoor in XZ｜Securelist xzに潜んでいた悪意のあるコードとは xzから発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。攻撃者はこの脆弱性を悪用することでsystemdによって起動されたsshdの認証を妨害し、システムへの侵入を可能にするという。 分析結果 Kaspersky L

Appleは4月10日(米国時間)、「About Apple threat notifications and protecting against mercenary spyware - Apple Support」において、Appleのスパイウェア脅威通知システムに関する文書を改訂した。これまで「国家支援による攻撃」と表現していた部分を「傭兵によるスパイウェア」に変更し、イスラエルのNSO Groupが販売するスパイウェア「Pegasus」を名指しで指摘するように変更している。 なお、改訂の翌日の2024年4月11日(米国時間)、ニュース配信ブログ「TechCrunch」はAppleが92カ国のユーザーにスパイウェア脅威通知を送信したと報じている(参考：「Apple alerts users in 92 nations to mercenary spyware attacks | Te

Bleeping Computerは4月1日(米国時間)、「Google now blocks spoofed emails for better phishing protection」において、GoogleがGmailの「メール送信者のガイドライン」を本格的に運用開始したと伝えた。このガイドラインは2023年10月に公表され、2024年2月から試験的に運用が開始されている。2024年4月からガイドラインに準拠しないメールは段階的に拒否されるようになる。 Google now blocks spoofed emails for better phishing protection Gmail送信者のガイドラインの概要 Googleは不正なメールや迷惑メールを防止するため、個人用Gmailアカウントへのメール送信者に「メール送信者のガイドライン」への準拠を求めている。このガイドラインはGo

Microsoftは3月12日にWindows Server向けの2024年3月の更新プログラムをリリースしたが、これをインストールした環境でドメイン コントローラーのクラッシュや再起動などの問題が発生しているようだ。 Bleeping Computerが3月21日に「Microsoft confirms Windows Server issue behind domain controller crashes」で伝えたところによると、Microsoftはこの問題を認識しており、 Windows Server 2012 R2、2016、2019、および2022のすべてのバージョンに影響することを確認したという。一時的な回避策として、該当する更新プログラムをアンインストールすることが挙げられている。 Microsoft confirms Windows Server issue behind

Malwarebytesは3月20日(米国時間)、「Apex Legends Global Series plagued by hackers｜Malwarebytes」において、ElectronicArtsおよびRespawnEntertainmentが開催しているゲームイベント「Apex Legends Global Series Year 4」の北米リージョン決勝戦延期の原因ついて報じた。根本的な原因は判明していないが、原因の一端にサイバー攻撃の可能性があるとしている。 Apex Legends Global Series plagued by hackers｜Malwarebytes ALGS Year 4北米リージョン決勝戦が延期 「Apex Legends」はRespawnEntertainmentが開発し、ElectronicArtsにより配信されているファーストパーソン・シ

Bleeping Computerはこのほど、「Windows 10 KB5001716 update fails with 0x80070643 errors, how to fix」において、Windows 10向けの更新プログラム「KB5001716」でインストールに失敗する問題が発生中だと伝えた。 Windows UpdateでKB5001716を適用しようとした場合、途中でエラーコード「0x80070643」のエラーメッセージが表示され、インストールが中断してしまうという。 Windows 10でKB5001716をインストール時にエラーが発生　出典：Bleeping Computer 更新プログラム「KB5001716」とは Microsoftによれば、更新プログラム「KB5001716」はWindows Update向けの新しいUIが含まれているという。ただし、リリースノート

Bleeping Computerは3月8日(米国時間)、「Critical Fortinet flaw may impact 150,000 exposed devices」において、インターネットに公開されているFortinet製品のうち約15万台が既知の緊急の脆弱性「CVE-2024-21762」に対して脆弱なまま修正されていないと報じた。 この脆弱性は悪用されるとリモートの認証されていない攻撃者により任意のコードを実行される可能性がある。また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はすでに悪用が確認されているとして、脆弱性カタログ(KEV: Known Exploited Vulnerabilities Catalog)にこの脆弱性を登録

ハウツー iPhoneで2枚の交通系ICカードを併用できますか? - いまさら聞けないiPhoneのなぜ 2024年3月現在、Apple Payには1台につき最大16枚(iPhone 8以前は最大8枚)のクレジットカードやプリペイドカード、電子マネーを登録できます。 利用できる交通系ICカードはモバイルSuicaとモバイルPASMO、モバイルICOCAの3種類、しかも端末1台につき1枚という制限はありません。だから交通系ICカードは問題なく併用でき、ユーザの判断で使い分けることが可能です。 複数の交通系ICカードを併用できることには、大きな意味があります。たとえば、モバイルSuicaでは非JR区間の定期券は原則JRとの連絡定期券としてしか購入できませんが、モバイルPASMOがあれば非JR区間のみの定期券を購入できます。通勤・通学定期券で3社以上の路線を乗り換えている場合でも、iPhone

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月26日(米国時間)、「CISA, NCSC-UK, and Partners Release Advisory on Russian SVR Actors Targeting Cloud Infrastructure｜CISA」において、英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)およびその他の米国、国際パートナーと協力して共同アドバイザリー「SVR Cyber Actors Adapt Tactics for Initial Cloud Access | CISA」を発表した。 このアドバイザリ