「パスワードは定期変更の必要なし」総務省が国民向けサイトで正式見解【やじうまWatch】
水道局の水処理システムにハッカーが侵入し、飲料水の汚染試み フロリダ州で
フロリダ州ピネラス郡保安官は2月8日(現地時間)、オールズマー市水道局の水処理システムを制御するパネルに何者かがリモートでアクセスし、飲用水に含まれる水酸化ナトリウムの量を大幅に増やす設定変更を実行したと発表した。オペレーターが異常に気づいてすぐに設定を戻したため、実際の被害はなかったとしている。 ボブ・ガルティエリ保安官は記者発表で、このハッキングは市の給水に対する深刻な脅威だと語った。 水酸化ナトリウムは、水の酸性度を抑え、水道管の腐食を防ぐために飲用水に微量(約100ppm)混ぜられているが、侵入者はこの量を1万1100ppmに変更した。これは人体に危険な量だ。 5日の午前8時に水処理施設のオペレーターがリモートからのアクセスに気づいたが、上司などがアクセスできるように設定してあるため、異常だとは思わなかった。だが、午後1時半に再度リモートアクセスがあり、この時に水酸化ナトリウムのレ
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工
国内38社がVPNの脆弱性をついた攻撃を受け、ダークウェブ上にVPNのユーザーIDやパスワードが流出していたと内閣サイバーセキュリティセンター(NISC)が明らかにした問題で、被害にあった1社の平田機工は8月25日、流出の原因を明らかにした。 4月から始めたテレワークの負荷分散のため旧VPNシステムを急きょ稼働させたところ、最近発見された脆弱性を突かれて、社員24人とVPNシステム管理用のユーザーIDとパスワードが抜き取られたという。社内ネットワークに侵入された形跡はなかったとしている。 同社は4月後半からテレワークを実施。その負荷に現VPNシステムでは対処しきれなくなったため急きょ、前年度に交換した旧VPNシステムを4月22日から稼働させて負荷を分散させた。 だが旧VPN装置には最近発見された脆弱性があり、社員24人とVPNシステム管理用のユーザーIDとパスワードが6月25日に抜き取られ
VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?:Googleも採用(1/3 ページ) 新型コロナウイルスの感染対策として広がったテレワーク。社員にパソコンなどを用意して環境を整えたまではいいが、いざ全社的にテレワークを始めてみると「VPN(Virtual Private Network)で会社につなげたくても、回線や機器の負荷が高すぎてつながらない」「重たくて仕事にならない」といった声があちこちで聞こえてきた。また、社員の姿が直接見えなくなってあらためて、セキュリティは保たれているのか、いざ問題が発生したときに適切に対応できるか、不安を感じる企業も少なくない。 そうした中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しいモデルに基づいてテレワーク環境の構築を進める企業が日本でも登場してきた。実はこの
システム携わっとってサイバーキルチェーン知らん人とかおるん? - Qiita
サイバーキルチェーンは必須知識 サイバー攻撃の段階を構造化したサイバーキルチェーンについて、備忘も兼ねて今更ながらまとめてみました。 今更ながらと言ったのは、2020年現在、サイバーキルチェーンの次に来ると言われていて、攻撃者の行動を戦術単位で構造化した「ATT&CK」が主流となりつつあるためです。 ちなみにIPAもATT&CKをベースにしたガイドラインを発表しています。 https://www.ipa.go.jp/ikc/info/20200327.html 執筆にあたって、安全なWebアプリケーションの作り方を参考にさせていただきました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 サイバーキルチェーンとは 近年、サイバー攻撃は段階を踏んで行われるようになりました。 この攻撃を構造化したものが「サイバーキルチェーン」です。 元々、軍事用
Engadget | Technology News & Reviews
iPad Pro (2024) review: So very nice, and so very expensive
高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。 App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日 トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日 これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。 セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善
ウイルスバスターなど、App Storeから消える トレンドマイクロは確認中
トレンドマイクロは9月12日、「ウイルスバスター モバイル」などのiOS版アプリがApp Storeに表示されず、インストールできない状態だと発表した。状況確認を進めているという。同社アプリを巡っては、ユーザー情報を抽出しているとの指摘が出ている。 対象のiOSアプリは、個人向けの「ウイルスバスター モバイル」「パスワードマネージャー」「ウイルスバスター for Home Network」「ウイルスバスターマルチデバイス月額版」「ウイルスバスターモバイル月額版」「ウイルスバスター+デジタルサポート月額版」「パスワードマネージャー月額版」「フリーWi-Fiプロテクション」と、法人向けの「Trend Micro Mobile Security」。 9月上旬、ユーザーのブラウザ閲覧履歴などが中国のサーバに送信されていたとの指摘が出ていたアプリ「Adware Doctor」が、Mac App St
「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見
「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見:任意のコードが実行される恐れ 2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。 広く普及したオープンソースのWebアプリケーションフレームワーク「Apache Struts 2」で発表されたばかりの脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードを、セキュリティ研究者が発見した。これを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載。以下、内容を抄訳する。 このPoCコードは、脅威インテリジェンス企業Recorded Futureがソフトウェア開発プラットフォーム「GitHub」で発見した。同社によると、このPoCコードには、「問題の脆弱性を簡単に悪用できるPythonスク
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
高度なマルウェア「VPNFilter」、54カ国で感染拡大 一斉攻撃の恐れも
感染したデバイスに対して「kill」コマンドが実行されれば、大量のルータが同時に使用不能に陥る恐れもある。 米Ciscoのセキュリティ部門Talosは5月23日、国家の関与が疑われる高度なモジュール式マルウェア「VPNFilter」が、世界54カ国で50万台以上のルータなどに感染を広げていると報告した。一斉攻撃を仕掛けられれば大量のルータが同時に使用不能に陥る恐れもあるとして、警戒を呼び掛けている。 Ciscoによると、VPNFilterの感染が確認されているのはLinksys、MikroTik、NETGEAR、TP-LinkのSOHO向けネットワーキングデバイスと、QNAPのNASデバイス。同マルウェアにWebサイトの認証情報を盗んだり、産業制御装置(SCADA)用通信プロトコルのModbusを監視したりするコンポーネントが含まれている点は、特に憂慮されるとしている。 さらに、感染したデ
主要OSに共通の脆弱性が発覚--「Windows」「macOS」「Linux」などに影響
AMDおよびIntelのx86プロセッサ上で稼働する「Windows」、「macOS」、「Linux」の主要ディストリビューション、「FreeBSD」、「VMware」、「Xen」に影響する、深刻な脆弱性が明らかになった。OS開発者がチップメーカー2社のデバッグ文書の解釈を誤ったのが原因とみられる。 US-CERTは米国時間5月8日、認証を受けた攻撃者が「メモリ内の機密データを読んだり、OSの低級な機能を制御したり」する可能性を警告し、影響を受けるOSおよびハイパーバイザの開発元でパッチの対応状況を確認するよう呼び掛けている。 US-CERTは影響を受ける開発元として、Apple、DragonFly BSD、FreeBSD、Linux Kernel、Microsoft、Red Hat、SUSE Linux、Synology、Ubuntu、VMware、Xenプロジェクトを挙げている。Lin
トーバルズ氏、AMD製プロセッサの脆弱性に関するCTS Labsの主張を一蹴
Steven J. Vaughan-Nichols (ZDNET.com) 翻訳校正: 編集部 2018-03-16 15:42 新興セキュリティ企業のCTS Labsは、AMDの「AMD Ryzen」と「AMD EPYC」プロセッサに10を超える脆弱性を発見したと主張した。CTS Labsはイスラエルのテルアビブに本社を置く、これまであまり知られていなかった企業だ。しかし、Linus Torvalds氏はその主張をうのみにしていない。 Torvalds氏は以下のように記している。 「『BIOSや、CPUのマイクロコードが邪悪なものに変更された場合に、セキュリティ上の問題が発生する可能性がある』などと読めるセキュリティアドバイザリなど今までにあっただろうか?そういうことだ」(Torvalds氏) また、同じスレッドには、「私はたった今、あらゆるハードウェアに存在する欠陥を発見した。セキュア
電子決済サービス「ペイジー」を悪用し不正送金 仮想通貨アカウントへ、全国で被害1億円超(1/3ページ)
インターネットバンキングなどで支払いができる電子決済サービス「Pay-easy(ペイジー)」を悪用し、利用者の口座から仮想通貨取引所のアカウントに現金を不正送金する手口が相次ぎ、全国で被害額が1億円を超えていることが5日、分かった。匿名性の高い仮想通貨取引所のアカウントを使うことで、送金ルートをより把握されにくくすることが目的とみられ、警察当局が警戒を強めている。 ペイジーは税金や公共料金などをパソコンやスマートフォン、ATM(現金自動預払機)から支払うことができるサービス。警察庁によると、ペイジーを悪用し、被害者の口座から仮想通貨取引所のアカウントへ不正送金する手口は昨年5月に初めて確認された。被害は、統計の出ている昨年上半期だけで全国で19件発生しており、被害額は約1億400万円に達している。今後も増加することが懸念されている。 これまでにもペイジーが不正送金に悪用されたケースはあった
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マルウェア対策機能を大幅に強化した「Acronis True Image 2021」が発売/リアルタイムのマルウェア対策機能やWebフィルタリング機能を搭載
テレワーク、VPN暗証番号流出 国内38社に不正接続 - 日本経済新聞
https://jp.techcrunch.com/2020/07/28/2020-07-27-garmin-confirms-ransomware-attack-outage/
Windows版「ESET Internet Security」など最新版リリース、オフライン環境でも未知のマルウェアを解析可能に 
LinuxベースのルーターやNASに感染するマルウェア「VPNFilter」、54カ国50万台に感染か、Cisco Talos報告 
Spectre/Meltdown脆弱性を利用したマルウェアが発見
