サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
2023年2月20日富士通株式会社 当社は2022年12月23日に当社FENICSインターネットサービスにおける外部への不正通信について公表しましたが、その後、本事案の全体像を捉えるために実施した調査の結果をご報告いたします。 関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。本事象を重く受け止め、安心してご利用いただけるようセキュリティ対策をより一層強化してまいります。 1.調査結果12月9日にFENICSインターネットサービスを構成する一部のネットワーク機器から外部へ不正な通信が行われていた事象を確認し、その後影響範囲および原因の特定に向けて、デジタルフォレンジックなどの詳細調査を進めてまいりました。 その調査の結果、当社として外部への不正通信が技術的に可能であったネットワーク機器の特定と、本事象による影響範囲を確定いたしました。 ① 事象概
OasisSecurityは2024年12月11日(現地時間)、「Microsoft Azure」(以下、Azure)の多要素認証(MFA)に重大な脆弱(ぜいじゃく)性を発見したと報告した。 この脆弱性によって攻撃者は多要素認証を回避し、「MicrosoftOutlook」「Microsoft OneDrive」「Microsoft Teams」、AzureなどのMicrosoftサービスへの不正アクセスが可能となる。もし不正アクセスが実行されれば、Microsoftが提供する4億を超える有料の「Microsoft 365」アカウントが影響を受ける可能性がある。 AzureのMFA機能に不正アクセスを可能にする脆弱性 OasisSecurityの研究チームの報告によると、この脆弱性はセッションIDの管理と6桁のコードを使用した認証プロセスに起因する。MFAのコード試行にレート制限が設
個人情報がダークウェブに流出していないかどうかを調べるMicrosoftアカウントなどに不正アクセスが増えたら、個人情報がダークウェブに流出した可能性がある。Googleが提供する「ダークウェブレポート」を使えば、ダークウェブ上に個人情報が漏れていないかどうか確認できる。その使い方を紹介しよう。 ある日突然、フィッシングメールが増えた、Microsoftアカウントに不正アクセスが大量に記録されるようになった、といった経験はないだろうか(Microsoftアカウントのアクティビティを確認する方法は、Tech TIPS「ニコ動アカウント漏えいの可能性を受けて、Microsoftアカウントが不正アクセスされていないか確認する」参照のこと)。 これは、メールアドレスなどの個人情報がどこからか漏えいし、ダークウェブ(一般的な方法ではアクセスできず、一般的な検索エンジンで見つけられないWebサイトの
チェック・ポイント・ソフトウェア・テクノロジーズによると、Microsoftの従業員や関連するベンダーを装って電子メールの受信者を欺く詐欺行為が急増している。同社は過去1カ月間で、Microsoftからの通知を装った電子メールを5000通以上検出したとしている。メールが侵害されると、メールアカウントの乗っ取りや、ランサムウェアへの感染、情報窃取などの深刻な問題が発生し、ビジネスに重大な影響を及ぼしかねない。 チェック・ポイント・ソフトウェア・テクノロジーズが発見した「Microsoftになりすましたフィッシングメール」の特徴は、“怪しげなドメイン”ではなく実際の組織が使っている“正規ドメインからのメール”を装っていることだ。これらのメールは、高度な難読化技術が使われていることに加え、一部のメールにはMicrosoftのプライバシーポリシーの文言が書かれているなど、本物に見せかける工夫がされ
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
サイバー攻撃による被害の拡大防止に向けて、経済産業省は、情報セキュリティー会社どうしが情報共有する際のガイドラインの案をまとめました。 被害にあった企業を特定できないようデータを加工すれば、共有できるなどとしています。 手口が高度化するサイバー攻撃をめぐっては、情報セキュリティー会社が顧客との契約に違反することをおそれて攻撃に関する情報を共有せず、被害の拡大防止につなげられていないといった指摘が上がっています。 こうした事態に対応しようと、経済産業省は、セキュリティー会社どうしが情報を共有する際のガイドラインの案を取りまとめました。 それによりますと、攻撃者のIPアドレスやコンピューターウイルスに関する情報などは、被害にあった企業を特定できないようデータを加工すれば各社で共有できるとしています。 また、顧客との間で結ぶ秘密保持契約には、他社への情報共有が認められる文言を盛り込んでおくよう推
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 2段階認証を設定したアカウントで不正アクセス被害が報告2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て
あまり知られていないことですが、皆さんのお使いのスマートフォンに入っている「SIMカード」には「PINコード(ぴんこーど)」という一種のパスワードを設定することができます。「スマートフォンの安全性を高めるため」という名目で、このPINコードの設定を推奨される方もいらっしゃるのですが、説明不足のために操作を誤り、SIMが使えなくなる(※)というトラブルに発展するケースが多発しています。 この記事では、操作ミスで「SIMがロック」された場合の対処法について説明いたします。また、後半ではそもそもPINとはどのような機能かを紹介します。 ※SIMが使えなくなった際の影響 PINコードによるロックはあくまでSIMカードへのロックです。主な影響範囲は、「電話の発着信ができない」「SMSの送受信ができない」「データ通信ができない」の3点です。 PINコードによるロックを解除できなくても、スマートフォン本
今でこそ“ランサムウェア”はメジャーなサイバー攻撃ですが、2007年頃は欧州圏を中心に猛威を振るっており、日本から見れば対岸の火事でした。その後、日本でも個人を標的としたランサムウェアが登場し、生々しい被害が報告されたのを覚えています。 このように海外で大きく注目された攻撃手法はいずれ日本にもやってきます。その中でも最近、個人的には日本に来るとは思えなかった手法が、とうとう上陸してしまいました。「SIMスワップ」攻撃です。 日本に上陸したSIMスワップ その手口は 「SIM」には自分の携帯電話番号や接続情報が書き込まれています。SIMスワップとは文字通り、携帯電話に差し込まれたSIMを交換する/奪うことで実行される攻撃です。かつては物理的にSIMを抜き、電話番号を奪う手法が海外で話題になっていました。 電話番号は今では本人認証の一つとして使われています。二要素認証における「所持情報」として
KB5023774(およびそれ以降の更新プログラム)をインストールすると、ExplorerPatcherやStartAllBackなどのサードパーティ製のUIカスタマイズアプリを使用している環境において、Windowsが起動しなくなる恐れがあります。Microsoftによると、KB5023774以降の更新プログラムをインストールすると、ExplorerPatcherやStartAllBackなどのサードパーティ製のUIカスタマイズアプリを使用しているとPCが起動しなくなる恐れがあるとのこと。Windows11の更新プログラムは累積されるため、2023年4月12日公開予定のセキュリティ更新プログラムにもこの不具合が内包されています。 プレビューリリースにはセキュリティアップデートが含まれていないため、インストールはおろか情報自体もスルーしている方は少なくないと思います。どうかお気をつけく
2020年8月、米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ(以下、本書)」を正式公開しました。今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました(以下よりダウンロードいただけます)。 ゼロトラスト・アーキテクチャとは概念であり、また十分に成熟した領域とは言えないため、内容を正しく理解することは容易ではありません。ゼロトラスト・アーキテクチャは製品/ベンダーによって多様な実現方法があるのが実態ですが、対応したソリューションの1つを導入したとしても、ゼロトラスト・アーキテクチャを実現できる訳ではありません。本書のポイントとして、ゼロトラストの定義や7つの理念を紹介している点が挙げられます。この定義と理念をNISTが整理したことで、ゼロトラストに関する共通
Date Published: August 2020 PlanningNote (04/19/2024): Unofficial translations of NIST SP 800-207 are available: Spanish translation developed by DreamlabTechnologies (4/19/24)Japanese translation developed by PwC Consulting LLC for the Information-technology Promotion Agency (IPA), Japan (12/11/20)(DISCLAIMER: These translations are not official U.S.Government or NIST translations. The U.S. G
印刷する メールで送る テキストHTML電子書籍PDF ダウンロード テキスト電子書籍PDF クリップした記事をMyページから読むことができます本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 サイバー攻撃が巧妙化し、世界規模のビッグビジネスの様相を呈している――このことは、さまざまなメディアに取り上げられるインシデントなどで世の中の常識となりつつある。さらに、ITがビジネス領域へ本格的に進出して四半世紀ほどが経過し、現在では重要な社会インフラのようになってきている。そのため、サイバー攻撃は、社会における深刻な脅威となりつつある。 社会を守るためにセキュリティの重要度がこれまで以上に増大している。さらに、攻撃手法の巧妙化によって、単にセキュリティ対策製品などを
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
2021年5月6日から22年3月3日にかけて、4890件のメールを誤配信していた。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。漏えいした可能性がある情報の悪用は確認していない。 @gmai.comなどタイプミス・誤認識しやすいドメイン名は「ドッペルゲンガー・ドメイン」とも呼ばれる。ユーザーが誤ってアクセスしたり、メールを誤送信したりするのを狙って取得されたものもある。 通常、存在しないアドレス宛てのメールにはエラーメッセージが返送されるので、タイプミスなどがあった場合は誤送信に気付ける。一方、ドッペルゲンガー・ドメイン宛てのメールは全て受信されてしまい、エラーメールが返ってこず、ミスに気付きにくい。 埼玉大も22年3月3日までタイプミスに気付かずメールを転送
eSecurity Planetは11月8日(米国時間)、「6 Types of Rootkit Threats & How to Detect Them (+ Examples)」において、ルートキットの脅威トップ6とルートキットから身を守るためのヒントを紹介した。ルートキットとは、システムへの不正アクセスに成功した攻撃者が、侵入後に遠隔操作で活動するために必要なツールのセットのこと。 ルートキットから自身やビジネスを守るため、さまざまな種類のルートキットを理解し、可能な限りデバイスからルートキットを排除するための手順や感染に気づいたときの対処法を理解しておくことが重要だと伝えている。 ルートキットの脅威トップ6は次のとおり。 カーネルモードのルートキット - オペレーティングシステムのコアとされているカーネルのコンポーネントをルートキットに変更する ブートキット - カーネルモードルー
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年11月10日(現地時間)、脆弱(ぜいじゃく)性管理手法「SSVC方法論」(Stakeholder-Specific Vulnerability Categorization:利害関係者固有の脆弱性分類)に関するガイドラインを公開した。 SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。 近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
