サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
ここ数週間、スマートフォン利用者に向けて、各国のサイバー当局から数多くの警告が出されている。メッセージのやり取りには暗号化されたメッセージアプリだけを使うこと。SMSによるセキュリティコードはもう使わないこと。商用の個人向けVPNサービス(一般消費者向けの市販VPNサービス。運営者の信頼性やセキュリティに問題があるものも多く、後述の「信頼できるVPN」とは区別される)は避けること。そして、できるだけ早くスマートフォンをアップデートすること――ちょうど今週はそれがとりわけ重要になっている。しかし、今度はそれだけでは済まない。“使用していないとき”には「Wi‑Fi機能を完全に無効化する」よう求められているのだ。 上記の助言の大半は、米国のサイバー防衛機関であるCISAから出されたものだが、最新のもの、特にWi‑Fiについては英国の機関と連携して発表されたフランスの同等機関CERT‑FRによるも
アスクルは12月12日、10月に発表したランサムウェア被害を巡り、約74万件の個人情報漏えいを確認したと発表した。攻撃手法に関する調査結果や原因分析、初動対応などを時系列順にまとめたレポートも公開。今後の再発防止に向けた施策のロードマップも公開した。 漏えいした情報は、事業所向けサービスに関する顧客情報約59万件、個人向けサービスの顧客情報約13万2000件、取引先情報1万5000件、役員・社員の情報2700件。どんな情報が対象かは二次被害防止のため控えたが、クレジットカード情報は含まないという。 攻撃手法をまとめたレポートによれば、攻撃者は同社ネットワーク内に侵入するために、業務委託先用の認証情報を窃取し不正に使用した可能性があるという。6月5日に初期侵入に成功した後、攻撃者はネットワークの偵察を開始。複数のサーバにアクセスするための認証情報の収集を試みていた。 その後、攻撃者はEDRな
長崎県でテーマパークを運営するハウステンボスは12月12日、8月に発生した不正アクセスにより、顧客情報や役職員、取引先の個人情報が大規模に漏えいした可能性があると発表した。 顧客約149万9300人分の氏名や住所などと、役職員とその家族約3万7300人分の氏名やマイナンバー情報、健康診断結果、障がいに関する情報、取引先約9400人分の氏名やマイナンバー情報などが漏えいしたおそれがあるという。 漏えいしたおそれがある顧客情報(約149万9300人分)は、氏名や生年月日、性別、住所、電話番号、メールアドレスなど。 役職員(退職者含む)と家族の情報(約3万7300人分)には、氏名や住所、電話番号などに加え、マイナンバー情報や健康診断結果、障がいに関する情報などが含まれていた。 取引先情報(約9400人分)も漏えいした可能性があり、氏名、社名、住所、電話番号、メールアドレス、マイナンバー情報などが
はじめに12月もあっという間に中旬ですね。 今年もいろいろと忙しかった気はしますが、まともにゲームもできなかった去年に比べると落ち着いていて(?)「ゼルダ無双 封印戦記」を無事にクリアできました。良かった。 自己紹介 / この話を書くきっかけさてそんな私ですが、とある企業でコーポレートIT領域とセキュリティ領域と+αに従事しています。 今年はJapanIT Weekで情シス悩み相談員のお手伝いをしたり、情シスつながりで他組織の社内セキュリティ事情について会話をする機会がありました。 その中でVPNやランサムウェアの話題が出ることも多かったため、私なりの考えをまとめてみることにします。 想定する読者経営陣から「うちのセキュリティは大丈夫か?VPNは廃止せよ」と言われて途方にくれる情シスの皆さん 「うちはクラウドサービス中心だからランサムウェアなんて関係ない」と思っている情シスの皆さん VP
【Twitter歴14年のアカウントが乗っ取られた話】何が起きたのか、そしてどうすれば防げたのか。こんばんは。Twitter歴14年にして、ついにアカウントが乗っ取られてしまったおじさんです。 今回は、 「実際に何が起きたのか」 「なぜ防げなかったのか」 「どうすれば避けられたのか」 をできるだけ具体的にまとめました。 正直、恥ずかしい話ではあるんですが、 いま同じ手口で被害に遭う人が本当に増えています。 誰かの防御力アップにつながれば、という気持ちで書き残します。 ■ 1. すべての始まりは「12月4日のDM」だった発端は、普段から仕事のやり取りをしていた相手から届いたDM。 「報酬を支払うため、Twitter Adsの報酬確認ページからログインしてほしい」 送られてきたURLは、見た目が完全に“本物っぽい”。 Ads系のURLは複雑なので、違和感を覚えにくいのが厄介です。「最近のTw
アサヒグループホールディングス(GHD)へのランサムウエア(身代金要求型ウイルス)によるサイバー攻撃を巡り、流出した疑いのある同社の社内文書などが新たにダークウェブ(闇サイト群)上に公開されていることが、10日分かった。「Qilin(キリン)」を名乗るグループが日本時間の10日までに公開したとみられる。新たに公開された文書には社内会議用の事業説明資料や取引先との商談資料、人材育成プランなどがあ
AIコーディングツール全製品に脆弱性「IDEsaster」- 最新防御策とマルチAIエージェント対策参照元 Researchers Uncover 30+ Flaws inAI Coding Tools Enabling Data Theft and RCE Attacks - The Hacker News IDEsaster: A Novel Vulnerability Class inAI IDEs -MaccariTAAIコーディングツールの全製品が脆弱性を抱えていたセキュリティ研究者Ari Marzouk氏が「IDEsaster」と名付けた新しい脆弱性クラスを発見しました。The Hacker News、Tom's Hardware等の主要技術メディアで一斉に報道され、AWSがセキュリティアドバイザリを発行する事態となっています。 テストされたすべてのAI IDEとコーディングアシスタント(100%)が影響を受けており、24件のCVEが割り当てられています。影響範囲は
「Appleは悪。Googleは開発者を理解している味方」というEpic GamesのスウィーニーCEOが歓迎する未来は本当にバラ色なのか(1/4 ページ) 11月14日に開催された開発者向けイベント「Unreal Fest Tokyo 2025」に合わせて、Epic Gamesの創業者であるティム・スウィーニーCEOが来日した。講演後のメディア向け説明会では、AppleのApp Storeがいかに悪であるかを熱弁して会場を後にした。 12月18日に全面施行となる「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」(スマホ新法)を前に、IT業界の一部が騒がしくなってきている。Appleは、既に他社による代替流通ストアに対応したiOS 26.2の開発者向けβ版の配布も開始しているという。 一度施行されれば、なかなか時計の針を戻すことはできない。今はスマホ新法に賛成
現地時間の2025年12月3日、ウェブサイトに無料でTLS証明書を発行しているLet's Encryptが、発行する証明書の有効期限を90日から短縮することを発表しました。有効期限は2028年までに少しずつ減少していき、最終的に45日となる予定です。 DecreasingCertificate Lifetimes to 45 Days - Let's Encrypt https://letsencrypt.org/2025/12/03/from-90-to-45 TLSおよびコード署名にX.509電子証明書を使用する認証局やインターネットブラウザベンダー、その他のアプリケーション提供者からなる業界団体のCA/Browser Forumが規定するベースライン要件は、Let's Encryptが順守すべき技術要件を定めるものでもあります。このベースライン要件に基づき、Let's Encryp
証券口座への不正アクセスなど、インターネットサービスの不正利用が相次いでいることから、パスワードを使わずにログインできる「パスキー」という認証方法を導入する企業が増えています。仕組みと注意点について解…
クラウドで保管されているデータがランサムウェア(身代金要求型マルウェア)攻撃者の標的にされている。特に、企業の基幹データが集まるクラウドストレージ「AmazonSimple Storage Service」(Amazon S3)が狙われる傾向が強まっている。セキュリティベンダーTrend Microは2025年11月18日(米国時間)、Amazon S3を標的としたランサムウェア攻撃の分析結果を発表した。攻撃者はAmazon S3の仕様や、鍵管理サービス「AWS Key Management Service」(KMS)の機能を悪用し、データを暗号化または削除して身代金を要求する。 ランサムウェア攻撃に狙われやすいAmazon S3バケット 攻撃者は、バックアップやソースコードなどの重要データが格納され、かつ書き込み権限(s3:PutObjectなど)などのアクセス制御が甘いバケットを優
現役の情報セキュリティ責任者やセキュリティ専門家などで構成されるグループが、国民・企業・ジャーナリスト・政策立案者に向けて、インターネット上や公共のコラムなどで依然として広く流布されている誤ったセキュリティアドバイスである「ハックロア」を止めるよう求めています。 The Letter — Stop Hacklore! https://www.hacklore.org/letter 専門家グループはハックロアとして、以下の6つを挙げています。 1:公共Wi-Fiを避ける 公共Wi-Fiを介した大規模なセキュリティ侵害は、記事作成時点では極めてまれです。最新の製品は、オープンネットワーク上でもトラフィックを保護できる暗号化技術を採用しており、OSやブラウザは信頼できない接続についてユーザーに警告を表示するようになりました。個人用VPNサービスは、ほとんどの人にとってセキュリティやプライバシーの
これはパスキー(FIDO/FIDO2)の安全性と脆弱性と破滅的欠陥そして正しい認証設計の最も包括的かつ総合的な解説である。パスキーの破滅的欠陥の公開はこれが世界初である。次に列挙する事項を読めば欠陥の原理を掴める。全体の文量が多ければ最初はハイライト部分だけ流し読んで要点を掴むのもいいだろう。証拠となる公式文書は後半に記載している。パスキーは公式の案内に従って導入すると強制リセット不可能に陥り攻撃発生後の対応が不可能となり被害の拡大阻止も回復も不可能となる破滅的欠陥により大規模攻撃発生時点で事業破綻が確定する。個々のユーザーが詰むことは数あれどパスキーはサービス側が詰んで事業破綻する史上初にして唯一の破滅的欠陥認証方式である。さらにパスキーは不要なパスキーオンリーにより不要にユーザーと収益を失わせサービスに日々多大な損害を与え続けている。パスキーはマジックリンクを始めとする他の認証方式と併
盲点(1)VPN経由の侵入を示唆、脆弱性突かれ被害後に廃止 3つの盲点の1つ目は、侵入経路としてVPN(Virtual PrivateNetwork)装置の脆弱性を突かれたとみられることだ。攻撃者は同社が出荷管理システムなどのサーバーを設置したデータセンターに不正アクセスし、複数の業務サーバーや全37台の端末のデータを暗号化したり窃取したりした。同社は「グループ内の拠点にあるネットワーク機器を経由し、データセンターのネットワークに侵入された」としているが、具体的にどういったネットワーク機器から侵入されたのかは明言していない。 ただ勝木社長は今回の被害を受け「VPN接続は廃止した」と明言した。ネットワーク機器とはVPN装置だったのか、報道陣からの質問に対して「重要なリスクにつながる情報であるため明かせない」と回答を濁したが、「(報道陣の)想像とそれほど違わないものと思う」とも語り、VPN装
英国国民保健サービス(NHS)のデジタル部門は2025年11月18日(現地時間)、圧縮・解凍ソフトウェア7-Zipに関する脆弱(ぜいじゃく)性(CVE-2025-11001)について、悪用事例を確認したと発表した。この脆弱性が悪用されると、リモートの攻撃者が任意のコードを実行できる可能性がある。対象となるのは7-Zip 25.00より前の全てのバージョンとされている。ZIPファイル処理の欠陥でリモート攻撃、7-Zipユーザーは急ぎ更新をCVE-2025-11001はZero Day Initiativeが2025年10月7日に報告した7-Zipに存在する重大なセキュリティ脆弱性だ。この脆弱性はZIPファイルに含まれるシンボリックリンクの処理過程に起因するとされ、細工したZIPファイルを扱った際に処理が想定外のディレクトリへ移動する点が問題とされている。本来の展開先とは異なる場所にファイ
使用するアプリケーションやオンラインサービスの多様化に伴い、ユーザー1人が利用するパスワードの数は増加している。一方で、それらを一元的に保管する「パスワード管理ツール」(パスワードマネジャー)が、サイバー攻撃者の新たな標的になっている実態も浮き彫りになっている。 パスワードの使い回しや、推測されやすい文字列の使用は、依然としてセキュリティ上のリスクだ。長く複雑なパスワードを個別に設定し、それらを管理するためにパスワード管理ツールが使われることがある。 安全なパスワード運用を支援する手段としてパスワード管理ツールが推奨されることがある一方、セキュリティベンダーESETは、パスワード管理ツール自体がサイバー犯罪者にとって魅力的な攻撃対象になっていると指摘している。 “全パスワードを一括管理”の落とし穴 攻撃者がパスワード管理ツールに不正にアクセスできれば、アカウント乗っ取りや個人情報の窃取につ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
