サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
今年の「#文学」
scan.netsecurity.ne.jp
南医療生活協同組合 総合病院 南生協病院は11月25日、情報漏えいの可能性について発表した。 これは9月25日に、同院の病棟業務で使用していたPC機器の廃棄処分において、一部のSSDに対するデータ消去処理が不十分なまま処分先の事業者に引き渡していたというもの。担当者は、データ消去装置によるデータ消去作業を行ったが、同装置が廃棄機器の大部分を占めていたHDDに対して有効なものであり、SSDに対しては効果がないことを知らず、SSDのデータ消去が適切に行われないまま廃棄先事業者に引き渡してしまったという。
一般社団法人全国信用金庫協会は11月14日、顧客向けインターネットバンキングでの不正アクセスについて発表した。
株式会社テレビ埼玉は11月13日、同社ホームページへの不正アクセスについて発表した。
独立行政法人情報処理推進機構(IPA)は11月19日、パソコンに偽のウイルス感染警告を表示させるサポート詐欺への注意喚起を発表した。
日産自動車株式会社は10月21日、「無料ウェビナーのご案内」メールの誤送信について発表した。 これは9月27日午前11時30分頃に、「無料ウェビナーのご案内」メールを1送信あたり約50名に送信した際、宛先を「Bcc」とすべきところ、誤って「To」で送信したというもの。9月27日午前11時45分頃に、メール送信した顧客から指摘があり発覚した。
今回はこれまでの経験を踏まえてセキュリティへの向き合い方についての思いをまとめてみたいと思います。
Okta Japan株式会社は11月7日、「Passkeys」の基本を学べる開発者向け入門サイト「Passkeys Playground」を公開したと発表した。
一般社団法人日本デジタルトランスフォーメーション推進協会(JDX)は10月30日、「日本セキュリティ大賞2024」の受賞企業を発表した。
WordPress で作成された Web サイトのバックアップを取得し、他のサーバへ移行するプラグインとして世界的に利用されている All-in-One WP Migration and Backup に、遠隔からの任意のコード実行につながる脆弱性が報告されています。脆弱性は、バックアップ作成時のエクスポート処理に存在します。
いみじくも手塚は、取材開始から 12 分 30 秒ほど経過したところで、スリーシェイクのメンバーは運用者であり、日々運用に向き合って苦しんでいるため、言い方は良くないかもしれないが「いやいやセキュリティをやっている」という言葉を残している。なんと。セキュリティ担当者がセキュリティを「いやいや」やっているとは。
バーガーキングを展開する株式会社ビーケー・ジャパンは10月22日、バーガーキング公式アプリにおける情報漏えいについて発表した。
「言い訳っぽくなりますが、診療報酬というものに基づいて事業を行っている医療機関は、サイバー攻撃対策をいくらやっても診療報酬では戻ってこない。だから予算を組まない……という、構造的な事情があるということは、これまでも指摘されていたところです(深津代表理事 [取材時の肩書])」
安全性を高めるため証明書の最大有効期間は年を追って徐々に短くなってきた。2011 年以前は最長で約 8 年だったものが、2020 年には約 13 ヶ月になった。Apple の提案が受け入れられれば、証明書の最大有効期間は 2025 年 9 月から 200 日に短縮され、その 1 年後には 100 日に、そして 2027 年 4 月以降は 45 日まで短くされる。この提案には、ドメイン認証(DCV)の有効期間を段階的に短縮し、2027 年 9 月以降は 10 日にすることも含まれている。
なぜか、国産のセキュリティ製品となるととたんに導入のハードルが上がるんです。公的な研究所が作った技術をベースに国産で開発され、中身もわかっている製品であるにもかかわらず、「この製品は攻撃されても大丈夫なのか」とネガティブに見られがちです。
ホリーズ・カフェを運営する株式会社ホリーズは10月22日、サイバー攻撃による同社ホームページの改ざんについて発表した。 これは9月19日午後0時29分頃から0時32分頃までの間、攻撃者が同社サーバに不正アクセスした後、株式会社ホリーズ(Holly’s Corporation)公式サイト( https://hollys-corp.jp/ )を改ざんしたというもの。
認識を誤らせる心理に「確率的な損失と確定的な損失」の評価の違いがある。たとえば、100 %の確率で 1,000 万円損失するリスクと、10 %の確率で 1 億円を失うリスクがあった場合、一般的な人は後者を選ぶだろう。だが、期待値はどちらも同じ(1000万円)である。確率的な損失なら「自分は助かる側に入る」と、のんきに楽観性バイアスが語る幻想を信じてしまう。
一部の詐欺師は AI 支援型のソーシャルエンジニアリングツールを使用しており、ディープフェイクを使用した破壊的攻撃の可能性もあるが「一般的にこの技術は、大半のサイバー犯罪者が求めるような高い投資収益率を期待できるものではない」と彼女は言った。「私は 3 文字表記の機関に友人や接点がありますが、彼らによると、国家による攻撃はディープフェイクの作成からは目を背け、電話を使った、より伝統的ボイスフィッシングの手法に戻りつつあるようです」とデニス氏は述べた。
情報処理サービスを行う株式会社イセトーは10月4日、7月3日に公表していたランサムウェア被害について、調査結果を発表した。 同社では5月26日に、悪意のある攻撃者から不正アクセスがあり、同社の情報処理センター及び全国営業拠点の端末やサーバがランサムウェアによって暗号化された事を確認しており、全社対策本部を設置した上で、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めていた。
そもそもの本研究の趣旨は、AI やツールを使った自動攻撃や、犯罪組織による高度にシステム化・組織化された攻撃ではなく、生身の人間がどんなサイバー攻撃や破壊活動をどのように行っているかを調べるものだった。彼らの研究は、攻撃プロセスやマルウェアの分析ではない。そんなものすでにさまざまな調査研究がなされている。本講演の肝は「侵入したサーバー上での攻撃者の行動分析」これに尽きる。
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月2日、JVN脆弱性レポートの読み方の更新について発表した。
個人情報保護委員会は9月11日、株式会社NTTマーケティングアクトProCX等における不正持ち出し事案に対する個人情報の保護に関する法律に基づく行政上の対応について発表した。 NTTマーケティングアクトProCXが利用するコールセンタシステムを提供するNTTビジネスソリューションズでは、同システムの運用保守業務に従事するNTTマーケティングアクトProCXが派遣した元派遣社員がシステム管理者アカウントを悪用し、顧客データが保管されているサーバにアクセスし、顧客情報を不正に持ち出したことが明らかになっており、NTTマーケティングアクトProCXにテレマーケティング業務を委託していたクライアント69件の顧客情報 約928万件が流出が判明していた。
AWSアカウントについて、脆弱性を研究したエンジニアがいる。Aqua Securityの研究者(Yakir Kadkoa氏、Michael Katchinskiy氏、Ofek Itach氏)が、AWSアカウントに関する脆弱性とそれを利用することで成立するAWSのシャドーリソースを使った攻撃方法を発見した。
日立製作所を中心とした産業機器の販売や保守を行う福井電機株式会社は9月5日、同社へのランサムウェア攻撃について発表した。 これは8月30日に、同社に第三者からのランサムウェアによる不正アクセス攻撃があり、取引先及び社員情報が流出した可能性が否定できないことを確認したというもの。
2024 年 4 月に公開された、glibc の脆弱性を悪用する攻撃検証コードが公開されています。
株式会社ニチイホールディングスは9月2日、8月16日に公表したニチイグループへのランサムウェア被害について、調査結果を発表した。 ニチイグループでは8月8日に、ニチイホールディングス子会社の株式会社ニチイケアパレスのPCがランサムウェアに感染していることを確認しており、その後、ニチイホールディングスおよびニチイホールディングス子会社の株式会社ニチイ学館で使用するPCでも電子データの暗号化を確認していた。
次のページ
このページを最初にブックマークしてみませんか?
『ScanNetSecurity [国内最大級の情報セキュリティ専門ポータルサイト]』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
