「PCを使ったことがない」という新社会人が増えてきている。「若い人のほうがITスキルは高い」と思っている人が多いと思うが、なぜこうした現象が起きているのか。理由を探っていくと……。 甲斐寿憲のキニナルモバイル： 今やITはビジネスにプライベートに不可欠なもの。特にスマートフォンやタブレット、ノートPCといったモバイル関連は、現代人にとって必須アイテムになりつつある。日常のニュースや何気ない雑談の中にも、モバイルの話題をすることも増えてきているはず。 本連載ではモバイルを中心とした気になる話題をライターの甲斐寿憲がメーカーや開発者、ユーザーに直撃取材をし「実際にどうなのか？」を検証を交えて紹介。今話題の人気の製品、気になるメーカーの動向を分かりやすく紐解いていく。ひょっとすると、そこに新たなビジネスチャンスのヒントが隠れているかもしれない。ぜひ、大人のITスキルの一貫として役立てていただきた

Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」について、危険を指摘する声が相次いでいる。 米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに

米連邦政府の人事管理局（OPM）は9月23日（現地時間）、6月に発表した約400万人（当時発表された数字）の職員および元職員の個人情報流出事件に関連し、560万人分の指紋データも流出していたことがその後の調査で判明したと発表した。 この事件が発覚したのは4月。OPMのITシステムに何者かが不正に侵入してデータを盗んだという。この犯行は中国のハッカー集団によるものとみられている。 6月の発表では影響を受けるのは約400万人とされていたが、23日の発表では2150万人の社会保障番号（SSN、日本のマイナンバーに当たる全国民が持つ背番号）が影響を受け、その中の560万人が指紋データも盗まれたとあり、かなり人数が増えている。 当局は指紋データの悪用の可能性は限定的だとしながらも、悪用の可能性を排除するために、国土安全保障省（DHS）、連邦捜査局（FBI）、国防総省（DOD）を含む関連組織を横断する

Lenovoは8月11日、コンシューマー向けPCのBIOSファームウェアに含まれるプログラムを巡ってセキュリティ研究者から問題を指摘され、このプログラムを削除する措置を取ったことを明らかにした。 問題を指摘されたのは、BIOSファームウェアの「Lenovo Service Engine」（LSE）というプログラム。Lenovoの説明によると、LSEはWindowsの仕組みを利用したユーティリティで、「OneKey Optimizer」と呼ばれるプログラムのダウンロードや、個人情報を特定しないシステムデータのLenovoサーバへの送信に使われていたという。 報道によれば、LSEではシステムが再起動するたびにシステムファイルを上書きして、たとえユーザーがWindowsを再インストールした場合でも、Lenovoのソフトウェアが自動的にインストールされる仕組みになっていた。OneKey Opt

この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。 ソフトウェアの更新版チェックなどの機能に使われているHTTPリクエストを利用してユーザーを不正なSMBサーバに誘導し、パスワードなどの情報を入手できてしまう攻撃手法が発見された。セキュリティ企業Cylanceが4月13日のブログで伝えた。カーネギーメロン大学CERTも同日、セキュリティ情報を公開して対策を呼び掛けている。 この問題はWindows 10までのWindows全バージョンに存在していて、AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。 Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURL

標的型サイバー攻撃や内部不正など深刻化するセキュリティのリスクにどう立ち向かうべきか？　ANAグループでの取り組み事例など最新の情報をお届けします。 参加のお申し込みはこちら 東京会場：12月10日（水）10:00～17:25、大阪会場：12月12日（金）10:00～17:25 国内外のメディアなど複数の大手サイトで、アクセスすると「シリア電子軍」（Syrian Electronic Army）を名乗る画像が表示されていた問題で、ソーシャル化プラットフォームを提供する米Gigyaは米国時間の11月27日、ドメイン登録業者がハッキングされてWHOIS情報が改ざんされていたことが分かったと発表した。 Gigyaによると、米東部標準時の27日午前6時45分（日本時間同日午後8時45分）ごろ、社内サーバへのアクセスに散発的な障害が発生するようになり、調べたところ、同社が使っているドメイン登録業者が

今度は米海洋大気局（NOAA）に対するサイバー攻撃が発覚し、過去数週間の間にNOAAの4つのWebサイトがハッキングされたと明らかにした。 米国の天気予報や気象衛星の運用を担う米海洋大気局（NOAA）のシステムがサイバー攻撃を受け、傘下のWebサイトや衛星からのデータ受信に障害が起きていたことが分かった。 NOAAが11月12日にメディア各社に寄せた声明によると、インターネット経由の攻撃を受けて過去数週間の間にNOAAの4つのWebサイトがハッキングされた。NOAA職員が攻撃を検出して直ちにインシデント対応に乗り出し、攻撃を避けるために臨時のメンテナンスを行ったという。 臨時メンテナンスの影響は一時的であり、既に全サービスが完全復旧したとNOAAは強調。一般向けの天気予報に影響は出なかったと説明している。調査は関連機関と連携して現在も続けているという。 米紙Washington Postに

Expired：掲載期限切れです この記事は，ロイター・ジャパン との契約の掲載期限（30日間）を過ぎましたので本サーバから削除しました。 このページは20秒後にITmedia ニュース トップページに自動的に切り替わります。

「ANAマイレージクラブ」で現行のパスワードと異なる「Webパスワード」を導入。数字4けたのパスワードから強化する。 全日本空輸（ANA）は8月18日、「ANAマイレージクラブ」会員が公式サイトにログインする際、現行のパスワードと異なる「Webパスワード」を、9月4日から新たに導入すると発表した。「お客様に安心してご利用いただくため」としている。 現行では、マイレージ番号と数字4けたのパスワードのみでログインでき、「不正ログインに対して脆弱だ」と指摘されていた。 新たに導入するWebパスワードは8～16けたで、任意の英文字（大小）と数字で構成。ユーザーはWebパスワードを新規に設定する必要がある。 12月3日までは移行期間として現行のパスワードも利用できるが、12月4日以降はWebパスワードのみの利用に切り替わる。 現行のパスワードは引き続き「ANA予約センター」への問い合わせ時や空港の自

「Officeファイルが開けません」 XP以上に残念な金融機関の言い訳：萩原栄幸の情報セキュリティ相談室（1/2 ページ） 前回はサポートが終了したWindows XPを使い続けようとする金融機関の実態を紹介したが、今回はそれ以上に残念なOfficeの利用実態を紹介したい。 昨年、近畿地方のある中小金融機関で一時的に作業をした。主に定款や約款、就業規則などを基に作成された誓約書（弁護士のリーガルチェック済み）について、セキュリティの観点で検査などをしてほしいという依頼であった。その作業報告書をメールで送付すると、先方からこういう電話をいただいた。 「萩原さん、これの形式では読めません」 こうした指摘は時折ある。「分かりました。それでは拡張子を『doc』にして再送します」と答えて、ファイル形式をdocxからdocにして再送した。ところが、さらなる電話で担当者は驚くことを言われたのである。 「

「Ciscoは全てのシステムに同じSSH鍵を使うという過ちを犯し、その秘密鍵を顧客のシステム上に残しておいた」とSANSは解説している。 米Cisco Systemsは7月2日（現地時間）、「Unified Communications Domain Manager」（Unified CDM）の脆弱性に関する情報を公開した。システムに特権アクセスできるデフォルトのSSH鍵が存在する脆弱性など、3件の脆弱性について解説している。 同社のセキュリティ情報によると、Unified CDMにはサポート担当者へのアクセス用にデフォルトのSSH鍵が存在し、この秘密鍵がシステム上にセキュアでない方法で保存されていることが分かった。攻撃者がこの鍵を入手でき、サポートアカウント経由でシステムにroot権限でアクセスできてしまう状態だという。 この脆弱性について米セキュリティ機関のSANS Internet

Expired：掲載期限切れです この記事は，産経デジタル との契約の掲載期限（6ヶ月間）を過ぎましたので本サーバから削除しました。 このページは20秒後にITmedia ニュース トップページに自動的に切り替わります。

ヤフーが保有するユーザーのWebページ閲覧履歴などをCCCに提供するといった内容を盛り込んだヤフーの新プライバシーポリシーが公表。情報提供を希望しないユーザー向けに、オプトアウト申請フォームを用意した。 ヤフーは6月2日付けで、「Yahoo！JAPAN」のプライバシーポリシーを改定した。新ポリシーには、Yahoo！JAPANで「Tポイント」連携の手続きをしたユーザーについて、ヤフーが保有するWebページ閲覧履歴などをカルチュア・コンビニエンス・クラブ（CCC）に提供するなどの内容が追加されており、情報提供を希望しないユーザー向けに、オプトアウト申請フォームも用意した。 改定されたプライバシーポリシーには、ヤフーが保有するユーザーのWebページや広告閲覧履歴、顧客分析情報をCCCに提供すること、CCCはその情報を、個人を特定できる情報と切り分けた上で、顧客の傾向データの改善や広告効果の分析、

ウイルス対策製品による攻撃の防止から、APT攻撃（執拗なサイバー攻撃）に対抗するための検出・対応へと重点をシフトする。 特定の標的を狙って執拗に攻撃を仕掛ける「APT攻撃」が台頭している現状に対応して、米Symantecは従来のようなウイルス対策製品による攻撃の防止から、APT攻撃を念頭に置いた検出・対応へと重点をシフトする姿勢を打ち出した。5月5日には新しいアプローチに基づく企業向け製品のロードマップを発表している。 これに先立ち4日付の米紙Wall Street Journalは、ウイルス対策は「命が尽きた」とするSymantecの情報セキュリティ担当上級副社長ブライアン・ダイ氏の発言を紹介。同氏は「ウイルス対策ではどうやっても収益は出ない」と言明している。 Symantecの発表によれば、ATP攻撃が横行する中で、組織がネットワークセキュリティベースの対策を講じていても、多数のインシ

MicrosoftのInternet Explorer 6～11に未解決の脆弱性が見つかった。FireEyeはゼロデイ攻撃を確認しており、注意を呼び掛けている。MicrosoftはWindows XPのサポートを終了しているため、アドバイザリはWindows Vista以降が対象だ。 米MicrosoftのInternet Explorer（IE）6～11に未解決の脆弱性が見つかった。Microsoftは4月26日（現地時間）、この脆弱性に関するアドバイザリーを公開し、注意を呼び掛けている。 対象となるのはほぼすべてのWindows OS（Windows 8.1、Windows Server 2012 R2などを含む）上のIE。なお、MicrosoftはWindows XPのサポートを終了している。 米セキュリティ企業のFireEyeは、この脆弱性を利用した攻撃を確認した。同社が「Oper

米Facebookは11月27日（現地時間）、Android版公式アプリをアップデートした。このアップデートで、アプリの権限が幾つか拡大された。 追加されるアプリ権限は以下の通り。 テキストメッセージ（SMSまたはMMS）の読み取り カレンダーの予定と機密情報の読み取り カレンダーへの予定の追加 所有者の許可なしのゲストへのメール送信 連絡先カードの読み取り Wi-Fiからの接続と切断 なお、Facebookアプリは既に端末のステータスとIDの読み取りや通話履歴の読み取り、連絡先の読み取りの権限は持っている。 同日にはAndroid版Twitterもアップデートされた。こちらは新しいアプリ権限として、端末のステータスとIDの読み取りが追加された。この権限では、電話番号、シリアルナンバー、通話相手の電話番号の特定が可能だ。 これらのアプリ権限は無効にすることはできず、アップデートした段階で承

Adobeのネットワークが攻撃を受け、290万人のユーザーIDと暗号化されたパスワード、暗号化されたカード番号などの個人情報と、「Adobe Acrobat」などのソースコードへの不正アクセスがあった。影響を受けたユーザーのパスワードはリセットし、通知したとしている。 米Adobe Systemsは10月3日（現地時間）、“ごく最近”にネットワークが洗練された攻撃を受け、顧客情報と多数の製品のソースコードへの不正アクセスがあったと発表し、謝罪した。同社は、2つの攻撃は関連性があるとみているという。 この攻撃で、290万人のユーザーが影響を受けたとしている。アクセスされたのは、ユーザーのID、暗号化されたパスワード、氏名、暗号化されたクレジット／デビットカード番号、有効期限、購入履歴など。暗号化された情報が悪用される恐れはないとし、念のため以下の対策を実施しているという。 影響を受けた可能性

地方自治体の公式ドメインっぽい URL http://www.city.machida.kanagawa.jp/ で「町田市は神奈川県固有の領土であることを主張するサイトです（準備中）」と書いたサイトが立っています。 町田市は神奈川県固有の領土であることを主張するサイトです（準備中） via kwout 外注先の遊び心? ハッキングされた? とか話題です。 この原因、実はハッキングでも何でもなくて、都道府県ドメインというなじみが薄い、地方自治体っぽいドメインを取り、まぎらわしいURLを表示できるという制度の欠陥がもたらした混乱です。 kanagawa.jpは例えば以下のレジストラで神奈川にゆかりがあるという人なら取れます。地方自治体名に重複するものは自由に取れないのですが、町田は神奈川県じゃ無いので、machida.kanagawa.jp だって空いていれば取れちゃうわけです。 kanag

全米の放送局が採用している緊急警報発令システムの脆弱性が悪用され、通常の番組を中断して「死人が人間を攻撃しています」という警報が流れた。 米モンタナ州の放送局が今年2月、通常の番組を中断して「ゾンビ出現」の緊急警報を流す騒ぎがあった。この原因は、全米の放送局が採用している「緊急警報システム」（EAS）関連の脆弱性にあったことが分かったという。セキュリティ企業のIOActiveが7月8日に発表した。 報道によると、2月にテレビで流れた警報は「死人が墓場から出てきて人間を攻撃しています。こうした死人に近づかないでください。非常に危険です」という内容だった。 IOActiveによれば、このデマ警報は、EASから警報を受信してチェックするシステム「DASDEC」の脆弱性に起因していたという。DASDECはEASから受信したメッセージの内容を確認すると、放送を中断して警報を流す仕組みになっている。