ジェーシービーは11月1日から、券面にカード番号が掲載されないナンバーレスのクレジットカードの発行を開始した。JCBの一般カードのほか「JCB CARD W」「JCB CARD W PlusL」などについて、従来の番号記載のカードと選択式で申し込みが可能。 裏面には、会員専用のスマホアプリ「MyJCBアプリ」でしか読み取れない、セキュアなQRコードを掲載した。カード番号を確認するための会員IDやパスワードを忘れた場合でも、QRコードの読み取りと、SMSなどを使ったワンタイムパスワードで本人であることを確認できる。本QRコードは、MyJCBアプリ初回ログイン時の認証や、機種変更時のログイン認証などにも利用できる。 昨今、セキュリティ意識の高まりを受け、スマホアプリ内でカード番号を確認できるようにし、プラスチックカード自体には番号を記載しないナンバーレスカードが増加している。一方で、アプリにロ
オーストラリアの首相が、サイバーセキュリティ対策として、毎日1回、スマートフォンの電源を切って再起動するよう国民に呼びかけています。いったん電源を切ることで、バックグラウンドでユーザーの情報を不正に取得するアプリの動作による影響を最小化できます。アメリカの専門機関も、ハッキング対策として定期的な電源オフを呼びかけています。 ■3行で分かる、この記事のポイント 1. オーストラリアの首相が国民に、1日1回はスマホの電源を切るよう呼びかけている。 2. ユーザーを追跡する悪意あるアプリやプロセスを終了させる効果。 3. 引き続き、パスワード管理やアプリからの要求にも注意を。 「毎晩、歯磨きの間にでも再起動を」 オーストラリアのアンソニー・アルバニージー首相は現地時間6月23日、国家サイバーセキュリティアドバイザーの就任を発表した際、「毎晩、歯磨きをしている5分間だけでもいい」と、毎日スマートフ
携帯電話に届く迷惑SMS、皆さんはどう対処しているだろうか。何者かが大手企業を装い、不審サイトなどへ誘導し、個人情報を入力させる、いわゆるフィッシング詐欺などが多発し、昨今、企業側がそういった偽SMSについての注意喚起を行うことが多々ある。 ではこのような迷惑SMSが届かないようにするにはどうすべきか、大手キャリアとMVNOを中心に対応策をまとめた。なお、ユーザー側で設定が必要な場合、スマホから設定する手順を説明する。 NTTドコモは月額220円の「あんしんセキュリティ(迷惑SMS対策)」を提供 NTTドコモは2022年10月27日から「あんしんセキュリティ(迷惑SMS対策)」を提供している。利用料金は月額220円(税込み)で、初回60日間は無料だ。 あんしんセキュリティ(迷惑SMS対策)はメッセージアプリへ送られてくる詐欺などの迷惑SMSを自動で迷惑メッセージフォルダへ振り分ける「SMS
Linux/Windowsのパッチ適用自動化のポイント――基盤環境構築、単体試験の自動化で使える4つのOSSとは
パッチ適用の時間を短縮する「自動化」について解説する本連載「こっそり始めるパッチマネジメント自動化入門」。前回はパッチマネジメントの重要性について説明しました。今回はパッチ適用を円滑にするための自動化についてお話しします。 自動化のスコープ 本稿のスコープ(範囲)は次の通りです。 基盤環境構築、単体試験の自動化 パッチマネジメントを正しく運用するには試験環境でのパッチ適用試験が必須です。パッチ適用試験環境をタイムリーに短時間で構築するには、基盤環境の構築および単体試験の自動化が欠かせません。 ここではCI/CD(Continuous Integration/Continuous Delivery)ツールを組み合わせた基盤環境の自動化ソリューションを検討します。 基本になるのは構成管理ツール「Ansible」 「Ansible」(アンシブル)は、Red Hatが開発するオープンソースソフトウ
カプコンに不正アクセス攻撃を仕掛けたRagnarLockerのダークウェブポータルを日本・アメリカ・EUの法執行機関が押収
世界有数の海運会社にランサムウェア攻撃を仕掛けたり、カプコンに不正アクセス攻撃を仕掛けたりしたことで有名なランサムウェアグループが「RagnarLocker」です。そんなRagnarLockerが使用してきたダークウェブ上にあるウェブサイトを、日本・アメリカ・欧州連合(EU)の法執行機関が押収したことが、海外メディアTechCrunchの調査により明らかになりました。 RagnarLocker ransomware dark web site seized in international sting | TechCrunch https://techcrunch.com/2023/10/19/ragnarlocker-ransomware-dark-web-portal-seized-in-international-sting/ Ragnar Locker ransomware’s d
重要なのに知名度不足? Webアプリ・ECサイトの守りに必須な“アレ”の基本を専門家に聞く(1/2 ページ) 「WebアプリやECサイトを守るならほぼ必須レベルですが、なかなか導入が進んでいないんですよね……」──日立ソリューションズのセキュリティプロフェッショナル・竹田光徳さんはそうこぼす。 WebアプリもECサイトも当たり前に使われている現在、顧客との直接の接点となるこれらで情報セキュリティ上の問題が発生するのがどれだけ“マズい”かは、想像に難くないだろう。 そんなWeb周りの情報セキュリティ対策として使われるのが「WAF」だ。インターネット上で事業活動をするならほぼ必須級の対策になっている。Webサイトの改ざん、DDoS攻撃、ブルートフォースアタックなど、効果のあるサイバー攻撃は数あるが、竹田さんは顧客企業とやりとりする中でWAFの知名度不足を感じているという。 ECサイトからの情報
Googleは米国時間8月15日、量子耐性暗号の導入に向けて取り組む中、オープンソースのセキュリティキーファームウェア「OpenSK」の一部として、量子耐性FIDO2セキュリティキーの実装を公開したと発表した。 セキュリティキーは、コンピューターやスマートフォンに接続する小さなドングルで、アカウント認証のためのセキュリティの低いSMSメッセージに代わるものだ。 アカウントにログインして認証を求められた場合に、スマートフォンのテキストメッセージで受け取ったコードを入力する代わりに、セキュリティキーをタップするだけでログインできる。 しかし、量子コンピューターによって、現在は不可能と思われているワークロードが処理可能となる時代に突入しつつある中で、それが表す演算能力の急激な高まりに応じてセキュリティを強化する必要がある。 「量子攻撃はまだ遠い未来のことだが、インターネット規模で暗号化を導入する
徳島県のつるぎ町立半田病院を突如襲った2021年10月のランサムウエア(身代金要求型ウイルス)被害。調査に当たった有識者会議はその調査報告書において、攻撃者は米Fortinet(フォーティネット)製VPN(仮想私設網)装置の脆弱性を悪用して不正侵入した可能性が極めて高いと結論付けた。他の侵入手段も検証したものの、同病院のケースでは考えにくいとした。 つまり、VPN装置の脆弱性を適切に修正しておけば不正侵入されず、被害を免れた可能性が十分にあったことになる。徳島県西部医療圏の地域医療の要である半田病院は、IT担当者が1人しかおらず、脆弱性の情報を自ら収集するなどのセキュリティー対策を講じる余裕がなかった。それでも、脆弱性の修正が必要なことや、ランサムウエアへの注意喚起がもたらされていれば、作業の優先度を調整して対処できた可能性はあるだろう。 セキュリティー関連情報を半田病院に届けるルートは主
The Station is a weekly newsletter dedicated to all things transportation. Sign up here — just click The Station — to receive the full edition of the newsletter every weekend in your inbox. Sub
あなたのアカウントを守る、2段階認証アプリ5選
あなたのアカウントを守る、2段階認証アプリ5選2020.01.13 12:0041,790 David Nield - Gizmodo US [原文] ( 塚本直樹 ) ベストをつくそう。 オンラインサービスのアカウントで2段階認証(2FA)を有効にしている場合、新しいデバイスからログインするときには、ユーザー名とアカウント、そして認証アプリが必要になります。 多くの人はスマートフォンのSMS(ショートメッセージ)を利用していますが、これだけではハッキングの危険があります。また、Facebook(フェイスブック)などに電話番号を教えるのがためらわれる場合も。しかし認証アプリなら物理的なアクセスが必要なため、セキュリティを向上させることができます。 アカウントによって対応する認証アプリも異なるのですが、この記事では代表的なアプリを5つご紹介しましょう。 Google Authenticato
Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog
なにをするのか こんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。 この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照することで診断スピードや報告書の品質向上といったメリットを受けられるといったものです。 結論としてはそれで終わりなのですが、結論に至るにあたっての自分の考えも書いてみることにします。 なにをするのか 脆弱性診断における理想とのギャップ リスクフォーカス型診断による学び 選択的なホワイトボックス診断の適用 開発者のための脆弱性診断を提供するということ Flatt Securityだからできること 既存の脆弱性診断への影響 よくある質問 ホワイトボックス診断ってSASTのことですか? リスクフォーカ
ソースコードのコピペで広がる脆弱性に注意
Stack Overflowは11月26日(米国時間)、「Copying code from Stack Overflow? You might be spreading security vulnerabilities - Stack Overflow Blog」において、ソースコードの内容を理解しないでコピー&ペーストして利用することは、脆弱性を含んだソースコードを拡散することになるという研究結果を伝えた。 Stack OverflowはQ&Aに掲載されているサンプルコードは脆弱性を含んでいる可能性があることを認識するとともに、ソースコードの内容を理解してから活用することを推奨している。 Stack OverflowはQ&Aに掲載されているC++サンプルソースコードに多かった脆弱性として、返り値チェックの欠落と、引数データの未チェックを挙げている。返り値をチェックしないことはnullポ
最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。 こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについて紐解いて行きたいと思います。 情報セキュリティとは 皆さんご存知のように、情報セキュリティとは、アクセスを認可された者だけが、情報にアクセスできることを確実にする「機密性」、情報および処理方法が正確であることおよび完全であることを保護する「完全性」、認可された利用者が必要な時に情報および関連する資産にアクセスできることを確実にする「可用性」の3つの概念によって構成されています。その目的は「情報」を守る
Mozillaが「スパイウェアを見つける方法」を解説
AppleのiMessageを開くだけで端末がスパイウェアに感染してしまう脆弱性や、スマートフォンで著名人や政治家を監視するスパイウェア「Pegasus」が登場したりと、近年スパイウェアによる被害報告が増えています。そんなスパイウェアの存在を察知して対策するための方法を、ウェブブラウザのFirefoxを開発するMozillaが公式ブログで解説しています。 Did you hear about Apple’s security vulnerability? Here’s how to find and remove spyware. https://blog.mozilla.org/en/internet-culture/mozilla-explains/find-and-remove-spyware/ Mozillaは、スパイウェアがインストールを迫ったりPCに侵入したりする手口の例として
マルウェア解析に役立つ、実行ファイルのケーパビリティ検知ツールcapaの入門 | IIJ Engineers Blog
2018年新卒入社し、SOCにてインフラ管理を担当。その後、マルウェア解析や検証業務などに従事。2022年度からは、社内のSREチームにて兼務を開始。主な保持資格は、CISSP, OSCP, GREM, GXPN, RISS, CKA, CKSなど。バイナリを読むのが好きで、一番好きな命令はx86の0x90(NOP命令)。 【IIJ 2022 TECHアドベントカレンダー 12/7(水)の記事です】 はじめに 本記事では、マルウェア解析に活用することができるcapaと呼ばれるツールの概要と使い方を紹介します。日本語での本ツールに関する情報は多くありません。そこで、日本のマルウェア解析者の方に活用していただければと思い、本記事を作成しました。capaという名前を聞いたことはあるが、使ったことはないという方など、今回の記事を通して、実際に触るきっかけとなれば幸いです。 capaとは capaは
米司法省(DoJ)は6月16日(現地時間)、ロシアのボットネット「RSocks」のインフラを解体したと発表した。RSocksは世界中の何百万ものPC、Android端末、IoT端末を乗っ取るために使われていた。米、英、独、蘭の共同作戦が奏功した。 ボットネットとは、所有者が知らないうちに乗っ取ったネット接続端末の集合で、通常、悪意ある目的で使われる。 RSocksはフィッシングやアカウント乗っ取り、マルウェア散布などに悪用されていたが、一般ユーザー向けのいわゆるスニーカーボットとしても有償で提供されていた。例えば2000のプロキシへのアクセスは、1日当たり30ドルからだった。 米連邦捜査局(FBI)は覆面でアクセス権を購入して捜査した。2017年の最初の購入では、約32万5000の端末を特定した。これらの端末を分析した結果、ブルートフォース攻撃により侵害されたと判断した。侵害された端末は個
世界ではPCよりはるかに多くのモバイルデイバイスが使われており、自宅などリモートで仕事をする機会が増えていることから、従業員が持つ携帯端末は企業にとって主要な攻撃ベクトルとなりつつあります。セキュリティサービス大手のCloudflareが、見落とされがちなモバイルデイバイスのセキュリティをゼロトラストで保護する「Zero Trust SIM」を発表しました。 The first Zero Trust SIM https://blog.cloudflare.com/the-first-zero-trust-sim/ Securing the Internet of Things https://blog.cloudflare.com/rethinking-internet-of-things-security/ Cloudflare launches an eSIM to secure mo
Microsoftが、Windows・Xbox Live・Office・Outlookといったサービスのログインに必要なMicrosoftアカウントで、日本時間の2021年9月16日から一般消費者向けにもパスワードを一切使わなくてもサインインできるようにすると発表しました。 The passwordless future is here for your Microsoft account | Microsoft Security Blog https://www.microsoft.com/security/blog/2021/09/15/the-passwordless-future-is-here-for-your-microsoft-account/ Microsoft Account Goes Passwordless - Thurrott.com https://www.thu
Azure AD参加端末におけるPRT (Primary Refresh Token)悪用のリスクと対策について | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
TOP > セキュリティブログ > ペネトレーションテスト > Azure AD参加端末におけるPRT (Primary Refresh Token)悪用のリスクと対策について はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 テレワーク環境の整備が進んだ昨今、エンドポイント端末の管理とセキュリティ対策はゼロトラストネットワークを実現するにあたって重要なポイントとなります。 ゼロトラストネットワークのよくある構成の一例としては、エンドポイント端末を Azure ADに参加させてIntuneでデバイス管理を実装している環境が挙げられます。 Azure ADに参加するエンドポイント端末は、PRT(Primary Refresh Token)と呼ばれる認証
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米ロチェスター工科大学とカナダのウォータールー大学に所属する研究者らが発表した論文「OneButtonPIN: A Single Button Authentication Method for Blind or Low Vision Users to Improve Accessibility and Prevent Eavesdropping」は、PIN(Personal Identification Numbers)コード(パスコード)において、数字を押さずに入力する視覚障害者向けの手法を提案した研究報告だ。 顔や指認証と違って、どんな環境や状態でも安定してロック解除できる認証メカニ
イギリス政府が、スマートホーム機器のセキュリティ向上を目的とした「製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案」を議会に提出したと発表しました。この法案ではスマートフォンやテレビ、スマートスピーカーなどのデジタルデバイスのデフォルトパスワードに「password」「admin」などの推測しやすい文字列を設定することが禁止され、違反した企業に対しては厳しい罰金が科されます。 New cyber laws to protect people’s personal tech from hackers - GOV.UK https://www.gov.uk/government/news/new-cyber-laws-to-protect-peoples-personal-tech-from-hackers New UK law will hit smart home dev
2022年度 年末年始における情報セキュリティに関する注意喚起 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりがちです。このような場合、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。 最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。 これらのような事態とならないよう、(1)組織のシステム管理者、(2)組織の利用者、(3)家庭の利用者、のそれぞれの対象者に対して取るべき対策をまとめています。 長期休暇における情報セキュリティ対策 ま
近年、IoT機器※1を悪用したサイバー攻撃が急増しており、そのようなサイバー攻撃を防ぐためには、機器の利用者において適切なセキュリティ対策を講じる必要があることを踏まえ、2019年2月より「NOTICE」を実施しています。 今般、「NOTICE」の取組に加えて、2019年6月中旬から準備が整い次第、国立研究開発法人情報通信研究機構(NICT)のNICTERプロジェクト※2によりマルウェアに感染していることが検知された機器に対して、インターネットプロバイダから利用者へ注意喚起を行う取組を実施します。 IoT機器を悪用したサイバー攻撃の深刻化を踏まえ、2018年5月に改正された国立研究開発法人情報通信研究機構法に基づき、2019年2月よりNICTがサイバー攻撃に悪用されるおそれのある機器を調査し、インターネットプロバイダを通じた利用者への注意喚起を行う取組「NOTICE」を実施しています。 「
JPCERT/CCは5月20日、マルウェア「Emotet」の感染有無を確認するツール「EmoCheck」をアップデートし、新たな検知手法を追加した。 EmoCheckは調べたい端末上でファイルを実行するだけで感染の有無とEmotet実行ファイルの保存場所を調べられるツール。GitHubの配布ページからダウンロードできる。 今回のアップデート(バージョン2.3)では2022年5月までのEmotetを検知できるとしている。なお、侵入を未然に防ぐツールではないため他のセキュリティ対策も引き続き行う必要はある。 Emotetはメールに添付されたドキュメントファイルのマクロ(スクリプト)などを標的に実行させ、Emotetに感染させるという手法が観測されていたが、4月にはショートカットファイル(拡張子が「.lnk」)を使った新手法が確認されるなど進化を続けている。 関連記事 Emotetに新たな攻撃手
スマートフォンあるいはPCを買い替えたときなど、新しいデバイスでGoogle アカウントにログインしたり、パスワードの変更などを行ったりすると、Googleから「セキュリティ通知」が届くことがある。これは、他人による不正アクセスを防ぐためのGoogleによる取り組みだ。 自分でログインなどの操作を行っているなら問題ないが、心当たりがない場合には当然、注意が必要だ。誰かが不正ログインを試みている可能性がある。この記事では、Googleからセキュリティ通知が届いたときの対処法を紹介する。 【目次】 ■セキュリティ通知が届くタイミング ■セキュリティ通知が届いたときの対処法 ・セキュリティ通知に心当たりがある場合 ・セキュリティ通知に心当たりがない場合 ■アカウントのセキュリティを強化しよう ●セキュリティ診断を実施する ●2段階認証プロセスを有効にする ●再設定用の電話番号またメールアドレスの
現地時間の2023年5月3日(水)、GoogleのメールサービスであるGmailが「企業やブランドのメールアカウントが本物かどうかを判別するための青色チェックマーク」を導入しました。 Google Workspace Updates: Expanding upon Gmail security with BIMI https://workspaceupdates.googleblog.com/2023/05/expanding-gmail-security-BIMI.html Blue verified checkmarks are coming to Gmail | TechCrunch https://techcrunch.com/2023/05/03/blue-verified-checkmarks-are-coming-to-gmail/ Gmailは2021年に「Brand In
インシデントに強い組織を構築するために、CSIRTやCISOの設置を考える企業の中には、組織や役職を設置することが目的となり、実際に何をすればいいかが分からないケースも見受けられます。「CISOが明日から使える知識が欲しい」場合はどうすればよいのでしょうか。 その昔は“これさえ導入すれば、セキュリティレベルは必ず上がる”といわれる製品が存在しました。メールセキュリティアプライアンスや次世代UTM(統合脅威管理:Unified Threat Management)などがそれに当たるでしょう。製品1台でさまざまなセキュリティ機能を網羅できるため、これまで大企業でしか実現できなかった防御機能が手に入ると評判でした。 いまでは「導入すればOK」といえるような製品はなかなか見つかりません。「情報漏えい対策」や「エンドポイント強化」「ログの連携による深掘り」など、1機能に特化した製品やサービスを組み合
付録として、ECサイトの構築・運用時に気を付けるべきセキュリティ対策のチェックリストも公開している。いずれも、中小企業のECサイトからクレジットカード情報が盗まれるトラブルが相次いでいることを受けて作成したという。 関連記事 ファッションECでクレカ情報9000件漏えいか、個人情報も最大5万件が対象に 三京商会「情報保有はしていない」 ECサイト「三京商会 公式ショップ」が不正アクセスにより決済システムを改ざんされ、最大でクレジットカード情報約9000件、個人情報約5万件が漏えいした可能性があると発表した。 ChatGPTに「クレカ情報丸ごと漏えいって一式保存してたってことなんですか?」と聞いてみたら AIチャットbot「ChatGPT」に、人間には答えにくい質問や、答えのない問い、ひっかけ問題を尋ねてみたらどんな反応を見せるのか。ChatGPTの反応からAIの可能性、テクノロジーの奥深さ
ネットサービスを利用するユーザーがいつもとは違う端末や場所からアクセスした時に、追加の確認を求める方法をリスクベース認証(RIBA)と呼びます。Appleは新たなプライバシー保護機能として「プライベートリレー」を発表していますが、プライベートリレーはユーザーのIPアドレスを暗号化するものであるため、IPアドレスを利用するRIBAを無力化させるのではないかとデジタルアイデンティティの専門家であるフロリアン・フォースター氏が指摘しています。 IMO - Risk Based Authentication is broken https://zitadel.ch/blog/imo-rba-is-broken/ Appleは2021年6月8日に行われた開発者向けイベント「WWDC 2021」の中で新しいプライバシー保護機能「プライベートリレー」を発表しました。プライベートリレーはユーザーのウェブブ
ID管理のOkta、Auth0を買収へ--約7000億円
Stephanie Condon (Special to ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2021-03-04 14:01 Oktaは米国時間3月3日、開発者向けのアイデンティティ管理プラットフォームのAuth0を約65億ドル(約7000億円)相当の株取引で買収する計画を発表した。買収は両社の取締役会は買収を承認している。Oktaの2022会計年度第2四半期(2021年7月31日締め)中に完了する見通しだ。 Auth0は2013年に創業した。9000社を超える法人顧客を抱え、70カ国以上の顧客にサービスを提供している。Oktaは、従業員や顧客の認証に利用されるID管理ツールを1万社超に提供している。 買収完了後、Auth0はOktaの社内で独立した事業部門として運営される。両プラットフォームへのサポートや投資が行われるが、いずれ統合されるという。 Ok
MicrosoftがGPT-4を活用して「セキュリティの新時代」を目指す「Microsoft Security Copilot」を発表
Microsoftが、OpenAIのGPT-4を活用したセキュリティ分析ツール「Microsoft Security Copilot」を発表しました。Microsoft Security Copilotはサイバーセキュリティの専門家向けのツールで、サイバー攻撃を探知して次の攻撃を予測したり、セキュリティ環境をチェックしたり、報告書の作成を手助けしたりすることが可能です。 Microsoft Security Copilot | Microsoft Security https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot With Security Copilot, Microsoft brings the power of AI to cyberdefe
他者のコンピューターに侵入するハッカーの中には、攻撃を目的とした悪意あるハッカーだけではなく、セキュリティ上の欠陥や脆弱(ぜいじゃく)性を特定するための調査を行う「ホワイトハット」ハッカーもいます。司法省が、こうした活動を助け、サイバーセキュリティを促進するため、善意のセキュリティ研究者を起訴しないという方針転換を明らかにしました。 Department of Justice Announces New Policy for Charging Cases under the Computer Fraud and Abuse Act | OPA | Department of Justice https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-
「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について― - JPCERT/CC Eyes
Top > “その他”の一覧 > 「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について― 「積極的サイバー防御」、「アクティブ・サイバー・ディフェンス」、「アクティブ・ディフェンス」といった言葉を様々な文書で目にする機会が増えたかと思います。他方で、具体的にどういう行為を示すのか解説されているものは少ないため、困惑される方も多いかと思います。こうしたテーマにおいては、そうした用語の既存の定義を巡る議論になりやすいですが、日々変化する脅威に対抗するアプローチの概念もまた、ケーススタディなどを踏まえて日々進化していく必要があります。今日は具体的な事例を交えながら、これらの言葉が示すテーマを今後議論していくために必要な視点についてご紹介したいと思います。 バラバラな用語のそれぞれのニュアンス 「積極的サイバー防御」という日本語の用語が
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 たまに新卒採用活動のお手伝いをさせていただくことがあり、セキュリティ業界を目指す学生さんや、配属先が決まる前の内定者の方とお話する機会があります。そういった際に将来どのような仕事をしたいか聞くと、ありがたいことにペネトレーションテスターになりたいという方が少なくありません。また、ペネトレーションテスターになるためにはどのような勉強をしたら良いかという質問もよくいただきます。 そこで今回は、普段私が実際にペネトレーションテストの検証や、新しい攻撃技術を勉強する際に使用している環境1について、その概要とどのような使い方をしているかをご紹介します。 検証環境の全体像 各ホストの概要 ドメインコントローラ(構築優先度:高) クライアント端末(構築優先度:高) 情シス用端末(構築優先度:中) データベースサーバ(構築優先度:低
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JCB、ナンバーレスカードの発行開始 認証に使えるセキュアQRコード活用
「セキュリティのため、1日1回スマホの電源を切って」豪首相が国民に呼びかけ - iPhone Mania
携帯電話に届く迷惑SMS、未然に防ぐには? 4キャリア/MVNOでの対策方法
重要なのに知名度不足? Webアプリ・ECサイトの守りに必須な“アレ”の基本を専門家に聞く
グーグル、量子耐性のあるFIDO2セキュリティキーの実装を公開
途切れたセキュリティー情報の「供給網」、なぜ半田病院は脆弱性を放置するに至ったか
TechCrunch | Startup and Technology News
情シス部門のゼロトラスト導入に向けて#1 ゼロトラストを考えてみよう | LAC WATCH
ロシアの大規模ボットネット「RSocks」、米英独蘭が解体
「自動ファームウェア更新」「ID/パスワード固有化」ができるWi-Fiルーターを推奨、警視庁の注意喚起を受けてデジタルライフ推進協会
ペネトレーションテストが脆弱性診断の上位互換サービスであるという誤解 ~ セキュリティ標準化企業 SHIFT SECURITY 執行役員 松尾雄一郎に聞く | ScanNetSecurity
CloudflareがゼロトラストのeSIM「Zero Trust SIM」を発表
ダウンロードしたVBAマクロは既定でブロックへ ~「Microsoft Office」攻撃への対策を強化/警告のメッセージバーは赤色へ変更、ボタンだけでは有効化不能に
Microsoftアカウントのサインインでパスワードが完全不要に
数字を押さずに「ボタン1つ」でパスコードを入力する方法とは? 後ろからのぞき見対策に
「password」や「admin」など安易なパスワードをデフォルトに設定することを禁じる法案をイギリス政府が提出
Intel、2030年までに耐量子セキュリティを持つCPUの実現へ
総務省|報道資料|マルウェアに感染しているIoT機器の利用者に対する注意喚起の実施
「Emotet」感染確認ツールに新たな検知手法 「EmoCheck v2.3」
Googleから「セキュリティ通知」が届いたときは要注意!届く理由や対処法を解説
Gmailが企業やブランドのメールが本物かどうかわかる青色チェックマークを導入
ビジネス視点でセキュリティを考える 「CISOハンドブック」が教えてくれること
「Gmail」のクライアントサイドの暗号化機能が一般提供開始/ローカルで暗号化を行うためGoogleでも内容を盗み見られない
ECサイト運営の“危険ポイント”、IPAが79ページの資料を無料公開 クレカ情報の漏えい多発受け
クラウド設定項目と設定不備だった場合のリスク一覧 ~ 総務省ガイドライン公開 | ScanNetSecurity
Appleの新プライバシー保護機能「プライベートリレー」はリスクベース認証を無力化させる
善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表
ペネトレーションテストの検証・勉強用環境の紹介 - ラック・セキュリティごった煮ブログ