セキュリティ企業のSilverfortは2024年5月6日(現地時間)、FIDO2の認証プロセスが中間者攻撃(MITM)によってバイパスされる可能性があると指摘した。 FIDO2の認証プロセスをバイパス 複数のツールでテストした結果とは? FIDO2はパスワードに代わって物理的または組み込みのキーを使用して認証を実施する技術だ。Fast Identity Online(FIDO)アライアンスによって策定されており、主に中間者攻撃やフィッシング、セッションハイジャック攻撃などからユーザーを保護する安全な方法として知られている。 FIDO2の認証フローは、WebAuthn API仕様とClient to Authenticator(CTAP)プロトコルで構成されている。プロセス全体はWebブラウザが管理するため、デバイスの登録と認証の2つのステップで利用できる。通信には公開鍵暗号を使うため、フ
いまは多くの会社で、年一回は「情報セキュリティ教育」をしていると思います。 「情報セキュリティ教育」が普及した背景は、2005年に施行された「個人情報保護法」と、JIPDECによる「プライバシーマーク制度(Pマーク)」の関係です。 企業が取得した Pマークを維持するためには、少なくとも年1回は、情報セキュリティ教育をおこなうことが定められています。 Pマークは、JIS Q 15001:2017 の規格に沿ってます。 JIS Q 15001:2017で定義されている教育の対象者は、「雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)だけでなく、雇用関係にない従業者(取締役、執行役、理事、監査役、監事、派遣社員など)も含まれる。」としています。 社長も派遣会社から送られた人材も教育の対象です。 Pマークの制度自体は、1990年代からありますが、取得企業が爆発的に
積水ハウスは2024年5月24日、サイバー攻撃により顧客情報などが漏洩したと発表した。同社の住宅オーナー向けの会員制サイト「積水ハウスNetオーナーズクラブ」において、過去に使用していたページのセキュリティー設定に不備があり、同サイトのデータベースからパスワードなどが漏洩した。攻撃手法は、データベースに命令文(SQL文)を送りつけて情報を不正に入手する「SQLインジェクション」だった。 漏洩したのは顧客情報と従業員などの情報だ。顧客情報は、積水ハウスNetオーナーズクラブ会員として積水ハウスが取得した顧客のメールアドレスとログインID、パスワード10万8331人分が漏洩した。これに加えて漏洩の可能性がある人数は46万4053人に上る。 従業員に関しては、現在・過去に在籍していた積水ハウスグループの従業員と協力会社スタッフのメールアドレスと積水ハウスのシステムへのログイン時に使用するパスワー
OpenAI理事会が、OpenAIのプロジェクトと運営における重要な安全性とセキュリティに関する決定について勧告を行う「安全・セキュリティ委員会」を設置すること、そしてGPT-4シリーズに続く次世代モデルのトレーニングを開始することを発表しました。 OpenAI Board Forms Safety and Security Committee | OpenAI https://openai.com/index/openai-board-forms-safety-and-security-committee/ OpenAI training its next major AI model, forms new safety committee | Ars Technica https://arstechnica.com/information-technology/2024/05/open
MITREはなぜ侵入されたか? 調査結果 今回の攻撃は、攻撃者がWebシェルを展開し、多要素認証を回避、セッションハイジャックやRDP over HTML5を使って内部システムに接続し、VMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。 MITREはこれらの脅威に対処するための具体的な防衛策を示した他、潜在的な脅威の検出する方法などを説明した。今回のサイバーセキュリティインシデントはどの組織も最新の情報と対策を継続的に講じる必要性を示している。 MITREの調査結果および防衛策によれば、情報窃取が行われたことは伝えられているが、窃取された情報の詳細については明らかにされていない。また、2024年2月から3月にかけて行われた不正アクセスに関しては成功していないことも報じられている。 MITREは2024年4月に同組織の研究・開発・プロトタイピング用
企業内の情報セキュリティがテーマの自主制作アニメ「こうしす!」が地上波テレビ放送されます。前編が5月28日、後編が6月4日放送。 【動画】「こうしす!」を見る 「こうしす!」は京姫鉄道合同会社が情報セキュリティの啓蒙を目指して制作したアニメで、脚本・監督を現役のITエンジニアが担当。架空の鉄道会社「京姫鉄道株式会社」を舞台に、会社内の情報セキュリティ担当者のよくある悩みを社内SEの視点でコメディとして描いています。 2014年に第1話がWebで公開され、10年間に渡ってアニメや小説、ラジオドラマなどで展開されてきました。 地上波放送されるのは、アニメを再編集し、新規カットを加えた総集編映画「こうしす!EE 総集編映画版 ~こちら京姫鉄道広報部システム課~」(作品時間55分)。TOKYO MXで前編が5月28日23時、後編が6月4日23時から放送されます。 また京姫鉄道合同会社では「こうしす
日本シーサート協議会が執筆したセキュリティエンジニアを目指す人などを対象とする書籍「改訂新版セキュリティエンジニアの教科書」が発売された。 同書は、セキュリティエンジニアを目指す学生や、人事異動などであらたにセキュリティ部署へ異動し、セキュリティに関する知識をあまり持たない社会人などを想定した書籍。同協議会のシーサート人材ワーキンググループが執筆を担当した。 セキュリティエンジニアが身につけておきたい基礎的な知識やセキュリティ分野のキャリアについて、現職のセキュリティエンジニアが解説。 セキュア開発や脆弱性対応、インシデント対応、セキュリティマネジメントなどのトピックも扱っている。 出版社はシーアンドアール研究所でA5判208ページ。価格は2882円(税込)。ISBNは「978-4863544376」。 (Security NEXT - 2024/05/02 ) ツイート
製造業を狙うサイバー攻撃が激化している。情報の窃取にとどまらず、事業そのものを止めるような攻撃が目立つようになってきた。直近ではHOYAの例が挙げられる。同社は2024年3月から4月にかけてサイバー攻撃を受け、生産工場内のシステムや受注システムが停止。納期が遅れるなどの被害が数週間にわたり続いた。 そんな中でセキュリティー対策の一環として、コンサルティングファームと合弁でサイバーセキュリティー専門の子会社をつくるメーカーが現れた。鉄鋼メーカーのJFEスチールである。なぜ鉄鋼メーカーがセキュリティー専門の子会社をつくったのか。狙いを解説する。 製造現場のセキュリティー強化、外注には限界 新会社の名称は「JFEサイバーセキュリティ&ソリューションズ」、JFEスチールが90%、デロイト トーマツ サイバーが10%を出資して2024年4月1日に設立した。同社の狙いは主に3つ。SOC(Securit
米OpenAIは5月28日(現地時間)、安全およびセキュリティ委員会の設立を発表した。AGI開発を含む同社のプロジェクトと運営に関する安全とセキュリティの決定について、理事会全体に勧告する責任を担うとしている。委員会を率いるのは、理事会のサム・アルトマンCEO、ブレット・テイラー会長、アダム・ダンジェロ氏、ニコール・セリグマン氏。 これまで同社でAIの安全と制御に取り組んできたSuperalignmentチームは、リーダーのイリヤ・サツケバー氏とヤン・ライケ氏の退社によって消滅した。 ライケ氏は退社の際、OpenAIは「安全性が輝かしい製品の開発より後回しになっている」と警鐘を鳴らした。 OpenAIは13日、生成AIの新たなモデル「GPT-4o」を発表した際、ChatGPTの新しい音声「Sky」を紹介し、アルトマン氏はこれが映画「Her」の声に似ていることをXのポストでほのめかした。その
MIXIは、同社が運営するソーシャルネットワーキングサービス「mixi」が2月から3月にかけてパスワードリスト攻撃を受けたことを明らかにした。複数サービスでパスワードを使いまわしている場合は、すぐに変更するよう呼びかけている。 同社によれば、2月15日から3月16日にかけて、第三者が利用者本人になりすましてログインする不正アクセスが行われたという。 原因は、同社以外から入手したメールアドレスとパスワードを使用し、ログインを試みるパスワードリスト攻撃であるとの見方を示した。 不正ログインされた場合、サービスへ登録している氏名、性別、生年月日、メールアドレスなどの個人情報を第三者に閲覧された可能性がある。 同社では、対象アカウントを一時停止したり、パスワードリセットを行うなど対策を実施。対象アカウントのユーザーにメールで通知した。複数サービスで同じメールアドレスとパスワードを使いまわしている場
情報資産は、情報システムに関連付けされる資産を指します。これには機密情報、顧客情報、知的財産、ビジネスプロセス、コンピュータシステムなどの重要な情報が含まれます。情報資産は、組織の成功や競争力を支えるために重要な役割を果たします。 ある事業者において,情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として,最も適切なものはどれか。 ア 情報資産を管理している情報システム イ 情報システム以外で保有している情報資産 ウ 情報システム以外で保有している情報資産 エ 保有している全ての情報資産 ~「ITパスポート・平成31年春期」より 答えを表示 答え:エ情報セキュリティ監査は、独立かつ専門的な立場から、組織体の情報セキュリティの状況を検証又は評価して、情報セキュリティの適切性を保証し、情報セキュリティの改善に役立つ的確な助言を与えるものです。 ランキン
関連記事: 翻訳者じゃない人にAI翻訳の修正がいかに苦痛か説明するよっ! 翻訳者じゃない人に向けて、翻訳発注の側面から、人力翻訳、AI翻訳のみ、AI翻訳+人力修正の違いについて話すよっ! こんにちは。翻訳ジャーニーです。プロの翻訳者とそうでない方の間に、翻訳やらAIやらに対する認識がものっそい乖離しているので、ちょっとメモがてら書こうと思います。 次のツイートをしたところ、ほんの少しだけ話題にしてもらえました。1日でだいたい6万ビュー、500リポスト、1.5万いいね、くらいです。 漫画1冊の翻訳に仮に1か月かかっているとして、AIに下訳させると2日で済んでしまうようなら…… _人人人人人人人人人人人人人人人人人人人_ > なぜ翻訳者がAIを使っていないのか? <  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^ — 🍉翻訳ジャーニー (@HonyakuJourney)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Splunk Services Japanは5月15日、サイバーセキュリティに関する年次調査の報告書を発表した。それによると、企業のセキュリティ対策は改善傾向にあり、セキュリティの取り組みが先進的な企業では生成AIの活用やコラボレーションの促進が効果を上げているという。 同社は、この調査を2021年から毎年実施している。4度目になる今回の調査は、2023年12月~2024年1月に日本を含む9カ国・16業種の企業のセキュリティ幹部を対象にインタビューを行い、1650人が回答した。調査ではその時々のトレンドをテーマに据えているといい、今回は生成AIにフォーカスを当てている。
マイクロソフトは現地時間5月14日、5月の月例セキュリティ更新プログラムを公開した。61件の脆弱性を修正しており、2件の脆弱性いついてはすでに悪用が確認されているという。 今回のアップデートでは、「Windows」や「Office」をはじめ、「Azure」「Power BI」「Microsoft Intune」「Microsoft Dynamics 365」「.NET Core」「Visual Studio」などに明らかとなった脆弱性に対処した。 CVEベースで61件の脆弱性を修正しており、最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は、「Microsoft SharePoint Server」に判明した「CVE-2024-30044」の1件。 サイト所有者の権限を持つ場合、「SharePoint Server」の権限で任意のコードを実行するこ
関連記事: 漫画のAI翻訳に29億円について 翻訳者じゃない人に向けて、翻訳発注の側面から、人力翻訳、AI翻訳のみ、AI翻訳+人力修正の違いについて話すよっ! こんにちは。翻訳ジャーニーです。猫も杓子も口を開けば「エーアイ、エーアイ」と言うようになった感のある昨今ですが、翻訳業界でもそのトレンドは変わりません。 ここでは、AI翻訳(ニューラル機械翻訳)の結果を人間が修正するポスト・エディティング(PE)についてお話しします。とりわけ、多くの翻訳者がPE作業を苦痛に感じる理由を書いてみたいと思います。この記事を書くに当たって前提としたことを以下にまとめておきます。 この記事は、AI翻訳(以下「MT」と書きます)が成功していると言われているメディカル系の一部の分野と特許系の一部の分野には該当しません。MTとPEが商用レベルに達していない(前述の一部ジャンルを除く)産業翻訳・実務翻訳の全般と、文
Fortinetの「FortiSIEM」に判明している既知の脆弱性「CVE-2024-23108」について詳細が公開された。影響が大きく、未修正の場合は早急に対応が必要となる。 詳細が公開された「CVE-2024-23108」は、コマンドインジェクションの脆弱性。リモートより認証を必要とすることなくコードの実行が可能となる。 同時に報告された「CVE-2024-23109」とともに共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」と最高値で、重要度は「クリティカル(Critical)」とレーティングされている。 1月以降に公開された「FortiSIEM 7.2.0」「同7.1.3」「同7.0.3」「同6.7.9」「同6.6.5」「同6.5.3」「同6.4.4」にて修正された。 一定期間を経て、脆弱性を報告したHorizon3.aiが、脆弱性の詳細とともに実証コード(Po
IPAでは、これまで企業経営上の重要な課題である秘密情報の管理と保護に関する実態調査を通じ、「守るべき情報資産の認識不足や内部不正防止対策の取組の遅れ」などの問題点や課題を示しました。特に中小企業等においては以下の課題が顕著であると示唆されてきたところです。 内部不正防止が「重要な経営課題」として認識されていない 営業秘密は各社の業務に依存するため定義が難しく、守るべき情報資産を特定できていない サイバーセキュリティ対策を講じているものの、内部不正対策は後手に回りがち そこで、今次調査ではそれらの課題に沿った改善策に関する中小企業の状況を把握し示唆を抽出するため、経営者の意識、基本方針の策定状況、組織体制の整備状況、対策の実態、企業の取り組み事例などの調査を実施し、報告書としてまとめました。 中小企業の内部不正対策推進のヒント 内部不正防止の課題が顕在化してしまう要因には、中小企業のリソー
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
リソースが足りない企業がやるべき、“最低限で効果的なセキュリティ対策”を考えよう:「SPHERE 24」現地レポート(2) 予算やリソースが限られた中堅・中小企業が取るべき“最低限の効果的なセキュリティ対策”とは何か。WithSecureのCISOやユーザー企業のセキュリティ担当者が語った。 ランサムウェアをはじめとしたサイバー攻撃の被害者となっているのは大企業だけではない。大企業のサプライチェーンに連なる中堅・中小企業は、セキュリティ対策に十分な予算やリソースを割けないケースが多く、攻撃者にとって今や格好のターゲットとなっている。 脅威が激化する一方で、対策へのリソースが限られた中堅・中小企業が、“最低限で効果的なセキュリティ対策”を講じるにはどうすればいいのか。 WithSecureがフィンランドの首都ヘルシンキで2024年5月28~29日(現地時間)の期間で開催している大規模カンファ
Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。 同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。 具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。 同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。 攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アク
すべての Microsoft 製品 Global Microsoft 365 Teams Copilot Windows Surface Xbox セール 法人向け サポート ソフトウェア Windows アプリ AI OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Cloud Microsoft Security Azure Dynamics 365 一般法人向け Microsoft 365 Microsoft Industry Microsoft Power Platform W
セキュリティベンダーに聞く「スタートアップに投資するとき、どこを見る?」 技術理解の重要度は:VCに聞く「投資したい・したくないテックスタートアップ」(1/2 ページ) スタートアップにとっての悩みの種、資金調達。いわゆる“SaaSバブル”が崩れて以降、資金調達難に陥る企業も多く見られる。一方、政府が「スタートアップ5カ年計画」としてスタートアップの支援を掲げるなど、状況は大きく動いている。 資金集めが難しい局面では、当然それだけベンチャーキャピタル(VC)や銀行、投資家とのコミュニケーションの重要性も上がる。しかし、VCや投資家の考え方は広く共有されているものではなく、情報を集めにくい。 そこで、本連載ではVCなどスタートアップ投資に携わる人たちに、出資に当たっての考え方などをインタビュー。事業領域、指標、経営者の人柄……どんな部分に注目しているか聞く。 今回は、クラウド型予実管理ツール
おはこんばんちは!!! ゆるふわSEの「ゆるちょここ」です♪ みなさんは、「セキュリティ」について、普段どの程度意識したりしてますか? 色々とぶっそーなこともぽちぽち起こったりするべりーこわこわーな現代、ちょい前から、セキュリティの大切さ的なものは、「IT」、「物理」的な両面で、大事だよーって言われてるよぉな気はしており、、、 IT面では、そーいえば、興味本意でセキュリティの資格を取得したり、、、 www.yurufuwase.com 物理面では、お家にスマートロックを導入して、物理鍵の呪縛から解放されたりしたよーな気がしますが、、、 (・・・(´・ω・`)、これはあんまセキュリティ関係ないかもw) www.yurufuwase.com 身近な例で言うと、多くのオフィスとかは、社員証的なカードキーによる入退室管理/ドアの開錠/施錠がされていたり、監視カメラがあったりと、そーいった物理的な側
ウェブブラウザのFirefoxを開発するMozillaが、ユーザーからのフィードバックを受けて、特に要望の多かった機能を2025年までの1年間に実装すると発表しました。 Here’s what we’re working on in Firefox https://blog.mozilla.org/en/mozilla/heres-what-were-working-on-in-firefox/ Mozillaが今後1年間に予定している更新と改善は以下の通り。 1:タブグループ、縦タブ、サイドバーなどの生産性を高める機能 タブグループ機能では、関連するタブをまとめて管理できます。縦タブ機能では、タブを縦に並べることで、多くのタブを開いていても効率的に切り替えられます。サイドバーは、ブックマークやヒストリーなどにすばやくアクセスできる便利な機能です。これらの機能により、ユーザーはどれだけタブ
この連載について 「セキュリティ先進企業へのショートカット」は、CISOやCSIRT責任者といったキーパーソンに、セキュリティ組織をなぜ立ち上げ、またはどのように運用しているかなどを深堀りして聞き、セキュリティ体制構築・強化のショートカットにつながる情報を届ける連載だ。 ショートカットとは“楽をすること”ではなく、取り組みを地道かつ効率的に進めることに他ならない。先進企業の事例からそのヒントを学んでほしい。 ランサムウェアをはじめとしたサイバー脅威が激化し、セキュリティ対策は喫緊の課題となっている。だが、「これをどう進めればいいか分からない」と悩む企業もあるかもしれない。そんなときは先進企業の事例に学ぶのが一番の近道だ。 「セキュリティ先進企業へのショートカット」は、セキュリティ先進企業の責任者にインタビューし、責任者の経歴と合わせて企業のセキュリティ対策の歩みを深掘りし、体制の構築や運用
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く