企業・団体で利用するサーバーやパソコン、ネットワーク機器などの機器やソフトウエアに見つかる脆弱性。放っておけば、攻撃者がめざとく見つけて攻撃をしかけてくる。そのスピードはここ2~3年で急速にアップした。企業は速やかな脆弱性対応が必要だ。 極端な話、自分たちが使っている全ての機器のあらゆる脆弱性に速やかに対応すれば良いことになる。だがそれは現実的に不可能な場合が多い。脆弱性の数が多いからだ。 脆弱性の件数は増加傾向にある。米国の国立標準技術研究所(NIST)が管理する脆弱性データベース NVD(National Vulnerability Database)には、日々新しい脆弱性が登録されている。2021年以降は年間2万件を超えた。2024年は5月20日時点で1万6000近く登録され、年間で初めて3万件を超える勢いで増えている。これだけ多くの脆弱性に等しく労力をかけて対応するのは非効率だ。こ
「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab
はじめまして、中島明日香(@AsuNa_jp)です! 私は14歳の頃にハッカーに憧れてセキュリティの世界に飛び込んで以来、セキュリティひと筋なキャリアを歩んできました。大学でセキュリティを学び、卒業後も研究開発者として10年以上さまざまなセキュリティの研究開発に携わってきました。 本記事では、私自身のキャリアの歩みについて紹介します。今までどのような仕事に携わってきたかだけでなく、大学卒業時の就職や一昨年に経験した転職など、キャリアの節目においてどのように考え、選択してきたのかについても触れています。 私のこれまでの歩みが、皆様が自分らしいキャリアを歩む参考になればたいへん嬉(うれ)しく思います。 ▲ Black Hat Asia 2023のロックノート(閉会時基調講演)となるパネルセッションに登壇する筆者(左から2人目) ハッカーに憧れてセキュリティの世界に飛び込む 「世界を広く良くした
令和6年5月19日午後4時頃から、当センター及び東古松サンクト診療所の電子カルテを含めた総合情報システムに支障が生じています。地域における精神科医療の中核的な役割を担う病院として、県民の皆様、特に患者さんをはじめとする関係者の皆様に多大なるご迷惑、ご心配をおかけしますことに深くお詫び申し上げます。 サイバー攻撃の可能性があることから、直ちに、岡山県、岡山県警、厚生労働省などの各方面に連絡をするとともに、原因の究明や早期の復旧に努めております。 当面、紙カルテの運用などにより診療体制の維持に取り組んでまいります。 なお、現在のところ、個人情報等の漏洩の事実は確認されておりません。 ご理解、ご協力のほど、どうぞよろしくお願い申し上げます。 本件についてのお問合せは、以下のTELにお願いします。 直通電話 080-1005-5751 対応可能時間 平日 8:30~20:00 令和6年5月 20
個人情報保護委員会(個情委)は2024年3月、ランサムウエア被害に遭った社会保険労務士向けクラウド業務システム「社労夢(Shalom)」などを運営するエムケイシステム(エムケイ社)に行政指導をした。同時に個情委は、社労士事務所や企業にも注意喚起を公表した。約57万件もの事業所が認識の薄いまま従業員データをエムケイ社に委託し、結果的に同社への監督が不十分だった可能性があるとしたためだ。エムケイ
公益社団法人日本アドバタイザーズ協会では、社会問題化するデジタルメディア上の詐欺広告に対して緊急提言を発表いたしました。詳しくは添付をご確認ください。
バッファローは2024年5月23日、同社製の無線LANルーターなど18機種が特定の条件に置かれた際、ボットに感染する恐れがあると発表した。この問題は2024年5月21日に情報通信研究機構(NICT)のサイバーセキュリティ研究室 解析チームがX(旧Twitter)公式アカウントで注意喚起していた。バッファローは2024年5月22日にボット感染の恐れがある機種や条件を発表していたが、対象は5機種だとしていた。 ボット感染の恐れがある18機種の内訳は、NICTが実際に感染を確認した7機種と、それらと設計が類似している11機種である。対象機種のWeb設定画面のパスワードが「工場出荷時の状態になっている」または「推測されやすい文字列が設定されている」場合にボット感染の恐れがあるという。2024年5月24日時点で対象機種の多くは販売が終了しているが、無線LAN中継器の「WEX-300HPTX/N」と「
Xアカウントの乗っ取りDMが再流行中 インスタグラムへのリンクに見えるけど……じゃない! | おたくま経済新聞
5月21日午前、おたくま経済新聞が運用するXアカウントに、複数のフォロワーからほぼ同時にDMが届きました。見るとそこには「おたくま経済新聞」という文章と共に、「l.instagram」というInstagramらしきURLが記載されていました。これってもしかして……。 ピンときた方は、過去にも見かけたことがあるのではないでしょうか?そう、これはかつて流行した、アカウント乗っ取りを目的としたスパムDMです。一時期を境にめっきり見なくなっていましたが、ここ数日再び活性化しています。 このInstagramらしきリンクを踏むと、何が起きるかというと……複数回のリダイレクトを経て、Instagramとは全く関係のないサイトに飛ばされます。 「Who is viewing your twitter profile?(あなたのツイッタープロフィールを見ているのは誰ですか?)」といった英文が表示され、Tw
【セキュリティ ニュース】「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
4人のセキュリティー専門家に聞く、脆弱性対応の秘訣
セキュリティーに「絶対大丈夫」はない。そして、企業ごとにシステムやネットワークの構成、事業内容などは様々。1つの脆弱性への対応をとっても、ケース・バイ・ケースで難しい。そんな難しい脆弱性対応で失敗しないためにはどんな策があるか。4人のセキュリティー専門家へのインタビューを掲載する。 佐々木 勇人氏 JPCERTコーディネーションセンター 政策担当部長兼早期警戒グループマネージャー脅威アナリスト 脆弱性の深刻度を測るCVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)の値は個別の悪用の蓋然性を正確に示し切れていない課題はあるものの、年間に大量の脆弱性をユーザーがさばかなければならない際の指標にはなる。一定の目安として採用する手はある。 ただ、システムに与える影響は各社で判断するしかない。脆弱性情報を見て理解できるだけの知見が必要なので、ベ
それによると、増加するデジタル分野の法規制について、多くの日本企業の経営層が「大幅なコンプライアンスコスト増加や業務改革に迫られている」と認識していることが分かった。 経営層同士でも発生する“認識違い” AI(人工知能)やサイバーセキュリティ、プライバシー保護、製品セキュリティなどのデジタル分野で、企業のビジネスモデルの変革を迫る法令が世界各国で次々と制定されている。「このような状況下では、経営陣は規制の変化をプロアクティブに把握し、規制が及ぼす影響の範囲とその大きさを継続的に評価する必要がある」とPwC Japanは指摘している。 関連記事 みずほフィナンシャルグループCO-CISOが語るセキュリティの“かたち”――フレームワーク、組織、共助 2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」で、みずほフィナンシャルグルー
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
多すぎる脆弱性に素早く適切な「トリアージ」、標準指標CVSSだけに頼っては危険
電子カルテのシステムの不具合について – 地方独立行政法人 岡山県精神科医療センター
57万事業所が「認識なくデータ委託」 個人情報保護委員会が注意喚起 - 日本経済新聞
社会問題化するデジタルメディア上の詐欺広告に対する緊急提言|お知らせ|公益社団法人 日本アドバタイザーズ協会
ボット感染の恐れあるバッファロー機器が18機種に拡大、販売中の中継器も対象に
Androidアプリ「TP-Link Tether」「TP-Link Tapo」に脆弱性、最新版へのアップデートを
デジタル法規制による自社への影響 CISOに比べてCEOは過小評価する傾向がある