同社では2023年に、セキュリティ強化の一環として統合型セキュリティアプライアンス FortiGate200F の設置をスターティア株式会社に依頼したが、スターティアが設置の際にリモートアクセス接続テスト用に使用していた test アカウントを削除せずに納品したため、悪意のある第三者が test アカウントを使用して同社のサーバに侵入したことが原因という。スターティアグループの持株会社スターティアホールディングス株式会社は東証プライム上場企業。
5月1日、太陽光発電施設の監視機器約800台がサイバー攻撃を受け、一部がネットバンキングによる不正送金に悪用されていたことがわかった。同日、共同通信が報じた。中国のハッカー集団が関与した可能性があるという。 報道によると、電子機器メーカー・コンテック(大阪市)が製造した監視機器が悪用された。ハッカーは外部からの操作を可能にするプログラム「バックドア」を仕掛け、ネットバンクに不正接続。金融機関の口座からハッカー側の口座に送金して金銭を窃取した。 ハッカーは身元を隠すため、乗っ取った監視機器を悪用したとみられる。機器のハッキングにより、発電を止めるなど大きな影響を与えかねない状態だったことになる。 太陽光発電施設への「ハッキングの危険性」は、4月8日の参院行政監視委員会で、自民党の青山繁晴参院議員がこう指摘していた。 「太陽光発電について、複数の電気主任技術者から内部告発をいただいた。ある程度
AmazonのクラウドコンピューティングサービスであるAWSが提供するストレージサービス・Amazon S3では、写真や動画などのデータをアップロードするためにバケットを作成する必要があります。このS3バケットを空の状態にしていると、AWSの請求額が爆発的に増加してしまうという問題を、ソフトウェアエンジニアのMaciej Pocwierz氏が報告しました。 How an empty S3 bucket can make your AWS bill explode | by Maciej Pocwierz | Apr, 2024 | Medium https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1 Pocwierz氏はクライアント向けに作成
【5月2日 AFP】カンボジア南西部のコンポンスプー(Kampong Speu)州の軍施設で先月27日、弾薬が爆発し、兵士20人が死亡する事故があった。国防省は2日、熱波に伴う高気温が爆発の原因だとの見方を示した。 爆発により弾薬を積んだトラックが全壊したほか、建物数棟が損壊。兵士20人が死亡し、数人が負傷した。近隣の民家も25棟が損傷を受け、少なくとも子ども1人がけがを負った。 国防省は声明で、「弾薬は古いもので、欠陥品だった。加えて高気温に見舞われていた」と指摘。ただ、高気温が爆発につながったことの詳細な説明は示されていない。 声明は、爆発は一部兵士による反逆的な行為やテロ行為によるものとの見方は否定した。 カンボジアを含む東南アジア一帯はここ数週間、熱波に見舞われている。当局は4月28日、一部地域では気温が43度に達する可能性もあると予想していた。(c)AFP
おはこんばんちは!!! ゆるふわSEの「ゆるちょここ」です♪ みなさんは、「セキュリティ」について、普段どの程度意識したりしてますか? 色々とぶっそーなこともぽちぽち起こったりするべりーこわこわーな現代、ちょい前から、セキュリティの大切さ的なものは、「IT」、「物理」的な両面で、大事だよーって言われてるよぉな気はしており、、、 IT面では、そーいえば、興味本意でセキュリティの資格を取得したり、、、 www.yurufuwase.com 物理面では、お家にスマートロックを導入して、物理鍵の呪縛から解放されたりしたよーな気がしますが、、、 (・・・(´・ω・`)、これはあんまセキュリティ関係ないかもw) www.yurufuwase.com 身近な例で言うと、多くのオフィスとかは、社員証的なカードキーによる入退室管理/ドアの開錠/施錠がされていたり、監視カメラがあったりと、そーいった物理的な側
セキュリティ企業のHive Systemsは、パスワードの長さや複雑さによって強度がどれだけ変わるのかをまとめたパスワードテーブルを毎年発表しています。さらに2024年には、複数のグラフィックボードでパスワードの解読にどれだけの時間がかかるかを調査した結果が発表されました。 Are Your Passwords in the Green? https://www.hivesystems.com/blog/are-your-passwords-in-the-green Nvidia's flagship gaming GPU can crack complex passwords in under an hour | Tom's Hardware https://www.tomshardware.com/pc-components/gpus/nvidias-flagship-gaming-g
2024年4月のWindows Updateを適用したクライアントやサーバーでVPN接続に障害が発生することが報告されていました。この件をMicrosoftが公式に認め、今後のリリースで問題を修正することを報告しました。 Windows 11, version 23H2 known issues and notifications | Microsoft Learn https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-23h2#vpn-connections-might-fail-after-installing-the-april-2024-security-update Microsoft says April Windows updates break VPN connections h
Microsoftは、Windows10用セキュリティ更新プログラムKB5034441の不具合の修正を諦めました。 KB5034441とは、2024年1月10日にWindowsUpdateに配信されたWindows10用セキュリティ更新プログラム。多くのPC環境で0x80070643エラーが表示されてインストールに失敗する不具合が発生しており問題となっています。 この更新プログラムは、KB5034439というKB番号でWindows Server 2022にも配信されていて、こちらも同様の不具合が発生しています。 0x80070643エラーを回避してKB5034441やKB5034439をインストールする方法もあるにはあるのですが、手動でパーティションサイズを変更する必要があるため、一般的なPCユーザーには難易度の高いものとなっています。そのため、Microsoftは、何かしら別の手段で簡
年表について NPO日本ネットワークセキュリティ協会(JNSA)が設立された2000年から2024年まで、社会で起きた出来事と共にサイバーセキュリティに関連した話題を年表にしました。JNSAの活動も併せてご覧いただけます。 当年表は、JNSAメンバーが調査に基づき作成したものです。 リンクでの参照や内容に不適切な点がある場合は、こちらの引用問合せをご利用下さい。なお、ご連絡いただいた内容への個別のご返信は行っておりません。 (ご注意とお願い)当コンテンツは、JNSAが独自の見解で編集しております。掲載している時事の話題やリンク先については、当時を振り返ることができるテーマとできるだけわかりやすい解説があるURLを選定しており、政治的、社会的な意図があるわけではございません。また掲載内容については、ご自身の責任の下で閲覧、利用下さいます様お願いいたします。
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか? 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方(通称徳丸本)」を出したのが2011年3月でして、それから13年以
椅子を引く、という子どものちょっとしたいたずら。これが人の一生を狂わせるほどの大事故につながることがある。 【映像】「椅子引き」で下半身まひ→懸命のリハビリ 現在の姿とは? 「新学期が始まった子どもたちに事実を伝えたい」。このいたずらで障害を負った男性に話を聞いた。 「いつ何が起こるかわからない」 この日(2014.7.2)から俺の人生はガラッと変わった。 椅子に座ろうとした時に、後ろにいた女の子がふざけて俺の椅子を引いた。 床にお尻から突き上げるように落ちた。その瞬間、背中と腰に異常な激痛が走った。 (山田雄也さんのXより) これは、座ろうとしていた人の椅子を引くといういたずらで、大怪我をしてしまった山田雄也さんのSNSでの投稿だ。 10年前、当時高校3年生だった山田さんは、席に座ろうとして同級生に椅子を引かれ、背中とお尻を強打し、病院へ救急搬送された。 山田さんは当時について、「脊髄が
各地の太陽光発電施設の遠隔監視機器、計約800台がサイバー攻撃を受け、一部がインターネットバンキングによる預金の不正送金に悪用されていたことが1日、分かった。ハッカーはネット上の身元を隠すために機器を乗っ取ったとみられ、発電施設に障害が起きる恐れもあった。セキュリティー企業によると、中国のハッカー集団が関与した可能性がある。 電子機器メーカーのコンテック(大阪市)によると、自社が製造した遠隔監視機器が悪用された。機器はネットにつながっており、発電施設の運営会社が発電量の把握や異常の感知に使う。コンテックは機器を約1万台販売したが、令和4年時点でこのうち約800台について、サイバー攻撃対策の欠陥があった。 ハッカーは欠陥を突いて遠隔監視機器に侵入し、外部からの操作を可能にするプログラム「バックドア」を仕掛けた。機器を操ってネットバンキングに不正接続し、金融機関の口座からハッカー側の口座に送金
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
LayerX Fintech事業部(※)の piroshi です。 ※三井物産デジタル・アセットマネジメント (MDM)に出向しています。 沖縄からリモートワークで働いており、蒸し暑い日が続いています。クーラーをつけないと寝苦しくなってきました。 ところでみなさん、特権 (ちから) が欲しいですか?ここでの権限はシステム上の各種権限です。私は小心者で、大きすぎる力は持ちたくない派です。特権をもっていると「オレは今、セキュリティリスクの塊だ...」と気になってしまい、輪をかけて夜も眠れません。 さて、Microsoft の IdP サービスである Entra ID には Privileged Identity Management (PIM) という特権管理機能があります。PIM により「必要最低限の権限」を「必要な期間」に限定して付与することが可能です。ユーザは特権へのエスカレーションを自
「Evernote」や「Notion」などのノートアプリの利用が企業でも進んでいるが、両者の人気には差があるようだ。ノートアプリのメリットや企業での導入実績、両者のセキュリティ機能、市場での位置付けなどを解説する。 ノートアプリは、個人で利用されることが多く、企業が導入することはほとんどないと思われてきたが、その状況が変わるかもしれない。人気のノートアプリである「Evernote」と「Notion」は、企業のITバイヤーにとって魅力的に映る機能と性能を備えている。 Evernoteは「Evernote Teams」を提供していて、ノート作成機能やチームコラボレーション、セキュリティの向上、ガバナンス機能を追加した。有名なノートアプリであるNotionは、Wikiやその他のコラボレーション機能を搭載している。これらのツールは、企業向けコラボレーションの中でもどこに位置付けられるのだろうか。
Published 2024/05/01 10:01 (JST) Updated 2024/05/01 10:17 (JST) 各地の太陽光発電施設の遠隔監視機器、計約800台がサイバー攻撃を受け、一部がインターネットバンキングによる預金の不正送金に悪用されていたことが1日、分かった。ハッカーはネット上の身元を隠すために機器を乗っ取ったとみられ、発電施設に障害が起きる恐れもあった。セキュリティー企業によると、中国のハッカー集団が関与した可能性がある。 電子機器メーカーのコンテック(大阪市)によると、自社が製造した遠隔監視機器が悪用された。機器はネットにつながっており、発電施設の運営会社が発電量の把握や異常の感知に使う。コンテックは機器を約1万台販売したが、2022年時点でこのうち約800台について、サイバー攻撃対策の欠陥があった。 ハッカーは欠陥を突いて遠隔監視機器に侵入し、外部からの操作
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-05-01 07:30 「Linux」カーネル開発の動向を知りたければ、「Linux Kernel Mailing List」を購読するといい。Linuxカーネルの実状を深いレベルで知りたいが、細かな部分まですべて追跡したくはないという場合は、「Linux Weekly News」(LWN)を購読しよう。 だが、Linuxカーネルの現状に関する幅広い概要を手早く知りたいなら、筆者と同じことをするのがいいだろう。それは、Linuxカーネルの開発者でLWNの編集長であるJonathan Corbet氏が、Linuxの大規模カンファレンスで実施したLinuxカーネルの現状に関するプレゼンテーションを見ることだ。 シアトルで開催の「Open Source
Microsoftはこのほど、「Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials|Microsoft Security Blog」において、ロシア連邦軍参謀本部情報総局(лавное разведывательное управление)と関連があるとみられる脅威グループ「Forest Blizzard(別名:APT28、STRONTIUM)」がWindowsのプリントスプーラーサービスに存在する脆弱性を悪用していたと伝えた。脅威グループはこの脆弱性「CVE-2022-38028」を悪用する「GooseEgg」と呼ばれるツールを用いて特権を昇格させ、認証情報を窃取したと見られている。 Analyzing Forest Bli
高齢者、障害者などに対して総合的な雇用支援を実施する高齢・障害・求職者雇用支援機構(JEED)は4月26日、591件の企業、個人情報が漏えいした可能性があると発表した。JEEDが業務を委嘱する高齢者雇用推進の専門家「70歳雇用推進プランナー」がサポート詐欺に遭ったためとしている。 JEEDによると、3月11日に自身のPCを利用していた当該プランナーがサポート詐欺に遭遇。偽のセキュリティ警告に記載されたサポート窓口に電話し、指示に従って遠隔操作ソフトをPCにインストールした結果、約3時間にわたってPCが第三者にリモート接続されていた状態だったという。これにより、JEEDが提供し、プランナーがPCに保存していた情報が漏えいした可能性があるとしている。 漏えいした可能性があるのは、JEEDが当該プランナーに提供した東京都内591社の企業情報と個人情報で、企業名称、所在地、電話番号、担当者名、メー
ロシア連邦軍参謀本部情報総局(GRU)の29155部隊は、弾薬倉庫爆破や武器商人毒殺などに関係したことが報じられています。新たに、チェコ国籍を持つ夫妻によって経営されていたギリシャのホテルが29155部隊の隠れ家として使われていた実態がロシア関連の話題を扱う独立系メディア「The Insider」の調査によって明らかになりました。 The Czech illegals: Husband and wife outed as GRU spies aiding bombings and poisonings across Europe https://theins.ru/en/politics/271205 GRUはロシアの情報機関で、GRUの構成員はロシア国外でスパイ活動に従事しています。GRUが活動していた痕跡は日本でも見つかっており、2012年には自衛隊の秘密情報をGRUのスパイに渡してい
Go is an open source programming language that makes it easy to build simple, reliable, and efficient software. This repository, microsoft/go, contains the infrastructure Microsoft uses to build Go. The submodule named go contains the Go source code. By default, the submodule's remote URL is the official GitHub mirror of Go, golang/go. The canonical Git repository for Go source code is located at
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
新日本プロレスリング(東京都中野区)は4月30日、約3万人分の個人情報が入ったUSBメモリを紛失したと発表した。該当のUSBメモリは暗号化セキュリティ機能が付いているという。30日時点でUSBメモリは見つかっていないが、個人情報の不正利用などの二次被害が発生した事実は確認していないとしている。 USBメモリに入っていたのは、ファンクラブ「Team NJPW」の会員3万2775人分の個人情報。会員番号や氏名、生年月日、年齢、性別、会員種別、会員期限が該当し、会員の住所や電話番号、メールアドレス、クレジットカード情報などは含まれていないという。 紛失が発覚したのは22日。後楽園ホールでファンクラブ会員限定の撮影会の準備を行っていたところ、USBメモリを紛失していると判明し、社内や使用場所を探したが発見できなかった。25日には警察に遺失物届を提出し、個人情報保護委員会と放送セキュリティセンターに
スマートテレビやスマート電球などのIoTデバイスは、家具や家電をインターネットに接続することで日常生活を便利にしてくれますが、同時にセキュリティ上のリスクをもたらす可能性もあります。イギリスでは2024年4月29日(月)に「Product Security and Telecommunications Infrastructure Act(PSTI法:製品セキュリティおよび通信インフラストラクチャー法)」の改正案が施行され、世界で初めて「IoTデバイスの推測しやすい脆弱(ぜいじゃく)なデフォルトパスワード」を禁止しました。 New laws to protect consumers from cyber criminals come into force in the UK - GOV.UK https://www.gov.uk/government/news/new-laws-to-pr
本連載「ざっくり知っておきたいIT業界データ」では、過去1週間に調査会社などから発表されたIT市場予測やユーザー動向などのデータを、それぞれ3行にまとめてお伝えしています。 今回(4月13日~4月26日)は、サイバーセキュリティ業界のダイバーシティ、生成AIとデジタル・シフト、中小企業が考える「バックオフィス業務の無駄」、勤続希望理由の中の「退職給付」、「65歳を超えても働きたい」シニア世代の意識調査を紹介します。 [セキュリティ][ダイバーシティ]サイバーセキュリティチームの女性比率、グローバル平均は23%(ISC2、4月26日) ・サイバーセキュリティチームに占める女性の割合は平均23% ・ただし、30歳未満の人材における女性比率は65歳以上層の2倍 ・女性の平均給与は10万9609ドル、男性は11万5003ドル(米国) サイバーセキュリティに従事する女性2400人を調べた2023年度
日本時間の2024年4月29日9時頃から、多数のApple製品ユーザーがApple IDから強制ログアウトされる自体が発生しました。強制ログアウトを経験したユーザーの報告によると、再ログイン時にはパスワードのリセットを求められたそうです。 Apple users are being locked out of their Apple IDs with no explanation - 9to5Mac https://9to5mac.com/2024/04/26/signed-out-of-apple-id-account-problem-password/ Apple ID Accounts Logging Out Users and Requiring Password Reset - MacRumors https://www.macrumors.com/2024/04/27/appl
この記事では、SDPFクラウド/サーバで提供しているファイアウォールサービスについて、数週間かかっていたコントローラのテストを一新し、開発効率/品質向上に繋がった事例を紹介します。 目次 目次 はじめに ファイアウォール サービスとは テストにおける課題 問題1: テスト時間が長い 問題2: テストツールのEOL テスト環境の一新 問題の調査と整理 外部サービスのmock化 apiごとのテスト実装 CIの導入 テスト環境を一新して さいごに はじめに みなさん、こんにちは。 現在、SDPFクラウド/サーバで提供しているファイアウォール/ロードバランサーのサービス開発業務に携わっています、片貝です。 この記事では、数週間かかっていたファイアウォールサービスのテストを一新し、開発効率/品質向上に繋がった事例を紹介させていただきます。 ファイアウォール サービスとは ファイアウォールサービスでは
Update AWS started investigating the issue: https://twitter.com/jeffbarr/status/1785386554372042890 Imagine you create an empty, private AWS S3 bucket in a region of your preference. What will your AWS bill be the next morning? A few weeks ago, I began working on a PoC of a document indexing system for my client. I created a single S3 bucket in the eu-west-1 region and uploaded some files there fo
※こちらは「かいサポ(お買いものサポーターチーム)」が編集・執筆した記事です。 ※この記事は2023年11月13日に公開された記事を編集して再掲載しています。 パスワードは、ネットワーク経由のサービスに欠かせないもの。ところが、“簡単なパスワードはNG” 。しかも、“パスワードを使い回すとリスクが高まる” ため、もはや記憶に頼った運用は、実質的に不可能になっています。 そこで、強固にガードされたパスワード管理サービスを利用するのが、現状の最適解となっているところですが、実は、アナログな手法に回帰するという手段もあるのです。 「PassCard」は、完全にネットワークから遮断された環境でパスワードを管理できるセキュリティツールです。 アナログを経由すればハッキングは怖くない イタチごっこを繰り返すセキュリティ対策を単純化できる最も効果的な手段は、ネットワークとは隔離された環境でパスワードを管
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く