サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
円安とは
security.srad.jp
p>独立行政法人情報処理推進機構(IPA)は24日、2023年に発生した情報セキュリティに関する重要な脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。これは毎年公開しているもので、情報セキュリティの専門家や企業の担当者など約200人からなる「10大脅威選考会」によって選定されている(IPA、INTERNET Watch)。 今回は、個人向けの脅威には順位がなくなり、代わりに初選出年と過去の取り扱い状況が記載された。個人における情報セキュリティ10大脅威に選ばれたのは以下の通り。 インターネット上のサービスからの個人情報の窃取(初選出年2016/5年連続8回目)インターネット上のサービスへの不正ログイン(同2016/9年連続9回目)クレジットカード情報の不正利用(同2016/9年連続9回目)スマホ決済の不正利用(同2020/5年連続5回目)偽警告によるインターネット詐欺(同
headless 曰く、Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している (Microsoft Security Response Center Blog の記事、 The Verge の記事、 Neowin の記事、 Form 8-K 報告書)。 不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく
サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(Quarkslab、PC Watch)。 EDK IIを実装していて影響を受けるUEFIは下記の通り。 ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc(AMI)のAptio OpenEditionPhoenix T
Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという(Fortinet、TECH+)。 リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。 すべて読む | セキュリティセクション | セキュリティ | ニュース
headless 曰く、間もなく締め切りとなってしまうが、米連邦取引委員会 (FTC) が AI によるボイスクローニングから消費者を守る手法のアイディアを募集するコンテスト Voice Cloning Challenge を実施し、12 日まで参加を受け付け中だ(プレスリリース、 公式ルール: PDF、 The Register の記事、 Neowin の記事)。 AI を用いて特定の人物の声を再現するボイスクローニング技術は医療やアクセシビリティの分野で非常に有益な利用が可能だが、詐欺などの悪用も懸念される。コンテストではボイスクローニングの悪用を防ぐ以下のような 3 つのポイントのうち少なくとも 1 つを解決するアイディアが求められる。 防止または認証: 認証されていないユーザーによるボイスクローニングソフトウェアの使用を制限する手法 リアルタイム検出または監視: クローンボイスまた
ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している (Emsisoft のブログ記事、 The Register の記事)。 ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。 ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。Th
LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事、 Bleeping Computer の記事、 The Verge の記事)。 LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダ
米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリース、 The Verge の記事)。 SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。 パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。Multi
KDDI総合研究所は26日、暗号解読コンテスト「Challenges for code-based problems」で、Classic McElieceと呼ばれる次世代暗号の1409次元の暗号を解読し、これまでの世界記録を更新したそうだ。この1409次元の暗号は10の56乗(=100兆×100兆×100兆×100兆)通りの解の候補が存在する。このため、総当たりでは解読に1兆年以上かかるとされてきたが、KDDIは独自の解読アルゴリズムを用いて、2700万の解読処理を同時に実行できる並列コンピューティング環境を構築・活用することにより、29.6時間で解読に成功したとしている(KDDI、ASCII.jp)。 これにより、1409次元の暗号を解読するために必要な計算量が2の63乗であることを実証し、この次元を上回れば暗号の解読が困難という目安である暗号の強度を突き止めたとしている。この成果は、将
総務省サイバーセキュリティ統括官室は、非常勤のサイバーセキュリティエキスパートを募集中だという。このエキスパートは、同省のサイバーセキュリティ政策の企画・立案に関する助言や情報提供を行い、国内外のサイバーセキュリティ最新動向の分析や情報提供も担当する(総務省、ScanNetSecurity)。 応募資格は、約10年以上のセキュリティ分野の実務経験とサイバーセキュリティ分野の最新技術や動向に関する専門知識を有すること。勤務時間は毎月第2金曜日の午後4時から6時までの2時間で、勤務地は東京都千代田区霞が関。雇用期間は2024年1月1日から12月31日までの採用日から1年を超えない期間。時給は7500円としている。
消費者庁は21日、「ミズノ」と「ワコール」の偽の広告がSNSを中心に拡散し、被害相談が相次いでいるとされるとして注意喚起をおこなった。偽広告には、ワコールのロゴを使用したインナーの広告や、ミズノのロゴを使ったスポーツ用品の広告などがあり、これらの広告をクリックすると偽の販売サイトに誘導される。実際に商品を注文すると本物ではない商品が届くなどの被害が報告されている(消費者庁、日テレNEWS)。 偽広告はInstagramやFacebookなどを通じて拡散されている。消費者庁には2022年4月から2023年10月末までの間に1277件の相談が寄せられているとのこと。消費者庁は価格を強調していないか、不自然な日本語ではないかなどを注意して確認するよう注意を呼びかけている。
警察庁は21日、2024年の通常国会に銃刀法改正案を提出する方針を発表した。この改正案では、インターネット上で銃の製造方法を示し、不法所持を促す投稿を罰則付きで禁止することが盛り込まれている(毎日新聞、日経新聞、共同通信)。 改正案では動画などで銃の製造方法を公開し、不法所持を呼びかけたり、販売するための情報を掲載したりする行為が規制される。罰則は懲役1年前後が検討されている。警察庁はこれまでに、銃などの製造や譲渡に関する投稿をSNS事業者に削除要請する制度を導入しており、これに加えて改正案を通じて対策を強化する予定。 また改正案では、2023年5月に長野県中野市で4人が殺害された事件を受け、発射罪や所持罪の厳罰化が盛り込まれる。人の殺傷を目的とする銃に対する罰則が強化され、その他装薬銃砲なども対象に含まれる。電磁石銃(コイルガン)も所持禁止の対象になる。ネット上で数万~30万円程度で取引
Sophos X-Ops によると、ホテル業界をターゲットにした「Inhospitality」マルスパムキャンペーンが世界規模で発生しているそうだ (Sophos News の記事、 The Register の記事)。 このマルスパムは宿泊客の苦情や問い合わせなど、ホテル従業員が応答せざるを得ない内容で、より詳細な情報を求めるとマルウェアのリンクを送ってくるという。ペイロードはパスワード付きの ZIP 形式や RAR 形式ファイルで、Google Drive などに保存されている。Sophos では 50 以上の異なるサンプルを入手しているが、マルウェアは主にパスワード窃取型の Redline Stealer や Vidar Stealer などと呼ばれるものとのことだ。
コンビニ店などでプリペイド式の電子マネーを購入させる詐欺の件数が増加しており、警察庁が注意を呼び掛けている。今年1月から11月までの架空請求でプリペイド式の電子マネーを購入させる詐欺の認知件数は3047件、被害額は18億5700万円で件数、被害額ともに過去最悪を更新中とされる(12月22日:令和5年11月の特殊詐欺認知・検挙状況等について、TBS NEWS DIG、NHK、読売新聞)。 今年は特に「Apple Gift Card」を購入させる手口が多く約2000件、およそ13億円が「Apple Gift Card」の悪用。11月に限っては被害件数、被害額ともに全体の9割を占めているという。パソコン画面に「ウイルスに感染した」などの虚偽の警告を表示させて、見た相手にギフトカードを買いに行かせ、裏面の番号の写真を送らせるなどの手口が目立つとしている。犯行にApple Gift Cardが選ばれ
米法務省は 12 月 19 日、ALPHV/Blackcat ランサムウェアグループの妨害作戦に成功し、世界 500 件以上の被害者を救済可能な復号ツールを作成したと発表した (プレスリリース、 捜査令状、 BleepingComputer の記事 [1]、 [2]、 [3])。 今回の作戦は連邦捜査局 (FBI) に協力する秘密の情報提供者 (CHS) が Blackcatのアフィリエイトとなって内部調査を行い、何らかの方法でアフィリエイトには提供されない復号鍵や Tor の秘密鍵を入手したのだという。FBI は Tor の秘密鍵を用いてサイト URL を差し押さえたが、同じ鍵を持つランサムウェアグループが URL を奪い返し、URL の奪い合いになったとのこと。 URL を奪い返されては作戦の一部が失敗したことにもなるが、ターゲットが救済されたランサムウェアグループにも大きなダメージと
日本損害保険協会は18日、企業を取り巻くリスクに対する意識・対策実態調査の結果を公開した。調査は、中小企業の経営者と従業員1031名を対象に実施されたもので、中小企業の意識や実際の被害内容、被害額、損害保険への加入状況などが明らかにされた(日本損害保険協会、ScanNetSecurity)。 この調査によれば、中小企業が事業活動を行う上で考えられるリスクの上位には、「自然災害」(50.7%)、「顧客・取引先の廃業等による売上の減少」(38.0%)、「経済環境リスク」(32.4%)が挙げられている。また、「情報の漏えい」(23.9%)や「サイバーリスク」(20.3%)も一定の割合で認識されているが、過去3年間では経済環境リスクを除いて割合が減少している。被害に遭った経験のある企業では、「損害保険への加入」が46.2%と最も多い対策として挙げられている。 実際に何らかのリスクにより被害を受けた
イスラエル国防軍(IDF)は15日、パレスチナ自治区ガザ地区での作戦で、イスラム組織ハマスに連れ去られたイスラエル人の男性人質3人を誤って殺害したと発表した。3人はイスラエルの部隊から数十メートル離れた建物から姿を現した。彼らはシャツを脱いで白旗を振っていたとされている(CNN)。 この際、射殺した3人の人質の声が、軍用犬に取り付けられたカメラに記録されていたことが明らかになった。カメラの映像はイスラエル軍が19日に発見した。カメラを装着されていた犬は戦闘でなくなっていた。イスラエル軍の報道官は、映像の音声を分析した結果、3人の人質の声であることを確認したと述べたが、人質が何を話していたかについては明らかにしていない。
>ソニーのゲーム部門であるインソムニアック・ゲームズから130万以上のファイルが流出したそうだ。ハッカー集団の「リサイダ」がその犯行を公表したという。報道によると1.67TBに及ぶデータを盗み出されたとされ、流出したファイルの中には、「ウルヴァリン」新作の開発工程表や予算、開発状況やリリース予定、10年以内に発売されるタイトルのスケジュールなども含まれていたようだ(Bloomberg、Cyber Daily、GIGAZINE)。 このハッキングは、ランサムウェアグループのリサイダによって12日に発表された。不正に入手したデータを約200万ドル相当のビットコインで競売にかけるとしていたが、19日にそのデータを公開した。米政府によるとこの集団は教育や医療、製造業、情報技術(IT)セクターを標的にしているハッカー集団だとされる。 流出した情報によると、ソニーは「スパイダーマン3」などマーベル
IT導入補助金の事務局のウェブサイトが不正アクセスを受け、IT導入支援事業者約3.8万人の個人情報が漏えいした恐れがあることが判明した。IT導入補助金は、独立行政法人中小企業基盤整備機構が補助金を提供する事業で、不正アクセスを受けたのはTOPPANが実施する「IT導入補助金2023後期」の事業( IT導入補助金2023(後期事務局)、ネットショップ担当者フォーラム)。 不正アクセスは、IT導入補助金2023後期事務局のウェブサイトで2023年8月1日から発生したとされ、漏えいの恐れのある個人情報は3万8269人分に相当する。漏えいした可能性のある情報には、一部個人情報を含む事業者の登録情報で、ITツール登録担当者の氏名とメールアドレス、実施者・販売者の氏名とメールアドレスも漏えいした可能性がある模様。漏えいの原因は、ウェブサイトで使用されているプログラムの設計不備によるものとしている。
政府は2024年1月に、人工知能(AI)の安全性を確保するための組織を新設する方針を固めた。読売新聞によると岸田首相が近く表明するという。この組織は「AIセーフティーインスティテュート」という名称で、経済産業省所管の情報処理推進機構(IPA)に設置される予定。新組織はAI開発企業が安全性評価に利用する基準の策定やテスト用ソフトの開発を支援し、将来的には第三者認証制度に関わる認定機関になる可能性があるとしている。米国や英国も同様の組織設立を進めており、日米英で連携して安全なAIの確立を目指すとしている(読売新聞)。
国連UNHCR協会の公式Instagramアカウント(@japanforunhcr)が12月16日、悪意ある第三者によって乗っ取られていたことが発覚した。現在、Instagram運営に問い合わせを行い、アカウントの復旧対応を進めているという(国連UNHCR協会、ねとらぼ)。 この乗っ取り被害が判明したのは16日で、その後は国連UNHCR協会はInstagramを通じた投稿やダイレクトメッセージ(DM)を行っていないと述べている。同協会はDMが届いたり、誘導を試みるURLが出回っている場合は、それを開かないように呼びかけている。同協会の運用しているそのほかのSNSアカウント(X、Facebook、LINE、YouTube)には影響は出ていないとしている。
香港城市大学と米ジョージ・メイソン大学に所属する研究者らは、スマートフォンのディスプレイ内指紋センサーから指紋データを盗み出し、3Dプリンタで偽の指紋を作成する攻撃方法を発表したそうだ(ITmedia)。 この攻撃では、盗んだ指紋データをもとに3Dプリンタで造形した偽の指紋を指に貼り付け、その偽の指紋を使って生体認証を騙ることが可能だという。研究ではユーザーがディスプレイ内指紋センサーを押す際に放出される電磁波を専用装置で検出、それをもとに3D指紋ピースを作成したという。 この攻撃は被害者の指紋情報を事前に知らなくても実行可能で、ハードウェアやソフトウェアを侵害する必要もなく、高価な装置も不要。かつ異なる種類のスマートフォンでこの攻撃が実行可能であり、指紋画像を50.3%から75.0%の範囲で復元する能力が示されたとしている。
ウクライナ最大の通信事業者であるキーウスターが12日、大規模なサイバー攻撃を受け、携帯電話やインターネット接続が停止した。この影響で一部地域で空襲警報システムやクレジットカードの決済システムも一部機能停止したとされている。同社の携帯電話契約者は約2430万人で、インターネットサービスの利用者も110万人以上おり、傘下にあり、携帯電話サービスの契約件数は2430万件と、ウクライナの人口の半数以上を占めるとされる。同社CEOは復旧時期については不透明としている。この件に関してウクライナ当局はロシアの関与を捜査しているとのこと(ロイター、毎日新聞、Forbes JAPAN)。 ほぼ同じタイミングで、ウクライナ国防省情報総局(GUR)は12日、ロシア連邦税務局の中央サーバー1台と、ロシア全土およびクリミアの地方サーバー2300台をハッキングすることに成功したと発表した(ウクライナ国防省情報総局、G
Android向けの複数のパスワードマネージャーに影響する脆弱性「AutoSpill」が発見された。この脆弱性により認証情報が漏えいする懸念が出ているという。この脆弱性は、Androidが「WebView」を介してログインページを呼び出す際に発生する。WebViewがアプリに呼び出されたウェブページのコンテンツを表示するため、パスワードマネージャーを利用する際に認証情報がWebViewだけでなくアプリにも共有される可能性があるという(AutoSpill[PDF]、CNET Japan)。 報告によれば、影響を受けるパスワードマネージャーには「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」が含まれる。さらにJavaScriptインジェクションを介して情報が共有された場合は、「Dashlane」「Google Smart Lock」も
東海大学の研究者らが行った新たな研究によれば、最大100メートル離れた場所からQRコードに不可視光レーザーを照射することで、偽装QRコードを作成、悪性サイトへの誘導する攻撃が可能であることが分かった。この攻撃は、肉眼では見えないレーザー光を使用し、QRコードを書き換えることにより、悪性サイトへのURLを表示させ誘導するというもの(ITmedia)。 今回の研究では、10~100メートルの距離からレーザーを照射するテストを実施。100メートル距離の実験では、50メートル地点に鏡を設置し、レーザー光を折り返して照射した。使用されたレーザー光の波長は、635nmと785nmの2種類。QRコードを通常通り読み込むとURL1(正規サイト)にアクセスし、攻撃が成功するとURL2(悪性サイト)に誘導される。 実験の結果、635nmと785nmの波長で、10メートル、20メートル、30メートル、40メート
大阪市在住の26歳の中国籍の女性が自宅で在留カードとマイナンバーカードを偽造していたとして逮捕された。警視庁による偽造マイナンバーカードの工場の摘発はこれが初めてだという。容疑者は在留カード13枚とマイナンバーカード9枚を偽造した疑いが持たれている。警視庁が押収したパソコンからは約3000件の偽造カードの画像などのデータ等が見つかり、容疑者は出入国管理法違反と有印公文書偽造の疑いがかけられている(NHK、テレ朝news、TBS NEWS DIG)。 容疑者は2023年6月ごろから1日に1万2000円から1万6000円の報酬を得ながら偽造を繰り返していたとされる。自宅からは750枚の偽のICチップが付いた未印刷のカードも発見されたとのこと。警視庁は国際的な犯罪組織が容疑者に偽造させていた可能性もあるとみている。
11月26日にイエメン沖のアデン湾でタンカーがソマリア人と見られる武装勢力によって乗っ取られるという事件があった。その際、アデン湾で海賊対処の任務にあたっている海上自衛隊の護衛艦「あけぼの」と哨戒機が情報収集を実施していたが、その際、米軍から弾道ミサイルが発射されたという情報が寄せられ、護衛艦から18キロ以上離れた海域に落下したとみられることが28日に判明した(NHK)。 NHKの報道によると、護衛艦は発射の情報を受けたあと、速度を最大近くの時速およそ55キロまで上げて現場海域から離脱したとしている。海上自衛隊は「安全上の懸念はない」として、海賊対処任務を継続する方針。イージス艦があれば弾道ミサイルを追尾して迎撃可能だが、これまで海賊対処の任務にイージス艦が派遣されたことは無いという。防衛省はイージス艦は北朝鮮の弾道ミサイルへの対応が主なため、アデン湾への派遣は困難であると述べている。 す
バラクーダネットワークスジャパンは27日、悪意のあるボットが一般家庭のIPアドレスを利用してセキュリティブロックを回避し、攻撃を行っているとのレポートを発表した(バラクーダネットワークスジャパン発表、ScanNetSecurity)。 レポートによると、悪意あるボットが一般家庭のIPアドレスを使用することでセキュリティブロックを回避し、攻撃を行っていることが明らかになったという。そのIPを割り当てられたユーザーの多くは、悪意のある活動に使用されたとしてIPにレッドフラグが立てられ、GoogleやCloudflareからのCAPTCHAをパスできなくなる状況に陥っているとレポートは指摘している。 すべて読む | セキュリティセクション | セキュリティ | ボットネット | インターネット | ワーム | 関連ストーリー: 「全人類に対する罪 核下水排出」、業務用ルータで脆弱性つかれ画面改ざ
次のページ
このページを最初にブックマークしてみませんか?
『スラド -- アレゲなニュースと雑談サイト』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く