近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 3日目は、2日目に続き『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、4章～6章を中心に解説します。前半は4章のSBOMツールの選定から。 「識別子」の補足 渡邊歩氏（以下、渡邊）：昨日ご参加いただいた方はだいたい資料のイメージなんかもわかっているかもしれませんが、こちらの資料は、経産省の「ソフトウェア管理に向けたSBOMの導入に関する手引」の概要ということで、内容をサマライズして、さらにそこに少しだけ補足を加えたものです。それを見ながらお話をしていきます。今映しているのが、この手引書の目次です。 1章から7章までの構成にな

2024年5月29日、イセトーは社内サーバーなどがランサムウエアにより暗号化される被害が発生したと公表しました。またその後には取引先の個人情報流出の恐れがあることも明らかにしています。ここでは関連する情報をまとめます。 委託後一部データ消されず影響を受けたケースも ランサムウエアによりデータ暗号化の被害にあったのはイセトー社内で使用されているサーバー、PCの一部。被害が確認されたのは2024年5月26日。不正アクセスにつながった原因やランサムウエアの種類などの情報はこれまでのところ公表していない。 6月6日時点で情報窃取について調査中であり流出の事実を確認していないとするが、ファイルサーバー等から一方で取引先の個人情報の流出の恐れが判明していると説明している。6月3日にランサムギャングの公開するリークサイト上で同社の名前が掲載されているとの情報があるが当該事案との関係は不明。 高松市のケー

ニコニコ公式 @nico_nico_info 6月14日15時現在、ニコニコはサービスを一時停止中です。復旧まで1か月以上かかる見込みで、再開できるサービスから順次再開予定です。皆様にご心配とご不便をおかけし、大変申し訳ございません。 現時点でお伝えできる経緯や影響範囲、今後につきましてご報告いたします。 blog.nicovideo.jp/niconews/22509… （スレッドに続きます） 2024-06-14 15:01:57 リンク 【調査中/追記】ニコニコサービス全体において正常に利用できない場合がある不具合｜ニコニコインフォ 【調査中/追記】ニコニコサービス全体において正常に利用できない場合がある不具合｜ニコニコインフォ いつもニコニコをご利用いただきまして、誠にありがとうございます。 この度、ニコニコサービス全体において発生している不具合に伴い、緊急メンテナンスを実施させて

2024年5月20日、岡山県精神科医医療センターは、サイバー攻撃に起因した電子カルテのシステム障害が発生していると公表しました。また6月11日には同センターが保有する患者情報が流出の可能性も判明したことが明らかにしました。ここでは関連する情報をまとめます。 ランサムウエアで電子カルテシステムに障害 ランサムウエアによる被害にあったのは岡山県精神科医療センターと東古松サンクト診療所。攻撃によってデータが暗号化され、2024年5月19日16時頃に両施設で運用している電子カルテシステムを含む総合情報システムで障害が発生した。また翌20日にはシステム内に脅迫メッセージとその連絡先であるメールアドレスを記載したものが確認された。 同センターでは障害発生後に紙カルテを用いた診療体制に運用を切り替えしており、医療サービスの提供への直接的な影響は生じていない。また6月1日からは仮の電子カルテシステムを使用

岡山県精神科医療センターは、サイバー攻撃によるシステム障害で、最大患者4万人分の個人情報などが流出したことを明らかにしました。 岡山県精神科医療センターによりますと病院のサーバーが5月19日、コンピューターウイルスの一種、ランサムウェアによるサイバー攻撃を受け、電子カルテが見られなくなりました。7日に岡山県警から連絡を受け、過去10年分最大で患者4万人分の氏名や病名などが流出した可能性があるということです。 流出したデータは匿名性の高い「ダークウェブ」と呼ばれるネット上にあるため、一般の人が閲覧できる可能性は極めて低いと考えられています。岡山県精神科医療センターは入院・通院中の患者に対面でお詫びすると共に、相談窓口を設置し、患者や家族の不安の解消に努めるとしています。

Microsoft製テキストエディタ「Visual Studio Code(VSCode)」は拡張機能を導入することで機能を追加したり外観をカスタムしたりできます。セキュリティ研究者らが「人気拡張機能にコードを挿入した偽拡張機能」を公開した結果、短期間で大企業やセキュリティ企業を含む多くのユーザーのマシンにインストールされたとのこと。セキュリティ研究者らはVisual Studio Codeの拡張機能システムの欠陥を指摘し、警鐘を鳴らしています。 1/6 | How We Hacked Multi-Billion Dollar Companies in 30 Minutes Using a Fake VSCode Extension | by Amit Assaraf | May, 2024 | Medium https://medium.com/@amitassaraf/the-stor

about usCYNEXとは サイバーセキュリティの分野では、サイバー攻撃に関連したデータを大量に集めることと、データを分析して正しく対処できるヒトを育てることが重要です。しかし、我が国の多くの組織においては海外のセキュリティ技術を導入・運用する形態が主流となっており、コア技術に係るノウハウ・知見を蓄積できないことで研究開発が停滞し、サイバー自給率の低迷を招いていることが課題とされています。 当分野における国際競争力の強化、政府機関や重要インフラ事業者等のサービスを支えるセキュリティ技術が過度に海外に依存する状況を回避・脱却する観点から、国内でサイバーセキュリティ情報を生成・蓄積・提供できる環境が必要でした。NICTはこれまで、サイバーセキュリティ研究室がサイバー攻撃のデータを大規模に収集し、ナショナルサイバートレーニングセンターが様々なセキュリティ人材育成を行ってきました。 これらの膨

マクロを悪用した手口は古く多数の対策も施されていますが、攻撃する側もセキュリティ機構の隙をつく新たな手口を次々と編み出します。 BromiumのThreat Intelligenceサービス(リンク先は英語)に転送された最近のマルウェアの検体の中に、皆さんと共有するに値する非常に興味深い特性を見つけました。検体自体はフィッシング攻撃の一環としてメールで送信されるWord文書です。PCユーザーがドキュメントを操作することでペイロード(攻撃の実体モジュール)をダウンロードし、ユーザーのマシンで実行されます。ここまでは特に珍しくはありませんが、この感染経路は確定的なお決まりパターンとは言い切れません。Bromiumブログには、私のEmotet配信活動に関する記事やMathew Rowenの素晴らしい投稿(リンク先は英語)などに最近の例が複数挙げられています。 この特定の検体が珍しい理由が3点あり

TikTokでDMを介してアカウントを乗っ取るサイバー攻撃が続発していることが報告されています。攻撃はゼロデイ脆弱性を利用したもので、TikTokはすでに対策を講じたとのことです。 TikTok says hackers targeted brands and celebrity accounts, including CNN | South China Morning Post https://www.scmp.com/news/world/united-states-canada/article/3265406/tiktok-says-hackers-targeted-brands-and-celebrity-accounts-including-cnn TikTok fixes zero-day bug used to hijack high-profile accounts htt

テクノロジー パスワードも口座番号もプレーンテキストで保存 Copilot+ PC上の全てを記録する「Recall」、セキュリティ上の大惨事を引き起こす？ Image:Microsoft マイクロソフトはPC上で見たもの・行ったこと全てを探せる新機能「Recall」を世に送り出そうとしている。6月18日に発売される「Copilot+ PC」に準拠したマシンで利用できる予定だが、この機能がサイバーセキュリティにとって「大惨事」になりかねないと専門家が警告を発している。 RecallはローカルのAIモデルを使い、コンピューター上で見たり行ったすべてのスクリーンショットを記録し、数秒で何でも検索できる機能だ。マイクロソフトは、完全にデバイス上に構築・保存されるため、プライバシーも保護されると主張している。 が、サイバーセキュリティ専門家のKevin Beaumont氏は、本機能に潜在的なセキュリ

米国家安全保障局（NSA）が米国人のスマホを監視しているのではないかと懸念している人もいるが、NSAはゼロクリック攻撃（訳注：ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法）などを心配するiPhoneとAndroidのユーザーに向けて、「1週間に一度、電源をオフにしてから再びオンにしよう」という賢明なアドバイスを送っている。 あなたはどのくらいの頻度で、スマホの電源をオフにしているだろうか？　これは待ち受け状態にするのではなく、完全に電源を切ってから再起動するということだ。OSのアップデートなどが必要になったときだけという人も多いのではないだろうか。NSAによるとそれは大きな間違いである可能性がある。 NSAが推奨するベストプラクティス NSAは、モバイル機器のベストプラクティスを詳細に説明した資料の中で、ゼロクリック攻撃を防御するために、毎週1回は再起動を行うこと

ユーザーの個人情報などの大切な情報を盗み取る「フィッシング攻撃」。その攻撃の一種である「スピアフィッシング攻撃」をご存知でしょうか。スピアフィッシング攻撃は従来のフィッシング攻撃よりも騙されやすく、非常に危険な攻撃手法です。 フィッシング攻撃を防ぐためには、まずはユーザー一人ひとりの意識付け・知識付けが大切となります。そのため、この記事のなかでスピアフィッシング攻撃に対する知識を深めましょう。 今回はスピアフィッシング攻撃の概要や仕組みを紹介し、従来のフィッシング攻撃との違いや対策方法を解説します。 スピアフィッシング攻撃は、フィッシング攻撃の一種です。攻撃の目的はユーザーの個人情報などの大切な情報を盗み取ることですが、スピアフィッシングは従来のフィッシング攻撃とは手法が少し異なります。 スピアフィッシング攻撃は槍（spear）を突き刺すように標的を定めて攻撃を行うため、騙されやすく非常に

2024年6月3日、夢展望は子会社であるトレセンテの公式サイトで使用しているドメイン名の移管処理が何者かによって行われ、ドメイン名が乗っ取られた可能性が高いと公表しました。ここでは関連する情報をまとめます。 レジストラ提供の管理画面に不正アクセスか 被害にあったのはトレセンテが公式サイトで使用をしていたドメイン名trecenti.com。第三者が海外のドメイン管理会社へこのドメイン名の移管処理を行ったことで、同社の公式サイトに接続できない状況が生じた。 同社公式サイトでは、来店予約の際に顧客情報*1の取得をしているが、データは別サーバーで管理しているため、同社の顧客情報の流出は確認されていない。また同社が運営するECサイトも別のドメイン名（trecenti.net）で運営しているため、こちらにも影響はないとしている。 同社が被害に気付いたのは問題の移管処理から2日後の31日9時15分頃で、

何らアクションせずともシステム侵害や情報窃取が起こり得る――。ゼロクリック攻撃と呼ばれるサイバー攻撃では、メッセージアプリでのメッセージ受信だけで情報漏えいが生じたといった被害も報告されている。この記事では、ゼロクリック攻撃と呼ばれる手法について、どのような対応が求められるのかを解説する。 ゼロクリック攻撃とは ゼロクリック攻撃とは、ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法のことだ。特定のリンクへのクリックや、ファイルの実行といったユーザーのアクションが発生せずとも攻撃が成立する。多くの場合、ユーザーの気づかぬ間に、情報を窃取するスパイウェアなどのマルウェアがインストールされ、被害に至る。 ゼロクリック攻撃の脅威が知れ渡るきっかけとなったのが、スパイウェア「Pegasus」を使ったゼロクリック攻撃だ。このPegasusは、2016年にイスラエルのテクノロジー企

パスワードレスなユーザー認証を実現する業界標準である「パスキー」を策定するFIDOアライアンスは、パスキーのユーザー体験を最適化させるためのデザインガイドラインの公開を発表しました。 パスキーは、従来のパスワードによるユーザー認証よりも強力で安全な認証方式とされており、普及が期待されていますが、多くのユーザーが慣れ親しんできたパスワード方式と比べると、サインアップやサインインの方法が分かりにくいという課題が指摘されていました。 FIDOアライアンスによるデザインガイドラインの公開は、こうした状況を改善するものとして期待されます。 パスキーのデザインガイドラインの内容 デザインガイドラインは主に以下の要素から構成されています。 UXの原則（UX princeples） コンテンツの原則（Content principles） デザインパターン（スキーマ、サンプルビデオ、AndroidとiOS

2024年6月3日 夢展望[3185]の開示資料「不正アクセスによる当社子会社公式ホームページのドメイン盗難についてのご報告」 が閲覧できます。資料はPDFでダウンロードできます

最高裁判所が「＠nifty.com」ドメインのメールアドレスを使っていたことについて、最高裁は現在メールアドレスの見直しを検討していることを明らかにした。このメールアドレスは2016年から使用しているもので、セキュリティ上の問題で使用を決めたとしている。 最高裁では現在まで「＠nifty.com」のメールアドレスを使って弁護士に連絡をしたり、公式Webサイト上でメールの送り先として紹介していた。伊藤建（＠itotakeru）弁護士がこの問題をTwitter上で言及し、河野太郎（＠konotarogomame）デジタル大臣宛に指導するよう求めたところ、河野大臣は「これはすごい。デジタル庁から最高裁判所に確認します」とツイートしていた。