外務省幹部はNHKの取材に、「事前にアメリカ側から連絡はなく、情報の確認に追われている。アメリカ大使館や国務省にも問い合わせているが、詳細は不明だ。トランプ大統領らしいやり方だが、今回の米朝対話が、北朝鮮の非核化や拉致問題の解決につながるものなら歓迎したい」と述べました。 別の外務省幹部はNHKの…

もっと読む »

Medtronicのインスリンポンプで近距離から認証なく無線アクセス可能な脆弱性(CVE-2019-10964)が見つかり、米国ではリコールが行われている(Medtronicのお知らせ、
ICSMA-19-178-01、
The Registerの記事、
SlashGearの記事)。

対象となるMiniMed 508およびMiniMed Paradigmでは無線を使用して血糖値モニターなどに接続する機能が搭載されているが、適切な認証の仕組みが実装されていない。攻撃者は脆弱性を悪用することで、近…

もっと読む »

FireEyeの2019年第1四半期分Email Threat Reportによると、信頼されるクラウドストレージ・ファイル共有サービスを攻撃用ファイルの保存先として利用し、リンクを電子メールに記載する攻撃が急増したそうだ(プレスリリース、
On MSFTの記事、
Bleeping Computerの記事)。

攻撃者はユーザー数が多く信頼されるファイル共有サービスを選択することで、セキュリティソフトウェアによるドメインの信頼性チェックを通過できる。サービスによってはファイルのプレビュー機能を提…

もっと読む »

トランプ政権の高官たちが、テック企業によるエンドツーエンド暗号化の使用禁止を法制化すべきかどうかを議論した、と米政治メディアPoliticoが伝えています。 法執行機関を悩ませている暗号化技術 エンドツーエンド暗号化とは、メッセージの送信者と受信者しか内容が読めないようにする暗号化技術で、AppleやFacebookな…

もっと読む »

ベネッセコーポレーションの情報流出事件を巡り、被害に遭った顧客らが損害賠償を求めた控訴審判決で、東京高裁は27日、同社とグループ会社「シンフォーム」に、1人当たり2000円の支払いを命じた。この事件でベネッセに賠償を命じる判決は初めて。 今回判決が出た訴訟は2件で賠償支払い対象は5人。萩原秀紀裁判長は、個…

もっと読む »

京都のおよそ1000の寺が加盟する「京都仏教会」は、拝観料やさい銭などをキャッシュレス決済で納めることについて、信者の個人情報が第三者に把握され信教の自由が侵されるおそれがあるなどとして、受け入れない方針を明らかにしました。 それによりますと、拝観料やさい銭、それに法要や葬儀などで納める金銭については…

もっと読む »

近年、IoT機器※1を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。 総務省、NICT及び一般社団法人ICT-ISACは、インターネットプロバイダと連携し、脆弱なID・パスワード設定等のためサイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者へ…

もっと読む »

Anonymous Coward曰く、 世界各国のIT企業や政府に対しサイバー攻撃を行っていた中国政府の支援を受けたサイバー犯罪集団「APT10」が、富士通やNTTデータに対しても攻撃を行っていたとロイターが報じている(英語版Reutersの詳細記事、ウォール・ストリート・ジャーナル、CNET Japan)。 APT10に対しては昨年末に外務省…

もっと読む »

Anonymous Coward曰く、

世界各国のIT企業や政府に対しサイバー攻撃を行っていた中国政府の支援を受けたサイバー犯罪集団「APT10」が、富士通やNTTデータに対しても攻撃を行っていたとロイターが報じている(英語版Reutersの詳細記事、ウォール・ストリート・ジャーナル、CNET Japan)。
APT10に対しては昨年末に外務省などが警戒を呼びかけていたが(日経xTECH、ZDNet Japan)、FIREEYEによると米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信…

もっと読む »

米Microsoft セキュリティー担当コーポレートバイスプレジデントのRob Lefferts氏が、同社のセキュリティーに対する取り組みについて説明した。「セキュリティー対策は日々のチェックが大切だ。高度なセキュリティーを実現したOSの採用と最新機能へのアップデートによって、81%の攻撃を阻止できる。また、多重認証によ…

もっと読む »

近年、IoT機器※1を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。 総務省、国立研究開発法人情報通信研究機構(NICT)及び一般社団法人ICT-ISACは、インターネットプロバイダと連携し、脆弱なID・パスワード設定等のためサイバー攻撃に悪用されるおそれのあるI…

もっと読む »

総務省は、「情報開示分科会」(主査:岡村久道 英知法律事務所 弁護士)での検討結果を踏まえ、民間企業のサイバーセキュリティ対策の情報開示を促進するため「サイバーセキュリティ対策情報開示の手引き」を作成しましたので、公表します。 総務省では、平成29年12月より、サイバーセキュリティタスクフォースの下に…

もっと読む »

「ウイルス罪」めぐる事件、セキュリティ事業者に余波 「活動の萎縮につながる」「指針が必要」 (1/2) セキュリティに関する情報を公表したり、交換したりすると、「ウイルス罪」に問われるのではないか――そんな懸念が、セキュリティ解析や知見の共有に取り組むエンジニアの間で広がっている。 さまざまなサイバー攻撃…

もっと読む »

2014年に発覚したベネッセコーポレーションの顧客情報流出事件の被害にあった顧客2人が損害賠償を求めた訴訟の控訴審判決で、東京高裁(萩原秀紀裁判長)は28日までに、同社と関連会社「シンフォーム」に1人当たり2千円の支払いを命じた。同事件でベネッセ本体に賠償命令が出るのは初。個人情報の漏洩被害への損害賠償を…

もっと読む »

headless曰く、

オーストラリア連邦科学産業研究機構(CSIRO)とシドニー大学の研究グループが2年間かけて実施した調査によると、Google Playで公開されている偽アプリの1割以上はマルウェアを含む可能性があるようだ(シドニー大学のニュース記事、The Next Web、論文アブストラクト、論文PDF)。
Google Playでは人気アプリの偽物がたびたび発見されているが、研究グループはアプリアイコンを学習した畳み込みニューラルネットワークによるコンテンツとスタイルのマルチモーダル埋…

もっと読む »

「Excel」のアドインである「Microsoft Power Query for Excel」が持つ正当な機能を悪用し、ユーザーシステム上でのわずかな操作によって悪意のあるコードを実行する手法が、Mimecast Threat Centerによって公表された。 Power Queryは、外部データベースやテキスト文書、他のスプレッドシート、ウェブページといったリ…

もっと読む »

macOSのGatekeeperをNFS共有とシンボリックリンクを利用してバイパスする脆弱性を使ったマルウェア「OSX/Linker」が確認されたそうです。詳細は以下から。  2019年05月、イタリアのCeo and

もっと読む »

Anonymous Coward曰く、

昨今ではCPUのキャッシュ機構を悪用するサイドチャネル攻撃手法がたびたび発見されているが、OpenSSHがこういった攻撃への対策として暗号鍵をメモリ内で暗号化する手法を導入するとのこと(OpenBSD Journal、マイナビニュース)。
新たな緩和策では、16KBの原始鍵(prekey)がメモリ上に置かれ、通信に用いる秘密鍵などの鍵はこの原始鍵によって適宜暗号化・複号される。理論上はこの鍵もMeltdownやSpectreなど一連のサイドチャネル攻撃によっ…

もっと読む »

2019年1月より、e-Govサイトにおける全てのWebページについて、HTTPS通信による接続を可能としております。 (詳細)https://www.e-gov.go.jp/news/egov/2019/news20190111.html 上記お知らせにて周知させていただいておりますとおり、2019年6月27日にHTTPによる接続を廃止いたします。 6月27日以降は、HTTPS通信のみ接…

もっと読む »