BigQuery provides tighter controls over data access | Google Cloud Blog
Try GCPStart building on Google Cloud with $300 in free credits and 20+ always free products. Free Trial Data security is an ongoing concern for anyone managing a data warehouse. Organizations need to control access to data, down to the granular level, for secure access to data both internally an...
Android版「Googleアプリ」にセキュリティバグ、検索履歴などほぼすべての個人情報が危険に晒されていた | TechCrunch Japan
50億以上のインストール数を誇るGoogle(グーグル)の名を冠したAndroidアプリに、最近まで攻撃者が被害者のデバイスから個人情報をこっそり盗み出すことができる脆弱性があったことが明らかになった。 モバイルセキュリティを専門とするスタートアップOversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏...
ALPACA Attack
Paper Q&A How to ALPN/SNI News ALPACA will be presented at Black Hat USA 2021 and at USENIX Security Symposium 2021. Recommended articles: Ars Technica (Dan Goodin), Golem (Hanno Böck; German) Introduction TLS is an internet standard to secure the communication between servers and clients on the ...
PuzzleMaker attacks with Chrome zero-day exploit chain | Securelist
On April 14-15, 2021, Kaspersky technologies detected a wave of highly targeted attacks against multiple companies. Closer analysis revealed that all these attacks exploited a chain of Google Chrome and Microsoft Windows zero-day exploits. While we were not able to retrieve the exploit used for r...
The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams
Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature...
働き者の従業員はなぜセキュリティツールをオフにするか 「全て暗号化する」漏えい対策の意義 - ITmedia エンタープライズ
HTTPの暗号化は当たり前になったが、業務アプリケーションはどうか。事前に想定して設計したセキュリティ対策がハマらなかった場合の「想定外のリスク」を前提にするセキュリティ対策の話を聞いた。 シンガポールを本拠にするSecureAge Technology(以下・セキュアエイジ)は、シンガポール政府下にあったKent Ridge Dig...
Password policy recommendations - Microsoft 365 admin | Microsoft Docs
As the admin of an organization, you're responsible for setting password policy for users in your organization. Setting password policy can be complicated and confusing, and this article provides recommendations to make your organization more secure against password attacks. To determine how ofte...
GitHub now supports SSH security keys - Yubico
Today, GitHub has announced support for using U2F and FIDO2 security keys for SSH, and we’re honored to have been an early collaborator in working with GitHub on developing this feature. This makes it easier than ever to use YubiKeys to secure all your GitHub access, making your SSH keys much mor...
Google Online Security Blog: Making the Internet more secure one signed container at a time
The latest news and insights from Google on security and safety on the Internet
Normal WorldとSecure Worldにリソースを分離する 知っておくべきArmにおけるTrustZoneの概念 - ログミーTech
例外1 SMC まずSMCコールです。SMCコールによってSecure Monitorにハンドリングを移すことができます。 例外に関しては非同期例外と同期例外に分かれていて、非同期例外は命令実行により発生しない例外になります。例えばNormal Priority InterruptとかFast Interruptが非同期例外に当たります。 一方、同期例外は命令実...
HTML Sanitizer API - Web APIs | MDN
Secure contextThis feature is available only in secure contexts (HTTPS), in some or all supporting browsers. The HTML Sanitizer API allow developers to take untrusted strings of HTML, and sanitize them for safe insertion into a document’s DOM. Web applications often need to work with strings of H...
「CIAによって開発されたマルウェアを発見した」とサイバーセキュリティのカスペルスキーが発表 - GIGAZINE
ロシアを拠点とするサイバーセキュリティ企業のカスペルスキーが、「アメリカの中央情報局(CIA)によって開発されたマルウェアを発見した」と発表しました。 APT trends report Q1 2021 | Securelist https://securelist.com/apt-trends-report-q1-2021/101967/ Security firm Kaspersky believes it found new CIA malwa...
先週のサイバー事件簿 - VPN「Pulse Connect Secure」に脆弱性 | マイナビニュース
4月19日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。 Pulse Connect Secureに脆弱性-すでに悪用の事例も VPN製品「Pulse Connect Secure」の脆弱性が発覚。対象バージョンは「Pulse Connect Secure version 9.0R3 およびそれ以降」で、第三者が認証を回避して任意のコード実...
シスコ、セキュリティ戦略「Cisco Secure」の新展開を発表 SASEや認証ソリューションなどをアップデート - クラウド Watch
VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供まで毎日回避策の実施が必要に - ITmedia エンタープライズ
VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供まで毎日回避策の実施が必要に CISAがPulse Connect Secureの脆弱性を利用した攻撃に関する注意喚起を発表した。侵入を許した場合、Webシェルを仕込まれている可能性がある。場合によってはかなりの数のアカウントのパスワードリセットと、システム全体のチェックと...
パルスセキュア、VPN製品の脆弱性情報を公開 - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Pulse Secureは米国時間4月20日、VPN製品のPulse Connect Secure 9.0R3およびそれ以降のバージョンに存在する認証を迂回されてしまう脆弱性(CVE-2021-22893)の情報を公開した...
Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day | FireEye Inc
Executive Summary Mandiant recently responded to multiple security incidents involving compromises of Pulse Secure VPN appliances. This blog post examines multiple, related techniques for bypassing single and multifactor authentication on Pulse Secure VPN devices, persisting across upgrades, and ...
トレンドマイクロは「ROS-Iコンソーシアム」に参加し、産業用ロボットによるインダストリー4.0アプリケーションにおける安全な開発促進を支援します。
トレンドマイクロが長年にわたって成功を収めている秘訣の1つとして、新たなセキュリティ脅威がどこからやって来るのかを常に注視している点が挙げられます。こうした点からトレンドマイクロでは、現在、ITおよびOT(Operation Technology)の融合に向けた研究開発に注力しています。急成長を続けているこの分野は、IoTデバイスとしてインターネットに接続される中、特に製造業での進歩が著しく、大きな成果を上げています。しかしこのような飛躍の反面、技術的な各種システムが適切に保護されていないなど、セキュリティ上のリスクも懸念されています。
こうした中、トレンドマイクロでは、「ROS-Industrial(ROS-I)コンソーシアム」への参加を実現し、インダストリー4.0における産業用ロボットアプリケーションの安全な開発促進に協力できることを嬉しく思っています。これは、トレンドマイクロのミッションである「Securing Your Connected World」に向けたもう1つの重要なステップと言えます。
産業用IoT(IIoT)システムは、すでに製造プロセスの合理化、コスト効率の向上、メーカーのアジリティやイノベーションの推進に貢献しています。このようなソリューションを展開する世界市場が、今後6年間で17%近い年平均成長率を維持し、2027年には2,630億ドル(約29兆852億円相当)を超えると予測されているのも偶然ではありません。一方、新しい技術には常に新しいサイバーリスクがつきものです。産業用コンピューティングデバイスにインターネットと接続されると、遠隔地の攻撃者からの脅威を管理することが課題となります。攻撃者は、システムやソフトウェアの脆弱性を探り、デバイスを乗っ取り、生産プロセスを妨害し、知的財産を盗むことが可能になるからです。
産業用ロボットは、現代の製造業の多くが依存しているだけでなく、それらの多くが数十年前のレガシー技術に依存していることから、特に高いリスクをはらんでいると言えます。産業用ロボットは、独自のプログラミング言語やエコシステムを保持していることから、セキュリティを複雑にし、技術に長けた攻撃者による未修正の脆弱性悪用につながり、深刻な結果を招く危険性があります。
ROS-Iは、Robot Operating Systems(ROS)の機能を産業用ハードウェアやアプリケーションに拡張することを目的としたオープンソースのプロジェクトです。そしてROS-Iコンソーシアムの役割は、これらの機能に優先順位をつけ、コードの品質基準を提供し、技術サポートやトレーニングを提供することです。
トレンドマイクロは、当コンソーシアムのアソシエイトメンバーとなることで、技術的・戦略的なプロジェクトに参加し、ROS-Iのロードマップ策定に貢献できるようになります。実際、2020年に当社が実施した調査では、一部の製品で使用されているレガシープログラミング言語に設計上の欠陥や脆弱性があることを発見するなど、貢献できる価値をすでに実証しています。こうした貢献を受け、ROSを使用する産業用ロボットのための安全なネットワークガイドラインを共同で作成することになりました。
日本語版リサーチペーパーのダウンロードはこちら
トレンドマイクロでは、最近、DDS(Data Distribution Service)のセキュリティについても検討を開始しました。このプロトコルは、ROS2で多用されているため、今後、ROS-Iやエンドユーザに大きな価値を提供できる分野になると考えています。
トレンドマイクロは、コンソーシアムのメンバーの中でもユニークな立ち位置を占めています。ほとんどのメンバーは、産業用ロボットメーカーなど、自社製品にROS/ROS2を使用しているか、もしくは関連ソフトウェアの開発に協力したいと考えているかです。一方、トレンドマイクロは、そのいずれでもなく、コンソーシアムと協働してROS-Iソフトウェアの「セキュリティ・バイ・デザイン」を強化する役割を担っています。そしてトレンドマイクロは、サイバーセキュリティの専門企業としては2社目の参加となります。
現状、IIoTシステムのセキュリティを確保することは簡単ではありません。クラウド、ネットワーク、デバイスなどのさまざまな機能のセキュリティを把握する必要があるからです。サイバーセキュリティの分野で30年以上の実績を持ち、世界中のお客様に積極的に導入されている当社は、ゲートウェイからエンドポイントまでのすべての領域でのセキュリティを提供しています。こうした点こそが、インダストリー4.0を成功に導く上で必要なエンドツーエンドのセキュリティの鍵となります。
詳しくは、スマートファクトリーソリューションをご覧ください。
参考記事:
翻訳:与那城 務(Core Technology Marketing, Trend Micro
Research)
