セキュリティニュースアラート:
なぜ金融システムでは大規模な障害が起きるのか? 金融庁が分析レポート公開
金融庁は、近年のサイバーリスク増大を背景に2019年以降の金融機関におけるシステム障害を分析し、サイバーセキュリティ強化や新ガイドライン策定、クラウド依存への警鐘を含むレポートを公表した。(2025/7/2)
Cybersecurity Dive:
MFA回避を狙う巧妙なソーシャルエンジニアリング攻撃が登場 IT企業が標的か
サイバー脅威グループ「Scattered Spider」はマネージドサービスプロバイダー(MSP)およびITベンダーを標的にしたソーシャルエンジニアキャンペーンを展開している。この攻撃は多要素認証の回避などを狙っているようだ。(2025/6/22)
バックアップはもう効かない?
“身代金を払わない”では終わらない 「二重脅迫型ランサムウェア攻撃」の脅威
ランサムウェア攻撃が、データを人質に取る段階から、さらなる進化を遂げている。企業に甚大な被害を及ぼし得る「二重脅迫型ランサムウェア攻撃」の流れ、事例と対策を紹介する。(2025/6/20)
パスキーに期待し過ぎはダメ?
パスワード不要の「パスキー」のメリットと“見過ごせない注意点”を解説
パスワードを使わずに認証できるパスキー。セキュリティやユーザー体験(UX)にメリットがある一方で、課題もある。どのようなものか。(2025/6/17)
Cybersecurity Dive:
アパレル小売企業を“計画的に”狙うサイバー攻撃者たち
Victoria’s SecretやThe North Faceをはじめとしたアパレル小売企業を狙うサイバーが多発している。専門家によると、これらの攻撃は計画的な犯行である可能性が浮上しているという。(2025/6/15)
狙いはあなたの認証情報
“文章力がすごい”AI型フィッシングメールに対抗するための「最先端の防御策」
「ChatGPT」といった生成AI(人工知能)ツールによってフィッシングメールが進化している。エンドユーザーも腕を磨き上げて、攻撃者のわなにはまらないようにするには。(2025/6/6)
CFOや財務幹部を狙う「高度なフィッシング攻撃」が拡大中 その巧妙な手口
世界中の銀行、投資会社、エネルギー関連企業、保険会社のCFOや財務幹部を狙った「高度に標的化された」スピアフィッシング攻撃が確認された――サイバーセキュリティ企業の米Trellixが発表した最新レポートで警告している。(2025/6/5)
三輪信雄氏、エグゼクティブ・アドバイザー就任:
サイリーグHD、S&Jと協業で“事前契約型”インシデント対応サービスを開始 徳丸氏が「オンライン証券を巡る事件」のからくりについて講演
サイリーグホールディングスは2025年5月20日、S&J 三輪信雄氏のエグゼクティブ・アドバイザー就任、2025年7月から事前契約型のインシデント対応サービスを提供することを発表した。サイリーグホールディングス エグゼクティブ・フェローの徳丸浩氏は「最新のサイバー脅威と求められる対策」と題して講演した。(2025/5/30)
医療データ漏えいの“最大の原因”は
なぜ医療が狙われるのか? 2025年版「DBIR」で読み解くデータ侵害の実態
Verizonの報告書によれば、2024年においてランサムウェア攻撃を含むシステム侵入が、医療データ侵害の最大の要因となった。医療分野のシステム侵入の背景には何があるのか。(2025/5/30)
データ侵害件数は過去最多
オーストラリアで個人情報の流出が止まらないのはなぜ? 学ぶべき教訓と攻撃例
オーストラリアでは2024年、データ侵害の件数が過去最多を記録した。特にデータ侵害が深刻だったのは医療機関や政府機関で、利用者の個人情報が狙われた。攻撃が活発化する背景には何があるのか。(2025/5/29)
ITmedia Security Week 2025 冬:
流行中の「アタックサーフェスマネジメント」は使いものになるか? 根岸氏、辻氏、piyokango氏鼎談に見る3つの論点
2025年3月4日、ITmedia Security Week 2025 冬で、ポッドキャスト「セキュリティのアレ」でおなじみの根岸征史氏、辻伸弘氏、piyokango氏が登壇。「対象領域は明らかにしないといけないから」と題して、議論を交わした。(2025/5/27)
Cybersecurity Dive:
AIによる音声クローン技術が急速に進化 ずる賢くなるフィッシング
ハッカーは国家の支援を受けたスパイ活動や大規模なランサムウェア攻撃のために、ビッシング(音声を使った詐欺)やスミッシング(SMS詐欺)をますます利用するようになっている。最新動向を追った。(2025/5/25)
セキュリティソリューション:
激化するアイデンティティー狙いの攻撃に対処 CrowdStrikeが新モジュールを提供開始
CrowdStrikeは、アイデンティティーを狙った攻撃のライフサイクル全体を保護するFalcon Privileged Accessの一般提供を開始した。Charlotte AIなどとの連携により、リアルタイムでのアイデンティティー脅威対処と継続的なリスク低減支援を実現する。(2025/5/16)
足元の油断が招くリスク
“当たり前”の不備が大問題 企業によくある5つの脆弱性と対策
事業を脅かしかねないサイバー攻撃は、どの企業にも存在し得る脆弱性が引き金になる場合がある。放置すべきではない代表的な5つの脆弱性と、その具体的な修正法を解説する。(2025/5/16)
こうしす! こちら京姫鉄道 広報部システム課 @IT支線(52):
フィッシングで全財産を奪われた社長令嬢
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第52列車は「ボイスフィッシング」です。※このマンガはフィクションです。(2025/5/15)
破られにくいパスフレーズ入門【前編】
“複雑なパスワード”より「パスフレーズ」を専門家が勧める理由
サービスを安全に使うために長くて複雑なパスワードは欠かせない。だが、パスワードに長さや複雑さを求めるとさまざまな問題が生じる。そうした中で注目されているパスフレーズとは。(2025/5/12)
LINEのトークが流出する理由 その原因と対策を考える
俳優の不倫疑惑に関連して、「LINE流出」の文字がメディアやSNSをにぎわしている。不正アクセスなども語られるが、流出する理由はもっと身近な要因だったりする。通常の利用方法が安全かどうかを見直すには良い機会だ。LINEのトークが流出する原因と対策を考える。(2025/5/12)
一気におさらい AIはじめて物語【第3回】
問題発言で暴走したあのAIチャットbot誕生が2016年 AI技術の歴史をおさらい
1930年代から始まった人工知能(AI)技術の歴史はどのように変遷したのか。2015年から2018年に焦点を当てて、その変化を紹介する。(2025/5/10)
着目すべきはデータではなかった:
PR:内部不正や内部脅威対策の“新常識” なぜ従来のアプローチが実を結ばないのか
情報漏えいと聞くとサイバー攻撃を連想しがちだが、実は“内側”からのリスクも深刻だ。従業員の不注意や意図的な不正行為など、内部脅威は巧妙化、深刻化している。現状を踏まえて内部不正や内部脅威対策の新常識を解説しよう。(2025/5/9)
認知バイアスで考えるサイバーセキュリティ:
「いたちごっこ」の先へ 攻撃者心理を読み解く“先回りの防御術”
サイバー攻撃者たちは一体何を考え、どのようなモチベーションで攻撃を仕掛けるのでしょうか。今回は彼らの心理を掘り下げて思考を先読みしながら、有効な防御策について解説していきます。(2025/5/8)
ただのコード隠蔽と何が違うのか?:
気付かないうちに忍び寄る“透明な脅威” ポリグロット手法についてKasperskyが解説
Kasperskyは2025年4月2日、「ポリグロット手法」について解説するブログエントリを公開した。ポリグロット技術を使ったファイルは、ユーザーには画像など無害なものに見えるが、実際には内部に悪意のあるコードが含まれている。(2025/5/7)
進まない中堅・中小のセキュリティ対策 アクロニスとMSSPはその壁をどう壊す?
中堅・中小企業を狙うランサムウェア攻撃が激化する一方で、これらの企業は深刻な予算やリソース不足に悩んでいる。セキュリティ対策を阻むこの壁をアクロニスとMSSPはどう解決するのか。(2025/4/23)
セキュリティニュースアラート:
Zoom機能を悪用した新型詐欺に要注意 偽の記者を装って標的に接触
Trail of Bitsは、仮想通貨窃取で有名なELUSIVE COMETによるZoomのリモート制御機能を悪用した新たな攻撃手法を公開した。偽の取材依頼を装って標的に接触し、操作権限をだまし取って被害を与える手口だという。(2025/4/23)
セキュリティニュースアラート:
KnowBe4、国内の生成AIのセキュリティリスクに関する意識調査を公表
KnowBe4 Japanは「生成AIの活用とサイバーセキュリティへの影響」を発表した。生成AI活用が拡大する一方で、そのセキュリティリスクに対する意識は不足していることが判明した。(2025/4/19)
ラテラルムーブメント対策が後手に
「ゼロトラスト」に取り組む企業の“残念な現実” なぜ必要な対策ができていない?
全ての通信を信頼しない「ゼロトラストセキュリティ」への注目が集まっている。しかし、企業が実際に注力しているセキュリティ対策は、実際のゼロトラストからはほど遠い。なぜなのか。(2025/4/18)
Cybersecurity Dive:
攻撃者の防御手法「ファストフラックス」とは何か? 詳細を解説
FBIらは、サイバー脅威グループらが好んで使う手法「ファストフラックス」について解説した。攻撃者たちはこれを使うことで法執行機関などによるテイクダウンを回避する狙いがあるとみられる。(2025/4/16)
知らない間に個人情報が盗まれる【前編】
気付いたら偽のWebサイトで個人情報を入力してた――ファーミングの手口とは
エンドユーザーが気付かない間に個人情報を自ら差し出すように仕向けるのが「ファーミング」だ。その仕組みと手法を紹介する。(2025/4/16)
セキュリティニュースアラート:
Google Cloud幹部が語る「日本企業が抱える根本的なセキュリティ課題」
Google Cloudのニック・ゴドフリー氏(最高情報セキュリティ責任者室シニアディレクター)はサイバー脅威の現状を踏まえて、日本企業が抱えている根本的なセキュリティ課題を指摘し、その解決策を提言した。(2025/4/11)
2025年版グローバル脅威レポートを公開
追跡しにくい「国家支援型攻撃」や「生成AI悪用」が急増――CrowdStrikeが報告
クラウドストライクが年次レポート「2025年版グローバル脅威レポート」を公表。生成AIを悪用したソーシャルエンジニアリングの増加や中国系攻撃者の活動活発化、ビッシングの急増などの状況が明らかになった。(2025/4/1)
イスラエルのセキュリティ企業KELAが公表
「兵器化したAI」が200%増 生成AIで氾濫する“闇ツール”の実態
イスラエルのセキュリティ企業KELAが2025年版AI脅威レポートを発表した。これによれば、悪意あるAIツールが過去12カ月で急増している。その実態とは。(2025/3/26)
認証情報の悪用など、多くの作業を自動化:
AIエージェントが変えるサイバー攻撃 アカウント侵害に要する時間は半分に Gartner予測
Gartnerは、AIエージェントが2027年までに、アカウント侵害に関する時間を50%短縮するとの予測を明らかにした。認証情報窃取の自動化や認証通信チャネルの侵害により、認証を悪用するケースが増加する見通しだという。(2025/3/24)
ネットストーキングとは【後編】
あの情報が格好の餌食に? ネットストーカーに狙われないための対策をおさらい
気付かないうちに、自分のSNSアカウントが監視され、悪質なコメントが繰り返し投稿されている――このようなハラスメントを遂行するネットストーキングに特徴はあるのか。ネットストーキングの法的な位置付けとは。(2025/3/27)
ネットストーキングとは【前編】
知らない間に忍び寄る「ネットストーカー」の見えない恐怖 その悪質行為とは?
顔も名前も分からない第三者からインターネットでハラスメントを受ける――さまざまな技術が発達した現代において、そのような被害は人ごとではない。ネットストーカーは、具体的にどのような被害をもたらすのか。(2025/3/26)
インシデントを経験した349社を調査
被害に遭った企業がそっと教える「内部脅威対策」でやるべきことはこれだ
セキュリティベンダーの調査によると、企業内部の脅威への対策の予算は増加傾向にある。インシデントを1度以上経験した企業は、具体的にどのような施策にどれほどの予算を投じているのか。(2025/3/20)
教育機関向けシステムに不正アクセス【前編】
生徒や教員のデータが流出 「PowerSchool」の侵害はこうして起きた
教育機関を狙う攻撃として、教育現場で使われるツールを“経由”したデータ盗難がある。米国で起きた攻撃例を解説する。(2025/3/18)
北朝鮮の工作員がITフリーランサーとして潜入する例も:
ニセ従業員など新たな手口をふくめ、AIを悪用する詐欺をESETがまとめて指摘 どう対策すればいいのか?
ESETは公式ブログで、AIの悪用による詐欺が企業にとって新たな脅威となっている状況を解説し、「人」「プロセス」「技術」に焦点を当てた多層的な対応の必要性を指摘した。(2025/3/14)
セキュリティニュースアラート:
Outlookが標的 高度に難読化された新型マルウェア「Strela Stealer」が登場
Trustwaveが「Strela Stealer」という情報窃取型マルウェアに関する分析結果を発表した。同マルウェアは高度に難読化されており、動作を隠蔽することで解析を困難にしているという。(2025/3/13)
エグレスを基礎から【第2回】
サイバー攻撃者が狙う「エグレス」とは 主要な手口を解説
IT分野ではメールの送信など外部インフラへのデータ転送はエグレス(Egress)と表現することがある。意図しないエグレスの発生はセキュリティの問題がある。どのようなエグレスが問題になるのか。(2025/3/12)
セキュリティニュースアラート:
一番マズイのはどの脅威? サイバー保険額請求から見るセキュリティトレンド
Resilience Cyber Insurance Solutionsはサイバーリスクに関するレポート「2024 Mid-Year Cyber Risk Report」を発表した。サイバー保険請求額から、現在、そして今後脅威となるセキュリティトレンドが明らかになった。(2025/3/6)
英数字だけでは安全性に限界:
PR:弱点だらけの「パスワード」、まだ使い続けますか? 楽で強固な代替手段を解説
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。(2025/3/3)
セキュリティニュースアラート:
攻撃者の生成AI利用が本格化か CrowdStrikeがグローバル調査レポートを公開
CrowdStrikeは2025年版グローバル脅威レポートを公開した。同調査では、AIを悪用したソーシャルエンジニアリング攻撃の高度化などサイバー攻撃者が生成AIを本格的に使いこなしていることが分かっている。(2025/3/1)
Cybersecurity Dive:
デバイスコードを使う認証フローでアクセス権を窃取 新たなフィッシングキャンペーン
ロシアの支援を受けたハッカーが、デバイスコードを悪用したフィッシング攻撃キャンペーンを展開している。このキャンペーンでは「Microsoft Teams」や「Signal」「WhatsApp」を模倣した誘導手法が使われている。(2025/2/27)
セキュリティによくある5つの誤解【第2回】
「マルウェア対策ソフトがあるから安全」の過信が招く“思わぬ事故”とは
1つのツールだけでは全てのシステムを攻撃から守ることが難しく、セキュリティは複雑になりがちだ。「マルウェア対策ツールがあるから大丈夫」という誤解には注意が要る。どのような施策が必要になるのか。(2025/2/26)
セキュリティニュースアラート:
ランサムウェアのターゲット属性に変化? アクロニスが最新レポートで指摘
アクロニス・ジャパンは「Acronis サイバー脅威レポート 2024年下半期版: AI を活用した脅威の台頭」を公開した。調査によると、ランサムウェアをはじめとしたサイバー攻撃の標的に変化が見られたという。(2025/2/21)
Teams悪用の手口【後編】
「Teamsユーザーの油断」がランサムウェア攻撃につながる訳
「Microsoft Teams」をソーシャルエンジニアリングに悪用する手口が観測されている。Teamsを悪用した攻撃に対してユーザー組織はどのような点に注意すべきなのか。(2025/2/21)
Teams悪用の手口【前編】
「Teamsの設定」が落とし穴に? 正規ユーザーに見せかけた“わな”が横行
コミュニケーションツールとして広く使われている「Microsoft Teams」。そのTeamsを巧みに使ったソーシャルエンジニアリングの手口が観測されているという。(2025/2/14)
セキュリティニュースアラート:
半数以上が業務停止 日本企業が直面するランサムウェア危機
Illumioはランサムウェアの脅威に関するグローバル調査レポート「The Global Cost of Ransomware Study」を発表した。日本企業の半数以上がランサムウェア攻撃で業務停止に陥っている現状が明らかになった。(2025/2/3)
日本では“あの攻撃”が顕著
メール攻撃の“狙い撃ち”に直面するアジア企業の実態
APAC地域の企業を狙うメール攻撃が急増している。2023年~2024年にかけて、メールを使ったサイバー攻撃は月間平均約27%増えた。特に日本とシンガポールでは、あるメール攻撃が顕著に増えているという。(2025/1/30)
IAMの「8大ポイント」【前編】
今や「パスワード流出」は日常茶飯事 求められる2つの対策は?
IDやパスワードが流出した際の不正アクセスはランサムウェア(身代金要求型マルウェア)といった大規模な攻撃につながりかねない。システムを守るためのID管理のポイントは。(2025/1/30)
セキュリティニュースアラート:
デジタルeスキミングの拡大と詐欺的eコマースの台頭 Recorded Futureが警鐘
Recorded Futureは2024年の支払い詐欺の現状と2025年に向けた課題を報告した。レポートによると、ダークWebや表層Webで2億6900万件のカード情報、190万件の米国銀行小切手が流出しているという。(2025/1/27)