Log4jの脆弱性を突きVMware HorizonsにWebシェルを注入 直ちに対応を
VMware Horizons Connection Serverを標的としたサイバー攻撃の報告が相次いでいる。Log4jの脆弱性、通称「Log4Shell」を利用してWebシェルをインストールする手法で、侵入を受けた場合にはサーバの制御権が乗っ取られる危険性があることから注意が必要だ。(2022/1/27)
事業の生命線を守れ
強固なセキュリティの意外な弱点? 大企業も抱える復旧失敗リスクをなくすには
多くの企業がサイバー攻撃の脅威を意識するが、攻撃を受けた場合のデータの復旧体制は心もとない。企業対象の調査では「攻撃を受けたか把握できない」ケースが半数を超える。高度化する攻撃に備え、より確実な復旧体制をどうつくるべきか。(2022/1/27)
名和利男氏×ソフトバンクMSS責任者対談:
PR:変化に追随するセキュリティ運用の鍵は、企業の主体性とマネージドセキュリティサービス活用にあり
年々激化するサイバー攻撃に、企業はどのようにして対抗していけばよいのか。有効なセキュリティ対策はあるのか――。セキュリティのプロフェッショナルが、サイバーセキュリティの現状と今注目を集めている「マネージドセキュリティサービス」活用のポイントを語った。(2022/1/27)
セキュリティスキルが新たな武器に
英国陸軍が進める「“ハッカー軍人”10万人育成計画」の中身
英国陸軍は軍人10万人にImmersive Labsのセキュリティ教育を受けさせ、サイバー攻撃に対抗するためのスキルを高める。内部に「セキュリティ専門家」を育てる英国陸軍の狙いは。(2022/1/26)
GMOがサイバーセキュリティ事業に参入 国内最大規模のホワイトハッカー組織を子会社化
GMOインターネットグループは、サイバーセキュリティ事業への参入を発表した。92人のホワイトハッカーが所属するサイバーセキュリティ企業イエラエセキュリティの株式(約92億円分)を取得し、子会社化する。(2022/1/24)
野村證券やNICTが検証:
量子暗号通信は金融分野で使えるのか
近年、金融分野ではサイバー攻撃の増加やデジタル化の進展など、システムを取り巻く環境が大きく変わり、セキュリティ対策についてより一層の強化が求められている。特に取引処理の遅延が機会損失の発生につながる株式取引では、膨大な量の取引データ伝送に耐えられ、低遅延な通信方式が必要とされている。野村證券やNICTなど5者は、量子暗号通信がどの程度利用できるのかを検証した。(2022/1/24)
最新のサイバーセキュリティ予測
2022年の初めに知っておくべきサイバーセキュリティ対策の正しい方向性
2021年のサイバー攻撃の傾向を考察するとともに、2022年に取り掛かるべき対策を専門家に聞いた。キーワードは「ランサムウェア」「サプライチェーン攻撃」「国家によるサイバー攻撃」「クライムウェア」の4つだ。(2022/1/21)
データ保護は“自社だけ”の問題ではない
災害・サイバー攻撃から自社のデータを確実に守るには? 事例で深掘り
自然災害やランサムウェアによるデータ損失のリスクが広がる中、企業はどのようにデータを保護すればよいのか。樹脂メーカーの事例を基に、確実なバックアップとリストアを可能にする方法を説明する。(2022/1/21)
宮田健の「セキュリティの道も一歩から」(69):
言うは易し? セキュリティトラブルを隠さない組織にするためには
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は「報告されないサイバーセキュリティトラブル」についてお伝えします。(2022/1/21)
「複雑化する攻撃手法に対応できていない」:
半数が「業務委託先のセキュリティ対策」を把握していない KPMGコンサルティングが「サイバーセキュリティサーベイ2022」を発表
KPMGコンサルティングは、「サイバーセキュリティサーベイ2022」を発表した。「過去1年間にサイバー攻撃あるいは不正な侵入を受けたことがある」企業の割合は30.5%。「情報セキュリティ人材が不足している」企業の割合は79.0%に上った。(2022/1/21)
赤十字国際委員会、サイバー攻撃で51万人以上の行方不明者などの個人情報が漏えい
赤十字国際委員会(ICRC)の請負業者のサーバにサイバー攻撃があり、51万5000人以上の個人データが侵害された。紛争や災害によって行方不明になっている「非常に脆弱な」人々のデータ。ICRCはデータを販売したりしないよう犯人に呼び掛けた。(2022/1/20)
製造ITニュース:
他組織の安全性も確認を、広がるサプライチェーンへのサイバー攻撃リスク
トレンドマイクロは2022年1月12日、2021年に生じたサイバーセキュリティに関する主要な動向について解説するセミナーを開催した。増加するサプライチェーン経由のサイバー攻撃について説明するとともに、こうした攻撃の被害が、1社にとどまらず業界全体に波及する可能性を指摘した。(2022/1/19)
ウクライナ政府に破壊的なサイバー攻撃 Microsoftが報告
Microsoftは、ウクライナ政府に対する破壊的なマルウェア攻撃を確認したと発表した。犯行グループは特定できていないとしているが、ウクライナ保安庁は「ロシア政府に関連するグループが関与している調合がある」としている。(2022/1/17)
自衛力獲得の“最初の一歩”を支援:
PR:人材不足を解消する秘策「セキュリティSES」教育カンパニーの強みと未来予測
ランサムウェア攻撃の高度化をはじめとしたサイバーセキュリティ脅威の高まりとともに、わが国におけるセキュリティ人材不足の深刻さも度合いを増している。被害を拡大させないために必要なのは「迅速な初動対応ができる」人材だ。(2022/1/20)
ITmedia エグゼクティブセミナーリポート:
変化に必要なのはインプットとアウトプットで「いま」という時代をちゃんと知ること――Armoris 取締役専務 CTO 鎌田敬介氏
企業や組織が、コロナ禍、DX、グローバル、およびサイバーセキュリティなどに対する変化を受け入れ、迅速かつ柔軟に対応するにはどうすればよいのか。4つのキーワードを軸に、いまを生きる人材、組織の在り方を学ぶ。(2022/1/17)
米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催
米連邦政府は、昨年末に問題になった「Log4j」を契機に民間IT大手やオープンソース団体を招いたサイバーセキュリティ会議を開催した。Googleは会議後、オープンソースの資金調達と管理には政府と民間部門の協力が必要だと語った。(2022/1/14)
世界を読み解くニュース・サロン:
見知らぬUSBはどうすればいいのか 会社のPCに差し込んではいけないワケ
FBIが、USBメモリを使ったサイバー攻撃手口が増加していると警鐘を鳴らしている。どんな手口が増えているのかというと……。(2022/1/13)
piyokango×マンディアントの熱いトークを誌上再現:
PR:「サイバー攻撃、うちは大丈夫」と言い切るコワさに迫る――2022年、情報を受け取る側が意識すべき「自分ごと」の意味とは?
日々報道される侵害事件と繰り返されるサイバー攻撃への問題提起。しかし、どこか「自分ごと」と思えなかったり、注意喚起に慣れてしまったりしていないだろうか。情報を得ることはもちろん、それを実のある形で活用できなければ、ある日突然起きる侵害に慌てることになる。「Mandiant Cyber Summit 2021」では、これらの課題について専門家が考察。その模様を追加トピックとともにお届けする。(2022/1/17)
「セキュリティに理解のない経営者」にならないために:
「セキュリティに理解のない経営者」にならないための考え方 専門家に聞く4つの心構え
情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。(2022/1/12)
2021年は前年比較でサイバー攻撃が50%増加 Log4Shellの影響は?
Check Point Software Technologiesは2021年のサイバー攻撃動向を発表した。2021年は前年と比較してサイバー攻撃の件数が50%増加した。(2022/1/12)
パロアルトネットワークス株式会社提供ホワイトペーパー
IoT急成長の裏で迫るサイバー攻撃、脅威の実態と早急に実行すべき4つの対策
急成長を続けるIoTだが、デバイスのトラフィックは98%が暗号化されておらず、攻撃者にとって格好の標的となっている。調査で判明したIoTを取り巻く脅威状況とともに、リスク削減のために取るべき対策について解説する。(2022/1/13)
Google Docsユーザーは要注意 コメント機能を悪用したサイバー攻撃を観測
Google WorkspaceやGoogle Docsを使っている場合には注意が必要だ。送信元を隠してユーザーに悪意あるリンクを送付する方法が発見された。すでにこれを悪用したサイバー攻撃が確認されている。(2022/1/8)
2022年もLog4Shellに要警戒 Microsoftが脅威アクターの動向を分析
Log4jの脆弱性、通称「Log4Shell」を利用したサイバー攻撃は今後さらに拡大が懸念されている。この問題は短期に収束するめどが見えておらず、今後長期にわたりサイバー攻撃で使われる危険性が指摘されている。(2022/1/6)
2021年セキュリティ事件まとめ 22年にも注意すべき脅威とは?
2021年のITニュースを振り返ってみると、サイバーセキュリティに関する報道が引き続き多い1年だった。本稿では、21年に発生したインシデントをカテゴリー別でまとめてみた。(2021/12/31)
Log4jの脆弱性を突く攻撃はまだ収束せず ハニーポットの観測結果
Doctor Webがハニーポットで観測されたLog4jの脆弱性を狙うサイバー攻撃の動向について報告した。活発な活動が観測された時期や現在の攻撃の状況が明らかになっている。(2021/12/28)
アイルランド国営医療サービスがランサムウェア被害
コロナ禍で医療機関に“ダブルパンチ” なぜ病院は非情な攻撃を受けるのか
アイルランドで公的医療サービスを提供するHSEがランサムウェア攻撃を受け、システム停止の影響が国中に及んだ。サイバー攻撃者がパンデミック中に医療機関を狙う理由は何か。(2021/12/27)
身代金を払った組織の80%が再び攻撃された
多発するランサムウェア攻撃、経営者が知るべき「数字」と「対策」
最新のランサムウェアは複数の手段で身代金を要求する「多重脅迫型」が主流となり、かつ一度身代金を支払った組織には再び攻撃を仕掛けているという。悪質なサイバー攻撃から組織を守るためには、どのような対策が有効なのだろうか。(2021/12/27)
システムの複雑化が招く3つのセキュリティ課題
“何もかもが攻撃される時代”に「一貫したセキュリティ」を手に入れる秘策は
ITシステムの多様化が進む一方で、サイバー攻撃の対象は拡大し、巧妙化している。個別最適の対策には限界があり、余分なコストがかかったり、抜け漏れがあったりといった問題が起こりやすい。一貫したセキュリティを確保するには。(2021/12/21)
ファイアウォールとUTMでは守り切れない
「壁の外の脅威」にも万全 サーバ管理者を煩わせない包括的なサーバ保護とは?
サイバー攻撃が高度化する一方、デバイスに比べセキュリティ対策が遅れるサーバ。ファイアウォールやUTMを導入しているから大丈夫、という声も聞かれるが、それでは不十分だという。現状と課題を分析しながら、いま必要な対策を探る。(2021/12/21)
日本企業のサイバーセキュリティは6割が“時代遅れ” クラウドファースト時代に求められるセキュリティ対策とは
シスコの調査によると、日本企業のIT/セキュリティ担当者は、現行のサイバーセキュリティテクノロジーの59%が「時代遅れ」と考えていることが明らかになった。これからの日本企業に求められるサイバーセキュリティ対策とは。(2021/12/23)
狙われる教育機関 その理由と対策【後編】
教育機関がサイバー攻撃を受けやすい納得の理由と、データを守り切る方法
攻撃者が教育機関を狙うのはなぜなのか。教育機関がサイバー攻撃からデータを守るためにすべきことは何か。それぞれの答えを探る。(2021/12/22)
セキュリティの概念を変えるDSbD【前編】
セキュリティが根本から変わる「脆弱性があっても悪用させない」技術
英UKRIはサイバーセキュリティを根本から変え、ソフトウェアに起因する脆弱性を排除しようとしている。その一端が「メモリの安全性」技術だ。(2021/12/21)
産業制御システムのセキュリティ:
三菱電機、警報信号発信機能を備えたセキュリティスイッチを発売
三菱電機は、制御システム向け「サイバーセキュリティーソリューションOTGUARD」製品群に、警報信号発信機能を備えた「警報接点出力付きセキュリティースイッチ」を追加した。不正通信の検知や遮断など多様なセキュリティー機能を備える。(2021/12/16)
サイバー攻撃を受けにくい環境の維持を実現:
PR:“攻撃者の視点”でセキュリティリスクを自動で定量的に可視化
サイバー攻撃が激化する中で自社のみならず、グループ会社や取引先も含めたサプライチェーンリスク管理の重要性が叫ばれている。“攻撃者の視点”でサイバー攻撃を未然に防ぐ手法として注目されるのが、外部に露出する脆弱性を事前に検出して自動的に攻撃対象になる危険度をスコア化する「SecurityScorecard」だ。(2021/12/24)
サイバー攻撃を受けにくい環境の維持を実現
“攻撃者の視点”でセキュリティリスクを自動で定量的に可視化
サイバー攻撃が激化する中で自社のみならず、グループ会社や取引先も含めたサプライチェーンリスク管理の重要性が叫ばれている。“攻撃者の視点”でサイバー攻撃を未然に防ぐ手法として注目されるのが、外部に露出する脆弱性を事前に検出して自動的に攻撃対象になる危険度をスコア化する「SecurityScorecard」だ。(2021/12/24)
米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示
米連邦政府のサイバーセキュリティ諮問機関CISAが、連邦政府機関に対し、「Log4j」の脆弱性対策を12月24日のクリスマスイブまでに完了するよう指示した。CISAはこの脆弱性に関する専用Webページも立ち上げた。(2021/12/15)
狙われる教育機関 その理由と対策【前編】
「Zoom」も「Teams」も利用不可に 大学がサイバー攻撃で受けた被害とは
サイバー攻撃を受けた英国のハートフォードシャー大学では、教育や研究に必要なさまざまなシステムが利用できなくなった。その広範な影響範囲は。(2021/12/15)
10大セキュリティ事件2021 2位は東京五輪へのサイバー攻撃、1位は?
マカフィーが「2021年の10大セキュリティ事件」を発表。1位には、加盟店の名称など2000万件以上の情報が流出した可能性がある、電子決済サービス企業が利用するクラウドサービスへの不正アクセスがランクインした。(2021/12/14)
米人事管理大手のKronos、ランサムウェア攻撃でサービス数週間停止に
人事管理ソリューション大手のKronosがサイバー攻撃を受け、ほとんどのサービスを停止した。原因はランサムウェアで、「復元には最大数週間かかる可能性がある」としている。手口はまだ不明だ。(2021/12/14)
医療機関のクラウド移行、リスク管理のヒント【第3回】
医療機関がクラウド利用前に考えたい「脅威モデリング」と「セキュアコーディング」の意義
システムをクラウドサービスで展開するに当たり「脅威モデリング」と「セキュアコーディング」がなぜ重要なのか。サイバー攻撃の標的にされやすい医療機関だからこそ重視すべき脆弱性対策のポイントは。(2021/12/14)
Emotetがバンキング型トロイの木馬「Trickbot」を経由して感染拡大中
Check Point Software Technologiesは、バンキング型トロイの木馬「Trickbot」を経由して「Emotet」が感染拡大していると報じた。Trickbotは、同社が2021年9月に発表したマルウェアランキングで1位を獲得しており、サイバー攻撃者によく利用されているため注意が必要だ。(2021/12/10)
約4割が「ルール違反を会社や上司に報告していない」:
4人に1人が「ルール違反と認識しつつ、パスワードを使い回している」 IPAがセキュリティ調査の結果を発表
IPAは、全国の中小企業に勤務する従業員を対象としたサイバーセキュリティに関する調査結果を発表した。それによると5人に1人が情報管理に関するルール違反をしたことがあり、そのうち約4割は「会社や上司に1度も報告していない」という。(2021/12/10)
Amazonギフト券が抽選で当たる
「サイバーセキュリティ」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(1万円分)をプレゼント。(2021/12/10)
中小企業で5人に1人が「情報管理のルール違反」経験 必要な対策は――IPA調査
IPAの調査によると、中小企業では年平均1.4回のサイバーセキュリティトラブルが発生しているが、その一方で、従業員の5人に1人は、パスワードの使い回しなど、情報管理ルールに違反したことがあり、その半数は会社や上司に報告していないことが分かった。(2021/12/9)
抽選でAmazonギフト券が当たる
「従業員へのサイバーセキュリティ教育」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(1万円分)をプレゼント。(2021/12/9)
日本企業の「丸投げ体質」に起因する課題も:
日本、米国、英国の「コロナ禍のセキュリティ対策」の比較結果を発表 SecureAge
SecureAge Technologyは、コロナ禍のサイバーセキュリティに関する調査の結果を発表した。テレワークを支援するために新たなセキュリティ対策を導入した日本企業の割合は73%で、米国や英国よりも10ポイント以上低かった。(2021/12/8)
UEM製品「ManageEngine Desktop Central」に「緊急」の脆弱性 サイバー攻撃もすでに確認
ManageEngine Desktop CentralとManageEngine Desktop Central MSPに深刻度「緊急」(Critical)の脆弱性が見つかった。すでに同脆弱性はサイバー攻撃に利用されているため、影響を確認して迅速に対処してほしい。(2021/12/8)
医療機関のクラウド移行、リスク管理のヒント【第2回】
医療機関が初心に立ち返って見直すべき「データセキュリティ」の意義と対策
医療機関がサイバー攻撃者の標的にされやすく、データ漏えいのリスクも甚大になるのは、患者の「個人情報」を保有しているからだ。必要なデータだけを保存し、安全に管理するために、見直すべきポイントは。(2021/12/7)
暗号資産取引所BitMart、サイバー攻撃で約2億ドル相当流出
暗号資産取引所BitMartのホットウォレットに不正アクセスがあり、約2億ドル相当が流出した。CEOは影響を受けた顧客には企業資金で補償するとツイート。現在取引所は閉鎖しているが7日には再開する見通しだ。(2021/12/6)
ウィズコロナ時代のテクノロジー:
コロナ禍で増えた医療機関へのサイバー攻撃 患者の生死にも関わる事態に
COVID-19のパンデミックが契機になり、医療機関は遠隔医療などデジタル技術の導入を進めた。その結果、医療機関もサイバー攻撃を受けるケースが増えているという。それは、企業に対する攻撃と同じか、それ以上に深刻な問題を生み出している。(2021/12/6)
サービス終了のお知らせ
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。
ITmediaはアイティメディア株式会社の登録商標です。