この頃、セキュリティ界隈で:
空港の無料USB充電は危険? サイバー犯罪に警鐘も実は被害報告なし 「マスコミらが煽りすぎ」との指摘
空港やホテルにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染する――そんなサイバー犯罪の手口について、FBIやマスコミが改めて注意を呼びかけている。しかし実はこの攻撃が実際に仕掛けられた事案は確認されていないという。(2023/5/16)
CODE BLUE 2022レポート:
脅威ハンティングのプロが語る、6つの“残念な”セキュリティ事例
2022年10月27〜28日にCODE BLUE 2022が開催された。本稿は、IBM X-Forceのニール・ワイラー氏による基調講演の様子をレポートする。同氏の講演からは6つの残念なセキュリティ事例と推奨される7つの対策が明らかになった。(2022/11/16)
TwitterのAIバイアス発見コンテスト、「若くてスリムな顔優先」発見に3500ドル
Twitterが初のAIバイアス発見コンテストの勝者を発表した。画像トリミングAIに「若くてスリムな顔を優先する」バイアスがあると指摘した大学院生が1位を獲得。賞金は3500ドルだ。(2021/8/10)
親子の会話から学ぶクラウドセキュリティ(5):
本当に攻撃されたら何するの?――クラウド環境での脆弱性検査とサイバー攻撃の検知・確認に関する基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。(2020/11/12)
パナソニックが考える「2020以降の街づくり」:
サイバー攻撃の網羅的な検知を目指す、“機械学習”によるパナソニックのBASセキュリティ
海外でビルオートメーションシステムを狙ったサイバー攻撃による物理的な被害が増えていることを受け、国内でもセキュリティ対策への関心が高まっている。パナソニックでは、AI(機械学習)を活用して、通信プロトコル上の異常を自動検知するシステムの開発を進めており、森ビルやCSSCとビルのリアルなデータを用いて検証を重ねている。(2019/11/29)
自分を磨き、競い合い高めていくことが重要:
PR:CTF for GIRLSでも活躍する2人の女性ホワイトハッカーが語る、これからのセキュリティ人材育成
とかく「セキュリティ人材不足」が叫ばれるようになって久しいが、第一線で活躍する人材にせよ、普段の業務に必要なリテラシーを身に付けた人材にせよ、何もないところからは生まれない。日々の業務やコミュニティー活動を通して、この困難な課題に取り組んでいる2人の女性ホワイトハッカーに、その歩みと思いを尋ねた。(2019/8/29)
IoTセキュリティ:
パナソニックのIoTセキュリティ、AIとSOCで自動車も工場もビルも守る
パナソニックは同社のIoTセキュリティへの取り組みについて説明。自動車、工場、ビルシステム向けを中心に、AI(人工知能)とSOC(セキュリティオペレーションセンター)を活用したIoTセキュリティシステムの開発に取り組んでおり、各カンパニーとの連携によるIoTセキュリティソリューションを社外に展開することも想定している。(2019/2/21)
セキュリティクラスタ まとめのまとめ 2018年11月版:
「PCを使わないこと」が最強のセキュリティ対策なのか?
2018年11月のセキュリティクラスタは「賑わうセキュリティカンファレンス」「PCを使わないセキュリティ担当大臣」「突然閉鎖したWizard Bibleサイトの続報」に注目が集まりました。(2018/12/13)
セキュリティクラスタ まとめのまとめ 2018年8月版:
「サマータイム」はセキュリティホールなのか?
8月のセキュリティクラスタをにぎわせた大きな話題は3つありました。「東京オリンピック開催時のサマータイム」「DEFCONやBlack Hat USAなどのサイバーセキュリティ関連のカンファレンス」「Apache Struts 2で見つかった新たな脆弱(ぜいじゃく)性」です。(2018/9/12)
セキュリティクラスタ まとめのまとめ 2018年5月版:
魔の手が伸びる「仮想通貨」、新手の攻撃
2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。(2018/6/13)
セキュリティクラスタ まとめのまとめ 2017年11月版:
ウイルス検体を業務で公開、なぜ逮捕?
2017年11月のセキュリティクラスタ、キーワードは「macOS」「share」「国際会議」でした。新バージョンのmacOSで、パスワードを入力しなくてもログインできることが突然明らかになり、衝撃が走りました。Share監視サービスを行っていたセキュリティ企業の社員が、そのShareでウイルスを共有していたとして逮捕。毎年恒例の「CODE BLUE」と「AVTOKYO」では、興味深い各講演の合間にセキュリティクラスタの人々が交流を深めていました。(2017/12/11)
セキュリティ業界、1440度(20):
20年以上前のネットワーク規格が自動車や人命をセキュリティリスクにさらす
「クルマ×セキュリティ・マップ開発の先端」セミナーと、2017年で4回目の開催となる「escar Asia」において興味深かったセッションをピックアップして紹介します。(2017/10/17)
セキュリティクラスタ まとめのまとめ 2017年8月版:
インターネットで大規模障害、DDoS攻撃か?
8月のセキュリティクラスタは毎年恒例となっている「セキュリティ・キャンプ」の話題が大盛り上がりでした。この他、大きな動きが2つ。1つ目はいろいろなWebサイトでSQLのダンプファイルが公開されており、企業サイトで情報漏えいが発生したこと。2つ目は大規模な接続障害が発生したことです。一時はDDoS攻撃かもしれないと疑われました。(2017/9/11)
IPAが「セキュリティ・キャンプ全国大会2017」を開催、申し込みは2017年5月29日まで:
サイバー犯罪対策の最前線に立つキャンプ特別講義が伝える「“技術”とは何か」
IPAが「セキュリティ・キャンプ全国大会2017」を開催。2017年5月29日12時まで参加者を募集している。全国大会では、実機を用いた実習やディスカッションに加え、サイバー犯罪対策の最前線に立つプロフェッショナルによる講演なども行われる。(2017/5/23)
セキュリティ・アディッショナルタイム(14):
「SECCON 2016決勝大会」開催、CTFを軸に広がる技術と人材の幅
2017年1月28日、29日にかけて、国内最大規模の情報セキュリティ競技会「SECCON 2016」の決勝大会が行われ、世界各国から集った強豪チームが熱戦を繰り広げた。会場では同時に、競技の幅や裾野を感じさせるさまざまな企画も催され、多くの参加者を集めた。(2017/2/7)
企業の倫理観が問われる
セキュリティ対策といえども“元極悪ハッカー”を雇用するのはありなのか?
極悪さで鳴らした元ハッカーを雇用して企業のセキュリティチームに参加させるのはリスクを伴う。この型破りな雇用手段によって生じ得るメリットとデメリットをセキュリティの専門家が解説する。(2016/8/16)
対策はBluetoothキーボードへの買い替え
“安物”無線キーボードの打鍵内容が傍受される脆弱性「KeySniffer」とは
「KeySniffer」という、入力内容が暗号化されていないワイヤレスキーボードの脆弱(ぜいじゃく)性は、ユーザーのキーストロークが傍受されたり挿入攻撃にさらされたりする恐れがある。(2016/8/5)
セキュリティ・アディッショナルタイム(8):
地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」
「サイバー犯罪に関する白浜シンポジウム」の会場で同時開催される「情報危機管理コンテスト」は、技術力だけでなく、コミュニケーション能力やマネジメント能力も含んだ総合的な運用力を問うユニークな腕試しの場だ。昨年に続き、その模様をお届けする。(2016/6/3)
いまさら聞けない 車載セキュリティ入門(4):
車内ネットワークへのサイバー攻撃は4つの階層構造で防ぐ
車載システムの進化を支えてきたCANに代表される車内ネットワーク。この車内ネットワークに対するサイバー攻撃は、多層防御(Defense-in-depth)の原則に基づき、4つのレイヤー(階層)によって防ぐことが推奨されている。(2016/2/15)
セキュリティクラスタ まとめのまとめ 2015年12月版:
「vvvウイルス」に「Joomla!」脆弱性、情報が飛び交った12月
あっという間に年も明け、2016年を迎えました。昨年末のセキュリティクラスタを振り返ってみると、「SECCON 2015」開催の一方で、vvvウイルスこと「TeslaCrypt」が話題になり、感染源や対策に関する情報が盛んにやりとりされました。また12月中旬にはオープンソースCMS「Joomla!」の深刻な脆弱性が公表され、その原因をめぐって議論が巻き起こりました。(2016/1/8)
「コンテスト慣れ」しているほど不利?:
実際のサイバー攻撃を摸したセキュリティコンテスト――アジア決戦を制したのは
トレンドマイクロは、2015年11月21〜22日の2日間にわたり、同社としては初の試みとなるセキュリティコンテスト「Trend Micro CTF Asia Pacific & Japan 2015 Final」を開催した。本稿では、同イベントのリポートをお届けする。(2015/12/22)
車載セキュリティ:
「TPMは車載セキュリティに機能不足」、ジェムアルトがEAL5+の独自チップ提案
デジタルセキュリティベンダーのジェムアルトが、コモンクライテリアでEAL5+を達成した独自開発のセキュリティチップ「M2Mセキュアエレメント」を車載セキュリティ向けに提案している。PC向けのセキュリティチップであるTPMが車載セキュリティにも拡張されつつあるが、「TPMでは車載セキュリティを満足させられない」(同社)という。(2015/11/30)
標的型攻撃やIoTに関する問題も用意、スキル磨く「一つの機会に」:
トレンドマイクロがCTF開催、優勝者にはHITCON CTF参加権も
トレンドマイクロはセキュリティに関する知識や技術を競う競技会、「Trend Micro CTF Asia Pacific &Japan 2015」を開催する。まず9月26日から27日にかけてオンライン予選を行い、上位10チームが攻防戦形式の本戦に進む予定だ。(2015/9/14)
セキュリティクラスター まとめのまとめ 2015年8月版:
成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
2015年8月は世界各地でセキュリティイベントがめじろ押しでした。しかしイベント参加者たちの熱狂の裏では、「不倫サイト」ユーザーたちの悲痛の叫びが……。(2015/9/11)
セキュリティ・アディッショナルタイム(3):
絶対に負けられない戦いで負けない人材を育成するさまざまな取り組み
アスリートの育成には、トップレベルの選手の育成と裾野の拡大の両方が必要だ。セキュリティ人材の育成にも同じことが言えるだろう。今、国内では人材育成を目的に、それぞれの問題意識に沿った特色を持つさまざまな取り組みが進んでいる。(2015/8/26)
Samsungの「スマート冷蔵庫」に脆弱性、他人にのぞき見される恐れ
中間者攻撃を仕掛けられ、Googleサービスへのログイン情報を盗まれる恐れがあるという。(2015/8/25)
セキュリティ・キャンプ全国大会 2015リポート:
より広がったカリキュラムを通過点に若者は上を目指す
2015年8月11日から15日にかけて、4泊5日の合宿形式で「セキュリティ・キャンプ全国大会 2015」が開催され、選考をくぐり抜けた22歳以下の若者、50人が参加した。(2015/8/25)
Automated Vehicleシンポジウム2015リポート(前編):
自動運転シンポジウムの主役はグーグル、自動車メーカーはなぜ発表を控えたのか
2015年7月21〜23日、米国ミシガン州アナーバーで、自動運転技術のシンポジウム「Automated Vehicleシンポジウム2015」が開催された。前回の2014年と比べて参加者が倍増するなど盛況だった。しかし、自動車メーカーが自動運転技術に関する発表を控えたこともあり、Google(グーグル)が一番の注目を集めることになった。(2015/7/29)
いまさら聞けない 車載セキュリティ入門(1):
つながるクルマに求められるサイバーセキュリティ
スパイ映画やSF映画には、自動車がハッキングを受けて乗っ取られるシーンが出てくることがある。つながるクルマ=コネクテッドカーが当たり前になるこれからの時代、これらのシーンは絵空事では済まされない。本連載では、つながるクルマをサイバー攻撃から守る「車載セキュリティ」について解説する。(2015/7/28)
学生にも世界と戦う「ワンチャンス」を:
今年も始まる「SECCON 2015」、バリエーションに富む予選を用意
セキュリティ人材の発掘、育成を目指したコンテスト「SECCON 2015」の開催概要が発表された。今年もバリエーションに富む予選を用意する他、学生限定の大会も開催するなど、門戸を広く開いている。(2015/6/10)
セキュリティクラスター まとめのまとめ 2014年12月版:
CODE BLUEにSECCONに、リアルが忙しかった12月
セキュリティクラスターが一堂に会したセキュリティイベントが多く開催された12月。一方、世界に目を向けると日本企業が深刻なサイバー脅威に見舞われていました。(2015/1/9)
あの脆弱性を覚えていますか:
IoT時代のセキュリティ、参照すべき“過去の教訓”
ウインドリバーが「IoTとセキュリティ」をテーマにした記者向け勉強会を開催。フリーランスライターの高橋睦美氏がIoT時代に行うべきセキュリティ対策について解説した。(2014/12/26)
AVTOKYO2014リポート:
知ってましたか? セキュリティ業界が歴史に学べること
「No drink, No Hack!」を合言葉にしたセキュリティイベント「AVTOKYO2014」が、約300人の参加者を集めて開催された。最新のマルウェア解析あり、埋もれつつある歴史を振り返るパネルありのセッションの模様をお伝えしよう。(2014/11/26)
車載ソフトウェア:
ハッキングの可能性が指摘される自動車、セキュリティは確保できるのか
車載情報機器などを介してのハッキングの可能性が指摘されている自動車。車載セキュリティを専門に扱うESCRYPTによれば、「現時点ではまだ危険ではないが、将来に向けて車載セキュリティを確保するための準備をしっかりと進めておく必要がある」という。(2014/9/25)
セキュリティクラスター まとめのまとめ 2014年7月版:
ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
2014年7月はベネッセコーポレーションで発生した、大量の個人情報漏えい問題がタイムラインを騒がせました。(2014/8/11)
無線LANルータのハッキングコンテスト、DEFCONで開催
コンテストの狙いは、ルータ攻撃の危険性にスポットを当て、メーカーに対し顧客を守るために必要な措置を取るようプレッシャーをかけることにある。(2014/7/29)
セキュリティクラスター まとめのまとめ 2014年6月版:
LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
XSSに盗聴疑惑にチート摘発――ネットでは今月も、印象に残るさまざまな騒動が起きました。(2014/7/10)
女性同士、気軽に教え合うCTFワークショップ:
実はこんなにいた! セキュリティ女子
SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA)は2014年6月29日、女性のみに限定したCapture The Flag(CTF)のワークショップ、「CTF for Girls」を開催した。(2014/7/1)
女性向けワークショップやメルマガを通じた情報発信も:
さらなる裾野の拡大を目指す、「SECCON 2014」開催へ
日本ネットワークセキュリティ協会(JNSA)は2014年6月10日、セキュリティ技術を競うコンテスト「SECCON 2014」の実施計画を公表した。予選を勝ち抜いた25チームが2015年2月に行われる全国大会決勝戦で腕を競う予定だ。(2014/6/10)
セキュリティクラスター まとめのまとめ 2014年5月版:
急転直下の結末を迎えた遠隔操作ウイルス事件
4月末に見つかった脆弱性の余波で、多忙な連休を送った人が多かったセキュリティクラスター。5月後半になると、遠隔操作ウイルス事件が意外な結末を見せ、タイムラインをにぎわせました。(2014/6/10)
@IT Security Live UP! 詳細レポート:
セキュリティの達人が語るこれからの対策と課題
「@IT Security Live UP! 絶対に守らなければならないシステムがそこにはある」の速報レポートではカバーし切れなかった、第一線の専門家による基調講演や特別講演、コミュニティセッションの模様を一挙に紹介する。(2014/3/27)
情報交換の場となるコミュニティに:
日本から海を越えて発信を、「CODE BLUE」開催
2月17日、18日の2日間に渡って、日本を含む、非英語圏の優れたセキュリティ技術者を発掘し、世界に発信していくことを狙いとしたセキュリティカンファレンス「CODE BLUE」が開催されている。(2014/2/18)
セキュリティ業界、1440度(5):
自動車もサイバー攻撃の対象に?「Automotive World 2014」レポート
自動車の安全性といえば、「いかに事故を起こさないか」という点に着目してきました。自動車が進化するにつれ、「セキュリティ」も必要になってきたようです。(2014/2/13)
最初の支援対象はCTFチーム「EpsilonDelta」:
来たれ、次世代の「すごうで」――ラックが若手技術者支援プログラム
ラックは、優れたIT技術を持った20歳未満の若者を対象に、年間100万円相当の支援を行うプログラム「U-20 IT スーパーエンジニア・サポートプログラム “す・ご・う・で”」を実施する。最初の支援対象には、灘高校の矢倉大夢氏らが参加するチーム「EpsilonDelta」が選ばれている。(2013/12/27)
フォーラムソフトの脆弱性情報が流通か 大手サイトに被害相次ぐ
「vBulletin」の未解決の脆弱性情報が闇市場で売買されているとみられ、vBulletinを使っているフォーラムが相次いで被害に遭っている。(2013/11/19)
セキュリティ専門家の情報交流の場を:
日本発世界へ、セキュリティカンファレンス「CODE BLUE」始動へ
CODE BLUE事務局は2013年11月5日、情報セキュリティに特化した日本発の国際会議「CODE BLUE」を、2014年2月17日、18日の2日間に渡って東京・お茶の水ソラシティで開催する。(2013/11/6)
セキュリティクラスタ まとめのまとめ 2013年8月版:
夏の終わりは2ちゃんねるの情報流出事件で大騒ぎ
BlackHatにDEFCON、セキュリティキャンプといった夏の恒例行事に彩られ、何事もなく終わるかと思われた8月。しかし月末、2ちゃんねるの「●」ユーザーの情報大量流出と、ロリポップを中心としたWordPressサイトの大量改ざんという事件が立て続けに起きました。(2013/9/12)
SECCON 2013 横浜大会レポート:
来年は「U-50」大会も? シニアの血も沸く夏の戦い
2013年8月23日、「CEDEC 2013」に併せてパシフィコ横浜で開催されていた「SECCON 2013」第1回地方大会が閉幕した。本戦の「CTF」に加え、その予選としてSQLインジェクションチャレンジやバイナリかるた/アセンブラかるたなど、趣向を凝らした競技が開催された。(2013/9/6)
ブレーキもハンドルも利かない――自動車ハッキングを実証
米誌Forbesの記者が乗った車の後部座席でセキュリティ研究者がコンピュータを操作すると、走行中に急ブレーキがかかり、パワステも利かなくなった。(2013/7/26)
セキュリティクラスタ まとめのまとめ 2013年6月版:
漏えいの次は改ざん――被害相次ぐ国内サイト
6月のセキュリティクラスタでは、トヨタ自動車をはじめ、100件以上の企業Webサイトが改ざんされた件が大きな話題となりました。(2013/7/9)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。