社員のSNS投稿どこまで禁止できる? 懲戒対象の線引きを知る
誰でも簡単にさまざまな情報をSNSに投稿できるようになりました。それに伴い、企業の機密情報が漏れたり、会社の評判を落としたりするケースが増えました。従業員のSNS投稿はどこまで禁止できるのか。懲戒対象の線引きを探っていきましょう。(2024/9/27)
Innovative Tech:
“ネットに未接続”のPCからデータを盗む攻撃 7m先からエアギャップPC内の機密情報を盗む
イスラエルのBen-Gurion University of the Negevに所属する研究者は、インターネットに接続していないコンピュータ(エアギャップPC)から機密情報を漏えいさせる新たなサイドチャネル攻撃手法を提案した研究報告を発表した。(2024/9/13)
セキュリティニュースアラート:
Microsoft Copilot Studioに脆弱性 不正アクセスや機密情報の窃取が可能に
TenableはMicrosoft Copilot Studioにサーバサイドリクエストフォージェリの脆弱性を発見した。この脆弱性を悪用されると内部インフラストラクチャへの不正アクセスや機密情報の窃取が可能となり、複数のテナントに影響を与えるリスクがある。(2024/8/26)
JAXA情報流出 「安全」接続目的のVPNが不正アクセスの標的に 脆弱性突かれる
宇宙航空研究開発機構(JAXA)の機密情報がサイバー攻撃で流出したとみられる問題では、外部から内部の業務ネットワークに接続するために使うVPN(仮想専用線)の脆弱性を突かれ、不正アクセスによる内部侵入を許したとされる。(2024/6/21)
セキュリティニュースアラート:
Check Pointの複数のリモートVPN製品に重大な脆弱性 機密情報にアクセスされる恐れ
Check Point Software Technologiesは、同社の複数のリモートアクセスVPN製品に重大な脆弱性があると報告した。この脆弱性は悪用されると、機密情報にアクセスされるリスクがある。(2024/6/3)
巧妙になる不正アクセスの手口
「Microsoft Azure」を侵害 攻撃者はなぜアカウントに入り込めたのか?
セキュリティベンダーProofpointによると、「Microsoft Azure」に対して新しい手口を使った攻撃があり、機密情報が流出した恐れがある。攻撃者はどうやって侵入に成功したのか。(2024/4/23)
セキュリティー・クリアランス法案 立民・杉尾秀哉氏「米大統領への手土産か」 首相は否定
経済安全保障上の機密情報へのアクセスを官民の有資格者に限る「セキュリティー・クリアランス(SC、適格性評価)」制度を創設する「重要経済安保情報保護・活用法案」が4月17日、参院本会議で審議入りし、論戦が始まった。(2024/4/17)
製品動向:
建設プロジェクト用のデータ基盤提供、リーガルテック
リーガルテックは建設業のDX支援を目的に、仮想空間で2DCAD図面含む機密文書を一元管理するVDRの活用を開始する。セキュリティや効率性、透明性を向上させ、競争力のある持続可能な建設ビジネスの構築につなげる。(2024/4/8)
世界を読み解くニュース・サロン:
ようやく制度化「セキュリティ・クリアランス」とは? 民間企業にどう影響するのか
閣議決定されたセキュリティ・クリアランス法案は、民間企業の従業員も無関係ではない。先端技術分野も機密情報となり、情報を扱うための適性評価の対象が民間にも広がるからだ。プライバシーの懸念も出ているが、国の安全と発展のために不可欠な制度だといえる。(2024/3/15)
セキュリティニュースアラート:
Microsoft、Midnight Blizzardにより「機密情報」が漏えいしたと認める
Microsoftはロシア国家が支援する脅威アクター「Midnight Blizzard」によるサイバー攻撃の調査結果を発表した。顧客の「機密情報」が流出した他、窃取されたデータによって不正アクセスの試行が確認された。(2024/3/12)
元Googleのエンジニア、AI機密情報を中国企業に売った疑いで逮捕
米Googleの元エンジニアが、同社のAI関連の機密情報を中国企業に売った疑いで逮捕された。(2024/3/7)
フィッシング攻撃に強いMFA【前編】
詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない?
エンドユーザーから偽のメールを通じて機密情報を引き出すフィッシング攻撃は、企業が対処すべきサイバー攻撃だ。多要素認証(MFA)でも防げない新手のフィッシング攻撃とは。(2024/1/25)
ホロライブが「夜空メル」と契約解除を発表 「機密情報や、やり取りを許可なく第三者に漏洩するといった契約違反行為が認められたため」
一期生が17時から緊急で配信へ。(2024/1/16)
VTuber・夜空メルが契約解除に ホロライブ運営「機密情報の漏えいなどがあったため」
VTuber事務所「ホロライブプロダクション」を運営するカバーは、所属VTuber「夜空メル」さんの契約を解除したと発表した。カバーとのやりとりや機密情報を第三者に漏えいする契約違反行為を確認したため。(2024/1/16)
Tech TIPS:
【Azure Key Vault】App Serviceのアプリケーション設定から「シークレット」な情報が漏れないようにする(Azureポータル編)
Azure App Serviceのアプリケーション設定にパスワードなどの秘密情報をそのまま格納している場合、Azureポータルあるいはデプロイのコードなどから、その秘密情報が漏れてしまう危険がある。「Key Vault」の「シークレット」でこれを抑える方法を紹介する。(2024/1/11)
「見えないWeb攻撃」──情報漏えい対策の盲点:
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。(2024/1/11)
SASトークンが「GitHub」に流出【前編】
Microsoftの「丸見えになったストレージ」は“機密情報だらけ”だった?
AI技術は、Microsoftにとっては“肝いり”の分野だ。それに関連した取り組みの中で、同社内部のストレージにアクセスできる情報を、同社が誤って「GitHub」に公開していた事態が明るみに出た。その影響とは。(2023/12/4)
Innovative Tech:
新MacBook Pro(M3)でも機密情報が漏えい 2020年以降のApple製品全てに脆弱性 米国チームが発表
米ジョージア工科大学などに所属する研究者らは、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告を発表した。(2023/11/30)
セキュリティニュースアラート:
組織の半数以上が機密情報を損失している Rubrikがデータ保護の実態調査を公開
Rubrik Japanはサイバーセキュリティリスクと攻撃対象領域の拡大に伴うデータ保護の課題に焦点を当てた調査結果を発表した。組織の半数以上が機密データ損失を経験していることが分かった。(2023/11/22)
Tech TIPS:
【Azure】Key Vault(キーコンテナ)にSSLサーバ証明書をインポートして利用する(App Service編)
App ServiceによるWebサイトやWeb APIにAzure外で発行したSSLサーバ証明書を割り当てる場合、App Serviceに直接インポートすると更新時に手間が掛かりやすい。機密情報を安全に取り扱える「Azure Key Vault」を使って、効率良く証明書を更新できるようにしよう。(2023/11/15)
Innovative Tech:
ChatGPTでデータベースに侵入 機密情報を漏えいさせるコードを生成 英国と中国の研究者らが実証
英国のシェフィールド大学と中国の北方工業大学に所属する研究者らは、ChatGPTなどのAIツールを操作してオンラインデータベースからの機密情報の流出させる、悪意のあるコードを作成するテストを行った研究報告を発表した。(2023/11/6)
大手商社「双日」元社員を逮捕 前職「兼松」から機密情報を不正に持ち出した容疑
大手総合商社の双日の元社員が9月28日、不正競争防止法違反の容疑で警視庁に逮捕された。前職で勤めていた総合商社の兼松から機密情報を不正に持ち出した容疑。(2023/9/28)
ITmedia Security Week 2023 秋:
侵入ぐらいは“かすり傷”――クラウド/SaaSへの侵入が簡単になった今、企業はどう“実害”を防げばいいのか
2023年8月に開催された「ITmedia Security Week 2023 秋」において、サイバーセキュリティの専門会社トライコーダの現役ペネトレーションテスター、上野宣氏が「クラウドサービス上の機密情報を攻撃者は如何にして奪取するのか」と題して講演した。(2023/9/13)
航空会社元従業員、退職前に機密持ち出す 「転職先で役立つと思い」
航空会社のオリエンタルエアブリッジは、退職した元従業員が会社の機密情報を持ち出していたことが分かったとして謝罪した。(2023/8/28)
中国から日本へのサイバー攻撃「機密の漏えい確認していない」 官房長官・防衛大臣が報道にコメント
松野博一内閣官房長官は8月8日の定例会見で、米The Washington Postによる、中国人民解放軍が日本の防衛ネットワークに侵入していたという報道について「報道は承知している。サイバー攻撃により防衛省が保有する機密情報が漏えいした事実は確認していない」とコメントした。(2023/8/8)
SOCRadarの調査、企業が取るべき対策は?:
企業のパブリックGitHubリポジトリは機密情報だらけ? APIキーやトークン、認証情報が複数見つかる
セキュリティ企業SOCRadarは、企業がGitHubのリポジトリに機密情報を誤ってアップロードしていないかどうか調査した結果を発表した。(2023/7/28)
Twitter、ThreadsをめぐってMetaを提訴すると脅迫──Semafor報道
TwitterがThreadsをめぐってMetaを提訴すると脅迫したと、マーク・ザッカーバーグCEO宛の書簡を入手したとしてSemaforが報じた。この書簡でTwitterはMetaが多数のTwitterの元従業員を雇用し、機密情報をThreadsの開発に利用したと主張。Metaの幹部はこれをThreads上で否定した。(2023/7/7)
CIO Dive:
ChatGPTを“本気”で活用したい企業がまずやるべきこと
ChatGPTをはじめとした生成AIツールの利用が企業で拡大している。しかし従業員が好き勝手に使うと、機密情報の漏えいなどを引き起こす可能性がある。これを防ぐためにITリーダーが考慮すべきこととは。(2023/6/12)
オンプレミスでの生成AIモデル構築を簡易に、DellとNVIDIAが「Project Helix」を発表
生成AIの利用が注目されるが、機密情報をどう取り扱うかを課題とする企業は多い。DellとNVIDIAは、生成AIモデルをオンプレミスで構築するための共同イニシアチブ「Project Helix」を発表した。事前構築済みのツールによる一連のフルスタックソリューションを提供する。(2023/5/26)
神戸市、チャットAI活用規定を条例に追加 個人情報・機密の入力を禁止
兵庫県神戸市が「神戸市情報通信技術を活用した行政の推進等に関する条例」を改正し、市職員に対してChatGPTなどのチャットAIに機密情報を入力しないよう規定する項目を追加した。(2023/5/25)
ChatGPTが「職場で利用禁止」な理由 「情報漏えい」と同率の1位は?
法人向けDX人材育成サービスの提供を行うWHITE(神奈川県横浜市)は、情報システム部の決裁権限者を対象に「ChatGPTに関する実態調査」を実施した。その結果、ChatGPTを職場で活用していない・禁止されている理由の1位は、「利用ルールが整備されていない」「機密情報の漏えいリスク」(51.2%)であることが分かった。(2023/4/28)
ChatGPTの行政専用環境「行政GPT」 業務効率化に一役 機密情報の入力を抑止する機能も
AIチャットbotなどを提供するギブリーは、行政機関専用のChatGPT環境を提供するサービス「行政GPT」をリリースした。「GPT-4」を標準搭載している。(2023/4/24)
横須賀市がChatGPTを試験導入 自治体初 「機密情報や個人情報は取り扱わない」
神奈川県横須賀市は、横須賀市役所でAIチャットサービス「ChatGPT」を業務に試験導入すると発表した。(2023/4/18)
ChatGPTはおしゃべりな友達 “機密情報の漏えいリスク”に要注意
「ChatGPT」は企業に効率化をもたらすが、機密情報の取り扱いには注意が必要だ。複数のセキュリティベンダーがChatGPTに機密情報や個人情報を入力すると、データ漏えいにつながるリスクがあると警鐘を鳴らしている。(2023/4/11)
Innovative Tech:
スマートテレビのリモコン操作から個人情報を盗み出す攻撃 屋内のIoTエアコンなどを悪用
香港中文大学などに所属する研究者らは、スマートテレビを操作する家庭用の赤外線(IR)リモコンからIR信号を取得し、機密情報を抽出する攻撃を提案した研究報告を発表した。(2023/4/3)
10億2700万件のコミットを分析:
1000万件の機密情報がGitHubで公開されていた GitGuardianの調査
GitGuardianは、GitHubのコミット(10億2700万件)を分析した結果、1000万件の機密情報が公開されていることを発見した。(2023/3/24)
にじさんじEN、VTuber「Zaion LanZa」を契約解除 機密情報の漏えいなど、12種の違反行為が原因
バーチャルYouTuber(VTuber)事務所「にじさんじ」や「NIJISANJI EN」を運営するANYCOLORは、NIJISANJI ENに所属していたVTuberのZaion LanZa(ランザー 罪恩)さんの所属契約を解除したと発表した。(2023/3/13)
オーディオテクニカ、不正アクセス受け情報漏えいの可能性 会社は電話しかつながらない状況に
オーディオテクニカは7日、外部からランサムウェアによる不正アクセスを受け、社内の機密情報の一部が不正に閲覧された可能性があると発表した。(2023/3/7)
調達プロセスを改革、機密情報を含むデータをクラウドで分析可能に――NTTデータ
NTTデータが調達プロセスの改革を進める。調達に関わるさまざまな形式のデータを分析して適正価格の判断を即時に合理的に判断できる仕組みを整備した。(2023/2/3)
「Security Week 2022 秋」開催レポート:
USBメモリに機密情報を入れるのは“悪”なのか? 「使わざるを得ない」企業が採るべきセキュリティ対策
USBメモリ紛失による情報漏えいが相次いで報道され、データ管理の在り方を見直す機運が高まっている。取引先企業の都合などによってUSBメモリを使わざるを得ない企業はどのような対策を採るべきだろうか。(2022/10/19)
Innovative Tech:
メガネの反射からWeb会議中の画面を盗み見る攻撃 閲覧中のサイトを特定する精度は94%以上
米University of Michiganと中国のZhejiang Universityによる研究チームは、Web会議に参加するメガネをかけたユーザーのレンズの反射によって、画面上の機密情報を不注意に伝えてしまうことを明らかにした研究報告を発表した。(2022/9/22)
リケンがランサムウェア攻撃を受け、個人情報および顧客機密情報の一部流出
リケンが不正アクセスの被害に遭い、個人情報および顧客機密情報の一部の流出が確認された。現時点では製造に関して大きな影響は出ていないとされるが、復旧には時間がかかる。今後の見通しは。(2022/9/2)
悪用される「著名ブランド」 その傾向と対策【後編】
“安心のブランド”から不安を生み出す「ブランドフィッシング」驚愕の手口
攻撃者は著名ブランドを悪用し、巧みな手口で標的の機密情報を狙っている。著名なブランド名だから安心、の考えは危険だ。ブランドフィッシングの被害を避けるためにはどうすればいいのか。(2022/8/30)
CIO Dive:
「なりすまし」IT求職者に注意せよ ディープフェイクを駆使してWeb面接に臨む“不届き者”増加中
IT人材が不足する中、ディープフェイクを悪用して他人になりすます求職者が増えているとFBIは指摘する。「なりすまし」を入社させることで機密情報にアクセスされる危険性もある。あなたの会社に応募してきたのは、実在する人物だろうか。あまりにも理想的な候補者には注意が必要だ。(2022/7/20)
金融企業の事例で分かる
機密情報だらけのファイルサーバ、運用の負荷とコストを圧倒的に下げる方法
ある金融企業は、クラウドに移行できない「重要情報が格納されたファイルサーバ群」を効率よく集約し、運用負荷やコストを大幅に軽減した。その方法とは。(2022/7/13)
テレワークのセキュリティ実態調査で明らかに:
例外的な「USBメモリや会社支給PCを使った機密情報の持ち出し」を認める企業が2020年より増加 IPA
IPAは「2021年度企業・組織におけるテレワークのセキュリティ実態調査」の結果を発表した。順守状況の確認やルールの見直しなどで改善が見られたものの、「例外的なセキュリティの緩和」が継続していることが分かった。(2022/7/4)
Cloud Nativeチートシート(17):
コンテナ/Kubernetesの脆弱性、機密情報、設定間違いが分かるOSS「Trivy」徹底解説〜もうイメージスキャンだけとは言わせない
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ/Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する。(2022/6/24)
イオンの秘密情報を週刊誌に漏えい デロイトトーマツが謝罪 「社内ルールを逸脱した行為があった」
デロイトトーマツコンサルティングは、コンサルティング契約を結んでいたイオンの秘密情報を含む資料を週刊誌に漏えいしていたと謝罪した。週刊誌に内部資料が掲載され、調査したところ同社を起点に漏えいした事実を確認したという。(2022/6/17)
週刊ダイヤモンドにも掲載:
イオンの秘密情報をセブン&アイに「会議資料として提供」 デロイトトーマツコンサルティングが謝罪
デロイトトーマツコンサルティングは6月16日、同社とコンサルティング契約を締結していたイオンの秘密情報を、競合企業のセブン&アイ・ホールディングスに漏えいしたとして謝罪した。(2022/6/17)
新たなセキュリティコンセプト“SSPM”とは
SaaSアプリにも適用される「責任共有モデル」、機密情報の流出をどう防ぐ?
SaaSアプリケーションを安全かつ快適に利用するには、「責任共有モデル」を考慮し、社内のセキュリティ体制をアップデートすることが重要だ。サービスへの理解不足や設定不備による機密情報の流出を防ぐには、どんな仕組みが必要か。(2022/3/16)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。