TechTargetジャパン

「Mobile Pwn2Own 2017」レポート
「iPhone」を無線LANにつなぐだけでデータ流出の恐れ――脆弱性発見コンテストで判明
脆弱性発見コンテストの「Mobile Pwn2Own 2017」では、セキュリティ研究者がコードの実行と賞金の獲得を目指して腕を競った。中でも注目すべきは、「iOS 11」の脆弱性を突いたハッキングが成功したことだ。(2017/11/17)

2017年5月に発覚し、修正済み
Windows標準のマルウェア対策エンジンに「最悪」の脆弱性、どうしてこうなった?
Microsoftのウイルス対策ツール「Windows Defender」には、リモートでコードが実行できる脆弱(ぜいじゃく)性が含まれていた。Microsoftが2017年5月8日に緊急対応を実施した、この脆弱性の背景とは。(2017/11/7)

Androidでは深刻な影響
「無線LANはもう安全に使えない」は誤解? WPA2脆弱性「KRACK」を正しく恐れる
無線LANのセキュリティプロトコルに見つかった脆弱性「KRACK」は、潜在的な影響の広さから動揺が広がった。だが専門家によれば、KRACKを巡る初期の報道は「リスクを誇張している」という。(2017/10/26)

その署名、本当に本人ですか
レジストリを2つ編集するだけでWindowsデジタル署名が無意味になる
セキュリティの基本は正しいものを通し悪いものを遮断することだ。「正しさ」はデジタル署名などで証明する。しかしWindows10でとある操作をすることでデジタル署名が無意味になるという。その真相を探る。(2017/10/25)

帯域を節約しつつOSを最新に
Windows 10ユーザーの悩み「更新プログラムが重い」を何とかしたい
Windows 10の更新プログラムは帯域を独り占めしがちだ。この問題を緩和するには従量制課金接続やピアツーピア共有を利用するように設定するとよい。帯域を節約しつつ、OSを最新に保つことができる。(2017/9/14)

「SMBv2」「SMBv3」の無効化は得策ではない
「Windows 10 Fall Creators Update」リリース日までにやっておきたいSMBプロトコル脆弱性対策
「Windows 10」の次期大型アップデート「Fall Creators Update」では、「EternalBlue」というエクスプロイト(脆弱性攻撃プログラム)の悪用を可能にしていた弱点が修正される。アップデート適用日までにできる対策とは。(2017/8/31)

事例で分かる、中堅・中小企業のセキュリティ対策【第11回】
一人情シスが“Windows Update放置PC”を守るための武器とは?
ウイルス対策ソフトでは防ぎきれないサイバー攻撃の1つが、「Java」や「Adobe Flash Player」などの脆弱性を突いた攻撃です。対策は最新版にアップデートして脆弱性をつぶすこと。一人情シスでもできる対策とは?(2017/8/22)

各ツールの特徴、サポート対象、ライセンスを整理
「パッチ管理」ツールの主要8製品を一挙紹介、買って満足できるのはどれ?
パッチ管理市場には多様なベンダーが参入し、適切なツールを選ぶのは簡単ではない。自社に最適なパッチ管理ツールを選択する上で、参考になる情報をまとめた。(2017/8/22)

製品徹底レビュー
「McAfee Total Protection for Data Loss Prevention」を専門家が検証
ITセキュリティ専門家が、物理アプライアンスと仮想アプライアンスに配備可能なDLP製品スイート「McAfee Total Protection for Data Loss Prevention」を詳しく検証する(2017/8/4)

「Petya」亜種の被害を防ぐには
“WannaCryショック”の再来か? MBRを暗号化する新ランサムウェアが猛威
「WannaCry」と同じ脆弱性を悪用する、新しいランサムウェアを使った攻撃が急速に広がっている。感染拡大を図る巧妙な仕組みを備えるが、被害を防ぐ方法は幾つかある。(2017/7/12)

“危ないIoTデバイス”一掃への第一歩?
NISTの「IoTセキュリティガイドライン」には何が書かれているのか
米国土安全保障省(DHS)と米国立標準技術研究所(NIST)がリリースしたIoTセキュリティのガイドラインは、企業がセキュアなIoT開発を進めるのに役立つ。(2017/5/30)

Webの生命線を守る、アカマイ×ラック協業の中身
「脆弱性対策」と「DDoS攻撃対策」を丸ごとお任せできる簡単な手段とは?
Webサイトは今や、企業の顔だけでなくビジネスの生命線だ。脆弱性を突く不正アクセスやDDoS攻撃など多様な脅威にさらされているWebサイトをどう保護すればよいのか。(2017/5/30)

パッチ公開から7年
核施設攻撃マルウェア「Stuxnet」の脅威がいまだに消えない“深刻な理由”
セキュリティ研究者によれば、悪名高いワーム「Stuxnet」が悪用した脆弱性が、いまだに活発に利用されているという。それはなぜなのか。(2017/5/9)

アプリで電話番号URLをタップしただけでトラブルに?
Apple「WebKit」の脆弱性を悪用してスマホから勝手に電話、その手口は
Appleの「WebKit」フレームワークの脆弱(ぜいじゃく)性を悪用すると、被害者のスマートフォンアプリから電話を発信させることが可能になる。この攻撃の仕組みを、専門家が解説する。(2017/4/17)

特選プレミアムコンテンツガイド
セキュリティ専門家が震え上がったIoTマルウェア「Mirai」の正体
モノのインターネット(IoT)の取り組みが加速する中、攻撃者はIoTを新たな攻撃の舞台だと捉え、活動を活発化させている。新たな脅威の実態と対策を探る。(2017/3/10)

事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は?
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS(コンテンツマネジメントシステム)の意外な落とし穴と、お勧めの対策を解説する。(2016/12/26)

メリットだけでなくデメリットもしっかり確認
“IoT元年”に浮上したセキュリティリスク――知っておくべき3つの対策
IoTが広がり、日常生活だけでなく、ビジネスでも大きな影響を与えている。一方で、インターネットにデバイスを接続するリスクを認識しないと、取り返しがつかないことになるかもしれない。(2016/12/19)

Mozillaのセキュリティ責任者が指摘
匿名ブラウザ「Tor Browser」で“身バレ”攻撃が発生、FBIが関与か
閲覧者のIPアドレスを隠匿する「Tor Browser」を狙った攻撃が明るみに出た。過去の捜査活動で取った手法との類似性から、FBIがこの攻撃に関与していたとの見方がある。(2016/12/14)

主要なセキュリティニュースをピックアップ
“アンナ先輩”の「Mirai」がより凶悪に? DDoS攻撃を約50倍に増幅する手口が判明
一国のインターネットをダウンさせるなど、引き続き猛威を振るうマルウェア「Mirai」。その攻撃を増幅する攻撃手法が判明し、警戒は怠れない状況だ。他のセキュリティ関連ニュースと合わせて最新動向を解説する。(2016/11/16)

ペイメントカードを狙ったサイバー犯罪への処方せん【後編】
「オンライン詐欺検出システム」を購入する企業がベンダーに質問すべき3つのこと
「オンライン詐欺検出システム」は、検出方法とその対象範囲が各ツールの差別化要因となっている。自社に最適な製品を選ぶには、詐欺検出ツールの主要機能を評価することが重要だ。(2016/11/2)

ペイメントカードを狙ったサイバー犯罪への処方せん【前編】
電子商取引の犯罪被害を減らす、「オンライン詐欺検出システム」の仕組み
電子商取引が増えるとともに、サイバー犯罪の件数も増加の一途をたどっている。企業は「オンライン詐欺検出システム」を導入することで、犯罪の検出と阻止に取り組んでいる。(2016/11/1)

MicrosoftができてAppleができていないこと
Appleの「Windows版QuickTime電撃終了」騒動はなぜ起きたのか?
Windows版QuickTimeに2件の欠陥が見つかり、Appleによるサポートが突然終了した。この唐突な動きの背景を解説する。(2016/9/6)

身代金要求型マルウェアの脅威
危険な進化を遂げた「ランサムウェア」、ユーザーを守る“5つのキホン”とは
ネットワークセキュリティの強化が、ランサムウェア(身代金要求型マルウェア)の感染を防ぐ鍵になりそうだ。企業がネットワークを改善し、この脅威を阻止する5つの方法を解説する。(2016/6/23)

基幹系システムを後回しにしていませんか?
「3つの落とし穴」から見直す脆弱性対策のポイント、何を優先したらいい?
情報セキュリティにおける脅威の筆頭格が、脆弱(ぜいじゃく)性を狙ったサイバー攻撃だ。脆弱性対策の範囲やスケジュールの管理は意外と難しい。効率よく継続して対策できるためのコツはないだろうか。(2016/4/25)

Webサイトの脆弱性や攻撃手法を整理
「個人情報ダダ漏れサイト」はなぜ生まれるのか――徳丸 浩氏が解説
相次いで明るみに出るWebサイト攻撃の被害。そもそも、なぜWebサイトは攻撃されるのか。Webサイトのセキュリティ対策の第一人者である徳丸 浩氏の話を基に、攻撃の実態を明らかにする。(2016/4/6)

「機械学習」「ビッグデータ」が変えるセキュリティ対策【第1回】
「ビッグデータ」を制する者がセキュリティを制する時代へ
多様化し複雑化する脅威を前に、企業が取るべきセキュリティ対策にも変化が求められつつある。その重要な鍵となるのが「ビッグデータ」の活用だ。(2016/2/23)

対策ツールも紹介
「デスクトップLinux安全神話」の穴を突く7つのセキュリティホール
Linuxのセキュリティ脆弱性は、Windowsでよく見られる一般的な問題とほぼ同じだ。だが、「Linuxだから大丈夫」と油断していないだろうか。社内ネットワークにLinuxシステムが1つでもあったら、本稿を読んで対策してほしい。(2015/11/17)

SHA-2への移行も急務だが……
いまさら聞けない次世代の暗号化技術「SHA-3」の基礎と、移行のリミット
SSL暗号化通信のハッシュアルゴリズムは2016年1月までに「SHA-2」へ移行することが要望されている。そのさなか、2015年8月に新たな暗号化技術「SHA-3」が公表された。SHA-1/SHA-2との違い、企業が取るべき準備について紹介したい。(2015/11/13)

ワクワクさん! 出番です!
“重要なHDDを発送する日”は突然訪れる、データを守る梱包方法とは
オンラインストレージとネットワークが発達しても、データをHDDに保存して物理的に輸送する必要性は依然として残っている。しかし、物流経路において“天敵”は多い。HDDを守る“自分でできる”梱包方法はあるのか。(2015/11/5)

Webセキュリティには必須でもまだ「高根の花」
中小企業にも手軽に導入できるWAFはないだろうか?
Webサイトがビジネスに欠かせない存在になる一方、そこがセキュリティの「穴」として狙われることが多くなった。セキュリティ保護のためにはWAF導入が望まれるが、コスト的に手が出ない。どうすればいいのか。(2015/9/10)

2014年は150万ドル支払い、高額賞金の理由とは
「Android」のセキュリティバグ発見でGoogleが太っ腹な賞金、最高金額は?
米Googleが新制度「Android Security Rewards」を立ち上げる。これは従来のバグ発見報奨制度を拡張し、セキュリティ関連の開発協力に対しても賞金を提供するというものだ。(2015/7/2)

再考「標的型攻撃対策」
日本年金機構の事件でも悪用か マルウェア「Emdivi」の恐ろしさ
日本年金機構や早稲田大学などで相次いで明るみに出た標的型攻撃。一連の攻撃で利用されたとみられるマルウェア「Emdivi」とは何か。その攻撃手法と対策を整理する。(2015/7/1)

「Windows 10」のアップデートでも関心
Lenovo製品だけじゃない、「アップデートだと思ったら脆弱性」問題が収まらない訳
中国Lenovoの自動アップデートシステムに脆弱性の存在が発覚したことは、アップデートに潜むリスクの深刻さをあらためて浮き彫りにした。“危険なアップデート”はなぜ無くならないのか。(2015/6/4)

Japan IT Week春 2015リポート
「Microsoft Office」よりも「一太郎」が狙われる? 標的型攻撃の国内動向
国内において、標的型攻撃を取り巻く現状はどうなっているのか。総合ITイベント「Japan IT Week春 2015」での標的型攻撃に関する講演を基に解説する。(2015/5/21)

パッチ未適用率が約8割のバージョンも
Javaは“最も危険なソフトウェア”? セキュリティベンダーが指摘する理由とは
「Java」の安全性を取り巻く状況は、いまだ好転していない――。米セキュリティ企業が発行したソフトウェアの脆弱性に関する調査リポートから、そんな現状が見えてきた。(2015/5/8)

モバイル管理アプリベンダーCTOが語る
企業がウェアラブルデバイスを安心して使える日はいつ来る?
ウェアラブル端末やIoT(モノのインターネット)など、ネットワークにアクセスする新しいモバイル技術が次々と出現する中、企業はどのように対処すべきだろうか。EMMベンダーの幹部に市場のこれからを聞いた。(2015/4/27)

脆弱性対策と信頼性確保が不可欠
Webサイトの8割が欠陥を放置、顧客を守る「2つのポイント」とは?
Webサイトを狙った攻撃が相次いで明るみに出る中、企業は顧客をどう守り抜くべきか。対処のポイントは大きく2つある。具体的に解説しよう。(2015/4/24)

脆弱性対策の“真打”登場?
システムにログインして脆弱性を探し出す「認証済みスキャン」とは
システムに潜む脆弱性を詳細に把握する有力な方法が、システムへのログインを伴う脆弱性検査スキャンの実施だ。その効果を最大限に発揮するための5つのステップを解説する。(2014/11/25)

ブレーキ、ハンドル、エンジンを操作可能
最もハッキングしやすいクルマとは? IoTに影を落とすセキュリティ問題の重大さ
2014年8月に開催されたセキュリティカンファレンス「Black Hat USA 2014」では、IoTデバイスのセキュリティが近い将来、重要な問題になる可能性が示された。(2014/11/5)

週間記事ランキング
「Windows 10はタブレットに冷たい?」を画像で検証した
「Windows 8.1」搭載タブレットのユーザーにとって、「Windows 10」に関する悪い知らせがあるそうです。直近1週間の人気コンテンツをランキング形式で紹介します。(2014/10/24)

2014年度上半期 サイバーセキュリティ脅威の総まとめ
IT担当者の背筋を凍らせた「あの出来事」を振り返る
サイバー攻撃の脅威は以前にも増して深刻化し、被害も甚大になっている。脅威に備えるにはまず実態を知ることが第一歩。2014年度上半期に起こったセキュリティ関連のトピックを振り返りつつ、防御策を考える。(2014/9/30)

実トラフィックが語る「セキュリティ脅威の真実」【第2回】
会社で見つかるマルウェアは年間2000種以上――実トラフィックで明らかに
どのようなマルウェアが国内企業を襲っているのか。脆弱性を悪用した攻撃のうち、主要なものは何か。実トラフィックを基にこうした疑問を明らかにしつつ、有効な対策を示す。(2014/9/16)

“アンチウイルス依存”では危険
ネットバンキングの不正送金が急増 被害を防ぐ具体策とは?
中小企業の間で、インターネットバンキングの不正送金被害が広がっている。セキュリティ大手も対策支援に本腰を入れ始めた。実害を防ぐ有効な対策とは何か。その具体像を探る。(2014/9/3)

OpenSSLへの寄付は年間わずか20万円
「OpenSSL」は見殺しにされた? Heartbleed事件を招いた“真の戦犯”
OpenSSLの脆弱性「Heartbleed」の影響が広がったのはなぜか。その背景をひも解くと、OSSの開発やサポートには、人的・資金的なリソースが圧倒的に不足している現状が垣間見える。(2014/8/26)

「最新バージョンのOSが最も安全」は本当?
Windows 8.1自慢のセキュリティにありがちな「4つの誤解」
Windows 8.1に移行したとしても、組織内にある全ての脆弱性を修正することはできない。このことは、経営陣や幹部にきちんと伝え納得させる必要がある。(2014/8/6)

セキュリティの脅威に備えよ
ワケあって脱Windows XPできないユーザーが最低でもすべきこと
Microsoftの公式サポートが終了したWindows XP。入れ替えが進まないユーザーも少なくないが、延長サポートを選択するにしても、幾つかの課題があることは知っておいた方がいいだろう。(2014/6/25)

オンプレミスと同じセキュリティ戦略をクラウドにも
巧妙なサイバー攻撃急増でもクラウドの利用を思いとどまってはいけない
最新の調査報告によると、企業でアプリケーションなどの資産をクラウドに移す動きが進む中、サイバー犯罪者は対オンプレミス環境と同じ手法を用いて、クラウド環境にも攻撃を仕掛けるようになってきているという。(2014/6/20)

OpenSSLの脆弱性も素早く検知したシステムを紹介
脆弱性対策が進まない企業によくある2つの特徴
相次ぐ標的型攻撃に企業はどう備えるべきか。セキュリティ侵害に遭う企業に共通する2つの原因について、エキスパートが米国の最新事情を交えながら解説する。(2014/5/7)

週間記事ランキング
使いづらさの原因は「Windows 8.1」ではなく、その設定
無料で簡単にでき、「Windows 8.1」の生産性を確実に上げる設定方法とは? 直近1週間の人気コンテンツをランキング形式で紹介します。(2014/3/20)

ソチ入りしたNBC記者がハッキングされた本当の理由
「ロシアはハッカー大国」、米報道のやらせ疑惑を検証する
「ソチ五輪を訪れる人は、直ちにハッキングされる」。米NBC Newsが報じたリポートは行き過ぎたネガティブキャンペーンと批判されて当然だが、海外渡航予定者のセキュリティリスクの注意喚起には効果があったという。(2014/3/12)