TechTargetジャパン

今秋登場の「Windows 10 Fall Creators Update」
Windows 10次期大型アップデートで「SMBv1」無効化へ、セキュリティ強化
Microsoftは2017年秋予定の「Windows 10」次期大型アップデートで「SMBv1」をデフォルトで無効化する。同社はこの決定の理由が、最近拡大したランサムウェア「WannaCry」ではないとしている。(2017/6/28)

IT部門のChrome採用を後押しするか
「Edge」「IE」離れを本気で狙うGoogleの「Chrome Enterprise Bundle」とは?
Googleの「Chrome Enterprise Bundle」は、同社のWebブラウザ「Chrome」をIT部門が管理する助けになる。組織が「Microsoft Edge」「Internet Explorer」(IE)から離れる1つの理由になりそうだ。(2017/6/28)

最大のセキュリティリスクはやはり「人間」?
ロシアが米大統領選で地方職員にサイバー攻撃、“人の脆弱性”を悪用か
米大統領選中に発生した地方自治体職員へのサイバー攻撃は、新たな流出文書でロシアの関与が明らかになった。投票改ざんの有無は不明だが、攻撃者は地方特有の“隙”を狙ったのではないか、という見方がある。(2017/6/21)

過去のiOS 10.2で発生か
「Super Mario Run」配信通知で判明、iOS脆弱性はどのように見つかったか
Appleの通知機能と「iTunes」の脆弱(ぜいじゃく)性を悪用すると、アプリケーション側に有害なスクリプトを挿入する攻撃が可能になることが分かった。専門家のマイケル・コッブ氏がその仕組みを解説する。(2017/6/21)

「Adobe Acrobat」の「Chrome」用拡張機能の教訓から
ありがた迷惑なブラウザ拡張機能の“勝手インストール”、回避策は?
2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。(2017/6/15)

セキュリティ以外のリスク
オープンソースの多くで脆弱性を検出、さらに新たな問題が発覚
Black Duck Softwareがオープンソースのアプリケーションを分析した結果、その多くでセキュリティ上の欠陥を内包していることが明らかになった。しかし、判明したリスクはセキュリティ面だけではなかった。(2017/6/8)

「WannaCry」だけではなかった
7種のNSAサイバー兵器を悪用した新種のマルウェア「EternalRocks」、目的は?
世界規模に被害が拡大したランサムウェア「WannaCry」に続き、「EternalRocks」というマルウェアが新たに見つかった。これは米国家安全保障局(NSA)のサイバー兵器7種を利用しているが、その目的はまだ謎だ。(2017/6/7)

事例で分かる、中堅・中小企業のセキュリティ対策【第9回】
持ち帰り残業のせいで情報セキュリティ事故? 働き方改革に必須の情報漏えい対策
持ち帰り残業は、労務上もセキュリティ面でも大きな問題です。従業員が業務データを個人のオンラインストレージへ持ち出すといった問題を放任していると、情報漏えいのリスクにつながります。(2017/5/31)

セキュリティ上のリスクが増大
「Appleのホットパッチング禁止は間違っていない」と擁護できる理由
Appleは、モバイルアプリ開発者によるホットパッチングの利用を禁止した。この技術は、審査済みのアプリの挙動を変更できるからだ。(2017/6/2)

ビジネスを守るために何ができるか
「WannaCry」事件の“痛み”から考える、ランサムウェアへの予防策とは
「WannaCry」などのランサムウェア攻撃は食い止めることができる。そのためには、適切なデータ保護対策を講じておき、データを詳細に監視する必要がある。(2017/6/1)

“危ないIoTデバイス”一掃への第一歩?
NISTの「IoTセキュリティガイドライン」には何が書かれているのか
米国土安全保障省(DHS)と米国立標準技術研究所(NIST)がリリースしたIoTセキュリティのガイドラインは、企業がセキュアなIoT開発を進めるのに役立つ。(2017/5/30)

Webの生命線を守る、アカマイ×ラック協業の中身
脆弱性対策にDDoS攻撃、企業の「顔」であるWebサイトへの攻撃にどう対処するか
Webの仕組みに依存した企業の公式サイトやスマートフォンアプリは今や、ビジネスの生命線だ。脆弱性を突く不正アクセスやDDoS攻撃などの脅威から、Webをどう保護すべきか。(2017/5/30)

Apple対FBIの対立と似た構図
「WannaCry」を巡りMicrosoftがNSAを批判、混迷深めるIT企業と政府の関係
ランサムウェア「WannaCry」の感染が広がり続ける中でMicrosoftが、責任は米政府によるサイバー兵器の蓄積にあると批判した。だが責任の一端はMicrosoftにもあるという専門家もいる。(2017/5/25)

IoTを守る最も有力な技術となる可能性も
徹底ガイド:VPNの4世代で振り返るリモートアクセス技術の進化と将来への期待
インターネット接続の進化と利用場面の拡大によって、VPNに求める役割は単なる2地点間を結ぶ接続から、IoT主要インフラへのセキュリティ貢献に広がりつつある。(2017/5/25)

「旧OSからの移行に影響」との意見も
Windows XPにも「WannaCry」対策パッチ提供、Microsoftの英断は吉か凶か
ランサムウェア「WannaCry」とその亜種の被害が世界各地に広がっており、Microsoftはその対策として旧システム用の修正プログラム「MS17-010」を提供した。その決断の是非は?(2017/5/24)

「Android O」を待つ必要あり?
Google Playアプリのクリックジャッキング対策に不備か
GoogleはAndroidにクリックジャッキング攻撃への対策を講じた。だが悪意ある行為者にとっては抜け道が1つ残っており、この脆弱性が修正されるのは「Android O」以降だという。(2017/5/18)

SFTPとFTPSの長所と短所
ファイル転送サービスの使用で気を付けたいセキュリティポイント
無料のFTPツールは、企業のファイルをマネージドファイル転送サービスに送るのに役立つだろう。ただしセキュリティ要素については考慮が必要だ。セキュリティの専門家がそうした考慮すべき要素について解説する。(2017/5/14)

パッチ公開から7年
核施設攻撃マルウェア「Stuxnet」の脅威がいまだに消えない“深刻な理由”
セキュリティ研究者によれば、悪名高いワーム「Stuxnet」が悪用した脆弱性が、いまだに活発に利用されているという。それはなぜなのか。(2017/5/9)

攻撃の概要と対策をチェック
150万サイト以上に被害、“WordPress改ざん多発事件”とは何だったのか
2017年に明るみに出た「WordPress」の脆弱性は、世界中で数多くのWebサイトが改ざんされるという大きな被害をもたらした。なぜ被害が広がったのか。有効な対策はあるのか。(2017/5/8)

NEWS
情報セキュリティ予算は増加傾向だが6割は「年間予算無し」――IDC調査
IDC Japanは2017年度における国内企業の情報セキュリティ対策実態調査結果を発表した。情報セキュリティ投資は2016年度に続き2017年度も増加傾向だったが、6割の企業ではいまだに予算化されていないという。(2017/4/27)

「ハッカー視点のセキュリティレポート」の気になる中身【後編】
侵入者が最も嫌がる対策は「エンドポイントセキュリティ」、だけど投資は低調?
侵入者が最大の障害だと考えているセキュリティ対策と、侵入を防ぐためのセキュリティ投資先との間には大きな違いがあるようだ。侵入テスト実施者やハッカーを対象とした調査結果から実態を探る。(2017/4/26)

「ハッカー視点のセキュリティレポート」の気になる中身【前編】
ハッカーが評価する「脆弱性攻撃ツール」の種類とは? 独自調査で判明
侵入テスト実施者やハッカーを対象とした調査結果をまとめたセキュリティレポートが公開された。IT担当者やベンダーを対象とした一般的な調査からは見えにくかった“真実”とは。(2017/4/25)

SDNインフラ“四天王”の1つ
GoogleのSDN関連技術「Espresso」の実力とは?
Googleは、同社のソフトウェア定義ネットワークインフラをネットワークエッジに拡張する「Google Espresso」の導入メリットを紹介した。その導入によって、Google Cloud利用者がPaaSで実行するアプリケーションの性能は飛躍的に向上するという。(2017/4/20)

Android 4.3以前に影響
iPhoneのマルウェア「Pegasus」がAndroidにも感染、チャットや通話を盗聴か
iOSを狙った高度なマルウェア「Pegasus」の変種がAndroidデバイスで見つかった。Android版は新たな機能によって感染力を高めている。(2017/4/19)

アプリで電話番号URLをタップしただけでトラブルに?
Apple「WebKit」の脆弱性を悪用してスマホから勝手に電話、その手口は
Appleの「WebKit」フレームワークの脆弱(ぜいじゃく)性を悪用すると、被害者のスマートフォンアプリから電話を発信させることが可能になる。この攻撃の仕組みを、専門家が解説する。(2017/4/17)

特選プレミアムコンテンツガイド
匿名通信ツール「Tor」はほぼ確実に“身元バレ”する?
その匿名性から闇取引などの犯罪に利用されることもある「Tor」。実はそのユーザーの身元が特定できる可能性があることが明らかになったという。どういうことなのか。(2017/4/14)

企業の多様なニーズにどう対応する
重要性高まる「脅威インテリジェンスサービス」を比較、主要8社のサービスは?
主要な脅威インテリジェンスサービスを比較し、その違いを確認する。脅威インテリジェンスサービスは企業の多様なセキュリティニーズにどう対処するのだろうか。(2017/4/13)

AlgoSec製品導入事例
ファイアウォールルール管理の自動化で手作業を廃止したEuroclear
金融取引を扱うEuroclearは、迅速性と法規制対応を高めるためファイアウォール管理の自動化に着手。ファイアウォールルールを管理していたExcelの廃止とリスク低減を実現した。(2017/4/13)

巨人を脅かすか
SnapRoute、NGINXなどの注目オープンソースネットワークソフトを紹介
ネットワーク分野におけるオープンソースの受け入れと展開の機は熟していると関係者は語る。SnapRoute、NGINXなど注目のオープンソースソフトウェアを紹介する。(2017/4/10)

攻撃を検知するには
「Instagram」がマルウェアに悪用される? 画像ステガノグラフィーを使った手口とは
「Instagram」がマルウェアによってC&C(指令制御)インフラになる恐れがある。その仕組みを解説しよう。(2017/4/6)

メモリ内容が書き換わるハードウェア脆弱性を悪用
Androidスマホのroot権限を不正取得する「Drammer」攻撃の脅威
クライアントPCで見つかっていたハードウェア脆弱(ぜいじゃく)性「Rowhammer」を悪用する攻撃が、ARMベースの携帯端末に対しても有効であることが分かった。どのような危険性があるのだろうか。(2017/3/30)

何度でもよみがえるウイルス対策業界
「ウイルス対策ソフトがない世界」は本当にやってくるのか?
シグネチャベースの従来型マルウェア対策製品の限界が指摘される中、マルウェア対策業界はどう動くのか。専門家に今後の見通しを聞いた。(2017/3/24)

WikiLeaksいわく「史上最大の流出極秘文書」
「iPhone」の会話を暗号化前に盗聴? 流出資料で分かったCIAの“えげつない手口”
WikiLeaksは、米中央情報局(CIA)からの新たな流出資料を公開した。「Vault 7」というコードネームで呼ばれるこの資料は、「iOS」「Android」の攻撃ツールを含む。(2017/3/15)

事例で分かる、中堅・中小企業のセキュリティ対策【第7回】
攻撃者にとっての「ランサムウェア」は“ゴールドラッシュ”、必須の対策は?
身代金要求型不正プログラム(ランサムウェア)が依然として猛威を振るっており、対策は待ったなしの状況です。現状の被害傾向を踏まえ、最低限対策すべきことを紹介します。(2017/3/6)

特選プレミアムコンテンツガイド
セキュリティ専門家が震え上がったIoTマルウェア「Mirai」の正体
モノのインターネット(IoT)の取り組みが加速する中、攻撃者はIoTを新たな攻撃の舞台だと捉え、活動を活発化させている。新たな脅威の実態と対策を探る。(2017/3/10)

検出を困難にする工夫も
Skype会話もWebカメラ映像も盗聴可能? 極悪キーロガー「iSpy」の怖さ
現在の商用キーロガーでできることはキーストロークの記録だけではない。キーロガー「iSpy」の最新版では、「Skype」のチャット内容やWebカメラの監視など多彩な機能を備える。(2017/3/9)

悪質コードのばらまきに悪用される恐れも
「Internet Explorer」の“非常に危険な”脆弱性をGoogleが発見、「Edge」にも影響か
「Microsoft Edge」と「Internet Explorer」に新たな脆弱(ぜいじゃく)性が見つかった。Googleのセキュリティ調査チームが発見した、この脆弱性が及ぼす影響とは。(2017/3/8)

医療機関がサイバー犯罪者に狙われる
2017年も被害は続く? 病院を狙うランサムウェア攻撃を防ぐ5つのヒント
2016年に最もサイバー攻撃の標的になったのは医療機関だという調査結果がある。2017年もその状況は続くだろう。だがIT担当者が適切な対策を続けることで、攻撃を防ぐことは可能だ。5つのコツを紹介する。(2017/3/6)

「iOS 10.1」と「iOS 10.2」では修正済み
一体なぜ? 数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
2016年、「iOS 10」のパスワード照合システムに不備があり、ハッカーがローカルバックアップを容易に解読できてしまうという問題が発覚した。どうすればこの問題は防げたのだろうか。(2017/2/23)

次期アップデートでWeb攻撃対策を強化
「Microsoft Edge」が“究極の安全ブラウザ”に一歩近づくセキュリティ新機能とは?
Microsoftは「Microsoft Edge」の次期アップデートで、クロスサイトスクリプティングやコンテンツインジェクションといったWebベースの攻撃への対策を強化する。(2017/2/22)

システムが見落とした脅威を発見する
セキュリティ部門の新たな注目ポジション「脅威ハンター」という仕事
企業のセキュリティ対策は多くの場合、最新技術の調整に尽きる。だが脅威ハンターの役割を担う人材が貴重な防衛線になるかもしれないと見る専門家もいる。(2017/2/15)

告知が遅すぎた?
iOSとmacOSの“PPTP突然打ち切り”に振り回されるAppleユーザーたち
危ないといわれつつも普及していた主要VPNプロトコルのサポートが突然打ち切りに。急きょ“代役”を探せと言われてもすぐに見つかるものではない。(2017/2/9)

「大統領でなければクビ」との声も
トランプ大統領は5年前の「Android」スマホをまだ愛用か セキュリティ専門家が懸念
ドナルド・トランプ米大統領は、一部の用途で自身の私物スマートフォンを使い続けているとみられる。既にアップデートが終了している機種の可能性があり、セキュリティ面の問題を指摘する声がある。(2017/2/8)

提供:東日本電信電話株式会社
傷だらけの「Flash」――見直されるジョブズ氏の決断
以前から指摘されてきた「Flash」の危険性。事実上の後継技術と目される「HTML5」が普及の勢いを強め始める中、Flashはこのまま消えゆく運命なのだろうか。(2017/2/8)

攻撃耐性は高いが……
「Windows 10」を過信する人々が見過ごす5つのセキュリティリスク
ユーザーが呼び込むリスクやデスクトップセキュリティの甘い基準など、Windows 10に存在する最大のセキュリティ問題を管理者は忘れがちだ。(2017/2/3)

開発者必須のツールとなるか
Googleがファジングを自動実行する脆弱性検知ツール「OSS-Fuzz」を公開
Googleがファジングテストを行うツールを発表。GitHubでβ版が公開されている。ファジングテストとは何か。OSS-Fuzzを利用することで何が得られるのか。(2017/2/3)

「Windows 7」の延長サポート終了が迫る
「Windows 10」が救世主に? ゼロデイ攻撃に対応するセキュリティ機能とは
「Windows 10」のセキュリティ機能はパッチ未適用のゼロデイ脆弱(ぜいじゃく)性にも対処するとMicrosoftは宣伝する。一方で「Windows 7」のセキュリティ問題については警鐘を鳴らしている。(2017/2/1)

IoTセキュリティが国家安全保障の議題になる
「Mirai」より凶悪な攻撃が起きる――IoTセキュリティが2017年に進むべき方向は
2016年は、マルウェア「Mirai」によりIoTセキュリティが悲惨な状態にあることが分かった。今後、IoTを使った攻撃が増える見通しだが、セキュリティ対策はどのようにすればいいのだろうか。(2017/1/20)

コンプライアンス基準への理解度が顕著な低さ
社長がセキュリティリスク? 調査で見えた“経営層の脆弱性”
経営幹部の間で、ガバナンス、リスク、コンプライアンス、さらに企業に影響するセキュリティのコンプライアンス要件に対する考えが曖昧であると、最新の調査で明らかになった。(2017/1/20)

IT管理者との役割分担が必要
Windowsなどのパッチ適用にどう対処するか セキュリティ責任者のためのToDoリスト
セキュリティパッチの適用において、セキュリティ情報責任者(CISO)が果たすべき役割は何だろうか。本稿では、セキュリティ情報の専門家がパッチ管理の責任を分担するのに効果的な方法を紹介する。(2017/1/16)

Loading