過去記事一覧 (2022 年)

12 月

/tt/news/2212/30/news02.jpg
「セキュリティ女子」育成に注力する英国【後編】

女子中学生対象の“セキュ女”育成イベント「EmPowerCyber 2022」の意義とは?

英国の団体CyNamが開催した「EmPowerCyber 2022」。セキュリティ業界の魅力を女子学習者にアピールしたEmPowerCyber 2022に、教育機関やセキュリティ業界はどのような価値を見いだすのか。

/tt/news/2212/29/news04.jpg
セキュリティニュースフラッシュ

9割が勘違いしていた「クラウドセキュリティ」基本中の基本とは?

クラウドセキュリティに関する企業の認識についての調査レポートや、セキュリティ人材採用についての海外との比較調査など、セキュリティの主要なニュースを紹介する。

/tt/news/2212/28/news10.jpg
ウクライナ政府の「対ロシア」セキュリティ対策【前編】

ウクライナ政府組織幹部が語る「ロシアのサイバー攻撃が無秩序になった理由」

ウクライナ侵攻とともに、同国のインフラを狙ったロシアのサイバー攻撃も活発化した。ウクライナ政府のサイバーセキュリティ責任者は、状況をどう見ているのか。

/tt/news/2212/28/news06.jpg
またか「Appleが脆弱性修正」【後編】

iOS 16公開を急いだか? 専門家が見る「Apple脆弱性“多発”のなぜ」

「iOS 16」の重大な脆弱性「CVE-2022-42827」のパッチを公開したApple。CVE-2022-42827の他にも、Apple製品のさまざまな脆弱性が明らかになっている。背景には何があるのか。

/tt/news/2212/28/news07.jpg
「ハイパーオートメーション」超入門【中編】

SOARが鍵? セキュリティ分野の「ハイパーオートメーション」はこうなる

企業は人工知能(AI)技術を使った「ハイパーオートメーション」により、セキュリティの強化を図ることができる。その際のポイントとは何か。

/tt/news/2212/28/news11.jpg
フィッシング攻撃を受けたDropbox【前編】

Dropboxのソースコードを「GitHub」で流出させたフィッシング攻撃の手口

オンラインストレージサービスを手掛けるDropboxはフィッシング攻撃を受け、GitHubで管理するソースコードに不正アクセスがあったと発表した。攻撃の手口や影響は。

/tt/news/2212/28/news08.jpg
従業員の「メッセージングアプリ」使用に注意【後編】

従業員の「勝手なメッセージングアプリ利用」がもたらす“由々しき”事態とは

従業員による「メッセージングアプリ」の業務利用が問題となっている。米国では罰金支払いに発展した。どのようなリスクが潜んでいるのか。

/tt/news/2212/26/news13.jpg
VPNと代替技術の行方【第1回】

VPNが“枯れ果てる日”は来るのか 生き残る確率は?

VPNは枯れた技術でありながら、テレワークが広がる中でリモートアクセスの手段として活躍した。代替技術が台頭しつつある中で、VPNが使われなくなるという話は本当なのか。

/tt/news/2212/26/news04.jpg
継続的データ保護「CDP」の基礎知識【中編】

ランサムウェア対策になぜ「継続的データ保護」(CDP)が有効なのか?

バックアップの新しい手法、「継続的データ保護」(CDP)は企業にさまざまなメリットをもたらす。どのようなものなのか。ランサムウェア対策としてのCDP活用法を紹介する。

/tt/news/2212/23/news10.jpg
「セキュリティ女子」育成に注力する英国【前編】

女子中学生に「セキュリティ」の魅力を伝授 “セキュ女”育成イベントの中身は

非営利団体CyNamは、セキュリティ業界を目指す女子生徒を増やすためにキャリア形成支援イベントを開催している。どのようなイベントなのか。

/tt/news/2212/23/news09.jpg
CISAが警告「医療機関を狙うランサムウェアに注意」【前編】

医療機関を狙うランサムウェア「Daixin Team」 その“えげつない手口”とは

「Daixin Team」は、主に医療機関を狙うランサムウェアだ。米国政府が注意喚起するDaixin Team。その攻撃の手口はどのようなものなのか。

/tt/news/2212/23/news08.jpg
従業員の「メッセージングアプリ」使用に注意【前編】

WhatsAppなどの「メッセージングアプリ」を使った銀行に罰金 何が問題なのか?

米国の大手銀行が、銀行員のメッセージングアプリケーション利用を巡る問題で、規制当局から罰金支払いを命じられた。何が問題となったのか。

/tt/news/2212/23/news06.jpg
「Azure Blob Storage」に公開設定ミス【後編】

「Azure Blob Storage」のデータ流出問題が“大げさではない”理由

「Azure Blob Storage」にデータ流出の可能性があることが発覚した。Microsoftは、SOCRadarがミスを指摘したことについて「問題を誇張している」と非難。一方セキュリティ関係者は、問題の深刻さを指摘する。

/tt/news/2212/22/news11.jpg
「ハイパーオートメーション」超入門【前編】

ハイパーオートメーションとは? AIの力で“完全自動化”を目指す

業務の自動化の究極形として、人工知能(AI)技術を駆使した「ハイパーオートメーション」がある。どのようなもので、何ができるのか。ハイパーオートメーションの可能性を探る。

/tt/news/2212/22/news02.jpg
CISA「中国サイバー犯罪に要注意」【後編】

脆弱性を悪用した攻撃への対処が「簡単なようで難しい」なるほどの理由

中国政府支援の攻撃活動が活発な中、企業はセキュリティ対策を講じることが急務だ。どのような対策が有効なのか。実現のヒントも含め、説明する。

/tt/news/2212/22/news01.jpg
いまさら聞けない「データ保護」の基礎【後編】

「使用中」「移動中」の機密データを保護する“3つの戦略”と有力技術

「データ保護」は、保管中の動いていないデータだけではなく、使用中や移動中のデータも考慮する必要がある。どのような技術が役に立つのか。

/tt/news/2212/21/news10.jpg
またか「Appleが脆弱性修正」【前編】

iOS 16に見つかった“危ない脆弱性” 影響を受けるAppleデバイスはこれだ

Appleは「iOS 16」の重大な脆弱性「CVE-2022-42827」のパッチを公開した。悪用の実績があるという、CVE-2022-42827の影響を受けるAppleデバイスとは何か。

/tt/news/2212/21/news05.jpg
ロケーション追跡の慣習は変わるか【中編】

プライバシー侵害“確信犯”を撲滅へ 「Google位置情報収集」問題で進む法整備

ロケーション追跡を巡る訴訟をきっかけに、米国でプライバシー保護に関する議論が進んでいる。エンドユーザーのロケーションを追跡している企業にとって、どのような影響があるのか。

/tt/news/2212/20/news12.jpg
継続的データ保護「CDP」の基礎知識【前編】

ランサムウェア対策にも使える「CDP」とは? バックアップを“楽勝”に

ランサムウェア攻撃が後を絶たない中、企業にとって定期的なバックアップ実施の重要性が高まっている。“気軽にできる”バックアップの手法として「継続的データ保護」(CDP)がある。何なのか。

/tt/news/2212/19/news05.jpg
Intel「ディープフェイク」対抗策の真価【後編】

Intel「FakeCatcher」は本当にディープフェイクを撲滅する? Gartnerの見解は

AI技術で生まれた偽の動画「ディープフェイク」をAI技術で特定するのが、Intelの「FakeCatcher」だ。専門家の中には、その実力を疑問視している人がいる。何が課題なのか。Gartnerのアナリストに聞く。

/tt/news/2212/16/news04.jpg
「Magecart」がECサイトを狙う

クレカ情報漏えいを招く脆弱性が潜んでいた“あのECサイト構築ツール”とは?

サイバー犯罪集団「Magecart」は、あるECサイト構築ツールの脆弱性を積極的に悪用している。ECサイトからのクレジットカード情報につながる恐れがあるという、その脆弱性とは何なのか。

/tt/news/2212/16/news06.jpg
「Azure Blob Storage」に公開設定ミス【前編】

「Azure Blob Storage」のデータ流出にMicrosoftが反論、その真相は?

セキュリティ企業SOCRadarは、ブログ記事で「Azure Blob Storage」のデータ流出について指摘した。これに対しMicrosoftは、「問題の範囲を誇張している」と批判する。その真相は。

/tt/news/2211/02/news08.jpg
OSSとの「上手な付き合い方」【第3回】

「入れた覚えのないOSS」問題が招く“あのリスク”の怖さと「棚卸し」の大切さ

利用しているOSSの実態を適切に把握することは、なぜ重要なのか。“知らないうちに使っていたOSS”によるトラブルを招かないための、適切な「棚卸し」の方法を探る。

/tt/news/2212/15/news05.jpg
いまさら聞けない「データ保護」の基礎【中編】

サイバー攻撃から「保管中の機密データ」を守るための“5つの戦略”

サイバー脅威が激化する中、企業のデータを保護するためには「守るべきデータ」を把握し、「データ保護の手段」について明確な戦略を立てる必要がある。保管中のデータを保護する5つのポイントは。

/tt/news/2212/14/news09.jpg
ロケーション追跡の慣習は変わるか【前編】

Androidユーザーの居場所が丸見え Google「位置情報追跡」は何が問題だった?

エンドユーザーのロケーション追跡をめぐって米国40州が起こしていた訴訟は、Googleが約4億ドルの和解金を支払うことで決着した。そもそも何が問題だったのか。今回の和解が及ぼす影響とは。

/tt/news/2212/13/news06.jpg
CISA「中国サイバー犯罪に要注意」【前編】

“中国政府が支援するサイバー犯罪者”が特に狙う「あの脆弱性」とは

米国政府は、中国政府が支援するとみられる攻撃活動が盛んなことを受けて、注意喚起している。こうした攻撃によく悪用される脆弱性は、どのようなものなのか。

/tt/news/2212/12/news10.jpg
NEWS

竹中工務店が築23年の自社ビルを「スマートビル」として再生

竹中工務店グループが築23年の「竹中セントラルビル サウス」を改修、スマートビルとして開業した。このスマートビルを実現した「Smart Secure Service」と、「ビルコミ」のデータ処理基盤とは。

/tt/news/2212/12/news11.jpg
Intel「ディープフェイク」対抗策の真価【前編】

捏造動画「ディープフェイク」を顔の“あれ”で見破るIntel「FakeCatcher」とは

AI技術で生まれた偽の動画「ディープフェイク」を、AI技術で見破る――。それを実現するツールがIntelの「FakeCatcher」だ。どのような仕組みなのか。

/tt/news/2212/12/news07.jpg
NortonLifeLock×Avastの「今」【後編】

セキュリティの巨人NortonとAvastの“大合併”はなぜ実現したのか

NortonLifeLockとAvast Softwareの合併で生まれたGen Digital。その合併は決してスムーズではなかった。そもそも合併の背景には、何があったのか。合併までに両社が直面した、ある「ハードル」とは。

/tt/news/2212/09/news14.jpg
NEWS

大塚商会、安全なテレワークを支援する「i-FILTER@Cloud運用支援サービス」を提供開始

テレワークの普及に伴い重要性が増すセキュリティ対策。大塚商会がデジタルアーツの「ホワイト運用」とタッグを組み、安全なインターネットアクセスを支援する「i-FILTER@Cloud運用支援サービス」を発表した。

/tt/news/2212/09/news09.jpg
いまさら聞けない「データ保護」の基礎【前編】

お金がなくても「データ保護」を諦めてはいけない“切実な理由”

「リソースが足りないから満足なセキュリティ対策ができない」は、残念ながら何の言い訳にもならない。データ保護の予算および人員を確保するための「正当な理由」とは。

/tt/news/2212/07/news11.jpg
NortonLifeLock×Avastの「今」【前編】

NortonもAvastもAVGも手に入れたセキュリティ“謎”の巨人「Gen」の野望とは?

NortonLifeLockはAvast Softwareと合併し、社名をGen Digitalに改めた。消費者向けセキュリティ製品の“巨人”ブランドを集約したGenは、何を目指すのか。

/tt/news/2211/30/news02.jpg
歴史で分かる「ランサムウェアの進化」と対策【第1回】

いまさら聞けない「ランサムウェア」の歴史 “あれ”が全ての始まりだった

ランサムウェア攻撃は、国内の組織にとって対岸の火事ではない。そもそもランサムウェアはいつ出現し、どのように変わってきたのか。歴史を振り返ってランサムウェアの「進化」を見る。

/tt/news/2212/01/news10.jpg
特選プレミアムコンテンツガイド

「犯罪者のExcel離れ」が止まらない理由

マルウェア感染の手段として、犯罪者が昔から悪用してきた「Microsoft Excel」ファイル。ここにきて、なぜかExcelファイルを使った攻撃が勢いを失ってきた。それはなぜか。

/tt/news/2212/01/news03.jpg
Windows 365の「セキュリティ力」とは【後編】

無料のウイルス対策も使える「Windows 365」のセキュリティ機能とは?

MicrosoftのDaaS「Windows 365」には、無料の「Microsoft Defenderウイルス対策」をはじめとする、さまざまなセキュリティ機能がある。どのような機能があり、それぞれ何ができるのか。

/tt/news/2212/01/news07.jpg
企業が取るべき脆弱性対策【後編】

新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由

米国政府機関は注意すべき脆弱性をカタログにまとめて公表している。これに新しく追加された脆弱性について、専門家は「企業におけるセキュリティの危機的状況が垣間見える」と指摘する。

11 月

/tt/news/2211/28/news04.jpg
狙われるホテル業界【後編】

ホテル業界がサイバー攻撃の「格好の標的」になる2つの理由

大手ホテルチェーンInterContinental Hotels Groupがサイバー攻撃の被害に遭ったことを発表した。ホテル運営会社は、2つの理由からサイバー攻撃の格好の標的になりやすい。

/tt/news/2211/25/news03.jpg
「Windows 11」アップデートの防御力とは【後編】

Windows 11を使いたくなる「3大セキュリティ機能」の正体 何ができるの?

Microsoftは「Windows 11」のアップデートに伴い、3つのセキュリティ機能を追加した。それぞれどのようなもので、何ができるのか。各機能の特徴を簡潔にまとめた。

/tt/news/2211/25/news11.jpg
企業が取るべき脆弱性対策【前編】

米CISAが「脆弱性カタログ」更新 政府機関“お墨付き”の危ない欠陥は

米国政府機関は、実際に悪用されている脆弱性をカタログにまとめている。一般企業もこのカタログを確認し、適切な対策を取ることが推奨されている。

/tt/news/2211/24/news05.jpg
Windows 365の「セキュリティ力」とは【前編】

Windows 365はなぜ“DaaSなのにセキュリティ製品みたい”なのか?

MicrosoftのDaaS「Windows 365」のユーザー企業は、同製品をうまく使うことで追加対策なしでセキュリティの強化を図れる可能性がある。その内容を具体的に紹介する。

/tt/news/2211/24/news01.jpg
古いバックアップシステムに潜む危険【後編】

攻撃で“大慌て”になる企業に欠けていた「サイバーレジリエンス」の視点

Cohesityの調査は、サイバー攻撃を受けた際のシステム復旧における課題を取り上げた。セキュリティ担当者が復旧作業に追われるのではなく、サイバー攻撃に対して先手を打つためには、何をすればいいのか。

/tt/news/2211/22/news02.jpg
未成年ハッカーによる犯罪【後編】

何が“普通の若者”を「サイバー犯罪」に走らせるのか?

Uberは10代とみられるハッカーからサイバー攻撃を受けた。この事件の背景に見えてくるのは、未成年がサイバー犯罪に巻き込まれるという社会問題だ。その背景にある要因とは。

/tt/news/2211/21/news08.jpg
狙われるホテル業界【前編】

またしても「あのマルウェア」の仕業か? 大手ホテルチェーンがシステム停止

多国籍ホテル運営会社InterContinental Hotels Groupがサイバー攻撃を受け、同社のシステムが停止した。「あのマルウェア」が関連しているのではないかと臆測が広がっている。

/tt/news/2211/18/news01.jpg
英国で活発化する「生活費の危機」に乗じた詐欺【後編】

狙われたら食費が出せない――英国で広がる「不況下の詐欺」への不安

世界的な景気後退により、英国では詐欺被害が生活に及ぼす影響が大きくなっているという。実態はどうなのか。英国の銀行TSB Bankの調査結果から探る。

/tt/news/2211/17/news02.jpg
古いバックアップシステムに潜む危険【中編】

サイバー攻撃者が狙いたくなる「バックアップシステム」の“弱点”

Cohesityの調査で、およそ半数の企業が自社のバックアップや復旧に古いシステムを使っている状況が明らかになった。同社はこの状況について、サイバー攻撃者の恰好の標的になると警告する。

/tt/news/2211/16/news05.jpg
「Office 365 Message Encryption」の脆弱性と対策【後編】

Microsoft 365メール暗号化に“解読可能”な脆弱性 利用中止でも消えない危険

暗号化されたメールの内容を攻撃者が解読し得るという、Microsoftのメール暗号化ツール「Office 365 Message Encryption」の脆弱性。企業はどのような防御策を講じるべきか。そもそも防御策はあるのか。

/tt/news/2211/15/news07.jpg
「Windows 11」アップデートの防御力とは【前編】

Windows 11は「セキュリティ機能の大幅強化」でついに本格普及か?

Microsoftは「Windows 11」のアップデートを投入し、防御機能を強化した。これを機にWindows 11は、なかなか普及しない状況を打破できるのか。

/tt/news/2211/15/news04.jpg
未成年ハッカーによる犯罪【中編】

Uberを窮地に立たせた「10代ハッカー」の手口とは

10代とみられるハッカーがUberのシステムを攻撃した。これにより同社は窮地に立たされているという。ハッカーはどのような手口を用いたのか。攻撃の対象となったシステムは。

/tt/news/2211/11/news02.jpg
揺らぐソーシャルメディア企業の信頼性【後編】

「Twitterは危険だ」と納得させられてしまう理由

Twitterの元幹部による内部告発は、同社のセキュリティ体制や情報管理体制のずさんさを指摘する内容だった。告発を擁護する専門家は「ソーシャルメディア企業の信頼性が揺らいでいる」と話す。

/tt/news/2211/11/news01.jpg
ウクライナ侵攻で露サイバー犯罪者は苦境【第4回】

ロシア語サイバー犯罪者フォーラム「Dumps」とは? 何が話されているのか

ロシアによるウクライナ侵攻をどう考えるかは、サイバー犯罪者によって異なる。ロシア語のサイバー犯罪者フォーラム「Dumps」の分析から見えてきた、サイバー犯罪者の「見方」とは。

/tt/news/2211/10/news03.jpg
「T-Connect」個人情報漏えいか【後編】

トヨタのソースコード流出事件 再発防止のヒントはなぜ「OSS」にあるのか

各業種の企業が自社サービスのIT化に取り組む中、開発における不注意が重大なセキュリティリスクにつながりかねない。トヨタ自動車もその例外ではなかった。安全性を強化するには。

/tt/news/2211/10/news02.jpg
Microsoft 365への攻撃で検証する「MFA」の安全性【後編】

Microsoft 365のMFA(多要素認証)を無効化した「AiTM」の危険性とは

「Microsoft 365」に不正ログインし、従業員に送金させようとしたビジネスメール詐欺(BEC)事件の詳細が明らかになった。攻撃者がログインを成功させるために使った巧妙な手口とは。

/tt/news/2211/09/news08.jpg
NASAの画像を悪用したサイバー攻撃【後編】

Microsoft Officeでマクロ自動実行はNG? “あれ”があったら要注意

NASAのジェームズ・ウェッブ望遠鏡が撮影した画像を悪用したサイバー攻撃が発見された。この攻撃では“珍しい手法”を用いるという。その内容とは。

/tt/news/2211/09/news07.jpg
未成年ハッカーによる犯罪【前編】

10代のハッカーが「Uber」を攻撃した“まさかの目的”

Uberはサイバー攻撃を受け、複数の重要システムをオフラインにせざるを得なかったことを公表した。攻撃の犯人は10代と見られている。何を目的として攻撃したのか。

/tt/news/2211/08/news09.jpg
「Office 365 Message Encryption」の脆弱性と対策【前編】

Microsoft 365のメール暗号化を“無意味“にする脆弱性 その危険性とは

WithSecureはMicrosoftのメール暗号化ツール「Office 365 Message Encryption」に脆弱性があると指摘し、注意を呼び掛けている。暗号化されたメールの解読につながる、この脆弱性はどのようなものなのか。

/tt/news/2211/08/news01.jpg
波紋を広げる、Uberへの攻撃【後編】

Uberへの不正侵入犯が愛用していたロシア発の“あのツール”とは?

Uber Technologiesが「AWS」「GCP」といったクラウドサービスで運用するシステムに、攻撃者が入り込んだことが明らかになった。なぜ、そのようなことができたのか。攻撃者の行動を追う。

/tt/news/2211/07/news12.jpg
古いバックアップシステムに潜む危険【前編】

「古いバックアップシステム」は“危険だ”としか言えない理由

Cohesityの調査によると、およそ半数の企業がバックアップや復旧に古いシステムを利用していた。同社はこの状況に警鐘を鳴らしている。その理由とは。

/tt/news/2211/04/news01.jpg
ウクライナ侵攻で露サイバー犯罪者は苦境【第3回】

ロシアのサイバー犯罪者が「クレジットカード詐欺」をやめ始めた理由

ロシアによるウクライナ侵攻がロシアのサイバー犯罪者の攻撃活動に大きな影響を与えている。そうした中、サイバー犯罪者が「捨てた手口」と「新たに挑む手口」がある。それぞれは何なのか。

/tt/news/2211/04/news08.jpg
揺らぐソーシャルメディア企業の信頼性【中編】

Twitterから“スパムbot”が消えない本当の問題とは

Twitterの元セキュリティ責任者による内部告発で、同社がセキュリティやユーザーのプライバシー管理を怠っているという疑惑が浮上した。同社はこの告発に対し、どのように反論するのか。

/tt/news/2211/04/news07.jpg
「T-Connect」個人情報漏えいか【前編】

「GitHub」にトヨタがソースコード誤公開 問われる“つながる車”の安全性

トヨタ自動車のコネクテッドサービス「T-Connect」のソースコードが公開状態になり、ユーザーの個人情報が漏えいした可能性があることが発覚した。何があったのか。

/tt/news/2211/02/news14.jpg
NASAの画像を悪用したサイバー攻撃【前編】

プログラミング言語「Go」で書かれたマルウェアはなぜ攻撃者に人気なのか

NASAの宇宙望遠鏡が撮影した画像を悪用したサイバー攻撃が発見された。この攻撃は、攻撃グループの間で人気の広がるプログラミング言語「Go」を使用していた。攻撃の手法と、「Go」が人気の理由とは。

/tt/news/2211/02/news12.jpg
Microsoft 365への攻撃で検証する「MFA」の安全性【中編】

Microsoft 365のMFA(多要素認証)が破られた原因は脆弱性ではなかった?

「Microsoft 365」に不正ログインした攻撃者はある手法を使い、長時間にわたりログイン状態を継続することに成功した。その原因は脆弱性ではないという。攻撃者は何を悪用したのか。

/tt/news/2211/02/news04.jpg
NHSのランサムウェア被害【後編】

医療機関で「ランサムウェア」被害からの復旧が長期化すると何が起こる?

医療ITベンダーAdvancedのシステムがランサムウェア被害を受け、一部のサービスは復旧に1カ月以上を要した。影響を受けた医療機関が、システム停止中に強いられたこととは。

/tt/news/2211/01/news07.jpg
特選プレミアムコンテンツガイド

プライベートクラウドの構築を経営陣に納得させるには

「プライベートクラウド」の構築には相応のコストがかかる。予算の獲得には、経営陣の承認が必要だ。経営陣を説得するためには何をすればよいのか。勘所をまとめた。

10 月

/tt/news/2210/30/news01.jpg
Excelは”凶器“なのか【後編】

「犯罪者のExcel離れ」で狙われ始めた“あのファイル”

攻撃者はマルウェア感染の手段として使いにくくなった「Excel」から離れて、別の手段を模索し始めている。目を付けたのは、Excelファイルと同様に身近な存在である“あのファイル”だ。

/tt/news/2210/28/news09.jpg
英国で活発化する「生活費の危機」に乗じた詐欺【前編】

“英国流オレオレ詐欺師”が荒稼ぎする「だまし」のテクニック

未曾有のインフレに直面している英国では、生活困難を切り口にした送金の詐欺が急増していることが銀行の調査で分かった。詐欺師はどのような手口を使って被害者をだましているのか。

/tt/news/2210/28/news03.jpg
ウクライナ侵攻で露サイバー犯罪者は苦境【第2回】

「貧乏生活はもうたくさん」 “貧困化”するロシアのサイバー犯罪者

ロシアのサイバー犯罪者の「ビジネス」はウクライナ侵攻によって大きな打撃を受けた。具体的な数字を基に、サイバー犯罪者の収入へのインパクトを探る。

/tt/news/2210/28/news08.jpg
揺らぐソーシャルメディア企業の信頼性【前編】

解雇された“著名ハッカー”が「Twitterは欠陥と不正だらけ」との衝撃告発

Twitterの元幹部による内部告発によると、同社はセキュリティやユーザーのプライバシー管理に関する「重大な欠陥」を隠そうとしている。その真相は。

/tt/news/2210/28/news04.jpg
調査で見る自治体のセキュリティ対策【後編】

「“補償のない”サイバー保険」に加入する意味はあるのか

サイバー攻撃による被害のリスクを抑えたいと考える企業にとって有力な選択肢となるのが「サイバー保険」だ。一方で、企業はサイバー保険への加入をためらい始めている。なぜなのか。

/tt/news/2210/27/news05.jpg
Microsoft 365への攻撃で検証する「MFA」の安全性【前編】

Microsoft 365の「MFA」(多要素認証)が破られる その巧妙な手口とは?

「Microsoft 365」で発生したアカウント不正利用問題。その原因として専門家は、Microsoft 365の多要素認証(MFA)機能にある、セキュリティ設計上の“穴”の存在を指摘する。それは何なのか。

/tt/news/2210/26/news09.jpg
NHSのランサムウェア被害【前編】

ランサムウェアで英国の国営医療サービスが機能不全に その被害規模は?

英国の医療ITベンダーAdvancedのシステムがランサムウェア攻撃を受けた。同社製品は英国国民保健サービス(NHS)のさまざまな公式アプリケーションに組み込まれている。サイバー攻撃の影響はどこまで及んだのか。

/tt/news/2210/26/news02.jpg
サイバー攻撃が現実世界にもたらす混乱【後編】

サイバー攻撃を受けたらどう対処するのが正解? 英国バス会社の行動に学ぶ

英国の大手バス会社Go-Ahead Groupは、同社の重要システムがサイバー攻撃の被害に遭ったことを公表した。どのように対処したのか。

/tt/news/2210/26/news01.jpg
異常行動を検出する「UEBA」の10大用途【第4回】

「UEBA=セキュリティ対策の手段」は間違い その“意外な用途”とは?

エンドユーザーとシステムの行動を分析する「UEBA」は、マネジメントやビジネスにも役立つ可能性があるという。具体的にどのような用途で効果を発揮するのか。

/tt/news/2210/25/news06.jpg
波紋を広げる、Uberへの攻撃【前編】

犯人はまさかの18歳 若者はUberに「なぜ」「どうやって」侵入したのか

2022年9月中旬、Uber Technologiesの社内ネットワークが攻撃された件について、詳細が明らかになりつつある。「攻撃を実行した」と主張しているのは、18歳の若者。どのようにUberに侵入したのか。

/tt/news/2210/25/news03.jpg
国家主体のサイバー攻撃がもたらす影響【後編】

国家絡みのサイバー攻撃に狙われたら「あの情報」に要注意

ロシアによるウクライナ侵攻に伴うサイバー戦争を始め、国家が関与するサイバー攻撃が目立つ。こういった攻撃にはどのような特徴があるのか。企業が取るべき対策とは。

/tt/news/2210/23/news01.jpg
Excelは”凶器“なのか【前編】

もう止まらない「犯罪者のExcel離れ」

メール攻撃を仕掛ける攻撃者の間で「Excel」の“人気”が衰え始めているという。その背景には、Microsoftが下した“ある決断”の影響があると専門家はみる。それは何なのか。

/tt/news/2210/21/news07.jpg
ウクライナ侵攻で露サイバー犯罪者は苦境【第1回】

ロシアのサイバー犯罪者は“あれ”の利用禁止で稼げなくなった

ウクライナ侵攻を受け、ロシアのサイバー犯罪者は攻撃戦略の見直しを余儀なくされている。それはなぜなのか。ウクライナ侵攻による、サイバー犯罪への影響を探る。

/tt/news/2210/21/news09.jpg
調査で見る自治体のセキュリティ対策【前編】

“1日1万件”の攻撃を受ける英自治体が恐れる「あの脅威」とは

保険仲介会社の調査によると、英国の地方自治体は1日当たり約1万件のサイバー攻撃の脅威にさらされている。具体的な攻撃や、被害の内容とは。どのように脅威へ対処しているのか。

/tt/news/2210/21/news02.jpg
ウクライナ侵攻で浮上する「ハクティビズム」【後編】

親ロシア派ハッカー集団「Killnet」が派手に攻撃するのは“あれ”狙い?

ロシアによるウクライナ侵攻の影響を受け、複数の“親ロシア”ハッカー集団が関連国へのサイバー攻撃を繰り広げている。そのうちの一つ「Killnet」の事例を見てみよう。

/tt/news/2210/20/news02.jpg
セキュアなクラウド運用管理のこつ【後編】

AWS、Azure、GCPで「安全なクラウド運用管理」のために使える仕組みとは?

大手クラウドベンダーはクラウドサービスのセキュアな運用管理を追求し、さまざまな機能やツールを提供している。どのようなものがあり、何ができるのか。「3大クラウド」の取り組みを見よう。

/tt/news/2210/19/news02.jpg
異常行動を検出する「UEBA」の10大用途【第3回】

セキュリティだけじゃない「UEBA」の賢い使い方 システム障害の予測にも有効

「UEBA」は、セキュリティ対策はもちろん、それ以外にも役立つ用途がある。システム運用管理の効率化を図るための、UEBAの賢い活用法を紹介しよう。

/tt/news/2210/18/news06.jpg
犯人は「Lapsus$」か

Uber社内システム侵入の手口「MFA爆撃」とは? 多要素認証を“あれ”で破る

Uber Technologiesは2022年9月に攻撃されたことを認めた。攻撃者は、活発に動いている「Lapsus$」に所属する人物とみられる。どのような手口でUberのシステムに入り込んだのか。

/tt/news/2210/17/news06.jpg
サイバー攻撃が現実世界にもたらす混乱【前編】

攻撃者の狙いは「交通網の混乱」? 英国バス会社はどう対処した?

英国の大手バス会社Go-Ahead Groupは、サイバー攻撃の被害に遭ったことを公表した。どのような影響があったのか。攻撃の発覚後、同社が取った行動とは。

/tt/news/2210/17/news04.jpg
ゼロデイ脆弱性がApple製品に迫る【後編】

AppleがiOSやmacOSの“脆弱性を公開”するとは事態はよほど深刻?

「iPhone」「Mac」といった同社製デバイスに影響を及ぼす脆弱性についてAppleが報告した。同社が脆弱性を公開する事態は、問題の深刻度を示すものだと専門家は指摘する。

/tt/news/2210/14/news05.jpg
「TikTok」のリスクとメリット【後編】

TikTokで若者受けを狙いたい人は“この3つ”に注意すべし

「TikTok」などのソーシャルメディアをマーケティングに生かす際には、幾つか注意すべきことがある。それは何なのか。特に注意が必要な3つのポイントを整理する。

/tt/news/2210/13/news03.jpg
セキュアなクラウド運用管理のこつ【中編】

バックエンドのクラウドサービス「BaaS」のアクセス管理で注意すべき5つのこと

「BaaS」を利用する場合、安全性を確保するには幾つかの注意点がある。特に重要なのはアクセス管理だ。何に気を付ければいいのか。

/tt/news/2210/13/news01.jpg
テレワークのモバイルセキュリティ【後編】

「テレワークの無線LAN」の可否で判断分かれる モバイルセキュリティの現実

企業が利用するモバイルデバイスやIoTサービスへのサイバー攻撃が広がっている。Verizonの調査によると、企業の対策は十分とは言い難い。何に注意が必要なのか。

/tt/news/2210/12/news08.jpg
国家主体のサイバー攻撃がもたらす影響【前編】

「サイバー戦争」はもう始まっている? 多数派が察知した現実

ロシア・ウクライナ戦争は地上だけでなく「サイバー空間」でも繰り広げられている。これは企業にどのような影響をもたらしているのか。これを受けて企業はどのように動けばいいのか。調査から読み解く。

/tt/news/2210/12/news05.jpg
異常行動を検出する「UEBA」の10大用途【第2回】

不正アカウントを早期発見 「UEBA」のセキュリティ用途とは?

「UEBA」は、どのような脅威への対処を容易にするのか。UEBAの主な用途のうち、セキュリティに関する用途を整理する。

/tt/news/2210/11/news07.jpg
超人気ゲームの開発会社に攻撃

グラセフVI(GTA VI)開発中映像は“あのチャットツール”から流出か?

Rockstar Gamesのゲームシリーズ「グランド・セフト・オート」(GTA)次期バージョンの開発中映像が、インターネットに流出した。映像は誰が、どのような手段で流出させたのか。

/tt/news/2210/11/news03.jpg
産業制御システム(ICS)のセキュリティ【後編】

“攻撃の痕跡探し”より大事な「OTセキュリティの要」とは?

産業制御システム(ICS)を狙ったサイバー攻撃が広がっている。専門家はこれに対し、「先手のセキュリティ対策」が必要だと語る。企業はどのような点に気を付ければいいのか。

/tt/news/2210/10/news01.jpg
ゼロデイ脆弱性がApple製品に迫る【前編】

Appleが“危険なiOSとmacOS”の更新を促す事態に

Appleは、「Mac」「iPhone」やWebブラウザ「Safari」に影響を及ぼす脆弱性のパッチを公開した。この脆弱性により引き起こされる事態と、対策方法について紹介する。

/tt/news/2210/07/news08.jpg
「TikTok」のリスクとメリット【前編】

TikTokにプライバシーの懸念 ユーザーデータが“あの国”に?

若手消費者を獲得するためのマーケティングツールとして活用が広がる「TikTok」。一方でTikTokには、プライバシーを巡ってさまざまな議論がある。その議論の中身とは。

/tt/news/2210/06/news07.jpg
PwC調査で探る「景気後退下のIT投資」【前編】

不景気で会社から真っ先に消える“あれ”と、むしろ増える“あれ”

PwCの調査レポートによると、米国企業は景気後退を必ずしも重大なリスクだと捉えているわけではない。ただし投資判断には変化が現れ始めているという。何が起きようとしているのか。

/tt/news/2210/06/news01.jpg
データで分かるセキュリティ担当者の「本音」【後編】

セキュリティ業界はいつまでも“男性社会”のままでよいのか?

従業員の多様な属性や背景が、企業にさまざまなメリットをもたらすと考えられている。だがセキュリティ分野では多様性に関する取り組みはなかなか進まないのが現実だ。それはなぜなのか。

/tt/news/2210/05/news10.jpg
ウクライナ侵攻で浮上する「ハクティビズム」【前編】

サイバー空間で暴れる親ロシア派ハクティビスト「Killnet」の恐怖

「ハクティビスト」によるリトアニアへのサイバー攻撃が観測された。この攻撃はロシアによるウクライナ侵攻と関係するものだという。何が攻撃の引き金になり、どのような被害があったのか。

/tt/news/2210/05/news02.jpg
ウクライナ危機がサイバー攻撃に及ぼす影響【後編】

「RDoS」(ランサムDoS)攻撃とは? DDoS攻撃の新たな手口

セキュリティベンダーのRadwareによると、ロシアによるウクライナ侵攻の影響で「DDoS」攻撃の傾向に変化が生じている。具体的に何が起きているのか。同社の調査結果を基に探る。

/tt/news/2210/04/news08.jpg
セキュアなクラウド運用管理のこつ【前編】

いまさら聞けない「BaaS」とは? “一言定義”と安全に使うための基礎知識

クラウドサービスに障害が発生してシステムが停止したら、顧客からの信頼を失うことは避けられない。クラウドサービスの運用管理を効率化するためには、どうすればいいのか。その有力な手段である「BaaS」とは何か。

/tt/news/2210/04/news04.jpg
産業制御システム(ICS)のセキュリティ【中編】

専門家が語る「なぜマルウェアPipedreamの攻撃に気付けないのか」

産業制御システム(ICS)を標的にしたマルウェア「Pipedream」が発見された。どのような特徴を持ち、企業はどのような点に気を付けるべきなのか。

/tt/news/2210/04/news03.jpg
データマネジメントの鍵「CDO」とは何か【後編】

クラウド活用の成否を握る人物「CDO」の“3つの使命”はこれだ

オンプレミスのシステムとクラウドサービスが混在するハイブリッドクラウドのコンプライアンスは、企業にとって悩みの種だ。ここで力を発揮するのが「CDO」(最高データ責任者)だという。CDOに何ができるのか。

/tt/news/2210/03/news16.jpg
異常行動を検出する「UEBA」の10大用途【第1回】

UEBAはセキュリティ対策にどう役立つ? 「ラテラルムーブメント」を早期発見

エンドユーザーやシステムの異常な行動を検出する「UEBA」には、さまざまな用途がある。中心的な用途がセキュリティ対策だ。どのような脅威への対処に役立つのかを見ていこう。

9 月

/tt/news/2209/30/news08.jpg
セキュリティニュースフラッシュ

データ流出時のコスト負担を1億円以上減らす“あの手段”とは?

データ侵害に伴う企業のコスト負担に関するIBMの調査結果や、ソフトウェアやサプライチェーンに潜むリスクに関する調査結果など、セキュリティの主要なニュースを紹介する。

/tt/news/2209/29/news04.jpg
データで分かるセキュリティ担当者の「本音」【中編】

セキュリティ担当者が悩む“ありがちで深刻な問題”とは?

セキュリティ担当者は仕事でさまざまな悩みを抱えていることが英国の調査で分かった。中には仕事を続ける妨げとなる深刻な問題もある。それは何なのか。

/tt/news/2209/29/news03.jpg
テレワークのモバイルセキュリティ【中編】

「危ないモバイル」を使い続ける業界の苦悩

モバイルデバイスの活用が広がるにつれ、モバイルセキュリティ対策の重要性が増している。Verizonの調査から、各業界のモバイルセキュリティにおける課題が浮き彫りになった。

/tt/news/2209/28/news08.jpg
産業制御システム(ICS)のセキュリティ【前編】

OTも狙うサイバー攻撃では「あの通信プロトコル」に注意すべし

重要インフラにおけるOTシステムの可視化が急務だ。産業制御システム(ICS)を狙ったサイバー攻撃はなぜ拡大するのか。セキュリティ対策における難点とは。

/tt/news/2209/28/news03.jpg
VMのパッチ管理「6ポイント」【後編】

仮想マシン(VM)ユーザーが「パッチ適用でシステム停止」を回避する方法とは?

仮想マシン(VM)のパッチ適用に当たっては、さまざまな注意点がある。パッチ適用によってシステム稼働に影響が出ないようにするには、どうすればいいのか。アドバイスをまとめた。

/tt/news/2209/27/news08.jpg
データマネジメントの鍵「CDO」とは何か【前編】

クラウド時代の超重要人物「CDO」とは? データマネジメントの“ボス”

「CxO」(Chief x Officer)の一員である最高データ責任者「CDO」が、クラウドサービス活用の成否を握る存在になりつつあるという。そもそもCDOとは何なのか。その仕事内容とは。

/tt/news/2209/27/news01.jpg
クラウドサービスのデータ主権問題【後編】

クラウドで失った“あの権利”は「ソブリンクラウド」で取り戻せる?

クラウドサービス利用時のセキュリティを不安視する企業の間で「ソブリンクラウド」への関心が高まっている。その背景にある、“ある権利”の問題について解説する。

/tt/news/2209/22/news10.jpg
データで分かるセキュリティ担当者の「本音」【前編】

セキュリティ担当者が燃え尽きる“本当の原因”とは?

「セキュリティ担当者が最も心配するのは攻撃だ」と考えられがちだが、実はそうではないことが英国の調査で明らかになった。データが語る、セキュリティ担当者の“本当の悩み事”とは何か。

/tt/news/2209/22/news03.jpg
ランサムウェアの動きを探る【後編】

「ランサムウェア」を抜いて勢力を増す“あの脅威”とは?

複数のセキュリティベンダーのレポートによると、ランサムウェアは下火になりつつある。一方で、各レポートの調査結果には違いも見られた。攻撃の動向を読み解く。

/tt/news/2209/21/news03.jpg
運用自動化のための「AI」入門【後編】

botがあれば“あの業務”ではセキュリティ担当者が不要になる?

重要なインフラがサイバー攻撃で機能停止に陥ると、その影響が広範に及ぶ懸念がある。被害を避けるための有効な策が、セキュリティ対策に自動化を取り入れることだ。その具体例とは。

/tt/news/2209/20/news10.jpg
VMのパッチ管理「6ポイント」【前編】

仮想マシン(VM)の面倒なパッチ適用を“楽”にするには?

仮想マシン(VM)の「パッチ適用が大好き」というIT管理者はあまりいないだろう。だからこそ、パッチ管理の計画を立てて体系的に行動することが重要だ。パッチ管理を「楽」にする具体的な方法とは。

/tt/news/2209/20/news03.jpg
サイバー攻撃事例に学ぶ【後編】

サプライチェーンを危険にする「NGなセキュリティ対策」 ドイツの事例で解説

サプライヤーを起因としたサイバー攻撃が広がる傾向にある。企業はどのような対策を取るべきなのか。ドイツの石油貯蔵会社Oiltankingが受けたサイバー攻撃の事例を基に解説する。

/tt/news/2209/16/news03.jpg
「GPSデバイス」のセキュリティリスク【後編】

ドローンやAirTagを“脆弱性まみれ”にしないための「製造者責任」とは?

GPSデバイスのセキュリティリスクを減らせるかどうかは、ベンダーの開発段階での“ある取り組み”が鍵を握る。それは何なのか。

/tt/news/2209/16/news08.jpg
テレワークのモバイルセキュリティ【前編】

“週5出社”をやめた企業が危ない 注意すべきデバイスは?

テレワークをはじめとする多様な働き方が広がった結果、企業のセキュリティ対策に負担がかかっている。その実態と、企業が検討すべき対策とは。

/tt/news/2209/16/news01.jpg
多要素認証(MFA)の抜け道をふさぐ【後編】

AiTMには「多要素認証」(MFA)も効果なし? 抜け道をふさぐ方法は

Microsoftのセキュリティ研究チームはフィッシング攻撃「AiTM」についての調査結果を公表。この攻撃は多要素認証(MFA)などの認証プロセスをすり抜ける。抜け道をふさぐにはどうすればいいのか。

/tt/news/2209/15/news02.jpg
「何でもデジタル」は“薬”か“毒”か【後編】

「スマホで監視」よりも深刻? デジタル化が生んだ“真の課題”はこれだ

デジタルデバイスやオンラインサービスは生活に便利さをもたらす一方で、新たな懸念も生んでいる。消費者の不安に対して、企業が配慮すべきポイントは。専門家に聞いた。

/tt/news/2209/14/news14.jpg
ウクライナ危機がサイバー攻撃に及ぼす影響【前編】

ロシア・ウクライナ戦争で暗躍 新手のサイバー攻撃者「ハクティビスト」とは?

ロシアによるウクライナ侵攻を受け、サイバー攻撃に変化が生じていると、セキュリティベンダーのRadwareは指摘する。同社が特に注視するのは「ハクティビスト」の動きだ。どのような存在なのか。

/tt/news/2209/13/news05.jpg
サイバー攻撃事例に学ぶ【中編】

独石油貯蔵会社へのサイバー攻撃には“あの国”が関与か?

ドイツの石油貯蔵会社Oiltankingのシステムがサイバー攻撃を受けた。攻撃により、国民に影響を及ぼしかねない“ある問題”が浮き彫りになった。

/tt/news/2209/12/news08.jpg
クラウドサービスのデータ主権問題【前編】

“普通のクラウド”を避ける企業ほど「ソブリンクラウド」を使いたい?

調査会社のデータによると、「ソブリンクラウド」が企業の注目を集めており、今後数年で採用が広がる可能性があるという。その背景とは。

/tt/news/2209/09/news07.jpg
「GPSデバイス」のセキュリティリスク【前編】

「AirTagが知らないうちに付いていた」は要注意 GPSデバイス悪用の手口とは?

位置情報を追跡できる「GPSデバイス」は便利な半面、第三者に悪用されると危険だ。どのような悪用の手口があるのか。GPSデバイスを安全に利用するにはどうすればよいのか。

/tt/news/2209/09/news08.jpg
ランサムウェアの動きを探る【前編】

ランサムウェア対抗プロジェクト「No More Ransom」が支持される納得の事情

ランサムウェアへの対抗プロジェクト「No More Ransom」は2022年7月で設立から6周年を迎えた。この取り組みを支援する傾向が強まりつつある。なぜなのか。

/tt/news/2209/09/news06.jpg
運用自動化のための「AI」入門【前編】

「自動化」で「DX」は強制的に進む? そのシンプルな理由

「DX」を目指す企業は、一度にさまざまな課題に向き合いながらプロジェクトを進める必要があり、その取り組みが必ずしも順調に進むとは限らない。専門家は「自動化」がその鍵を握ると説明する。なぜなのか。

/tt/news/2209/09/news03.jpg
多要素認証(MFA)の抜け道をふさぐ【中編】

「Microsoft 365」の資格情報はこうして盗まれる 企業が取るべき対策は?

Microsoftのセキュリティ研究チームは「Microsoft 365」ユーザーが標的となったフィッシング攻撃「AiTM」について調査結果を公表している。企業はどのような対策を取るべきなのか。

/tt/news/2209/09/news01.jpg
マルウェア低価格化で高まる脅威【第4回】

サイバー犯罪者“大量生産”時代にシステムを守り切る「5つのポイント」とは?

攻撃者が生まれやすい状況が整う中、企業には自社のシステムを守るために、どのようなセキュリティ対策を施せばよいのか。被害のリスクを減らす5つのポイントを知り、攻撃に対抗しよう。

/tt/news/2209/08/news07.jpg
「何でもデジタル」は“薬”か“毒”か【中編】

「遠隔医療」「バーチャルヘルスケア」を大歓迎できない“あの課題”とは

コロナ禍を追い風に、遠隔医療やバーチャルヘルスケアの普及が進んでいる。「スケジュールが立てやすい」といった分かりやすいメリットとは裏腹に、根強く残る課題とは。

/tt/news/2209/08/news02.jpg
医療機関を狙うサイバー攻撃の実態【第4回】

医療機関はなぜ「ランサムウェア」の身代金を支払ってしまうのか?

セキュリティベンダーSophosの調査によると、他業界の企業に比べて医療機関はランサムウェア攻撃を受けた際の身代金を支払う割合が高い。その理由は。

/tt/news/2209/08/news01.jpg
IT運用が向かう先は?【後編】

AIOps万能説は本当? マイクロサービスやセキュリティとの関係を探る

「AIOps」はデータをフィルタリングしたり故障発生を予測したりするだけではなく、さまざまな分野に活用できる。本稿はマイクロサービスアーキテクチャや、セキュリティにおける活用の可能性を探る。

/tt/news/2209/07/news08.jpg
サイバー攻撃事例に学ぶ【前編】

独石油貯蔵会社への攻撃で浮き彫りになった「OT系システム」停止のリスク

ドイツの石油貯蔵会社Oiltankingのシステムがサイバー攻撃を受けた。どのシステムが被害に遭い、どのような影響があったのか。

/tt/news/2209/06/news07.jpg
医療機関を狙うサイバー攻撃の実態【第3回】

ロシアの戦争が「米医療機関へのサイバー攻撃」を激化させる“なるほどの理由”

米国の医療機関を狙ったランサムウェア攻撃が激化している。医療機関を狙うのは誰なのか。なぜ、あえて医療機関を狙うのか。専門家の考察を紹介する。

/tt/news/2209/05/news02.jpg
メタバースを安全に活用する方法【第4回】

メタバースの“無秩序さ”を示す驚きの事実 痛い目に遭わないためには?

メタバースに関する規制は、まだ十分に整備されているとは言えない。こうした中、メタバースの活用を検討する企業は、さまざまなリスクを考慮する必要がある。具体的に何に気を付ければよいのか。

/tt/news/2209/02/news03.jpg
「安全に別れる」ツール誕生の裏側【後編】

別れた恋人にITで嫌がらせをする「デジタルハラスメント」 根絶するには?

女性に対するITを駆使した嫌がらせ行為「デジタルハラスメント」が後を絶たない。DV被害者支援団体Refugeは、どのような対策を提唱するのか。

/tt/news/2209/02/news06.jpg
多要素認証(MFA)の抜け道をふさぐ【前編】

「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた

Microsoftのセキュリティ研究チームは、「Microsoft 365」ユーザーが標的となったフィッシング攻撃「AiTM」について調査結果を公表。攻撃はどのように展開し、何が悪用されたのか。

/tt/news/2209/02/news04.jpg
マルウェア低価格化で高まる脅威【第3回】

サイバー犯罪者が「こいつは信頼できる」と相手に思わせるテクニック

攻撃ツールをダークWebで販売する攻撃者は、他の攻撃者とどのようにして信頼関係を構築しているのか。調査結果を基に、その実態を探る。

/tt/news/2209/01/news16.jpg
特選プレミアムコンテンツガイド

“役立たず”だったMicrosoft Defenderが大人気の謎

過去の「Windows Defender」と同一視していると、「Microsoft Defenderウイルス対策」の実力を正しく評価することはできない。もはや“別物”となったMicrosoft Defenderウイルス対策の真実に迫る。

/tt/news/2209/01/news05.jpg
「何でもデジタル」は“薬”か“毒”か【前編】

「テレワーク」をやっぱりやめたくない“これだけの理由”

Deloitte Developmentの調査によると、米国のテレワーク経験者のうち99%がテレワークの何らかの点を評価し、約8割が継続を求めていた。テレワークの何が、それほどまでに良いのか。

/tt/news/2209/01/news02.jpg
サッカー選手からセキュリティ専門家へ【後編】

「セキュリティは楽しい」 戦力外の“地獄”を見た元プロサッカー選手の歓喜

英国の若手サッカー選手向けセキュリティ学習プログラム「Cyber Stars」の第1期生は2022年7月、修了式を迎えた。彼らは今後、どのように活躍するのか。受講生2人に、抱負を聞いた。

/tt/news/2209/01/news12.jpg
医療機関を狙うサイバー攻撃の実態【第2回】

「医療機関で200万人超の個人情報漏えい」の衝撃

米国では医療機関を狙うサイバー攻撃が相次いで発生している。どれくらいの規模の被害が、どの程度起きたのか。米保健社会福祉省のデータを基に紹介する。

8 月

/tt/news/2208/31/news04.jpg
ネットワークの新時代思考【後編】

ネットワーク刷新か、レガシー続行か? 企業に残る“3つの遺産”とは

ネットワークを刷新しようとする場合、LANやWANを旧来の方法でしっかり管理してきた企業ほど困難に直面する可能性がある。その理由と、乗り越えるための視点とは。

/tt/news/2208/30/news03.jpg
悪用される「著名ブランド」 その傾向と対策【後編】

“安心のブランド”から不安を生み出す「ブランドフィッシング」驚愕の手口

攻撃者は著名ブランドを悪用し、巧みな手口で標的の機密情報を狙っている。著名なブランド名だから安心、の考えは危険だ。ブランドフィッシングの被害を避けるためにはどうすればいいのか。

/tt/news/2208/30/news06.jpg
医療機関を狙うサイバー攻撃の実態【第1回】

医療機関の個人情報が「ランサムウェア」で大量漏えい その驚きの規模とは?

ランサムウェア攻撃を受けた、米国の医療機関Yuma Regional Medical Center(YRMC)。大規模な情報漏えいを招いた、YRMCに対するランサムウェア攻撃の経緯と被害状況は。

/tt/news/2208/30/news04.jpg
教育機関や公共機関を狙う攻撃者【後編】

図書館やコカ・コーラもランサムウェア集団の標的に 流出データ“量り売り”も

米国でランサムウェア攻撃の被害が相次いでいる。攻撃者は、Coca-Colaや公共機関を狙い次々と攻撃を仕掛けている。被害の実態は。

/tt/news/2208/30/news02.jpg
データ保護のベストプラクティス【後編】

「バックアップ」「スナップショット」の賢い使い方 RPO短縮のこつは?

より短いRPO(目標復旧時点)を実現するには、バックアップとスナップショットをどう使い分ければいいのか。バックアップとスナップショットの違いを踏まえて、ベストプラクティスを紹介する。

/tt/news/2208/29/news01.jpg
メタバースを安全に活用する方法【第3回】

メタバースで「土地」を購入する前に考えたい“責任問題”とは?

メタバースには、主要技術である仮想現実(VR)技術や拡張現実(AR)技術にまつわるセキュリティリスクがある。それは何なのか。リスク回避のヒントも含めて紹介する。

/tt/news/2208/26/news05.jpg
注意すべきモバイルデバイスの脅威【後編】

「『iOS』は『Android』より安全だ」が危険な思い込みである理由

モバイルOSの種類によって、ユーザーのセキュリティ意識は異なる。「Android」と「iOS」にはどのような違いがあるのか。モバイルデバイスを活用する企業が注意するべきポイントとは。

/tt/news/2208/26/news04.jpg
マルウェア低価格化で高まる脅威【第2回】

サイバー犯罪者を工場のように生み出す“あの仕組み”とは?

攻撃ツールの変化は、攻撃者が生まれる仕組みにも変化を起こしている。工場のように攻撃者を生み出す可能性があるという、警戒すべき仕組みとは何か。

/tt/news/2208/25/news09.jpg
サッカー選手からセキュリティ専門家へ【前編】

サッカーの母国・英国で「若手選手のセキュリティ専門家への転身」が進む“謎”

若手サッカー選手をセキュリティ専門家に転身させる動きが英国で進んでいる。深刻なセキュリティ人材不足に、サッカーの母国はどう取り組んでいるのか。

/tt/news/2208/24/news04.jpg
ネットワークの新時代思考【中編】

「LANとWANが1つになる」の本当の意味 “脱レガシー”な思考とは?

企業のネットワークはLANとWANに分けて考えるのが普通だ。だがこれはレガシーな考え方になりつつある。その理由と、今後の新しい思考法とは。

/tt/news/2208/23/news08.jpg
教育機関や公共機関を狙う攻撃者【前編】

「学生の個人情報」は無事か? ランサムウェア集団BlackCatが学校を襲う

米国の教育機関が2022年4月に複数のランサムウェア攻撃を受けた。その中にはランサムウェア攻撃グループ「BlackCat」によるものもあった。被害の実態は。

/tt/news/2208/23/news07.jpg
教育ITニュースフラッシュ

香川大学が「OSINT」利用の情報漏えい対策導入 その“裏の理由”が意外過ぎ?

香川大学のセキュリティサービス導入事例や、熊本市の新体力テストデータの収集・分析システム導入事例など、教育ITに関する主要ニュースを紹介する。

/tt/news/2208/23/news04.jpg
ランサムウェア攻撃への備え【後編】

ランサムウェア感染で直面する「バックアップのジレンマ」問題

ランサムウェア攻撃からの復旧にはバックアップツールが不可欠だ。ツールを効果的に使うためにIT担当者が把握しておくべき「バックアップのジレンマ」とは。

/tt/news/2208/22/news07.jpg
メタバースを安全に活用する方法【第2回】

メタバースの「国境がない」ことがセキュリティの“大問題”になるのはなぜ?

現実空間で安全に生きるための“常識”があるように、仮想空間のメタバースでもセキュリティを向上させるためのこつがある。メタバースで痛い目に遭わないためには、何に気を付ければよいのか。

/tt/news/2208/20/news01.jpg
マルウェア低価格化で高まる脅威【第1回】

「高級ビール1杯」と「ダークWebで買えるマルウェア」 高いのはどっち?

ダークWebで入手できる攻撃ツールは低価格化が進み、サイバー犯罪のハードルが下がっている。攻撃ツールの価格を、英国ロンドンのパブで飲めるビールと比較したら、驚くべき結果が……。

/tt/news/2208/19/news05.jpg
「安全に別れる」ツール誕生の裏側【中編】

「恋人と安全に別れるツール」をセキュリティベンダーが開発した“なるほどの理由”

DV被害者を支援する団体RefugeとセキュリティベンダーAvastは、女性が安全にパートナーとの関係を終わらせるツールを提供開始した。その背景には何があるのか。ツール提供の意図とは。

/tt/news/2208/19/news10.jpg
注意すべきモバイルデバイスの脅威【前編】

スマホが狙われる“あの行動”に注意 危険地帯のオーストラリアに学ぶ

スマートフォンは「リスクが低い」と見なされる傾向にある。表面化しにくいモバイルセキュリティの問題に、ユーザーはどう対処すればよいのか。

/tt/news/2208/17/news07.jpg
ネットワークの新時代思考【前編】

LANでもWANでもない“第三のネットワーク”とは何か?

企業は従来、主に3つのネットワークを管理してきた。その物理的なネットワークが今後も必要であることに変わりはない。だがある転換点に差し掛かっている。今後は何が必要なのか。

/tt/news/2208/16/news08.jpg
悪用される「著名ブランド」 その傾向と対策【前編】

MicrosoftやAmazonよりもフィッシングで偽装されている“あのブランド”とは?

フィッシングに悪用されがちなのが著名ブランドだ。どのブランドに注意が必要なのか。Check Point Software Technologiesが発表したフィッシングにおける「危ないブランド」トップ10を見る。

/tt/news/2208/16/news05.jpg
ランサムウェア身代金の支払い推奨に「ノー」【後編】

ランサムウェアの身代金支払い「違法化」が難しい“厄介な理由”

ランサムウェア攻撃を受けた際の身代金の支払いを巡り、セキュリティ専門家は「規制」が必要だと指摘する。しかし規制は厳し過ぎると「逆効果」を招く可能性がある。それは何なのか。

/tt/news/2208/15/news04.jpg
巧妙化する攻撃にバックアップで対抗【後編】

もしもランサムウェアに感染したら――正しく復旧するポイントは?

事業継続計画(BCP)において、近年急速に重要性を増したのがランサムウェア対策だ。データが暗号化されてしまうランサムウェア攻撃に対し、企業はどのような観点で復旧の対策を取ればいいのか。

/tt/news/2208/15/news08.jpg
メタバースを安全に活用する方法【第1回】

いまさら聞けない「メタバース」の基礎知識 その語源や主要技術は?

IT大手が注力する、次の大きなトレンドが「メタバース」だ。企業にビジネス改革をもたらす可能性がある一方で、さまざまなセキュリティリスクもある。まずはメタバースをざっくりと理解しよう。

/tt/news/2208/15/news05.jpg
ランサムウェア攻撃集団「BlackCat」の実態【後編】

バンダイナムコを攻撃か ランサムウェア集団「BlackCat」は“あれ”を狙う

バンダイナムコエンターテインメントを攻撃したとみられるランサムウェア攻撃集団「BlackCat」はサイバー攻撃が活発化させている。BlackCatの攻撃の特徴は何か。対抗策を含めて紹介する。

/tt/news/2208/15/news06.jpg
データ保護のベストプラクティス【前編】

「バックアップ」と「スナップショット」を混同しないための基礎知識

データ保護の基本的な手段として、バックアップとスナップショットがある。2つの違いと、それぞれのメリットは何かを解説する。

/tt/news/2208/13/news01.jpg
「安全に別れる」ツール誕生の裏側【前編】

「別れた恋人の居場所」をITで追跡――デジタルハラスメント驚愕の実態

ITサービスが普及する中で、ITによるハラスメント「デジタルハラスメント」が社会問題化しつつある。具体的にどのような被害が生じているのか。その実態を探る。

/tt/news/2208/12/news06.jpg
謎の「VBAマクロ原則ブロック」一時撤回問題【後編】

「VBAマクロ原則ブロック」一時撤回を専門家が“愚案”と非難する当然の理由

Microsoftが「Microsoft Office」におけるVBAマクロ原則ブロック方針を一時撤回したことを受け、セキュリティ専門家からは「理解し難い」との声が聞こえる。その理由とは何か。

/tt/news/2208/12/news02.jpg
なぜ子どもが「攻撃者」になるのか【後編】

“犯罪者ユーチューバー”はマルウェア拡散動画をこうしてバズらせる

サイバー犯罪者グループは「YouTube」への投稿動画を使ってマルウェア感染を広げようとしている。専門家が「極めて悪質だ」と憤る、その手口とは。

/tt/news/2207/25/news12.jpg
巧妙化する攻撃にバックアップで対抗【中編】

クラウド使いにこそ「ランサムウェアからの回復力」が求められる理由と対策

クラウドサービスの利用で企業のシステム構成が複雑化しているところに、ランサムウェアの脅威が広がっている。事業を確実に継続するために、企業にはどのような対策が必要なのか。

/tt/news/2208/10/news03.jpg
サイバー犯罪グループ「RansomHouse」とは【後編】

犯罪者集団RansomHouseの攻撃は何が“倫理的”なのか

世界各国で攻撃を実行するサイバー犯罪グループの「RansomHouse」。一部の専門家は、RansomHouseの攻撃活動について「倫理的だ」と評価する。その真意とは。

/tt/news/2208/10/news10.jpg
ランサムウェア攻撃への備え【前編】

ランサムウェア攻撃者が“暗号化”よりも優先し始めた手口とは?

ランサムウェア攻撃の手法や攻撃者にとっての優先事項に変化がある。被害を拡大させないために、企業が注意するべきポイントとは何か。

/tt/news/2208/10/news04.jpg
VBAマクロを手動でブロックする方法【後編】

Microsoft Officeで「VBAマクロ」をブロックするシンプルな方法

「Microsoft Office」が初期設定でVBAマクロをブロックするかどうかにかかわらず、ユーザー企業は手動でVBAマクロをブロックできる。その手順を説明する。

/tt/news/2208/10/news02.jpg
セキュリティ分野でのAI技術のROI【後編】

「セキュリティのためのAI技術」の未来はなぜ明るいのか?

AI技術の用途はさまざまだ。中でもセキュリティのためのAI技術は、特に今後の成長が見込めるという。それはなぜなのか。

/tt/news/2208/10/news01.jpg
アワードで紹介する“注目のデータ保護”【第4回】

データ保護を語るなら知っておくべき「コンテナ」向けの“あのツール”

中小企業から大企業までさまざまな企業がランサムウェアの標的になる状況が続いている。企業にはどのようなデータ保護が必要なのか。米TechTargetの製品アワードから、注目の製品・サービスを紹介する。

/tt/news/2208/09/news11.jpg
ランサムウェア攻撃集団「BlackCat」の実態【前編】

バンダイナムコも被害か ランサムウェア集団BlackCatの「四重恐喝」攻撃とは?

バンダイナムコエンターテインメントは、2022年7月にサイバー攻撃を受けた。ランサムウェア攻撃集団「BlackCat」によるものとみられる。BlackCatとは、どのような集団なのか。

/tt/news/2208/08/news05.jpg
ランサムウェア身代金の支払い推奨に「ノー」【前編】

「ランサムウェア被害者は身代金を払って」と弁護士が推奨? その“謎”の理由

英国の情報セキュリティ機関は、ランサムウェア攻撃を受けた企業に身代金の支払いを推奨しないよう、弁護士の協力を得ることに注力している。その背景に何があるのか。

/tt/news/2208/10/news06.jpg
OSSとの「上手な付き合い方」【第2回】

OSSの“謎”現象「入れた覚えがないのに大量利用」はこうして起こる

企業はOSSを知らないうちに自社のシステムに組み込んでいる現実がある。使用しているOSSを検出し、OSSに含まれる脆弱性によるリスクを減らすには、どうすればよいのか。

/tt/news/2208/05/news06.jpg
謎の「VBAマクロ原則ブロック」一時撤回問題【前編】

「VBAマクロ原則ブロック」一時撤回をMicrosoftに決断させた“真犯人”とは?

Microsoftが「Microsoft Office」で進めていたVBAマクロ原則ブロック方針を一時的に撤回したことで、ユーザーやセキュリティ専門家の間に戸惑いが広がっている。一時撤回の背景にある“謎”を追う。

/tt/news/2208/05/news04.jpg
英国「セキュリティ教育認定制度」の実態【後編】

セキュリティ教育の「国が認めたハイレベル校」が教えていること

「セキュリティ教育の質が高い」と国が認めた教育機関は、どのようなセキュリティ教育を実施しているのか。英国NCSCの「CyberFirst Schools」「CyberFirst Colleges」の認定を受けた教育機関の取り組みを紹介する。

/tt/news/2208/05/news02.jpg
「ディープフェイク」にだまされないためには【後編】

捏造動画「ディープフェイク」を見抜けるようになる3つのヒント

ディープフェイク攻撃の被害を防ぐには、セキュリティツールに依存するのではなく、適切な行動を理解して実践することが大切だ。脅威に備えるためのヒントを集めた。

/tt/news/2208/02/news04.jpg
テレワークを危険にする「PC放置」問題の対処法【後編】

「テレワークは危ない」と考える人が恐れている“あのセキュリティ問題”とは?

MicrosoftやGoogleは自社のオフィススイートに、テレワーク時の情報漏えいリスクを減らす機能を提供している。こうした機能が熱望される背景にある変化とは。

/tt/news/2208/02/news06.jpg
VBAマクロを手動でブロックする方法【前編】

Microsoftが「VBAマクロ」原則ブロックを一時撤回 その理由とは?

「Microsoft Office」の初期設定で、VBAマクロの実行をブロックする設定変更を進めていたMicrosoftが、一時的にその方針を撤回した。なぜ撤回したのか。そのリスクとは。

7 月

/tt/news/2207/29/news08.jpg
サイバー犯罪グループ「RansomHouse」とは【前編】

AMDを襲った「450GB以上のデータ流出」事件とは何だったのか

「RansomHouse」という新興サイバー犯罪グループが仕掛けた攻撃により、半導体大手AMDはデータ流出に見舞われた。AMDで何が起きたのか。

/tt/news/2207/18/news03.jpg
巧妙化する攻撃にバックアップで対抗【前編】

「3-2-1」の基本はもう古い? ランサムウェア対策に足りないバックアップは?

データを暗号化して身代金を要求するランサムウェアの脅威が広がる中、バックアップに新たな対策が求められている。ベンダー各社が推奨する手法を基に、重要性が高まる対策を紹介する。

/tt/news/2207/28/news12.jpg
なぜ子どもが「攻撃者」になるのか【前編】

今どき10代のクールな遊びは「サイバー犯罪」? 深刻化する若年攻撃者の実態

Avast Softwareはマルウェアを開発している11歳〜18歳の未成年者のコミュニティーを発見した。未成年者がサイバー犯罪に手を染めるのは、なぜなのか。

/tt/news/2207/28/news03.jpg
サービスに問われる対応能力

ソーシャルメディアの偽アカウントを巡る問題

各種ソーシャルメディアで正規アカウントを模倣した偽アカウントが問題になっている。さまざまな事情が解決を困難にし、被害者を苦悩させている。一体何が問題なのか。

/tt/news/2207/28/news07.jpg
「身代金」以外にも注目を【後編】

ランサムウェア攻撃で「データは復元できるのに身代金を払う」組織が増えた理由

組織はランサムウェア攻撃に備え、暗号化されたデータを復元する対策を用意しているにもかかわらず、身代金を支払う例が散見される。なぜなのか。

/tt/news/2207/28/news04.jpg
ランサムウェア対策の常識・非常識【第4回】

ランサムウェア攻撃者をすぐに追い払ってはいけない? 意外な対策とは

ランサムウェアの「サービス化」によって、攻撃を仕掛ける技術的なハードルが下がっている。こうして脅威が広がる中、システムを暗号化から守るため、企業にはどのような行動が求められるのか。

/tt/news/2207/27/news08.jpg
テレワークを危険にする「PC放置」問題の対処法【前編】

Microsoft 365で使える「アイドルセッションタイムアウト」とは 利用するには

テレワークに慣れた時期に起こり得る“あるインシデント”を防ぐために、Microsoftは「Microsoft 365」の機能追加を進めている。その一つが「アイドルセッションタイムアウト」だ。どのような機能なのか。

/tt/news/2207/27/news04.jpg
Oracleの脆弱性修正の遅れに批判の声【後編】

Oracleにセキュリティ専門家が失望 「危険な脆弱性を半年も放置した」

「Oracle Fusion Middleware」の脆弱性をなかなか修正しなかったOracleを、あるセキュリティ専門家が強く批判している。専門家が指摘する「問題点」とは何か。

/tt/news/2207/27/news01.jpg
アワードで紹介する“注目のデータ保護”【第3回】

ランサムウェア対策機能も強化 進化する“あの定番バックアップツール”とは?

ランサムウェアなどの脅威が広がる一方、ベンダーもその対策のための機能強化を実施している。米TechTargetの製品アワードから、バックアップおよびDR分野で注目の製品・サービスを紹介する。

/tt/news/2207/26/news09.jpg
Python「ctx」に見つかった不正機能の正体【後編】

Python正規パッケージに“AWS認証情報を盗む機能”が追加されてしまった訳

Pythonのパッケージ「ctx」に、AWS認証情報の流出につながる不正な機能が追加された。なぜ、こうした問題が発生したのか。背景を解説する。

/tt/news/2207/22/news09.jpg
英国「セキュリティ教育認定制度」の実態【前編】

“すごいセキュリティ教育校”を認定する「CyberFirst Schools/Colleges」とは

質の高いセキュリティ教育を提供する教育機関を評価する認定制度が「CyberFirst Schools」「CyberFirst Colleges」だ。どのような認定制度なのか。運営する英国NCSCに、その詳細と意義を聞いた。

/tt/news/2207/22/news02.jpg
「ディープフェイク」にだまされないためには【中編】

捏造動画「ディープフェイク」の2大タイプを比較 より厄介なのはどっち?

ディープフェイク攻撃には大きく2種類があり、それぞれ対処法が異なる。守りを固めるには、両方を知ることが近道だ。それぞれの主要な特徴をまとめた。

/tt/news/2207/21/news03.jpg
ランサムウェア対策の常識・非常識【第3回】

新たな脅威「サプライチェーンランサムウェア攻撃」の厄介な手口

ランサムウェア攻撃では、企業を狙う「ルート」が多様化している。中堅・中小企業が特に注意する必要があるのは「サプライチェーン」を悪用したランサムウェア攻撃だ。その手口と被害とは。

/tt/news/2207/20/news10.jpg
Oracleの脆弱性修正の遅れに批判の声【前編】

Oracle Fusion Middlewareに見つかった「2つの重大な脆弱性」とは何だったのか

Oracleの製品群「Oracle Fusion Middleware」に見つかった「CVE-2022-21445」と「CVE-2022-21497」は、どのような脆弱性だったのか。ユーザー企業はどのような危険性にさらされていたのか。

/tt/news/2207/20/news09.jpg
「身代金」以外にも注目を【前編】

ランサムウェア被害で“身代金”より「高くつくコスト」とは?

ランサムウェア攻撃は、暗号化されたデータを復号するための身代金に注目が集まりがちだ。だが調査によると、身代金はランサムウェア攻撃による被害の一部にすぎない。

/tt/news/2207/19/news02.jpg
「Web 3.0」の「3大リスク」【後編】

「Web 3.0」(Web3)で金銭目的の攻撃が目立つ“なるほどの理由”

「Web 3.0」はさまざまな人にとって経済活動に参加するためのハードルを下げる一方、攻撃者にも狙われやすい。どのようなリスクがあるのか。

/tt/news/2207/19/news01.jpg
「セキュリティ意識向上研修」の効果を高める方法【第5回】

ヒューマンファイアウォールとは? 従業員のセキュリティ意識が育つ思考法

研修を実施しているのにもかかわらず、従業員にセキュリティ意識が芽生えない――。そう考える企業ができる、セキュリティ意識を高めるための幾つかの手法を紹介する。

/tt/news/2207/18/news01.jpg
ソリューションではない

ゼロトラスト戦略が攻撃経路の把握に有効な理由

セキュリティを確保するには攻撃経路の把握が欠かせない。だがそれは容易ではない。ここにゼロトラスト戦略を組み込むべき理由を説明する。

/tt/news/2207/15/news06.jpg
macOSに見つかった2つの脆弱性を検証する【後編】

macOS「マルウェアなのに無害だと判断してしまう」脆弱性とは何だったのか

2021年に「macOS」に見つかった「CVE-2021-30853」は、マルウェアがまるで安全であるかのように見せかけることを可能にする脆弱性だった。その脅威とは。

/tt/news/2207/14/news04.jpg
ランサムウェア対策の常識・非常識【第2回】

“バックアップ万能論”は幻想 ランサムウェア対策の誤解と真実

バックアップを実施すれば、ランサムウェア攻撃を受けてもデータ復元ができる――。そう考えるのは危険だ。バックアップの落とし穴と「後悔しない使い方」とは何か。

/tt/news/2207/13/news01.jpg
バックアップの何が問題なのか

ランサムウェア対策としてのバックアップの限界とリスク

ランサムウェア攻撃によってバックアップの重要性が高まっているが、バックアップは万能薬ではない。限界とリスク、より効果的なバックアップ方法を知っておく必要がある。

/tt/news/2207/13/news10.jpg
セキュリティ分野でのAI技術のROI【中編】

Googleも推す「セキュリティのためのAI技術」の“キープレイヤー”は?

AI技術を自社製品に生かそうと、セキュリティベンダーの間で技術開発や買収が進んでいる。実際に何が起こっているのか。セキュリティベンダーの動向を追う。

/tt/news/2207/13/news03.jpg
アワードで紹介する“注目のデータ保護”【第2回】

ランサムウェア対策を低コストで 審査員がうなった“あのデータ保護製品”とは

脅威が多様化する一方、データ保護機能の拡充も進んでいる。米TechTargetの製品アワード「Storage Products of the Year」で審査員を驚かせたデータ保護機能とは。

/tt/news/2207/12/news12.jpg
Python「ctx」に見つかった不正機能の正体【前編】

Pythonパッケージに不正追加の“AWS認証情報を盗む機能”はこうして見つかった

AWSの認証情報の流出につながる不正な機能が、Pythonのパッケージ「ctx」に追加される問題が発生した。この問題はどのような経緯で明らかになったのか。注意点とは。

/tt/news/2207/11/news01.jpg
鍵はブロックチェーン

Web3が実現する農業のDX

Web3とブロックチェーンは、農業分野のデジタルトランスフォーメーションを実現する可能性がある。想定される応用例を紹介する。

/tt/news/2207/11/news02.jpg
「セキュリティ意識向上研修」の効果を高める方法【第4回】

“危ない社員”をあぶり出す「人的リスク定量化モデル」とは? 導入するには

従業員に起因するセキュリティリスクの特定に役立つプロセス「人的リスク定量化モデル」の人気が高まりつつある。人的リスク定量化モデルの詳細と、その取り入れ方を紹介する。

/tt/news/2207/09/news01.jpg
macOSに見つかった2つの脆弱性を検証する【前編】

“あのファイル”がないとマルウェアが実行可能に macOSにあった脆弱性の正体

2021年に明らかになった「macOS」の脆弱性「CVE-2021-30657」。その仕組みはどのようなものだったのか。AppleのOSに詳しいセキュリティ専門家の話を基に解説する。

/tt/news/2207/08/news07.jpg
「ディープフェイク」にだまされないためには【前編】

甘く見てはいけない捏造動画「ディープフェイク」の脅威 知人でも気付かない?

ディープフェイク攻撃は政治家や芸能人にとどまらず、最近は企業にも被害が広がっている。対抗するためには、まず仕組みを知る必要がある。ディープフェイクの要点をまとめた。

/tt/news/2207/07/news01.jpg
暗号のまま真であることを証明

ポスト量子化時代のための「ゼロ知識証明」

情報を暗号化したまま処理できる「ゼロ知識証明」の重要性が高まっている。ゼロ知識証明とは何か。なぜ重要なのか。その分野の専門家に話を聞いた。

/tt/news/2207/07/news08.jpg
ランサムウェア対策の常識・非常識【第1回】

ランサムウェア攻撃で身代金を“絶対に払ってはいけない理由”はこれだ

ランサムウェア攻撃を受けて身代金要求に応じた企業の約8割は、攻撃を再度受けていることがCybereasonの調査で分かった。身代金を支払うことのデメリットはこれだけではない。

/tt/news/2207/05/news03.jpg
よみがえったテープ人気は続くのか【後編】

「テープ」のお祭り騒ぎに“冷や水” LTOの容量増加は無意味なのか?

2021年に発売した「LTO-9」の製品によってテープ市場は息を吹き返した。「LTO-10」以降でもテープの容量増加は続く見通しだ。今後もテープの需要は高まり続けるのか。

/tt/news/2207/05/news02.jpg
「Web 3.0」の「3大リスク」【中編】

「Web 3.0」(Web3)で“匿名性”が生むリスクとは? IDを取り巻く問題

具現化し始めた「Web 3.0」を使いこなす上では「匿名性」への対処が必要だ。匿名性にはさまざまなメリットがある一方、リスクも無視してはいけない。そのリスクとは何か。

/tt/news/2207/11/news05.jpg
ソフトウェアをアップデートすべき5つの理由【後編】

絶対に開いてはいけない“偽の更新メッセージ”とは? 本物っぽくても要注意

ソフトウェアのアップデートはセキュリティ向上の手段だが、アップデートそのものがリスクになる場合もある。どういうことなのか。対策は。

/tt/news/2207/04/news06.jpg
ソフトウェアをアップデートすべき5つの理由【中編】

“アップデート拒否”はこんなに損 セキュリティだけじゃない意外な利点

ソフトウェアのアップデートにはセキュリティの向上以外にも実施すべき理由がある。それはどのようなものなのか。さまざまな視点からアップデートの利点を探る。

/tt/news/2207/04/news01.jpg
客もお店も笑顔になる?

「笑顔」がキーの生体認証プログラムをMastercardが開始

Mastercardが、Payfaceの技術を利用した生体認証プログラムを立ち上げた。この生体認証のキーになるのは「笑顔」だ。

/tt/news/2207/04/news02.jpg
「セキュリティ意識向上研修」の効果を高める方法【第3回】

“コンプラのためだけのセキュリティ研修”は価値なし Gartner推奨の方法は?

セキュリティ意識向上研修の効果を高める鍵の一つは、研修の効果を測る指標の設定方法にある。どのような指標を設定すればよいのか。Gartnerが勧める方法を紹介する。

/tt/news/2207/01/news01.jpg
クラウドストレージの「5大リスク」と回避策【後編】

エンジニアの“コミュ力”不足が「クラウドストレージ」を危険にさらす?

クラウドストレージの安全な利用に取り組む際は、セキュリティ管理とコンプライアンスの2つを無視してはいけない。具体的にどうすればいいのか。

6 月

/tt/news/2206/30/news01.jpg
バックアップしていても使わない!?

ランサムウェア被害者が、自力で復旧できるのに身代金を払うワケ

調査の結果、ランサムウェア攻撃を受けて身代金を支払った企業の4分の1は、バックアップなどの復旧手段を持っていた。彼らはなぜあえて高額な身代金を払ったのだろうか。

/tt/news/2206/29/news05.jpg
Twitterがユーザーの個人情報を不正利用【後編】

多要素認証(MFA)に不信感 Twitter“認証データを広告転用”問題のインパクト

多要素認証(MFA)のために集めたユーザーの個人情報を広告に利用したTwitter。専門家はこうした行為がMFAへの信頼を損なう可能性があると指摘する。

/tt/news/2206/29/news11.jpg
アワードで紹介する“注目のデータ保護”【第1回】

ランサムウェア対策にも使える「データ保護製品」ベンダーの“3強”はこれだ

ランサムウェアなどの脅威に対して、企業はどのようなデータ保護の対策を講じるべきなのか。米TechTargetの製品アワードで上位にランクインした製品を基に、市場のトレンドや注目の機能を紹介する。

/tt/news/2206/29/news09.jpg
TechTarget発 世界のITニュース

VMwareが脅威インテリジェンス機能「Contexa」を発表 何が可能になるのか?

VMwareは脅威インテリジェンス機能「Contexa」を発表。同社のセキュリティ製品に組み込まれ、ユーザー企業は追加費用なしで利用できる。具体的にどのような機能なのか。

/tt/news/2206/29/news04.jpg
小規模オフィスも狙うランサムウェア【後編】

「ランサムウェア」は油断した中小企業を狙う? ガードの固め方とは

中小企業にも迫るランサムウェアの脅威。データ保護のためのインフラと対処法を用意しておくことが欠かせない。Unitrendsの製品群から、ランサムウェア対策において何が重要なのかを考える。

/tt/news/2206/28/news03.jpg
認証アプリは時代遅れ

モバイルアプリによる二要素認証をさっさと捨てるべき理由

モバイル端末に送信したコードで認証する二要素認証は既に時代遅れだ。なぜ認証アプリが安全ではないのか。それに代わる安全なソリューションとは?

/tt/news/2206/28/news14.jpg
TechTarget発 世界のITニュース

AWSのデータ保護がより安価になった「Clumio SecureVault」の軽量版とは?

Clumioはデータ保護サービス「Clumio SecureVault」の軽量版を提供開始する。Amazon EC2やAmazon EBSで利用できる。「エアギャップ」を使ったデータ保護ができるという同サービスには、どのような特徴があるのか。

/tt/news/2206/28/news02.jpg
悪用されると危険な「Google Cloud Platform」のAPI【第5回】

GCP“危ないAPI”の発見者が語る クラウドとオンプレミスの“根本的な違い”

クラウドセキュリティを万全にするには、どのようなことに気を付ければよいのか。「Google Cloud Platform」のAPIに潜む危険性を指摘した、Mitiga Securityに聞いた。

/tt/news/2206/27/news10.jpg
ソフトウェアをアップデートすべき5つの理由【前編】

ソフトウェアの「アップデート」を無視し続けた人が直面する“危険な末路”

ソフトウェアのアップデートは放置してはいけない――。当たり前のようにそう言われるのは、なぜなのか。アップデートしないとどうなるのか。アップデートの意義をおさらいする。

/tt/news/2206/27/news02.jpg
攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】

Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは?

トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。

/tt/news/2206/27/news08.jpg
CISAアドバイザリーに学ぶセキュリティ強化策【後編】

“ポート開けっ放し”は禁物 軽視してはいけない「脆弱性」の危険性とは

企業がシステムを守る際に注目しなければならないのは、システムの脆弱性だ。脆弱性を進める上で、CISAが特に注意を促していることは何か。どのような技術で脆弱性悪用のリスクを減らせるのか。

/tt/news/2206/27/news06.jpg
よみがえったテープ人気は続くのか【中編】

「テープ」の出荷本数が増える異常事態 “ありえない”が起きた理由とは?

LTOのテープは新世代が出るたびに容量が大幅に増加している。これがテープの出荷容量の増加にもつながっている。2021年は予測に反して出荷数も増加に転じた。それはなぜなのか。

/tt/news/2206/27/news05.jpg
「セキュリティ意識向上研修」の効果を高める方法【第2回】

毎年やっても意味がない? 「セキュリティ研修」を無駄にする“あの慣習”

「年に1度、必ずセキュリティ研修を実施する」。こうした取り組みはセキュリティを向上させる上で効果がありそうだが、実はある“欠陥”があると専門家は語る。それは何なのか。

/tt/news/2206/23/news14.jpg
トレンドキーワードピックアップ

「パスワード」認証は今すぐ終わらせるしかない? “脱パスワード”急加速へ

企業ITを取り巻くホットなキーワードの関連記事を紹介する「トレンドキーワードピックアップ」。今回は基本的な認証要素である「パスワード」に関する記事を取り上げます。

/tt/news/2206/23/news06.jpg
「FIDO2」にApple、Google、Microsoftが本腰【後編】

パスワードレス認証「FIDO2」を身近にするApple、Google、Microsoftの秘策とは

Apple、Google、Microsoftはパスワードレス認証技術「FIDO2」を本格的に普及させるために、導入のハードルを下げようとしている。3社は何を構想しているのか。

/tt/news/2206/22/news10.jpg
Twitterがユーザーの個人情報を不正利用【前編】

Twitterのずさんな個人情報管理 「認証用の電話番号」を広告にうっかり利用

多要素認証(MFA)のためにユーザーから受け取った電話番号やメールアドレスを、なぜか広告に利用――。Twitterは、なぜこうした事態を招いたのか。ユーザーへの影響は。

/tt/news/2206/21/news03.jpg
結果は自明

DockerコンテナがロシアへのDDoS攻撃に利用されるリスクに注意

ロシアやベラルーシのWebサイトにDDoS攻撃を仕掛けるDockerコンテナが、APIを介して広がっている。このコンテナに侵害されるとDDoS攻撃に加担させられる。その結果、何が起こるのか。

/tt/news/2206/21/news13.jpg
よみがえったテープ人気は続くのか【前編】

「テープ」は死んでいなかった 突然息を吹き返した“謎”の事態

2020年に出荷容量が落ち込んでいた「LTO」のテープは、2021年に大きな盛り上がりを見せた。その背景には、企業が無関心ではいられない“ある事情”があった。

/tt/news/2206/21/news11.jpg
「Web 3.0」の「3大リスク」【前編】

「Web 3.0」(Web3)で仮想通貨を奪う“4つの手口”とは?

次世代インターネット「Web 3.0」の具現化が急速に現実味を帯びている。さまざまなメリットの裏面にはリスクも潜む。Web 3.0を安全に活用するにはどうすればいいのか。

/tt/news/2206/21/news07.jpg
活発化する中堅・中小企業狙いのサイバー攻撃【後編】

中小企業で「RDP」攻撃が活発化 カスペルスキーが考える理由とは?

世界の中堅・中小企業をサイバー犯罪者が狙っている。システムを守るために、特にどのような脅威に対して注意が必要なのか。Kaspersky Labの調査を踏まえて考える。

/tt/news/2206/21/news01.jpg
悪用されると危険な「Google Cloud Platform」のAPI【第4回】

GCPに見つかった“危険な正規API”悪用問題 Googleはどう動いた?

「Google Cloud Platform」(GCP)の正規のAPIの中で、攻撃者に悪用される可能性があるものを、クラウドセキュリティベンダーのMitigaが発見した。同社の報告を受け、Googleはどのような対策を取ったのか。

/tt/news/2206/20/news15.jpg
CISAアドバイザリーに学ぶセキュリティ強化策【前編】

不正アクセスを招く「設定ミス」5つの悪用手口とは?

世界各国のサイバーセキュリティ機関は、セキュリティ対策の設定ミスがシステムへの不正アクセスを招くと警鐘を鳴らす。設定ミスを悪用した攻撃手法とは、具体的には何なのか。対策は。

/tt/news/2206/20/news01.jpg
「Windows 10」標準ツールで強化するセキュリティ【第4回】

GPO(グループポリシーオブジェクト)とは? 危ないWindowsを生まない仕組み

Microsoftは、企業が安全に「Windows 10」搭載デバイスを運用できるようにするために、さまざまなセキュリティ向上の仕組みを設けている。主な仕組みを整理する。

/tt/news/2206/20/news17.jpg
「セキュリティ意識向上研修」の効果を高める方法【第1回】

「情報漏えいを引き起こす内部関係者」の半数以上は“あんな人”

Proofpointが発表した調査レポートによると、内部関係者に起因するデータ侵害の頻度が高まっている。その半数以上は内部関係者の“ある行動”によって引き起こされている。その行動と対策とは。

/tt/news/2206/20/news16.jpg
小規模オフィスも狙うランサムウェア【前編】

「ランサムウェア対策」が中小企業で進まない残念な事情――ベンダーが語る

ランサムウェアによる脅威は大企業だけではなく、中小企業にも迫っている。データ保護の強化が求められる中、中小企業はどのような選択が可能なのか。Unitrendsの新製品発表が参考になる。

/tt/news/2205/31/news05.jpg
OSSとの「上手な付き合い方」【第1回】

知らないと危険な「OSSのリスク」 “脆弱性祭り”への対処法とは?

OSSはアプリケーションを開発する際に「利用しないわけにはいかない」ほど重要な存在になった。一方でOSSの脆弱性を悪用した攻撃が跡を絶たない。OSSを安全に利用するには、どうすればいいのか。

/tt/news/2206/17/news02.jpg
iOS「サイドロード」の実態と危険性【第4回】

iPhoneで“野良アプリ”をどうしても使いたい人がやるべきこと

iOSデバイスに、App Storeにないアプリケーションをインストールする必要が生じた場合、IT担当者は何に気を付ければよいのか。危険があるポイントやリスクの緩和策を解説する。

/tt/news/2206/17/news01.jpg
クラウドストレージの「5大リスク」と回避策【中編】

クラウドストレージは「解約後」こそ危ない その理由と対処法

クラウドストレージの安全な利用には、契約中だけではなく、解約後のデータの扱いに注意することが不可欠だ。具体的に何をすればいいのか。セキュリティを高めるためのチップスを集めた。

/tt/news/2206/16/news08.jpg
「FIDO2」にApple、Google、Microsoftが本腰【前編】

Apple、Google、Microsoftが推すパスワードレス認証「FIDO2」とは?

パスワードの要らない世界の実現を目指し、Apple、Google、Microsoftはパスワードレス認証技術「FIDO2」の活用に力を入れる。FIDO2は何を可能にするのか。このほど3社が打ち出した計画とは。

/tt/news/2206/14/news01.jpg
ゼロデイ脆弱性にも対応可

ブラウザの脆弱性を保護する「ブラウザアイソレーション」とは何か

Webブラウザのゼロデイ脆弱性にも対応できるセキュリティ対策が「ブラウザアイソレーション」だ。一元管理できるのでエンドポイント管理に煩わされることもない。

/tt/news/2206/14/news09.jpg
活発化する中堅・中小企業狙いのサイバー攻撃【前編】

中小企業を脅かすサイバー攻撃「PSW」とは? カスペルスキーが警鐘

Kaspersky Labによれば中堅・中小企業を標的にしたサイバー攻撃が勢いを増している。特に急増しているのは「PSW」というサイバー攻撃だという。その実態とは。

/tt/news/2206/14/news04.jpg
悪用されると危険な「Google Cloud Platform」のAPI【第3回】

セキュリティ専門家が「GCP」の正規APIに示した“重大な懸念”とは?

クラウドセキュリティベンダーのMitiga Securityは、「Google Cloud Platform」(GCP)の正規APIに“ある懸念”があると指摘する。それは何なのか。

/tt/news/2206/13/news06.jpg
TechTarget発 世界のITニュース

GoogleがセキュリティベンダーMandiantを巨額買収 その狙いは?

GoogleはセキュリティベンダーのMandiant買収を発表した。MandiantがFireEyeと分離してから、1年も経たないうちの買収となる。GoogleとMandiantの狙いは何か。

/tt/news/2206/13/news01.jpg
教育機関が「なりすましメール」から身を守る方法【第4回】

なりすましメールにだまされないために学習者のセキュリティ意識を高める方法

教育機関がサイバー攻撃を受けたとき、最前線にいるのは学習者と教職員だ。彼らにセキュリティ意識と知識がないと、被害を防ぎにくくなる可能性がある。どのように対処すればよいのか。

/tt/news/2206/10/news06.jpg
iOS「サイドロード」の実態と危険性【第3回】

iPhoneで“野良アプリ”を使ってはいけない理由と、それでも使うときの判断基準

iOSデバイスにApp Storeにないアプリケーションをインストールすることは、メリットがある半面リスクも伴う。どのような危険性があるのか。

/tt/news/2206/10/news11.jpg
セキュリティ分野でのAI技術のROI【前編】

「セキュリティのためのAI技術」は“推し”なのか? ROIで考える

十分なROIが見込めるかどうかは、IT投資において重要な判断基準だ。ROIを考えた場合に、セキュリティのためのAI技術への投資は是か非か。企業と投資家の答えは微妙に異なる。

/tt/news/2206/10/news10.jpg
NEWS

ハイブリッドワークを目指す東芝グループがCisco製品を導入した理由

東芝グループはハイブリッドワーク実現を目指し、クラウド型セキュリティサービス「Cisco Umbrella」とクラウド電話サービス「Webex Calling」を導入した。何が可能になったのか。

/tt/news/2206/09/news05.jpg
使える「Microsoft Defenderウイルス対策」の6大機能【後編】

OneDriveに潜むランサムウェアを探す「Microsoft Defenderウイルス対策」の機能とは?

ランサムウェア対策は企業の急務だ。「Microsoft Defenderウイルス対策」はランサムウェア攻撃に立ち向かうために、どのような機能を備えているのか。

/tt/news/2206/08/news03.jpg
IAMポリシーの適切な管理方法とは?

緩いIAMポリシーがクラウドを危険にする当然の理由

クラウドのセキュリティを脅かす理由の一端が明らかになった。それはクラウドを利用する組織のIAMポリシーの欠如だ。緩いIAMポリシーに起因するリスクを分かりやすく解説する。

/tt/news/2206/08/news04.jpg
ランサムウェアに狙われる医療機関 対抗策は【後編】

ランサムウェアに負けない医療機関になるための3つのセキュリティ対策

医療機関が攻撃者にとって格好の標的であることは論をまたない。ランサムウェア被害に備え、医療機関がまず着手すべき3つのセキュリティ対策とは。

/tt/news/2206/08/news02.jpg
教育機関が「なりすましメール」から身を守る方法【第3回】

英国トップ大学は「なりすましメール」対策が“甘い”?

英国で評価ランキング上位にある大学は、なりすましメールにどう対処しているのか。Proofpointが公開した「DMARC」に関する調査結果を基に、実態を探る。

/tt/news/2206/07/news10.jpg
悪用されると危険な「Google Cloud Platform」のAPI【第2回】

GCPの設定ミスが原因? 正規APIを悪用してVMを乗っ取る“驚きの手口”

Googleの「GCP」には、「設定ミス」が原因で悪用されてしまう恐れのある2つのAPIがある。どのような手口なのか。なぜ攻撃が可能になるのか。

/tt/news/2206/06/news01.jpg
「Windows 10」標準ツールで強化するセキュリティ【第3回】

Windowsの無料セキュリティ「Defender」シリーズ 主要ツールの違いは?

「Windows 10」が標準搭載するセキュリティツール「Defender」シリーズは、安全にWindows 10搭載デバイスを運用する上での助けになる。Defenderシリーズの主要ツールを整理しよう。

/tt/news/2206/06/news02.jpg
Appleの残念な歴史

脆弱性を放置するAppleに高まる批判──同社の反論は?

macOSに脆弱性があることを知りながら、Appleはそれを放置している。Catalina/Big Surユーザーは危険にさらされている。本件についてAppleに問い合わせてみたが……。

/tt/news/2206/03/news10.jpg
iOS「サイドロード」の実態と危険性【第2回】

iPhoneに“野良アプリ”をインストールして安全に使う「正しい」方法

Appleは特定用途に向けて、App StoreにないアプリケーションをiOSデバイスにインストールする「サイドロード」の方法を用意している。具体的な方法を紹介する。

/tt/news/2206/03/news04.jpg
副作用に注意

Raspberry Pi OSのデフォルトアカウントが廃止された納得の理由

Raspberry Pi OSのデフォルトアカウントである「pi」が廃止された。このわずかな修正の影響は大きい。デフォルトアカウント廃止の理由と副作用を説明する。

/tt/news/2206/03/news08.jpg
クラウドストレージの「5大リスク」と回避策【前編】

クラウドストレージ“最大”のリスクは「設定ミス」 対処法は?

クラウドストレージを安全に利用するには、まずはクラウドストレージに関するさまざまなリスクを知ることが不可欠だ。重要なリスクである「設定ミス」と、その対処法を確認する。

/tt/news/2206/02/news09.jpg
攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】

Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”

攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。

/tt/news/2206/02/news07.jpg
使える「Microsoft Defenderウイルス対策」の6大機能【中編】

無料で使える「Microsoft Defenderウイルス対策」のスキャン機能は使い物になるのか?

デバイスのセキュリティを確保するには、マルウェアを検出するスキャンが欠かせない。基本機能であるスキャン機能など、無料で使える「Microsoft Defenderウイルス対策」の主な機能を検証する。

/tt/news/2206/02/news04.jpg
ランサムウェアに狙われる医療機関 対抗策は【中編】

「医療機関へのランサムウェア攻撃」が患者にもたらす「重大」な被害とは?

セキュリティ専門家は、米国の大手医療グループUniversal Health Services(UHS)に対するランサムウェア被害を深刻な事態と認識している。その理由は。

/tt/news/2206/01/news01.jpg
「Appleセキュリティバウンティ」は改善したのか【第4回】

「Appleのバグ報奨金は安過ぎる」と語るセキュリティ研究者の言い分

Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。

/tt/news/2206/01/news04.jpg
攻撃者は標的サーバで何をするのか

侵害されたサーバの分析で判明した攻撃者の「残念な行動」

侵入に成功したサーバで攻撃者がすることを知ることは、セキュリティ対策にとって重要だ。Sophosの分析によって、攻撃者の侵入方法や手口が明らかになった。

/tt/news/2206/01/news03.jpg
教育機関が「なりすましメール」から身を守る方法【第2回】

「なりすましメール」の被害から学習者と教職員を守る方法

サイバー攻撃の成否を左右する「なりすましメール」。学習者や教職員をなりすましメールから保護するために、教育機関はどのような対策を取ればよいのか。

5 月

/tt/news/2205/31/news08.jpg
悪用されると危険な「Google Cloud Platform」のAPI【第1回】

悪用されると危険なGCP「2つの正規API」とは? VM乗っ取りの恐れも

クラウドセキュリティベンダーのMitiga Securityが、攻撃者に悪用される恐れのある「Google Cloud Platform」(GCP)のAPIを発見した。GCPに潜む危険を解説する。

/tt/news/2205/31/news01.jpg
セキュリティマネジャーのリアルな一日【後編】

GoProのCISOが遭った痛い目とは? 外部ベンダーのリスク評価はお早めに

GoProのCISO、トッド・バーナム氏は午後も忙しい。事前に決まっていた仕事に加え、急きょ経営陣から指示されたタスクもこなさなければならない。仕事術についてさまざまなヒントがある同氏の午後を紹介する。

/tt/news/2205/30/news04.jpg
「Windows 10」標準ツールで強化するセキュリティ【第2回】

Windowsに無料で付いてくる「Windowsセキュリティ」の“これだけの機能”

「Windows 10」標準搭載の「Windowsセキュリティ」には、さまざまなセキュリティ機能が備わっている。どのような機能があるのか。Windowsセキュリティの基本的な機能をまとめた。

/tt/news/2205/28/news01.jpg
iOS「サイドロード」の実態と危険性【第1回】

「仕事のiPhoneで“野良アプリ”を堂々と使う人」がゼロではない現実

App Store以外からアプリケーションを入手する「サイドロード」。iPhoneユーザーはどの程度サイドロードを実施しているのか。セキュリティベンダーの調査結果から見えてきた、ある実態とは。

/tt/news/2205/27/news01.jpg
ペネトレーションテストは手動か自動か【第4回】

「ペネトレーションテストは手動か、自動か」の比較は無意味である可能性

ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。

/tt/news/2205/26/news08.jpg
ランサムウェアに狙われる医療機関 対抗策は【前編】

ランサムウェアが医療機関のネットワークを止めた その恐ろしい手口は

米国の大手医療グループUniversal Health Services(UHS)がランサムウェア被害を受けた。攻撃の手口はどのようなものだったのか。

/tt/news/2205/26/news07.jpg
使える「Microsoft Defenderウイルス対策」の6大機能【前編】

“役立たずのWindows Defender”が「Microsoft Defenderウイルス対策」になって大人気の謎

Microsoftは「Windows」の無料セキュリティツール「Microsoft Defenderウイルス対策」の機能強化に注力し、前身の「Windows Defender」が受けてきた“悪評”を拭い去ってきた。変化の歴史を振り返る。

/tt/news/2205/26/news01.jpg
無線LANとモバイル通信の新世代比較【後編】

「『Wi-Fi 6』と『5G』はどちらが安全なのか?」を真剣に考えるべき理由

「Wi-Fi 6」と「5G」はセキュリティや用途においてどのような違いがあるのか。その点を踏まえて、両方の通信技術を使うことが欠かせない。

/tt/news/2205/24/news09.jpg
TechTarget発 世界のITニュース

AIでセキュリティ機能を強化した「Oracle Cloud HCM」 人事部門の利点は?

Oracleは人材管理支援システム「Oracle Cloud HCM」に、AI技術を活用したセキュリティ機能を追加した。人事部門とIT部門にどのような利点がもたらされるのか。

/tt/news/2205/24/news04.jpg
「Appleセキュリティバウンティ」は改善したのか【第3回】

「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”

Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。

/tt/news/2205/24/news05.jpg
製品の排除で発生する危機

「Kaspersky製品を排除する必要はない」 それでも残るリスクとは?

英国の国家サイバーセキュリティセンターは、Kaspersky製品を排除する必要はないという見解を示した。急いで排除することで別のリスクが生じるという。ただし、使い続けることにはさらに別のリスクがある。

/tt/news/2205/24/news08.jpg
“暗号化しない”ランサムウェア攻撃集団

コカ・コーラに身代金を要求した親ロ派ランサムウェア集団Stormousの狙いとは?

ランサムウェア攻撃集団「Stormous」はCoca-Colaのシステムに入り込んだと主張している。データを暗号化しないとみられるStormousは、この攻撃によって何を狙っているのか。

/tt/news/2205/23/news06.jpg
教育機関が「なりすましメール」から身を守る方法【第1回】

攻撃者が教育機関を狙いたくなる“なるほどの理由”

教育機関を狙ったサイバー攻撃が起きている。その背景を探ると、教育機関が攻撃者の標的になり得る理由が見えてくる。なぜ教育機関は狙われるのか。

/tt/news/2205/21/news01.jpg
「Windows 10」標準ツールで強化するセキュリティ【第1回】

Windowsに無料で付いてくる「Windowsセキュリティ」とは? その使い方

「Windows 10」搭載デバイスのセキュリティの基礎固めには、Windows 10標準の「Windowsセキュリティ」が有用だ。Windows 10ユーザーであれば無料で使えるWindowsセキュリティの基本的な使い方を紹介する。

/tt/news/2205/20/news01.jpg
Chromeゼロデイ脆弱性悪用 その狙いと手口【後編】

北朝鮮の攻撃者グループが悪用か 「Chrome」脆弱性を突く2種類の攻撃とは

北朝鮮の攻撃者グループが悪用したとみられる、「Chrome」の脆弱性「CVE-2022-0609」。実際の攻撃の手口として、Googleは2種類の攻撃を明かした。それぞれどのような攻撃なのか。

/tt/news/2205/19/news09.jpg
NEWS

サイバー犯罪のアンダーグラウンドで拡大する「外部委託」と「協調志向」の実態

BlackBerryが「2022年版 BlackBerry脅威レポート」を公開した。同社の顧客約1万社のデータに基づいた調査から明らかになった、サイバー犯罪の「外部委託」と「協調志向」とは。

/tt/news/2205/19/news03.jpg
ウクライナのインフラを狙うロシア【後編】

ウクライナ電力網の停止を狙ったマルウェアが「他の地域にも広がる」は本当?

ウクライナの電力施設へのサイバー攻撃に悪用された「Indestroyer2」には、セキュリティ専門家が懸念する特徴が存在する。どのような問題があるのか。

/tt/news/2205/19/news02.jpg
無線LANとモバイル通信の新世代比較【中編】

「Wi-Fi 6」と「5G」は全然違う 使っているだけでは何に気付けないのか?

「Wi-Fi 6」と「5G」は使用している中での大きな違いは生じないが、根本的に異なる通信技術だ。今後は両方の無線通信を使用する動きが広がると考えられる中で、押さえておくべき違いとは。

/tt/news/2205/19/news01.jpg
「EC2 Instance Connect」エラー対処法【後編】

AWS「EC2 Instance Connect」のエラー原因は「IAM」「IPアドレス」にあり?

「EC2 Instance Connect」を使用する際に発生するエラーの原因として、「IAM」やパブリックIPアドレス関連の不備が考えられる。何が問題なのか。対処するにはどうすればいいのか。

/tt/news/2205/18/news07.jpg
根本的な勘違いがリスクの原因

セキュリティ製品を増やしても無駄!? セキュリティ対策の意外な落とし穴

さまざまなリスクに対応するには各種セキュリティ製品が必要だ。問題はそれをどう利用するかだ。複数のセキュリティ製品を導入したが故に生じる落とし穴が全てを台無しにしているかもしれない。

/tt/news/2205/17/news08.jpg
「Appleセキュリティバウンティ」は改善したのか【第2回】

「Appleに脆弱性を報告しても放置される」問題は本当になくなったのか?

セキュリティ研究者の間で、「Appleセキュリティバウンティ」におけるAppleの応対が改善したという意見がある一方、懸念点も指摘されている。何が問題なのか。

/tt/news/2205/17/news03.jpg
セキュリティマネジャーのリアルな一日【中編】

午前中に会議が4回 GoProのCISOの超多忙な一日とは

GoProのCISO、トッド・バーナム氏の午前中は会議が立て込んでいる。ITチーム、人事部、製品開発部門など、会社のさまざまな部署との会議でカレンダーに空き時間がないバーナム氏の一日に迫る。

/tt/news/2205/13/news02.jpg
「重大なバグ」への対処法【第4回】

「修正ができないバグ」に直面したときの“切り札”とは?

どれほど優秀なIT部門でも、さまざまな要素によってバグ修正が“お手上げ”になるケースがある。それでもシステムを守る方法はある。どのようなものなのか。

/tt/news/2205/15/news01.jpg
ペネトレーションテストは手動か自動か【第3回】

「自動ペネトレーションテストツール」を過信してはいけない 専門家の懸念は?

テスト担当者やセキュリティアナリストの作業の一部を肩代わりする自動ペネトレーションツールには、利点だけでなく欠点もある。導入に先立って企業が把握すべき欠点や専門家の見解を紹介する。

/tt/news/2205/13/news08.jpg
ウクライナのインフラを狙うロシア【前編】

ロシアがウクライナ電力網をサイバー攻撃で止めようとした? その狙いと手口

ウクライナの電力施設の産業用制御システムを狙ったサイバー攻撃が観測された。セキュリティ機関は、この攻撃がロシア政府の支援を受けた攻撃者によるものとみる。具体的な攻撃の手口とは。

/tt/news/2205/12/news01.jpg
「パスワードレス認証」7つの課題【第5回】

“パスワードのいらない世界”が招くプライバシー問題の正体

企業がパスワードレス認証を導入する上で、解消すべき課題が幾つか存在する。その中から本稿は従業員のプライバシー保護と、“過度な期待”で生じるリスクを解説する。

/tt/news/2205/12/news16.jpg
無線LANとモバイル通信の新世代比較【前編】

「Wi-Fi 6」と「5G」を使うなら知っておくべき、5つの重大な違い

無線LANは「Wi-Fi 6」、モバイル通信は「5G」の利用が広がりつつあり、双方の通信技術が力を合わせるべき時が来ている。2つの通信技術の共通点と違いを踏まえて、応用の可能性を探る。

/tt/news/2205/12/news15.jpg
「EC2 Instance Connect」エラー対処法【前編】

AWSの「EC2 Instance Connect」がエラーを起こす“あの原因”とは?

「EC2 Instance Connect」はAWSの仮想マシンサービス「Amazon EC2」に安全に接続するための便利なサービスだが、エラーが発生する場合がある。エラーの原因と対処法を紹介する。

/tt/news/2205/12/news02.jpg
セキュリティにも「シフトレフト」を【後編】

「シフトレフト」をうまくいかせるこつは? 「開発者にセキュリティを丸投げ」は駄目

セキュリティの「シフトレフト」を成功に導くためには、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることが重要だ。どうすればいいのか。

/tt/news/2205/11/news09.jpg
「Microsoft Remote Procedure Call」に脆弱性

Windowsに見つかった「RPC」の危ない脆弱性 パッチ未適用PCは全滅か?

「Windows」の重要なネットワークコンポーネントである「RPC」に脆弱性が見つかった。急速な被害拡大の可能性があると専門家は警鐘を鳴らす。何が危険なのか。実害を防ぐにはどうすればいいのか。

/tt/news/2205/10/news07.jpg
「Appleセキュリティバウンティ」は改善したのか【第1回】

「Appleには協力できない」と嘆いていたバグ研究者が認めたAppleの変化とは?

セキュリティ研究者によると、「Appleセキュリティバウンティ」におけるAppleのコミュニケーションが2022年に入って改善した。具体的にどう改善したのか。参加者の実体験を紹介する。

/tt/news/2205/10/news01.jpg
ランサムウェア攻撃からのデータセンター保護術【後編】

真っ先にやるべき「ランサムウェア対策」はこれだ

ランサムウェア攻撃の実害を防ぐために、データセンターにおいて企業ができることは幾つかある。中でも優先的にやるべきこととは何なのか。

/tt/news/2205/09/news01.jpg
クラウドユーザーのための「ログ管理」5大ベストプラクティス【後編】

AWS純正かOSSか? クラウド向け「ログ管理ツール」の“正解”は

「Amazon CloudWatch Logs」「Azure Monitor」「Cloud Logging」などクラウドベンダーのツールか。それともサードパーティー製やOSSのツールか。クラウドサービスのユーザー企業が選ぶべきログ管理ツールとは。

/tt/news/2205/06/news04.jpg
「重大なバグ」への対処法【第3回】

「いきなり本番で修正」は禁物 問題発生を防ぐバグ修正ノウハウとは?

重大なバグが発生したとき、ビジネス活動に欠かせないシステムを守りたいとIT担当者は考える。ただし、せっかちな対処は逆効果を招く恐れがある。どうすればいいのか。

/tt/news/2205/06/news01.jpg
いまさら聞けないパスワード保護術【後編】

デフォルトパスワードはなぜ変えないといけないのか パスワード管理が重要な訳

パスワード設定や管理にはさまざまな落とし穴がある。デフォルトパスワードの継続使用、「記憶頼り」の設定などだ。悪習を克服し、安全なパスワードを実現するためにはどうすればいいのか。

4 月

/tt/news/2204/28/news07.jpg
「重大なバグ」への対処法【第2回】

バグ修正の成否を決めるのは「連絡窓口の一本化」 それはなぜなのか

重大なバグは発生したら、IT部門に問い合わせが殺到する。それでも冷静に動いて適切に情報発信するための手法がある。緊急時におけるコミュニケーションのノウハウを紹介する。

/tt/news/2204/28/news01.jpg
「パスワードレス認証」7つの課題【第4回】

“パスワードのいらない世界”をできるだけ安く実現する方法

パスワードレス認証の導入に必要なコストを抑えるには、どうすればよいのか。パスワードレス認証におけるUX確保のこつとは。これらの疑問に答える。

/tt/news/2204/28/news02.jpg
IETF標準になるか

NATOが量子時代用のセキュアなVPNの確立を目指す切実な理由

Post-QuantumによるセキュアなVPN通信をNATOがテストした。まだIETF標準になってもいない技術を使ってでもセキュアな通信の確立を目指すのはなぜか。

/tt/news/2204/28/news03.jpg
セキュリティにも「シフトレフト」を【中編】

「シフトレフト」にソフトウェア開発者が後ろ向きの理由と、前向きにする方法

セキュリティの「シフトレフト」を実現するためには、セキュリティ担当者とソフトウェア開発者の密な連携が鍵を握る。両者間のコミュニケーションを改善する策とは。

/tt/news/2204/26/news11.jpg
セキュリティマネジャーのリアルな一日【前編】

GoProのCISOが語る「だからセキュリティマネジャーは大変」

企業の「システムの安全」を支えるセキュリティマネジャー。守備範囲が広く、苦労することもあるセキュリティマネジャーの仕事はどのようなものなのか。GoProのCISOの話を紹介する。

/tt/news/2204/25/news01.jpg
クラウドの垣根を越える

Microsoft Defender for CloudがAWSとGCPをサポートする合理的な理由

「Microsoft Defender for Cloud」は、Microsoftのクラウドセキュリティ体制管理および脅威保護ツールだ。同ツールはAzureだけでなくAWSとGCPをサポートする。Microsoftの真意とは?

/tt/news/2110/29/news03.jpg
これで分かる「DevSecOps」の課題と解決【第1回】

「SAST」「DAST」「SCA」がDevSecOpsに向かない“なるほどの理由”

セキュリティを取り入れたアプリケーション開発手法「DevSecOps」ではさまざまなツールを利用できるが、それぞれに“ある問題”がある。それは何なのか。DevSecOpsの要件と共に解説する。

/tt/news/2204/22/news11.jpg
「重大なバグ」への対処法【第1回】

重大なバグの発生時、IT部門が腕前を発揮するためのノウハウとは?

ソフトウェアのバグ発生は避けられないが、IT部門の対処によってダメージを最小限に抑えられる。いざというときに備え、IT部門の手引きになるバグ対処のチップスを集めた。

/tt/news/2204/22/news01.jpg
ペネトレーションテストは手動か自動か【第2回】

「自動ペネトレーションテストツール」が役立つのは“あれ”が多い企業

ペネトレーションテストの業務効率化に役立つ「自動ペネトレーションテストツール」。手動ペネトレーションテストと比べて何が優れているのか。どのような企業に特に適するのか。

/tt/news/2204/21/news08.jpg
Chromeゼロデイ脆弱性悪用 その狙いと手口【前編】

北朝鮮の攻撃者グループが「Chrome」脆弱性を悪用か 経済制裁の抜け穴に?

「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。

/tt/news/2204/21/news02.jpg
いまさら聞けないパスワード保護術【中編】

「めんどくさい」は通じない やはり「多要素認証」が欠かせない理由とは

パスワードセキュリティを強化する一つの手段として、多要素認証(MFA)がある。MFAや他のツールの活用、パスワードセキュリティガイドライン策定を軸にした保護策を紹介する。

/tt/news/2204/20/news01.jpg
バックアップしても被害は発生

バックアップがランサムウェア対策にならない納得の理由

多くの理由でバックアップは必要だが、「ランサムウェア対策」としては無意味になりつつある。サイバー犯罪者は、対象がバックアップしていることを織り込んでいるからだ。

/tt/news/2204/19/news03.jpg
ランサムウェア攻撃からのデータセンター保護術【中編】

エアギャップはなぜ重要か 「論理的エアギャップ」との違いは

ランサムウェア攻撃のリスクにさらされているデータセンター。システムを守るための一つの手段として「エアギャップ」がある。どのようなものなのか。

/tt/news/2204/19/news01.jpg
できているか「セキュリティ衛生管理」【後編】

クラウドセキュリティ向上は“歯磨きイヤイヤ”の克服がヒント?

テレワーク導入とともにクラウドサービスの利用が増えると、企業にとってセキュリティの「衛生管理」の重要性が増す。問題は従業員にその重要性をどう納得させるかだ。

/tt/news/2204/18/news03.jpg
クラウドユーザーのための「ログ管理」5大ベストプラクティス【中編】

ログ管理を「ログ収集」と混同していないか? クラウドログ管理の勘所

ログはシステムトラブルへの対処をスムーズにするための有力な手段だ。ただしログを収集することを目的化してはいけいない。クラウドサービスのユーザー企業がログ管理に取り組む際のベストプラクティスを示す。

/tt/news/2204/18/news02.jpg
パスワードポリシー作成方法【後編】

本当に使える「パスワードポリシー」の作り方 「BYOI」を考慮すべし

パスワードポリシーを定める際、従業員にとっての使いやすさを考えなければならない。そのためには何に注意すればよいのか。パスワードポリシー作成の勘所をまとめた。

/tt/news/2204/15/news01.jpg
やらかし企業事例

従業員を試す「フィッシングメールテスト」が炎上した残念な理由

「ウチの従業員はフィッシングメールを見抜けるのか」と経営層が考えるのは当然だ。実際にテストしてみるのも一案だ。だがやり方を間違えると炎上事件に発展する。

/tt/news/2204/14/news02.jpg
「パスワードレス認証」7つの課題【第3回】

“パスワードのいらない世界”をかなえる技術の正しい見極め方

適切なシステムや使い方を検討しておかなければ、パスワードレス認証の技術選定はうまくいかない。企業が事前に考慮すべき自社システムの現状とは。

/tt/news/2204/14/news05.jpg
セキュリティにも「シフトレフト」を【前編】

「シフトレフト」とは? ソフトウェア開発“セキュリティ改革”の切り札

ソフトウェア開発の企業はセキュリティの「シフトレフト」の考え方を取り入れれば、効率を上げながら攻撃のリスクを減らせる。シフトレフトとは何か。メリットや課題も含め解説する。

/tt/news/2204/12/news02.jpg
クラウドの4大設定ミスとその防止方法【後編】

クラウドの「ワークロード設定ミス」を防ぐ方法と、設定ミス撲滅に役立つツール

クラウドサービスの設定ミスをなくすには、細かい設定に目を配り続けなければならない。ベンダー各社は、クラウドサービスの適切な設定を支援するツールを提供している。

/tt/news/2204/11/news08.jpg
クラウドユーザーのための「ログ管理」5大ベストプラクティス【前編】

クラウドログ管理の前に「なぜログを管理するのか」を熟考すべし

IT担当者はログを一元管理することで、システム監視を強化し、トラブルシューティングの速度を向上できる可能性がある。クラウドサービスのユーザー企業がログ管理を成功させるためのベストプラクティスを紹介する。

/tt/news/2204/11/news05.jpg
パスワードポリシー作成方法【前編】

「パスワードポリシー」とは何か? 明文化で認証情報を安全に

企業はパスワードを守るための基本ルールとして「パスワードポリシー」を策定することが重要だ。パスワードポリシーとはどのようなもので、なぜ必要なのか。実践的なノウハウを含めて紹介する。

/tt/news/2204/08/news10.jpg
ペネトレーションテストは手動か自動か【第1回】

「手動ペネトレーションテスト」でしか調べられない脆弱性とは?

手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。

/tt/news/2204/07/news03.jpg
「パスワードレス認証」7つの課題【第2回】

“パスワードのいらない世界”をレガシーアプリでも実現する方法

レガシーアプリケーションに新しい認証手段を導入することは難しいが、無理ではない。パスワードレス認証をレガシーアプリケーションに導入するには、どうすればよいのか。導入の際の注意点とは。

/tt/news/2204/07/news12.jpg
いまさら聞けないパスワード保護術【前編】

8割の攻撃の起点はパスワード流出 「覚えやすい」はなぜいけないのか

パスワードセキュリティの不備は、企業に大きなリスクをもたらす。パスワード保護は常識のはずだが、意外と実施されていないのが実情だ。企業はどうすればいいのか。

/tt/news/2204/06/news09.jpg
ランサムウェア攻撃からのデータセンター保護術【前編】

ランサムウェア攻撃の実害を防ぐ“究極の対策”とは?

データセンターはランサムウェア攻撃の主要なターゲットになっている。ランサムウェア攻撃を防いだり、被害を最小限に抑えたりするためにはどうすればいいのか。チップスを集めた。

/tt/news/2204/06/news01.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第4回】

セキュリティ重視へ 変化する「教育IT先進国オランダ」の意識

いち早くIT化を進めることで、パンデミックの難局を乗り越えたオランダの教育機関。IT活用をさらに進める一方で、セキュリティ意識にも変化の兆しがある。

/tt/news/2204/05/news03.jpg
クラウドの4大設定ミスとその防止方法【中編】

機密データを全世界に公開しないための「クラウドストレージ」「クラウドネットワーク」設定ミスの防ぎ方

クラウドストレージやクラウドネットワークの設定ミスが原因となり、機密データを誤って外部に公開してしまうことがある。こうした事故を防ぐために、設定ミスを防止する方法を説明する。

/tt/news/2204/04/news01.jpg
なぜLinuxが狙われるのか

「Linuxベースのクラウドは危険」 VMwareが警告する納得の理由

VMwareが、Linuxが危険にさらされていると警鐘を鳴らす。なぜLinuxが狙われるのか。攻撃者にとってLinuxが魅力的なターゲットになってしまった理由を明らかにする。

/tt/news/2204/04/news07.jpg
できているか「セキュリティ衛生管理」【前編】

ウイルス感染に効く「セキュリティ衛生管理」のチェックリスト

企業がシステムを攻撃から守るためには、パスワード更新やパッチ適用といった定期的な「衛生管理」が鍵を握る。「そうだが、どうすれば……」と感じる人のために、今すぐできる施策のチェックリストをお届けする。

/tt/news/2204/01/news03.jpg
失われ始めた攻撃者同士の信頼【後編】

ランサムウェア攻撃者に広がる“人間不信” 原因は懸賞金と「いいね」依存症?

ランサムウェア攻撃者の間で、不信感や対立がエスカレートしている。その背景を探ると、実に“人間らしい事情”が見えてきた。それはどのようなことなのか。

/tt/news/2204/01/news15.jpg
12世代Intel Coreで変わった点

「vPro」搭載PCは普通のPCと何が違う? テレワークを狙う攻撃に焦点

第12世代のIntel Core向け「vPro」は、ファームウェアからOS、メモリに至るまで幅広いセキュリティ機能をそろえるとIntelは強調する。具体的には、どのような機能があるのか。

3 月

/tt/news/2203/31/news15.jpg
「パスワードレス認証」7つの課題【第1回】

“パスワードのいらない世界”を職場だけじゃなく工場でも実現する方法

企業がパスワードレス認証を導入するにはさまざまな壁を乗り越える必要がある。オフィス外で働く従業員や社外スタッフに適したパスワードレス認証の手段とは。

/tt/news/2203/30/news15.jpg
“常識”から見直すセキュリティ対策【後編】

「IoC」だけでは不十分 セキュリティ対策を強化する手段とは?

猛威を振るうサイバー攻撃に対処するために、企業が導入すべき技術やプロセスとは何なのか。専門家の助言に沿って解説する。

/tt/news/2203/30/news03.jpg
普通のアンチウイルス製品では不可

対策困難なブートキット「MoonBounce」からUEFIを守る方法

UEFIを改ざんするマルウェア(ブートキット)が発見された。ブートキットはOSが起動する前に実行されるため、OS上のソフトウェアで検知するのは不可能に近い。UEFIを守る方法とは?

/tt/news/2203/30/news08.jpg
メタバースが呼び込むセキュリティ問題【後編】

「セカンドライフ」の元セキュリティ幹部が語る“メタバース中毒”の怖さ

企業がメタバースを利用する際、どのような懸念事項があるのか。メタバースの先駆け「Second Life」運営のLinden Labで、セキュリティ責任者を務めた専門家の意見を基に、具体的な問題と解決策を取り上げる。

/tt/news/2203/30/news07.jpg
「Web 3.0」を狙う“古い手口”【後編】

攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない

「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。

/tt/news/2203/30/news05.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第3回】

教育機関はどのようなサイバー攻撃を受けているのか?

攻撃者は企業だけでなく、教育機関も標的にする。オランダの教育機関が受けた被害を例に、実際に教育機関がどのようなサイバー攻撃を受けているのかを整理する。

/tt/news/2203/29/news03.jpg
「響く」セキュリティ研修の作り方【後編】

セキュリティ研修の内容はこの「4つのトピック」で成立する

セキュリティ研修の成否は情報の伝え方に加え、そもそも「何」を伝えるかで決まる。実はカバーすべき内容はそれほど多くなく、4つのトピックを取り上げれば大丈夫だ。どのようなものなのか。

/tt/news/2203/29/news13.jpg
クラウドの4大設定ミスとその防止方法【前編】

「クラウドIAMの設定ミス」の危険性と、設定ミスを防ぐ3つの方法

クラウドサービスの単純な設定ミスが、情報漏えいにつながる恐れがある。クラウドサービスのID・アクセス管理(IAM)における設定ミスの危険性と、適切なIAMポリシーを設定する方法を説明する。

/tt/news/2203/28/news13.jpg
“常識”から見直すセキュリティ対策【前編】

「“明らかな悪”を全力で調べる」だけのセキュリティ対策はもうやめよう

アジア太平洋地域(APAC)の企業はサイバー攻撃への備えが万全とは言えないと、セキュリティの専門家は指摘する。その一因は、APAC企業が当然のように進めてきたセキュリティ対策そのものにあるという。

/tt/news/2203/28/news03.jpg
やはりあの国

金融業界を狙うランサムウェア集団を支援する「予想通りの国家」

金融業界を標的とする攻撃が増加している。それらは、あの国とあの国の支援を受けた集団と結び付いているという。記事を読むまでもなく、今あなたが想像した国が多分正解だ。

/tt/news/2203/26/news01.jpg
失われ始めた攻撃者同士の信頼【前編】

「Kajit」は誰だ――匿名性が生んだランサムウェア攻撃者間の疑心暗鬼

攻撃者にとって「匿名性」は自らを保護する上で重要な意味を持つ。しかし最近は匿名性が不利に働き、ダークWebで関係者同士の不信や対立が拡大している。何が起きているのか。

/tt/news/2203/23/news02.jpg
実装できた企業の割合は?

ゼロトラストの核「マイクロセグメンテーション」を実装する方法

ますますゼロトラストの重要性が高まっている。だが多くの企業がその実装に苦労している。ゼロトラストの中心概念であるマイクロセグメンテーションを確実に実装する方法を紹介する。

/tt/news/2203/23/news12.jpg
メタバースが呼び込むセキュリティ問題【中編】

メタバースが「乗り物酔い」や「てんかん」を引き起こす?

メタバースは仮想的な3D空間だが、専門家によるとメタバースにおけるサイバー攻撃では現実世界に危険が及ぶことを懸念しなければいけないという。その理由と、具体的な脅威とは。

/tt/news/2203/23/news11.jpg
「Web 3.0」を狙う“古い手口”【前編】

NFTや仮想通貨を盗む「ソーシャルエンジニアリング」はWeb 3.0でも“最恐”か

Cisco Systemsのセキュリティ研究機関によると、次世代Web「Web 3.0」の構成技術を狙った攻撃の手口は驚くほど古い。だからこそ油断は禁物だ。Web 3.0を狙った攻撃に企業はどう備えるべきか。

/tt/news/2203/23/news07.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第2回】

セキュリティの予算もなければ計画もないオランダ教育機関の“惨状”

オランダの教育機関と企業の間には、セキュリティへの投資に大きな差があることが調査で明らかになった。調査結果から見えた、教育機関の“惨状”とは。

/tt/news/2203/22/news05.jpg
「響く」セキュリティ研修の作り方【中編】

セキュリティ研修で従業員の心をつかむために欠かせない4つのポイント

せっかくセキュリティ研修を実施しても、内容が退屈であれば、参加者は熱心に耳を傾けない。学びたくなる研修プログラムを作るための、4つのポイントを紹介する。

/tt/news/2203/22/news03.jpg
「VBAマクロ」の抑え込み【後編】

Microsoftの「VBAマクロ」原則ブロックを専門家が称賛 中には“苦言”も

「Microsoft Office」ファイルの標準設定を変更し、VBAマクロを悪用した攻撃を防ごうとするMicrosoftの取り組みを、専門家はどうみているのか。歓迎の声が上がる中、同社を批判する意見もある。

/tt/news/2203/21/news02.jpg
「SEOポイズニング」攻撃の実態【後編】

Googleは検索悪用攻撃「SEOポイズニング」を防ぐために何をすべきなのか?

SEOを悪用して有害サイトへ誘導する「SEOポイズニング」を使った攻撃を食い止めるために、Googleなどの検索エンジンベンダーにできることとは何なのか。セキュリティの専門家に聞く。

/tt/news/2203/17/news10.jpg
特選プレミアムコンテンツガイド

「Linux」が狙われ始めた“なるほどの理由”

「Linux」を狙ったマルウェアが目立ち始めている。攻撃者にとって、なぜLinuxは“魅力的”なのか。Linuxを安全に利用するにはどうすればよいのか。

/tt/news/2203/17/news03.jpg
Googleセキュリティ強化策の効果と反発【後編】

Googleのセキュリティ向上策に不満の声 「2段階認証」はなぜ嫌われる?

セキュリティ強化を理由に、Googleは「Googleアカウント」の2段階認証を標準で有効にした。この取り組みに対して、一部のエンドユーザーは怒りの声を上げている。それはなぜなのか。

/tt/news/2203/16/news08.jpg
メタバースが呼び込むセキュリティ問題【前編】

「メタバース」を正しく恐れる 注意すべきセキュリティ問題とは?

メタバースの普及に伴い、企業はよりいっそうセキュリティに注意を払う必要が生じた。従来企業を悩ませたセキュリティ問題に加え、新たな問題が浮上すると専門家は予想する。どのような問題なのか。

/tt/news/2203/16/news06.jpg
セキュリティ軽視から重視へ オランダ教育機関の変化【第1回】

IT幹部の調査で判明 オランダの教育機関が抱える“セキュリティの闇”とは

オランダの教育機関は、セキュリティにどう向き合っているのか。課題とその解決策とは。IT幹部を対象にした調査結果や専門家の見解を基に、現状を探る。

/tt/news/2203/15/news10.jpg
「響く」セキュリティ研修の作り方【前編】

セキュリティ研修を「めんどくさい義務」から「有意義な時間」に変えるには

攻撃を防ぐために重要だが従業員にはあまり人気がないセキュリティ研修。その内容や情報の伝え方に工夫を凝らせば、学習効果を高め、セキュリティの強化につなげられる。どうすればいいのか。

/tt/news/2203/15/news08.jpg
「VBAマクロ」の抑え込み【中編】

VBAマクロ“原則ブロック”後に「Office」でマクロを実行する方法

ダウンロードした「Microsoft Office」ファイルは有害なマクロを含む可能性がある。対策としてMicrosoftはOfficeファイルのマクロを標準で無効にする。実行が必要なマクロがある場合、企業はどうすればよいのか。

/tt/news/2203/11/news05.jpg
「SEOポイズニング」攻撃の実態【中編】

検索結果からマルウェアに誘導 「SEOポイズニング」3つの方法とは?

SEOを悪用して有害なWebサイトに誘導する「SEOポイズニング」攻撃は、実際のサイバー攻撃においてどのように悪用されているのか。マルウェア「SolarMarker」の配布に使われた攻撃を例に、具体的な方法を探る。

/tt/news/2203/10/news09.jpg
Googleセキュリティ強化策の効果と反発【前編】

Googleアカウントの「2段階認証」が標準で有効に Googleの狙いは?

Googleは2021年10月、「Googleアカウント」の2段階認証を標準で有効にした。なぜこうした措置に踏み切ったのか。その意図を探る。

/tt/news/2203/10/news03.jpg
サイバー攻撃の被害者が通報したがらない理由【後編】

「ランサムウェア」被害を警察に通報すべき“納得の理由”

ランサムウェア攻撃などのサイバー攻撃を受けた企業には、法執行機関への報告をためらってしまう理由がある。それでも報告することには価値があると専門家は主張する。それはなぜなのか。

/tt/news/2203/10/news02.jpg
出社再開のための「HCI」(ハイパーコンバージドインフラ)チェックリスト【後編】

ファン不具合でサーバ加熱も 止めていた「HCI」の再稼働時に注意すべきこと

オフィス出勤再開とともに取り組みたい「HCI」のチェック。セキュリティを含めたソフトウェア更新から細かいパーツの動作確認まで、チェック対象はさまざまだ。IT管理者のやるべきことをまとめた。

/tt/news/2203/09/news02.jpg
パスワードレス化への道のり【第4回】

“パスワードのいらない世界”は本当に来るのか 肯定派、否定派それぞれの見解

パスワードレス認証の今後をアナリストはどうみているのか。将来、パスワードが完全になくなることは本当にあるのだろうか。そこにはさまざまな意見がある。

/tt/news/2203/08/news08.jpg
Kronos給与計算SaaSのランサムウェア被害と法的影響【後編】

「ランサムウェア攻撃を受けたSaaSベンダー」に規制当局が求める責任とは

Kronosの給与計算SaaSに対するランサムウェア事件は、不利益を被ったユーザー企業の従業員からの訴訟問題だけでなく、政府機関といった規制当局からの取り締まり強化に発展する懸念がある、と専門家は指摘する。

/tt/news/2203/08/news12.jpg
「VBAマクロ」の抑え込み【前編】

“怪しいVBAマクロ”を原則ブロック 「Office」標準設定変更の狙いは?

企業へのサイバー攻撃に広く使用されてきたVBAマクロの対処に、Microsoftが乗り出した。「Microsoft Office」アプリケーションの標準設定を変更し、VBAマクロを原則ブロックするように決断した背景とは。

/tt/news/2203/07/news02.jpg
身代金は払わない!

ランサムウェアに感染した2000台のPCを24時間以内に復帰させた方法

レジャー企業NCHの多数のPCがランサムウェアに感染した。同社はその中の2000台を24時間以内に復帰させて事業を継続した。

/tt/news/2203/07/news05.jpg
TechTarget発 世界のITニュース

Microsoft署名の脆弱性を悪用 「Zloader」の驚くほどシンプルな手口とは

マルウェア「Zloader」のハッカー集団はMicrosoftのデジタル署名の脆弱性を悪用し、攻撃活動をしている。企業はシステムを守るために、どうすればいいのか。

/tt/news/2203/04/news08.jpg
「SEOポイズニング」攻撃の実態【前編】

「SEOポイズニング」復活の“謎” SEOを攻撃に悪用する手口

検索エンジンの結果に有害なWebサイトが表示されやすくする「SEOポイズニング」は、新しい攻撃手法ではない。ただしSophosの調べによると、SEOポイズニング攻撃に“変化”が起きている可能性がある。それは何か。

/tt/news/2203/03/news03.jpg
パスワードレス化への道のり【第3回】

“パスワードのいらない世界”の実現には「マルチベンダー」が現実的な理由

アナリストによると、企業がパスワードレス認証を実装するには、単一ベンダーではなく複数ベンダーの製品を採用する方が適切だ。その理由と、具体的に活用できるツールを紹介する。

/tt/news/2203/03/news02.jpg
ランサムウェア攻撃の被害を防ぐ「5W」【後編】

ランサムウェア対策に失敗しないためには「どこ」で感染するかを考えるべし

ランサムウェア攻撃に立ち向かうためには、攻撃の対象が何かを正確に把握し、企業が一丸となって対策を講じる必要がある。その理由とは何か。経営者も含め、全員の意識を高めるためのこつは。

/tt/news/2203/03/news04.jpg
サイバー攻撃の被害者が通報したがらない理由【中編】

「ランサムウェア」感染企業が被害を明かさない“なるほどの理由”

法執行機関がランサムウェア攻撃などのサイバー攻撃の犯人逮捕で成果を上げている一方、企業はサイバー攻撃の被害通報にあまり積極的ではない。その理由や、機関と企業の思惑の違いを専門家の説明に沿って解説する。

/tt/news/2203/02/news01.jpg
調査から読み解く「プリンタセキュリティ」の今【後編】

「プリンタ」がサイバー犯罪者に狙われる理由と、やるべきセキュリティ対策

プリンタへのサイバー攻撃が勢いづいている。その背景には何があるのか。企業はプリンタのセキュリティをどう確保すればよいのか。専門家に聞く。

/tt/news/2203/01/news16.jpg
Kronos給与計算SaaSのランサムウェア被害と法的影響【前編】

ランサムウェアで給与過少払い テスラ、ペプシコ系従業員によるSaaS訴訟の中身

Kronosの給与計算SaaSに対するランサムウェア攻撃を巡って、ユーザー企業の従業員が集団訴訟を提起している。原告は「システム停止の結果、不正確な給与計算から給与の過少支払いが生じた」と訴える。

/tt/news/2203/01/news05.jpg
NHSが抱える「医療機器のセキュリティリスク」【後編】

「サポート切れソフト」を使い続ける英国の病院 現実解としての「自衛」は?

NHSトラスト(英国NHS傘下の公営病院)の一部で、医療機器のセキュリティギャップが課題視されている。古いソフトウェアで稼働する医療機器を使わざるを得ない場合、システム管理者が持つべき「自衛策」は。

2 月

/tt/news/2202/24/news04.jpg
パスワードレス化への道のり【第2回】

“パスワードのいらない世界”実現に「ゼロトラスト」「行動生体認証」が役立つ理由

企業はさまざまな技術を自社に取り入れてパスワードレス認証の実現を目指している。アナリストによると、その流れの中で企業は「ゼロトラストセキュリティ」と「行動生体認証」を採用するという。それはなぜなのか。

/tt/news/2202/24/news12.jpg
サイバー攻撃の被害者が通報したがらない理由【前編】

「ランサムウェア」逮捕者続出の裏で深刻化する「企業が被害を報告しない」問題

法執行機関によるサイバー攻撃捜査は一定の成果を上げており、身代金を押収した事例もある。他方でサイバー攻撃被害を通報したがらない企業も一定数ある。そうした企業に米政府が勧告した内容とは。

/tt/news/2202/24/news11.jpg
出社再開のための「HCI」(ハイパーコンバージドインフラ)チェックリスト【前編】

コロナ禍で止めていた「HCI」を再び安全に動かす方法とは?

コロナ禍の収束を見込み、企業は徐々にオフィス出勤を再開。従業員が自宅で働いていたとき“眠っていた”「HCI」は大丈夫なのか。HCIの状態をチェックするポイントを紹介しよう。

/tt/news/2202/24/news10.jpg
「Zoom」を安全に使うこつ【後編】

無料で簡単にできる「Zoom」のセキュリティ対策6選

「Zoom」を安全に使うためには、何をすればよいのか。ポイントとなる“人間の脆弱性”にどう対処すべきなのか。セキュリティ向上のためのこつを紹介する。

/tt/news/2202/23/news04.jpg
Logitech「Sync」でWeb会議用デバイスを遠隔管理

テレワーカーの自宅Webカメラを監視できるツールが登場 その本当の狙いとは?

Web会議用デバイスの管理ソフトウェア「Sync」で、オフィスだけでなくテレワーカーの自宅にあるWebカメラやヘッドセットを遠隔管理できるようにしたLogitech。その狙いとは何なのか。

/tt/news/2202/21/news07.jpg
NHSが抱える「医療機器のセキュリティリスク」【前編】

「IoMT」(医療分野のIoT)が病院の新たなリスクに――英国調査で分かった事実

英国NHS傘下の公営病院「NHSトラスト」の一部は、適切なセキュリティ対策を実施できていないことが明らかになった。NHSトラストは改善を続けているが、一方で新たなリスクが生じていると専門家は懸念を示す。

/tt/news/2202/18/news06.jpg
メールセキュリティポリシーに必要なこと【後編】

自社に合った「メールセキュリティポリシー」を作る5つの手順

自社事情を考慮した上でメールセキュリティポリシーを定めるには、何に気を付けるべきか。5つの手順に沿って検討してみよう。

/tt/news/2202/17/news09.jpg
ランサムウェア攻撃の被害を防ぐ「5W」【前編】

企業が“ランサムウェア攻撃責任者”を決めるのはなぜ重要なのか

ランサムウェア攻撃による被害を減らすために、事前に計画を立てることが肝だ。具体的にどうすればいいのか。「5W」(5つの問い)に沿った計画作りのこつを紹介する。

/tt/news/2202/17/news08.jpg
「Zoom」を安全に使うこつ【前編】

「Zoomは危ない」は本当なのか? Zoomを危険にする“本当の原因”とは?

「Zoom」は利用の広がりとともに、セキュリティの懸念も広げた。運営元のZoom社はセキュリティ向上の取り組みを進めているものの、その成否の鍵を握るのは同社ではないとの見方がある。どういうことなのか。

/tt/news/2202/16/news09.jpg
パスワードレス化への道のり【第1回】

“パスワードのいらない世界”への道 「パスワードレス認証」の第一歩とは

パスワード認証の限界が露呈する中、企業はパスワード認証に依存した現状からの脱却を図ろうとしている。その有力な手段となり得るのが「パスワードレス認証」だ。

/tt/news/2202/14/news12.jpg
TechTarget発 世界のITニュース

仮想通貨取引のBTC-ALPHAにランサムウェア攻撃 競合他社とのトラブルが原因か

攻撃者は身代金の移動に暗号資産取引所を使うことがある。その取引所の一つが、ランサムウェア攻撃の標的になった。英国のBTC-ALPHAだ。競合他社とのトラブル説が浮上しているが、何があったのか。

/tt/news/2202/12/news01.jpg
メールセキュリティポリシーに必要なこと【前編】

「メールは危ない」と何度でも伝え続けなければいけない理由と、正しい伝え方

人々にとってメールは古くから慣れ親しんだコミュニケーションツールだ。攻撃者がメールを悪用するのも目新しいことではない。それでもメールを使った攻撃が成功し続けているのはなぜか。企業は何をすべきなのか。

/tt/news/2202/10/news10.jpg
調査から読み解く「プリンタセキュリティ」の今【前編】

何でも印刷したがる“プリンタ依存”で深刻化するセキュリティ問題

テレワークでオフィスのプリンタを利用しにくくなっても、印刷ニーズはすぐにはなくならない。むしろ“プリンタ依存”はさらに進む見込みだ。こうした中、企業はプリンタセキュリティの確保に苦労している。

/tt/news/2202/09/news02.jpg
MITRE ATT&CKの課題克服法

多くの企業が「MITRE ATT&CK」を活用できない残念な訳

MITRE ATT&CKを活用すればセキュリティが向上する。だが多くの企業はMITRE ATT&CKを使いこなせていない。その残念な理由と使いこなすための解決策を紹介する。

/tt/news/2202/09/news03.jpg
ペネトレーションテストのためのPython【後編】

「Python」だけじゃなく「JavaScript」「Go」「Ruby」を学ぶべき理由

「Python」はペネトレーションテスト担当者が学ぶのに適したプログラミング言語だと専門家は主張する。Python以外にも目を向けるべきコンピュータ言語や、学習を継続させるために重要なこととは。

/tt/news/2110/27/news10.jpg
トレンドマイクロの調査から

「Linux」が犯罪者に狙われ始めた“なるほどの理由”

トレンドマイクロの調査では、「Linux」マシンへの攻撃が目立っているという。Linuxマシンは攻撃者にとってなぜ“魅力的”なのか。その理由や攻撃の詳細を解説する。

/tt/news/2202/08/news10.jpg
TechTarget発 世界のITニュース

「Log4Shell」を悪用した攻撃 実は脆弱性の公表前から始まっていた?

話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。

/tt/news/2202/07/news05.jpg
TechTarget発 世界のITニュース

中国、イラン、北朝鮮……「Log4Shell」を使った“官製ハッカー”の動きとは

国家が関わっている複数のハッカー集団が「Apache Log4j」の脆弱性「Log4Shell」を使い、攻撃を仕掛けている。今「誰」が「どう」動いているのか。

/tt/news/2202/04/news02.jpg
ブルートフォース(総当たり)攻撃は防げない

クレジットカード番号は簡単に解読可能……身を守る手段は「一つだけ」

ダークウェブではクレジットカードの情報が非常に安価で売買されている。クレジットカード番号はブルートフォース(総当たり)攻撃で簡単に分かってしまう。身を守る手段は一つしかないという。

/tt/news/2202/04/news07.jpg
TechTarget発 世界のITニュース

脆弱性「Log4Shell」にこれで対処 攻撃を防ぐために知っておきたい措置

企業は引き続き、「Apache Log4j」の脆弱性「Log4Shell」を悪用した攻撃に注意する必要がある。自社の防御に役立つノウハウやツールは何か。

/tt/news/2202/03/news02.jpg
英国の「.uk」ドメイン取り締まり事情【後編】

“コロナ便乗詐欺”に使う悪質ドメインの実態 取り締まりの内容と効果は?

新型コロナウイルス感染症に関連したドメインを新規に登録し、サイバー犯罪に悪用する動きがある。こうした悪質ドメインを取り締まるため、「.uk」ドメイン管理団体Nominetはどのように取り組んでいるのか。

/tt/news/2202/02/news04.jpg
ペネトレーションテストのためのPython【中編】

「Python 3」と「Python 2」の“決定的な違い”とは?

「Python 2」と「Python 3」にはさまざまな違いがある。ペネトレーションテストでの「Python」活用を推奨する有識者が、特筆すべき両者の違いを解説する。

/tt/news/2202/02/news01.jpg
APIセキュリティへの懸念【第5回】

“危ないAPI”のセキュリティ確保には「コミュニケーション」力が不可欠な理由

APIがさまざまなアプリケーションの中核に位置するようになった現代、攻撃から保護するためのAPIセキュリティは重要だ。企業が取り組むべきAPIのセキュリティ対策を、複数の専門家が解説する。

/tt/news/2202/01/news03.jpg
「Discord」を襲う脅威【後編】

「Discord」攻撃から見える、「公開リポジトリ」が狙われやすくなった理由

「Discord」ユーザーを狙うマルウェアが見つかったことに際して、セキュリティ専門家はオープンソースソフトウェアのリポジトリを悪用する攻撃への注意を促している。その背景は。

/tt/news/2202/01/news19.jpg
Log4Shellバスターズはまだ眠れない

あの日見つけたLog4Shellの本当の恐ろしさを僕達はまだ知らない。

Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。

/tt/news/2202/01/news27.jpg
TechTarget発 世界のITニュース

「Log4Shell」攻撃活動はなぜ“尋常ではない”のか 企業が打つべき対策とは?

「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。

1 月

/tt/news/2201/28/news08.jpg
盗んだ個人情報を悪用

「クレカ不正申し込み」が急増した“巣ごもり需要”以外の原因は?

攻撃者は消費者の個人情報を盗み、それを悪用してクレジットカードを不正に作ろうとする。こうした不正行為が英国で急増していることが、調査により判明した。その背景とは。

/tt/news/2201/28/news07.jpg
TechTarget発 世界のITニュース

Log4j騒動のあおり? MicrosoftやApple製品の重大パッチ適用が後回しされる訳

MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。

/tt/news/2201/28/news04.jpg
ランサムウェアから早期復旧【後編】

ランサムウェア被害を脱した企業が「クラウドファイルストレージ」を使う理由

ランサムウェア攻撃を受けたLEO A DALYがデータを迅速に復旧させるために、クラウドファイルストレージの機能が役立った。同社はなぜクラウドファイルストレージを使うことにしたのか。

/tt/news/2201/26/news04.jpg
英国調査から見る「ネットバンクとの付き合い方」【後編】

「APP詐欺」の恐ろしさとは? 銀行を脅かす新たな脅威

金銭のやりとりが発生する銀行サービスは、サイバー犯罪者の格好の標的だ。「APP詐欺」などの新たな手口が広がる中、銀行は被害防止に向けて、業界の垣根を越えた協力を求めている。

/tt/news/2201/26/news22.jpg
ペネトレーションテストのためのPython【前編】

初めてのプログラミングには「Python」を選ぶべき“セキュリティ的な理由”

ペネトレーションテスト担当者にとって、「Python」は優先して習得すべきプログラミング言語だと専門家は推奨する。それはなぜなのか。そもそもPythonは学びやすいのか。

/tt/news/2201/26/news20.jpg
セキュリティスキルが新たな武器に

英国陸軍が進める「“ハッカー軍人”10万人育成計画」の中身

英国陸軍は軍人10万人にImmersive Labsのセキュリティ教育を受けさせ、サイバー攻撃に対抗するためのスキルを高める。内部に「セキュリティ専門家」を育てる英国陸軍の狙いは。

/tt/news/2201/26/news05.jpg
教育機関におけるネットワークの運用管理【後編】

IT熟度が違う2500校以上のネットワーク整備 ニュージーランドはどう進めたのか

ニュージーランドはマネージドネットワークサービスを教育機関に導入している。規模も、IT活用の程度も異なる複数の教育機関に、マネージドネットワークサービスの恩恵を満遍なくもたらすには何が必要なのか。

/tt/news/2201/26/news01.jpg
APIセキュリティへの懸念【第4回】

FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は?

企業のDX推進に伴い、APIを狙う攻撃は広がり続けている。具体的な攻撃とそれによる被害を専門家が解説する。

/tt/news/2201/31/news03.jpg
「続けたくなるテレワーク環境」の作り方【第3回】

いまさら聞けない、テレワーク用デバイスに「最低限やるべき」5つのセキュリティ対策

やむを得ない事情でテレワークを実施している企業でも、IT資産を守るために「これだけは実施すべき」という、5つのセキュリティ対策とは。不正アクセスの入り口となるデバイスの管理方法に焦点を当て、解説する。

/tt/news/2103/04/news02.jpg
テレワークと長く付き合うためのセキュリティ対策【後編】

「在宅勤務」が長期化しても安心できるセキュリティ対策とは?

新型コロナウイルス感染症対策で従業員の在宅勤務を継続する企業には、在宅勤務特有の問題を考慮したセキュリティ対策が必要になる。どのような対策を講じればよいか解説しよう。

/tt/news/2201/24/news13.jpg
「USB over Ethernet」の脆弱性

「ネット経由でUSBデバイスに接続」のSDKに脆弱性 影響範囲は?

ネットワーク経由でUSBデバイスに接続できるようにする「USB over Ethernet」を実現するSDKに、権限昇格を可能にする脆弱性が見つかった。どのような危険性があるのか。

/tt/news/2201/24/news11.jpg
TechTarget発 世界のITニュース

Windowsに管理者権限を取得可能な脆弱性 ユーザーが気を付けるポイントは

「Windows」の管理者権限を不正に取得可能な脆弱性が「Windows Installer」に見つかった。ユーザーはデバイスを攻撃から守るために、どうすればいいのか。

/tt/news/2201/24/news01.jpg
Appleの脆弱性への姿勢に疑問の声【後編】

「古いmacOS」を使うのは“自己責任”? 専門家がAppleのパッチ配布姿勢に苦言

同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。

/tt/news/2201/21/news12.jpg
攻撃者が悪用する画像加工技術の仕組みとは

「詐欺メール」がフィルタリングしても届き続ける原因は「加工画像」にあった?

画像を使った詐欺メールによるフィッシングが横行している。そうした詐欺メールは検出が難しく、メールフィルタリングをかいくぐってしまう。その仕組みを解説する。

/tt/news/2201/21/news13.jpg
ランサムウェアから早期復旧【前編】

「ランサムウェア」に狙われた企業が“数時間”で復旧できた理由

ランサムウェア攻撃の標的になった建築設計事務所のLEO A DALYは、暗号化されたデータを数時間で復旧させることができた。なぜ早期復旧が可能だったのか、その理由を探る。

/tt/news/2201/20/news20.jpg
英国の「.uk」ドメイン取り締まり事情【前編】

“悪質ドメイン”減少の訳は? 「.uk」ドメインの停止件数が過去最少に

英国のドメイン管理組織Nominetの報告から、同国でのサイバー犯罪に対する取り組みが功を奏していることが明らかになった。効果の概要とその要因を解説する。

/tt/news/2201/19/news10.jpg
英国調査から見る「ネットバンクとの付き合い方」【前編】

「ネットバンクの被害は銀行が補償して当然」と期待する人が7割 銀行の本音は

調査によると、英国のインターネットバンキングユーザーは詐欺被害を銀行が補償することを期待している。こうした考え方が広がる背景には、セキュリティ意識の高まりがある。

/tt/news/2201/19/news06.jpg
MITRE ATT&CKとは何か

世界中のセキュリティ担当者がMITRE ATT&CKを無視できない納得の理由

セキュリティベンダーやセキュリティ担当者はMITRE ATT&CKに注目せざるを得ない。MITRE ATT&CKの価値とは何か。

/tt/news/2201/19/news11.jpg
TechTarget発 世界のITニュース

Appleがスパイウェア「Pegasus」開発のNSO Groupを提訴 3つの要求とは?

AppleはイスラエルのIT企業、NSO Groupを提訴した。スパイウェア「Pegasus」によってAppleユーザーが監視されたという。Appleは何を要求しているのか。

/tt/news/2201/19/news09.jpg
教育機関におけるネットワークの運用管理【前編】

ニュージーランドは「学校向けマネージドネットワーク」で多忙な教員を救う

ニュージーランドの教育機関は、ITインフラを運用管理するマネージドネットワークサービスを活用している。マネージドネットワークサービスは教育現場でどう機能し、どのような効果をもたらしたのか。

/tt/news/2201/19/news02.jpg
APIセキュリティへの懸念【第3回】

「危ない『API』」はこうして生まれる

企業やIT製品/サービスがAPIを利用する機会が増えるにつれて、APIを狙う攻撃が活発化している。APIへの攻撃の実態や懸念点と、セキュリティ強化に向けた取り組みを紹介する。

/tt/news/2201/18/news08.jpg
「Discord」を襲う脅威【前編】

「Discord」アカウントが乗っ取られる? 見つかった悪質パッケージの危険性

DevOpsツールベンダーのJFrogが、「Discord」ユーザーを狙った悪質なパッケージを発見した。パッケージがDiscordユーザーに害を与える仕組みや危険性を解説する。

/tt/news/2201/18/news03.jpg
行動監視の是非【後編】

「Amazon Echo」「Spotify」を悪用した“ネットストーカー”の恐ろしい実態

ネットストーキングの加害者は、ストーカーウェア(行動追跡アプリケーション)に加えてさまざまツールを駆使してストーカー行為に及んでいる。その実態とは。

/tt/news/2201/14/news08.jpg
TechTarget発 世界のITニュース

McAfee法人事業とFireEyeが統合 ユーザー4万社を抱える新会社の課題は?

米国の投資会社はMcAfee EnterpriseとFireEyeを統合した。4万社以上のユーザー企業を抱えることになった新会社は今後、どのようなハードルを乗り越えなければいけないのか。

/tt/news/2201/12/news08.jpg
APIセキュリティへの懸念【第2回】

「誰が何の『API』を使っているのか分からない」問題はなぜ起こるのか

企業がAPI保護に取り組むには、何から手を付ければよいのか。複数の専門家が指摘する「APIを見失ってしまいがち」な問題に注意を払い、導入すべき対策とは。

/tt/news/2201/11/news16.jpg
行動監視の是非【前編】

「浮気っぽければ監視して当然」が8割 「ネットストーキング」を正当化する人々

パートナーのオンライン行動の監視に対する英国人の考え方が、Kaspersky Labsの調査で明らかになった。調査結果から見えてきた“驚きの実態”とは。

/tt/news/2201/11/news02.jpg
最適な「VM用セキュリティソフトウェア」を選ぶには【後編】

仮想マシン(VM)用セキュリティソフト「AppDefense」「Sophos for Virtual Environments」「McAfee MOVE AntiVirus」の違い

仮想マシン(VM)やVMが稼働する物理インフラを保護するために、ベンダー各社はVM用セキュリティソフトウェアを提供している。こうした製品の中から、VMware、Sophos、McAfeeの製品の機能や特徴を説明する。

/tt/news/2201/10/news04.jpg
フラッシュ全盛でも「テープ」に根強い需要

「テープ」が使われ続ける納得の理由 ファンなら分かるLTOの利点とは

ストレージベンダーが投入する「LTO-9」準拠のテープ製品がテープ分野を盛り上げている。業界関係者はテープ市場の先行きは明るいと言う。どのような事情があるのか。

/tt/news/2201/07/news13.jpg
特選プレミアムコンテンツガイド

「無線LANルーターの7割は侵入可能」の真相

安価なハードウェアと攻撃プログラムさえあれば、企業や家庭にある大半の無線LANルーターに侵入できる――。そうした実態をセキュリティ研究者が突き止めた。その“驚きの手口”と対策を紹介する。

/tt/news/2201/07/news15.jpg
「Twitch」データ漏えいで何が起きたのか【後編】

ライブ配信サービス「Twitch」のデータ漏えいを引き起こした“あの原因”とは

映像のライブストリーミング配信サービス「Twitch」のデータ漏えいは、なぜ発生したのか。運営元であるTwitch Interactiveの説明を整理する。

/tt/news/2201/07/news02.jpg
ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】

ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由

モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。

/tt/news/2201/06/news08.jpg
テレワーカーの監視は是か非か

「監視ソフト入り業務端末」が招く、予想通りの悲惨な結末

セキュリティあるいは生産性の観点からテレワーカーを監視したいという考えは理解できる。だが従業員の業務端末に監視ソフトウェアをインストールするとどうなるか。もちろん、予想通りの結果になる。

/tt/news/2201/06/news14.jpg
APIセキュリティへの懸念【第1回】

大人気の「API」が抱える“危険”なセキュリティ問題とは?

企業がAPIを利用する機会が広がっている。その背景やセキュリティ面の懸念を、Googleのレポートに沿って解説する。

/tt/news/2201/05/news01.jpg
最適な「VM用セキュリティソフトウェア」を選ぶには【中編】

「仮想マシン(VM)用セキュリティソフト」選びに失敗しない4つの検討項目

仮想マシン(VM)用セキュリティ対策ソフトウェアを選択するときは、考慮すべき要素が幾つかある。自社にとって適切な製品を選定するために、検討すべき項目を説明する。