Microsoft、ロシアによるウクライナ侵攻に伴うサイバー攻撃について詳解 支援国にも警告
Microsoftは、ロシアとウクライナの「ハイブリッド戦争」におけるロシアのサイバー攻撃についてのレポートを公開した。ウクライナ侵攻直前から数百回の作戦が実行されているとしている。ウクライナ支援国への攻撃の可能性もあると警告している。(2022/4/28)
ゴールデンウィーク中の情報トラブルに注意 中央省庁が連名で対策呼び掛け
内閣サイバーセキュリティセンターと経済産業省、総務省、警察庁が、ゴールデンウィーク中に情報セキュリティインシデントが発生する懸念があるとして対策を呼び掛けた。(2022/4/26)
Emotetの攻撃急減 メール送信停止も「必ず再開」 JPCERT/CCは警戒訴え
Emotetの被害が減少している。3月は感染爆発していたが、JPCERT/CCの調べで、4月上旬以降はサイバー攻撃が停止されていることが明らかになった。ただ、いつでも攻撃を再開できる態勢になっているとされ、同センターは警戒を呼び掛けている。(2022/4/26)
Innovative Tech:
電気自動車の充電を停止するサイバー攻撃 40m以上先からワイヤレスで可能 英オックスフォード大などが指摘
英オックスフォード大学とスイスのArmasuisse S+Tの研究チームは、電気自動車(EV)と充電ステーションのやりとりを電磁干渉を用いて、離れた場所から攻撃する新しい脆弱性を指摘した論文を発表した。(2022/4/26)
人材不足はツールで補う:
PR:Webアプリケーション開発者に寄り添う次世代WAFの実力を探る
Webアプリケーションを狙うサイバー攻撃の高度化は、機械学習機能を組み込んだbotによる同時多発攻撃などとどまるところを知らない。従来のWAFでは防ぎ切れない攻撃にどのように立ち向かうべきなのか。(2022/4/28)
CIO DIVE:
米政府がサイバー攻撃への準備を呼びかけ セキュリティ専門家が指摘するロシアの思惑
2022年2月末から続くロシアによるウクライナ侵攻を受け、米国と日本を含めた同盟国は対ロ経済制裁を実施している。米政府は重要インフラを抱える組織を招集し、情報を共有した。(2022/4/25)
QNAP「お願いだからUPnPを使わないで」リスクを低減する8つの接続ルール提示
QNAPはUPnPでのポート開放を利用しない方がいいとアドバイスした。QNAPは同プロトコルの問題点について指摘しつつ、これを悪用したサイバー攻撃が発生していると解説している。(2022/4/22)
宮田健の「セキュリティの道も一歩から」(72):
混沌としたサイバー空間を見つめ直すきっかけとなる「昭和30年からの手紙」
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、サイバー攻撃に脅かされる現代だからこそ心に響く、30年前の経営トップによる書簡を紹介します。(2022/4/22)
KyndrylがDellとの協業を拡大 サイバー攻撃へのレジリエンス確保を目指す
KyndrylはDellとの協業関係を拡大し、増大するサイバー脅威に対して効果的な「オフライン」バックアップサービスの提供を開始する。ネットワークからアクセスできないバックアップおよびリカバリーサービスを提供し、顧客のレジリエンスを確保する。(2022/4/21)
生活に直接影響が出るケースも:
「安全保障の観点からもサイバー攻撃の脅威は深刻化している」 公安調査庁が「サイバー空間における脅威の概況2022」を公開
公安調査庁は「サイバー空間における脅威の概況2022」を公開した。2021年に発生したサイバー脅威のうち「日本企業の海外拠点を狙った攻撃」「ランサムウェア攻撃による被害」「インフルエンスオペレーション」などを取り上げている。(2022/4/20)
北朝鮮が支援するAPTグループが暗躍 ブロックチェーン関連企業を標的に
CISAらは、北朝鮮が支援するAPTグループがブロックチェーンを標的としたサイバー攻撃を実行していると注意喚起を促すアラートを発行した。複数の企業や取引所、個人が標的にされており注意が必要だ。(2022/4/20)
露侵攻前にサイバー攻撃頻発 政府機関標的
ロシアがウクライナに侵攻する直前の1月から2月末にかけ、ウクライナ国内でロシアが関与したとみられるサイバー攻撃やデマの拡散が急増していたことが分かった。政府の情報を得にくくしたり、社会の混乱を引き起こしたりする攻撃が目立つ。(2022/4/19)
セキュリティの最前線から見えたものとは
「サイバー攻撃、うちは大丈夫」と言い切るコワさ、その背景を専門家が徹底考察
サイバー攻撃が発生するたびに問題提起が繰り返されているが、「自分ごと」として真剣に考え、行動できている組織はどれくらいあるのだろうか。そうしたセキュリティの現状や課題をpiyokango氏とセキュリティ専門家が深く考察する。(2022/4/13)
ロボットセキュリティ最前線(2):
2022年に規制化、産業用ロボットに求められるサイバーセキュリティ対策最新動向
人手不足やコロナ禍などにより、産業用ロボットやサービスロボットなど、ロボットの利用領域は急速に拡大している。一方でネットワーク化が進むこれらのロボットのセキュリティ対策については十分に検討されているとはいえない状況だ。本連載ではこうしたロボットセキュリティの最前線を取り上げる。第2回となる今回は、ロボットセキュリティ法規制の最新動向について紹介する。(2022/4/18)
VMwareの複数製品に「緊急」の脆弱性 サイバー攻撃への悪用を確認済み
VMwareは複数の自社製品に脆弱性が存在すると発表した。既にサイバー攻撃に悪用されている深刻度「緊急」(Critical)に分類される脆弱性も含まれており注意が必要だ。(2022/4/16)
海外医療技術トレンド(82):
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策
本連載第80回で、米国食品医薬品局(FDA)の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。(2022/4/15)
2021年は、凶悪化するランサムウェアや国家レベルのサイバー攻撃との攻防が激化 サイバー警察局などで捜査体制強化へ
警察庁がまとめた「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、2021年は企業や病院などを狙うランサムウェアの被害が拡大し、国家が関与するサイバー攻撃も露見するなど、サイバー脅威が深刻化しているという。(2022/4/15)
無料のサイバーセキュリティサービスやツールを集積:
CISA、サイバーセキュリティリスクの軽減に利用できる官民の無料リソースのリストを公開
米国国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は、あらゆる規模の組織がサイバーセキュリティリスクを軽減するために利用できる官民の無料リソースをまとめたWebページを公開した。(2022/4/14)
地政学リスクも顕在化:
人材不足よりサイバー攻撃より「自然」が怖い? デロイト トーマツが企業のリスク管理に関する調査結果を発表
デロイト トーマツは、2021年版の「企業のリスクマネジメントおよびクライシスマネジメント実態調査」の結果を発表した。国内企業が優先的に対処すべきと考えているリスクの第1位は「異常気象、大規模な自然災害」だった。(2022/4/14)
防衛省、サイバー防衛でインフラ事業者支援検討
防衛省が他国などのサイバー攻撃から国内の重要インフラ事業者を守るための支援策を検討している。他省庁と連携して合同演習を実施し、インフラ事業者など社会基盤のサイバー防衛を強化する。政府の国家安全保障戦略などの改定に反映させたい考えだ。(2022/4/13)
株式会社ビットフォレスト提供Webキャスト:
スキル不要で誰でも使える、クラウドベースのWebアプリケーション脆弱性診断
Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、システム開発者にとって脆弱性診断は喫緊の課題となっている。そんな中、従来製品とは違い、スキル不要で誰でも使用できるツールが登場し、注目されているという。(2022/4/13)
Sucuri研究者がWordPressに改善要望 サイバー攻撃を招く4つのデフォルト設定とは?
WordPressにおける幾つかのデフォルト設定がサイバー攻撃を招いているとSucuriは指摘する。中でも絶対にそのままにしてはいけない設定が4つあるという。(2022/4/12)
増えるサイバー攻撃に経産省が警鐘 産業界へ「セキュリティ対策徹底」呼び掛け
経済産業省の産業サイバーセキュリティ研究会が「産業界へのメッセージ」を発表した。サイバー攻撃が増加傾向にあるとして、対策の徹底、攻撃を受けた際の適切な対応、支援制度の活用を呼び掛けた。(2022/4/11)
SMBv1のリモートコード実行の脆弱性も対象 CISAの脆弱性カタログに新たに3件が加わる
CISAが「既知の悪用された脆弱性カタログ」に3個の脆弱性を追加した。サイバー攻撃にアクティブに利用される脆弱性のため、必要に応じてアップデートや緩和策を適用することが望まれる。(2022/4/8)
Spring4Shellを悪用したサイバー攻撃が全世界で拡大中 迅速な対処を
Check Point ResearchはSpringに存在する脆弱性、通称「Spring4Shell」を悪用したサイバー攻撃が全世界で拡大していると発表した。既に3万7000件に及ぶ悪用を確認しているという。(2022/4/6)
公開したWebサイト全てが狙われる時代、セキュリティ対策効率化のヒント:
PR:脆弱性、対応する人も時間もない――エキスパートに聞く解決策
社会全体でデジタル化が加速し、Webサイトは重要な顧客接点の一つになっている。一方で、サイバー攻撃による企業の被害は事業継続を脅かすほどに深刻化しており、迅速な対策の見直し、強化が求められている。ソフトウェアからミドルウェアまで日々多数の脆弱性が発覚する一方、企業の人材や予算は限定的だ。ビジネスを確実に守る方法はあるのか。(2022/4/18)
CIO Dive:
ウクライナ侵攻に乗じた攻撃に注意 2022年に注目すべきサイバー脅威の4トレンド
マルウェア「Emotet」の活発化や相次ぐサプライチェーン攻撃などサイバー攻撃の激化はとどまることを知らない。2022年のサイバーセキュリティにおける4つのトレンドを紹介しよう。(2022/4/5)
半径300メートルのIT:
これからのサイバー攻撃は小規模企業も標的に? 変わるための第一歩を紹介
小島プレス工業が不正アクセス被害に関する調査報告書を公開しました。本稿は、報告書を読み解きつつ、サプライチェーン攻撃に備えて企業がまずやるべきことを明らかにします。(2022/4/5)
防衛産業のサイバー基準強化 5年度以降の受注契約
防衛装備庁は1日、防衛産業に求めるサイバーセキュリティー基準を大幅に強化すると発表した。サイバー攻撃から防衛産業を守るため、米国並みに基準を強化する。(2022/4/4)
群れるサイバー攻撃者には防御側も「群」で対抗:
PR:いまセキュリティにプラットフォームが必要な理由
サイバー攻撃の高度化が止まらない。企業はさまざまなセキュリティ製品を導入してきたが、新たな製品を追加し続けるのではなくプラットフォームで防御するという発想に転換する必要がある。(2022/4/4)
いまこそ知りたいローカル5Gのセキュリティ(後編):
利便性が高いからこそ狙われるローカル5G、セキュリティ対策のポイントは
製造業での活用が期待されているローカル5Gを安全に運用していくために、サイバーセキュリティの観点で押さえておくべきポイントを前編と後編の2回に分けて解説する本連載。後編では、ローカル5Gで想定されるサイバーセキュリティ脅威や、安全な運用で求められるセキュリティ対策のポイントについて解説する。(2022/4/4)
ガイドラインを実践する際に参考になる事例を追加:
IPAが「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版」を発行
IPAは「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版」を発行した。「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」の結果を踏まえて、内容を充実させた。(2022/4/1)
2021年はサイバー脅威が2.25倍に AIベースの最新セキュリティを回避する攻撃が主流化
ディープインスティンクトの調査によると、2021年は最新のセキュリティ技術を備えた検知ツールを回避するなど、サイバー攻撃の高度化が進んでいることが分かった。防御側はそれに勝るセキュリティ技術の強化を継続的に図る必要がある。(2022/3/31)
世界を読み解くニュース・サロン:
トヨタも富士通もサイバー攻撃の被害に! 世界が認める凄腕セキュリティ企業の正体
ここ最近、トヨタなどの大手企業でもサイバー攻撃の被害が報告されている。そんな中、国内外で注目され始めているセキュリティ企業が「UltraRed」である。同社が提供するセキュリティソリューションとは。(2022/3/31)
箱を開けて、電源を入れるだけ:
PR:高度なファームウェア攻撃に対抗する、たった1つの簡単な方法
従来のセキュリティ対策ソフトウェアでは対策できないサイバー攻撃が増えている。企業規模を問わない攻撃が仕掛けられる理由と多層防御の「間隙」を狙う手段、企業が攻撃に対抗するための「シンプルな対策」とは。(2022/3/31)
2012年のFlash Player脆弱性もいまだ現役? CISAが整備中の「既知の悪用された脆弱性カタログ」に32件が追加
CISAは「既知の悪用された脆弱性カタログ」に32個の脆弱性を追加した。これらの脆弱性は、サイバー攻撃で積極的に悪用されており注意が必要だ。迅速な確認および対処が望まれる。(2022/3/30)
抽選でAmazonギフト券が当たる
「従業員へのサイバーセキュリティ教育」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(3000円分)をプレゼント。(2022/3/30)
“常識”から見直すセキュリティ対策【後編】
「IoC」だけでは不十分 セキュリティ対策を強化する手段とは?
猛威を振るうサイバー攻撃に対処するために、企業が導入すべき技術やプロセスとは何なのか。専門家の助言に沿って解説する。(2022/3/30)
セキュリティ軽視から重視へ オランダ教育機関の変化【第3回】
教育機関はどのようなサイバー攻撃を受けているのか?
攻撃者は企業だけでなく、教育機関も標的にする。オランダの教育機関が受けた被害を例に、実際に教育機関がどのようなサイバー攻撃を受けているのかを整理する。(2022/3/30)
トレンドマイクロ製品に任意のコードを実行できる脆弱性 修正パッチ適用呼び掛け
情報セキュリティ製品「Trend Micro Apex Central」の脆弱性を悪用したサイバー攻撃が発生している。トレンドマイクロはリリース済みの修正パッチを適用するよう呼び掛けている。(2022/3/29)
ウクライナ国営通信に大規模サイバー攻撃 軍優先に復旧中
ウクライナの情報通信当局は3月28日、国営通信社Ukrtelecomに大規模なサイバー攻撃があったと発表した。軍など重要インフラを優先するため個人へのサービスを制限している。攻撃は「撃退」し、復旧できるとTelegramに投稿した。(2022/3/29)
Innovative Tech:
自動運転車へのサイバー攻撃、米国の研究チームが実証 レーザー銃で「偽物の車が前から突っ込んでくる」錯覚攻撃
米デューク大学と米ミシガン大学の研究チームは、自動運転車のセンサーをだまして、周囲の物体が検出距離よりも近い(または遠い)と信じ込ませる攻撃に成功し、搭載するカメラやセンサーの脆弱性を実証した。(2022/3/29)
半径300メートルのIT:
「自動退会対応フィッシング」が流行の兆し? 個人でできる対策を考える
サイバー攻撃の中でも、ひときわ進化のスピードが著しい分野が「フィッシング」でしょう。新たなテーマが見つかるとこれに乗じた攻撃が流行する恐れがあるため、日常的な情報収集が必要不可欠です。今回は「えきねっと」に関連した詐欺を紹介します。(2022/3/29)
“常識”から見直すセキュリティ対策【前編】
「“明らかな悪”を全力で調べる」だけのセキュリティ対策はもうやめよう
アジア太平洋地域(APAC)の企業はサイバー攻撃への備えが万全とは言えないと、セキュリティの専門家は指摘する。その一因は、APAC企業が当然のように進めてきたセキュリティ対策そのものにあるという。(2022/3/28)
中央省庁、サイバー攻撃対策の徹底呼び掛け 経産省、総務省、警察庁、NISC連名で
経済産業省と総務省、警察庁、内閣官房内閣サイバーセキュリティセンターが、サイバー攻撃に関する認識を向上すること、攻撃を早期に検知すること、攻撃検知時の適切な対応などを徹底するよう呼びかけた。(2022/3/25)
サプライチェーン×DX:
NTTデータが提言 サプライチェーン強靭化には「デジタルツイン」が重要
コロナ禍、甚大化する自然災害、米中貿易摩擦、サプライチェーンを狙ったサイバー攻撃――。これまでの環境に最適化されたシステムの見直しを余儀なくされるような変化が起こる中、サプライチェーン強靭化のために何が必要か。IT技術はそのためにどのような貢献ができるのか。(2022/3/25)
社内会議に「もぐる」サイバー犯罪者集団Lapsus$ Microsoftが被害を告白
Microsoftはサイバー犯罪者集団「Lapsus$」によるサイバー攻撃を受けて、ソースコードが窃取された事実を認めた。流出したデータには顧客情報は含まれておらず、ソースコードを閲覧されたとしてもリスクはないと説明する。(2022/3/25)
メタバースが呼び込むセキュリティ問題【中編】
メタバースが「乗り物酔い」や「てんかん」を引き起こす?
メタバースは仮想的な3D空間だが、専門家によるとメタバースにおけるサイバー攻撃では現実世界に危険が及ぶことを懸念しなければいけないという。その理由と、具体的な脅威とは。(2022/3/23)
バイデン大統領、「ロシアのさらなるサイバー攻撃に備えよ」と企業に呼び掛け
バイデン大統領は、米国に対するロシアのサイバー攻撃が増大する可能性があると再警告した。重要なインフラを運営する企業に対し、改めてセキュリティを強化するよう呼び掛けた。(2022/3/22)
サイバー攻撃、船舶運航補償……対応急ぐ損保
ロシアによるウクライナ侵攻で両国周辺を通航する貨物船の危険性が高まり、サイバー攻撃などのリスクも顕在化する中、損害保険各社が対応を迫られている。(2022/3/22)