IPA、情報セキュリティ10大脅威 2024を発表

1 month 4 weeks ago
p>独立行政法人情報処理推進機構(IPA)は24日、2023年に発生した情報セキュリティに関する重要な脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。これは毎年公開しているもので、情報セキュリティの専門家や企業の担当者など約200人からなる「10大脅威選考会」によって選定されている(IPA、INTERNET Watch)。 今回は、個人向けの脅威には順位がなくなり、代わりに初選出年と過去の取り扱い状況が記載された。個人における情報セキュリティ10大脅威に選ばれたのは以下の通り。 インターネット上のサービスからの個人情報の窃取(初選出年2016/5年連続8回目)インターネット上のサービスへの不正ログイン(同2016/9年連続9回目)クレジットカード情報の不正利用(同2016/9年連続9回目)スマホ決済の不正利用(同2020/5年連続5回目)偽警告によるインターネット詐欺(同2020/5年連続5回目)ネット上の誹謗・中傷・デマ(同2016/9年連続9回目)フィッシングによる個人情報等の詐取(同2019/6年連続6回目)不正アプリによるスマートフォン利用者への被害(同2016/9年連続9回目)メールやSMS等を使った脅迫・詐欺の手口による金銭要求(同2019/6年連続6回目)ワンクリック請求等の不当請求による金銭被害(同2016/2年連続4回目) 一方、組織向けの脅威では、ランキング形式が残されている。選ばれたのは以下の通り。 1位 ランサムウェアによる被害(前回順位1位)2位 サプライチェーンの弱点を悪用した攻撃(同2位)3位 内部不正による情報漏えい等の被害(同4位)4位 標的型攻撃による機密情報の窃取(同3位)5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(同6位)6位 不注意による情報漏えい等の被害(同9位)7位 脆弱性対策情報の公開に伴う悪用増加(同8位)8位 ビジネスメール詐欺による金銭被害(同7位)9位 テレワーク等のニューノーマルな働き方を狙った攻撃(同5位)10位 犯罪のビジネス化(アンダーグラウンドサービス)(同10位)

すべて読む | セキュリティセクション | セキュリティ | ニュース | インターネット |

関連ストーリー:
政府、AIの安全性確保を担う組織を新設へ 2023年12月18日

nagazou

Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告

2 months ago
headless 曰く、Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している (Microsoft Security Response Center Blog の記事、 The Verge の記事、 Neowin の記事、 Form 8-K 報告書)。 不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。 不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。 今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ニュース | インターネット |

関連ストーリー:
米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール 2023年07月29日
Microsoft、気象用語を使用した脅威アクター新命名法 2023年04月21日

nagazou

UEFIのPXEブートに脆弱性が見つかる。多くのBIOSに影響

2 months ago
サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(Quarkslab、PC Watch)。 EDK IIを実装していて影響を受けるUEFIは下記の通り。 ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc(AMI)のAptio OpenEditionPhoenix TechnologiesのSecureCoreMicrosoftのProject MuPixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。 整数アンダーフロー(CVE-2023-45229)バッファオーバーフロー(CVE-2023-45230)境界外読み取り(CVE-2023-45231)無限ループ(CVE-2023-45232、CVE-2023-45233)TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)擬似乱数ジェネレーターの使用(CVE-2023-45237)ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。

すべて読む | セキュリティセクション | オープンソース | ハードウェア | セキュリティ | ニュース | バグ |

関連ストーリー:
AMD製CPUに脆弱性見つかる 2023年07月27日
セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる 2022年12月03日
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日

nagazou

YouTube経由で広がるマルウェアが増加

2 months 1 week ago
Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという(Fortinet、TECH+)。 リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。

すべて読む | セキュリティセクション | セキュリティ | ニュース | YouTube |

関連ストーリー:
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日
100 体のマルウェアでセキュリティソフトを比較してみた 2010年03月18日

nagazou

米連邦取引委員会、AIによるボイスクローニングから消費者を守るアイディアを募集

2 months 2 weeks ago
headless 曰く、間もなく締め切りとなってしまうが、米連邦取引委員会 (FTC) が AI によるボイスクローニングから消費者を守る手法のアイディアを募集するコンテスト Voice Cloning Challenge を実施し、12 日まで参加を受け付け中だ(プレスリリース、 公式ルール: PDF、 The Register の記事、 Neowin の記事)。 AI を用いて特定の人物の声を再現するボイスクローニング技術は医療やアクセシビリティの分野で非常に有益な利用が可能だが、詐欺などの悪用も懸念される。コンテストではボイスクローニングの悪用を防ぐ以下のような 3 つのポイントのうち少なくとも 1 つを解決するアイディアが求められる。 防止または認証: 認証されていないユーザーによるボイスクローニングソフトウェアの使用を制限する手法 リアルタイム検出または監視: クローンボイスまたはボイスクローニング技術の使用を検出する手法 使用後の評価: オーディオクリップにクローンボイスが含まれているかどうかを確認する手法 コンテストは 18 歳以上米国市民および米国永住者の個人・グループまたは、米国で設立および主に活動している組織が対象となり、優勝賞金 25,000 ドル。準優勝者 1 組に 4,000 ドル、3 組に 2,000 ドルが授与される。ただし、10 人以上の組織は別枠の「FTC Voice Cloning Challenge Large Organization Prize」となり、優勝者は表彰のみ (賞金なし) となる。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | 人工知能 | ニュース | アメリカ合衆国 |

関連ストーリー:
テキストから音楽を生成する「Suno AI」が話題 2023年12月19日
韓国の大統領選でAI候補が登場 2022年02月22日

nagazou

ランサムウェアの被害を止めるには身代金支払いを禁止するしかないとの主張

2 months 3 weeks ago
ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している (Emsisoft のブログ記事、 The Register の記事)。 ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。 ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。The Registerでは、全面的に身代金支払いを禁じるとしても重要なインフラストラクチャーや医療機関などには例外を設けることになるだろうとして、これらをターゲットにした攻撃が増加する可能性を指摘する。Palo Alto Networks のサム・ルービン氏によれば、被害者にならないための積極的な対策を行うことが最大の防御になるとのこと (The Register の記事 [2])。 ランサムウェア被害時の身代金支払いについて、スラドの皆さんのご意見はいかがだろうか。

すべて読む | セキュリティセクション | 暗号 | お金 |

関連ストーリー:
保守契約になくてもベンダーは医療機関にセキュリティ情報を提供すべき? 2023年08月31日
ランサムウェアの身代金支払いで全データを復旧できたのは、日本でわずか13% 2023年05月26日
昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧 2023年01月13日
大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止 2022年11月02日
千葉南房総市の情シスにランサムウェア攻撃、身代金払わねば成績表公開と脅迫 2022年09月02日
2019 年にランサムウェア被害にあったマーストリヒト大学、身代金を取り戻せることに 2022年07月08日
ランサムウェア攻撃の被害にあった日本企業、75%が未公表 2022年05月27日
ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答 2022年05月15日
ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立 2022年02月11日
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
北米で主要な病院の 80 % が使用する気送管システムに脆弱性 2021年08月05日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日
ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう 2019年09月01日
奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染 2018年10月25日
ウイルス対策プログラムの検疫機能を悪用してローカルでの権限昇格を可能にする攻撃 2017年11月15日
NSAに対し米下院議員が対処方法の公開を求める書簡を出す 2017年07月05日

headless

LastPass、12文字以上のマスターパスワードを義務付け開始

2 months 3 weeks ago
LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事、 Bleeping Computer の記事、 The Verge の記事)。 LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。

すべて読む | セキュリティセクション | ソフトウェア | ニュース | 暗号 | 情報漏洩 |

関連ストーリー:
Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ 2023年12月13日
LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 2023年09月10日
LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 2023年03月05日
1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 2023年01月03日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 2019年02月26日
LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 2016年01月21日
LogMeInがLastPassを買収 2015年10月11日
パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出 2015年06月17日
パスワード、どうやって管理している? 2014年02月23日
Xmarks が LastPass に買収される 2010年12月15日

headless

米カリフォルニア州上院議員、州で公共のAIリソースと安全かつ倫理的な枠組みを作る法案を提出

2 months 3 weeks ago
米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ (パディーラ氏のニュースリリース、 The Verge の記事)。 SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。 パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。

すべて読む | セキュリティセクション | セキュリティ | 人工知能 | 政治 | アメリカ合衆国 |

関連ストーリー:
政府、AIの安全性確保を担う組織を新設へ 2023年12月18日
EU、世界初の包括的AI規制で大筋合意 2023年12月11日
Collins Dictionary、2023年を代表する言葉に「AI」を選定 2023年11月05日
テキサス州当局、ポルノが健康に悪影響を与えるなどの警告をポルノサイトに表示させる 2023年10月15日
米カリフォルニア州の修理する権利法が成立 2023年10月13日
アイオワ州の学区、性的表現を含む書籍を学校から排除するためChatGPTを使用 2023年08月19日
狭い場所での家畜飼育を禁ずるカリフォルニア州法、豚肉価格の危機的な高騰を呼ぶ 2023年08月13日
人工知能学会、ChatGPT等への向き合い方に関する声明文を公表 2023年04月27日
GPT-4よりも強力なAIシステムの開発を停止せよとの公開書簡が提出される。ウォズやマスクらも署名 2023年03月31日
米ユタ州、18 歳未満のソーシャルメディア利用に保護者の許可を必要とする州法が成立 2023年03月25日
Microsoft、製品への AI 原則適用を確実にしていたチームが消滅 2023年03月16日
ChatGPT 開発の背後にはケニアの労働者による人力作業 2023年01月22日
米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効 2023年01月04日
Google、AI 倫理を懸念するエンジニアを守秘義務違反で休職処分に 2022年06月15日
米国防総省の有識者会議、AI倫理5原則を採択 2019年11月03日
米カリフォルニア州自動車局、人間の運転者が乗車しない自律走行車のテストを可能にする州法規改正を提案 2017年03月12日

headless

パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加

2 months 3 weeks ago
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事、 The Register の記事)。 エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。 CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。 根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | Chromium |

関連ストーリー:
宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン 2023年12月25日
米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起 2023年12月14日
偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場 2023年11月25日
Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン 2023年11月13日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
偽の「Get Windows 11」サイトでマルウェアキャンペーン 2022年02月13日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
GoogleアカウントでのWindows 10ログイン、実現なるか 2018年09月02日
Google、パスワード管理システムのコードを盗まれていた 2010年04月22日

headless

KDDI、世界で初めて1409次元の暗号を解読

3 months ago
KDDI総合研究所は26日、暗号解読コンテスト「Challenges for code-based problems」で、Classic McElieceと呼ばれる次世代暗号の1409次元の暗号を解読し、これまでの世界記録を更新したそうだ。この1409次元の暗号は10の56乗(=100兆×100兆×100兆×100兆)通りの解の候補が存在する。このため、総当たりでは解読に1兆年以上かかるとされてきたが、KDDIは独自の解読アルゴリズムを用いて、2700万の解読処理を同時に実行できる並列コンピューティング環境を構築・活用することにより、29.6時間で解読に成功したとしている(KDDI、ASCII.jp)。 これにより、1409次元の暗号を解読するために必要な計算量が2の63乗であることを実証し、この次元を上回れば暗号の解読が困難という目安である暗号の強度を突き止めたとしている。この成果は、将来の量子コンピューターの台頭に備えた暗号の開発や標準化に向けた貴重な情報になるとしている。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | ニュース | 暗号 |

関連ストーリー:
KDDIおよび九大の研究チーム、「世界で誰にも解読されていない」という暗号問題を初めて解読 2016年07月22日

nagazou

総務省、非常勤のサイバーセキュリティ人材募集中。時給7500円

3 months ago
総務省サイバーセキュリティ統括官室は、非常勤のサイバーセキュリティエキスパートを募集中だという。このエキスパートは、同省のサイバーセキュリティ政策の企画・立案に関する助言や情報提供を行い、国内外のサイバーセキュリティ最新動向の分析や情報提供も担当する(総務省、ScanNetSecurity)。 応募資格は、約10年以上のセキュリティ分野の実務経験とサイバーセキュリティ分野の最新技術や動向に関する専門知識を有すること。勤務時間は毎月第2金曜日の午後4時から6時までの2時間で、勤務地は東京都千代田区霞が関。雇用期間は2024年1月1日から12月31日までの採用日から1年を超えない期間。時給は7500円としている。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | ニュース | 政府 |

関連ストーリー:
防衛省のサイバーコンテスト2023、今年も応募締め切りを延長 2023年07月26日
デジタル庁、脆弱性診断士を公募中 2022年09月13日
そもそもデジタル人材って何? 2022年05月11日
総務省、高度な専門的知識を必要とする人員を日給8,000円の非常勤で募集して再び話題に 2018年03月01日

nagazou

「ミズノ」と「ワコール」などの偽広告が増加、消費者庁が注意喚起

3 months ago
消費者庁は21日、「ミズノ」と「ワコール」の偽の広告がSNSを中心に拡散し、被害相談が相次いでいるとされるとして注意喚起をおこなった。偽広告には、ワコールのロゴを使用したインナーの広告や、ミズノのロゴを使ったスポーツ用品の広告などがあり、これらの広告をクリックすると偽の販売サイトに誘導される。実際に商品を注文すると本物ではない商品が届くなどの被害が報告されている(消費者庁、日テレNEWS)。 偽広告はInstagramやFacebookなどを通じて拡散されている。消費者庁には2022年4月から2023年10月末までの間に1277件の相談が寄せられているとのこと。消費者庁は価格を強調していないか、不自然な日本語ではないかなどを注意して確認するよう注意を呼びかけている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | 広告 | インターネット | アナウンス |

関連ストーリー:
偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場 2023年11月25日
Google、虚偽のDMCA削除要請を大量に送ったグループを提訴 2023年11月17日
Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン 2023年11月13日
主要アプリの9割にダークパターンが採用。東京工業大調査 2023年08月07日
米連邦取引委員会、偽レビューを禁ずる新規則を提案 2023年07月02日
インスタ、10代のユーザーに就寝促す通知表示へ 2024年01月22日

nagazou

警察庁、銃刀法改正案で手製銃や猟銃の悪用防止へ規制強化

3 months ago
警察庁は21日、2024年の通常国会に銃刀法改正案を提出する方針を発表した。この改正案では、インターネット上で銃の製造方法を示し、不法所持を促す投稿を罰則付きで禁止することが盛り込まれている(毎日新聞、日経新聞、共同通信)。 改正案では動画などで銃の製造方法を公開し、不法所持を呼びかけたり、販売するための情報を掲載したりする行為が規制される。罰則は懲役1年前後が検討されている。警察庁はこれまでに、銃などの製造や譲渡に関する投稿をSNS事業者に削除要請する制度を導入しており、これに加えて改正案を通じて対策を強化する予定。 また改正案では、2023年5月に長野県中野市で4人が殺害された事件を受け、発射罪や所持罪の厳罰化が盛り込まれる。人の殺傷を目的とする銃に対する罰則が強化され、その他装薬銃砲なども対象に含まれる。電磁石銃(コイルガン)も所持禁止の対象になる。ネット上で数万~30万円程度で取引されているものを警察庁が調べたところ殺傷能力が確認されたのだという。

すべて読む | セキュリティセクション | セキュリティ | ニュース | YouTube | インターネット |

関連ストーリー:
旧日本陸軍「十四年式拳銃」と実弾を所持した罪で起訴 2023年11月17日
包丁を口にくわえたた三刀流男、銃刀法違反で逮捕 2023年07月19日
正しい日本刀の持ち運び方 2023年02月21日
米インディアナ州で手裏剣が一部解禁の見通し 2023年02月10日
クロスボウ、銃刀法で規制へ 2020年12月18日

nagazou

宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン

3 months ago
headless 曰く、Sophos X-Ops によると、ホテル業界をターゲットにした「Inhospitality」マルスパムキャンペーンが世界規模で発生しているそうだ (Sophos News の記事、 The Register の記事)。 このマルスパムは宿泊客の苦情や問い合わせなど、ホテル従業員が応答せざるを得ない内容で、より詳細な情報を求めるとマルウェアのリンクを送ってくるという。ペイロードはパスワード付きの ZIP 形式や RAR 形式ファイルで、Google Drive などに保存されている。Sophos では 50 以上の異なるサンプルを入手しているが、マルウェアは主にパスワード窃取型の Redline Stealer や Vidar Stealer などと呼ばれるものとのことだ。

すべて読む | セキュリティセクション | セキュリティ | spam | インターネット |

関連ストーリー:
エックスの仕様変更を悪用、4枚の画像が添付されたポストに見せかけ任意のサイトへ誘導 2023年11月10日
X(旧Twitter)でコミュニティノートの付いたポストは収益分配の対象外に 2023年11月01日
Google、Gmailスパム対策で一括送信者に新要件導入・厳格化へ 2023年10月05日
パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加 2024年01月06日

nagazou

アップルギフトカードを購入させる特殊詐欺が急増。警察庁が注意呼びかけ

3 months ago
コンビニ店などでプリペイド式の電子マネーを購入させる詐欺の件数が増加しており、警察庁が注意を呼び掛けている。今年1月から11月までの架空請求でプリペイド式の電子マネーを購入させる詐欺の認知件数は3047件、被害額は18億5700万円で件数、被害額ともに過去最悪を更新中とされる(12月22日:令和5年11月の特殊詐欺認知・検挙状況等について、TBS NEWS DIG、NHK、読売新聞)。 今年は特に「Apple Gift Card」を購入させる手口が多く約2000件、およそ13億円が「Apple Gift Card」の悪用。11月に限っては被害件数、被害額ともに全体の9割を占めているという。パソコン画面に「ウイルスに感染した」などの虚偽の警告を表示させて、見た相手にギフトカードを買いに行かせ、裏面の番号の写真を送らせるなどの手口が目立つとしている。犯行にApple Gift Cardが選ばれる理由については「販売店舗数が多さ」や「だまし取った電子マネーの現金化の容易さ」などが挙げられている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | アナウンス | お金 |

関連ストーリー:
テクニカルサポート詐欺、国内で増加 2023年11月29日
電子決済「Kyash」悪用、中国人ら4人らか現金詐取の疑いで逮捕 2022年07月21日
コンビニに電話で「Google Playの社員」を名乗り315万円相当の電子マネーをだまし取る詐欺が発生 2020年04月30日
電子マネーを使った詐欺被害が急増 2016年01月08日
Apple、iTunesギフトカード詐欺の被害者に訴えられた裁判で和解に合意 2024年01月11日

nagazou

FBIとランサムウェアグループ、URLの奪い合いに

3 months ago
米法務省は 12 月 19 日、ALPHV/Blackcat ランサムウェアグループの妨害作戦に成功し、世界 500 件以上の被害者を救済可能な復号ツールを作成したと発表した (プレスリリース、 捜査令状、 BleepingComputer の記事 [1]、 [2]、 [3])。 今回の作戦は連邦捜査局 (FBI) に協力する秘密の情報提供者 (CHS) が Blackcatのアフィリエイトとなって内部調査を行い、何らかの方法でアフィリエイトには提供されない復号鍵や Tor の秘密鍵を入手したのだという。FBI は Tor の秘密鍵を用いてサイト URL を差し押さえたが、同じ鍵を持つランサムウェアグループが URL を奪い返し、URL の奪い合いになったとのこと。 URL を奪い返されては作戦の一部が失敗したことにもなるが、ターゲットが救済されたランサムウェアグループにも大きなダメージとなった。アフィリエイトの中には信頼を失ってほかのランサムウェアグループに移る者もあり、Blackcat もほかのランサムウェアグループとカルテルを結ぶべく話し合いを行っているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 暗号 |

関連ストーリー:
ロシア連邦保安庁、サイバー犯罪組織 REvil を無力化 2022年01月16日
豪連邦警察、FBIが運営する組織犯罪専用暗号化通信アプリで犯罪組織を摘発 2021年06月10日
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功? 2015年08月08日
米司法省が差し押さえていたはずのMegaupload関連ドメイン、サイバー犯罪者に悪用される 2015年05月30日

headless

中小企業のリスク調査、サイバーリスクで被害額1億円を超えたが6.3%

3 months ago
日本損害保険協会は18日、企業を取り巻くリスクに対する意識・対策実態調査の結果を公開した。調査は、中小企業の経営者と従業員1031名を対象に実施されたもので、中小企業の意識や実際の被害内容、被害額、損害保険への加入状況などが明らかにされた(日本損害保険協会、ScanNetSecurity)。 この調査によれば、中小企業が事業活動を行う上で考えられるリスクの上位には、「自然災害」(50.7%)、「顧客・取引先の廃業等による売上の減少」(38.0%)、「経済環境リスク」(32.4%)が挙げられている。また、「情報の漏えい」(23.9%)や「サイバーリスク」(20.3%)も一定の割合で認識されているが、過去3年間では経済環境リスクを除いて割合が減少している。被害に遭った経験のある企業では、「損害保険への加入」が46.2%と最も多い対策として挙げられている。 実際に何らかのリスクにより被害を受けたことがあるとの回答は27.9%だった。なお被害額が1億円を超えたリスクには、「製造物に関する損害賠償」(8.7%)、「従業員からの損害賠償請求」(8.3%)、「サイバーリスク」(6.3%)などとなっている。

すべて読む | セキュリティセクション | ビジネス | 犯罪 | セキュリティ | お金 | 情報漏洩 |

関連ストーリー:
フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 2018年10月16日
FACTA、今度は政府機関にサイバー攻撃を仕掛ける 2014年11月28日
Windows の全バージョンに危険な脆弱性が見つかる 2010年07月26日

nagazou

イスラエル軍、人質3人を誤って殺害。人質の声は軍用犬のカメラが記録

3 months 1 week ago
イスラエル国防軍(IDF)は15日、パレスチナ自治区ガザ地区での作戦で、イスラム組織ハマスに連れ去られたイスラエル人の男性人質3人を誤って殺害したと発表した。3人はイスラエルの部隊から数十メートル離れた建物から姿を現した。彼らはシャツを脱いで白旗を振っていたとされている(CNN)。 この際、射殺した3人の人質の声が、軍用犬に取り付けられたカメラに記録されていたことが明らかになった。カメラの映像はイスラエル軍が19日に発見した。カメラを装着されていた犬は戦闘でなくなっていた。イスラエル軍の報道官は、映像の音声を分析した結果、3人の人質の声であることを確認したと述べたが、人質が何を話していたかについては明らかにしていない。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | ニュース |

関連ストーリー:
ハマス奇襲攻撃の直前に空売り取引、一部投資家に事前情報把握の疑惑 2023年12月06日
イエメンのフーシ派が紅海で日本郵船運航の貨物船を拿捕。イスラエルの船舶を拿捕と主張 2023年11月21日
イスラエル軍がハマスの本拠があるとされるガザの病院を攻撃 2023年11月16日
ガザ攻撃に関連したAIで制作したフェイク動画で印象操作が確認される 2023年11月07日
イスラエル企業Mellanox社の元CEOの娘がハマスによって殺害される 2023年10月17日

nagazou

ソニー傘下のInsomniac Gamesから大量の開発ファイルが流出

3 months 1 week ago
>ソニーのゲーム部門であるインソムニアック・ゲームズから130万以上のファイルが流出したそうだ。ハッカー集団の「リサイダ」がその犯行を公表したという。報道によると1.67TBに及ぶデータを盗み出されたとされ、流出したファイルの中には、「ウルヴァリン」新作の開発工程表や予算、開発状況やリリース予定、10年以内に発売されるタイトルのスケジュールなども含まれていたようだ(Bloomberg、Cyber​​ Daily、GIGAZINE)。 このハッキングは、ランサムウェアグループのリサイダによって12日に発表された。不正に入手したデータを約200万ドル相当のビットコインで競売にかけるとしていたが、19日にそのデータを公開した。米政府によるとこの集団は教育や医療、製造業、情報技術(IT)セクターを標的にしているハッカー集団だとされる。 流出した情報によると、ソニーは「スパイダーマン3」などマーベル作品に基づく複数のタイトルを10年以内にリリースする計画を立てているほか、2029年までには「ラチェット&クランク」シリーズの新作も出す予定だと報じられている。ほかにも2035年までに「X-MEN」のゲームを開発・販売するという内容も含まれていたという。

すべて読む | セキュリティセクション | セキュリティ | ニュース | ゲーム | 情報漏洩 |

関連ストーリー:
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
カプコン、採用応募者の情報を破棄していなかったことが判明 2020年11月20日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
カプコンがランサムウェアの被害に。1100万ドルの身代金を要求 2020年11月10日

nagazou

IT導入補助金事務局のHPに不正アクセス。3.8万人の個人情報が漏えいの恐れ

3 months 1 week ago
IT導入補助金の事務局のウェブサイトが不正アクセスを受け、IT導入支援事業者約3.8万人の個人情報が漏えいした恐れがあることが判明した。IT導入補助金は、独立行政法人中小企業基盤整備機構が補助金を提供する事業で、不正アクセスを受けたのはTOPPANが実施する「IT導入補助金2023後期」の事業( IT導入補助金2023(後期事務局)、ネットショップ担当者フォーラム)。 不正アクセスは、IT導入補助金2023後期事務局のウェブサイトで2023年8月1日から発生したとされ、漏えいの恐れのある個人情報は3万8269人分に相当する。漏えいした可能性のある情報には、一部個人情報を含む事業者の登録情報で、ITツール登録担当者の氏名とメールアドレス、実施者・販売者の氏名とメールアドレスも漏えいした可能性がある模様。漏えいの原因は、ウェブサイトで使用されているプログラムの設計不備によるものとしている。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | ニュース | インターネット | 政府 | お金 | 情報漏洩 |

関連ストーリー:
JAXAがサイバー攻撃か。警察から連絡受けるまで気がつかない状況 2023年11月30日

nagazou
Checked
2 hours 23 minutes ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed