中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家

2024/02/26 16 users GitHub サイバースパイ ハッキング リーク 機密文書

2024年2月16日に、中国の安洵信息(I-Soon)という民間ハッキング企業のものとされる大量のデータがGitHubにアップロードされました。内部文書には、この企業が国内外を対象とした広範な地域でハッキングや情報収集を行っていたことが示されており、セキュリティ専門家は中国によるサイバースパイの実態を把握する上で重要... 続きを読む

「それは、本当に安全なんですか？」　セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ

2023/10/19 423 users GitHub Copilot セキュリティリスク 全社一斉

「GitHub Copilot 導入時に考えたセキュリティのあれこれ」というタイトルで登壇したのは、freee株式会社のただただし氏。タイミー社主催の「GitHub Copilotで拓く開発生産性」で、「GitHub Copilot 」を全社一斉導入する際に考えるべきセキュリティリスクについて発表しました。 freee株式会社 PSIRT マネージャーのた... 続きを読む

「ユーザーが無知だと思い込む」「使い勝手の悪さが原因で内部脅威が発生する」　セキュリティ専門家が抱きがちな6つの誤解をNISTが紹介

2023/05/09 10 users NIST コミュニテ コンピュータサイエンティスト 誤解 論文

NIST（米国国立標準技術研究所）は、2023年3月20日、セキュリティ専門家が一般ユーザーに対して抱きがちな誤解をテーマにした論文「Users Are Not Stupid」の概要を公式ブログで紹介した。論文は、同組織所属のコンピュータサイエンティスト、ジュリー・ヘイニー氏が執筆したものだ。 「セキュリティ専門家のコミュニテ... 続きを読む

“そうはならんやろコード”はなぜ生まれるのか　セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景（要約）

2023/05/08 5 users 要約 徳丸氏 脆弱性だらけ 背景 コード

情報セキュリティ事案のニュースでよくあるツッコミ「そうはならんやろ」あり得ない情報管理に見えるが、現実としてはよくある質問サイトから見える脆弱性の生まれ方 続きを読む

“そうはならんやろコード”はなぜ生まれるのか　セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景

2023/05/08 36 users 徳丸氏 脆弱性だらけ 背景 コード Webアプリ

ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか！」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコ... 続きを読む

パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵

2022/12/28 34 users LastPass 弁明 省略 ウソ 声明文

パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。 What’s in a PR statement: LastPass bre... 続きを読む

ワールドカップに参加するすべての人がインストールを義務づけられている公式スマホアプリは「カタール当局に家の鍵を渡すようなものだ」とセキュリティ専門家が警告

2022/10/17 11 users カタール当局 ワールドカップ 警告 インストール カタール

2022年11月20日から12月18日までの約1カ月にわたり、カタールで開催予定の2022 FIFAワールドカップでは、現地へ向かうすべての人が「Ehteraz」と「Hayya」という2つのアプリをスマートフォンにインストールすることが義務付けられています。これらのアプリをインストールすることは、「カタール当局に家の鍵を渡すような... 続きを読む

iPhoneをリモートで乗っ取れた脆弱性の恐怖をGoogleのProject Zeroが動画で紹介 - ITmedia NEWS

2020/12/03 19 users iPhone エクスプロイト iOS リモート Wi-Fi

Appleが5月に修正したiOSの脆弱性を悪用するエクスプロイトを、この脆弱性を報告したGoogleのセキュリティ専門家が動画付きで解説した。Wi-FiにつながったiPhoneをリモートから乗っ取り、操作できる。 米Googleの脆弱性調査プロジェクト「Project Zero」のイアン・ビア氏は12月1日（現地時間）、同氏が報告し、既に修正... 続きを読む

ハッカーがトランプ大統領のTwitterアカウントのパスワードを当ててログインしたと報告 - GIGAZINE

2020/10/23 21 users GIGAZINE ハッカー Twitterアカウント 報告

ハッカーコミュニティの中では知られた人物だというオランダのセキュリティ専門家が、2016年に続いて4年ぶりにトランプ大統領のTwitterアカウントへのログインに成功したことが報じられています。 How Trump’s Twitter account was hacked - again https://www.vn.nl/trump-twitter-hacked-again/ Security researcher c... 続きを読む

相次いだ不正送金事件、ログイン認証の抜け穴を熟知か　セキュリティ専門家の徳丸氏が解説 (1/2) - ITmedia NEWS

2020/10/21 10 users 抜け穴 熟知 徳丸氏 不正送金事件 ITmedia News

9月に相次いで明らかになった金融機関やその利用者を狙ったサイバー犯罪を巡り、サイバーセキュリティが専門の徳丸浩さんは「共通するのはログインが狙われたこと。サイトの特性を熟知して攻撃している」と手口について解説した。 「ドコモ口座」「ゆうちょ銀行」「SBI証券」――2020年9月には金融機関やその利用者を狙っ... 続きを読む

徳丸 浩氏に聞いた「ドコモ口座」問題　今起きていること、今できること - ITmedia エンタープライズ

2020/09/10 138 users 徳丸 EGセキュアソリューションズ 預金引き出し被害 浩氏

2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏（EGセキュアソリューションズ　代表取締役）に、今起きていること、今できることを聞いた。 こ... 続きを読む

Wiresharkによるパケット解析講座 8：HTTPSトラフィックの復号

2020/08/22 307 users Wireshark HTTPSトラフィック pcap 復号

This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ（pcap）の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご... 続きを読む

Zoom、台湾政府がセキュリティ上の懸念から全面禁止。ドイツ外務省やGoogleも使用に制限 - Engadget 日本版

2020/04/10 19 users Zoom テレワーク 新型コロナウイルス 懸念 ドイツ外務省

Kena Betancur via Getty Images 新型コロナウイルスの感染拡大にともない、 全世界でテレビ（ビデオ）会議ソフトウェア「Zoom」のオンライン授業やテレワークでの使用が広まっています。しかし、それに比例してセキュリティ専門家の注目も集まり、数々の問題が指摘されたことを受けて、米国の一部学校では使用が禁止さ... 続きを読む

私物PCを使った在宅勤務、導入には「全従業員のITリテラシー問題」が課題に――セキュリティ専門家の徳丸浩氏が語る - INTERNET Watch

2020/04/06 24 users 徳丸浩氏 INTERNET Watch 私物PC 在宅勤務

続きを読む

ZoomのMac版、インストール時にマルウェア的な挙動　セキュリティ専門家が指摘 - ITmedia NEWS

2020/04/01 32 users Zoom インストールプロセス 挙動 CEO マルウェア

ZoomのMac版のインストールプロセスが、Appleのセキュリティを回避する一般にマルウェアで使われる動作になっているとセキュリティ専門家が指摘。ZoomのCEOはWeb会議参加までのステップを簡単にするためだったが改善すると表明した。 Web会議サービス「Zoom」のmacOS版アプリのインストールプロセスで、ユーザーが許可し... 続きを読む

総務省が明かす危機感　狙われる“低セキュリティ”のルーター、実は家庭より企業に多い理由 - ITmedia エンタープライズ

2020/03/27 6 users ルーター 総務省 ITmedia エンタープライズ 危機感

徳丸浩氏×総務省サイバーセキュリティ統括官室　特別対談【後編】：総務省が明かす危機感　狙われる“低セキュリティ”のルーター、実は家庭より企業に多い理由 総務省主導のIoT機器向けセキュリティチェック「NOTICE」開始から1年、民間のセキュリティは、一体国からどう見えているのか――。セキュリティ専門家の徳丸浩氏... 続きを読む

Android版Twitterアプリのバグで1700万件もの電話番号とユーザーアカウントがマッチされる | TechCrunch Japan

2019/12/24 13 users ユーザーアカウント Twitter TechCr パク 機能

セキュリティ専門家が、TwitterのAndroidアプリに存在していたバグを利用して1700万人のユーザーアカウントと電話番号をマッチさせることに成功した。 Ibrahim Balic（イブラヒム・バリック）氏は電話番号の巨大リストを生成し、Twitterの「アドレス帳の連絡先を同期」する機能を利用して一挙にアップロードした。TechCr... 続きを読む

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説 (2/2) - ITmedia NEWS

2019/12/09 6 users 徳丸氏 実質 手順 最新手口 ITmedia News

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説 (2/2) 次に、決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者... 続きを読む

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説 (1/2) - ITmedia NEWS

2019/12/09 549 users 徳丸氏 徳丸浩氏 実質 最新手口 ITmedia News

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説 (1/2) セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 ECサイトからクレジッ... 続きを読む

7pay問題、本質は「船頭不在」にあり　セキュリティ専門家「最初から印象は変わらない」 : J-CASTニュース

2019/08/03 36 users J-CASTニュース 本質 7pay問題 最初 印象

スタートからわずか3か月で廃止することになったコード決済サービス「7pay」は、なぜ失敗したのか。1つの原因は、セブン＆アイ・ホールディングス（HD）も2019年8月1日の会見で言及していた「ガバナンス」の問題にあると言える。 情報セキュリティの専門家は、7payがセブン＆アイグループ共通のユーザーアカウント「7iD... 続きを読む

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか？ - GIGAZINE

2019/07/15 273 users GIGAZINE パスワー 言説 複雑さ パスワード

by stevepb 「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワー... 続きを読む

7payの「二段階認証導入」は正解か？　セキュリティ専門家、徳丸氏の視点（要約） - ITmedia NEWS

2019/07/13 7 users 要約 徳丸氏 俯瞰 正解 足かせ

安全性確保の手段、二段階認証の他にも二段階認証導入、かえって足かせになる可能性7payの脆弱性審査、「一方的には批判できない」セキュリティの俯瞰が必要　開発会社の責任も 続きを読む

7payの「二段階認証導入」は正解か？　セキュリティ専門家、徳丸氏の視点 (1/2) - ITmedia NEWS

2019/07/12 234 users 徳丸浩さん 結論 緊急記者会見 徳丸氏 被害総額

セキュリティ専門家の徳丸浩さんに、7payが取るべきセキュリティ対策を聞いた。二段階認証の導入決定は「結論を出すのが早すぎる」という。 不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段... 続きを読む

コインハイブ事件　高木浩光氏が公判で証言「刑法犯で処罰されるものではない」 - 弁護士ドットコム

2019/01/15 885 users 公判 刑法犯 高木浩光氏 Coinhive コインハイブ事件

自身のウェブサイト上に他人のパソコンのCPU（処理装置）を使って仮想通貨をマイニングする「Coinhive（コインハイブ）」を保管したなどとして、不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性（31）の第2回公判が1月15日、横浜地裁（本間敏広裁判長）であり、セキュリティ専門家の高木浩光氏への証人尋問... 続きを読む

仮想通貨取引所Zaifから流出した仮想通貨の追跡について – Japan Digital Design 株式会社

2018/11/05 64 users 追跡 仮想通貨 仮想通貨取引所Zaif 株式会社 コンピュー

2018年11月5日 Japan Digital Design株式会社 Japan Digital Design株式会社（以下、JDD）は2018年9月23、24日の両日、セキュリティ専門家の杉浦隆幸氏、CTFチーム※TokyoWesternsとともに、9月14日に仮想通貨交換所Zaifから流出した仮想通貨を追跡するハッカソンを実施致しました。 ※CTF(Capture The Flag)：コンピュー... 続きを読む