Kaspersky Labは7月25日(米国時間)、「CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit|Securelist」において、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI: Unified Extensible Firmware Interface)ファームウェアルートキットを発見したと伝えた。「CosmicStrand」…
「[目指せ上級者] 最強にセキュアなAWSアカウントの作り方」というタイトルでDevelopersIO 2022に登壇しました #devio2022 | DevelopersIO
「[目指せ上級者] 最強にセキュアなAWSアカウントの作り方」というタイトルでDevelopersIO 2022に登壇しました #devio2022 クラスメソッドの年1回の大型イベント、DevelopersIO 2022で登壇した「[目指せ上級者] 最強にセキュアなAWSアカウントの作り方」の解説です。 こんにちは、臼田です。 みなさん、AWSのセキュリテ…
サイボウズ青野氏とさくら田中氏対談 禁断の「チェックシート問題」について
サイボウズの青野氏が、慣習化された「セキュリティチェックシート」に内在する問題点をツイッターでつぶやき、話題となった。同氏はこれを問題と認識し、IT業界を上げて取り組むべき問題だとする。 「このクラウドサービスを利用したいです」と情シスやセキュリティ担当者に申し出たところ、「セキュリティリスクを確認…
Amazon S3の脆弱な利用によるセキュリティリスクと対策 – Flatt Security Blog
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提…
総務省|報道資料|「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集
総務省は、今般、クラウドサービス利用・提供における適切な設定を推進するため「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)を作成しました。ついては、当該ガイドライン案について令和4年7月26日(火)から同年8月24日(水)までの間、意見を募集することとします。また、併せて、ク…
「Huawei機器が実はアメリカ国防総省の核兵器に関する通信を傍受することができた」とFBIが主張
国内の通信インフラの安全を脅かすとの懸念から、アメリカでは中国の通信事業者であるHuaweiの機器を通信インフラから排除することに力を入れており、すでに国内各地に配備されたHuawei製の機器に対しても厳しい調査のメスを入れています。そのような状況の中、とあるアメリカの民間企業が配置したHuawei製機器が「中国…
サイバー攻撃、同じ企業が何度も被害に 「被害企業は簡単に食い物にできる餌食と見なされる」
ランサムウェアやDDoSといったサイバー攻撃を経験した企業の多くは、その後何度も被害に遭っている──。そんな実態が、イスラエルのサイバーセキュリティ企業Cymulateの調査で浮き彫りになった。「一度攻撃に遭った企業は、再び攻撃される可能性が高くなる」とCymulateは警鐘を鳴らしている。 調査は世界各国でIT、金融、…
なかなか撲滅できないSQLインジェクション、その原理と対策を知る【伏石ちゃんは意図に反したい】
憧れのハッカーは、同級生でAIでポンコツだった!? 何でもバグらせる主人公「祝園充希(ほうその・みつき)」と、誰の意図にも沿いたくないAI「伏石玲(ふせいし・れい)」が、2070年の近未来を舞台に情報セキュリティに関するさまざまなトピックを軸に織りなす学園SFコメディ。記事の後半では、マンガで扱ったテーマを深…
Webサイトからのマルウェア感染を防ぐセキュリティシステム、韓国チームが開発 ゼロデイ攻撃にも対応
韓国の極東大学校と南ソウル大学校の研究チームが開発した「Malicious script distribution pattern detection technique for image search websites」は、Webサイトを介して配布されるマルウェアを検知する新たなセキュリティシステムだ。 従来の検知手法が悪意のあるコードの実行に着目しているのに対し、今回提案する…
ランサムウェアがCEOを脅迫――経営層も巻き込んだリアルな「訓練」をfreeeが実施できた理由
ビジネスを支えるITインフラとしてクラウドの導入や活用が一般的になる中、企業には、オンプレミス時代とは異なるリスク管理が求められている。業務やサービスを支えるインフラが、クラウド上にあることを前提に、新たなセキュリティポリシーやBCP(事業継続計画)を策定する企業も多い。 しかし、実際に何らかの問題が…