• 国際 2022.1.28 Fri 8:10

  知られざる暗号評価プロジェクト CRYPTREC 第9回「消えた“十年”の記述」

  （上野）最後になりますが、PPAP の代わりにこうしたらいいよ、といった提案には、CRYPTREC は携わらないのでしょうか？

• Microsoft Windows において Encrypting File System での検証不備により任意のファイルのアップロードや操作が可能となる脆弱性（Scan Tech Report）

  2021 年 12 月に、Microsoft Windows OS に任意のファイルが操作可能となる脆弱性が公開されています。

  2022.1.27 Thu 8:15

• ここが変だよ日本のセキュリティ 第 46 回 「ざんねんなセキュリティ事典」（前編）

  何だね君はぁ！「ども！コロナ禍で社会が停滞するかと思ったら、思いのほか景気は落ち込まず、今年も数々の事件が起きてセキュリティ対策に終わりはない感じです。

  2022.1.26 Wed 8:20

• 「より刑罰の厳しい国へサイバー犯罪者を移送」英豪外相 合意

  イギリスとオーストラリアは、サイバー・基幹技術パートナーシップ（Cyber and Critical Technology Partnership）を締結した。これにより実現するとされることの1つが、地球の裏側の厳しい刑罰制度下への犯罪者の輸送だ。

  2022.1.25 Tue 8:15

• ハッカーの OSINT 活用法 ～ 日本ハッカー協会 杉浦氏講演

  日本ハッカー協会 代表理事 杉浦隆幸氏だ。自身もOSINTの専門家であり、競技会やセミナーを開催している。「Security Days 2021 Spring」では、各会場でOSINTの実際を紹介するセッションを行った。どんな内容だったのか。

  2022.1.18 Tue 8:15

• 中国が侵攻したら台湾は TSMC を破壊すべし ～ 米陸軍誌 2021年トップ論文

  　米陸軍戦略大学のナンバーワン論文には、台湾は、中国に脅威を突き付けられた際には半導体産業を根絶やしにすると本気で脅して、中国政府の統一への関心を喪失させるべきだと示唆されている。

  2022.1.17 Mon 8:15

• 知られざる暗号評価プロジェクト CRYPTREC 第8回「 CRYPTREC の国際実績」

  2000 年より前に比べて圧倒的に変わったのは、ふだん意識しているか、していないかを別にして、日常生活において暗号が使われる場面が自然に激増したことです。

  2022.1.14 Fri 8:20

• 2021年総括／中国APTが中国国内企業を攻撃／華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

  2021 年 12 月は、Apache Log4j の重大な脆弱性である「 Log4Shell 」（ CVE-2021-44228, CVE-2021-45046, CVE-2021-44832 )が大きな話題となりました。

  2022.1.13 Thu 8:15

Scan PREMIUM 会員限定記事特集をもっと見る

• 国際 2022.1.25 Tue 8:15

  「より刑罰の厳しい国へサイバー犯罪者を移送」英豪外相 合意

  イギリスとオーストラリアは、サイバー・基幹技術パートナーシップ（Cyber and Critical Technology Partnership）を締結した。これにより実現するとされることの1つが、地球の裏側の厳しい刑罰制度下への犯罪者の輸送だ。

• 中国が侵攻したら台湾は TSMC を破壊すべし ～ 米陸軍誌 2021年トップ論文

  　米陸軍戦略大学のナンバーワン論文には、台湾は、中国に脅威を突き付けられた際には半導体産業を根絶やしにすると本気で脅して、中国政府の統一への関心を喪失させるべきだと示唆されている。

  2022.1.17 Mon 8:15

• Have I Been Pwned が法執行機関からの漏えいパスワード大量アップロード受付中、NCA や FBI が利用

  　英国の国家犯罪対策庁（NCA）とその傘下の国家サイバー犯罪部門（NCCU）が、膨大な数の盗まれたパスワードを発見した。

  2022.1.5 Wed 8:15

• 英でワクチンパスポートアプリ登録用のニセ情報を内部関係者が販売、三名逮捕

  　英国の警察は、NHS（国民保険サービス）データベースへのアクセス権を持つ者たちが、NHS ワクチンパスポートアプリに登録するための偽のワクチン接種状況情報を販売したとされる事件を受け、過去数ヶ月の間に相次いで容疑者を逮捕した。

  2021.12.23 Thu 8:15

The Register特集をもっと見る

• 脆弱性と脅威 2022.1.27 Thu 8:15

  Microsoft Windows において Encrypting File System での検証不備により任意のファイルのアップロードや操作が可能となる脆弱性（Scan Tech Report）

  2021 年 12 月に、Microsoft Windows OS に任意のファイルが操作可能となる脆弱性が公開されています。

• Grafana において API にリクエストされた URI 文字列の検証不備により任意のファイルが読み取り可能となるディレクトリトラバーサルの脆弱性（Scan Tech Report）

  脆弱性は 2021 年 12 月に、データ分析ソフトウェアである Grafana に、任意のファイルが閲覧可能となるディレクトリとラバーサルの脆弱性が報告されています。

  2022.1.12 Wed 8:15

• ManageEngine の複数の製品における遠隔からの任意のコード実行につながる API への制御不備の脆弱性（Scan Tech Report）

  2021 年 12 月に、サービスの管理や問い合わせの管理をするためのツールである ManageEngine ServiceDesk Plus および Manage Engine Support Center に、遠隔からの任意のコード実行につながる脆弱性が報告されています。

  2021.12.27 Mon 8:15

• GitLab においてメタデータの削除処理に起因する遠隔コード実行の脆弱性（Scan Tech Report）

  開発用ソフトウェアである GitLab に、2021 年 4 月に報告された遠隔コード実行の脆弱性のエクスプロイトコードが公開されています。

  2021.12.7 Tue 8:20

Scan Tech Report特集をもっと見る

• 脆弱性と脅威 2022.1.13 Thu 8:15

  2021年総括／中国APTが中国国内企業を攻撃／華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

  2021 年 12 月は、Apache Log4j の重大な脆弱性である「 Log4Shell 」（ CVE-2021-44228, CVE-2021-45046, CVE-2021-44832 )が大きな話題となりました。

• 米司法省 イラン人ハッカー起訴／中国データセキュリティ規則案公布／脅威インテリジェンスに関わる者が念頭に置くこと 他 [Scan PREMIUM Monthly Executive Summary]

  11 月は、中国の APT グループによるものとみられるサイバー活動が ASEAN 地域や日本国内で観測されています。南シナ海情勢に関連した動きとみられ、主に安全保障に関連した諜報活動の一環とみられます。

  2021.12.8 Wed 8:15

• 「当たり前」を疑ってみる／米 サイバー技術輸出規制強化／MS IBM Googleに偽するカメレオン ほか [Scan PREMIUM Monthly Executive Summary]

  米国商務省産業安全保障局（ BIS ）は、悪意のあるサイバー活動に使用される可能性のある特定の品目の輸出、再輸出、または（国内での）移転に関する規制を定めた規則（暫定版）を発表しました。

  2021.11.5 Fri 8:15

• Apple 社へ不満持つ研究者 iOSの脆弱性開示／北朝鮮のSNS介したサイバー攻撃 ほか [Scan PREMIUM Monthly Executive Summary]

  隣国の中国では、９月より複数のセキュリティに関連した法律が施行されています。注目されるのは、「ネットワーク製品のセキュリティ脆弱性管理に関する規定」や「重要情報インフラセキュリティ保護条例」でしょう。

  2021.10.5 Tue 8:20

Scan PREMIUM Monthly Executive Summary特集をもっと見る

• 脆弱性と脅威 2022.1.26 Wed 8:20

  ここが変だよ日本のセキュリティ 第 46 回 「ざんねんなセキュリティ事典」（前編）

  何だね君はぁ！「ども！コロナ禍で社会が停滞するかと思ったら、思いのほか景気は落ち込まず、今年も数々の事件が起きてセキュリティ対策に終わりはない感じです。

• ここが変だよ日本のセキュリティ 第 45 回 「どこも身近な問題ってどうよ ？！ まだだ！ まだ終わらんよ！！」（後編）

  何だね君はぁ！「ども！テレワークだと昼休みに弁当を食べながらアニメが見られて最高です。冬アニメの消化がとても捗ります！」

  2021.4.16 Fri 8:15

• ここが変だよ日本のセキュリティ 第 44 回 「どこも身近な問題ってどうよ？！そうそう当たるものではない！」（前編）

  企業イメージ以上に、既存顧客のサービスをどうするか、この責任は大企業では逃れられない。逆に逃れたいなら、出資という形で別会社にする。この線引きによって、事件が発生していない他社においても、必要な対応、責任が見えてくる

  2021.3.17 Wed 8:15

• ここが変だよ日本のセキュリティ 第43回 「パスワード管理は続くよ、どこまでも（パスつづ）」（後編）

  後編では、これからも長い付き合いになりそうなパスワードの、不都合な真実って奴に突っ込んで、真実を暴きます。そしてもちろん言いっぱなしにはしません。何が何故、残念で、どうすればいいかを説明します。

  2020.10.15 Thu 8:15

ここが変だよ日本のセキュリティ特集をもっと見る

• 製品・サービス・業界動向 2022.1.17 Mon 15:05

  IE サポート終了迫る、TSS LINK が Edge の IE モードでも情報漏えい防止

  　株式会社ティエスエスリンクは1月17日、Webコンテンツの情報漏えい対策ソフト「パイレーツバスター AWP Ver.11.2」の同日からの発売を発表した。最新バージョンでは、新たに Windows 11 に対応している。

• TSS LINK、国産DLP製品「トランセーファー PRO」をActive Directoryと連携

  　株式会社ティエスエスリンクは1月11日、社内共有ファイルの情報漏洩対策ソフトの新バージョン「トランセーファー PRO Ver.3.0」と、同製品の新しいオプション「Active Directory 連携オプション」を発売した。

  2022.1.11 Tue 8:00

株式会社ティエスエスリンク－純国産の情報セキュリティ対策ソフト特集をもっと見る

• 製品・サービス・業界動向 2021.12.22 Wed 8:20

  キャリアヴェイルが提案するネットワーク監視の障害復旧「以外」の目的

  年に 2 ～ 3 回かそこら発生する障害の復旧を速くする以外の監視の目的などないのでは、と思うかもしれないが、ここに CustomerStare は、DX時代にふさわしい新しい目的を追加しようとしている。いわばネットワーク監視の再定義だ。

• LogStare、サイバー攻撃の現状と対策の実態をまとめた資料を無料公開

  　株式会社LogStareは12月16日、企業が受けるサイバー攻撃の現状と対策の実態をまとめたホワイトペーパー「サイバー攻撃は13秒に1回！ あらゆる企業に、今なぜSOCが必要なのか」を公開した。

  2021.12.21 Tue 8:00

• セキュアヴェイルとLogStare、グループ製品における「Log4shell」の影響を調査

  　株式会社セキュアヴェイルと株式会社LogStareは12月13日、同社及び同社グループ製品におけるLog4jの影響について発表した。

  2021.12.16 Thu 8:00

• LogStareのSOCの窓 号外「Log4j の脆弱性 ( CVE-2021-44228 ) への各種セキュリティ製品の対応」

  　株式会社LogStareは「ログを見つめる（Stare）」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

  2021.12.14 Tue 8:20

株式会社LogStare特集をもっと見る

• 製品・サービス・業界動向 2022.1.27 Thu 8:20

  イエラエセキュリティ CSIRT支援室 第17回「イエラエセキュリティ漫画コラム『とっても大事な保全の巻』」

  インシデント発生時には、「証拠保全」がとても重要です。今回は、その証拠保全についてのポイントを家良さんに語っていただきます。

• イエラエセキュリティ CSIRT支援室 第 16 回 小規模CSIRT向けWindowsイベントログで押さえておくこと

  本記事では、ログ全般に関わることの情報、インシデントレスポンスにおいて参照されることが多いイベントログに焦点を当て、イベントログを見るための情報であったり、学習するための素材を紹介します。

  2022.1.7 Fri 8:20

• イエラエセキュリティのエンジニアがヤマハ製ルーターの脆弱性を報告

  　株式会社イエラエセキュリティは12月7日、同社オフェンシブセキュリティ部所属のエンジニア馬場将次氏が報告した脆弱性がJVNに公開されたと発表した。

  2021.12.10 Fri 8:00

• イエラエセキュリティ「学生の注目企業2021」に選出

  株式会社イエラエセキュリティは11月11日、株式会社No Companyが調査した「学生の注目企業2021」に選出されたと発表した。

  2021.11.17 Wed 8:00

株式会社イエラエセキュリティ－最高品質･最低価格のセキュリティ診断特集をもっと見る

• 製品・サービス・業界動向 2022.1.20 Thu 8:25

  SOC as a Service、SHIFT SECURITY が日本のセキュリティ管理ノウハウを海外輸出しサービスとして逆輸入

  北米の SOC サービスを「ジャパンクオリティ」にまで高め洗練させたうえで、日本にそれを逆輸入する充分な手応えを得て、今回の資本提携に至った。

• SHIFT SECURITYと米SentryMark Inc.の資本業務提携で海外SOCを標準化・仕組化

  　株式会社SHIFT SECURITYは1月13日、米SentryMark Inc.との資本業務提携による標準化・仕組化によるグローバル対応を実現し、柔軟性の高いセキュリティ監視サービスの提供を発表した。

  2022.1.19 Wed 8:00

• 志だけを受け取った104万1,500円 ～ 法人向け無償セキュリティサービス S4 開発チームが考える セキュリティの「本来あるべき姿」

  斜め上どころではない S4 というプロジェクトは、資産管理と脆弱性管理のベストプラクティスと標準化、セキュア開発のベストプラクティスと標準化というふたつの駅を経由し「誰の手にもセキュリティがいきわたる社会」を目指す。

  2021.12.14 Tue 8:25

• 「OWASP Top 10 2021」は 2017年版とどこが変わった？ 診断会社のSHIFT SECURITYが解説資料公開

  今回 SHIFT SECURITY が公開した資料は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。

  2021.11.19 Fri 8:20

株式会社SHIFT SECURITY（シフトセキュリティ）- 脆弱性診断の標準化企業特集をもっと見る

• 特集 2022.1.17 Mon 8:20

  TwoFive メールセキュリティ Blog 第3回「4つのなりすましメール対策、できていますか？」

  今回は4 つのアクションポイントに対応した対策グループを整理してみました。皆さんはこれらの対策のうち、どれを実施していて、どれが実施できていないでしょうか。

• TwoFive Blog 第2回「今こそレガシーを見直す時、電子メールのマルウェア対策」

  第２回目は、電子メールのごく初期から今日まで、不本意ながら古くて長いお付き合いが続いているマルウェアについて、電子メールネットワークの変化とそれにともなって必要とされる今後の対策を取り上げる。

  2021.12.21 Tue 8:20

• TwoFive Blog 第1回「メール、その混沌の起源」

  元来メールは「研究機関やそれに類する組織に所属する人」だけで利用されていましたから、セキュリティはほとんど考慮されていませんでした。その証拠に、最初に SMTP を規定した RFC821 を「security」という文字で検索しても一つもヒットしません。

  2021.11.30 Tue 8:20

• 「日本法人よりも日本法人」ってどういう意味？ セキュリティ課題に立ち向かう熱き相棒：後編

  後編では、メールセキュリティ特有の事情や、正しい製品選びについて考えてみることにする。

  2021.10.21 Thu 9:00

TwoFive メッセージングのセキュリティ課題に挑むリーディングカンパニー特集をもっと見る

• 調査・レポート・白書 2022.1.24 Mon 8:10

  CrowdStrike Adversary Calender 2022 年 1 月「パーカッション・スパイダー」

  「CrowdStrike アドバーサリーカレンダー」は「アドバーサリー（敵性国家）」に関わる、サイバー攻撃に影響を及ぼす可能性がある（あるいは過去影響を及ぼした）地政学的出来事の情報を提供している点に最大の特長があります。記事末尾には当月の記載事項を付記します。

• KDDI がマネージドセキュリティサービスに CrowdStrike Falcon 追加

  　KDDI株式会社は1月18日、法人顧客向けにEDR製品「CrowdStrike Falcon」を同日から提供開始すると発表した。

  2022.1.21 Fri 8:00

• CrowdStrike Falcon を用いた Log4Shell の捕捉方法の資料公開（個人情報登録不要）

  　クラウドストライク株式会社は12月15日、「Log4Shellによってもたらされるサイバー脅威からお客様を保護するCrowdStrike Falcon」の公開を発表した。

  2022.1.20 Thu 8:20

• CrowdStrike Blog：Falcon HorizonでAmazon EC2のセキュリティを確保する方法

  CrowdStrike のクラウドセキュリティポスチャー管理ソリューションである Falcon Horizon は、パブリッククラウドサービスの監視機能を備えており、展開の拡大によって生じる潜在的な問題を企業がプロアクティブに特定・解決するうえで役立ちます。

  2021.12.20 Mon 8:20

CrowdStrike 事例と活動（クラウドストライク株式会社）特集をもっと見る

• 特集 2022.1.18 Tue 8:20

  proofpoint Blog 第9回「脅威を予測する！リスク分析による高度なセキュリティ運用の実現」

  境界型から出口対策、そしてゼロトラストと働き方や攻撃の変化に合わせて防御のトレンドも変化していますが、一貫していえるのは侵入されることを前提とした対策が重要になっている点です。

• proofpoint Blog 第8回「脅威を予測する！組織のリスクに基づくセキュリティ戦略の検討」

  セキュリティ対策は組織全体への展開を前提とした大きなプロジェクトになりがちですが、現状のリスクを可視化することにより、セキュリティ対策に柔軟性と即効性を持たせることができるようになってきました。

  2021.12.16 Thu 8:20

• 日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウ

  　「彼らから提供されるセキュリティ情報をうのみにして伝えても、それは日本のメリットではないかもしれない」

  2021.12.7 Tue 8:25

• proofpoint Blog 第7回「北朝鮮APT『TA406』による三つの脅威 - 詐欺、スパイ、盗みの手口」

  本レポートでは、北朝鮮政府を代表して活動する攻撃グループに関連する多くの攻撃キャンペーンや行動について詳細に説明します

  2021.11.24 Wed 8:20

日本プルーフポイント株式会社（Proofpoint, Inc.）特集をもっと見る

• インシデント・事故 2022.1.26 Wed 8:05

  「高校生のキモチ。」資料請求キャンペーンサイト応募者の個人情報が閲覧可能に

  　株式会社昭栄広報は1月14日、同社ポータルサイト「高校生のキモチ。」内での個人情報漏えいについて発表した。

• 三重県計量検定所で金庫に保管していたUSBメモリを紛失、複数職員でのチェック行われず

  　三重県は1月18日、三重県計量検定所でのUSBメモリの紛失について発表した。

  2022.1.20 Thu 8:05

• 個人情報保護委員会で個人情報漏えい発生、意見提出者の氏名や所属先を削除せずに掲載

  　個人情報保護委員会は1月18日、意見募集手続の結果をWeb上で公表する際に個人情報の漏えいが発生したと発表した。

  2022.1.20 Thu 8:05

• ビジネス文書含む HDD がフリーマーケットで販売、LAC 元社員 私的にバックアップし売却

  　株式会社ラックは1月14日、フリーマーケットで販売されていたハードディスクに同社内のビジネス文書が含まれていたことが判明したと発表した。

  2022.1.19 Wed 8:05

• 日向市Webサイトに国民健康保険税の還付者の個人情報を誤掲載、18件のアクセスを確認

  　宮崎県日向市は12月20日、国民健康保険税の還付者の個人情報を市のWebサイトに誤掲載したと発表した。

  2021.12.24 Fri 8:05

• 信書も送れるレターパックプラスが行方不明、大和ハウスグループ企業が国交省へ報告

  　大和ハウスグループの大和リビング株式会社は12月2日、郵便事故による顧客情報の紛失について発表した。

  2021.12.22 Wed 8:05

• 2021年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10

  インシデントや情報漏えい、各種事件事故に関連する記事のうち、2021 年に最も読まれた記事を、ランキング形式で上位 10 件、ページビュー件数とあわせて紹介します。セキュリティ管理者や管理層の方の、年次報告書作成時の参考情報として活用ください。

  2021.12.21 Tue 8:15

顧客情報流出 , 個人情報漏えい特集をもっと見る

• 製品・サービス・業界動向 2022.1.13 Thu 8:00

  国産セキュリティ製品選びを簡単に ～ IPA が検証対象製品を募集中、締切は 1/21 17:00

  　独立行政法人情報処理推進機構（IPA）は1月11日、2021年度のセキュリティ製品の有効性検証における試行対象製品の募集について発表した。

• Emotetの感染手口に変化、PDF閲覧ソフトを偽装

  　独立行政法人情報処理推進機構（IPA）は12月9日、Emotetの攻撃活動再開後の状況について発表した。

  2021.12.14 Tue 8:00

独立行政法人 情報処理推進機構 （IPA）特集をもっと見る