生成AIで巧妙化するフィッシングメール 総務省、DMARC導入など対策強化を業界に要請
総務省は9月1日、フィッシングメール対策への対策を強化するよう、IT関連の業界4団体に要請した。フィルタリング精度の向上や送信ドメイン認証(DMARC)の導入などを進め、2026年8月末まで、3カ月ごとに進ちょくを報告するよう求めている。 要請の対象は、携帯キャリアなどでつくる電気通信事業者協会、SIerなどが加盟するテレコムサービス協会、ISPでつくる日本インターネットプロバイダー協会、ケーブルテレビ事業者で構成する日本ケーブルテレビ連盟。 総務省は、「生成AIを使って自然な日本語を大量に生成できるようになり、これまで以上に精巧なフィッシングメールの送付が容易となっている」と指摘。ここ最近は、証券会社をかたったフィッシングメールによる不正取引が急増するなど被害が深刻化する中、より効果的な対策を求めた。 要請内容は、AIを活用するなどしてメールフィルタリング精度を向上させ、高度化するフィッ
MCPにおけるセキュリティ考慮事項と実装における観点(前編) - GMO Flatt Security Blog
MCP logo ©︎ 2024–2025 Anthropic, PBC and contributors | MIT license はじめに 本記事は、セキュリティエンジニアのAzaraこと齋藤とコーポレートセキュリティエンジニアのhamayanhamayanが、社内で行ったディスカッションを元に記述した記事です。 本記事は、MCP の利活用の際に考えるべき、セキュリティに関する考慮事項や、脅威の想定、実装時気にすべき観点などについてまとめたシリーズの前編になります。前編では、MCPに関する基本的な事項を扱いながら、利用者側の目線でMCPに対するセキュリティを考えていきます。社内での利活用の際に参考になれば幸いです。 また、GMO Flatt Securityは日本初のセキュリティ診断AIエージェント「Takumi」や、LLMを活用したアプリケーションに対する脆弱性診断・ペネトレーショ
『全員インシデントコマンダー』の体制構築から 1年経った現在地 | ドクセル
『全員インシデントコマンダー』の体制構築から 1年経った現在地 株式会社ユーザベース 安藤裕紀 2024/12/17 障害対応の属人化から脱却。全員を巻き込む仕組みづくりの方法 00 自己紹介 安藤裕紀 / Yuki Ando 株式会社ユーザベース NewsPicks事業 VP of Platform Engineering SREチームのチームリーダー(プレイングマネージャー) 兼 Platform Engineering グループのエンジニアリングマネージャー 特技:AWSコスト削減や障害対応を愚直に100本ノックすること 好きなSREのプラクティス:非難なきポストモーテム文化 Incident Response Meetupという障害対応のイベントを運営しています ©Uzabase, Inc. All Rights Reserved.
高級ホテルの客室タブレットに潜む危険:他客室も操作、盗聴可能だった脆弱性を発見するまで - ラック・セキュリティごった煮ブログ
しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問題はIPAを通して開発者に報告し、報告から2年の年月を経て影響する全ホテルへの改修が完了し、公表されました。 本記事ではキオスクアプリ開発者がよりセキュアなシステムを構成できるように、発見した脆弱性の原因と対策を解説します。 客室に設置されていた脆弱性を有するタブレット ※今回は稼働中システムに対する調査という背景を鑑み、他者の情報・資産を侵害しないよう細心の注意をもって調査しており、他者の情報が関連するセンシティブな問題についてはアクセスなどの実際の検証を行わず、複数の間接的な証跡をもって報告し
手放したドメインを「パパ活サイト」に転用されたマカフィー、「別の法人により管理されていた」「非常に遺憾」
「ドロップキャッチ」という言葉をご存じだろうか。更新されなかったドメイン名が再登録できるようになった瞬間を狙って登録する行為のことで、登録者は前の使用者が築いたドメインパワーにただ乗りできてしまう。 前の使用者には“なりすまし”やブランド毀損など、使われ方によって様々なリスクが生じる。しかし、そうしたリスクについて啓蒙しているセキュリティベンダーも完全には防げなかったようだ。 2024年の年末、以前マカフィーが日本向けにセキュリティ情報を発信する技術ブログに使用していた「blogs.mcafee.jp」というドメインが、いつの間にか「パパ活アプリ」のアフィリエイトブログサイトに変わっていると、X上で話題になった。 最初に指摘したのは、以前の技術ブログをRSSリーダーに登録していたXユーザーだった。このように外部からリンクが張られるなど参照される機会が多いドメインほど狙われやすく、被害も広が
Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた - piyolog
2024年6月以降、Google フォームの設定に起因する情報流出が生じたとして複数の組織より公表されました。ここでは関連する情報をまとめます。 回答情報を第三者に参照される恐れのあった共同編集設定 Google フォームの設定次第で外部から回答者の情報を閲覧することが可能な状態が発生し、実際に影響を受けたとして複数の組織が6月以降公表を行っている。 事案公表した組織が行っていた設定とは、Google フォームの「共同編集者の追加」において「リンクを知っている全員」が選択されている場合。 Googleのアカウントにログインした状態で当該設定が行われたGoogle フォームに回答を行った後、自身のGoogleアプリからGoogle フォームの画面を表示した際に、「最近使用したフォーム」の欄にそのGoogle フォームが表示されるようになっていた。そこよりGoogle フォームを通じて入力され
メール認証における ARC の仕組みと DMARC fail の対策 - NFLabs. エンジニアブログ
研究開発部 システム&セキュリティ担当の松倉です。 世間の DMARC 対応を加速させたといっても過言ではない Gmail におけるメール送信者のガイドラインが適用開始されてから 3 ヶ月近くが経ち、NFLabs. に届くメールでも DMARC ポリシーが設定されているドメインが多くなっています。 しかしながら、そのほとんどはポリシーが none であり、DMARC レポートを通じて影響範囲を見極めている、という企業がまだ多そうです。 受信側から見ると、ポリシーが quarantine または reject であればセキュリティ観点では安心感がある一方、正規のメールが検疫や破棄となる場合もあり悩まされることがあります。 DMARC 認証の失敗原因となりがちなのはメーリングリスト等のメール転送で、NFLabs. でもこれにより正規のメールが DMARC failとなって検疫される、という事例
政府が詐欺対策取りまとめ、フィッシング防止でDMARCやパスキーの普及を促進
政府は2024年6月18日、犯罪対策閣僚会議を開催し「国民を詐欺から守るための総合対策」を取りまとめた。著名人になりすました偽広告による投資詐欺などの急増や、正規のWebサイトに見せかけた偽サイト(フィッシングサイト)によるフィッシング被害の拡大といった情勢を受けたものだ。 投資詐欺サイトに誘導するSNS上での投稿や偽広告対策としては、SNS事業者に対して広告の事前審査の強化などを要請するとした。具体的には、事前審査基準の策定や公表、日本語や日本の法令などを理解する人を十分に配置した審査体制の整備、広告出稿者の本人確認の強化などだ。インターネット上の情報コンテンツや発信者の信頼性を受信者が判別できるよう、発信者に関する情報を情報コンテンツに付与する技術実証なども行うとする。 フィッシング対策ではフィッシングサイトへのアクセスを防ぐ策として、次の3点を挙げた。(1)DMARC(Domain-
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
Announcing New DMARC Policy Handling Defaults for Enhanced Email Security | Microsoft Community Hub
Announcing New DMARC Policy Handling Defaults for Enhanced Email Security Domain-based Message Authentication, Reporting & Conformance (DMARC) is a standard that helps prevent spoofing by verifying the sender’s identity. If an email fails DMARC validation, it often means that the sender is not who they claim to be, and the email could be fraudulent. The ‘p=’ value (this stands for “policy”) in a D
SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝
SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の内容と一部重複しますが、できるだ
どれくらい自社ドメインがなりすまされているか、ご存知ですか? | IIJ Engineers Blog
IIJ ネットワーク本部アプリケーションサービス部所属。 メールサービスの運用業務に従事し、日々世界の悪と戦う一児の父親。社内 Power Automate エバンジェリスト(自称)。M3AAWG member / openSUSE Users / WIDE Project メンバー。趣味は大喜利。はがき職人。 企業の情報システム部門でメールを担当されているみなさん、この問いに答えられる方は、どれくらいいらっしゃるでしょうか。 「そんなこと、気にしたこともない」という方も少なくないかもしれません。それもそのはず、これまで送信ドメイン認証を代表する SPF、DKIM は、送信者側が受信者側でどのように評価されたか知る術がありませんでした。ましてや、第三者の何者かが自社ドメインを勝手に使って誰かにメールを送っている、なんて知ることは不可能でした。 しかし、DMARC(RFC 7489;「ディー
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『
受賞組織の共通点は「文化」の醸成 - 第7回「情報セキュリティ事故対応アワード」開催レポート
不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント「情報セキュリティ事故対応アワード」。第7回を迎えた今回は、例年と時期をずらして2022年6月28日に開催。3つの組織が各賞を受賞した。イベント当日は、受賞企業の表彰と審査員によるパネルディスカッションが行われ、セキュリティ事故に遭遇した際の対応について議論された。本稿では、その様子の一部をレポートする。 特別賞・優秀賞・審査員特別賞を受賞した組織は? 情報セキュリティ事故対応アワードの審査員は、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏(審査員長)、EGセキュアソリューションズ 取締役 CTO 徳丸浩氏、NTTセキュリティ・ジャパン プロダクトセールス&サポート部 北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏、セキュリティ情報ブログ「p
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
自社のクラウド環境に侵入され、データベースから経営に欠かせないデータを持ち出される。バックアップも消され、データを取り戻したければ、身代金を支払うよう要求される──企業にとって絶対に直面したくない事態の一つだ。しかしこのシチュエーションをあえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。クラウド会計サービスを提供するfreeeだ。 freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求したという。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。 訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあったという。同社のPSIRTが取り組んだ
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ロシア語使うハッカー集団、チームズ悪用の犯行手口が流出…日本企業にも身代金要求が判明
ITエンジニアとして知っておいてほしい、電子メールという大きな穴
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
Microsoft SQL Serverを狙うマルウェア「Maggie」が見付かる、全世界で250台以上がすでに感染か
