ニュース」カテゴリーアーカイブ

【ITニュース】2023年9月20日の気になる話題

本日は、研究段階のパスワードクラック手法や詐欺メールで悪用されたドメインに関する話を取り上げます。


①スマホからWi-Fiで送信されたパスワードを盗聴、暗号解読不要の恐るべき手法【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00676/091500149/

おじさんから一言:キー配置が明確な数字の入力であればかなりの精度で盗聴できるということのようですが、日本語のフリック入力だったり隣接キーとの距離が近いQWERTY配列でも行けるのかは気になるところですね。さすがに数字のみのパスワードを使っている人なんていないとは思いますが、英大文字・小文字・数字・記号を混在させ、桁数を増やすことはこの手法の対策としても有効そうですね。


②2023年上半期フィッシングサイト ドメイン集計【Digital Arts】
https://www.daj.jp/security_reports/33/

おじさんから一言:昨年よく見たicuドメインは、たしかに最近見なくなりましたね。値上がりしたのかな? それとも管理が厳しくなった? com, top, co, shopあたりは引き続き悪用されているようなので気をつけましょう。cn(Chinaの国ドメイン) や ru(Russiaの国ドメイン) は基本的にダウトでよろしいかと。独自ドメイントップ20はよく悪用されてしまう正規サービスということだと思いますが、安易に通信ブロックすると利便性を損なう可能性がありますので、組織内で意識合わせしてからブロックした方が良いと思います。

工場のセキュリティ(OTとかICS)に関する最近の話題

ちょうど4年前ぐらいに米国ではOTセキュリティに火が付き始めていましたが、日本でもそろそろ盛り上がり始めているようです。最近の記事をまとめてみました。


①標準から学ぶICSセキュリティ【JPCERT/CC】
https://www.jpcert.or.jp/ics/information07.html

②スマート工場化でのシステムセキュリティ対策事例 調査報告書【IPA】
https://www.ipa.go.jp/security/controlsystem/securityreport-smartfactory-2023.html

③産業用制御システムの脆弱性の傾向分析、「ICS CVE Research Report」から見る2023年上半期の特徴【Internet Watch】
https://internet.watch.impress.co.jp/docs/column/security/1528348.html

④OTセキュリティリスク可視化サービス OsecT、リニューアルしました【NTTコミュニケーションズ 開発者ブログ】
https://engineers.ntt.com/entry/2023/08/31/100633


【関連用語】

  • OT:Operational Technology(社会インフラのハードウェアを制御・運用する技術)
  • ICS:Industrial Control System(産業用制御システム)

【ITニュース】2023年9月4日の気になる話題

本日は、パスワードの使い回しの実態やガバメントクラウドの選考基準緩和、乗っ取られた正規サイトに関する話を取り上げます。


①パスワードの利用実態調査2023、8割以上が使い回し【マイナビTECH+】
https://news.mynavi.jp/techplus/article/20230901-2762626/

おじさんから一言:6種類以上を良しとしても、5種類以下のパスワードの使い回しが7割以上ですか…。 せめてどこのサイトでどのパスワードを使っているかは管理しておいてくださいね。事故の際にリカバリできるよう。


②デジタル庁がガバメントクラウドの選考基準を一部緩和へ、国産ベンダー参入に光明【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/news/18/15854/

おじさんから一言:安全保障上、正しい方向であろうと思います。国産ベンダーには「なんちゃってクラウド」から脱却して頑張ってほしいところですが、どこが一番可能性高いんでしょうね?? 以下のあたりが候補になりそうだけど、果たして食い込めるのや否や。

昨年6月の記事でも大事なことを伝えられていますね。
「今さら国産クラウドの育成」、自民党と経産省は何を考えているのか【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00166/053000103/


③ハッキングされたWebサイトを見破る方法【kasperskyブログ】
https://blog.kaspersky.co.jp/how-to-spot-phishing-on-a-hacked-wordpress-website/34535/

おじさんから一言:最近の詐欺メールに登場するURLは、あからさまに悪性と判断がつかないようなものも増えてきています。こちらの記事のように正規サイトが乗っ取られて悪用されているケースも多々ありますのでご注意ください。

【ITニュース】2023年8月29日の気になる話題

本日は、AIが生成したであろうフィッシングメールに引っかかってしまった話、ダークウェブの閲覧で使われるTorのサイバーセキュリティに関する話を取り上げます。


①セキュリティ専門家もだまされかけた、巧妙すぎるAIフィッシング詐欺の顛末【ZDNET】
https://japan.zdnet.com/article/35208153/

おじさんから一言:恥を忍んでこうして記事にしていただくことはありがたいことだと思います。「私は大丈夫だと考えている、あなた!」そう、あなたです。明日は我が身と思って今一度警戒いただくよう、よろしくお願いします。


②匿名ネットワークTorはどのようにDDoS攻撃を防ぐ? 鍵を握る「PoW」とは【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/29/news074.html

おじさんから一言:Torもまたサイバー攻撃の対象になっていて、PoWという防御機構があるようなのですが、ブロックチェーン関連の考え方みたいですね。Torもブロックチェーンも中央集権ではなく端末同士がやり取りする(アドホックな)思想なので同じように適用できるのか。興味深い。

【ITニュース】2023年8月28日の気になる話題

最近の気になった情報を取り上げて、余裕があればコメントします。


①インターネットとトラスト ~AI時代に必要なインフラの再考~ クロサカタツヤ(株式会社企)【JPNIC】

現状でPCよりもスマホの方が本人確認には有効。
→スマホのOS握ってるのって、ほぼGoogleとApple。
→かつてのような自由さを取り戻したい。
→これまで放置してきた課題に取り組もう!

おじさんから一言:ハッカー精神を感じる内容で大変感銘を受けました。それにしてもPCよりもスマホの方がサイバー攻撃の対象足り得る時代に入って来ていますね。PCのセキュリティ対策はそれなりにやってきたけど、スマホはほとんど対策できていないケースも多いのではないでしょうか。これまでとは考え方を改めて対策していく必要がありそうです。


②SIerの技術者は「洗脳」されているかもな、滅びの道を行く前に考えたほうがよいぞ【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00148/082200298/

おじさんから一言:なかなか言いづらいことを相変わらずの調子で語られていて痛快ですね。私は20代のうちに転職した元SIer SEですが、仰る通りだと思います。


③攻撃者は何曜日にランサムウェアを仕掛けるのか? 2023年上半期Sophosレポートが公開【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/28/news052.html

おじさんから一言:休日前(金曜日の夜とか)が最も狙われやすいとのこと。じゃあと言って、戸締まりに気をつけましょう!のレベルでは済まないのが悩ましいところですね…。日頃からサイバーセキュリティ対策をできるところからコツコツ積み重ねていくしかないです。

【新機能リリース】国境付近の天気

当研究所サイトの以下ページで国境付近5地点の天気予報を確認できるページをリリースしました。

国境付近の天気 | LdLuS
https://ldlus.org/weather.php

これまで動画配信活動で扱ってきた「お昼の声出し活動」や「情報研究室の日報」では幾度ごとにお伝えして参りましたが、日本国内の天気予報サービスでは択捉島を始め、日本の領土であるはずの場所で天気予報ができない現実があります。

天気予報のAPIにはそのような国境の事情がなく、淡々と緯度経度に応じて天気予報を確認できてしまうため、そのあたりのメッセージ性が薄れてしまうところは気にしているところでありますが、これはこれで領土を主張するという意味で別の角度からメッセージ性を持たせることができるのかなと考えています。

これを見たところで日々の生活には天気予報を活かせないとは思いますが、上記のページで扱う5地点が日本の領土であることを改めてご認識いただき、日本人ひとりひとりが問題意識を持っていただく上での一助となりましたら幸いです。