スラド: セキュリティ
https://security.srad.jp/
アレゲなニュースと雑談サイト
ja-jp
Copyright (C) スラド, OSDN Corporation
2024-03-19T03:52:26+00:00
スラド
slashmaster@srad.jp
Technology
1970-01-01T00:00+00:00
2
hourly
スラド: セキュリティ
https://srad.jp/static/srad_logo01.png
https://security.srad.jp/
-
IPA、情報セキュリティ10大脅威 2024を発表
https://security.srad.jp/story/24/01/29/1440210/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/internet_64.png">p>独立行政法人情報処理推進機構(IPA)は24日、2023年に発生した情報セキュリティに関する重要な脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。これは毎年公開しているもので、情報セキュリティの専門家や企業の担当者など約200人からなる「10大脅威選考会」によって選定されている(IPA、INTERNET Watch)。
今回は、個人向けの脅威には順位がなくなり、代わりに初選出年と過去の取り扱い状況が記載された。個人における情報セキュリティ10大脅威に選ばれたのは以下の通り。
インターネット上のサービスからの個人情報の窃取(初選出年2016/5年連続8回目)インターネット上のサービスへの不正ログイン(同2016/9年連続9回目)クレジットカード情報の不正利用(同2016/9年連続9回目)スマホ決済の不正利用(同2020/5年連続5回目)偽警告によるインターネット詐欺(同2020/5年連続5回目)ネット上の誹謗・中傷・デマ(同2016/9年連続9回目)フィッシングによる個人情報等の詐取(同2019/6年連続6回目)不正アプリによるスマートフォン利用者への被害(同2016/9年連続9回目)メールやSMS等を使った脅迫・詐欺の手口による金銭要求(同2019/6年連続6回目)ワンクリック請求等の不当請求による金銭被害(同2016/2年連続4回目)
一方、組織向けの脅威では、ランキング形式が残されている。選ばれたのは以下の通り。
1位 ランサムウェアによる被害(前回順位1位)2位 サプライチェーンの弱点を悪用した攻撃(同2位)3位 内部不正による情報漏えい等の被害(同4位)4位 標的型攻撃による機密情報の窃取(同3位)5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(同6位)6位 不注意による情報漏えい等の被害(同9位)7位 脆弱性対策情報の公開に伴う悪用増加(同8位)8位 ビジネスメール詐欺による金銭被害(同7位)9位 テレワーク等のニューノーマルな働き方を狙った攻撃(同5位)10位 犯罪のビジネス化(アンダーグラウンドサービス)(同10位)<p> <a href="https://security.srad.jp/story/24/01/29/1440210/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/news">ニュース</a> | <a href="https://srad.jp/stories/internet">インターネット</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/29/1440210/&text=IPA%E3%80%81%E6%83%85%E5%A0%B1%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A310%E5%A4%A7%E8%84%85%E5%A8%81%202024%E3%82%92%E7%99%BA%E8%A1%A8" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/29/1440210/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/29/1440210/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/29/1440210/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/23/12/17/1438256">政府、AIの安全性確保を担う組織を新設へ</a> <small>2023年12月18日</small> </p>
nagazou
2024-01-30T07:06:00+00:00
internet
発表
security
7
7,7,4,0,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/internet_64.png">p>独立行政法人情報処理推進機構(IPA)は24日、2023年に発生した情報セキュリティに関する重要な脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。これは毎年公開しているもので、情報セキュリティの専門家や企業の担当者など約200人からなる「10大脅威選考会」によって選定されている(<a href="https://www.ipa.go.jp/pressrelease/2023/press20240124.html">IPA</a>、<a href="https://internet.watch.impress.co.jp/docs/news/1564095.html">INTERNET Watch</a>)。
<br> <br>今回は、個人向けの脅威には順位がなくなり、代わりに初選出年と過去の取り扱い状況が記載された。個人における情報セキュリティ10大脅威に選ばれたのは以下の通り。<blockquote><div><ul>
<li>インターネット上のサービスからの個人情報の窃取(初選出年2016/5年連続8回目)</li><li>インターネット上のサービスへの不正ログイン(同2016/9年連続9回目)</li><li>クレジットカード情報の不正利用(同2016/9年連続9回目)</li><li>スマホ決済の不正利用(同2020/5年連続5回目)</li><li>偽警告によるインターネット詐欺(同2020/5年連続5回目)</li><li>ネット上の誹謗・中傷・デマ(同2016/9年連続9回目)</li><li>フィッシングによる個人情報等の詐取(同2019/6年連続6回目)</li><li>不正アプリによるスマートフォン利用者への被害(同2016/9年連続9回目)</li><li>メールやSMS等を使った脅迫・詐欺の手口による金銭要求(同2019/6年連続6回目)</li><li>ワンクリック請求等の不当請求による金銭被害(同2016/2年連続4回目)</li></ul></div></blockquote><p>
一方、組織向けの脅威では、ランキング形式が残されている。選ばれたのは以下の通り。</p><blockquote><div><ul>
<li>1位 ランサムウェアによる被害(前回順位1位)</li><li>2位 サプライチェーンの弱点を悪用した攻撃(同2位)</li><li>3位 内部不正による情報漏えい等の被害(同4位)</li><li>4位 標的型攻撃による機密情報の窃取(同3位)</li><li>5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(同6位)</li><li>6位 不注意による情報漏えい等の被害(同9位)</li><li>7位 脆弱性対策情報の公開に伴う悪用増加(同8位)</li><li>8位 ビジネスメール詐欺による金銭被害(同7位)</li><li>9位 テレワーク等のニューノーマルな働き方を狙った攻撃(同5位)</li><li>10位 犯罪のビジネス化(アンダーグラウンドサービス)(同10位)</li></ul></div></blockquote><p>
<a href="https://security.srad.jp/story/24/01/29/1440210/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/news">ニュース</a>
| <a href="https://srad.jp/stories/internet">インターネット</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/29/1440210/&text=IPA%E3%80%81%E6%83%85%E5%A0%B1%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A310%E5%A4%A7%E8%84%85%E5%A8%81%202024%E3%82%92%E7%99%BA%E8%A1%A8" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/29/1440210/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/29/1440210/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/29/1440210/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/23/12/17/1438256">政府、AIの安全性確保を担う組織を新設へ</a>
<small>2023年12月18日</small>
</p>
-
Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告
https://security.srad.jp/story/24/01/22/2314202/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/microsoft_64.png">headless 曰く、Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している
(Microsoft Security Response Center Blog の記事、
The Verge の記事、
Neowin の記事、
Form 8-K 報告書)。
不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。
不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。
今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。<p> <a href="https://security.srad.jp/story/24/01/22/2314202/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/microsoft">マイクロソフト</a> | <a href="https://srad.jp/stories/news">ニュース</a> | <a href="https://srad.jp/stories/internet">インターネット</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/22/2314202/&text=Microsoft%E3%80%81%E9%87%8D%E5%A4%A7%E3%81%AA%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A4%E3%83%B3%E3%82%B7%E3%83%87%E3%83%B3%E3%83%88%E3%82%92%E7%B1%B3%E8%A8%BC%E5%88%B8%E5%8F%96%E5%BC%95%E5%A7%94%E5%93%A1%E4%BC%9A%E3%81%AB%E5%A0%B1%E5%91%8A" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/22/2314202/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/22/2314202/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/22/2314202/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/23/07/29/0619220">米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール</a> <small>2023年07月29日</small> <br><a href="https://it.srad.jp/story/23/04/20/1919233">Microsoft、気象用語を使用した脅威アクター新命名法</a> <small>2023年04月21日</small> </p>
nagazou
2024-01-23T08:05:00+00:00
microsoft
重大
security
1
1,1,0,0,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/microsoft_64.png">headless 曰く、<blockquote><div><p>Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、<a href="https://security.srad.jp/story/23/07/29/0619220/">4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデント</a>として米証券取引委員会 (SEC) に報告している
(<a href="https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/">Microsoft Security Response Center Blog の記事</a>、
<a href="https://www.theverge.com/2024/1/19/24044561/microsoft-senior-leadership-emails-hack-russian-security-attack">The Verge の記事</a>、
<a href="https://www.neowin.net/news/microsoft-says-a-russian-intelligence-group-got-access-to-emails-from-its-top-executives/">Neowin の記事</a>、
<a href="https://www.sec.gov/ix?doc=/Archives/edgar/data/789019/000119312524011295/d708866d8k.htm">Form 8-K 報告書</a>)。<br>
<br>
不正アクセスは国民国家に関係する<a href="https://it.srad.jp/story/23/04/20/1919233/">脅威アクター</a>によるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。<br>
<br>
不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。<br>
<br>
今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。</p></div></blockquote><p>
<a href="https://security.srad.jp/story/24/01/22/2314202/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/microsoft">マイクロソフト</a>
| <a href="https://srad.jp/stories/news">ニュース</a>
| <a href="https://srad.jp/stories/internet">インターネット</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/22/2314202/&text=Microsoft%E3%80%81%E9%87%8D%E5%A4%A7%E3%81%AA%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A4%E3%83%B3%E3%82%B7%E3%83%87%E3%83%B3%E3%83%88%E3%82%92%E7%B1%B3%E8%A8%BC%E5%88%B8%E5%8F%96%E5%BC%95%E5%A7%94%E5%93%A1%E4%BC%9A%E3%81%AB%E5%A0%B1%E5%91%8A" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/22/2314202/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/22/2314202/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/22/2314202/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/23/07/29/0619220">米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール</a>
<small>2023年07月29日</small>
<br><a href="https://it.srad.jp/story/23/04/20/1919233">Microsoft、気象用語を使用した脅威アクター新命名法</a>
<small>2023年04月21日</small>
</p>
-
UEFIのPXEブートに脆弱性が見つかる。多くのBIOSに影響
https://security.srad.jp/story/24/01/22/1438245/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/news_64.png">サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(Quarkslab、PC Watch)。
EDK IIを実装していて影響を受けるUEFIは下記の通り。
ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc(AMI)のAptio OpenEditionPhoenix TechnologiesのSecureCoreMicrosoftのProject MuPixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。
整数アンダーフロー(CVE-2023-45229)バッファオーバーフロー(CVE-2023-45230)境界外読み取り(CVE-2023-45231)無限ループ(CVE-2023-45232、CVE-2023-45233)TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)擬似乱数ジェネレーターの使用(CVE-2023-45237)ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。<p> <a href="https://security.srad.jp/story/24/01/22/1438245/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/opensource">オープンソース</a> | <a href="https://srad.jp/stories/hardware">ハードウェア</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/news">ニュース</a> | <a href="https://srad.jp/stories/bug">バグ</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/22/1438245/&text=UEFI%E3%81%AEPXE%E3%83%96%E3%83%BC%E3%83%88%E3%81%AB%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%8C%E8%A6%8B%E3%81%A4%E3%81%8B%E3%82%8B%E3%80%82%E5%A4%9A%E3%81%8F%E3%81%AEBIOS%E3%81%AB%E5%BD%B1%E9%9F%BF" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/22/1438245/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/22/1438245/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/22/1438245/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/23/07/26/1319203">AMD製CPUに脆弱性見つかる</a> <small>2023年07月27日</small> <br><a href="https://security.srad.jp/story/22/12/01/1326202">セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる</a> <small>2022年12月03日</small> <br><a href="https://security.srad.jp/story/22/11/13/0224242">Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる</a> <small>2022年11月13日</small> <br><a href="https://security.srad.jp/story/21/06/26/0555236">Dell の BIOS に脆弱性、129機種が影響を受ける</a> <small>2021年06月26日</small> </p>
nagazou
2024-01-23T06:14:00+00:00
news
脆弱性
security
14
14,14,4,0,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/news_64.png"><p>サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(<a href="https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html">Quarkslab</a>、<a href="https://pc.watch.impress.co.jp/docs/news/1562452.html">PC Watch</a>)。
<br> <br>EDK IIを実装していて影響を受けるUEFIは下記の通り。
</p><ul>
<li>Armのリファレンスソリューション</li><li>Insyde SoftwareのInsyde H20 UEFI/BIOS</li><li>American Megatrends Inc(AMI)のAptio OpenEdition</li><li>Phoenix TechnologiesのSecureCore</li><li>MicrosoftのProject Mu</li></ul><p>PixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。
</p><ul>
<li>整数アンダーフロー(CVE-2023-45229)</li><li>バッファオーバーフロー(CVE-2023-45230)</li><li>境界外読み取り(CVE-2023-45231)</li><li>無限ループ(CVE-2023-45232、CVE-2023-45233)</li><li>TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)</li><li>擬似乱数ジェネレーターの使用(CVE-2023-45237)</li></ul><p>ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。</p><p>
<a href="https://security.srad.jp/story/24/01/22/1438245/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/opensource">オープンソース</a>
| <a href="https://srad.jp/stories/hardware">ハードウェア</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/news">ニュース</a>
| <a href="https://srad.jp/stories/bug">バグ</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/22/1438245/&text=UEFI%E3%81%AEPXE%E3%83%96%E3%83%BC%E3%83%88%E3%81%AB%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%8C%E8%A6%8B%E3%81%A4%E3%81%8B%E3%82%8B%E3%80%82%E5%A4%9A%E3%81%8F%E3%81%AEBIOS%E3%81%AB%E5%BD%B1%E9%9F%BF" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/22/1438245/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/22/1438245/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/22/1438245/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/23/07/26/1319203">AMD製CPUに脆弱性見つかる</a>
<small>2023年07月27日</small>
<br><a href="https://security.srad.jp/story/22/12/01/1326202">セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる</a>
<small>2022年12月03日</small>
<br><a href="https://security.srad.jp/story/22/11/13/0224242">Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる</a>
<small>2022年11月13日</small>
<br><a href="https://security.srad.jp/story/21/06/26/0555236">Dell の BIOS に脆弱性、129機種が影響を受ける</a>
<small>2021年06月26日</small>
</p>
-
YouTube経由で広がるマルウェアが増加
https://security.srad.jp/story/24/01/14/1444231/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/news_64.png">Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという(Fortinet、TECH+)。
リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。<p> <a href="https://security.srad.jp/story/24/01/14/1444231/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/news">ニュース</a> | <a href="https://srad.jp/stories/youtube">YouTube</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/14/1444231/&text=YouTube%E7%B5%8C%E7%94%B1%E3%81%A7%E5%BA%83%E3%81%8C%E3%82%8B%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%8C%E5%A2%97%E5%8A%A0" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/14/1444231/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/14/1444231/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/14/1444231/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/18/01/21/0721217">アンインストールを困難にする機能を備えたブラウザー拡張機能</a> <small>2018年01月21日</small> <br><a href="https://security.srad.jp/story/10/03/18/0139211">100 体のマルウェアでセキュリティソフトを比較してみた</a> <small>2010年03月18日</small> </p>
nagazou
2024-01-15T23:02:00+00:00
news
増加
security
33
33,33,5,1,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/news_64.png"><p>Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという(<a href="https://www.fortinet.com/blog/threat-research/lumma-variant-on-youtube">Fortinet</a>、<a href="https://news.mynavi.jp/techplus/article/20240112-2861136/">TECH+</a>)。<br> <br>
リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。</p><p>
<a href="https://security.srad.jp/story/24/01/14/1444231/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/news">ニュース</a>
| <a href="https://srad.jp/stories/youtube">YouTube</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/14/1444231/&text=YouTube%E7%B5%8C%E7%94%B1%E3%81%A7%E5%BA%83%E3%81%8C%E3%82%8B%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%8C%E5%A2%97%E5%8A%A0" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/14/1444231/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/14/1444231/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/14/1444231/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/18/01/21/0721217">アンインストールを困難にする機能を備えたブラウザー拡張機能</a>
<small>2018年01月21日</small>
<br><a href="https://security.srad.jp/story/10/03/18/0139211">100 体のマルウェアでセキュリティソフトを比較してみた</a>
<small>2010年03月18日</small>
</p>
-
米連邦取引委員会、AIによるボイスクローニングから消費者を守るアイディアを募集
https://security.srad.jp/story/24/01/10/0037227/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/usa_64.png">headless 曰く、間もなく締め切りとなってしまうが、米連邦取引委員会 (FTC) が AI によるボイスクローニングから消費者を守る手法のアイディアを募集するコンテスト Voice Cloning Challenge を実施し、12 日まで参加を受け付け中だ(プレスリリース、
公式ルール: PDF、
The Register の記事、
Neowin の記事)。
AI を用いて特定の人物の声を再現するボイスクローニング技術は医療やアクセシビリティの分野で非常に有益な利用が可能だが、詐欺などの悪用も懸念される。コンテストではボイスクローニングの悪用を防ぐ以下のような 3 つのポイントのうち少なくとも 1 つを解決するアイディアが求められる。
防止または認証: 認証されていないユーザーによるボイスクローニングソフトウェアの使用を制限する手法
リアルタイム検出または監視: クローンボイスまたはボイスクローニング技術の使用を検出する手法
使用後の評価: オーディオクリップにクローンボイスが含まれているかどうかを確認する手法
コンテストは 18 歳以上米国市民および米国永住者の個人・グループまたは、米国で設立および主に活動している組織が対象となり、優勝賞金 25,000 ドル。準優勝者 1 組に 4,000 ドル、3 組に 2,000 ドルが授与される。ただし、10 人以上の組織は別枠の「FTC Voice Cloning Challenge Large Organization Prize」となり、優勝者は表彰のみ (賞金なし) となる。<p> <a href="https://security.srad.jp/story/24/01/10/0037227/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/tech">テクノロジー</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/ai">人工知能</a> | <a href="https://srad.jp/stories/news">ニュース</a> | <a href="https://srad.jp/stories/usa">アメリカ合衆国</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/10/0037227/&text=%E7%B1%B3%E9%80%A3%E9%82%A6%E5%8F%96%E5%BC%95%E5%A7%94%E5%93%A1%E4%BC%9A%E3%80%81AI%E3%81%AB%E3%82%88%E3%82%8B%E3%83%9C%E3%82%A4%E3%82%B9%E3%82%AF%E3%83%AD%E3%83%BC%E3%83%8B%E3%83%B3%E3%82%B0%E3%81%8B%E3%82%89%E6%B6%88%E8%B2%BB%E8%80%85%E3%82%92%E5%AE%88%E3%82%8B%E3%82%A2%E3%82%A4%E3%83%87%E3%82%A3%E3%82%A2%E3%82%92%E5%8B%9F%E9%9B%86" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/10/0037227/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/10/0037227/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/10/0037227/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://srad.jp/story/23/12/17/1443207">テキストから音楽を生成する「Suno AI」が話題</a> <small>2023年12月19日</small> <br><a href="https://it.srad.jp/story/22/02/20/1828201">韓国の大統領選でAI候補が登場</a> <small>2022年02月22日</small> </p>
nagazou
2024-01-10T23:03:00+00:00
usa
募集
security
24
24,23,4,0,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/usa_64.png">headless 曰く、<blockquote><div><p>間もなく締め切りとなってしまうが、米連邦取引委員会 (FTC) が AI によるボイスクローニングから消費者を守る手法のアイディアを募集するコンテスト Voice Cloning Challenge を実施し、12 日まで参加を受け付け中だ(<a href="https://www.ftc.gov/news-events/contests/ftc-voice-cloning-challenge">プレスリリース</a>、
<a href="https://www.ftc.gov/system/files/ftc_gov/pdf/Voice-Cloning-Challenge-Rules-2024-01-02.pdf">公式ルール: PDF</a>、
<a href="https://www.theregister.com/2024/01/05/ftc_voice_cloning_solution/">The Register の記事</a>、
<a href="https://www.neowin.net/news/real-or-fake-voice-ftc-gives-you-25000-if-you-help-solve-huge-tech-challenge-of-ai-era/">Neowin の記事</a>)。<br>
<br>
AI を用いて特定の人物の声を再現するボイスクローニング技術は医療やアクセシビリティの分野で非常に有益な利用が可能だが、詐欺などの悪用も懸念される。コンテストではボイスクローニングの悪用を防ぐ以下のような 3 つのポイントのうち少なくとも 1 つを解決するアイディアが求められる。
</p><ul> <li>
防止または認証: 認証されていないユーザーによるボイスクローニングソフトウェアの使用を制限する手法</li><li>
リアルタイム検出または監視: クローンボイスまたはボイスクローニング技術の使用を検出する手法</li><li>
使用後の評価: オーディオクリップにクローンボイスが含まれているかどうかを確認する手法</li></ul><p>
コンテストは 18 歳以上米国市民および米国永住者の個人・グループまたは、米国で設立および主に活動している組織が対象となり、優勝賞金 25,000 ドル。準優勝者 1 組に 4,000 ドル、3 組に 2,000 ドルが授与される。ただし、10 人以上の組織は別枠の「FTC Voice Cloning Challenge Large Organization Prize」となり、優勝者は表彰のみ (賞金なし) となる。</p></div></blockquote><p>
<a href="https://security.srad.jp/story/24/01/10/0037227/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/tech">テクノロジー</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/ai">人工知能</a>
| <a href="https://srad.jp/stories/news">ニュース</a>
| <a href="https://srad.jp/stories/usa">アメリカ合衆国</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/10/0037227/&text=%E7%B1%B3%E9%80%A3%E9%82%A6%E5%8F%96%E5%BC%95%E5%A7%94%E5%93%A1%E4%BC%9A%E3%80%81AI%E3%81%AB%E3%82%88%E3%82%8B%E3%83%9C%E3%82%A4%E3%82%B9%E3%82%AF%E3%83%AD%E3%83%BC%E3%83%8B%E3%83%B3%E3%82%B0%E3%81%8B%E3%82%89%E6%B6%88%E8%B2%BB%E8%80%85%E3%82%92%E5%AE%88%E3%82%8B%E3%82%A2%E3%82%A4%E3%83%87%E3%82%A3%E3%82%A2%E3%82%92%E5%8B%9F%E9%9B%86" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/10/0037227/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/10/0037227/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/10/0037227/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://srad.jp/story/23/12/17/1443207">テキストから音楽を生成する「Suno AI」が話題</a>
<small>2023年12月19日</small>
<br><a href="https://it.srad.jp/story/22/02/20/1828201">韓国の大統領選でAI候補が登場</a>
<small>2022年02月22日</small>
</p>
-
ランサムウェアの被害を止めるには身代金支払いを禁止するしかないとの主張
https://security.srad.jp/story/24/01/08/0611219/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/money_64.png">ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している
(Emsisoft のブログ記事、
The Register の記事)。
ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。
ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。The Registerでは、全面的に身代金支払いを禁じるとしても重要なインフラストラクチャーや医療機関などには例外を設けることになるだろうとして、これらをターゲットにした攻撃が増加する可能性を指摘する。Palo Alto Networks のサム・ルービン氏によれば、被害者にならないための積極的な対策を行うことが最大の防御になるとのこと
(The Register の記事 [2])。
ランサムウェア被害時の身代金支払いについて、スラドの皆さんのご意見はいかがだろうか。<p> <a href="https://security.srad.jp/story/24/01/08/0611219/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/encryption">暗号</a> | <a href="https://srad.jp/stories/money">お金</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/08/0611219/&text=%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%AE%E8%A2%AB%E5%AE%B3%E3%82%92%E6%AD%A2%E3%82%81%E3%82%8B%E3%81%AB%E3%81%AF%E8%BA%AB%E4%BB%A3%E9%87%91%E6%94%AF%E6%89%95%E3%81%84%E3%82%92%E7%A6%81%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%97%E3%81%8B%E3%81%AA%E3%81%84%E3%81%A8%E3%81%AE%E4%B8%BB%E5%BC%B5" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/08/0611219/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/08/0611219/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/08/0611219/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/23/08/30/1246240">保守契約になくてもベンダーは医療機関にセキュリティ情報を提供すべき?</a> <small>2023年08月31日</small> <br><a href="https://security.srad.jp/story/23/05/25/1447254">ランサムウェアの身代金支払いで全データを復旧できたのは、日本でわずか13%</a> <small>2023年05月26日</small> <br><a href="https://security.srad.jp/story/23/01/12/1417200">昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧</a> <small>2023年01月13日</small> <br><a href="https://security.srad.jp/story/22/11/01/1334232">大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止</a> <small>2022年11月02日</small> <br><a href="https://security.srad.jp/story/22/09/01/1438214">千葉南房総市の情シスにランサムウェア攻撃、身代金払わねば成績表公開と脅迫</a> <small>2022年09月02日</small> <br><a href="https://security.srad.jp/story/22/07/06/161209">2019 年にランサムウェア被害にあったマーストリヒト大学、身代金を取り戻せることに</a> <small>2022年07月08日</small> <br><a href="https://security.srad.jp/story/22/05/26/1521250">ランサムウェア攻撃の被害にあった日本企業、75%が未公表</a> <small>2022年05月27日</small> <br><a href="https://security.srad.jp/story/22/05/15/0739241">ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答</a> <small>2022年05月15日</small> <br><a href="https://security.srad.jp/story/22/02/11/0420246">ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立</a> <small>2022年02月11日</small> <br><a href="https://security.srad.jp/story/21/08/22/1646256">米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開</a> <small>2021年08月23日</small> <br><a href="https://security.srad.jp/story/21/08/04/1543226">北米で主要な病院の 80 % が使用する気送管システムに脆弱性</a> <small>2021年08月05日</small> <br><a href="https://security.srad.jp/story/21/06/19/0519242">ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性</a> <small>2021年06月19日</small> <br><a href="https://security.srad.jp/story/21/06/08/1926212">米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功</a> <small>2021年06月09日</small> <br><a href="https://security.srad.jp/story/21/06/06/1745243">米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針</a> <small>2021年06月07日</small> <br><a href="https://security.srad.jp/story/21/01/23/0629241">ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言</a> <small>2021年01月23日</small> <br><a href="https://security.srad.jp/story/20/09/20/0358237">ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査</a> <small>2020年09月20日</small> <br><a href="https://security.srad.jp/story/20/09/13/2140257">米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出</a> <small>2020年09月14日</small> <br><a href="https://security.srad.jp/story/19/09/01/0858235">ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう</a> <small>2019年09月01日</small> <br><a href="https://hardware.srad.jp/story/18/10/25/0815247">奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染</a> <small>2018年10月25日</small> <br><a href="https://security.srad.jp/story/17/11/15/0613214">ウイルス対策プログラムの検疫機能を悪用してローカルでの権限昇格を可能にする攻撃</a> <small>2017年11月15日</small> <br><a href="https://security.srad.jp/story/17/07/04/0649230">NSAに対し米下院議員が対処方法の公開を求める書簡を出す</a> <small>2017年07月05日</small> </p>
headless
2024-01-08T06:32:00+00:00
money
禁止
security
62
62,62,10,1,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/money_64.png">ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している
(<a href="https://www.emsisoft.com/en/blog/44987/the-state-of-ransomware-in-the-u-s-report-and-statistics-2023/">Emsisoft のブログ記事</a>、
<a href="https://www.theregister.com/2024/01/03/ban_ransomware_payments/">The Register の記事</a>)。<br>
<br>
ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。<br>
<br>
ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。The Registerでは、全面的に身代金支払いを禁じるとしても重要なインフラストラクチャーや医療機関などには例外を設けることになるだろうとして、これらをターゲットにした攻撃が増加する可能性を指摘する。Palo Alto Networks のサム・ルービン氏によれば、被害者にならないための積極的な対策を行うことが最大の防御になるとのこと
(<a href="https://www.theregister.com/2024/01/06/ransomware_payment_ban_wrong_idea/">The Register の記事 [2]</a>)。<br>
<br>
ランサムウェア被害時の身代金支払いについて、スラドの皆さんのご意見はいかがだろうか。<p>
<a href="https://security.srad.jp/story/24/01/08/0611219/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/encryption">暗号</a>
| <a href="https://srad.jp/stories/money">お金</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/08/0611219/&text=%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%AE%E8%A2%AB%E5%AE%B3%E3%82%92%E6%AD%A2%E3%82%81%E3%82%8B%E3%81%AB%E3%81%AF%E8%BA%AB%E4%BB%A3%E9%87%91%E6%94%AF%E6%89%95%E3%81%84%E3%82%92%E7%A6%81%E6%AD%A2%E3%81%99%E3%82%8B%E3%81%97%E3%81%8B%E3%81%AA%E3%81%84%E3%81%A8%E3%81%AE%E4%B8%BB%E5%BC%B5" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/08/0611219/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/08/0611219/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/08/0611219/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/23/08/30/1246240">保守契約になくてもベンダーは医療機関にセキュリティ情報を提供すべき?</a>
<small>2023年08月31日</small>
<br><a href="https://security.srad.jp/story/23/05/25/1447254">ランサムウェアの身代金支払いで全データを復旧できたのは、日本でわずか13%</a>
<small>2023年05月26日</small>
<br><a href="https://security.srad.jp/story/23/01/12/1417200">昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧</a>
<small>2023年01月13日</small>
<br><a href="https://security.srad.jp/story/22/11/01/1334232">大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止</a>
<small>2022年11月02日</small>
<br><a href="https://security.srad.jp/story/22/09/01/1438214">千葉南房総市の情シスにランサムウェア攻撃、身代金払わねば成績表公開と脅迫</a>
<small>2022年09月02日</small>
<br><a href="https://security.srad.jp/story/22/07/06/161209">2019 年にランサムウェア被害にあったマーストリヒト大学、身代金を取り戻せることに</a>
<small>2022年07月08日</small>
<br><a href="https://security.srad.jp/story/22/05/26/1521250">ランサムウェア攻撃の被害にあった日本企業、75%が未公表</a>
<small>2022年05月27日</small>
<br><a href="https://security.srad.jp/story/22/05/15/0739241">ランサムウェアの被害にあった企業の重役の 88 %、また被害にあったら身代金を支払うと回答</a>
<small>2022年05月15日</small>
<br><a href="https://security.srad.jp/story/22/02/11/0420246">ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立</a>
<small>2022年02月11日</small>
<br><a href="https://security.srad.jp/story/21/08/22/1646256">米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開</a>
<small>2021年08月23日</small>
<br><a href="https://security.srad.jp/story/21/08/04/1543226">北米で主要な病院の 80 % が使用する気送管システムに脆弱性</a>
<small>2021年08月05日</small>
<br><a href="https://security.srad.jp/story/21/06/19/0519242">ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性</a>
<small>2021年06月19日</small>
<br><a href="https://security.srad.jp/story/21/06/08/1926212">米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功</a>
<small>2021年06月09日</small>
<br><a href="https://security.srad.jp/story/21/06/06/1745243">米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針</a>
<small>2021年06月07日</small>
<br><a href="https://security.srad.jp/story/21/01/23/0629241">ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言</a>
<small>2021年01月23日</small>
<br><a href="https://security.srad.jp/story/20/09/20/0358237">ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査</a>
<small>2020年09月20日</small>
<br><a href="https://security.srad.jp/story/20/09/13/2140257">米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出</a>
<small>2020年09月14日</small>
<br><a href="https://security.srad.jp/story/19/09/01/0858235">ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう</a>
<small>2019年09月01日</small>
<br><a href="https://hardware.srad.jp/story/18/10/25/0815247">奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染</a>
<small>2018年10月25日</small>
<br><a href="https://security.srad.jp/story/17/11/15/0613214">ウイルス対策プログラムの検疫機能を悪用してローカルでの権限昇格を可能にする攻撃</a>
<small>2017年11月15日</small>
<br><a href="https://security.srad.jp/story/17/07/04/0649230">NSAに対し米下院議員が対処方法の公開を求める書簡を出す</a>
<small>2017年07月05日</small>
</p>
-
LastPass、12文字以上のマスターパスワードを義務付け開始
https://security.srad.jp/story/24/01/06/0941218/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/encryption_64.png">LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した
(The LastPass Blog の記事、
Bleeping Computer の記事、
The Verge の記事)。
LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。<p> <a href="https://security.srad.jp/story/24/01/06/0941218/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/software">ソフトウェア</a> | <a href="https://srad.jp/stories/news">ニュース</a> | <a href="https://srad.jp/stories/encryption">暗号</a> | <a href="https://srad.jp/stories/leakage">情報漏洩</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/06/0941218/&text=LastPass%E3%80%8112%E6%96%87%E5%AD%97%E4%BB%A5%E4%B8%8A%E3%81%AE%E3%83%9E%E3%82%B9%E3%82%BF%E3%83%BC%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E7%BE%A9%E5%8B%99%E4%BB%98%E3%81%91%E9%96%8B%E5%A7%8B" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/06/0941218/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/06/0941218/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/06/0941218/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/23/12/12/1341211">Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ </a> <small>2023年12月13日</small> <br><a href="https://security.srad.jp/story/23/09/10/0020233">LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方</a> <small>2023年09月10日</small> <br><a href="https://security.srad.jp/story/23/03/05/087211">LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性</a> <small>2023年03月05日</small> <br><a href="https://security.srad.jp/story/23/01/03/0734216">1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない</a> <small>2023年01月03日</small> <br><a href="https://security.srad.jp/story/22/12/24/069250">LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった</a> <small>2022年12月24日</small> <br><a href="https://it.srad.jp/story/22/12/04/1440204">LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性</a> <small>2022年12月05日</small> <br><a href="https://security.srad.jp/story/22/09/19/1442225">LastPass、8 月の不正アクセスに関する調査の続報を発表</a> <small>2022年09月20日</small> <br><a href="https://security.srad.jp/story/22/08/28/0041231">LastPass の開発環境に不正アクセス、ユーザーデータは影響なし</a> <small>2022年08月28日</small> <br><a href="https://security.srad.jp/story/19/02/26/0453214">複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘</a> <small>2019年02月26日</small> <br><a href="https://security.srad.jp/story/16/01/20/1631250">LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」</a> <small>2016年01月21日</small> <br><a href="https://security.srad.jp/story/15/10/10/2023248">LogMeInがLastPassを買収</a> <small>2015年10月11日</small> <br><a href="https://security.srad.jp/story/15/06/16/1950233">パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出</a> <small>2015年06月17日</small> <br><a href="https://askslashdot.srad.jp/story/14/02/22/2114202">パスワード、どうやって管理している?</a> <small>2014年02月23日</small> <br><a href="https://it.srad.jp/story/10/12/15/0045221">Xmarks が LastPass に買収される</a> <small>2010年12月15日</small> </p>
headless
2024-01-06T11:38:00+00:00
encryption
義務
security
47
47,45,8,3,1,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/encryption_64.png">LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した
(<a href="https://blog.lastpass.com/2024/01/lastpass-is-making-account-updates-heres-why/">The LastPass Blog の記事</a>、
<a href="https://www.bleepingcomputer.com/news/security/lastpass-now-requires-12-character-master-passwords-for-better-security/">Bleeping Computer の記事</a>、
<a href="https://www.theverge.com/2024/1/3/24024012/lastpass-master-password-12-character-minimum-requirement-data-breach">The Verge の記事</a>)。<br>
<br>
LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。<p>
<a href="https://security.srad.jp/story/24/01/06/0941218/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/software">ソフトウェア</a>
| <a href="https://srad.jp/stories/news">ニュース</a>
| <a href="https://srad.jp/stories/encryption">暗号</a>
| <a href="https://srad.jp/stories/leakage">情報漏洩</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/06/0941218/&text=LastPass%E3%80%8112%E6%96%87%E5%AD%97%E4%BB%A5%E4%B8%8A%E3%81%AE%E3%83%9E%E3%82%B9%E3%82%BF%E3%83%BC%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E7%BE%A9%E5%8B%99%E4%BB%98%E3%81%91%E9%96%8B%E5%A7%8B" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/06/0941218/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/06/0941218/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/06/0941218/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/23/12/12/1341211">Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ </a>
<small>2023年12月13日</small>
<br><a href="https://security.srad.jp/story/23/09/10/0020233">LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方</a>
<small>2023年09月10日</small>
<br><a href="https://security.srad.jp/story/23/03/05/087211">LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性</a>
<small>2023年03月05日</small>
<br><a href="https://security.srad.jp/story/23/01/03/0734216">1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない</a>
<small>2023年01月03日</small>
<br><a href="https://security.srad.jp/story/22/12/24/069250">LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった</a>
<small>2022年12月24日</small>
<br><a href="https://it.srad.jp/story/22/12/04/1440204">LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性</a>
<small>2022年12月05日</small>
<br><a href="https://security.srad.jp/story/22/09/19/1442225">LastPass、8 月の不正アクセスに関する調査の続報を発表</a>
<small>2022年09月20日</small>
<br><a href="https://security.srad.jp/story/22/08/28/0041231">LastPass の開発環境に不正アクセス、ユーザーデータは影響なし</a>
<small>2022年08月28日</small>
<br><a href="https://security.srad.jp/story/19/02/26/0453214">複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘</a>
<small>2019年02月26日</small>
<br><a href="https://security.srad.jp/story/16/01/20/1631250">LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」</a>
<small>2016年01月21日</small>
<br><a href="https://security.srad.jp/story/15/10/10/2023248">LogMeInがLastPassを買収</a>
<small>2015年10月11日</small>
<br><a href="https://security.srad.jp/story/15/06/16/1950233">パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出</a>
<small>2015年06月17日</small>
<br><a href="https://askslashdot.srad.jp/story/14/02/22/2114202">パスワード、どうやって管理している?</a>
<small>2014年02月23日</small>
<br><a href="https://it.srad.jp/story/10/12/15/0045221">Xmarks が LastPass に買収される</a>
<small>2010年12月15日</small>
</p>
-
米カリフォルニア州上院議員、州で公共のAIリソースと安全かつ倫理的な枠組みを作る法案を提出
https://security.srad.jp/story/24/01/06/0937254/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/ai_64.png">米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ
(パディーラ氏のニュースリリース、
The Verge の記事)。
SB 892 は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、SB 893 は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。
パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。<p> <a href="https://security.srad.jp/story/24/01/06/0937254/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/ai">人工知能</a> | <a href="https://srad.jp/stories/politics">政治</a> | <a href="https://srad.jp/stories/usa">アメリカ合衆国</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/06/0937254/&text=%E7%B1%B3%E3%82%AB%E3%83%AA%E3%83%95%E3%82%A9%E3%83%AB%E3%83%8B%E3%82%A2%E5%B7%9E%E4%B8%8A%E9%99%A2%E8%AD%B0%E5%93%A1%E3%80%81%E5%B7%9E%E3%81%A7%E5%85%AC%E5%85%B1%E3%81%AEAI%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%A8%E5%AE%89%E5%85%A8%E3%81%8B%E3%81%A4%E5%80%AB%E7%90%86%E7%9A%84%E3%81%AA%E6%9E%A0%E7%B5%84%E3%81%BF%E3%82%92%E4%BD%9C%E3%82%8B%E6%B3%95%E6%A1%88%E3%82%92%E6%8F%90%E5%87%BA" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/06/0937254/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/06/0937254/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/06/0937254/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/23/12/17/1438256">政府、AIの安全性確保を担う組織を新設へ</a> <small>2023年12月18日</small> <br><a href="https://srad.jp/story/23/12/10/156236">EU、世界初の包括的AI規制で大筋合意</a> <small>2023年12月11日</small> <br><a href="https://it.srad.jp/story/23/11/05/0321201">Collins Dictionary、2023年を代表する言葉に「AI」を選定</a> <small>2023年11月05日</small> <br><a href="https://yro.srad.jp/story/23/10/15/0527246">テキサス州当局、ポルノが健康に悪影響を与えるなどの警告をポルノサイトに表示させる</a> <small>2023年10月15日</small> <br><a href="https://hardware.srad.jp/story/23/10/11/2156207">米カリフォルニア州の修理する権利法が成立</a> <small>2023年10月13日</small> <br><a href="https://yro.srad.jp/story/23/08/19/0414245">アイオワ州の学区、性的表現を含む書籍を学校から排除するためChatGPTを使用</a> <small>2023年08月19日</small> <br><a href="https://idle.srad.jp/story/23/08/13/0848259">狭い場所での家畜飼育を禁ずるカリフォルニア州法、豚肉価格の危機的な高騰を呼ぶ</a> <small>2023年08月13日</small> <br><a href="https://srad.jp/story/23/04/26/1250240">人工知能学会、ChatGPT等への向き合い方に関する声明文を公表</a> <small>2023年04月27日</small> <br><a href="https://srad.jp/story/23/03/30/1219237">GPT-4よりも強力なAIシステムの開発を停止せよとの公開書簡が提出される。ウォズやマスクらも署名</a> <small>2023年03月31日</small> <br><a href="https://it.srad.jp/story/23/03/25/0343227">米ユタ州、18 歳未満のソーシャルメディア利用に保護者の許可を必要とする州法が成立</a> <small>2023年03月25日</small> <br><a href="https://it.srad.jp/story/23/03/15/2151214">Microsoft、製品への AI 原則適用を確実にしていたチームが消滅</a> <small>2023年03月16日</small> <br><a href="https://developers.srad.jp/story/23/01/22/066202">ChatGPT 開発の背後にはケニアの労働者による人力作業</a> <small>2023年01月22日</small> <br><a href="https://yro.srad.jp/story/23/01/04/0754216">米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効</a> <small>2023年01月04日</small> <br><a href="https://it.srad.jp/story/22/06/13/1724221">Google、AI 倫理を懸念するエンジニアを守秘義務違反で休職処分に</a> <small>2022年06月15日</small> <br><a href="https://it.srad.jp/story/19/11/02/2030254">米国防総省の有識者会議、AI倫理5原則を採択</a> <small>2019年11月03日</small> <br><a href="https://it.srad.jp/story/17/03/12/0556205">米カリフォルニア州自動車局、人間の運転者が乗車しない自律走行車のテストを可能にする州法規改正を提案</a> <small>2017年03月12日</small> </p>
headless
2024-01-06T09:58:00+00:00
ai
提案
security
12
12,12,1,0,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/ai_64.png">米カリフォルニア州のスティーブ・パディーラ州上院議員が AI に関する 2 つの法案を提出したそうだ
(<a href="https://sd18.senate.ca.gov/news/senator-padilla-introduces-artificial-intelligence-package-protecting-californians-while">パディーラ氏のニュースリリース</a>、
<a href="https://www.theverge.com/2024/1/3/24024258/ai-bill-unethical-ai-california-ban-regulation">The Verge の記事</a>)。<br>
<br>
<a href="https://legiscan.com/CA/text/SB892/2023">SB 892</a> は AI の安全性やプライバシー、非差別性に関する基準の確立を州技術局に義務付けるもので、州機関は基準を満たさないAIサービスとの契約を禁じられる。一方、<a href="https://legiscan.com/CA/text/SB893/2023">SB 893</a> は州政府事業庁と州経済促進知事室、州技術局に対し、協力してカリフォルニア AI リサーチハブの設立を義務付ける内容だ。ハブは AI 技術の安全性やプライバシーを維持し、社会に対するリスクや潜在的危害に対応しつつ政府機関と学術機関、民間のパートナーが協力して AI の研究開発を行い、最大限の公益を得られるようにする集中型の組織として機能するという。<br>
<br>
パディーラ氏は法案について、米国最大の技術サービス購入者の一つであるカリフォルニア州がその経済力を用いて公共の AI リソースを開発し、AI サービスプロバイダーのための安全で倫理的な枠組みを作るものだと述べている。<p>
<a href="https://security.srad.jp/story/24/01/06/0937254/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/ai">人工知能</a>
| <a href="https://srad.jp/stories/politics">政治</a>
| <a href="https://srad.jp/stories/usa">アメリカ合衆国</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/06/0937254/&text=%E7%B1%B3%E3%82%AB%E3%83%AA%E3%83%95%E3%82%A9%E3%83%AB%E3%83%8B%E3%82%A2%E5%B7%9E%E4%B8%8A%E9%99%A2%E8%AD%B0%E5%93%A1%E3%80%81%E5%B7%9E%E3%81%A7%E5%85%AC%E5%85%B1%E3%81%AEAI%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%A8%E5%AE%89%E5%85%A8%E3%81%8B%E3%81%A4%E5%80%AB%E7%90%86%E7%9A%84%E3%81%AA%E6%9E%A0%E7%B5%84%E3%81%BF%E3%82%92%E4%BD%9C%E3%82%8B%E6%B3%95%E6%A1%88%E3%82%92%E6%8F%90%E5%87%BA" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/06/0937254/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/06/0937254/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/06/0937254/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/23/12/17/1438256">政府、AIの安全性確保を担う組織を新設へ</a>
<small>2023年12月18日</small>
<br><a href="https://srad.jp/story/23/12/10/156236">EU、世界初の包括的AI規制で大筋合意</a>
<small>2023年12月11日</small>
<br><a href="https://it.srad.jp/story/23/11/05/0321201">Collins Dictionary、2023年を代表する言葉に「AI」を選定</a>
<small>2023年11月05日</small>
<br><a href="https://yro.srad.jp/story/23/10/15/0527246">テキサス州当局、ポルノが健康に悪影響を与えるなどの警告をポルノサイトに表示させる</a>
<small>2023年10月15日</small>
<br><a href="https://hardware.srad.jp/story/23/10/11/2156207">米カリフォルニア州の修理する権利法が成立</a>
<small>2023年10月13日</small>
<br><a href="https://yro.srad.jp/story/23/08/19/0414245">アイオワ州の学区、性的表現を含む書籍を学校から排除するためChatGPTを使用</a>
<small>2023年08月19日</small>
<br><a href="https://idle.srad.jp/story/23/08/13/0848259">狭い場所での家畜飼育を禁ずるカリフォルニア州法、豚肉価格の危機的な高騰を呼ぶ</a>
<small>2023年08月13日</small>
<br><a href="https://srad.jp/story/23/04/26/1250240">人工知能学会、ChatGPT等への向き合い方に関する声明文を公表</a>
<small>2023年04月27日</small>
<br><a href="https://srad.jp/story/23/03/30/1219237">GPT-4よりも強力なAIシステムの開発を停止せよとの公開書簡が提出される。ウォズやマスクらも署名</a>
<small>2023年03月31日</small>
<br><a href="https://it.srad.jp/story/23/03/25/0343227">米ユタ州、18 歳未満のソーシャルメディア利用に保護者の許可を必要とする州法が成立</a>
<small>2023年03月25日</small>
<br><a href="https://it.srad.jp/story/23/03/15/2151214">Microsoft、製品への AI 原則適用を確実にしていたチームが消滅</a>
<small>2023年03月16日</small>
<br><a href="https://developers.srad.jp/story/23/01/22/066202">ChatGPT 開発の背後にはケニアの労働者による人力作業</a>
<small>2023年01月22日</small>
<br><a href="https://yro.srad.jp/story/23/01/04/0754216">米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効</a>
<small>2023年01月04日</small>
<br><a href="https://it.srad.jp/story/22/06/13/1724221">Google、AI 倫理を懸念するエンジニアを守秘義務違反で休職処分に</a>
<small>2022年06月15日</small>
<br><a href="https://it.srad.jp/story/19/11/02/2030254">米国防総省の有識者会議、AI倫理5原則を採択</a>
<small>2019年11月03日</small>
<br><a href="https://it.srad.jp/story/17/03/12/0556205">米カリフォルニア州自動車局、人間の運転者が乗車しない自律走行車のテストを可能にする州法規改正を提案</a>
<small>2017年03月12日</small>
</p>
-
パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加
https://security.srad.jp/story/24/01/06/0753206/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/google_64.png">パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ
(CloudSEK のブログ記事、
The Register の記事)。
エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。
CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。
根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。<p> <a href="https://security.srad.jp/story/24/01/06/0753206/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/google">Google</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/chromium">Chromium</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/06/0753206/&text=%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E5%A4%89%E6%9B%B4%E5%BE%8C%E3%82%82%E7%B6%99%E7%B6%9A%E3%81%97%E3%81%A6Google%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%82%92%E4%BE%B5%E5%AE%B3%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%97%E3%83%AD%E3%82%A4%E3%83%88%E3%80%81%E5%AE%9F%E8%A3%85%E3%81%99%E3%82%8B%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%8C%E5%A2%97%E5%8A%A0" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/06/0753206/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/06/0753206/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/06/0753206/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/23/12/24/2343207">宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン</a> <small>2023年12月25日</small> <br><a href="https://srad.jp/story/23/12/13/2343259">米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起</a> <small>2023年12月14日</small> <br><a href="https://apple.srad.jp/story/23/11/25/0650214">偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場</a> <small>2023年11月25日</small> <br><a href="https://it.srad.jp/story/23/11/12/200233">Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン</a> <small>2023年11月13日</small> <br><a href="https://security.srad.jp/story/22/12/24/069250">LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった</a> <small>2022年12月24日</small> <br><a href="https://security.srad.jp/story/22/02/13/055241">偽の「Get Windows 11」サイトでマルウェアキャンペーン</a> <small>2022年02月13日</small> <br><a href="https://security.srad.jp/story/21/11/10/1619240">情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因</a> <small>2021年11月11日</small> <br><a href="https://it.srad.jp/story/18/09/01/2018217">GoogleアカウントでのWindows 10ログイン、実現なるか</a> <small>2018年09月02日</small> <br><a href="https://security.srad.jp/story/10/04/22/0228212">Google、パスワード管理システムのコードを盗まれていた</a> <small>2010年04月22日</small> </p>
headless
2024-01-06T08:12:00+00:00
google
侵害
security
19
19,17,1,0,0,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/google_64.png">パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ
(<a href="https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking">CloudSEK のブログ記事</a>、
<a href="https://www.theregister.com/2024/01/02/infostealer_google_account_exploit/">The Register の記事</a>)。<br>
<br>
エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。<br>
<br>
CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。<br>
<br>
根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。<p>
<a href="https://security.srad.jp/story/24/01/06/0753206/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/google">Google</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/chromium">Chromium</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/24/01/06/0753206/&text=%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E5%A4%89%E6%9B%B4%E5%BE%8C%E3%82%82%E7%B6%99%E7%B6%9A%E3%81%97%E3%81%A6Google%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%82%92%E4%BE%B5%E5%AE%B3%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%97%E3%83%AD%E3%82%A4%E3%83%88%E3%80%81%E5%AE%9F%E8%A3%85%E3%81%99%E3%82%8B%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%8C%E5%A2%97%E5%8A%A0" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/24/01/06/0753206/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/24/01/06/0753206/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/24/01/06/0753206/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/23/12/24/2343207">宿泊者の苦情を装い、ホテルをターゲットにするマルスパムキャンペーン</a>
<small>2023年12月25日</small>
<br><a href="https://srad.jp/story/23/12/13/2343259">米連邦取引委員会、QRコードを悪用して個人情報を盗み出す企みに注意喚起</a>
<small>2023年12月14日</small>
<br><a href="https://apple.srad.jp/story/23/11/25/0650214">偽のブラウザーアップデートをダウンロードさせるClearFakeキャンペーン、Mac版が登場</a>
<small>2023年11月25日</small>
<br><a href="https://it.srad.jp/story/23/11/12/200233">Googleの検索広告を悪用してトロイの木馬化したCPU-Zをダウンロードさせる不正広告キャンペーン</a>
<small>2023年11月13日</small>
<br><a href="https://security.srad.jp/story/22/12/24/069250">LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった</a>
<small>2022年12月24日</small>
<br><a href="https://security.srad.jp/story/22/02/13/055241">偽の「Get Windows 11」サイトでマルウェアキャンペーン</a>
<small>2022年02月13日</small>
<br><a href="https://security.srad.jp/story/21/11/10/1619240">情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因</a>
<small>2021年11月11日</small>
<br><a href="https://it.srad.jp/story/18/09/01/2018217">GoogleアカウントでのWindows 10ログイン、実現なるか</a>
<small>2018年09月02日</small>
<br><a href="https://security.srad.jp/story/10/04/22/0228212">Google、パスワード管理システムのコードを盗まれていた</a>
<small>2010年04月22日</small>
</p>
-
KDDI、世界で初めて1409次元の暗号を解読
https://security.srad.jp/story/23/12/27/1220226/
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/encryption_64.png">KDDI総合研究所は26日、暗号解読コンテスト「Challenges for code-based problems」で、Classic McElieceと呼ばれる次世代暗号の1409次元の暗号を解読し、これまでの世界記録を更新したそうだ。この1409次元の暗号は10の56乗(=100兆×100兆×100兆×100兆)通りの解の候補が存在する。このため、総当たりでは解読に1兆年以上かかるとされてきたが、KDDIは独自の解読アルゴリズムを用いて、2700万の解読処理を同時に実行できる並列コンピューティング環境を構築・活用することにより、29.6時間で解読に成功したとしている(KDDI、ASCII.jp)。
これにより、1409次元の暗号を解読するために必要な計算量が2の63乗であることを実証し、この次元を上回れば暗号の解読が困難という目安である暗号の強度を突き止めたとしている。この成果は、将来の量子コンピューターの台頭に備えた暗号の開発や標準化に向けた貴重な情報になるとしている。<p> <a href="https://security.srad.jp/story/23/12/27/1220226/">すべて読む</a> | <a href="https://security.srad.jp/">セキュリティセクション</a> | <a href="https://srad.jp/stories/tech">テクノロジー</a> | <a href="https://srad.jp/stories/security">セキュリティ</a> | <a href="https://srad.jp/stories/news">ニュース</a> | <a href="https://srad.jp/stories/encryption">暗号</a> | <a href="https://twitter.com/share?url=https://security.srad.jp/story/23/12/27/1220226/&text=KDDI%E3%80%81%E4%B8%96%E7%95%8C%E3%81%A7%E5%88%9D%E3%82%81%E3%81%A61409%E6%AC%A1%E5%85%83%E3%81%AE%E6%9A%97%E5%8F%B7%E3%82%92%E8%A7%A3%E8%AA%AD" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a> <a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/23/12/27/1220226/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a> <a href="https://plus.google.com/share?url=https://security.srad.jp/story/23/12/27/1220226/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a> <a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/23/12/27/1220226/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a> </p> <p> 関連ストーリー: <br><a href="https://security.srad.jp/story/16/07/21/0647253">KDDIおよび九大の研究チーム、「世界で誰にも解読されていない」という暗号問題を初めて解読</a> <small>2016年07月22日</small> </p>
nagazou
2023-12-28T04:28:00+00:00
encryption
桁が違う
security
18
18,18,4,2,2,0,0
<img align="right" height="64" width="64" src="https://srad.jp/static/topics/encryption_64.png"><p>KDDI総合研究所は26日、暗号解読コンテスト「Challenges for code-based problems」で、Classic McElieceと呼ばれる次世代暗号の1409次元の暗号を解読し、これまでの世界記録を更新したそうだ。この1409次元の暗号は10の56乗(=100兆×100兆×100兆×100兆)通りの解の候補が存在する。このため、総当たりでは解読に1兆年以上かかるとされてきたが、KDDIは独自の解読アルゴリズムを用いて、2700万の解読処理を同時に実行できる並列コンピューティング環境を構築・活用することにより、29.6時間で解読に成功したとしている(<a href="https://news.kddi.com/kddi/corporate/topic/2023/12/26/7153.html">KDDI</a>、<a href="https://ascii.jp/elem/000/004/177/4177653/">ASCII.jp</a>)。<br> <br>
これにより、1409次元の暗号を解読するために必要な計算量が2の63乗であることを実証し、この次元を上回れば暗号の解読が困難という目安である暗号の強度を突き止めたとしている。この成果は、将来の量子コンピューターの台頭に備えた暗号の開発や標準化に向けた貴重な情報になるとしている。</p><p>
<a href="https://security.srad.jp/story/23/12/27/1220226/">すべて読む</a>
| <a href="https://security.srad.jp/">セキュリティセクション</a>
| <a href="https://srad.jp/stories/tech">テクノロジー</a>
| <a href="https://srad.jp/stories/security">セキュリティ</a>
| <a href="https://srad.jp/stories/news">ニュース</a>
| <a href="https://srad.jp/stories/encryption">暗号</a>
|
<a href="https://twitter.com/share?url=https://security.srad.jp/story/23/12/27/1220226/&text=KDDI%E3%80%81%E4%B8%96%E7%95%8C%E3%81%A7%E5%88%9D%E3%82%81%E3%81%A61409%E6%AC%A1%E5%85%83%E3%81%AE%E6%9A%97%E5%8F%B7%E3%82%92%E8%A7%A3%E8%AA%AD" title="この記事をTwitterでつぶやく"><img alt="この記事をTwitterでつぶやく" border="0" src="//images.srad.jp/classic/img/twitter_32.png/20150127" /></a>
<a href="//www.facebook.com/sharer.php?u=https://security.srad.jp/story/23/12/27/1220226/" title="この記事をFacebookで共有"><img src="//images.srad.jp/classic/img/facebook_32.png" border="0" alt="この記事をFacebookで共有" /></a>
<a href="https://plus.google.com/share?url=https://security.srad.jp/story/23/12/27/1220226/" title="この記事をGoogle Plusで共有"><img src="https://www.gstatic.com/images/icons/gplus-32.png" border="0" alt="この記事をGoogle Plusで共有" /></a>
<a href="//b.hatena.ne.jp/entry/https://security.srad.jp/story/23/12/27/1220226/" title="このエントリーをはてなブックマークに追加"><img src="https://b.st-hatena.com/images/entry-button/button-only@2x.png" alt="このエントリーをはてなブックマークに追加" width="32" height="32" style="border: none;" border="0" /></a>
</p>
<p>
関連ストーリー:
<br><a href="https://security.srad.jp/story/16/07/21/0647253">KDDIおよび九大の研究チーム、「世界で誰にも解読されていない」という暗号問題を初めて解読</a>
<small>2016年07月22日</small>
</p>
スラド検索
query
https://security.srad.jp/search.pl