シーメンスをはじめとする欧米の国際的な企業・組織は16日、ミュンヘン安全保障会議の会場で「サイバーセキュリティ憲章」に署名した。モノのインターネット（IoT）など経済・社会のデジタル化を推し進めるためにはネット利用に対する幅広い信頼の獲得が欠かせないことから、同憲章を通して政府、企業に必要な行動を促す考えだ。
同憲章はシーメンス（電機）の主導で作成されたもので、同社とエアバス（航空宇宙）、アリアンツ（保険）、ダイムラー（自動車）、IBM（IT）、NXP（半導体）、SGS（技術監査）、ドイツテレコム（電気通信）の計8社とミュンヘン安全保障会議を主催する非営利団体MSCが署名した。G7の議長国であるカナダのクリスティア・フリーランド外相と欧州連合（EU）欧州委員会のエルジビエタ・ビェンコフスカ委員（域内市場・産業・起業・中小企業担当）が支持を表明している。
シーメンスのジョー・ケーザー社長は「データとネット化したシステムの安全性に対する信頼はデジタル転換の重要な要素の一つだ」と述べたうえで、人々や企業の信頼を獲得するために主要な企業が個別に行動するのでなく力を合わせることが重要だと強調した。同憲章の新たなパートナーを歓迎するとしている。関心を示す企業は多く、米国の複数の「ビッグプレイヤー」も近く、メンバーに加わる見通しという。

セキュリティ関連の資料に使いやすいアイコン画像をCC0としてパブリック・ドメイン提供することにしました。心置き無くご自由にご勝手に使い倒してくださいませ。

もうすぐでこの会社に入社してから一年が過ぎ、新入社員の肩書がなくなってしまうのかと悲しんでいるセキュリティソリューション事業部の村島です。
お声掛けをいただき日本三大温泉シンポジウムのひとつである、「サイバーセキュリティシンポジウム道後2018」のナイトセッション座長を担当してきました！今回は、そちらをご紹介します。

SIやITコンサルティングの企業から、ユーザー企業のIT部門に転職する話は時々耳にする。しかし、その逆はあまり聞いたことがない。原子拓さんはユーザー企業でシステムのダウンサイジングからインターネットへの接続とセキュリティ対策、さらにはクラウド活用に至るさまざまな経験をした後に、セキュリティ技術を駆使したITトータルソリューションを提供する株式会社ラックに転職した異色の存在だ。

GitHubに対する最大1.35Tbpsの分散型サービス妨害（DDoS）攻撃を発生させた分散型メモリキャッシュ「memcached」の悪用を試みる通信は、国内でも多数検知されていることが分かった。インターネットイニシアティブ（IIJ）が3月6日、観測状況を発表した。
　同社は、memcachedが初期設定ではホスト上の全てのネットワークインターフェースでTCPやUDPの11211ポートに対する着信を受け付けるため、インターネット上の不特定多数のホストからの通信を受け付けてしまう可能性があると解説。リクエストに対してレスポンスにおけるメッセージサイズが大きくなるため、これを悪用して通信量を増幅させることでDDoS攻撃を仕掛けることが可能になる。

徳丸本こと、「体系的に学ぶ 安全なWebアプリケーションの作り方」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。
ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、Web APIやJavaScriptのセキュリティ等がほとんど書かれていないことが課題となっていました。

そこで、版元のSBクリエイティブと相談して、この度改訂することにいたしました。3月末脱稿、6月頃発売の見込みです。

4G LTEネットワークの脆弱性を狙う攻撃手法が多数発見された。電話やテキストメッセージの盗聴、デバイスの接続切断、さらには緊急アラートの偽装までもが可能になるおそれがある。
　米パデュー大学とアイオワ州立大学の研究者らが新たに論文を発表し、10件の攻撃手法について詳しく説明した。それによると、これらの攻撃は、4G LTEネットワークの3つの重大なプロトコル操作（デバイスをセキュアにネットワークと接続／切断する機能と、通話やメッセージの受信時にデバイスを呼び出す機能）の脆弱性を悪用するという。
　それらの脆弱性が原因で、認証リレー攻撃が可能になる。認証リレー攻撃では、攻撃者は既存ユーザーになりすまして、4G LTEネットワークに接続することができる。
　研究者らは、LTE無線やネットワークの脆弱性の検知を支援するテスト用フレームワーク「LTEInspector」を使用した。

IIJ Technical NIGHTは、2003年から毎年3日間にわたり開催している「IIJ Technical WEEK」をカジュアルでコンパクトにしたイベントです。 毎回IIJのエンジニアが取り組んでいるテーマの中から、アツいネタを厳選してお届けしています。
ISPであるIIJが開発するルータ「SEIL」は、昨年末に20周年を迎えました。20年間IIJの各所で利用されてきたSEIL──実は、いろいろと面白い使い方ができるんです！今回は自宅やオフィスで使える実践的＆マニアックなSEILの使い方をご紹介します。 プログラムは3部構成で、5〜15分のショートセッションを全6セッション予定しています。
今回ご来場いただいたみなさまには、もれなくSEIL/x86のライセンスをプレゼント！ イベント後、すぐにお試しいただけます。

NICTは、サイバーセキュリティ研究所において、NICTER観測レポート2017を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2017年に観測されたサイバー攻撃関連通信は、2016年と比べて約1.2倍と依然増加傾向にあり、マルウェアに感染したIoT機器からの通信が半数以上を占めることが分かりました。また、詳細な分析の結果、IoT機器への攻撃手法が高度化してきていることも分かりました。NICTでは日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

こんにちは。Azure MVPの松本典子です。この連載では、マイクロソフトが提供する「Azure Logic Apps」について、3回に分けて説明していきます。Logic Appsは何ができるサービスなのかを説明した1回目に続き、この第2回目では、いよいよ実際にLogic Appsを使っていきます。早速、Logic Appsを使い始める手順と、システムを構築するための詳しい操作方法について見ていきましょう。

ポルシェジャパンは、委託先が顧客の個人情報を管理するサーバが不正アクセスを受け、顧客情報2万8722件が外部へ流出したことを明らかにした。
不正アクセスを公表したポルシェジャパンのウェブサイト 同社によれば、委託先のサーバにおいてウェブアプリケーションが不正アクセスを受けたもので、一部顧客情報が流出した。
同社では、流出した顧客情報の範囲など、詳細について調査を進めている。
流出が確認されたのは、2000年から2009年にかけて同社にカタログを請求した顧客に関する2万3151件のメールアドレス。

オープンソースのネットワークプロトコルアナライザー「Wireshark」の最新安定版v2.4.5が、23日に公開された。不具合の修正やプロトコルサポートの更新に加え、いくつかの脆弱性を修正したメンテナンスアップデートとなっている。
　リリースノートによると、今回修正された脆弱性は全部で10件。ディセクターがクラッシュしたり、無限ループに陥る可能性のある不具合が修正された。なお、そのうち9件は旧安定版のv2.2系統にも影響する。利用中のユーザーは、同日付けでリリースされたv2.2.13へのアップデートが必要だ。

今後普及が見込まれる自動運転・コネクテッドカーに対するサイバー攻撃を検出および防御するサイバーセキュリティソリューションを共同開発することに合意しました。
本共同開発により、アクセルやブレーキなど自動車の走行を制御するECU（※1）およびカーナビなどの車載インフォテインメント機器（IVI（※2））やテレマティクス（※3）機器に対するインターネット経由のサイバー攻撃を検知・防御するソリューションを開発し、安全な自動運転・コネクテッドカーの実現を目指します。
コネクテッドカーの分野では、ハッキングにより、ハンドルやブレーキシステムを制御されるリスクが確認されています。また、日々新たに発見される脆弱性を突いた遠隔操作の危険性も指摘されています。このため、個々の車両内部のみで対策するだけでなく、クラウドから常に車両に対する監視を行うことにより新しい攻撃が発生していないか分析し、その結果をすべての車両のサイバー攻撃対策に活かしていくことが、今後ますます重要となります。

近くGoogle Chromeは、HTTPSの暗号化を使用していない全サイトにマークをつける。Chrome 68が公開される7月以降、Chromeは全HTTPサイトを ‘not secure’［安全ではない］として、URLバーに目立つように表示する。
過去数年、GoogleはHTTPSの使用を強力に推進してきており、ブラウザー、サーバー間の通信中にデータが他社に傍受されないように努めてきた。すでにGoogleは、Chrome 62でデータ入力フィールドのあるHTTPサイトに安全でないことを示すフラグを立てているほか、パスワードあるいはクレジットカード情報を要求するサイトについては古く2016年から同様の警告を表示している。

大阪府警などの９府県警合同捜査本部は９日までに、サイバー攻撃用のウイルスを作成したとして、不正指令電磁的記録作成容疑で、海賊版サイトに利用者を誘導する「リーチサイト」の運営グループ幹部、成合太彰被告（24）＝著作権法違反罪で起訴、公判中＝を再逮捕し、出会い系サイト運営会社社員、城山潤治容疑者（29）＝福岡市中央区＝を逮捕した。
　捜査本部によると、成合容疑者は「何のことかわかりません」と容疑を否認。城山容疑者は容疑を認めているという。
　逮捕容疑は共謀し、2017年１月、特定のサイトの閲覧者を、城山容疑者がかかわるものとは別の出会い系サイトに自動的にアクセスさせるプログラムを作成した疑い。出会い系サイトは大量のデータが送りつけられてサーバーがまひする「ＤＤｏＳ攻撃」を受けて閉鎖した。