「中間者攻撃」関連の最新 ニュース・レビュー・解説 記事 まとめ

半径300メートルのIT：
2024年版、アカウントの正しい守り方を考える
米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。（2024/1/16）

セキュリティニュースアラート：
SSHプロトコルを標的にした「Terrapin攻撃」　インターネットのSSHサーバの半数以上が脆弱だと判明
The Shadowserver FoundationはSSHプロトコルを標的とする新しいサイバー攻撃手法「Terrapin攻撃」に対し、インターネット上のSSHサーバの約52％が脆弱だと発表した。（2024/1/10）

セキュリティニュースアラート：
SSHプロトコルを狙う新たな攻撃手法「Terrapin攻撃」を研究者が公表
SSHを標的とした新しいサイバー攻撃手法「Terrapin攻撃」が公表された。中間者攻撃として実施されるプレフィックス切り捨て攻撃の一種とされている。（2023/12/21）

Cybersecurity Dive：
Microsoftが批判を受けてサイバー戦略を全面的に見直し　3つの大きな変更とは？
Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。（2023/12/9）

PINロック解除がデフォルトで6桁に：
Android 14で何ができる？　セキュリティ機能強化や仕事用プロファイルの利便性向上など
Googleは、Android 14の主な更新内容を公式ブログで紹介した。セキュリティ、コンプライアンスに関わる機能や仕事用プロファイル機能などが強化された。（2023/10/23）

Inside-Out：
「スマートフォンの画面で承認してください」を実現するクロスデバイスフローの仕組み
オンラインバンクなど、インターネット上のサービスを利用する際、スマートフォンを使った認証や認可の手続きを設定するように求められることはないでしょうか。本記事では、近年、注目を集めている、スマートフォンを活用したクロスデバイスフロー（Cross-Device Flow）と呼ばれる認証・認可方式について解説します。（2023/9/28）

「ユーザーの自律性が最優先されるべき」：
デジタル権利団体EFF、「Google Chrome」の「Web Environment Integrity（WEI）」に異議　何が問題？
Googleの技術者が「Google Chrome」ブラウザへの搭載を提案している「Web Environment Integrity（WEI）」という機能に対し、Electronic Frontier Foundation（EFF）が異議を表明した。（2023/8/15）

GIGABYTE製品への懸念に見る「環境寄生型」（LotL）攻撃の脅威【前編】
GIGABYTE製マザーボードに見つかった“バックドア的な動作”とは何だったのか
セキュリティベンダーEclypsiumが、GIGABYTE製マザーボードのファームウェア更新ツールに見つけたという「攻撃者がバックドアとして悪用し得る動作」とは何だったのか。Eclypsiumが指摘した内容を整理しよう。（2023/8/13）

「言葉」から「鍵」へ、パスワードに依存しない世界：
AppleやGoogleが対応を進める「パスキー」とは？　FIDOアライアンスが仕組みを解説
AppleやGoogleも一気に対応を進めつつある「パスキー」。具体的にどのような仕組みなのか？　パスワードレスの技術として広まってきた従来のFIDO認証とは何が違うのか？　Interop Tokyo 2023でFIDOアライアンスの土屋敦裕氏が解説した。（2023/8/7）

ITmedia Security Week 2023 夏：
あなたの知らない“設定”――「クラウドサービスの怖い話」で分かるセキュリティの隙間とは
2023年6月、ITmedia Security Week 2023 夏で、日本ハッカー協会 代表理事 杉浦隆幸氏が「クラウドサービスの怖い話」と題して講演した。（2023/7/4）

APIは脅威アクターのお気に入りの標的：
APIセキュリティリスクのOWASPトップ3と、その軽減方法は？　ESETが2023年版を発表
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。（2023/6/20）

GIGABYTEはBIOS更新プログラムを公開へ：
GIGABYTE製マザーボードのファームウェア更新機能に中間者攻撃リスク　数百モデルに影響
サイバーセキュリティ企業のEclypsiumは、GIGABYTE製マザーボードのUEFIファームウェアやソフトウェアを更新する機能でバックドアに類似した仕組みが採用されており、サイバー攻撃に悪用される恐れがあることを明らかにした。（2023/6/6）

マスク氏予告のTwitterのDM暗号化、まずは認証ユーザーのみで開始
Twitterのイーロン・マスク氏が予告したDMの暗号化機能の提供が始まった。ただし利用できるのは青いチェックマークユーザーの認証済み企業ユーザーのみ。今後提供範囲を広げていく計画としている。（2023/5/12）

GitHub.comへのアクセス停止　原因はGitHub側の緊急鍵交換
GitHubはGitHub.comのGitオペレーションで使っているRSA SSHホスト鍵を急きょ交換した。この影響で多くの開発者が同サービスに接続できない状況を経験した。この背景についてGitHubが説明した。（2023/3/28）

Innovative Tech：
テスラを15秒で乗っ取る攻撃　ドライバーに気付かれずドアを開け、運転まで　専用キーに脆弱性
中国のShanghai Fudan Microelectと復旦大学に所属する研究者らは、Tesla Model 3のキーカードとフォンキーの脆弱性を利用し、ドアのロック解除から運転までを可能にした研究報告を発表した。（2023/3/22）

「Security Week 2022 冬」開催レポート：
サイバー攻撃者視点で“攻めにくいシステム”とは――上野 宣氏が語る
境界型セキュリティの限界が唱えられて久しい中、企業が目指すべき対策とは何か。現役のペネトレーションテスターである上野 宣氏が、サイバー攻撃者の視点で有効なセキュリティ対策を語った。（2023/2/2）

2023年にやるべきID保護対策　Microsoftが最新の攻撃トレンドを踏まえて提案
Microsoftは、2023年におけるIDを標的にしたサイバー攻撃の実態とトレンド、これを受けて取るべき対策を解説した。（2023/2/1）

実は人間がテクノロジーの道具に？　“AIにはない人間の資質”を問う異色の展示「アンラーニング・ランゲージ」
あなたが人に語った意見は本当にあなたが考えたものか。実はインターネットにそう考えるよう仕向けられたものではないか。テクノロジーは本当に人間の能力を拡張する道具なのか。実は人間の方がテクノロジーにとって便利な道具となっていないか。今や当たり前の社会インフラとなっているインターネットに、こうしたさまざまな疑問を投げかける展示を山口情報芸術センターが開いている。（2023/1/5）

Microsoft 365への攻撃で検証する「MFA」の安全性【後編】
Microsoft 365のMFA（多要素認証）を無効化した「AiTM」の危険性とは
「Microsoft 365」に不正ログインし、従業員に送金させようとしたビジネスメール詐欺（BEC）事件の詳細が明らかになった。攻撃者がログインを成功させるために使った巧妙な手口とは。（2022/11/10）

Microsoft 365への攻撃で検証する「MFA」の安全性【前編】
Microsoft 365の「MFA」（多要素認証）が破られる　その巧妙な手口とは？
「Microsoft 365」で発生したアカウント不正利用問題。その原因として専門家は、Microsoft 365の多要素認証（MFA）機能にある、セキュリティ設計上の“穴”の存在を指摘する。それは何なのか。（2022/10/27）

ITmedia Security Week 2022 秋：
名和氏が語る、サイバー攻撃激化プロセスを加速させているのは誰か？　その要因は？
2022年9月に開催された「ITmedia Security Week 2022 秋」において、Day3の基調講演として、「IT環境をゼロトラスト・アーキテクチャーに移行せざるを得ない深刻なサイバー脅威を受け入れてしまうサイバー環境の変化について」と題するセッションが開催された。サイバー攻撃の現状を紹介するとともに、“高度かつ巧妙”と表現されることの多いサイバー犯罪者の攻撃プロセスの激化がなぜ行われてしまうのかを語るセッションとなった。サイバーディフェンス研究所 専務理事 上級分析官の名和利男氏は、攻撃者の行動の源泉となってしまう、企業のとある部署をズバリと述べる――。意外にも、それは経営層ではない？（2022/10/19）

半径300メートルのIT：
2要素認証を突破するサイバー攻撃に組織はどのように対応するべきか
組織のセキュリティと同じように、サイバー攻撃も巧妙化しています。2要素認証において、組織に重要な取り組みとマインドセットを解説します。（2022/8/16）

TECHNO-FRONTIER 2022：
ニーズが急増、キーサイトがEV充電アナライザーなど展示
キーサイト・テクノロジー（以下、キーサイト）は「TECHNO-FRONTIER 2022」（2022年7月20〜22日／東京ビッグサイト）で、EV（電気自動車）充電アナライザーやパワーモジュールアナライザー、新型オシロスコープ、DC電子負荷など、注目の製品群を展示した。（2022/7/26）

量子コンピュータは何を破壊するのか：
ポスト量子暗号の中身は？　Cloudflareがアルゴリズムを詳しく解説
ポスト量子暗号標準の一部となる4つの暗号化アルゴリズム候補をNISTが発表した。Cloudflareはこれを受けて、暗号技術に対する量子コンピュータの脅威と、これらのアルゴリズムへの評価を公開した。（2022/7/14）

認証アプリは時代遅れ
モバイルアプリによる二要素認証をさっさと捨てるべき理由
モバイル端末に送信したコードで認証する二要素認証は既に時代遅れだ。なぜ認証アプリが安全ではないのか。それに代わる安全なソリューションとは？（2022/6/28）

半径300メートルのIT：
パスワードの使い回し禁止も大事だけど、もっと大事なID防御策をオンにしよう
「既知の悪用された脆弱性カタログ」を公開するCISAは、5月を「MFAMay」、つまり多要素認証の強化月間に設定しています。これを機に皆さん、多要素認証を導入しませんか。（2022/5/24）

半径300メートルのIT：
マイナンバーカードを使いこなせ！　確定申告に導入された新たな認証方式を学ぶ
確定申告時にマイナンバーカードとスマホを活用した新たな認証方式が導入されました。面倒な作業を簡略化してよりセキュリティを強化したこの仕組みを詳しく解説していきます。（2022/2/8）

「OWASP API Security Top 10」に沿ったテストができる：
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか
「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。（2022/1/24）

狙われる「445番ポート」とは【後編】
「445番ポート」悪用攻撃に耐え切る具体的な方法
「445番ポート」は攻撃者にとって格好の標的だ。企業はその445番ポートを使いつつ、システムを攻撃から守るにはどうすればいいのか。（2021/12/21）

狙われる「445番ポート」とは【中編】
「445番ポート」はなぜ攻撃者の標的になるのか　あの「WannaCry」でも悪用
「WannaCry」といったランサムウェア攻撃が話題を呼んでいる。それらに悪用されているのは、「445番ポート」に関連する脆弱性だ。具体的に説明する。（2021/12/14）

狙われる「445番ポート」とは【前編】
「445番ポート」の“謎”　どのような仕組みか？　セキュリティのリスクは？
通信先の“部屋番号”を指すポート番号。特に「445番ポート」は攻撃者に狙われやすい。そもそも445番ポートはどのような仕組みなのかを見てみよう。（2021/12/7）

半径300メートルのIT：
攻撃手口の公開は"もろ刃の剣"　対策を一歩前に進めるにはどうすればいいのか
攻撃手口の公開には「模倣犯を増やす可能性がある」というリスクがあります、しかし対策を前に進めるためにも必要なことです。今回は自動車業界とIT業界で起きた攻撃からこれを考えていきましょう。（2021/9/21）

サイバーセキュリティ2029：
OS標準で十分になったマルウェア対策　それでも注意すべき「セキュリティ対策」は何か
Microsoft Defenderで十分、という声を聞きますが、実際のところ、どうなのでしょうか。（2021/8/31）

製品導入だけでは足りない：
PR：企業活動に欠かせないモバイル端末、そこに迫る脅威の動向と対策
スマートフォンなどのモバイル端末への攻撃は、ますます手口が巧妙化しているという。今やモバイル端末は業務にも欠かせない存在となっており、対策が必要だ。モバイル端末への攻撃動向とセキュリティ対策をテーマに開催されたパネルディスカッションの内容をお届けする。（2021/9/1）

半径300メートルのIT：
2段階認証だけでは万全ではない？　クラウドストレージサービスの使い方を再考する
岡山大学病院で情報漏えいインシデントが発生しました。現時点で悪用は確認されていないそうですが、今後テレワークが進み、同様のインシデントが起こる可能性は捨てきれません。クラウドストレージサービス利用の注意点を考えます。（2021/8/17）

ブロートウェアの取り除き方【前編】
Windows 10やAndroid、iPhoneの厄介アプリ「ブロートウェア」とは　何が危険か
「ブロートウェア」は長い間デバイスのセキュリティを脅かしてきた。どのような危険性があり、どうすれば見つけ出すことができるのか。（2021/2/25）

「企業でのDNS over HTTPSはセキュリティ強化に有効」NSAが適切な利用を呼びかけ
NSAが企業のDNS over HTTPS利用を推奨する情報を発信した。採用の是非を巡る議論がある中でNSAが一つの指針を示した形だ。（2021/1/18）

対DDoS攻撃戦略【後編】
DDoS攻撃を緩和する2つの効果的な方法
DDoS攻撃は他のサイバー攻撃のカムフラージュである可能性がある。「DDoS攻撃が終わったら復旧すればいい」という認識は新たなリスクを生み出す。DDoS攻撃を受けてもシステムをダウンさせてはならない。（2021/1/18）

対DDoS攻撃戦略【前編】
DDoS攻撃に対する誤解と攻撃の緩和戦略
DDoS攻撃は政治的な意図（抗議など）によるものが多く、頻度も低くかった。だが現在は異なる。「自社には関係ない」という認識は改めなければならない。だがどうすればいいのか。（2021/1/12）

本物の攻撃ツールでサイバー攻撃を体験　攻撃者の心理を学べる「セキュリティ講座」開催
講座で攻撃テクニックを習得し、実際に架空の企業ネットワークに侵入することで脆弱性を見つけ出します。（2020/12/20）

医療IoTのリスクと対策【後編】
「医療IoTデバイス」のセキュリティを確保する5つのステップ
医療IoTデバイスはひとたび侵害されたら患者の生命を脅かすリスクがある。安全のために、医療機関がやるべき対策を5つのステップに分けて紹介する。（2020/11/19）

医療IoTのリスクと対策【中編】
「医療IoTデバイスへの攻撃」から患者の命を守るために、まずやるべきこと
医療IoTデバイスは多くのメリットをもたらす一方で、侵害時のリスクは生命に関わるほど重大なものになる。医療現場がIoTデバイスを安全に活用する上で、正確に把握すべき「現状の課題」は何か。（2020/11/5）

半径300メートルのIT：
不正ログインを引き起こしたサイト　事業者と利用者の責任の所在は？
不正ログインを引き起こしたサイトの事業者と利用者。責任の所在は一体どちらにあるのでしょうか。（2020/11/4）

「RDP」を安全に利用する【後編】
「Remote Desktop Protocol」（RDP）を危険にしないための10カ条
「リモートデスクトップサービス」（RDP）を使って安全なリモートアクセスを実現するためには、何をすればよいのか。10個のベストプラクティスを紹介しよう。（2020/10/13）

「RDP」を安全に利用する【前編】
「Remote Desktop Protocol」（RDP）を危険にする脅威とは？
「Windows」の標準機能「リモートデスクトッププロトコル」（RDP）利用時のセキュリティ確保は、新型コロナウイルス感染症対策でテレワークが続く間は特に重要だ。どのような攻撃に気を付ける必要があるのか。（2020/10/5）

TCP/IPの7大脅威【後編】
シーケンス番号予測攻撃、中間者攻撃、DDoS攻撃とは？　TCP/IPを襲う攻撃
「TCP/IP」を脅かすサイバー攻撃には、どのようなものがあるのか。主要な攻撃のうち「シーケンス番号予測攻撃」「中間者攻撃」「DoS／DDoS攻撃」の概要と対策を解説する。（2020/9/11）

Bluetoothに脆弱性、中間者攻撃に悪用の恐れ
Bluetooth 4.0〜5.0が影響を受ける。悪用された場合、暗号鍵の強度を弱めたり、認証された鍵を認証されていない鍵で上書きされたりする恐れがある。（2020/9/10）

TCP/IPの7大脅威【中編】
ARPスプーフィング、ポートスキャン、ICMP攻撃とは？　「TCP/IP」を狙う攻撃
インターネットの基本的なプロトコル群「TCP/IP」に関するセキュリティ問題には、さまざまな種類がある。把握しておくべき攻撃手法と対策を紹介する。（2020/8/27）

TCP/IPの7大脅威【前編】
いまさら聞けない「TCP/IP」とは？　何が危険なのか？
「TCP/IP」に関するセキュリティ問題にはどのようなものがあり、どう対処すればよいのか。それを理解するための前提として、TCP/IPとはそもそも何なのかを簡単に整理しよう。（2020/8/21）

コンテナ化されたワークロードのセキュリティリスクを軽減：
コンテナを保護するための10のベストプラクティス、InfraCloudが解説
InfraCloudが、アプリケーションコンテナのセキュリティを確保するための10のベストプラクティスを解説した。（2020/8/13）