カスペルスキー、静岡大学、鹿児島大学は、一般消費者向けの情報リテラシー啓発教材「『自分は絶対に大丈夫！』を見直してみよう（おとな版）」の無償提供を開始した。

同教材は、消費活動や情報セキュリティにまつわるリスクについて解説した啓発教材。「投資編」「漏洩編」「消費編」を用意しており、シニア向けのセキュリティ啓発勉強会などにおける活用を想定している。

本ガイドラインでは、業界団体や企業が自ら対策を企画・実行するに当たり、参照すべき考え方やステップを「手引き」として示し 、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用・管理面の対策までを明記しています。また、付録にて、関連する基準や工場セキュリティ対策のチェックリスト等、読者の参考になると考えられる情報を掲載しています。

民間企業などランサムウェア攻撃への対応に関わる方にとって法執行機関が何を求めているかを知ることができる内容です。

DomainPasswordSprayはPowerShellで書かれたツールで、ドメインのユーザーに対してパスワードスプレー攻撃を行う。デフォルトでは、ドメインからユーザーリストを自動的に生成する。アカウントをロックアウトしないように十分注意すること！

各ドキュメントの位置づけには、次の2種類が存在します。
標準ガイドライン（Normative）：政府情報システムの整備及び管理に関するルールとして順守する内容を定めたドキュメント
実践ガイドブック（Informative）：参考とするドキュメント

　このリストを見るとすぐに気が付くのは、ランキングがなくなったという大きな変化とは対照的に、個人編・組織編ともに2024年になって新たに出現した脅威はない、ということです。つまり、これまでに実行してきた／やるべき対策を、2024年も引き続き注力する必要があるということです。

NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。

　米国国立標準技術研究所（以下、NIST）は2023年8月8日（現地時間、以下同）、待望の「サイバーセキュリティフレームワーク」（以下、CSF）2.0のドラフト版を発表した（注1）。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。

インターネットバンキングに係る不正送金事犯による被害の急増
令和5年上半期におけるインターネットバンキングに係る不正送金事 犯による被害は、発生件数が2,322件(令和4年の年間発生件数と比較し て104.4%増加)であり、年間の被害件数と比較しても過去最多となり、 被害総額も約29億9,600万円(令和4年の年間被害総額と比較して97.2% 増加)であり、年間の被害額と比較しても過去最多に迫る状況にある。

警察庁が検知したサイバー空間におけるぜい弱性探索行為等とみられる アクセス件数は、1日・1IPアドレス当たり8,219.0件(前年同期比で 5.4%増加)と、増加の一途をたどっており、海外を送信元とするアクセス が大部分を占めている。

取組の結果、G7広島サミット期間中、広島市ウェブサイトに おいてDDoS攻撃によるものとみられる閲覧障害が発生するなど、G7広島 サミット等開催の機会を狙ったサイバー攻撃事案が発生したが、G7広島 サミット等の進行に影響を及ぼすようなサイバー攻撃の発生はなかった。

データを暗号化する(ランサムウェアを用 いる)ことなくデータを窃取した上で、企業・団体等に対価を要求す る手口(「ノーウェアランサム」)による被害が、新たに6件確認され た。

復旧に要した期間について質問したところ、60件の有効な回答があり、 このうち、復旧までに1か月以上を要したものが10件あった。
また、ランサムウェア被害に関連して要した調査・復旧費用の総額に ついて質問したところ、53件の有効な回答があり、このうち、1,000万円 以上の費用を要したものが16件で30%を占めた。

バックアップから被害直前の水準まで復旧でき なかったものは45件で79%であった。

建設作業員の男(37)は、令和4年6月、氏名不詳者と共謀のうえ、 他人のインターネットバンキング口座から不正に送金する目的で、電 話工事業者を装って口座名義人方に上がり込み、固定電話を使用して、 送金を可能とするためのワンタイムパスワード有効化手続等をするこ とで、約500万円を他人名義の口座に送金した。令和5年4月、男を住 居侵入罪、電子計算機使用詐欺罪で検挙した。

「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

本報告書は政策研究大学院大学(以下、GRIPS)において 2022 年 8 月 29 日に判明した公 開ウェブサーバに対する不正アクセスに関する経緯および原因と対策についてまとめたも のである。

これを使うとパソコンはもちろん、スマートフォンなんかも制御することができて、かなりお得……お得といってもけっこう高いんですよ。安いほうでも毎月ユーザーごとに4,500円かかったりするので、中小企業にはかなり手痛い感じですが、大企業並みのセキュリティでゼロトラストをやりたいというのであれば、けっこうおすすめではあります。

　同社は外部のサイバーセキュリティ専門家による指導の下、サーバをシャットダウンしてアクセスを遮断。すでに業務を再開しており、外部機関と協力の上、データの復旧作業を進めている。「復旧に向けた調査および対応に伴う関連費用」として約7億5000万円の特別損失を計上する。

本事案発生の原因

犯行を防ぐことができなかった理由として3つの要因と対応策が挙げられた。

(1)7payに関わるシステム上の認証レベル
(2)7payの開発体制
(3)7payにおけるシステムリスク管理体制

組織がサイバーディフェンスセンター（CDC)を構築，マネジメントするとともに，その有効性を評価するためのフレームワークを提供するものである

【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 第2.1版」の改版に向けて議論を続けてきました。2021年10月に公開されたITU-T勧告X.1060、X.1060の日本語版の標準となるTTC標準JT-X1060に合わせた形での全面的な改版となります。

2023年10月に、「セキュリティ対応組織の教科書 第3.1版」を公開しました。付録となる「サービスポートフォリオシート」も公開しました。ぜひご活用ください。

Linux Foundationは、オープンソースソフトウェアを安全に開発、使用する方法について学習できる無料オンラインコンテンツ「セキュアソフトウェア開発」の提供を開始した。

同コンテンツは、ソフトウェアやウェブアプリケーションの開発者など、セキュアなソフトウェアの開発方法を学習することができるオンライン講座。従来、英語で提供してきたが、日本語による受講にも対応した。

1. はじめに
2. パート1：要件、設計、および再利用 - 概要
3. セキュリティの基本
4. 安全な設計原則
5. 外部ソフトウェアの再利用
6. パート2：実装 - 概要
7. 入力の検証
8. データを安全に処理する
9. 他のプログラムを呼び出す
10. 出力の送信
11. パート3：検証およびより専門的なトピック
12. 検証
13. 脅威モデリング
14. 暗号化
15. その他のトピック
16. 最終試験

私たちは企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらうべく、お助けツール「NANBOK」を開発しました。

23/TCPが多くのセンサーでトップとなり、6379/TCPも多くのセンサーでTOP10に入っています。こ

FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運
用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」
を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、
サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT
が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連
携によって価値を提供するために必要となる事項について説明しています。

今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document
1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン
ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、
Panasonic PSIRT によってレビューされ、公開されたものになります。

1)脆弱性診断サービスの選定
高度化するサイバー攻撃の脅威を未然に防ぐためには、十分な経験と能力を有したセキュリティベンダーの選定を要することから、選定に際しては経済産業省の定義する「情報セキュリティサービスに関する審査登録機関基準7」を満たすことの確認に加えて、脆弱性を検出する能力を測るため、ペネトレーションテストの国際資格の保有状況や CTF（Capture The Flag）等のセキュリティコン
テストにおける上位入賞実績、CVE（Common Vulnerabilities and Exposures）の付与された脆弱性の発見数等を問い合わせること等が有効である。また、診断サービスの調達においては、上記の基準に沿った有識者や有資格者が、診断の実施の中で、どのような役割として、何名、どの期間に関わる予定であるかを確認することが望ましい。

安全性が高く、処理が高速であるオンライン認証技術です。
FIDO Alliance という業界団体により仕様の策定が行われており、 生体認証を安全に使用できるという点で近年注目を浴びています。

U2F
FIDO を用いて二要素認証を実現する仕組みです。 ID、パスワードで認証を行い、それとは別にユーザが保有す る認証器を用いて認証を行います。

UAF
FIDOの認証自体で認証を行う仕組みです。 パスワードの代替として注目を浴びています。

大半の場合、オンライン上でアクティブな時間は わずか4~8時間程度しかありませんでした。 1時間ごとにリストを更新したとしても、 情報を入手してリストとして提供されるまでに 一般的に3~5日経過しているため、 発表される頃には既に問題のサイトはユーザーから 情報をだまし取った上で消滅している可能性があります。

2021 年 12 月 10 日に公表された Apache Log4j の脆弱性（CVE-2021-44228）を悪用する通信を観測しました。同日に概念実証コードがインターネット上に公開され、およそ 2 週間、攻撃パケットの観測件数が急に増えた状態が続いていましたが、その後は急速に減少し 1 月末にはほとんど観測されなくなり
ました。

3月に同協議会へ寄せられたフィッシングの報告は、前月比1.7倍となる8万2380件。前月の4万8611件から3万3769件増加した。これまで最多だった2021年12月の6万3159件を大きく上回る。

1日あたりに換算すると約2657.4件。前月の約1736.1件はもちろん、これまでもっとも多かった12月の約2037.4件の約1.3倍にあたる。

　過去3期における「IT投資」の状況について、「投資を行っていない」と回答した企業は30%でした。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33.1%でした。「IT投資」については前回調査（47.7%）と比較すると17.7％の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえます。

　本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。
　各対策項目では、「対策の指針」を冒頭に記し、対策しない場合のリスクと、具体的な対策のポイントを整理する構成としています。さらに、内部不正の事例のほか、自組織の内部不正対策の状況を把握するための33項目のチェックシート、対策のヒントとなるQ&A集などを付録として用意しています。