セキュリティ関連のブログサイトKrebsOnSecurity.comを運営するBrian Krebs氏は米国時間3月26日付の投稿で、Appleのパスワードリセット機能を悪用したとみられるハッキング攻撃がこのところ発生しているとし、そうした攻撃を受けたユーザーの体験を報告している。それによると攻撃者は、Appleのパスワードリセットツールを使用し、「Apple ID」のパスワードをリセットするよう求める通知を数百件とはいかないまでも、数十件単位で標的に送りつけたという。ユーザーがこれら通知のうちの1つにでも「Allow」(許可する)を選択してしまうと、攻撃者はユーザー認証情報のリセットに向け、1歩近づくことになる。このデバイスを使って新たなパスワードを設定できるようになるためだ。しかも残念なことに、全ての通知に対して「Don’t Allow」(許可しない)を選択したとしても問題が解決するわけではない。 同投稿によると、標的になった人々がパスワードのリセットを許可しないという選択肢を選ぶと、Appleのサポートチームを名乗る攻撃者からの電話がかかってきたという。攻撃者の目的は、ユーザーのデバイスにパスワードのリセットコードが送信されるよう仕向け、ユーザーからそのコードを聞き出すことだとされている。コードが分かれば、Apple IDのパスワードをリセットし、標的としているユーザーのアカウントへの全面的なアクセスを得ることができる。 Krebs氏に情報を提供した人々は、こうした通知に対して「許可する」を選択しなかったため、許可した場合に攻撃者が何をしようとしたのか明らかではない。おそらく許可した場合でも、Appleサポートを名乗って標的に電話をかけ、デバイスのパスワードをリセットするよう仕向け、そのパスワードを聞き出そうとしていただろう。 このMFA爆弾攻撃の影響を受けたAppleユーザーの数は不明だ。しかし、Krebs氏の情報源は、「iPhone」「Apple Watch」「Mac」で通知を受け取ったと報告しており、この攻撃が1種類のAppleデバイスだけに限定されたものではないことを示唆している。さらに悪いことに、この攻撃を止める簡単な方法はない。 情報提供者の1人は、この攻撃に関してAppleに支援を求めたところ、Apple IDのパスワードを変更する際に必要となる28文字からなる復旧キーを作成しておくよう告げられたという。しかし、復旧キーを作成してあったとしても、攻撃者から複数の通知が送り付けられてくるのを防ぐことはできないとKrebs氏は述べている。この問題はどうやらAppleのパスワードリセット機能そのものにあると言えそうだ。このため、同社がその仕組みを変更するまで攻撃者はこの手法を用いてユーザーを狙い続けるだろう。 今のところAppleユーザーにとって唯一の選択肢は、常に情報を入手し、警戒を怠らないことだ。突然パスワードリセットのリクエストが大量に送られてきたら、必ず通知で「許可しない」を選ぼう。通知のせいでデバイス上のアプリやサービスを利用できないからといって、「許可する」を選んではならない。いずれにせよ着信に備え、決して応答しないことだ。 また、Appleはユーザーに直接電話をかけることはないと明言している。そのため、Appleのサポートに見せかけた電話番号からかかってきた場合は、決して応答せず、ましてや発信者に情報を提供することがあってはならない。 この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。 ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料) Original Post>
Category: Japanese
RHEL互換LinuxのAlmaLinuxがセミナーを開催。サイバートラストのセッションを主に紹介
Red Hat Enterprise Linux(RHEL)のバイナリー互換を提供するオープンソースのLinuxディストリビューションAlmaLinuxを公開する非営利団体The AlmaLinux OS Foundationが、パートナーであるサイバートラスト株式会社、株式会社インターネットイニシアティブの協力で2023年12月9日に都内で半日のセミナーを開催した。The AlmaLinux OS Foundationのチェアであるbenny Vasquez氏によるセッション、TuxCareのCEOであるIgor Seletskiy氏によるコミュニティに関する解説、サイバートラストや日本ヒューレット・パッカード合同会社のセッションなどが行われた。 イベントの公式ページにはセッションのようすを録画したYouTubeのリンクも公開されているので参照して欲しい。 ●参考:イベントの公式ページ 今回はその中からVasquez氏のセッションとサイバートラストの鈴木庸陛氏による日本語のセッションを主に紹介する。 ちなみにサイバートラストがAlmaLinux OS Foundationと共同で2023年5月に開催した記者発表に関する記事は以下から参照して欲しい。 ●参考:サイバートラスト、RHEL互換OSサポートビジネスへの参入とAlmaLinuxコミュニティへの参加を発表 プレゼンテーションを行うbenny Vasquez氏 ちなみにVasquez氏の「ファーストネームがBennyではなくbennyなのはどうしてか?」と質問したところ、「Bennyよりもbennyのほうの見た目が好きだから」という回答が返ってきている。本人の意向を受けて以降は大文字のBではなく小文字のbを使うことにしたい。 AlmaLinuxのソースコードチェックインのタイムラインを紹介 このスライドではAlmaLinuxのソースコードのチェックイン、つまり脆弱性などの修正がどのように推移しているのかを解説している。RHELの互換でありながらオリジナルのRHELよりも早いタイミングで修正をマージしていることを強調しているが、GitLabがCentOSからAlmaLinuxに移行したこと、IBMのメインフレームのサポート、CERNがCentOSからリプレースしたことなどが挙げられている部分にも注目したい。 なおCERNがCentOSからAlmaLinuxに移行したことは2023年4月にプレスリリースが出ている。
PMOに「向いている人」と「向いていない人」の特徴
フリーランスPMOが、PMOに向いている人と向いていない人の特徴について解説。自己管理や仕組み化ができ、プロジェクトを自分事で考えられる人が向いている。相手から言われたことを愚直に取り組む人は向いていない。ジョハリの窓を実践し、自分を理解することを推奨。
従業員の約40%が電子取引における電子データ保存の義務化を知らないと回答──TOKIUM調査
TOKIUMは、インボイス制度および電子帳簿保存法に関する調査結果を発表。経理では半数近くが不安を感じ、約30%が経費精算業務の負担増を報告。そして、電子帳簿保存法についても46%が業務負担の増加を実感。経理以外の従業員には、40%が電子取引の保存義務を知らないとの結果が示された。
サイバー攻撃の侵入成功から侵害開始までは平均62分–クラウドストライク報告書
クラウドストライクは2024年版グローバル脅威レポートを発表。サイバー攻撃の侵入成功から侵害開始までは平均62分で、クラウド環境の侵害が増加。加藤氏は脆弱性の悪用やソーシャルエンジニアリングなど攻撃手法の高度化を指摘。クラウドセキュリティ対策と教育の重要性を強調。2024年の脅威としてAIの悪用による攻撃増加や政治への便乗も懸念される。
顧客に選ばれるパートナー企業の特徴とは–AWSパートナーサミット
AWSジャパンは3月15日に「AWS Partner Summit Tokyo 2024」を開催し、パートナー企業との取り組みを紹介。渡邉氏は、お客様の成功に導く専門知識や顧客向け新サービスを支援することを強調。また、NRIはAWS Generative AIコンピテンシーの認定を受け、生成AIの取り組みを紹介した。
グーグル、新たなセキュリティサービス–AWSやAzureに対応
Google Cloudは、新たなセキュリティサービス「Security Command Center Enterprise(SCCE)」を発表しました。このプラットフォームは複数クラウド対応で、オンプレミスを含むセキュリティリスクに対応します。また、AIを活用し、セキュリティ脅威への対応を迅速化します。GAは4月上旬を予定しています。
Zabbix Conference Japan 2023開催、初日のキーノートからZabbixの近未来を紹介
Zabbix Conference Japan 2023が開催されました。CEOのオープニングスピーチでは、ITとOTの統合監視やAIOps、セキュリティ連携などが解説されました。パートナー企業もZabbixの利用事例を紹介し、Event-Driven Ansibleなどの提案が行われました。各セッションの詳細はPDFを参照。
Open Source Summit Japan 2023から、組込系システムにおけるサプライチェーンに関するセッションを紹介
The Linux Foundationの組み込みシステムのVPが、セキュアなサプライチェーンを構築するための新しい仕組みとツールについて説明。SBOMとSPDXについても言及し、安全性向上の重要性を強調。ELISA、Zephyr、Xen、Yocto、そして新しいツールBASILに参加するよう呼びかけた。__JETPACK_AI_ERROR__
生成AI使用企業は35%、情報漏洩やハルシネーションなど懸念か──ITR・JIPDEC調査
日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は、国内企業983社のIT戦略策定または情報セキュリティ施策の従事者を対象に共同で実施した「企業IT利活用動向調査2024」の結果を発表した。 調査概要 調査期間:2024年1月19~23日 調査方法:Webアンケート形式 調査対象:従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約1万7,000名 有効回答:983名(1社1名) 生成AIの使用企業は35.0%、導入進行中が34.5%となり、今後急速な拡大が見込まれる 業務における生成AIの使用状況について質問したところ、「会社で構築・契約した生成AIを使用している」が15.9%、「各自で契約・登録した生成AIを使用している」が19.1%となり、合わせて35.0%の企業が生成AIを使用していることがわかった。また現時点では、企業が用意した生成AIよりも、従業員個人が登録した生成AIが多く使用されている状況にある。しかし、「会社が生成AIの導入を進めている」が34.5%を占めていることから、今後、会社で構築・契約した生成AIを導入して業務で活用する企業が急速に増えていくとみられる。 図1:業務における生成AIの使用状況 [画像クリックで拡大表示] 生成AIの使用においては、機密情報の漏洩とハルシネーションが大きな懸念点となっている 生成AIに関する利用規定やガイドラインを策定している企業の割合は、会社で構築・契約した生成AIを使用している企業では68.6%に上ったのに対し、各自で契約・登録した生成AIを使用している企業ではわずか9.0%にとどまった。また、生成AIを使用していくうえでの懸念点を質問したところ、企業で構築・契約した生成AIを使用している企業では、「社内の機密情報(個人情報含む)を生成AIの学習データとして使用し情報漏洩する」が最多の67.3%に上った。 一方、各自で契約・登録した生成AIを使用している企業では26.1%にとどまり、これらの企業では利用規定もほとんど策定されておらず、情報漏洩リスクに対する危機感が薄いことがわかった。また、各自で契約・登録した生成AIを使用している企業では、「生成AIが出力した偽情報を従業員が信じ業務で使用する」が46.3%で最多となり、会社で構築・契約し使用している企業でも42.3%となった。業務で生成AIを使用していくうえでは、ハルシネーションに対する懸念や不安が多いことが明らかになったという。 図2:生成AIを使用していくうえでの懸念点 [画像クリックで拡大表示] DXでは「業務のデジタル化・自動化」に取り組む企業の半数が成果を出しているが、ビジネス成長に向けた取り組みでは成果を出している企業がまだ少ない DXを実践している企業に対して、具体的な取り組み内容とその成果について質問した。社内の業務や働き方に関するDXを「内向きのDX」、顧客向けの新たな製品やサービス、マーケティングに関するDXを「外向きのDX」と分類。「内向きのDX」で最も取り組みが進んでいるのは「業務のデジタル化・自動化」であり、50.8%の企業で成果が出ており、次いで「ワークスタイルの変革」では36.9%が成果が出ていると回答した。 一方、「外向きのDX」において最も成果が出ているのは、「データに基づいた営業・マーケティングの高度化」で28.9%となり、次いで「顧客体験や顧客接点のデジタル化」が28.5%となった。ただし、「外向きのDX」の取り組みは、いずれも取り組んではいるが成果が出ていない割合がより高い結果が見て取れる。今後は「外向きのDX」でいかに成果を出し、ビジネスの成長や顧客満足度の向上を図っていくかが重要になっていくという。 また、DXを実践していくうえでの課題について質問したところ、52.4%と過半数の企業が「情報セキュリティ対策」を課題と認識していることがわかった。その他の課題としては、「DX人材の育成と獲得」が38.8%、「従業員のDXに対する理解や協力姿勢」が38.1%、「新しいデジタル技術の選定と導入」が37.5%となった。 図3:DXの取り組み内容と成果の状況 [画像クリックで拡大表示] ランサムウェアの感染経験のある企業は47.1%。身代金を支払った企業の3分の2が復旧できず ランサムウェアの感染被害の経験について質問したところ、47.1%がランサムウェアの感染経験があることがわかった。このうち、「感染被害に遭い、身代金を支払ってシステムやデータを復旧させた」が9.0%、「感染被害に遭い、身代金を支払ったがシステムやデータは復旧できなかった」が17.9%となり、合わせて26.9%が身代金を支払った経験を持つが、このうち3分の2は復旧できなかったことになるという。 サイバー攻撃対策について「極めて優先度が高く、積極的に投資を行っている」企業は37.5%、「優先度が高く、継続的な投資を行っている」が36.7%となり、今後もサイバー攻撃対策への投資は一層拡大していくと同社はみている。また、情報漏洩対策についても、「極めて優先度が高く、積極的に投資を行っている」企業が27.1%、「優先度が高く、継続的な投資を行っている」は44.9%に上り、外部向けだけではなく、内部向けのセキュリティ対策への投資も重点的に行われていることがわかった。 図4:ランサムウェアの感染被害の経験
リーダーが「よい聞き手」になるための実践法 – オンライン
アクティブリスニングは、相手の話を深く理解し、微妙な合図を読み取り、感情反応をコントロールするスキル。アクティブリスニングには多くのスキルが必要であり、その実践法を説明する本稿。上級リーダーにとっても重要であり、その姿勢は会社にとっても有益。話し手も話を聞いてもらえたと感じる可能性が高まる。
富士通に見る「ITサービスベンダーの新たな事業モデルと生成AI活用法」
富士通は新しいAI戦略として、Fujitsu Uvanceを発表しました。これは、AI技術を活用して社会課題を解決するクロスインダストリーの4分野に焦点を当てたものです。また、生成AI混合技術の開発も進められています。この動きがITサービスベンダーの将来に示唆を与えています。
日本IBM、「IT変革のためのAI」を体系化–システム開発/運用に生成AIを活用
日本IBMは最新のAI技術「IBM watsonx」を活用し、IT変革のためのAIソリューションを提供開始。生成AIをIT業務に取り込み、開発スピードの向上や省力化を実現し、今後はプロジェクト品質の確保や効率化を目指す。具体的にはAI戦略策定、コード生成、テスト自動化、IT運用高度化、プロジェクト管理にAIを活用する。
CloudNative Days Tokyo 2023から、Yahoo! JAPANを支えるKaaS運用の安定化やトイル削減の取り組みを紹介
2023年12月11日、12日の両日にハイブリッド形式で開催されたCloudNative Days Tokyo 2023から、LINEヤフーの社内KaaSプラットフォーム「ZCP」のSREが、Kubernetesプラットフォームの運用と改善について紹介。SLI/SLOの導入やノイジーネイバーの特定による信頼性向上やトイル削減、アラートの分類と対策、UX向上の取り組みを報告。ZCPは100万コンテナを5年間スケーラブルに運用、信頼性・安定性、トイル削減、UXの3つを優先順位とするプロダクトビジョンを持ち、改善段階ごとに課題に取り組んでいる。