「パスワード盗難」関連の最新 ニュース・レビュー・解説 記事 まとめ

Tech TIPS：
【Googleダークウェブレポート】自身の個人情報がダークウェブに流出していないか確認する
Microsoftアカウントなどへの不正アクセスやフィッシングメールの着信が増えたら、個人情報がダークウェブに流出した可能性がある。ただ、ダークウェブは一般的な検索エンジンなどでは見つけられないため、何が起きているのか分からない。このような場合、Googleが提供する「ダークウェブレポート」を使って、ダークウェブ上に個人情報が漏れていないかどうかを確認するとよい。その使い方を紹介しよう。（2024/12/2）

Tech TIPS：
その筋のプロが勧める簡単で強力なパスワードの作り方
パスワードが破られると、大変なことになるという認識は多くの人が共有していると思う。破られにくい「強力なパスワード」を設定するのがよいのは分かっているが、実際には難しいと感じているのではないだろうか。そこで、本Tech TIPSでは、セキュリティベンダーやサイバーセキュリティの専門家が推奨する「強力なパスワード」の作り方を簡単に解説する。（2024/11/29）

「Oisix.com」に不正ログイン10万件　WAF導入も、パスワードリスト攻撃防げず
「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性。。（2024/11/27）

半径300メートルのIT：
クレジットカードを少額で不正利用されていない？　巧妙な新手口を解説
サイバー攻撃は個人にとっても無関係ではありません。特にフィッシング攻撃の進化は著しく、新しい手法が日々確認されています。今回は筆者が気になる最新のフィッシング手法を紹介しましょう。（2024/11/26）

「CXF」と「CXP」が登場
パスワードに代わる「パスキー」を安全に交換する新仕様とは
FIDO Allianceは「パスキー」の普及を促すためにセキュリティの新しい仕様を発表した。これによりユーザーが享受できるメリットと、知っておいた方がよい注意点とは。（2024/11/26）

「ジュピターショップチャンネル」ECサイトに不正ログイン1万5000件　氏名・住所など流出のおそれ
ジュピターショップチャンネルの通販サイトが不正ログインを受け、一部の顧客の氏名や住所、クレジットカードの下4ケタなどが流出した可能性。（2024/11/20）

新ログイン認証「kCAPTCHA」KDDIが開発　AIで画像生成「人間に解きやすく、攻撃検知精度も高い」
KDDIは、新たなログイン認証技術「kCAPTCHA」（ケイキャプチャ）を開発したと発表した。（2024/11/19）

落合陽一氏が「AIフェスティバル 2024」で語ったデジタルと自然の融合　なぜ「そして神社を作る」なのか
11月8日と9日の2日間、ベルサール秋葉原（東京都千代田区）でサードウェーブ主催の「AIフェスティバル 2024」が開かれた。メディアアーティスト 落合陽一氏による基調講演を中心に、「AIをもっと身近に、もっと楽しく」をコンセプトにした本イベントの内容を紹介する（2024/11/12）

漏洩パスワード、最も多い文字列は「123456」　配列なぞった「qwerty」も4位
ソリトンシステムズは日本人ユーザーによるとみられるパスワードの漏洩（ろうえい）実態を調査し、最も多かった「123456」、2位は「password」、3位は「123123」だったと公表した。（2024/11/5）

任天堂、なりすましメールに改めて注意喚起　対応を誤ると不正ログインされる可能性も
任天堂は29日、実在する同社のメールアドレスを装い、無関係の企業やサービスについて案内する不審なメールが確認されたとして注意喚起した。（2024/10/29）

LINE公式アカウントから“友だち”ユーザーに不審なメッセージ送信　「LINEビジネスID」156件で乗っ取り被害
LINE公式アカウントなどに必要な「LINEビジネスID」がパスワードリスト型攻撃による乗っ取り被害にあい、対象のアカウントを“友だち”登録していたユーザーに不審なメッセージが送信されるなどの問題。（2024/10/25）

「見えないWeb攻撃」──情報漏えい対策の盲点：
チケットなどの“買い占め・転売”にいそしむ「スクレイパーbot」と、検知技術の戦い
巧妙さを増したスクレイパーと呼ばれるbotの実態と、それを検知する最新テクノロジー。戦いの場で、いま何が起きているのか。（2024/10/31）

これで分かる「エンドポイントセキュリティ」【前編】
いまさら聞けない「エンドポイントセキュリティ」はなぜ必要なのか
エンドポイントセキュリティを強化するためには、まずその基本を理解する必要がある。定義から主な施策、取り組みの重要性までが分かるエンドポイントセキュリティの基本を紹介する。（2024/10/11）

ITmedia Security Week 2024 夏：
誰とも代わることのできない“唯我独尊”であるが故に――「セキュリティのアレ」の3人は認証認可をどう見るか
2024年8月28日、アイティメディア主催セミナー「ITmedia Security Week 2024 夏」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「認証認可唯我独尊」と題して講演した。（2024/9/27）

フジテレビのグループ会社で個人情報漏えいか　通販利用者の住所など……　「深くお詫び」
詳細は調査中とのことです。（2024/9/19）

Huluに不正ログイン296件　リスト型攻撃受け
　HJホールディングスは、動画配信サービス「Hulu」が、外部サービスから流出したIDなどを使ったリスト型攻撃を受け、296件のアカウント（解約済み含む）で不正ログインがあったと発表した。（2024/9/17）

Innovative Tech：
“ネットに未接続”のPCからデータを盗む攻撃　7m先からエアギャップPC内の機密情報を盗む
イスラエルのBen-Gurion University of the Negevに所属する研究者は、インターネットに接続していないコンピュータ（エアギャップPC）から機密情報を漏えいさせる新たなサイドチャネル攻撃手法を提案した研究報告を発表した。（2024/9/13）

「ゴルフダイジェスト・オンライン」で不正ログイン4274件　リスト型攻撃受け
「ゴルフダイジェスト・オンライン」の運営元は9月4日、同サイトがリスト攻撃を受け、4274件の不正ログインが発生したことを確認したと発表した。（2024/9/5）

「許せません」　登録者数100万人超えのYouTuber・酒村ゆっけ、がチャンネル乗っ取り被害　犯人に怒りにじませる
現在は修復済み。（2024/9/3）

日産のカーシェア「e-シェアモビ」不正ログインで車両不正利用　最大約7万件の個人情報閲覧された可能性
カーシェア「NISSAN e-シェアモビ」で不正ログインによる車両の不正利用があり、不正ログインの際に顧客の個人情報の一部が閲覧された可能性があると発表した。（2024/9/3）

バッファローが小規模ビジネス／SOHO向けNASの新製品を発表　「キキnavi」によるリモート設定で管理をしやすく（既存機種も一部対応）
バッファローのNAS「TeraStation」の法人向けモデルに、エントリークラスの新製品が登場する。CPUの刷新により基本パフォーマンスの底上げを行った他、同社のリモート管理サービス「キキNavi」による遠隔管理にも対応していることが特徴だ。遠隔管理機能については、一部の既存モデルにもファームウェア更新によって実装される。（2024/8/29）

LINE公式アカウントで乗っ取り被害、発覚1カ月後に公表　“友達”ユーザーに不審なメッセージ送信
LINEヤフーは8月26日、LINE公式アカウントの運用に必要な「LINEビジネスID」が7月10〜18日にパスワードリスト攻撃を受け、一部のアカウントが攻撃者に乗っ取られていたと発表した。（2024/8/27）

半径300メートルのIT：
脆弱性管理だけでは不十分　攻撃者が「めんどくさい」と思う組織になるには
サプライチェーンの脆弱性が話題の昨今、脆弱性管理をしっかりと実施することは非常に大事です。ただ、これさえやれば大丈夫かと言われると少し懸念が残ります。攻撃者が狙うのを「めんどくさい」と思う組織になるにはどうすればいいのでしょうか。（2024/8/27）

上智大、Microsoft 365活用メールシステムで設定ミス　学生間で氏名・ID閲覧可能な状態に
上智大学は、Microsoft 365を利用した学生／卒業生向けの「ソフィアメールシステム」にログインしたユーザーが、他のユーザーの氏名などを互いに閲覧できる状態にあったと発表した。（2024/7/17）

スマホ本人確認「マイナカード一本化」は本当？　実情とSIMスワップ詐欺問題を知る
6月18日に「スマホ本人確認をマイナンバーカード一本化」の話題が盛り上がった。5月には「偽造マイナンバーカード」を用いた「SIMスワップ」と呼ぶ手法で他人のスマートフォンの電話番号（SMS）を乗っ取り不正決済に利用される事件も話題に。スマホ本人確認「マイナ一本化」は本当？　実情とSIMスワップ詐欺問題を考える。（2024/7/15）

CFO Dive：
“怒られ続き”Microsoftのセキュリティ強化策　「目標達成できなければ、給料カット」の効果は？
度重なるサイバー攻撃による政府の批判を受け、Microsoftはセキュリティを抜本的に改革するとしている。経営陣が責任を持って対応するために編み出された秘策とは。（2024/7/11）

「許さない」ファン大激怒　アレンが“不正ログイン被害”を報告　「公式のような所から……」注意喚起も
アレン様が被害にあわれる。（2024/7/8）

PR：便利なSaaSの“落とし穴”　「アカウント管理」の手間を解決する手法とは
SaaSの導入が進む一方で、増えるアカウントをどう管理するか考えあぐねてはいないだろうか。アカウント管理が難しい背景を解き明かした上で、注目の管理手法「ユーザープロビジョニング」について解説する。（2024/6/28）

セキュリティニュースアラート：
弥生がセキュリティ強化に向けてAkamaiのWAF製品などを導入
会計ソフトを提供する弥生は、AkamaiのWebアプリケーションファイアウォール製品やDDoS対策などを導入し、セキュリティ対策を強化したと発表した。（2024/6/5）

破られ方は4つ：
パスワードは「123……」でいいの？　管理者が“少しずつ”変えるべきこと
PCやスマホのパスワードは破られる可能性があります。方法はいろいろありますが、どのように対応すればいいのでしょうか。まとめてみました。（2024/5/23）

株式会社TOKAIコミュニケーションズ提供Webキャスト
セキュリティや運用の課題を解決し、AWSで快適なCAD環境を実現するには？
CAD環境の改善策として、クラウドによるVDIサービスが注目されている。その一方で、セキュリティや運用負荷に対する疑問を抱く企業も少なくない。そこで、AWSを利用する際に、これらの疑問がどう解決されるのかを動画で解説する。（2024/5/13）

石野純也のMobile Eye：
楽天モバイルで「身に覚えのないeSIM再発行」の危険性　緩すぎる2つのプロセスは改善すべき
楽天モバイルで、第三者がeSIMを再発行するというトラブルが起きた。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。同社はユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内しているが、これで本当に十分な対応といえるのだろうか。（2024/4/27）

生成AIで変わる攻撃と対策【後編】
パスワードではなく「パスキー」を使う“パスワードレス認証”の利点はこれだ
人工知能（AI）技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。（2024/4/26）

ユーザー認証のリスクと安全対策【前編】
「パスワード」どころか「多要素認証」（MFA）さえ“万全な保護策”ではない
不正アクセスを防ぐために、ユーザーの認証をより安全にすることが欠かせない。従来の認証方法には、幾つかの弱点がある。主要な4つの認証手法について、何がリスクになるのかをまとめる。（2024/4/25）

セキュリティニュースアラート：
トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
トレンドマイクロは長期休暇前に実施すべきセキュリティ対策と休暇明けの注意点についてまとめたレポートを公開した。イレギュラーな対応が発生する可能性があるため十分な対策を講じることが推奨される。（2024/4/24）

ITmedia Security Week 2024 冬：
「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える
2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。（2024/4/9）

この頃、セキュリティ界隈で：
GitHubに大量の悪質リポジトリ、その数“10万超”　感染するとパスワード流出の恐れ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。（2024/3/11）

Security Copilotで業務はどう変わる？　Microsoftが考えるAI時代のセキュリティ
Microsoftは生成AIソリューションSecurity Copilotをセキュリティ業務にどう活用するか、そのユースケースを発表した。この中では同社が実践している、安全なAI利用に向けたフレームワークの整備などについても語られた。（2024/3/8）

セキュリティニュースアラート：
「情報セキュリティ10大脅威 2024」の追加資料をIPAが公開
IPAは、情報セキュリティ10大脅威 2024に関連した3つの解説書を追加公開した。脅威の詳細と具体的な対策、ドキュメントの活用法などがまとめられている。（2024/3/4）

パスワードレス認証でセキュリティ向上【中編】
パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ？
IDセキュリティが脆弱（ぜいじゃく）になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。（2024/2/12）

そのSaaS本当に安全ですか？：
SaaSのセキュリティ対策ってどうやるの？　まずは周辺のリスクを整理しよう
SaaS事業者がサイバー攻撃の被害を受けてサービスを停止したり、ヒューマンエラーなどによって個人情報が漏えいしたりといったセキュリティ事案が発生している。安心、安全なSaaSを見極めてセキュリティ性を適切に評価するポイントを探ります。（2024/2/2）

Cybersecurity Dive：
米国の専門家たちが2024年に注目する「5つのサイバーセキュリティトレンド」
ランサムウェアの脅威はかつてないほど深刻で、予防策は依然として不十分であり、新たなインシデント報告とコンプライアンス規制の波が押し寄せている。専門家たちが2024年に注目する5つのセキュリティトレンドとは。（2024/2/3）

「防御力」に「復元力」を〜なぜなにサイバーレジリエンス：
いざサイバーレジリエンスを実践　これだけはやっておきたい3つの対策
サイバーレジリエンスを詳細に解説してきた本連載。最終回はこれを高める14の手法のうち、これだけはやっておきたい3つの対策を紹介します。（2024/2/1）

半径300メートルのIT：
情報セキュリティ10大脅威に起きた“大きな変化”と“小さな変化”　その狙いを考察
IPAは「情報セキュリティ10大脅威 2024」の概要を公開しました。毎年恒例のこの脅威リストですが、今回は見逃せない大きな変化と小さな変化がありました。これにはどのような意図があるのか。筆者が考察します。（2024/1/30）

セキュリティニュースアラート：
IPAが「情報セキュリティ10大脅威 2024」を公開　個人編・組織編の結果は？
IPAは2023年に社会的影響を与えたセキュリティの脅威を「情報セキュリティ10大脅威 2024」として公表した。（2024/1/26）

組織向けは2022年と変わらずランサムウェアが1位：
「前年と同じ」は良いこと？　悪いこと？　IPAが「情報セキュリティ10大脅威 2024」を公表
IPAは「情報セキュリティ10大脅威 2024」を公表した。2023年に発生した情報セキュリティ事案から、社会的に影響が大きかったトピックを「個人」の立場と「組織」の立場のそれぞれに選出した。（2024/1/25）

友人がメルカリの偽サイトに引っ掛かる → “意外な理由”で致命傷を避けられた話に身が引き締まる
文中リンクを踏んでしまう前に、URLを読むクセを付けるしかない……。（2024/1/20）

SBOM基礎知識：
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。（2024/1/19）

ケーズデンキで“なりすまし注文”17件　不正ログイン受け
通販サイト「ケーズデンキオンラインショップ」が不正ログインを受け、なりすまし注文が17件発生。（2024/1/18）

X、米SECのアカウント侵害はSIMスワップによるものと説明
米証券取引委員会（SEC）のXの公式アカウントが乗っ取られ、ビットコインのETFを承認したと偽のポストをした件で、XはSECへのSIMスワップ攻撃が原因であり、Xのシステムが侵害されたわけではないと説明した。SECは翌日、ETF承認を正式に発表したがXにはポストしていない。（2024/1/11）